Среда за работа на потребителите

Потребителите избират типа среща, когато планират среща. Когато допуска участници от фоайето, както и по време на срещата, организаторът може да вижда статуса на потвърждаване на самоличността на всеки участник. Има и код на срещата, който е общ за всички настоящи участници в срещата, който те могат да използват, за да потвърдят, че срещата им не е била прихващана от нежелано трето лице Meddler In The Middle (MITM) атака.

Споделяне на следната информация с организаторите на вашата среща:

Проверка на самоличността с вътрешен или външен СО

Потвърждаване на самоличността

Цялостното шифроване с потвърждаване на самоличността осигурява допълнителна защита на цялостно шифрованата среща.

Когато участници или устройства се присъединят към споделена група MLS (Messaging Layer Security), те представят своите сертификати на другите членове на групата, които след това валидират сертификатите срещу издаващите сертифициращи органи (CA). С потвърждаване, че сертификатите са валидни, сертифициращият орган проверява самоличността на участниците и срещата показва участниците/устройствата като проверени.

Потребителите на приложението Webex се удостоверяват срещу хранилището за самоличност на Webex, което им издава маркер за достъп, когато удостоверяването е успешно. Ако им трябва сертификат, за да потвърдят самоличността си в цялостно шифрована среща, Webex CA им издава сертификат въз основа на техния маркер за достъп. Към момента не предоставяме начин потребителите на Webex Meetings да получат сертификат, издаден от трета страна/външен СО.

Устройствата могат да се удостоверят, като използват сертификат, издаден от вътрешния (Webex) CA, или сертификат, издаден от външен CA:

  • Вътрешен CA – Webex издава вътрешен сертификат въз основа на маркера за достъп на акаунта на машината на устройството. Сертификатът се подписва от Webex CA. Устройствата нямат потребителски ИД по същия начин, както потребителите, така че Webex използва (един от) домейните на вашата организация, когато пише самоличността на сертификата на устройството (общо име (CN)).

  • Външен CA—Заявете и закупете сертификати за устройства директно от избрания от вас издател. Трябва да шифровате, да качвате директно и да упълномощите сертификатите с помощта на тайна, която е известна само на вас.

    Cisco не участва, което прави това начин да се гарантира истинско цялостно шифроване и потвърдена самоличност и да се предотврати теоретичната възможност Cisco да подслушва срещата/да дешифрира мултимедията ви.

Вътрешно издаден сертификат за устройство

Webex издава сертификат на устройството, когато се регистрира след стартиране, и го подновява, когато е необходимо. За устройства сертификатът включва ИД на акаунта и домейн.

Ако вашата организация няма домейн, Webex CA издава сертификата без домейн.

Ако вашата организация има няколко домейна, можете да използвате Control Hub, за да кажете на Webex кой домейн устройството да използва за своята самоличност. Можете също да използвате API xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com".

Ако имате няколко домейна и не зададете предпочитания домейн за устройството, тогава Webex избира такъв за вас.

Сертификат на външно издадено устройство

Администратор може да осигури устройство със собствен сертификат, който е подписан с един от публичните СО.

Сертификатът трябва да се основава на двойка ключове ECDSA P-256, въпреки че може да бъде подписан от ключ RSA.

Стойностите в сертификата са по преценка на организацията. Общото име (CN) и алтернативно име на субекта (SAN) ще бъдат показани в потребителския интерфейс на срещата в Webex, както е описано в Цялостно шифроване с проверка на самоличността за Webex Meetings.

Препоръчваме да използвате отделен сертификат за всяко устройство и да имате уникален CN за всяко устройство. Например „meeting-room-1.example.com“ за организацията, която притежава домейна „example.com“.

За да се защити напълно външният сертификат от проникване, се използва таен клиент за шифроване и подписване на различни xcommand-и.

Когато използвате тайния код на клиентската част, е възможно защитено да управлявате външния сертификат за самоличност на Webex чрез xAPI. В момента това е ограничено до онлайн устройства.

В момента Webex предоставя API команди за управление на това.

Функции и ограничения

Устройства

Следните регистрирани в облака устройства от серията Webex Room и серията Webex Desk могат да се присъединят към срещи в E2EE:

  • Табло на Webex

  • Webex Desk Pro

  • Бюро на Webex

  • Комплект за стая на Webex

  • Webex стая комплект мини

Следните устройства не могат да се присъединяват към срещи в E2EE:

  • Серия C на Webex

  • Серия Webex DX

  • Серия Webex EX

  • Серия Webex MX

  • SIP устройства на трети страни

Софтуерни клиенти

  • Приложението Webex за настолни и мобилни клиенти може да се присъединява към E2EE срещи.

  • Интернет клиентът на Webex не може да се присъедини към E2EE срещи.

  • Софтуерните клиенти на SIP на трети страни не могат да се присъединяват към E2EE срещи.

Самоличност

  • По дизайн не предоставяме опции на Control Hub, за да можете да управлявате самоличност на външно проверено устройство. За истинско цялостно шифроване само вие трябва да знаете/да имате достъп до тайните и ключовете. Ако въведем облачна услуга, която да управлява тези ключове, има шанс те да бъдат прихванати.

  • В момента предоставяме „рецепта“, за да проектирате свои собствени инструменти, базирани на стандартни за отрасъла техники за шифроване, за да помогнете при заявяване или шифроване на вашите сертификати за самоличност на устройството и техните частни ключове. Не искаме да имаме реален или осезаем достъп до вашите тайни или ключове.

