Uživatelské prostředí

Uživatelé volí při plánování schůzky typ schůzky. Při vpuštění účastníků z předsálí a také během schůzky může hostitel vidět stav ověření identity každého účastníka. K dispozici je také kód schůzky, který je společný všem aktuálním účastníkům schůzky a mohou jej použít k ověření, že jejich schůzka nebyla zachycena nežádoucím útokem třetí strany (MITM).

Sdílejte následující informace s hostiteli schůzky:

Ověření identity pomocí interní nebo externí certifikační autority

Ověřit identitu

Šifrování mezi koncovými body s ověřením identity poskytuje další zabezpečení pro schůzku s koncovým šifrováním.

Když se účastníci nebo zařízení připojí ke sdílené skupině MLS (Messaging Layer Security), předloží své certifikáty ostatním členům skupiny, kteří pak certifikáty ověří vůči vydávajícím certifikačním autoritám (CA). Certifikační autorita potvrdí platnost certifikátů a ověří identitu účastníků a schůzka zobrazí účastníky/zařízení jako ověřené.

Uživatelé aplikace Webex se ověřují proti úložišti identit Webex, což jim v případě úspěšného ověření vydá přístupový token. Pokud potřebují k ověření své identity na schůzce s koncovým šifrováním certifikát, Webex CA jim vydá certifikát na základě přístupového tokenu. V tuto chvíli neposkytujeme uživatelům aplikace Webex Meetings způsob, jak získat certifikát vydaný třetí stranou / externí certifikační autoritou.

Zařízení se mohou ověřit pomocí certifikátu vydaného interní certifikační autoritou (Webex) nebo certifikátu vydaného externí certifikační autoritou:

  • Interní certifikační autorita – Webex vydá interní certifikát na základě přístupového tokenu účtu počítače zařízení. Certifikát je podepsán certifikační autoritou Webex. Zařízení nemají ID uživatele stejně jako uživatelé, takže Webex používá při zápisu identity certifikátu zařízení (obecný název (CN)) domény vaší organizace.

  • Externí certifikační autorita – vyžádejte a zakupte certifikáty zařízení přímo od vámi zvoleného vydavatele. Musíte šifrovat, přímo nahrát a autorizovat certifikáty pomocí tajného klíče, který znáte jen vy.

    Společnost Cisco není zapojena, což umožňuje zaručit skutečné šifrování mezi koncovými body a ověřenou identitu a zabránit teoretické možnosti, že by společnost Cisco mohla odposlouchávat vaši schůzku nebo dešifrovat vaše média.

Interně vydaný certifikát zařízení

Webex vydá zařízení certifikát, když se zaregistruje po spuštění, a v případě potřeby jej obnoví. Certifikát obsahuje v případě zařízení ID účtu a doménu.

Pokud vaše organizace doménu nemá, certifikační autorita Webex vydá certifikát bez domény.

Pokud má vaše organizace více domén, pomocí centra Control Hub můžete službě Webex sdělit, kterou doménu má zařízení použít pro svou identitu. Můžete také použít rozhraní API xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com".

Pokud máte více domén a nenastavíte preferovanou doménu pro zařízení, služba Webex vám vybere jednu.

Externě vydaný certifikát zařízení

Správce může zřídit zařízení s vlastním certifikátem, který byl podepsán jednou z veřejných certifikačních autorit.

Certifikát musí být založen na dvojici klíčů ECDSA P-256, ačkoli může být podepsán klíčem RSA.

Hodnoty v certifikátu závisí na uvážení organizace. V uživatelském rozhraní Webex Meetings se zobrazí běžný název (CN) a alternativní název předmětu (SAN), jak je popsáno v části Šifrování mezi koncovými zařízeními s ověřením identity pro aplikaci Webex Meetings.

Doporučujeme použít samostatný certifikát pro jednotlivá zařízení a jedinečné CN pro jednotlivá zařízení. Například „meeting-room-1.example.com“ pro organizaci, která vlastní doménu „example.com“.

Pro plnou ochranu externího certifikátu před manipulací se k šifrování a podepisování různých xpříkazů používá funkce tajemství klienta.

Při použití tajného klíče klienta je možné bezpečně spravovat externí certifikát identity Webex prostřednictvím rozhraní xAPI. Tato funkce je momentálně omezená na online zařízení.

Služba Webex momentálně poskytuje příkazy rozhraní API pro jeho správu.

Funkce a omezení

Zařízení

Ke schůzkám E2EE se mohou připojit následující zařízení řady Webex Room a Webex Desk registrovaná v cloudu:

  • Tabule Webex

  • Zařízení Webex Desk Pro

  • Zařízení Webex Desk

  • Sada Webex Room Kit

  • Sada Webex Room Kit Mini

Následující zařízení se nemohou připojit ke schůzkám E2EE:

  • Řada Webex C

  • Webex řady DX

  • Řada Webex EX

  • Řada Webex MX

  • Zařízení SIP třetích stran

Softwarové klienty

  • Aplikace Webex pro počítače a mobilní klienty se mohou připojit ke schůzkám E2EE.

  • Webový klient Webex se nemůže připojit ke schůzkám E2EE.

  • Softwarové klienty SIP třetích stran se nemohou připojit ke schůzkám E2EE.

Identita

  • Z výroby neposkytujeme možnosti centra Control Hub pro správu externě ověřené identity zařízení. Pro skutečné šifrování mezi koncovými body byste měli znát/přistupovat k tajům a klíčům. Pokud jsme pro správu těchto klíčů zavedli cloudovou službu, existuje možnost, že budou zachyceny.

  • V současné době poskytujeme „recept“, který vám umožní navrhnout si vlastní nástroje na základě standardních šifrovacích technik, které vám pomohou vyžádat nebo zašifrovat certifikáty identity zařízení a jejich soukromé klíče. Nechceme mít žádný skutečný nebo domnělý přístup k vašim tajemstvím nebo klíčům.

