Experiencia del usuario

Los usuarios eligen el tipo de reunión cuando programan una reunión. Al admitir a los participantes desde el vestíbulo, así como durante la reunión, el anfitrión puede ver el estado de verificación de identidad de cada participante. También hay un código de reunión que es común a todos los participantes actuales en la reunión, que pueden utilizar para verificar que su reunión no ha sido interceptada por un ataque Meddler In The Middle (MITM) de terceros no deseados.

Comparta la siguiente información con los organizadores de la reunión:

Verificación de identidad con CA interna o externa

Verificar la identidad

El cifrado de extremo a extremo con verificación de identidad proporciona seguridad adicional a una reunión cifrada de extremo a extremo.

Cuando los participantes o dispositivos se unen a un grupo MLS (Messaging Layer Security) compartido, presentan sus certificados a los demás miembros del grupo, que los validan con las autoridades de certificación (CA) emisoras. Al confirmar que los certificados son válidos, la CA verifica la identidad de los participantes, y la reunión muestra a los participantes/dispositivos como verificados.

Los usuarios de Webex App se autentican en el almacén de identidades de Webex, que les emite un token de acceso cuando la autenticación tiene éxito. Si necesitan un certificado para verificar su identidad en una reunión cifrada de extremo a extremo, la CA de Webex les emite un certificado basado en su token de acceso. En este momento, no ofrecemos a los usuarios de Webex Meetings la posibilidad de obtener un certificado emitido por una CA externa/de terceros.

Los dispositivos pueden autenticarse mediante un certificado emitido por la CA interna (Webex) o por un certificado emitido por una CA externa:

  • CA interna: WebEx emite un certificado interno basado en el token de acceso de la cuenta de máquina del dispositivo. El certificado está firmado por la CA de Webex. Los dispositivos no tienen ID de usuario del mismo modo que los usuarios, por lo que Webex utiliza (uno de) los dominios de su organización al escribir la identidad (nombre común (CN)) del certificado del dispositivo.

  • CA externa: solicite y adquiera certificados de dispositivo directamente del emisor que elija. Debe cifrar, cargar directamente y autorizar los certificados mediante un secreto conocido solo por usted.

    Cisco no participa, por lo que es la mejor manera de garantizar un cifrado de extremo a extremo y una identidad verificada, y de evitar la posibilidad teórica de que Cisco pueda espiar tu reunión o descifrar tus archivos multimedia.

Certificado de dispositivo emitido internamente

Webex emite un certificado al dispositivo cuando se inscribe después del inicio y lo renueva cuando es necesario. Para los dispositivos, el certificado incluye el ID de la cuenta y un dominio.

Si su organización no tiene un dominio, la CA de Webex emite el certificado sin un dominio.

Si su organización tiene varios dominios, puede utilizar Control Hub para decirle a Webex qué dominio debe utilizar el dispositivo para su identidad. También puede utilizar la API xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "ejemplo.com".

Si tiene varios dominios y no establece el dominio preferido para el dispositivo, Webex elige uno por usted.

Certificado de dispositivo emitido externamente

Un administrador puede aprovisionar un dispositivo con su propio certificado que se ha firmado con una de las CA públicas.

El certificado debe basarse en un par de claves ECDSA P-256, aunque pueden estar firmados por una clave RSA.

Los valores en el certificado son a discreción de la organización. El nombre común (CN) y el nombre alternativo del asunto (SAN) se mostrarán en la interfaz de usuario de la reunión Webex, tal y como se describe en Cifrado de extremo a extremo con verificación de identidad para reuniones Webex.

Recomendamos utilizar un certificado distinto por dispositivo y tener un CN único por dispositivo. Por ejemplo, "sala de reuniones-1.ejemplo.com" para la organización propietaria del dominio "ejemplo.com".

Para proteger por completo el certificado externo de las falsificaciónes, se utiliza una función que permite encriptar e iniciar sesión con varios xcommands.

Cuando se utiliza el secreto de cliente, es posible gestionar de forma segura el certificado de identidad Webex externo a través de la xAPI. Actualmente, esto se limita a dispositivos en línea.

Webex proporciona actualmente comandos API para gestionar esto.

Características y limitaciones

Dispositivos

Los siguientes dispositivos Webex Room series y Webex Desk series registrados en la nube pueden unirse a las reuniones E2EE:

  • Webex Board

  • Webex Desk Pro

  • Escritorio de Webex

  • Webex Room Kit

  • Webex Room Kit Mini

Los siguientes dispositivos no pueden unirse a las reuniones E2EE:

  • Serie Webex C

  • Serie Webex DX

  • Serie EX de Webex

  • Serie MX de Webex

  • Dispositivos SIP de otros proveedores

Clientes de software

  • Webex App para escritorio y los clientes móviles pueden unirse a las reuniones E2EE.

  • El cliente web Webex no puede unirse a las reuniones E2EE.

  • Los clientes SIP soft de terceros no pueden unirse a las reuniones E2EE.

Identidad

  • Por diseño, no proporcionamos opciones de Control Hub para que usted gestione la identidad de dispositivos verificados externamente. Para un verdadero cifrado de extremo a extremo, sólo tú debes conocer/acceder a los secretos y claves. Si incorporamos un servicio en la nube para administrar esas claves, existe la posibilidad de que sean interceptadas.

  • Actualmente proporcionamos una "receta" para que diseñes tus propias herramientas, basadas en técnicas de cifrado estándar del sector, que te ayuden a solicitar o cifrar los certificados de identidad de tus dispositivos y sus claves privadas. No queremos tener un acceso real o percibido a sus teclas o la inversión.