Срещи

  • В момента срещите в E2EE поддържат максимум 1000 участници.

  • Можете да споделяте нови бели дъски в срещи в E2EE. Има някои разлики от белите дъски в редовните срещи:
    • В срещите на E2EE потребителите нямат достъп до белите дъски, създадени извън срещата, включително частни бели дъски, бели дъски, споделени от други, и бели дъски от места в Webex.
    • Белите дъски, създадени в срещи в E2EE, са налични само по време на срещата. Те не са записани и не са достъпни след края на срещата.
    • Ако някой споделя съдържание в E2EE среща, можете да го анотирате. За повече информация относно анотирането вижте Приложение Webex | Маркиране на споделено съдържание с анотации.

Интерфейс за управление

Силно препоръчваме да използвате Control Hub, за да управлявате своя сайт за срещи, тъй като организациите на Control Hub имат централизирана самоличност за цялата организация.

Допълнителни ресурси
Предварителни изисквания

  • Webex Meetings 41.7.

  • Регистрирани в облака устройства от сериите Webex Room и Webex Desk, изпълняващи 10.6.1-RoomOS_August_2021.

  • Администраторски достъп до сайта на срещата в Control Hub.

  • Един или повече потвърдени домейни във вашата организация на Control Hub (ако използвате CA на Webex, за да издавате сертификати на устройства за потвърдена самоличност).

  • Стаите за срещи за съвместна работа трябва да са включени, така че хората да могат да се присъединяват от своята видео система. За повече информация вижте Позволяване на видео системи да се присъединяват към срещи и събития във вашия сайт на Webex.

Получаване на сертификати за устройство

Можете да пропуснете тази стъпка, ако не ви трябват удостоверени от външни лица самоличности.

За най-високо ниво на защита и за проверка на самоличността всяко устройство трябва да има уникален сертификат, издаден от надежден публичен сертифициращ орган (CA).

Трябва да взаимодействате с СО, за да заявите, закупите и получите цифровите сертификати и да създадете свързаните с тях частни ключове. Когато заявявате сертификата, използвайте следните параметри:

  • Сертификатът трябва да бъде издаден и подписан от добре познат публичен СО.

  • Уникален: Силно препоръчваме да използвате уникален сертификат за всяко устройство. Ако използвате един сертификат за всички устройства, компрометирате защитата си.

  • Общо име (CN) и алтернативно име на субекта (SAN): Това не са важни за Webex, а трябва да бъдат стойности, които хората могат да четат и свързват с устройството. CN ще се покаже на другите участници в срещата като основна потвърдена самоличност на устройството и ако потребителите инспектират сертификата чрез потребителския интерфейс на срещата, те ще видят SAN. Може да искате да използвате имена като name.model@example.com.

  • Файлов формат: Сертификатите и ключовете трябва да са във .pem формат.

  • Цел: Целта на сертификата трябва да е Webex Identity.

  • Генериране на ключове: Сертификатите трябва да се основават на двойки ключове ECDSA P-256 (алгоритъм за елипсовидна крива на цифровия подпис с помощта на кривата P-256).

    Това изискване не се разширява до ключа за подписване. CA може да използва ключ за RSA за подписване на сертификата.

Подготовка за включване на устройства

Можете да пропуснете тази стъпка, ако не искате да използвате потвърдена от външен доставчик самоличност с вашите устройства.

Ако използвате нови устройства, все още не ги регистрирайте в Webex. За да сте сигурни, в този момент не ги свързвайте с мрежата.

Ако имате съществуващи устройства, които искате да надстроите, за да използват потвърдена от външно лице самоличност, трябва да нулирате устройствата до фабричните настройки.

  • Запишете съществуващата конфигурация, ако искате да я запазите.

  • Планирайте прозорец, когато устройствата не се използват, или използвайте поетапен подход. Уведомете потребителите за промените, които могат да очакват.

  • Осигурете физически достъп до устройствата. Ако трябва да осъществите достъп до устройства по мрежата, имайте предвид, че тайните пътуват в обикновен текст и вие компрометирате вашата защита.

След като завършите тези стъпки, позволете на видео системите да се присъединяват към срещи и събития на вашия сайт на Webex.

Разбиране на процеса на външна самоличност за устройствата

За да сте сигурни, че мултимедията на вашето устройство не може да бъде шифрована от никого, освен от устройството, трябва да шифровате частния ключ на устройството. Проектирахме API за устройството, за да разрешим управлението на шифрования ключ и сертификат, като използвахме JSON уеб шифроване (JWE).

За да се гарантира истинско цялостно шифроване чрез нашия облак, не можем да участваме в шифроването и качването на сертификата и ключа. Ако се нуждаете от това ниво на защита, трябва:

  1. Заявете своите сертификати.

  2. Генерирайте двойките ключове на вашите сертификати.

  3. Създайте (и защитете) първоначална тайна за всяко устройство, за да засеете способността за шифроване на устройството.

  4. Разработете и поддържайте собствен инструмент за шифроване на файлове с помощта на стандарта JWE.

    Процесът и (несекретните) параметри, от които ще се нуждаете, са обяснени по-долу, както и рецепта, която да следвате във вашите инструменти за разработка по избор. Също така предоставяме някои тестови данни и произтичащите от тях блокове на JWE, както ги очакваме, за да ви помогнем да потвърдите своя процес.