Schůzky

  • Schůzky E2EE v současné době podporují maximálně 1000 účastníků.

  • Nové tabule můžete sdílet na schůzkách E2EE. Oproti tabulím při pravidelných schůzkách jsou některé rozdíly:
    • Na schůzkách E2EE nemají uživatelé přístup k tabulím vytvořeným mimo schůzku, včetně soukromých tabulí, tabulí sdílených ostatními a tabulí z prostorů Webex.
    • Tabule vytvořené na schůzkách E2EE jsou dostupné pouze během schůzky. Nejsou uloženy a po skončení schůzky nejsou přístupné.
    • Pokud někdo sdílí obsah na schůzce E2EE, můžete k němu přidávat poznámky. Další informace o přidávání poznámek naleznete v části Aplikace Webex | Doplnění sdíleného obsahu pomocí poznámek.

Rozhraní pro správu

Důrazně doporučujeme používat Control Hub ke správě webu schůzek, protože organizace Control Hub mají centralizovanou identitu pro celou organizaci.

Další zdroje
Požadavky

  • Aplikace Webex Meetings 41.7.

  • Zařízení řady Webex Room a Webex Desk registrovaná v cloudu, je spuštěna 10.6.1-RoomOS_August_2021.

  • Administrativní přístup k webu schůzky v prostředí Control Hub.

  • Jedna nebo více ověřených domén v organizaci prostředí Control Hub (pokud používáte certifikační autoritu Webex k vydávání certifikátů zařízení pro ověřenou identitu).

  • Aby se lidé mohli připojit z videosystému, musí být místnosti pro spolupráci zapnuté. Další informace najdete v tématu Povolení videosystémům připojovat se ke schůzkám a událostem na webu Webex.

Získat certifikáty zařízení

Pokud nepotřebujete externě ověřené identity, můžete tento krok přeskočit.

K dosažení nejvyšší úrovně zabezpečení a ověření identity by mělo mít každé zařízení jedinečný certifikát vydaný důvěryhodnou veřejnou certifikační autoritou.

Chcete-li vyžádat, zakoupit a přijmout digitální certifikáty a vytvořit přidružené soukromé klíče, musíte spolupracovat s certifikační autoritou. Při žádosti o certifikát použijte tyto parametry:

  • Certifikát musí být vydán a podepsán známou veřejnou certifikační autoritou.

  • Jedinečné: Důrazně doporučujeme použít pro každé zařízení jedinečný certifikát. Pokud použijete jeden certifikát pro všechna zařízení, ohrozíte zabezpečení.

  • Obecný název (CN) a alternativní název/názvy předmětu (SAN/názvy): Ty nejsou pro službu Webex důležité, ale měly by se jednat o hodnoty, které lidé mohou číst a přidružit k zařízení. Označení CN se zobrazí ostatním účastníkům schůzky jako primární ověřená identita zařízení, a pokud uživatelé certifikát prostřednictvím uživatelského rozhraní schůzky kontrolují, zobrazí se jim SAN (y). Můžete chtít používat názvy jako name.model@example.com.

  • Formát souboru: Certifikáty a klíče musí být ve formátu .pem .

  • Účel: Účelem certifikátu musí být identita Webex.

  • Generování klíčů: Certifikáty musí být založeny na párech klíčů ECDSA P-256 (algoritmus digitálního podpisu eliptické křivky používající křivku P-256).

    Tento požadavek se nevztahuje na podpisový klíč. Certifikační autorita může k podpisu certifikátu použít klíč RSA.

Připravte se na registraci zařízení

Pokud nechcete používat externě ověřenou identitu se zařízeními, můžete tento krok přeskočit.

Pokud používáte nová zařízení, zatím je ve službě Webex nezaregistrujte. Kvůli bezpečnosti je v tuto chvíli nepřipojujte k síti.

Pokud máte stávající zařízení, která chcete upgradovat, aby používala externě ověřenou identitu, musíte zařízení obnovit do továrního nastavení.

  • Pokud chcete stávající konfiguraci zachovat, uložte ji.

  • Naplánujte okno, když zařízení nejsou používána, nebo použijte postupný přístup. Upozorněte uživatele na změny, které mohou očekávat.

  • Zajistěte fyzický přístup k zařízením. Pokud musíte přistupovat k zařízením přes síť, mějte na paměti, že se tajemství pohybují v prostém textu a ohrožují vaše zabezpečení.

Po dokončení těchto kroků povolte videosystémům připojování ke schůzkám a událostem na webu Webex.

Porozumět procesu externí identity zařízení

Chcete-li zajistit, že média vašeho zařízení nemůže šifrovat nikdo kromě zařízení, musíte šifrovat soukromý klíč v zařízení. Navrhli jsme rozhraní API pro zařízení, která umožňují správu šifrovaného klíče a certifikátu pomocí šifrování JSON Web Encryption (JWE).

Abychom zajistili skutečné šifrování mezi koncovými body prostřednictvím našeho cloudu, nemůžeme se podílet na šifrování a nahrávání certifikátu a klíče. Pokud potřebujete tuto úroveň zabezpečení, musíte:

  1. Požádejte o certifikáty.

  2. Vygenerujte páry klíčů certifikátů.

  3. Vytvořte (a chraňte) počáteční tajný kód pro každé zařízení, abyste mohli zapnout šifrovací schopnost zařízení.

  4. Vývoj a údržba vlastního nástroje pro šifrování souborů pomocí standardu JWE.

    Proces a (netajné) parametry, které budete potřebovat, jsou vysvětleny níže, stejně jako recept, který budete dodržovat ve zvolených vývojových nástrojích. Poskytujeme také některá testovací data a výsledné JWE bloky, jak očekáváme, které vám pomohou ověřit váš proces.