Reuniones

  • Las reuniones del E2EE admiten actualmente un máximo de 1000 participantes.

  • Puede compartir nuevas pizarras en las reuniones E2EE. Existen algunas diferencias con respecto a las pizarras blancas de las reuniones ordinarias:
    • En las reuniones E2EE, los usuarios no pueden acceder a las pizarras creadas fuera de la reunión, incluidas las pizarras privadas, las pizarras compartidas por otros y las pizarras de los espacios Webex.
    • Las pizarras creadas en reuniones E2EE sólo están disponibles durante la reunión. No se guardan y no son accesibles una vez finalizada la reunión.
    • Si alguien comparte contenido en una reunión E2EE, puede anotarlo. Para obtener más información sobre las anotaciones, consulte Webex App | Marque el contenido compartido con anotaciones.

Interfaz de administración

Le recomendamos encarecidamente que utilice Control Hub para gestionar su sitio de Meetings, ya que las organizaciones Control Hub tienen una identidad centralizada para toda la organización.

Recursos adicionales
Requisitos previos

  • Webex Meetings 41.7.

  • Dispositivos Webex Room y Webex Desk registrados en la nube que ejecutan 10.6.1-RoomOS_August_2021.

  • Acceso administrativo al lugar de la reunión en Control Hub.

  • Uno o más dominios verificados en su organización de Control Hub (si está usando la CA de Webex para emitir certificados de dispositivos con identidad verificada).

  • Las salas de reuniones de colaboración deben estar activadas para que las personas puedan entrar desde su sistema de vídeo. Para obtener más información, consulte Permitir que los sistemas de vídeo se unan a reuniones y eventos en su sitio Webex.

Obtener certificados de dispositivo

Puede omitir este paso si no necesita identidades verificadas externamente.

Para obtener el máximo nivel de seguridad y verificar la identidad, cada dispositivo debe tener un certificado único emitido por una Autoridad de Certificación (CA) pública de confianza.

Necesita interactuar con la CA para solicitar, comprar y recibir los certificados digitales y crear las claves privadas asociadas. Cuando solicite el certificado, utilice estos parámetros:

  • El certificado debe ser emitido y firmado por una CA pública conocida.

  • Único: Recomendamos en forma enérgica el uso de un certificado único para cada dispositivo. Si utiliza un certificado para todos los dispositivos, está comprometer su seguridad.

  • Nombre común (CN) y Nombre/s alternativo del sujeto (SAN/s): Estos no son importantes para Webex, pero deben ser valores que los humanos pueden leer y asociar con el dispositivo. El nombre común se mostrará a otros participantes de la reunión como la identidad verificada principal del dispositivo, y si los usuarios inspeccionarán el certificado a través de la interfaz de usuario de la reunión, verán los SAN/s. Puede utilizar nombres como name.model@example.com.

  • Formato de archivo: Los certificados y las claves deben tener formato .pem.

  • Propósito: El propósito del certificado debe ser La identidad de Webex.

  • Generando claves: Los certificados deben basarse en pares de claves ECDSA P-256 (Algoritmo de firmas digitales de curvas elípticas utilizando la curva P-256).

    Este requisito no se extiende a la clave de firma. La CA puede usar una clave RSA para firmar el certificado.

Prepárese para embarcar dispositivos

Puede omitir este paso si no desea utilizar identidades verificadas externamente con sus dispositivos.

Si está utilizando dispositivos nuevos, aún no insc inscripción en Webex. Para estar seguro, no los conectes a la red en este punto.

Si dispone de dispositivos que desea actualizar para que utilicen una identidad verificada externamente, debe restablecerlos de fábrica.

  • Guarde la configuración existente si desea conservarla.

  • Plante una ventana cuando los dispositivos no se estén utilizando, o utilice un enfoque en etapas. Notifique a los usuarios sobre los cambios que pueden esperar.

  • Garantice el acceso físico a los dispositivos. Si tiene que acceder a los dispositivos por la red, tenga en cuenta que la experiencia de los grupos se está desplazando en texto sin formato y está comprometer su seguridad.

Una vez completados estos pasos, permitirá que los sistemas de vídeo se unan a las reuniones y eventos de su sitio Webex.

Comprender el proceso de identidad externa de los dispositivos

Para asegurarse de que cualquier persona no pueda cifrar los medios de su dispositivo, excepto el dispositivo, debe cifrar la clave privada del dispositivo. Hemos diseñado API para que el dispositivo pueda gestionar la clave cifrada y el certificado, utilizando JSON Web Encryption (JWE).

Para garantizar un verdadero cifrado de extremo a extremo a través de nuestra nube, no podemos involucrarnos en la cifrado y carga del certificado y la clave. Si necesita este nivel de seguridad, debe hacerlo:

  1. Solicite sus certificados.

  2. Genere sus pares de claves de certificados.

  3. Cree (y proteja) un secreto inicial para cada dispositivo para usar la capacidad de cifrado del dispositivo.

  4. Desarrolle y mantenga su propia herramienta para cifrar archivos mediante el estándar JWE.

    A continuación se explica el proceso y los parámetros (no secretos) que necesitarás, así como una receta para seguir en las herramientas de desarrollo de tu elección. También ofrecemos algunos datos de prueba y los resultados de la prueba de JWE como esperamos que los ayude a verificar su proceso.

    Una implementación de referencia no compatible que utiliza Python3 y la biblioteca JWCrypto está disponible en Cisco a pedido.