    Неподдържано изпълнение на справки с помощта на Python3 и библиотеката JWCrypto е достъпно от Cisco при поискване.

  5. Наставете и шифровайте сертификата и ключа с помощта на инструмента си и първоначалната тайна на устройството.

  6. Качете получения блок JWE на устройството.

  7. Задайте целта на шифрования сертификат да се използва за самоличност в Webex и активирайте сертификата.

  8. (Препоръчително) Предоставете интерфейс (или разпространявайте) своя инструмент, за да дадете възможност на потребителите на устройствата да променят първоначалната тайна и да защитят мултимедията си от вас.

Как използваме формата JWE

Този раздел описва как очакваме JWE да бъде създаден като вход към устройствата, така че да можете да изградите собствен инструмент за създаване на блокове от вашите сертификати и ключове.

Вижте JSON уеб шифроване (JWE) https://datatracker.ietf.org/doc/html/rfc7516 и JSON уеб подпис (JWS) https://datatracker.ietf.org/doc/html/rfc7515.

Използваме Компактна сериализация на JSON документ, за да създадем JWE блокове. Параметрите, които трябва да включите при създаването на JWE блоковете, са:

  • JOSE Header (защитено). В заглавката за подписване и шифроване на JSON обект ТРЯБВА да включите следните двойки ключови стойности:

    • "alg":"dir"

      Директният алгоритъм е единственият, който поддържаме за шифроване на полезния обем, и трябва да използвате първоначалната клиентска тайна на устройството.

    • "enc":"A128GCM" или "enc":"A256GCM"

      Поддържаме тези два алгоритма за шифроване.

    • "cisco-action": "add" или "cisco-action": "populate" или "cisco-action": "activate" или "cisco-action": "deactivate"

      Това е собственически ключ и четири стойности, които може да отнеме. Въведохме този ключ, за да сигнализираме целта на шифрованите данни към целевото устройство. Стойностите са наименувани на командите на xAPI на устройството, където използвате шифрованите данни.

      Наименувахме го, за cisco-action да смекчим потенциални сблъсъци с бъдещи разширения на JWE.

    • "cisco-kdf": { "version": "1", "salt": "base64URLEncodedRandom4+Bytes" }

      Друг собствен ключ. Използваме стойностите, които предоставяте като входове за ключово деривация на устройството. version трябва да бъде 1 (версията на нашата функция за извеждане на ключ). Стойността на salt трябва да е кодирана с base64 URL последователност от поне 4 байта, която трябва да изберете на случаен принцип.

  • Шифрован ключ на JWE. Това поле е празно. Устройството го извлича от първоначалния ClientSecret.

  • Вектор за инициализиране на JWE. Трябва да предоставите кодиран вектор за инициализация base64url, за да дешифрирате полезния обем. IV ТРЯБВА да бъде произволна стойност 12 байта (използваме семейството шифър AES-GCM, което изисква IV да бъде 12 байта).

  • JWE AAD (допълнителни удостоверени данни). Трябва да пропуснете това поле, защото не се поддържа при компактната сериализация.

  • Текст за шифроване на JWE: Това е шифрования полезен обем, който искате да запазите в тайна.

    Полезният обем може ДА е празен. Например, за да нулирате тайния код на клиента, трябва да го презапишете с празна стойност.

    Има различни видове payloads, в зависимост от това, което се опитвате да направите на устройството. Различните xAPI команди очакват различни натоварвания на плащанията и трябва да посочите предназначението на полезния товар с cisco-action ключа, както следва:

    • С "cisco-action":"populate" шифрования текст е новото ClientSecret.

    • С ""cisco-action":"add" шифрованият текст е PEM блок, носещ сертификата и неговия частен ключ (конкатениран).

    • С ""cisco-action":"activate" шифроващият текст е пръстовият отпечатък (шестнадесетично представяне на sha-1) на сертификата, който активираме за проверка на самоличността на устройството.

    • С ""cisco-action":"deactivate" шифроващият текст е пръстовият отпечатък (шестнадесетично представяне на sha-1) на сертификата, който деактивираме, за да бъде използван за проверка на самоличността на устройството.

  • Етикет на JWE удостоверяване: Това поле съдържа етикет за удостоверяване, за да се установи целостта на целия компактно сериализиран блок на JWE

Как извличаме ключа за шифроване от ClientSecret

След първото население на тайната, ние не приемаме или извеждаме тайната като обикновен текст. Това се използва, за да се предотвратят потенциални атаки от речници от някой, който би имал достъп до устройството.

Софтуерът на устройството използва клиентската тайна като вход към функцията за извеждане на ключ (kdf) и след това използва извлечения ключ за дешифриране/шифроване на съдържанието на устройството.

Това означава, че вашият инструмент за производство на JWE блокове трябва да следва същата процедура, за да извлече същия ключ за шифроване/дешифриране от клиентската тайна.

Устройствата използват scrypt за извеждане на ключове (вижте https://en.wikipedia.org/wiki/Scrypt), със следните параметри:

  • CostFactor (N) е 32768

  • BlockSizeFactor (r) е 8

  • ParallelizationFactor (p) е 1

  • Солта е произволна последователност от поне 4 байта; трябва да предоставите същото salt при посочване на параметъра cisco-kdf .