    Nepodporovaná referenční implementace pomocí Python3 a knihovny JWCrypto je dostupná na vyžádání od společnosti Cisco.

  5. Spojte a zašifrujte certifikát a klíč pomocí nástroje a počátečního tajného klíče zařízení.

  6. Nahrajte výsledný blok JWE do zařízení.

  7. Nastavte účel zašifrovaného certifikátu, který se má použít pro identitu ve službě Webex, a aktivujte certifikát.

  8. (doporučeno) Poskytněte rozhraní (nebo distribuujte) svého nástroje, aby uživatelé zařízení mohli změnit počáteční tajný kód a chránit před vámi svá média.

Jak používáme formát JWE

Tato část popisuje, jak očekáváme, že JWE bude vytvořen jako vstup do zařízení, abyste si mohli vytvořit vlastní nástroj pro vytváření bloků z vašich certifikátů a klíčů.

Viz téma Šifrování webu JSON (JWE) https://datatracker.ietf.org/doc/html/rfc7516 a Podpis webu JSON (JWS) https://datatracker.ietf.org/doc/html/rfc7515.

K vytvoření blobů JWE používáme kompaktní serializaci dokumentu JSON. Parametry, které musíte zahrnout při vytváření bloků JWE, jsou:

  • Záhlaví JOSE (chráněno). V záhlaví Podepisování a šifrování objektu JSON MUSÍTE zahrnout následující páry klíčových hodnot:

    • "alg":"dir"

      Přímý algoritmus je jediný, který podporujeme pro šifrování datové části. Musíte použít počáteční tajný klíč klienta zařízení.

    • "enc":"A128GCM" nebo "enc":"A256GCM"

      Tyto dva šifrovací algoritmy podporujeme.

    • "cisco-action": "add" nebo "cisco-action": "populate""cisco-action": "activate" nebo "cisco-action": "deactivate"

      Jedná se o proprietární klíč a čtyři hodnoty, které může mít. Tento klíč jsme zavedli pro signalizaci účelu zašifrovaných dat cílovému zařízení. Hodnoty se jmenují podle příkazů xAPI v zařízení, ve kterém používáte zašifrovaná data.

      Název platformy jsme pojmenovali cisco-action kvůli zmírnění potenciálních střetů s budoucími linkami JWE.

    • "cisco-kdf": { "version": "1", "salt": "base64URLEncodedRandom4+Bytes" }

      Další proprietární klíč. Hodnoty, které zadáte, používáme na zařízení jako vstupy pro derivaci klíčů. version musí být 1 (verze naší klíčové funkce derivace). Hodnota salt musí být posloupnost kódovaná pomocí URL base64 o velikosti nejméně 4 bajtů, kterou musíte vybrat náhodně.

  • Šifrovaný klíč JWE. Toto pole je prázdné. Zařízení je odvozuje od počátečního prvku ClientSecret.

  • Vektor inicializace JWE. Pro dešifrování užitečného zatížení musíte zadat vektor inicializace kódovaný v base64url. IV MUSÍ být náhodná hodnota 12 bajtů (používáme rodinu šifrování AES-GCM, která vyžaduje, aby iv byla 12 bajtů dlouhá).

  • JWE AAD (další ověřená data). Toto pole je nutno vynechat, protože není podporováno v kompaktní serializaci.

  • Šifrovací text JWE: Toto je zašifrovaná datová část, kterou chcete zachovat v tajnosti.

    Datová část MŮŽE být prázdná. Pokud chcete například obnovit tajný klíč klienta, musíte ho přepsat prázdnou hodnotou.

    Existují různé typy zatížení v závislosti na tom, co se pokoušíte na zařízení dělat. Různé příkazy xAPI očekávají různé datové části a je nutné určit účel datové části s klíčem cisco-action následovně:

    • S "cisco-action":"populate" šifrovacím textem je nový ClientSecret.

    • S ""cisco-action":"add" šifrovací text je PEM blob nesoucí certifikát a jeho soukromý klíč (propojený).

    • "Cifertext "cisco-action":"activate" je otisk prstu (hexadecimální reprezentace sha-1) certifikátu, který aktivujeme pro ověření identity zařízení.

    • ""cisco-action":"deactivate" Šifrovací text je otisk prstu (hexadecimální reprezentaci sha-1) certifikátu, který deaktivujeme z použití k ověření identity zařízení.

  • Značka ověření JWE: Toto pole obsahuje ověřovací značku ke zjištění integrity celého kompaktně serializovaného blobu JWE

Jak odvozujeme šifrovací klíč od ClientSecret

Po první populaci tajemství nepřijímáme ani nevydáváme tajemství jako prostý text. To je proto, aby se zabránilo potenciálním útokům ze slovníku uživatelem, který by měl k zařízení přístup.

Software zařízení používá klientský tajný klíč jako vstup do funkce derivace klíče (kdf) a poté používá odvozený klíč pro dešifrování/šifrování obsahu zařízení.

To pro vás znamená, že váš nástroj pro tvorbu JWE blobs musí dodržovat stejný postup, aby odvodil stejný šifrovací/dešifrovací klíč z tajného klienta.

Zařízení používají scrypt pro derivaci klíče (viz https://en.wikipedia.org/wiki/Scrypt) s následujícími parametry:

  • CostFactor (N) je 32768

  • BlockSizeFactor (r) je 8

  • ParallelizačníFaktor (p) je 1

  • Salt je náhodná posloupnost o velikosti nejméně 4 bajtů. Totéž musíte zadat salt při zadávání cisco-kdf parametru.

  • Délka klíče je buď 16 bajtů (pokud vyberete algoritmus AES-GCM 128), nebo 32 bajtů (pokud vyberete algoritmus AES-GCM 256).