  5. Concatenar y cifrar el certificado y la clave mediante su herramienta y el secreto inicial del dispositivo.

  6. Cargue el archivo JWE resultante en el dispositivo.

  7. Defina el propósito del certificado cifrado que se utilizará para la identidad de Webex y active el certificado.

  8. (Recomendado) Proporcione una interfaz a su herramienta (o distribúyala) para que los usuarios de los dispositivos puedan cambiar el secreto inicial y proteger sus soportes de usted.

Cómo utilizamos el formato JWE

Esta sección describe cómo esperamos que se cree JWE como entrada a los dispositivos, para que pueda crear su propia herramienta para crear los recursos a partir de sus certificados y claves.

Consulte JSON Web Encryption (JWE) https://datatracker.ietf.org/doc/html/rfc7516 y JSON Web Signature (JWS) https://datatracker.ietf.org/doc/html/rfc7515.

Utilizamos la serialización compacta de un documento JSON para crear blobs JWE. Los parámetros que debes incluir al crear los blobs JWE son:

  • Cabecera JOSE (protegida). En el encabezado De firma de objetos JSON y cifrado, DEBE incluir los siguientes pares de valor de clave:

    • "alg": "dir"

      El algoritmo directo es el único que admitemos para cifrar la carga, y debe utilizar el secreto inicial del cliente del dispositivo.

    • "enc": "A128GCM" o "enc": "A256GCM"

      Se admiten estos dos algoritmos de cifrado.

    • "cisco-action": "add" o "cisco-action": "populate" o "cisco-action": "activar" o "cisco-action": "desactivar"

      Esta es una clave de propiedad y cuatro valores que puede tomar. Hemos introducido esta clave para señalizar el propósito de los datos cifrados en el dispositivo de destino. Los valores se llaman después de los comandos de xAPI en el dispositivo donde está utilizando los datos cifrados.

      La hemos llamado cisco-action para mitigar posibles conflictos con futuras extensiones JWE.

    • "cisco-kdf": { "version": "1", "salt": "base64URLEncodedRandom4+Bytes" }

      Otra clave de propiedad. Utilizamos los valores que proporciona como entradas para la derivación de claves en el dispositivo. La versión debe ser 1 (la versión de nuestra función de derivación de claves). El valor de salt debe ser una secuencia codificada en base64 URL de al menos 4 bytes, que usted debe elegir al azar.

  • Clave cifrada JWE. Este campo está vacío. El dispositivo lo deriva del ClientSecret inicial.

  • Vector de inicialización JWE. Debe suministrar un vector de inicialización codificado en base64url para descifrar la carga. El IV DEBE ser un valor aleatorio de 12 bytes (estamos utilizando la familia de cifrado AES-GCM, que requiere que el IV tenga 12 bytes de longitud).

  • JWE AAD (datos autenticados adicionales). Debe omitir este campo porque no es compatible con la Ser jsonización compacta.

  • Texto cifrado JWE: Esta es la carga cifrada que desea mantener en secreto.

    La carga útil PUEDE estar vacía. Por ejemplo, para restablecer el secreto del cliente, es necesario sobrescribirlo con un valor vacío.

    Hay diferentes tipos de cargas, según lo que intente hacer en el dispositivo. Diferentes comandos xAPI esperan diferentes cargas útiles, y debe especificar el propósito de la carga útil con la clave cisco-action , como se indica a continuación:

    • Con "cisco-action": "populate" el texto cifrado es el nuevo ClientSecret.

    • Con ""cisco-action": "add" el texto cifrado es un blob PEM que contiene el certificado y su clave privada (concatenados).

    • Con ""cisco-action": "activate" el texto cifrado es la huella digital (representación hexadecimal de sha-1) del certificado que estamos activando para la verificación de la identidad del dispositivo.

    • Con ""cisco-action": "deactivate" el texto cifrado es la huella digital (representación hexadecimal de sha-1) del certificado que estamos desactivando para que no se utilice en la verificación de identidad del dispositivo.

  • Etiqueta de autenticación JWE: Este campo contiene la etiqueta de autenticación para garantizar la integridad de todo JWE compactamente reorial

Cómo obtenemos la clave de cifrado a partir de ClientSecret

Después de la primera población del secreto, no aceptamos ni generamos el secreto como texto sin formato. Esto es para evitar posibles ataques de diccionario por parte de alguien que podría acceder al dispositivo.

El software del dispositivo utiliza el secreto del cliente como entrada a una función de derivación de claves (kdf) y luego utiliza la clave derivada para el descifrado/cifrado de contenido en el dispositivo.

Lo que esto significa para usted que su herramienta para producir JWE debe seguir el mismo procedimiento para derivar la misma clave de cifrado/descifrado del secreto del cliente.

Los dispositivos utilizan scrypt para la derivación de claves (consulte https://en.wikipedia.org/wiki/Scrypt), con los siguientes parámetros:

  • Cost Hr (N) es 32768

  • BlockSizeSize (r) es 8

  • Paraleloización Mi (p) es 1

  • La sal es una secuencia aleatoria de al menos 4 bytes; debe proporcionar esta misma sal cuando especifique el parámetro cisco-kdf .

  • La longitud de las claves es de 16 bytes (si selecciona el algoritmo AES-GCM 128) o de 32 bytes (si selecciona el algoritmo AES-GCM 256)

  • La capacidad máxima de memoria es 64 MB

Este conjunto de parámetros es la única configuración de la encriptación que es compatible con la función de derivación de claves en los dispositivos. Este kdf en los dispositivos se llama "version": "1", que es la única versión que actualmente toma el parámetro cisco-kdf .