  • Дължината на ключа е или 16 байта (ако изберете алгоритъм AES-GCM 128), или 32 байта (ако изберете алгоритъм AES-GCM 256)

  • Максималната капачка на паметта е 64MB

Този набор от параметри е единствената конфигурация на scrypt , която е съвместима с функцията за извеждане на ключове на устройствата. Този kdf на устройствата се нарича "version":"1", която е единствената версия, заета в момента от параметъра cisco-kdf .

Пример за работа

Ето пример, който можете да следвате, за да потвърдите, че вашият процес на шифроване JWE работи по същия начин като процеса, който създадохме на устройствата.

Примерният сценарий е добавяне на PEM блок към устройството (имитира добавяне на сертификат, с много кратък низ вместо пълен сертификат + ключ). Тайният код на клиентската част в примера е ossifrage.

  1. Изберете шифър за шифроване. Този пример използва A128GCM (AES с 128-битови ключове в режим на брояч на Galois). Вашият инструмент може да използва A256GCM ако предпочитате.

  2. Изберете сол (трябва да бъде произволна последователност от поне 4 байта). Този пример използва (шестнадесетични байта)E5 E6 53 08 03 F8 33 F6. Base64url кодира последователността, за да получите 5eZTCAP4M_Y (премахнете полето base64).

  3. Ето примерно повикване за scrypt създаване на ключ за шифроване на съдържание (cek):

    cek=scrypt(password="ossifrage", salt=4-byte-sequence, N=32768, r=8, p=1, keylength=16)

    Извлеченият ключ трябва да бъде 16 байта (шестнадесетичен), както следва:95 9e ba 6d d1 22 01 05 78 fe 6a 9d 22 78 ff ac към кой base64url кодира lZ66bdEiAQV4_mqdInj_rA.

  4. Изберете произволна последователност от 12 байта, която да се използва като вектор на инициализация. Този пример използва (шестнадесетичен) 34 b3 5d dd 5f 53 7b af 2d 92 95 83 към кой base64url кодира NLNd3V9Te68tkpWD.

  5. Създайте заглавката JOSE с компактна сериализация (следвайте същия ред параметри, които използваме тук) и след това я кодирайте base64url:

    {"alg":"dir","cisco-action":"add","cisco-kdf":{"salt":"5eZTCAP4M_Y","version":"1"},"enc":"A128GCM"}

    Заглавката base64url кодирана в JOSE е eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ9

    Това ще бъде първият елемент от блока на JWE.

  6. Вторият елемент на блока на JWE е празен, защото не предоставяме ключ за JWE шифроване.

  7. Третият елемент на блока на JWE е векторът за инициализация NLNd3V9Te68tkpWD.

  8. Използвайте своя инструмент за шифроване JWE, за да произведете шифрован полезен обем и етикет. За този пример нешифрованият полезен обем ще бъде фалшивият PEM блок this is a PEM file

    Параметрите за шифроване, които трябва да използвате, са:

    • Полезният обем е this is a PEM file

    • Шифърът за шифроване е AES 128 GCM

    • Base64url кодира заглавката JOSE като допълнителни удостоверени данни (AAD)

    Base64url кодира шифрования полезен обем, което трябва да доведе до f5lLVuWNfKfmzYCo1YJfODhQ

    Това е четвъртият елемент (JWE Ciphertext) в блока JWE.

  9. Base64url кодира маркера, който сте създали в стъпка 8, което трябва да доведе до PE-wDFWGXFFBeo928cfZ1Q

    Това е петият елемент в блока JWE.

  10. Concatenate петте елемента на блока JWE с точки (JOSEheader.. IV.Ciphertext.Tag), за да получите:

    eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

  11. Ако сте извлекли същите кодирани стойности base64url, които показваме тук, като използвате свои собствени инструменти, сте готови да ги използвате, за да защитите E2E шифроването и потвърдена самоличност на вашите устройства.

  12. Този пример всъщност няма да работи, но по принцип следващата ви стъпка ще бъде да използвате блока на JWE, който сте създали по-горе, като вход към xcommand на устройството, което добавя сертификата:

    xCommand Security Certificates Add eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

Типовете сесии за срещи с нулево доверие са достъпни за всички сайтове за срещи без допълнително плащане. Един от тези типове сесии се нарича Pro-End to End Encryption_VOIPonly. Това е името на обществената услуга, което може да се промени в бъдеще. За текущите имена на типовете сесии вижте ИД на типове сесии в раздела Референция на тази статия.

Няма какво да направите, за да получите тази възможност за вашия сайт; трябва да предоставите на потребителите новия тип сесия (наречена още Привилегия за срещи). Можете да направите това поотделно чрез страницата за конфигуриране на потребителя или групово с експортиране/импортиране на CSV файл.

Потвърдете новия тип сесия
1

Влезте в Control Hub и отидете на Услуги > Среща.

2

Щракнете върху Сайтове, изберете сайта на Webex, за който искате да промените настройките, след което щракнете върху Настройки.

3

Под Общи настройки изберете Типове сесии.

Трябва да видите един или повече типове сесии за цялостно шифроване. Вижте списъка с ИД на типове сесии в раздела Референция на тази статия. Например може да видите Pro-End до End Encryption_само VOIP.