  • Maximální limit paměti je 64 MB.

Tato sada parametrů je jedinou konfigurací scrypt , která je kompatibilní s funkcí derivace klíče na zařízeních. Tento kdf se na zařízeních nazývá "version":"1", což je jediná verze, která je aktuálně používána parametrem cisco-kdf .

Zpracovaný příklad

Zde je příklad, který můžete použít k ověření, že váš proces šifrování JWE funguje stejně jako proces, který jsme vytvořili na zařízeních.

Příkladem je přidání blob PEM do zařízení (napodobuje přidání certifikátu s velmi krátkým řetězcem namísto úplného certifikátu + klíče). Tajný kód klienta v tomto příkladu je ossifrage.

  1. Zvolte šifrování. Tento příklad používá A128GCM (AES s 128bitovými klíči v režimu čítače Galois). Pokud chcete, A256GCM můžete použít nástroj.

  2. Zvolte salt (musí být náhodná posloupnost nejméně 4 bajtů). Tento příklad používá (hexadecimální bajty)E5 E6 53 08 03 F8 33 F6. Base64url zakóduje sekvenci pro získání 5eZTCAP4M_Y (odebrání base64 padding).

  3. Zde je ukázkový hovor scrypt pro vytvoření šifrovacího klíče obsahu (cek):

    cek=scrypt(password="ossifrage", salt=4-byte-sequence, N=32768, r=8, p=1, keylength=16)

    Odvozený klíč musí být 16 bajtů (šestnáctkové) takto:95 9e ba 6d d1 22 01 05 78 fe 6a 9d 22 78 ff ac se kterým base64url se kóduje na lZ66bdEiAQV4_mqdInj_rA.

  4. Zvolte náhodnou posloupnost 12 bajtů, kterou chcete použít jako vektor inicializace. V tomto příkladu se používá hexadecimální kód 34 b3 5d dd 5f 53 7b af 2d 92 95 83 base64url na NLNd3V9Te68tkpWD.

  5. Vytvořte hlavičku JOSE s kompaktní serializací (postupujte podle stejného pořadí parametrů, které používáme zde) a poté ji base64url zakódujte:

    {"alg":"dir","cisco-action":"add","cisco-kdf":{"salt":"5eZTCAP4M_Y","version":"1"},"enc":"A128GCM"}

    Hlavička kódovaná v base64url JOSE je eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ9

    To bude první prvek JWE blob.

  6. Druhý prvek blob JWE je prázdný, protože nedodáváme šifrovací klíč JWE.

  7. Třetím prvkem blobu JWE je inicializační vektor NLNd3V9Te68tkpWD.

  8. K vytvoření šifrovaného nákladu a značky použijte váš nástroj pro šifrování JWE. Například nešifrované datové zatížení bude falešné blob PEM this is a PEM file

    Používejte tyto parametry šifrování:

    • Datová část je this is a PEM file

    • Šifrování má AES 128 GCM

    • Hlavička base64url kódovaná JOSE jako další ověřená data (AAD)

    Base64url zakóduje zašifrované datové zatížení, což by mělo mít za následek f5lLVuWNfKfmzYCo1YJfODhQ

    Toto je čtvrtý prvek (JWE Ciphertext) v JWE blob.

  9. Base64url kóduje značku, kterou jste vytvořili v kroku 8, což by mělo vést k PE-wDFWGXFFBeo928cfZ1Q

    Toto je pátý prvek v JWE blob.

  10. Spojte pět prvků blobu JWE s tečky (JOSEheader..IV.Ciphertext.Tag), abyste získali:

    eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

  11. Pokud jste odvodili stejné hodnoty kódované base64url jako zde, pomocí vlastních nástrojů jste připraveni použít je k zabezpečení šifrování E2E a ověřené identity vašich zařízení.

  12. Tento příklad ve skutečnosti nebude fungovat, ale v zásadě vaším dalším krokem je použít JWE blob, který jste vytvořili výše jako vstup do xcommand v zařízení, které přidává certifikát:

    xCommand Security Certificates Add eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

Typy relací pro schůzky s nulovou důvěrou jsou k dispozici pro všechny weby schůzek bez dodatečných nákladů. Jeden z těchto typů relací se nazývá Pro-End to End Encryption_VOIPonly. Toto je název veřejné služby, který můžeme v budoucnu změnit. Aktuální názvy typů relací najdete v části ID typu relace v části Reference tohoto článku.

K získání této funkce pro váš web není třeba nic udělat. Je nutné udělit uživatelům nový typ relace (nazývaný také oprávnění schůzky). To můžete provést jednotlivě prostřednictvím stránky konfigurace uživatele nebo hromadně pomocí exportu/importu CSV.

Ověřit nový typ relace
1

Přihlaste se do prostředí Control Hub a přejděte do nabídky Služby > Schůzka.

2

Klikněte na Weby , vyberte webWebex, pro který chcete změnit nastavení, a klikněte na Nastavení.

3

V nabídce Společná nastavení vyberte možnost Typy relací.

Měl by být zobrazen jeden nebo více typů šifrování mezi koncovými body. Podívejte se na seznam ID typu relace v části Reference tohoto článku. Může se například zobrazit možnost Pro-End to End Encryption_VOIPonly.

Existuje starší typ relace s velmi podobným názvem: Šifrování mezi koncovými body. Tento typ relace zahrnuje nešifrovaný přístup PSTN ke schůzkám. K zajištění koncového šifrování se ujistěte, že máte verzi _VOIPonly . Kontrolu můžete zkontrolovat umístěním ukazatele na odkaz PRO ve sloupci kódu relace. Například cíl odkazu by měl být javascript:ShowFeature(652).

Názvy veřejných služeb můžeme pro tyto typy relací v budoucnu změnit.