Ejemplo funcionad

A continuación, se muestra un ejemplo que puede seguir para verificar que su proceso de cifrado JWE funcione de la misma manera que el proceso que creamos en los dispositivos.

La situación de ejemplo es agregar un PEM al dispositivo (imite a agregar un certificado, con una cadena muy corta en lugar de una tecla + certificado completo). El secreto de cliente en el ejemplo es ossifrage.

  1. Elija un cifrado de cifrado. Este ejemplo utiliza A128GCM (AES con claves de 128 bits en modo contador de Galois). Su herramienta podría utilizar A256GCM si lo prefiere.

  2. Elija una sal (debe ser una secuencia aleatoria de al menos 4 bytes). Este ejemplo utiliza (bytes hexadecimales)E5 E6 53 08 03 F8 33 F6. Base64url codificar la secuencia para obtener 5eZTCAP4M_Y (quitar el relleno base64).

  3. He aquí un ejemplo de llamada a scrypt para crear la clave de cifrado de contenido (cek):

    cek=scrypt(contraseña="ossifrage", salt=secuencia de 4 bytes, N=32768, r=8, p=1, keylength=16)

    La clave derivada debe ser de 16 bytes (hexadecimal) de la siguiente manera:95 9e ba 6d d1 22 01 05 78 fe 6a 9d 22 78 ff ac que base64url codifica como lZ66bdEiAQV4_mqdInj_rA.

  4. Elija una secuencia aleatoria de 12 bytes para usar como vector de inicialización. Este ejemplo utiliza (hex) 34 b3 5d dd 5f 53 7b af 2d 92 95 83 que base64url codifica como NLNd3V9Te68tkpWD.

  5. Cree el encabezado JOSE con inicialización compacta (siga el mismo orden de parámetros que utilizamos aquí) y luego codificada con base64url:

    {"alg":"dir","cisco-action":"add","cisco-kdf":{"salt":"5eZTCAP4M_Y","version":"1"},"enc":"A128GCM"}

    El encabezado JOSE codificado en base64url es eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ9

    Este será el primer elemento del elemento JWE después.

  6. El segundo elemento de la JWE después está vacío, porque no estamos suministrando un archivo JWE clave de cifrado.

  7. El tercer elemento de la mancha JWE es el vector de inicialización NLNd3V9Te68tkpWD.

  8. Utilice su herramienta de cifrado JWE para generar una carga y una etiqueta cifradas. Para este ejemplo, la carga útil sin cifrar va a ser el falso blob PEM esto es un archivo PEM

    Los parámetros de cifrado que debe utilizar son los siguientes:

    • Payload es se trata de un archivo PEM

    • El cifrado es AES 128 GCM

    • El encabezado JOSE codificado en base64url como datos autenticados adicionales (AAD)

    Base64url codificar la carga útil cifrada, que debe resultar en f5lLVuWNfKfmzYCo1YJfODhQ

    Este es el cuarto elemento (texto de cifrado JWE) en el JWE después.

  9. Base64url codificar la etiqueta que ha producido en el paso 8, lo que debería resultar en PE-wDFWGXFFBeo928cfZ1Q

    Este es el quinto elemento de la lista JWE.

  10. Concatena los cinco elementos de JWE concatenados con puntos (JOSEheader. IV.Ciphertext.Tag) para obtener:

    eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

  11. Si deriva los mismos valores codificados en base64url que mostramos aquí, mediante sus propias herramientas, estará en disposición de utilizarlos para asegurar el cifrado E2E e identidad verificada de sus dispositivos.

  12. En realidad, este ejemplo no funcionará, pero, en principio, su próximo paso sería utilizar la JWE que creó anteriormente como entrada al xcommand del dispositivo que agrega el certificado:

    xCommand Security Certificates Añadir eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

Los tipos de sesión para las reuniones de confianza cero están disponibles para todos los centros de reuniones sin coste adicional. Uno de estos tipos de sesión se denomina Pro-End to End Encryption_VOIPonly. Este es el nombre de servicio público , que podemos cambiar en el futuro. Para ver los nombres actuales de los tipos de sesión, consulte LOS IDs del tipo de sesión en la sección Referencia de este artículo.

No tiene que hacer nada para obtener esta capacidad para su sitio; lo que sí tiene que hacer es conceder el nuevo tipo de sesión (también llamado Meeting Privilege) a los usuarios. Puede hacerlo individualmente a través de la página de configuración del usuario, o en forma masiva con una exportación/importación de CSV.

Verificar el nuevo tipo de sesión
1

Inicie sesión en Control Hub y, a continuación, vaya a Servicios > Reuniones.

2

Haga clic en Sitios, elija el sitio Webex para el que desee cambiar la configuración y, a continuación, haga clic en Configuraciones.

3

En Configuración común, seleccione Tipos de sesión.

4
Debería ver uno o más tipos de sesión de cifrado de extremo a extremo. Consulte la lista de LOS IDs del tipo de sesión en la sección Referencia de este artículo. Por ejemplo, es posible que vea VoI De extremo a extremo en ncryption_formaresponsable.

Hay una versión anterior tipo de sesión con un nombre muy similar: Cifrado de extremo a extremo. Esta tipo de sesión incluye acceso no cifrado PSTN reuniones. Asegúrese de que dispone de la versión _VOIPonly para garantizar el cifrado de extremo a extremo. Puede comprobarlo pasando el ratón por encima del enlace PRO en la columna de código de sesión; para este ejemplo, el destino del enlace debería ser javascript:ShowFeature(652).