Има по-стар тип сесия с много подобно име: Професионално цялостно шифроване. Този тип сесия включва нешифрован PSTN достъп до срещи. Уверете се, че разполагате с версията _VOIPonly , за да се гарантира цялостното шифроване. Можете да проверите, като задържите курсора на мишката върху връзката PRO в колоната с код на сесията; например целта на връзката трябва да бъде javascript:ShowFeature(652).

Можем да променим имената на обществените услуги за тези типове сесии в бъдеще.

4

Ако все още нямате новия тип сесия, свържете се със своя представител на Webex.

Какво да направите след това

Разрешете този тип сесия/привилегия за срещи на някои или всички ваши потребители.

Активиране на E2EE срещи за отделни потребители
1

Влезте в Control Hub и отидете на Управление > Потребители.

2

Изберете потребителски акаунт за актуализиране, след което изберете Срещи.

3

От падащия списък Настройки се прилагат към изберете сайта за срещи, който да актуализирате.

4

Отметнете квадратчето до Pro-End до End Encryption_Only VOIP.

5

Затворете панела за конфигуриране на потребителя.

6

Повторете за други потребители, ако е необходимо.

За да зададете това за много потребители, използвайте следващата опция, Активиране на E2EE срещи за много потребители.

Активиране на E2EE срещи за множество потребители
1

Влезте в Control Hub и отидете на Услуги > Среща.

2

Щракнете върху Сайтове, изберете сайта на Webex, за който искате да промените настройките.

3

В секцията Лицензи и потребители щракнете върху Групово управление.

4

Щракнете върху Генериране на отчет и изчакайте, докато подготвяме файла.

5

Когато файлът е готов, щракнете върху Експортиране на резултати и след това върху Изтегляне. (Трябва ръчно да затворите този изскачащ прозорец, след като щракнете върху Изтегляне.)

6

Отворете изтегления CSV файл за редактиране.

Има ред за всеки потребител и колоната MeetingPrivilege съдържа техните ИД на тип сесия като списък със стойности, разделени със запетая.

7

За всеки потребител, на когото искате да дадете новия тип сесия, добавете 1561 като нова стойност в списъка със стойности, разделени със запетая, в MeetingPrivilege клетката.

Справка за файлов формат CSV на Webex съдържа подробности за целта и съдържанието на CSV файла.

8

Отворете панела за конфигуриране на сайта за срещи в Control Hub.

Ако вече сте били на страницата със списъка на сайтовете за срещи, може да се наложи да я обновите.

9

В секцията Лицензи и потребители щракнете върху Групово управление.

10

Щракнете върху Импортиране и изберете редактирания CSV, след което щракнете върху Импортиране. Изчакайте, докато файлът бъде качен.

11

Когато импортирането завърши, можете да щракнете върху Резултати от импортирането , за да прегледате дали е имало грешки.

12

Отидете на страницата Потребители и отворете един от потребителите, за да потвърдите, че имат новия тип сесия.

Добавяне на аудио воден знак за защита

Можете да добавите воден знак към записите на срещи от типа Webex Meetings Pro-End to End Encryption_VOIPonly сесия, което ви позволява да идентифицирате клиента или устройството източник на неупълномощени записи на поверителни срещи.

Когато тази функция е активирана, аудиото на срещата включва уникален идентификатор за всеки участващ клиент или устройство. Можете да качите аудио записи в Control Hub, който след това анализира записа и търси уникалните идентификатори. Можете да погледнете резултатите, за да видите кой източник клиент или устройство е записал срещата.

  • За да бъде анализиран, записът трябва да е AAC, MP3, M4A, WAV, MP4, AVI или MOV файл с размер не повече от 500 MB.
  • Записът трябва да е по-дълъг от 100 секунди.
  • Можете да анализирате записите само за срещи, организирани от хора във вашата организация.
  • Информацията за водния знак се запазва за същото време като информацията за срещата на организацията.

Добавяне на аудио водни знаци към E2EE срещи

  1. Влезте в Control Hub, след което под Управление изберете Настройки на организацията.
  2. В раздела Срещи водни знаци включете Добавяне на аудио воден знак.

    Известно време след включването на това, потребителите, планиращи срещи с Webex Meetings Pro-End to End Encryption_VOIPonly типа сесия, виждат опция Цифров воден знак в раздела Защита.

Качване и анализиране на среща с воден знак

  1. В Control Hub, под Наблюдение изберете Отстраняване на неизправности.
  2. Щракнете върху Анализ на воден знак.
  3. Потърсете или изберете срещата в списъка, след което щракнете върху Анализиране.
  4. В прозореца Анализиране на аудио воден знак въведете име за вашия анализ.
  5. (По избор) Въведете бележка за анализа си.
  6. Плъзнете и пуснете аудио файла, за да го анализирате, или щракнете върху Избор на файл , за да потърсите аудио файла.
  7. Щракнете върху Затвори.

    Когато анализът приключи, той ще се покаже в списъка с резултати на страницата Анализиране на воден знак .

  8. Изберете срещата в списъка, за да видите резултатите от анализа. Щракнете върху Бутон „Изтегляне“ , за да изтеглите резултатите.

Функции и ограничения

Факторите, участващи при успешно декодиране на записан воден знак, включват разстоянието между записващото устройство и високоговорителя, изведен от аудиото, силата на звука на това аудио, околния шум и т.н. Нашата технология за воден знак има допълнителна устойчивост да бъде кодирана многократно, както може да се случи, когато медиите се споделят.