4

Pokud ještě nemáte nový typ relace, kontaktujte zástupce služby Webex.

Co dělat dále

Povolte tento typ relace / oprávnění schůzky některým nebo všem svým uživatelům.

Povolit schůzky E2EE pro jednotlivé uživatele
1

Přihlaste se do prostředí Control Hub a přejděte do nabídky Správa > Uživatelé.

2

Vyberte uživatelský účet, který chcete aktualizovat, a pak vyberte Schůzky.

3

V rozevíracím seznamu Použít nastavení na vyberte web schůzky, který chcete aktualizovat.

4

Zaškrtněte políčko vedle položky Pro-End to End Encryption_VOIPonly.

5

Zavřete panel konfigurace uživatele.

6

V případě potřeby opakujte i pro ostatní uživatele.

Chcete-li tuto možnost přiřadit mnoha uživatelům, použijte další možnost Povolit schůzky E2EE pro více uživatelů.

Povolit schůzky E2EE pro více uživatelů
1

Přihlaste se do prostředí Control Hub a přejděte do nabídky Služby > Schůzka.

2

Klikněte na možnost Weby, zvolte web služby Webex, pro který chcete změnit nastavení.

3

V části Licence a uživatelé klikněte na možnost Hromadná správa.

4

Klikněte na možnost Generovat zprávu a počkejte, až se soubor připraví.

5

Jakmile bude soubor připraven, klikněte na Exportovat výsledky a poté na Stáhnout. (Po kliknutí na tlačítko Stáhnout musíte toto vyskakovací okno zavřít ručně.)

6

Otevřete stažený soubor CSV k úpravám.

Pro každého uživatele je zde řádek a sloupec MeetingPrivilege obsahuje jejich ID typu relace jako seznam oddělený čárkami.

7

Pro každého uživatele, kterému chcete udělit nový typ relace, přidejte 1561 v seznamu hodnot oddělených čárkami v MeetingPrivilege buňce jako novou hodnotu.

Referenční informace o formátu souboru CSV pro Webex obsahuje podrobnosti o účelu a obsahu souboru CSV.

8

Otevřete panel konfigurace webu schůzky v centru Control Hub.

Pokud jste již byli na stránce seznamu stránek schůzky, možná budete muset stránku aktualizovat.

9

V části Licence a uživatelé klikněte na možnost Hromadná správa.

10

Klikněte na tlačítko Importovat , vyberte upravený soubor CSV a klikněte na tlačítko Importovat. Vyčkejte na nahrání souboru.

11

Po dokončení importu můžete kliknout na možnost Výsledky importu a zkontrolovat, zda nedošlo k chybám.

12

Přejděte na stránku Uživatelé a otevřete jednoho z uživatelů, abyste ověřili, že mají nový typ relace.

Přidat zvukový vodoznak z důvodu zabezpečení

K záznamům schůzek s typem relace můžete přidat vodoznakWebex Meetings Pro-End to End Encryption_VOIPonly , který vám umožní identifikovat zdrojového klienta nebo zařízení neoprávněných záznamů důvěrných schůzek.

Pokud je tato funkce povolena, zvuk schůzky obsahuje pro každého zúčastněného klienta nebo zařízení jedinečný identifikátor. Zvukové záznamy můžete nahrát do centra Control Hub, který poté analyzuje záznam a vyhledá jedinečné identifikátory. Můžete se podívat na výsledky a zjistit, který zdrojový klient nebo zařízení schůzku zaznamenal.

  • Aby mohl být záznam analyzován, musí být soubor ve formátu AAC, MP3, M4A, WAV, MP4, AVI nebo MOV, který není větší než 500 MB.
  • Záznam musí být delší než 100 sekund.
  • Můžete analyzovat pouze záznamy schůzek hostovaných lidmi ve vaší organizaci.
  • Informace o vodoznaku se uchovávají po stejnou dobu jako informace o schůzce organizace.

Přidat zvukové vodoznaky do schůzek E2EE

  1. Přihlaste se do prostředí Control Hub a poté pod položkou Správa vyberte možnost Nastavení organizace.
  2. V části Vodoznaky schůzky zapněte možnost Přidat zvukový vodoznak.

    Po určité době po zapnutí této funkce uvidí uživatelé plánování schůzek s Webex Meetings Pro-End to End Encryption_VOIPonly typem relace v části Zabezpečení možnost Digitální vodoznak .

Nahrát a analyzovat vodoznakovou schůzku

  1. V prostředí Control Hub v části Monitorování vyberte možnost Řešení potíží.
  2. Klikněte na možnost Analýza vodoznaku.
  3. Vyhledejte nebo vyberte schůzku v seznamu a klikněte na tlačítko Analyzovat.
  4. V okně Analyzovat zvukový vodoznak zadejte název analýzy.
  5. (Volitelné) Zadejte poznámku ke své analýze.
  6. Přetáhněte zvukový soubor, který chcete analyzovat, nebo klikněte na tlačítko Vybrat soubor a vyhledejte zvukový soubor.
  7. Klikněte na tlačítko Zavřít.

    Po dokončení analýzy se zobrazí v seznamu výsledků na stránce Analyzovat vodoznak .

  8. Výběrem schůzky v seznamu zobrazíte výsledky analýzy. Kliknutím Tlačítko Stáhnout stáhnete výsledky.

Funkce a omezení

Faktory podílející se na úspěšném dekódování zaznamenaného vodoznaku zahrnují vzdálenost mezi nahrávacím zařízením a reproduktorem, který zvuk vysílá, hlasitost tohoto zvuku, okolní hluk atd. Naše technologie vodoznaku má dodatečnou odolnost vůči opakovanému kódování, což může nastat při sdílení médií.