Es posible que en el futuro cambiemos los Nombres de Servicio Público para estos tipos de sesión.

5

Si aún no tiene la nueva tipo de sesión, comuníquese con su representante de Webex.

Qué hacer a continuación

Habilite este privilegio tipo de sesión reunión/reunión para algunos o todos sus usuarios.

Habilitar reuniones E2EE para usuarios individuales
1

Inicie sesión en Control Hub, y vaya a Gestión > Usuarios.

2

Seleccione la cuenta de usuario que desea actualizar y, a continuación, Meetings.

3

En el menú desplegable Settings apply to , seleccione el sitio de reunión que desea actualizar.

4

Marque la casilla junto a Pro-End to End Encryption_VOIPonly.

5

Cierre el panel de configuración del usuario.

6

Repita estos pasos para otros usuarios si es necesario.

Para asignar esto a muchos usuarios, utilice la siguiente opción, Habilitar reuniones E2EE para múltiples usuarios.

Habilitar reuniones E2EE para varios usuarios
1

Inicie sesión en Control Hub y, a continuación, vaya a Servicios > Reuniones.

2

Haga clic en Sites, seleccione el sitio Webex para el que desea cambiar la configuración.

3

En la sección Licencias y usuarios, haga clic en Administrar de forma masiva.

4

Haga clic en Generar informe, y espere mientras preparamos el archivo.

5

Cuando el archivo esté listo, haga clic en Exportar resultados y, a continuación, en Descargar. (Tiene que cerrar manualmente esa ventana emergente después de hacer clic en Descargar.)

6

Abra el archivo CSV descargado para editarlo.

Hay una fila para cada usuario, y la columna MeetingPrivilege contiene sus ID de tipo de sesión como una lista delimitada por comas.

7

Para cada usuario al que desee conceder el nuevo tipo de sesión, añada 1561 como nuevo valor en la lista delimitada por comas de la celda MeetingPrivilege .

La página Webex CSV File Format Reference contiene información detallada sobre la finalidad y el contenido del archivo CSV.

8

Abra el panel configuración del sitio de reuniones en Control Hub.

Si ya estaba en la página de lista de sitios de Meeting, es posible que deba actualizarla.

9

En la sección Licencias y usuarios, haga clic en Administrar de forma masiva.

10

Haga clic en Importar y seleccione el CSV editado y, a continuación, haga clic en Importar. Espere mientras se carga el archivo.

11

Cuando la importación haya finalizado, puede hacer clic en Importar resultados para revisar si hubo algún error.

12

Vaya a la página Usuarios y abra uno de los usuarios para verificar que tengan el nuevo tipo de sesión.

Agregar una marca de agua de audio para mejorar la seguridad

Puede añadir una marca de agua a las grabaciones de reuniones con el tipo de sesión Webex Meetings Pro-End to End Encryption_VOIPonly , que permite identificar el cliente o dispositivo de origen de grabaciones no autorizadas de reuniones confidenciales.

Cuando esta función está activada, el audio de la reunión incluye un identificador único para cada cliente o dispositivo participante. Puedes subir grabaciones de audio a Control Hub, que analiza la grabación y busca los identificadores únicos. Puede consultar los resultados para ver qué cliente o dispositivo de origen grabó la reunión.

  • Para poder ser analizada, la grabación debe ser un archivo AAC, MP3, M4A, WAV, MP4, AVI o MOV que no supere los 500 MB.
  • La grabación debe durar más de 100 segundos.
  • Sólo puede analizar las grabaciones de las reuniones organizadas por personas de su organización.
  • La información de la marca de agua se conserva durante el mismo tiempo que la información de la reunión de la organización.

Añadir marcas de agua de audio a las reuniones E2EE

  1. Inicie sesión en Control Hub, a continuación, en Gestión, seleccione Configuración de la organización.
  2. En la sección Marcas de agua de reuniones , active Añadir marca de agua de audio.

    Algún tiempo después de activar esta opción, los usuarios que programen reuniones con el tipo de sesión Webex Meetings Pro-End to End Encryption_VOIPonly verán una opción Digital Watermarking en la sección Seguridad.

Cargar y analizar una reunión con marca de agua

  1. En Control Hub, en Monitoring, seleccione Troubleshooting.
  2. Haga clic en Análisis de marcas de agua.
  3. Busque o seleccione la reunión en la lista y, a continuación, haga clic en Analizar.
  4. En la ventana Analizar marca de agua de audio , introduzca un nombre para su análisis.
  5. (Opcional) Introduzca una nota para su análisis.
  6. Arrastre y suelte el archivo de audio que desea analizar o haga clic en Elegir archivo para buscar el archivo de audio.
  7. Haga clic en Cerrar.

    Cuando el análisis haya finalizado, se mostrará en la lista de resultados de la página Analizar marca de agua .

  8. Seleccione la reunión en la lista para ver los resultados del análisis. Haga clic en Botón Descargar para descargar los resultados.

Características y limitaciones

Entre los factores que intervienen en el éxito de la descodificación de una marca de agua grabada se encuentran la distancia entre el dispositivo de grabación y el altavoz que emite el audio, el volumen de ese audio, el ruido ambiental, etc. Nuestra tecnología de marca de agua es más resistente a la codificación múltiple, como puede ocurrir cuando se comparte el soporte.