Тази функция е предназначена да даде възможност за успешно декодиране на идентификатора на водния знак при широк, но разумен набор от обстоятелства. Нашата цел е записващо устройство, като мобилен телефон, което се намира на бюро в близост до лична крайна точка или лаптоп клиент, винаги трябва да създава запис, който води до успешен анализ. Тъй като устройството за запис е преместено далеч от източника или е скрито от слушане на пълния аудио спектър, шансовете за успешен анализ са намалени.

За да се анализира успешно запис, е необходимо разумно заснемане на аудиото от срещата. Ако аудиото на срещата се записва на същия компютър, на който е хостван клиентът, ограниченията не трябва да се прилагат.

Включване на устройства (вътрешен СО)

Ако устройствата ви вече са включени във вашата организация на Control Hub и искате да използвате CA на Webex, за да генерирате автоматично техните идентификационни сертификати, не е необходимо да нулирате устройствата до фабричните им настройки.

Тази процедура избира кой домейн устройството използва, за да се идентифицира, и е необходима само ако имате няколко домейна във вашата организация на Control Hub. Ако имате повече от един домейн, препоръчваме да направите това за всички ваши устройства, които ще имат самоличност „потвърдена от Cisco“. Ако не кажете на Webex кой домейн идентифицира устройството, такъв се избира автоматично и може да изглежда погрешно за другите участници в срещата.

Преди да започнете

Ако устройствата ви все още не са включени, следвайте Регистриране на устройство в Cisco Webex чрез API или локален уеб интерфейс или Включване в облака за серии Board, Desk и Room. Трябва също така да потвърдите домейните, които искате да използвате, за да идентифицирате устройствата в Управление на вашите домейни.

1

Влезте в Control Hub и под Управление изберете Устройства.

2

Изберете устройство, за да отворите своя панел за конфигуриране.

3

Изберете домейна, който искате да използвате, за да идентифицирате това устройство.

4

Повторете за други устройства.

Включване на устройства (външен СО)

Преди да започнете

  • Получете подписан от CA сертификат и частен ключ във формат .pem за всяко устройство.

  • Под раздела Подготовка прочетете темата Разбиране на процеса на външна самоличност за устройствата,

  • Подгответе инструмент за шифроване на JWE по отношение на информацията там.

  • Уверете се, че имате инструмент за генериране на произволни последователности от байтове с дадени дължини.

  • Уверете се, че имате инструмент за base64url кодиране байтове или текст.

  • Уверете се, че имате scrypt изпълнение.

  • Уверете се, че имате тайна дума или фраза за всяко устройство.

1

Попълнете устройството ClientSecret с обикновена текстова тайна:

Първия път, когато попълните Secret, го доставяте в обикновен текст. Ето защо препоръчваме да направите това в конзолата за физическо устройство.

  1. Base64url кодира тайната фраза за това устройство.

  2. Отворете TShell на устройството.

  3. Изпълни xcommand Security ClientSecret Populate Secret: "MDEyMzQ1Njc4OWFiY2RlZg"

    Примерната команда по-горе попълва Secret с фразата 0123456789abcdef. Трябва да изберете своя собствена.

Устройството има своята първоначална тайна. Не забравяйте това; не можете да го възстановите и трябва да нулирате устройството до фабричните настройки, за да стартирате отново.
2

Свържете своя сертификат и частен ключ:

  1. С помощта на текстов редактор отворете .pem файловете, поставете блока за ключа на блока за сертификат и го запишете като нов .pem файл.

    Това е текстът на полезния обем, който ще шифровате и поставите във вашия JWE блок.

3

Създайте блок на JWE, който да се използва като вход в командата за добавяне на сертификат:

  1. Създайте произволна последователност от поне 4 байта. Това е вашата сол.

  2. Извлечете ключ за шифроване на съдържание със своя инструмент за шифроване.

    За това имате нужда от тайната, солта и дължина на ключа, за да съответства на избрания от вас шифър за шифроване. Има някои други фиксирани стойности за захранване (N=32768, r=8, p=1). Устройството използва същия процес и стойности, за да извлече един и същ ключ за шифроване на съдържание.

  3. Създайте произволна последователност от точно 12 байта. Това е вашият вектор на инициализиране.

  4. Създайте заглавка, настройка alg, enc и cisco-kdf ключове на JOSE, както е описано в Разбиране на процеса на външна самоличност за устройствата. Задайте действието „добавяне“, като използвате ключа:стойност "cisco-action":"add" в заглавката на JOSE (защото добавяме сертификата към устройството).

  5. Base64url кодира заглавката JOSE.

  6. Използвайте инструмента за шифроване JWE с избрания шифър и базовия64url кодиран JOSE заглавка, за да шифровате текста от конкатенирания pem файл.

  7. Base64url кодира вектора за инициализация, шифрования полезен обем на PEM и етикета за удостоверяване.

  8. Постройте блока JWE, както следва (всички стойности са кодирани base64url):

    JOSEHeader..InitVector.EncryptedPEM.AuthTag

4

Отворете TShell на устройството и изпълнете командата за добавяне (няколко линии): 

xcommand Security Certificates Services Add IsEncrypted: True
your..JWE.str.ing\n
.\n
5

Уверете се, че сертификатът е добавен чрез изпълнение xcommand Security Certificates Services Show

Копирайте пръстовия отпечатък на новия сертификат.