Tato funkce je navržena tak, aby umožňovala úspěšné dekódování identifikátoru vodoznaku v širokém, ale rozumném souboru okolností. Naším cílem je, aby nahrávací zařízení, jako je mobilní telefon, které leží na stole v blízkosti osobního koncového bodu nebo klienta notebooku, vždy vytvořit nahrávku, která vede k úspěšné analýze. Když se nahrávací zařízení přesune ze zdroje nebo je skryto kvůli tomu, že neslyší celé zvukové spektrum, pravděpodobnost úspěšné analýzy se sníží.

Aby bylo možné úspěšně analyzovat záznam, je zapotřebí přiměřený záznam zvuku schůzky. Pokud je zvuk schůzky nahráván ve stejném počítači, který hostuje klienta, omezení by neměla platit.

Registrovat zařízení (interní certifikační autorita)

Pokud jsou vaše zařízení již zaregistrována v organizaci Control Hub a chcete používat autoritu Webex CA k automatickému vygenerování jejich identifikačních certifikátů, nemusíte obnovovat tovární nastavení zařízení.

Tento postup volí doménu zařízení používá k vlastní identifikaci, a je vyžadován pouze v případě, že máte v centru Control Hub více domén. Pokud máte více než jednu doménu, doporučujeme to provést pro všechna zařízení s identitou „ověřenou společností Cisco“. Pokud společnosti Webex neřeknete, která doména zařízení identifikuje, jedna se vybere automaticky a může se to ostatním účastníkům schůzky zdát špatně.

Dříve než začnete

Pokud vaše zařízení ještě nejsou zaregistrována, postupujte podle části Registrace zařízení do služby Cisco Webex pomocí rozhraní API nebo místního webového rozhraní nebo Registrace v cloudu pro zařízení Board, Desk a Room. Měli byste také ověřit domény, které chcete použít k identifikaci zařízení v části Správa vašich domén.

1

Přihlaste se do prostředí Control Hub a v části Správa vyberte možnost Zařízení.

2

Vyberte zařízení a otevřete jeho panel konfigurace.

3

Vyberte doménu, kterou chcete použít k identifikaci tohoto zařízení.

4

Opakujte postup pro jiná zařízení.

Registrovat zařízení (externí certifikační autorita)

Dříve než začnete

  • Získejte pro každé zařízení certifikát podepsaný certifikační autoritou a soukromý klíč ve .pem formátu.

  • Na kartě Příprava si přečtěte téma Pochopení procesu externí identity pro zařízení,

  • Připravte šifrovací nástroj JWE s ohledem na zde uvedené informace.

  • Ujistěte se, že máte nástroj pro generování náhodných bytových sekvencí daných délek.

  • Ujistěte se, že máte nástroj pro base64url kódování bajtů nebo textu.

  • Ujistěte se, že máte scrypt implementaci.

  • Ujistěte se, že máte pro každé zařízení nějaké tajné slovo nebo frázi.

1

Vyplňte zařízení ClientSecret prostým textovým tajemstvím:

Při prvním vyplnění položky Secret je zadáte jako prostý text. Proto to doporučujeme provést pomocí konzole fyzického zařízení.

  1. Base64url kóduje tajnou frázi pro toto zařízení.

  2. Otevřete TShell na zařízení.

  3. Spustit xcommand Security ClientSecret Populate Secret: "MDEyMzQ1Njc4OWFiY2RlZg"

    Výše uvedený příklad vyplní Secret frázi 0123456789abcdef. Musíte si vybrat vlastní.

Zařízení má svůj počáteční tajný kód. Na to nezapomeňte; nelze to obnovit a aby se zařízení začalo znovu, musíte obnovit tovární nastavení.
2

Spojení certifikátu a soukromého klíče:

  1. Pomocí textového editoru otevřete soubory .pem, vložte klíč do blokování certifikátu a uložte jej jako nový soubor .pem.

    Toto je text datové části, který zašifrujete a vložíte do vašeho JWE blobu.

3

Vytvořte blob JWE, který se použije jako vstup do příkazu přidání certifikátu:

  1. Vytvořte náhodnou sekvenci nejméně 4 bajtů. Tohle je tvoje sůl.

  2. Odvoďte šifrovací klíč obsahu pomocí nástroje scrypt.

    K tomu potřebujete tajný klíč, sůl a délku klíče, aby odpovídaly zvolené šifrování. Existují některé jiné pevné hodnoty, které je třeba dodat (N=32768, r=8, p=1). Zařízení k odvození stejného šifrovacího klíče obsahu používá stejný proces a hodnoty.

  3. Vytvořte náhodnou posloupnost přesně 12 bajtů. Toto je váš inicializační vektor.

  4. Vytvořte záhlaví JOSE, nastavení alg, enc a cisco-kdf klíče podle popisu v části Porozumění procesu externí identity pro zařízení. Nastavte akci „přidat“ pomocí klíče:hodnoty "cisco-action":"add" v záhlaví JOSE (protože do zařízení přidáváme certifikát).

  5. Base64url kóduje záhlaví JOSE.

  6. Použijte šifrovací nástroj JWE s vybranou šifrováním a hlavičkou JOSE kódovanou base64url pro šifrování textu z připojeného souboru PEM.

  7. Base64url zakóduje inicializační vektor, šifrované datové zatížení PEM a ověřovací značku.

  8. Konstruujte JWE blob takto (všechny hodnoty jsou kódovány base64url):

    JOSEHeader..InitVector.EncryptedPEM.AuthTag

4

Otevřete na zařízení nástroj TShell a spusťte příkaz (více řádků) pro přidání: 

xcommand Security Certificates Services Add IsEncrypted: True
your..JWE.str.ing\n
.\n
5

Ověřte, zda byl certifikát přidán spuštěním xcommand Security Certificates Services Show

Zkopírujte otisk nového certifikátu.