Esta función está diseñada para permitir la descodificación correcta del identificador de la marca de agua en un conjunto amplio pero razonable de circunstancias. Nuestro objetivo es que un dispositivo de grabación, como un teléfono móvil, que se encuentre en un escritorio cerca de un punto final personal o de un cliente portátil, cree siempre una grabación que dé lugar a un análisis satisfactorio. A medida que el dispositivo de grabación se aleja de la fuente, o se oscurece la audición de todo el espectro de audio, disminuyen las posibilidades de éxito del análisis.

Para analizar correctamente una grabación, se necesita una captura razonable del audio de la reunión. Si el audio de una reunión se graba en el mismo ordenador que aloja al cliente, las limitaciones no deberían aplicarse.

Dispositivos a bordo (CA interna)

Si sus dispositivos ya están integrados en su organización Control Hub y desea utilizar la CA de Webex para autogenerar sus certificados de identificación, no es necesario restablecer de fábrica los dispositivos.

Este procedimiento selecciona qué dominio utiliza el dispositivo para identificarse a sí mismo, y solo es necesario si usted tiene varios dominios en su organización de Control Hub. Si tiene más de un dominio, le recomendamos que lo haga para todos sus dispositivos que tengan identidades "verificadas por Cisco". Si no indicas a Webex qué dominio identifica al dispositivo, se elige automáticamente uno, y puede parecer erróneo a los demás participantes en la reunión.

Antes de comenzar

Si sus dispositivos aún no están incorporados, siga Register a Device to Cisco Webex Using API or Local Web Interface o Cloud onboarding for Board, Desk, and Room Series. También debe verificar el/los dominio/s que desea utilizar para identificar los dispositivos en Gestione sus dominios.

1

Inicie sesión en Control Hub, y en Gestión, seleccione Dispositivos.

2

Seleccione un dispositivo para abrir su panel de configuración.

3

Seleccione el dominio que desea utilizar para identificar este dispositivo.

4

Repita para otros dispositivos.

Dispositivos a bordo (CA externa)

Antes de comenzar

  • Obtenga un certificado firmado por la CA y una clave privada, en formato .pem , para cada dispositivo.

  • En la pestaña Prepare , lea el tema Understanding External Identity Process for Devices,

  • Prepare una herramienta de encriptación JWE con respecto a la información allí contenida.

  • Asegúrate de que dispones de una herramienta para generar secuencias de bytes aleatorias de longitudes determinadas.

  • Asegúrese de que dispone de una herramienta para codificar bytes o texto con base64url.

  • Asegúrese de que dispone de una implementación de scrypt .

  • Asegúrate de tener una palabra o frase secreta para cada dispositivo.

1

Rellene la dirección ClientSecret del dispositivo con un secreto en texto plano:

La primera vez que rellene Secret, lo hará en texto sin formato. Por eso recomendamos hacerlo en la consola del dispositivo físico.

  1. Base64url codifica la frase secreta para este dispositivo.

  2. Abra el TShell en el dispositivo.

  3. Ejecutar xcommand Seguridad ClienteSecreto Rellenar Secreto: "MDEyMzQ1Njc4OWFiY2RlZg"

    El comando de ejemplo anterior rellena el Secreto con la frase 0123456789abcdef. Tiene que elegir el suyo.

El dispositivo tiene su secreto inicial. No lo olvides; no podrás recuperarlo y deberás reiniciar el dispositivo de fábrica para volver a empezar.
2

Concatenar su certificado y su clave privada:

  1. Utilice un editor de texto, abra los archivos .pem, pegue la clave después del certificado y guárdelo como un nuevo archivo .pem.

    Este es el texto de carga útil que cifrarás y pondrás en tu blob JWE.

3

Cree un JWE to use como entrada para el comando para agregar certificado:

  1. Crear una secuencia aleatoria de al menos 4 bytes. Esta es su sal.

  2. Derive un contenido clave de cifrado con su herramienta de cifrado.

    Para esto necesita el secreto, la sal y una llavero para que coincida con el cifrado que eligió. Hay algunos otros valores fijos para suministrar (N=32768, r=8, p=1). El dispositivo utiliza el mismo proceso y valores para derivar el mismo contenido clave de cifrado.

  3. Cree una secuencia aleatoria de exactamente 12 bytes. Este es su vector de inicialización.

  4. Cree un encabezado JOSE, configurando las claves alg, enc, y cisco-kdf como se describe en Comprensión del proceso de identidad externa para dispositivos. Establezca la acción "add" utilizando la clave:valor "cisco-action": "add" en su cabecera JOSE (porque estamos añadiendo el certificado al dispositivo).

  5. Base64url codifica el encabezado JOSE.

  6. Utilice su herramienta de cifrado JWE con el cifrado elegido y el encabezado JOSE codificado en base64url para cifrar el texto del archivo pem concatenado.

  7. Base64url codifica el vector de inicialización, la carga de PEM cifrada y la etiqueta de autenticación.

  8. Construir la JWE siempre como se muestra a continuación (todos los valores están codificados en base64url):

    JOSEHeader..InitVector.EncryptedPEM.AuthTag

4

Abra el TShell en el dispositivo y ejecute el comando para agregar (multilínea): 

xcommand Seguridad Certificados Servicios Añadir IsEncrypted: Verdadero tu..JWE.str.ing\n .\n
5

Compruebe que el certificado se ha añadido ejecutando xcommand Security Certificates Services Show

Copie la huella digital del nuevo certificado.

6

Active el certificado para el propósito WebexIdentity:

  1. Lea la huella digital del certificado, ya sea del propio certificado o de la salida de xcommand Security Certificates Services Show.