6

Активирайте сертификата за целта WebexIdentity:

  1. Прочетете пръстовия отпечатък на сертификата от самия сертификат или от изхода на xcommand Security Certificates Services Show.

  2. Създайте произволна последователност от поне 4 байта и я кодирайте с base64url адрес. Това е вашата сол.

  3. Извлечете ключ за шифроване на съдържание със своя инструмент за шифроване.

    За това имате нужда от тайната, солта и дължина на ключа, за да съответства на избрания от вас шифър за шифроване. Има някои други фиксирани стойности за захранване (N=32768, r=8, p=1). Устройството използва същия процес и стойности, за да извлече един и същ ключ за шифроване на съдържание.

  4. Създайте произволна последователност от точно 12 байта и я кодирайте с base 64 URL адреса. Това е вашият вектор на инициализиране.

  5. Създайте заглавка, настройка alg, enc и cisco-kdf ключове на JOSE, както е описано в Разбиране на процеса на външна самоличност за устройствата. Задайте действието "активиране", като използвате ключа:стойност "cisco-action":"activate" в заглавката на JOSE (защото активираме сертификата на устройството).

  6. Base64url кодира заглавката JOSE.

  7. Използвайте инструмента за шифроване JWE с избрания шифър и кодираната заглавка base64url на JOSE, за да шифровате пръстов отпечатък на сертификата.

    Инструментът трябва да изведе 16 или 32-битова последователност, в зависимост от това дали сте избрали 128 или 256-битов AES-GCM и етикет за удостоверяване.

  8. Base64urlencode шифрования пръстов отпечатък и етикета за удостоверяване.

  9. Постройте блока JWE, както следва (всички стойности са кодирани base64url):

    JOSEHeader..InitVector.EncryptedFingerprint.AuthTag

  10. Отворете TShell на устройството и изпълнете следната команда за активиране:

                      xcommand Security Certificates Services Activate Purpose: WebexIdentity Fingerprint: "Your..JWE.encrypted.fingerprint"

Устройството има шифрован, активен сертификат, издаден от CA, готов за използване за неговата идентификация в цялостно шифровани срещи в Webex.
7

Включване на устройството във вашата организация Control Hub.

Тестване на цялостното шифроване с проверка на самоличността
1

Планирайте среща от правилния тип (Професионално цялостно използване на Webex Meetingsncryption_, само за VOIP).

Вижте Планиране на среща в Webex с цялостно шифроване.

2

Присъединете се към срещата като организатор, от клиент на Webex Meetings.

Вижте Присъединяване към среща в Webex с цялостно шифроване.

3

Присъединете се към срещата от устройство, което има потвърдена самоличност от CA на Webex.

4

Като организатор проверете дали това устройство се показва във фоайето с правилната икона за самоличност.

Вижте Присъединяване към среща в Webex с цялостно шифроване.

5

Присъединете се към срещата от устройство, което има потвърдена самоличност от външен СО.

6

Като организатор проверете дали това устройство се показва във фоайето с правилната икона за самоличност. Научете повече за иконите на самоличност.

7

Присъединете се към срещата като неудостоверен участник в срещи.

8

Като организатор проверете дали този участник се появява във фоайето с правилната икона за самоличност.

9

Като организатор, допуснете или отхвърляйте хора/устройства.

10

Валидирайте самоличността на участниците/устройството, когато е възможно, като проверите сертификатите.

11

Проверете дали всички в срещата виждат един и същи код за защита на срещата.

12

Присъединете се към срещата с нов участник.

13

Проверете дали всички виждат един и същи нов код за защита на срещата.

Задаване на обхват и очаквания

  • Ще направите ли цялостно шифрованите срещи опцията за среща по подразбиране, или ще я активирате само за някои потребители, или ще позволите на всички организатори да решат? Когато сте решили как ще използвате тази функция, подгответе тези потребители, които ще я използват, особено по отношение на ограниченията и какво да очаквате в срещата.

  • Трябва ли да се уверите, че нито Cisco, нито някой друг могат да дешифрират вашето съдържание или да въплъщават устройствата ви? Ако да, имате нужда от сертификати от публичен СО.

  • Ако имате различни нива на потвърждаване на самоличността, разрешете на потребителите да се потвърждават взаимно със самоличност, подкрепена от сертификат. Въпреки че има обстоятелства, при които участниците могат да се показват като непроверени и участниците трябва да знаят как да проверят, непроверените хора може да не са измамници.

Управление на самоличността

Ако използвате външен СО, за да издавате сертификати за устройства, отговорността е на вас да наблюдавате, опреснявате и прилагате отново сертификатите.

Ако сте създали първоначалната тайна, разбирайте, че потребителите ви може да искат да променят тайната на устройството си. Може да се наложи да създадете интерфейс/да разпространите инструмент, за да го направите.