6

Aktivovat certifikát pro účel WebexIdentity:

  1. Přečtěte si otisk certifikátu, a to buď ze samotného certifikátu, nebo z výstupu xcommand Security Certificates Services Show.

  2. Vytvořte náhodnou sekvenci nejméně 4 bajtů a base64url tuto sekvenci kóduje. Tohle je tvoje sůl.

  3. Odvoďte šifrovací klíč obsahu pomocí nástroje scrypt.

    K tomu potřebujete tajný klíč, sůl a délku klíče, aby odpovídaly zvolené šifrování. Existují některé jiné pevné hodnoty, které je třeba dodat (N=32768, r=8, p=1). Zařízení k odvození stejného šifrovacího klíče obsahu používá stejný proces a hodnoty.

  4. Vytvořte náhodnou sekvenci přesně 12 bajtů a base64url tuto sekvenci kóduje. Toto je váš inicializační vektor.

  5. Vytvořte záhlaví JOSE, nastavení alg, enc a cisco-kdf klíče podle popisu v části Porozumění procesu externí identity pro zařízení. Nastavte akci „aktivovat“ pomocí klíče:hodnoty "cisco-action":"activate" v záhlaví JOSE (protože aktivujeme certifikát v zařízení).

  6. Base64url kóduje záhlaví JOSE.

  7. Použijte šifrovací nástroj JWE s vybranou šifrováním a hlavičkou JOSE kódovanou base64url pro šifrování otisku certifikátu.

    Nástroj by měl odeslat 16bitovou nebo 32bitovou sekvenci podle toho, zda jste vybrali 128bitovou nebo 256bitovou AES-GCM a ověřovací značku.

  8. Base64urlencode zašifrovaný otisk prstu a značku ověření.

  9. Konstruujte JWE blob takto (všechny hodnoty jsou kódovány base64url):

    JOSEHeader..InitVector.EncryptedFingerprint.AuthTag

  10. Otevřete TShell na zařízení a spusťte následující aktivační příkaz:

                      xcommand Security Certificates Services Activate Purpose: WebexIdentity Fingerprint: "Your..JWE.encrypted.fingerprint"

Zařízení má šifrovaný, aktivní certifikát vydaný certifikační autoritou, připravený k jeho identifikaci na schůzkách služby Webex s koncovým šifrováním.
7

Registrujte zařízení v organizaci Control Hub.

Otestujte šifrování mezi koncovými body s ověřením identity
1

Naplánujte schůzku správného typu (Webex Meetings Pro-End to End Encryption_VOIPonly).

Přečtěte si článek Naplánování schůzky Webex s šifrováním mezi koncovými body.

2

Připojte se ke schůzce jako hostitel z klienta aplikace Webex Meetings.

Přečtěte si článek Připojení ke schůzce Webex s šifrováním mezi koncovými body.

3

Připojte se ke schůzce ze zařízení, jehož identita byla ověřena certifikační autoritou Webex.

4

Jako hostitel ověřte, zda se toto zařízení zobrazuje v předsálí, pomocí správné ikony identity.

Přečtěte si článek Připojení ke schůzce Webex s šifrováním mezi koncovými body.

5

Připojte se ke schůzce ze zařízení, jehož identita byla ověřena externí certifikační autoritou.

6

Jako hostitel ověřte, zda se toto zařízení zobrazuje v předsálí, pomocí správné ikony identity. Další informace o ikonách identity.

7

Připojte se ke schůzce jako neověřený účastník schůzky.

8

Jako hostitel ověřte, zda se tento účastník zobrazuje v předsálí, pomocí správné ikony identity.

9

Jako hostitel můžete přijmout nebo odmítnout osoby/zařízení.

10

Pokud je to možné, ověřte identity účastníků/zařízení kontrolou certifikátů.

11

Zkontrolujte, zda všichni účastníci schůzky vidí stejný bezpečnostní kód schůzky.

12

Připojte se ke schůzce s novým účastníkem.

13

Zkontrolujte, zda se každému zobrazí stejný, nový bezpečnostní kód schůzky.

Nastavení rozsahu a očekávání

  • Chcete nastavit schůzky s koncovým šifrováním jako výchozí možnost schůzky, nebo ji povolíte pouze pro některé uživatele, nebo povolíte všem hostitelům rozhodnutí? Když se rozhodnete, jak tuto funkci chcete používat, připravte uživatele, kteří ji budou používat, zejména s ohledem na omezení a co můžete na schůzce očekávat.

  • Potřebujete zajistit, aby společnost Cisco ani nikdo jiný nemohl dešifrovat váš obsah ani se nezosobňovat vaše zařízení? V takovém případě potřebujete certifikáty od veřejné certifikační autority.

  • Pokud máte různé úrovně ověřování identity, povolte uživatelům vzájemně ověřovat pomocí identity podepsané certifikátem. I když existují okolnosti, kdy se účastníci mohou jevit jako neověření a účastníci by měli vědět, jak provést kontrolu, neověření lidé nemusí být podvodníci.

Správa identit

Pokud k vydání certifikátů zařízení používáte externí certifikační autoritu, je na vás, abyste certifikáty monitorovali, obnovili a znovu použili.

Pokud jste vytvořili počáteční tajný kód, uvědomte si, že vaši uživatelé mohou chtít změnit tajný kód svého zařízení. K tomu může být potřeba vytvořit rozhraní / distribuovat nástroj.