  2. Cree una secuencia aleatoria de al menos 4 bytes, y base64url codifica esa secuencia. Esta es su sal.

  3. Derive un contenido clave de cifrado con su herramienta de cifrado.

    Para esto necesita el secreto, la sal y una llavero para que coincida con el cifrado que eligió. Hay algunos otros valores fijos para suministrar (N=32768, r=8, p=1). El dispositivo utiliza el mismo proceso y valores para derivar el mismo contenido clave de cifrado.

  4. Cree una secuencia aleatoria de exactamente 12 bytes, y base64url codifica esa secuencia. Este es su vector de inicialización.

  5. Cree un encabezado JOSE, configurando las claves alg, enc, y cisco-kdf como se describe en Comprensión del proceso de identidad externa para dispositivos. Establezca la acción "activar" utilizando la clave:valor "cisco-action": "activate" en su cabecera JOSE (porque estamos activando el certificado en el dispositivo).

  6. Base64url codifica el encabezado JOSE.

  7. Utilice su herramienta de cifrado JWE con el cifrado elegido y el encabezado JOSE codificado en base64url para cifrar la huella digital del certificado.

    La herramienta debe generar una secuencia de 16 o 32 bytes, según si eligió AES-GCM de 128 o 256 bits y una etiqueta de autenticación.

  8. Base64code la huella digital cifrada y la etiqueta de autenticación.

  9. Construir la JWE siempre como se muestra a continuación (todos los valores están codificados en base64url):

    JOSEHeader..InitVector.EncryptedFingerprint.AuthTag

  10. Abra el TShell en el dispositivo y ejecute el siguiente comando de activación:

     xcommand Security Certificates Services Activate Propósito: WebexIdentity Huella digital: "Tu..huella.cifrada.JWE"

El dispositivo tiene un certificado cifrado, activo, emitido por una CA, listo para ser utilizado para identificarlo en reuniones de Webex cifradas de extremo a extremo.
7

Incorpore el dispositivo a su organización de Control Hub.

Pruebe el cifrado de extremo a extremo con verificación de identidad
1

Planifite una reunión del tipo correcto ( Webex Meetings VoI De extremo a extremoncryption_VoIPonly).

Consulte Planificar una Webex Meetings con cifrado de extremo aextremo.

2

Entre a la reunión como el anfitrión, desde un Webex Meetings cliente.

Consulte Entrar a una Webex Meetings con cifrado de extremo aextremo.

3

Entre a la reunión desde un dispositivo que tenga su identidad verificada por la CA de Webex.

4

Como el host, verifique que este dispositivo aparezca en la sala de recepción con el icono de identidad correcto.

Consulte Entrar a una Webex Meetings con cifrado de extremo aextremo.

5

Entre a la reunión desde un dispositivo que tenga su identidad verificada por una CA externa.

6

Como el host, verifique que este dispositivo aparezca en la sala de recepción con el icono de identidad correcto. Más información sobre los iconos de identidad.

7

Entre a la reunión como un participante de reuniones no autenticadas.

8

Como el anfitrión, verifique que este participante aparezca en la sala de recepción con el icono de identidad correcto.

9

Como el anfitrión, admita o rechace personas/dispositivos.

10

Valide las identidades de los participantes/dispositivos siempre que sea posible comprobando los certificados.

11

Verifique que todas las personas en la reunión vea el mismo código de seguridad de la reunión.

12

Entrar a la reunión con un participante nuevo.

13

Verifique que todos los usuarios puedan ver lo mismo, nuevo código de seguridad de la reunión.

Establecer alcance y expectativas

  • ¿Va a hacer que las reuniones cifradas de extremo a extremo sean la opción de reunión predeterminada, o la habilitará solo para algunos usuarios, o permitir que todos los organizadores decidan? Cuando haya decidido cómo utilizará esta característica, prepare a los usuarios que la utilizarán, especialmente con respecto a las limitaciones y qué esperar en la reunión.

  • ¿Necesita asegurarse de que ni Cisco ni nadie más puedan descifrar su contenido o suplantar sus dispositivos? De ser así, necesitará certificados de una CA pública.

  • Si tiene distintos niveles de verificación de identidad, permita que los usuarios se verifiquen entre sí con identidad respaldada por certificados. Aunque existen circunstancias en las que los participantes pueden aparecer como No verificados, y los participantes deben saber cómo comprobar, es posible que las personas no verificadas no sean impostores.

Administración de identidad

Si está utilizando una CA externa para emitir los certificados de su dispositivo, el usuario está usando para monitorear, actualizar y volver a aplicar los certificados.

Si creó el secreto inicial, comprenda que sus usuarios podrían querer cambiar el secreto de su dispositivo. Es posible que deba crear una interfaz/distribuir una herramienta para que pueda hacerlo.

IDs de tipo de sesión
Tabla 1. IDs de tipo de sesión para reuniones cifradas de extremo a extremo

ID del tipo de sesión

Nombre del servicio público

638

Solo cifrado E2E VoIP electrónico

652

Responsable de EVOI de extremoncryption_a extremo

660

EVOI de extremo a extremo gratuito dencryption_Pro 3

Cifrado E2E + Identidad

672

EVOI de extremo a extremo de Pro 3 dencryption_extremo a extremo

673

Instructor de educación E2E EVOIncryption_Responsable

676

Broadworks Standard más cifrado de extremo a extremo

677

Broadworks Premium más cifrado de extremo a extremo

681

Método gratuito más cifrado de extremo a extremo

Comandos xAPI relacionados

Estas tablas describen los comandos de la API de los dispositivos de Webex que agregamos para las reuniones cifradas de extremo a extremo y la identidad verificada. Para obtener más información acerca de cómo utilizar la API, consulte Acceder a la API para dispositivos de Webex Room y de escritorio y Webex Boards.

