Discordは、通信プラットフォームを通じたすべての音声およびビデオ通話がデフォルトでエンドツーエンド暗号化(E2EE)によって保護されるようになったと発表しました。
この実装は3月に完了しました。大規模でのテストが成功したため、Discordは現在E2EEの展開を正式に発表し、暗号化されていないフォールバックをサポートするクライアントコードの削除を開始する自信を得ました。
Discordは、テキストチャット、音声通話、ビデオ通話、ライブストリーミング、およびゲーミング、クリエイター、ビジネス、および興味ベースのグループ向けのコミュニティサーバーを提供する人気のあるオンラインプラットフォームです。
世界中で6億9,000万人の登録ユーザーと月間2億人以上のアクティブユーザーを持つと推定されています。
E2EEへの移行は、オープンソースの暗号化プロトコルDAVEを拡張することで実現されました。デスクトップ、モバイル、Webブラウザ、PlayStation、Xbox、Discord SDKを含むDiscordクライアントが実行されるすべてのプラットフォームをサポートするようになりました。
暗号化層はDM、グループDM、音声チャネル、およびGo Liveストリームをカバーしています。ステージチャネルは、プライベート会話ではなく大規模な公開放送向けに設計されているため、唯一の例外のままです。
「Discordのすべての音声およびビデオ通話(ステージチャネルを除く)は、エンドツーエンド暗号化が標準になりました。オプトインは不要です。」- Discord
DAVEは最初に2024年9月に導入されました。Trail of Bitsの支援と監査を受けて開発され、プラットフォーム上の音声およびビデオ通話、グループチャット、音声チャネル、およびGo Liveストリームを保護します。
このプロトコルはWebRTCエンコード変換、スケーラブルなグループキー交換のためのメッセージング層セキュリティ(MLS)、およびプライバシーを強化しながら参加者が参加または退出する際の呼び出し中断と遅延を最小化する一時的なアイデンティティキーを活用しています。
Discordは、すべてのサポートされているプラットフォームへのDAVEの可用性拡張と、ユーザーにとって移行が目立たないようにする低遅延レベルの実現における技術的課題を強調しています。
レポートで強調されている例の1つはFirefoxとの互換性の問題です。回避策を実装したり、ブラウザのサポートを制限する代わりに、Discordエンジニアはこの問題を解決するためにMozillaと協力しました。
DAVEがプラットフォームのテキストベースの通信をカバーするように拡張される可能性に関して、Discordは現在そのような動きの計画がないと述べています。
その理由は、Discordのテキスト機能が非暗号化されたメッセージング仮定を中心に一から構築されているため、大きな技術的課題がそのような取り組みを妨げるだろうということです。
検証ギャップ:自動ペンテストは1つの質問に答えます。あなたは6つが必要です。
自動化ペンテストツールは実際の価値を提供しますが、1つの質問に答えるために構築されました:攻撃者はネットワークを移動できるでしょうか?これらは、あなたのコントロールが脅威をブロックするか、検出ルールが発火するか、またはクラウド構成が保持されるかをテストするために構築されていません。
このガイドは、実際に検証する必要がある6つのサーフェスについて説明しています。