ID typu relace
Tabulka 1. ID typu relace pro schůzky s koncovým šifrováním

ID typu relace

Název veřejné služby

638

Šifrování E2E + pouze VoIP

652

Pro-End to End Encryption_VOIPonly

660

Pro 3 Free-End to End Encryption_VOIPonly

Šifrování E2E + identita

672

Pro 3 Free50-End to End Encryption_VOIPonly

673

Instruktor pro vzdělávání E2E Encryption_VOIPonly

676

Broadworks Standard plus šifrování mezi koncovými body

677

Šifrování Broadworks Premium plus mezi koncovými body

681

Schoology Free plus koncové šifrování

Související příkazy xAPI

Tyto tabulky popisují příkazy rozhraní API zařízení Webex, které jsme přidali pro schůzky šifrované mezi koncovými zařízeními a ověřenou identitu. Další informace o používání rozhraní API naleznete v tématu Přístup k rozhraní API pro zařízení Webex Room, Desk a Board.

Tyto příkazy xAPI jsou dostupné pouze na zařízeních, která jsou:

  • Registrováno ve službě Webex

  • Registrováno v místním prostředí a propojeno s aplikací Webex Edge pro zařízení

Tabulka 2. Rozhraní API na úrovni systému pro schůzky šifrované mezi koncovými zařízeními a ověřenou identitu

Volání API

Popis

xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com"

Tato konfigurace se provádí, když správce nastaví preferovanou doménu zařízení z prostředí Control Hub. Nezbytné pouze v případě, že má organizace více než jednu doménu.

Zařízení použije tuto doménu, když požádá o certifikát od certifikační autority Webex. Doména pak identifikuje zařízení.

Tato konfigurace nelze použít, pokud má zařízení aktivní, externě vydaný certifikát pro svou identifikaci.

xStatus Conference EndToEndEncryption Availability

Udává, zda se zařízení může připojit ke schůzce s koncovým šifrováním. Cloudové rozhraní API jej zavolá, aby spárovaná aplikace věděla, zda může zařízení použít k připojení.

xStatus Conference EndToEndEncryption ExternalIdentity Verification

Udává, zda zařízení používá External ověření (má externě vydaný certifikát).

xStatus Conference EndToEndEncryption ExternalIdentity Identity

Identita zařízení přečtená z obecného názvu externě vydaných certifikátů.

xStatus Conference EndToEndEncryption ExternalIdentity CertificateChain Certificate # specificinfo

Načítá konkrétní informace z externě vydaného certifikátu.

V zobrazeném příkazu # nahraďte číslem certifikátu. Nahraďte specificinfo jedním z těchto způsobů:

  • Fingerprint

  • NotAfter Datum ukončení platnosti

  • NotBefore Datum zahájení platnosti

  • PrimaryName

  • PublicKeyAlgorithm

  • SerialNumber

  • SignatureAlgorithm

  • Subject # Name Seznam předmětu certifikátu (např. e-mailová adresa nebo název domény)

  • Validity Udává stav platnosti tohoto certifikátu (např. valid nebo expired)

xStatus Conference EndToEndEncryption ExternalIdentity Status

Stav externí identity zařízení (např. valid nebo error).

xStatus Conference EndToEndEncryption InternalIdentity Verification

Udává, zda má zařízení platný certifikát vydaný certifikační autoritou Webex.

xStatus Conference EndToEndEncryption InternalIdentity Identity

Identita zařízení přečtená z obecného názvu certifikátu vydaného službou Webex.

Obsahuje název domény, pokud má organizace doménu.

Je prázdné, pokud organizace nemá doménu.

Pokud je zařízení v organizaci, která má více domén, jedná se o hodnotu z PreferredDomain.

xStatus Conference EndToEndEncryption InternalIdentity CertificateChain Certificate # specificinfo

Čte specifické informace z certifikátu vydaného službou Webex.

V zobrazeném příkazu # nahraďte číslem certifikátu. Nahraďte specificinfo jedním z těchto způsobů:

  • Fingerprint

  • NotAfter Datum ukončení platnosti

  • NotBefore Datum zahájení platnosti

  • PrimaryName

  • PublicKeyAlgorithm

  • SerialNumber

  • SignatureAlgorithm

  • Subject # Name Seznam předmětu certifikátu (např. e-mailová adresa nebo název domény)

  • Validity Udává stav platnosti tohoto certifikátu (např. valid nebo expired)

Tabulka 3. V rozhraní API volání pro schůzky šifrované mezi koncovými zařízeními a ověřenou identitu

Volání API

Popis

xEvent Conference ParticipantList ParticipantAdded

xEvent Conference ParticipantList ParticipantUpdated

xEvent Conference ParticipantList ParticipantDeleted

Tyto tři události nyní zahrnují EndToEndEncryptionStatus, EndToEndEncryptionIdentity a EndToEndEncryptionCertInfo pro dotčeného účastníka.

Tabulka 4. Rozhraní API související s řešením ClientSecret pro schůzky šifrované mezi koncovými zařízeními a ověřenou identitu

Volání API

Popis

xCommand Security ClientSecret Populate Secret: "base64url-encoded"

nebo

xCommand Security ClientSecret Populate Secret: JWEblob

Přijme hodnotu prostého textu kódovanou base64url pro první zaslání tajného klienta na zařízení.

Chcete-li aktualizovat tajný kód po tomto prvním spuštění, musíte dodat JWE blob obsahující nový tajný kód zašifrovaný starým tajným kódem.

xCommand Security Certificates Services Add JWEblob

Přidá certifikát (se soukromým klíčem).

Tento příkaz jsme rozšířili tak, aby přijímal blob JWE obsahující zašifrovaná data PEM.

xCommand Security Certificates Services Activate Purpose:WebexIdentity FingerPrint: JWEblob

Aktivuje konkrétní certifikát pro WebexIdentity. Pro tento Purposepříkaz vyžaduje, aby byl identifikující otisk prstu zašifrován a serializován v blobu JWE.

xCommand Security Certificates Services Deactivate Purpose:WebexIdentity FingerPrint: JWEblob

Deaktivuje konkrétní certifikát pro WebexIdentity. Pro tento Purposepříkaz vyžaduje, aby byl identifikující otisk prstu zašifrován a serializován v blobu JWE.