Estos comandos de xAPI solo están disponibles en dispositivos que:

  • Registrado en Webex

  • Registrado localmente y vinculado a Webex con Webex Edge para dispositivos

Tabla 2. API de nivel del sistema para reuniones cifradas de extremo a extremo e identidad verificada

Llamada a API

Descripción

xConfiguration Conferencia EndToEndEncryption Identidad PreferredDomain: "ejemplo.com"

Esta configuración se realiza cuando el administrador define el dominio preferido del dispositivo desde Control Hub. Solo es necesario si la organización tiene más de un dominio.

El dispositivo utiliza este dominio cuando solicita un certificado de la CA de Webex. El dominio identifica el dispositivo.

Esta configuración no se aplica cuando el dispositivo tiene un certificado emitido externamente para identificarse.

xStatus Conferencia EndToEndEncryption Disponibilidad

Indica si el dispositivo puede entrar a una reunión cifrada de extremo a extremo. La API en la nube lo llama para que una aplicación emparejada sepa si puede usar el dispositivo para entrar.

Conferencia xStatus EndToEndEncryption Verificación de identidad externa

Indica si el dispositivo utiliza la verificación External (tiene un certificado emitido externamente).

xStatus Conferencia EndToEndEncryption ExternalIdentity Identidad

La identidad del dispositivo tal como se lee en el Nombre común del certificado emitido externamente.

xStatus Conferencia EndToEndEncryption ExternalIdentity CertificateChain Certificado # specificinfo

Lee información específica de un certificado emitido externamente.

En el comando mostrado, sustituya # por el número del certificado. Sustituya specificinfo por uno de los siguientes:

  • Huella dactilar

  • NotAfter Fecha de fin de validez

  • NotBefore Fecha de inicio de validez

  • PrimaryName

  • PublicKeyAlgorithm

  • Número de serie

  • Algoritmo de firma

  • Asunto # Nombre Una lista de los asuntos del certificado (por ejemplo, dirección de correo electrónico o nombre de dominio)

  • Validez Indica el estado de validez de este certificado (por ejemplo. válido o caducado)

xStatus Conferencia EndToEndEncryption ExternalIdentity Estado

El estado de la identidad externa del dispositivo (p. ej.: válido o error).

Conferencia xStatus EndToEndEncryption Verificación de identidad interna

Indica si el dispositivo tiene un certificado válido emitido por la CA de Webex.

xStatus Conferencia EndToEndEncryption InternalIdentity Identidad

La identidad del dispositivo como se lee en el Nombre común del certificado emitido por Webex.

Contiene un nombre de dominio si la organización tiene un dominio.

Está vacío si la organización no tiene un dominio.

Si el dispositivo está en una organización que tiene múltiples dominios, este es el valor de PreferredDomain.

xStatus Conferencia EndToEndEncryption InternalIdentity CertificateChain Certificado # specificinfo

Lee información específica del certificado emitido por Webex.

En el comando mostrado, sustituya # por el número del certificado. Sustituya specificinfo por uno de los siguientes:

  • Huella dactilar

  • NotAfter Fecha de fin de validez

  • NotBefore Fecha de inicio de validez

  • PrimaryName

  • PublicKeyAlgorithm

  • Número de serie

  • Algoritmo de firma

  • Asunto # Nombre Una lista de los asuntos del certificado (por ejemplo, dirección de correo electrónico o nombre de dominio)

  • Validez Indica el estado de validez de este certificado (por ejemplo. válido o caducado)

Tabla 3. API de llamadas para reuniones cifradas de extremo a extremo e identidad verificada

Llamada a API

Descripción

xEvento Conferencia ParticipantList ParticipantAdded

xEvento Conferencia ParticipantList ParticipantUpdated

xEvento Conferencia ParticipantList ParticipantDeleted

Estos tres eventos incluyen ahora EndToEndEncryptionStatus, EndToEndEncryptionIdentity, y EndToEndEncryptionCertInfo para el participante afectado.

Tabla 4. API relacionadas con ClientSecre para reuniones cifradas de extremo a extremo e identidad verificada

Llamada a API

Descripción

xCommand Security ClientSecret Populate Secret: "base64url-encoded"

o

xCommand Security ClientSecret Rellenar secreto: JWEblob

Acepta un valor de texto sin formato codificado en base64url para mostrar el secreto del cliente en el dispositivo por primera vez.

Para actualizar el secreto después de esa primera vez, debe suministrar un archivo JWE que contenga el nuevo secreto cifrado por el antiguo secreto.

xCommand Security Certificates Services Añadir JWEblob

Agrega un certificado (con clave privada).

Hemos extendido este comando para aceptar un archivo JWE que contenga los datos PEM cifrados.

xCommand Security Certificates Services Activar Propósito:WebexIdentity FingerPrint: JWEblob

Activa un certificado específico para WebexIdentity. Para este Propósito, el comando requiere que la huella dactilar de identificación sea encriptada y serializada en un blob JWE.

xCommand Security Certificates Services Desactivar Propósito:WebexIdentity FingerPrint: JWEblob

Desactiva un certificado específico para WebexIdentity. Para este Propósito, el comando requiere que la huella dactilar de identificación sea encriptada y serializada en un blob JWE.