ИД на типа сесия
Таблица 1. ИД на типа сесия за цялостно шифровани срещи

ИД на тип сесия

Име на публичната услуга

638

Само E2E шифроване+VoIP

652

Професионално цялостноncryption_Само за VOIP

660

Pro 3 Безплатен от край до край иncryption_само за VOIP

E2E шифроване + самоличност

672

Pro 3 Free50 – От край до край иncryption_само за VOIP

673

Преподавател в образованието E2E Encryption_само VOIP

676

Стандарт на Broadworks плюс цялостно шифроване

677

Broadworks Premium плюс цялостно шифроване

681

Schoology Free плюс цялостно шифроване

Свързани xAPI команди

Тези таблици описват командите за API на устройствата на Webex, които добавихме за цялостно шифровани срещи и потвърдена самоличност. За повече информация как да използвате API вижте Достъп до API за устройства за стая и настолни устройства Webex и табла.

Тези xAPI команди са достъпни само на устройства, които са:

  • Регистриран в Webex

  • Регистрирани локално и свързани с Webex с Webex Edge за устройства

Таблица 2. API на системно ниво за цялостно шифровани срещи и потвърдена самоличност

Повикване на API

Описание

xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com"

Тази конфигурация се прави, когато администраторът зададе предпочитания домейн на устройството от Control Hub. Необходимо е само ако организацията има повече от един домейн.

Устройството използва този домейн, когато поиска сертификат от Webex CA. След това домейнът идентифицира устройството.

Тази конфигурация не е приложима, когато устройството има активен, издаден от външен доставчик сертификат, за да се идентифицира.

xStatus Conference EndToEndEncryption Availability

Посочва дали устройството може да се присъедини към цялостно шифрована среща. API в облака го извиква, така че сдвоено приложение да знае дали може да използва устройството, за да се присъедини.

xStatus Conference EndToEndEncryption ExternalIdentity Verification

Посочва дали устройството използва External проверка (има издаден от външен доставчик сертификат).

xStatus Conference EndToEndEncryption ExternalIdentity Identity

Самоличността на устройството, както е прочетено от общото име на издадения от външен доставчик сертификат.

xStatus Conference EndToEndEncryption ExternalIdentity CertificateChain Certificate # specificinfo

Чете конкретна информация от външно издаден сертификат.

В показаната команда заместете # с номера на сертификата. Заместете specificinfo с едно от:

  • Fingerprint

  • NotAfter Крайна дата на валидност

  • NotBefore Начална дата на валидност

  • PrimaryName

  • PublicKeyAlgorithm

  • SerialNumber

  • SignatureAlgorithm

  • Subject # Name Списък на субектите за сертификата (напр. имейл адрес или име на домейн)

  • Validity Дава статуса на валидност на този сертификат (напр. valid или expired)

xStatus Conference EndToEndEncryption ExternalIdentity Status

Състоянието на външната самоличност на устройството (напр. valid или error).

xStatus Conference EndToEndEncryption InternalIdentity Verification

Посочва дали устройството има валиден сертификат, издаден от Webex CA.

xStatus Conference EndToEndEncryption InternalIdentity Identity

Самоличността на устройството, както е прочетено от общото име на сертификата, издаден от Webex.

Съдържа име на домейн, ако организацията има домейн.

Е празно, ако организацията няма домейн.

Ако устройството е в организация, която има няколко домейна, това е стойността от PreferredDomain.

xStatus Conference EndToEndEncryption InternalIdentity CertificateChain Certificate # specificinfo

Чете конкретна информация от сертификата, издаден от Webex.

В показаната команда заместете # с номера на сертификата. Заместете specificinfo с едно от:

  • Fingerprint

  • NotAfter Крайна дата на валидност

  • NotBefore Начална дата на валидност

  • PrimaryName

  • PublicKeyAlgorithm

  • SerialNumber

  • SignatureAlgorithm

  • Subject # Name Списък на субектите за сертификата (напр. имейл адрес или име на домейн)

  • Validity Дава статуса на валидност на този сертификат (напр. valid или expired)

Таблица 3. API за повиквания за цялостно шифровани срещи и потвърдена самоличност

Повикване на API

Описание

xEvent Conference ParticipantList ParticipantAdded

xEvent Conference ParticipantList ParticipantUpdated

xEvent Conference ParticipantList ParticipantDeleted

Тези три събития сега включват EndToEndEncryptionStatus, EndToEndEncryptionIdentity и EndToEndEncryptionCertInfo за засегнатия участник.

Таблица 4. Свързани с ClientSecret API за цялостно шифровани срещи и потвърдена самоличност

Повикване на API

Описание

xCommand Security ClientSecret Populate Secret: "base64url-encoded"

или

xCommand Security ClientSecret Populate Secret: JWEblob

Приема основна 64 url кодирана стойност за обикновен текст за засяване на клиентската тайна на устройството за първи път.

За да актуализирате тайната след този първи път, трябва да предоставите JWE блок, съдържащ новата тайна, шифрована от старата.

xCommand Security Certificates Services Add JWEblob

Добавя сертификат (с частен ключ).

Разширихме тази команда, за да приемем JWE блок, съдържащ шифрованите PEM данни.

xCommand Security Certificates Services Activate Purpose:WebexIdentity FingerPrint: JWEblob

Активира конкретен сертификат за WebexIdentity. За тази Purposeкоманда изисква идентификационният пръстов отпечатък да бъде шифрован и сериализиран в JWE блок.

xCommand Security Certificates Services Deactivate Purpose:WebexIdentity FingerPrint: JWEblob

Деактивира конкретен сертификат за WebexIdentity. За тази Purposeкоманда изисква идентификационният пръстов отпечатък да бъде шифрован и сериализиран в JWE блок.