Experiencia del usuario

Los usuarios eligen el tipo de reunión cuando planifican una reunión. Al admitir a los participantes desde la sala de recepción, así como durante la reunión, el organizador puede ver el estado de verificación de identidad de cada participante. También hay un código de reunión común a todos los participantes actuales de la reunión, que pueden utilizar para verificar que su reunión no haya sido interceptada por un ataque Meddler In The Middle (MITM) de terceros no deseados.

Comparta la siguiente información con los organizadores de su reunión:

Verificación de identidad con CA interna o externa

Verificar identidad

El cifrado de extremo a extremo con verificación de identidad proporciona seguridad adicional a una reunión cifrada de extremo a extremo.

Cuando los participantes o dispositivos se unen a un grupo MLS (Seguridad de la capa de mensajería) compartido, presentan sus certificados a los otros miembros del grupo, que luego validan los certificados con respecto a las autoridades de emisión de certificados (CA). Al confirmar que los certificados son válidos, la CA verifica la identidad de los participantes y la reunión muestra los participantes/dispositivos como verificados.

Los usuarios de la Aplicación de Webex se autentican con la tienda de identidades de Webex, que les emite un token de acceso cuando la autenticación es correcta. Si necesitan un certificado para verificar su identidad en una reunión cifrada de extremo a extremo, la CA de Webex les emite un certificado en función de su token de acceso. En este momento, no proporcionamos una forma para que los usuarios de Webex Meetings obtengan un certificado emitido por una CA externa/externa.

Los dispositivos pueden autenticarse por sí mismos con un certificado emitido por la CA interna (Webex) o un certificado emitido por una CA externa:

  • CA interna: Webex emite un certificado interno basado en el token de acceso de la cuenta de la máquina del dispositivo. El certificado está firmado por la CA de Webex. Los dispositivos no tienen ID de usuario de la misma manera que los usuarios, por lo que Webex utiliza (uno de) los dominios de su organización al escribir la identidad del certificado del dispositivo (nombre común [CN]).

  • CA externa: solicite y compre certificados de dispositivos directamente al emisor que haya elegido. Debe cifrar, cargar directamente y autorizar los certificados mediante un secreto que solo usted conozca.

    Cisco no participa, lo que hace que sea la manera de garantizar el verdadero cifrado de extremo a extremo y la identidad verificada, y evita la posibilidad teórica de que Cisco pueda espiar su reunión/descifrar sus medios.

Certificado de dispositivo emitido internamente

Webex emite un certificado en el dispositivo cuando se registra después del inicio y lo renueva cuando es necesario. Para los dispositivos, el certificado incluye el ID de cuenta y un dominio.

Si su organización no tiene un dominio, la CA de Webex emite el certificado sin un dominio.

Si su organización tiene varios dominios, puede utilizar Control Hub para indicar a Webex qué dominio debe utilizar el dispositivo para su identidad. También puede utilizar la API xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com".

Si tiene varios dominios y no establece el dominio preferido para el dispositivo, Webex elige uno para usted.

Certificado de dispositivo emitido externamente

Un administrador puede aprovisionar un dispositivo con su propio certificado que haya sido firmado con una de las CA públicas.

El certificado debe basarse en un par de claves P-256 de ECDSA, aunque puede estar firmado por una clave RSA.

Los valores del certificado se encuentran a criterio de la organización. El nombre común (CN) y el nombre alternativo del sujeto (SAN) se mostrarán en la interfaz de usuario de la reunión de Webex, como se describe en Cifrado de extremo a extremo con verificación de identidad para Webex Meetings.

Le recomendamos que utilice un certificado separado por dispositivo y que tenga un nombre común único por dispositivo. Por ejemplo, “meeting-room-1.example.com” para la organización propietaria del dominio “example.com”.

Para proteger completamente el certificado externo de la manipulación, se utiliza una función client-secret para cifrar y firmar varios xcommands.

Cuando se utiliza el secreto de cliente, es posible administrar en forma segura el certificado de identidad externo de Webex a través de xAPI. Actualmente, esto se limita a los dispositivos en línea.

Actualmente, Webex proporciona comandos de API para administrar esto.

Características y limitaciones

Dispositivos

Los siguientes dispositivos de las series Webex Room y Webex Desk registrados en la nube pueden entrar a reuniones de E2EE:

  • Webex Board

  • Webex Desk Pro

  • Escritorio de Webex

  • Kit de Webex Room

  • Kit de sala de Webex Mini

Los siguientes dispositivos no pueden entrar a reuniones de E2EE:

  • Serie C de Webex

  • Serie Webex DX

  • Serie Webex EX

  • Serie MX de Webex

  • Dispositivos SIP de terceros

Clientes de software

  • La aplicación de Webex para clientes móviles y de escritorio puede entrar a reuniones de E2EE.

  • El cliente web de Webex no puede entrar a reuniones de E2EE.

  • Los clientes de software SIP de terceros no pueden entrar a reuniones de E2EE.

Identidad

  • Por diseño, no proporcionamos opciones de Control Hub para que administre la identidad de los dispositivos verificada externamente. Para un verdadero cifrado de extremo a extremo, solo usted debe conocer/acceder a los secretos y las claves. Si introdujimos un servicio en la nube para administrar esas claves, existe la posibilidad de que se intercepten.

  • Actualmente ofrecemos una "receta" para que diseñe sus propias herramientas, basadas en técnicas de cifrado estándar del sector, para ayudar a solicitar o cifrar certificados de identidad de sus dispositivos y sus claves privadas. No queremos tener ningún acceso real o percibido a sus secretos o claves.

Reuniones

  • Actualmente, las reuniones de E2EE admiten un máximo de 1000 participantes.

  • Puede compartir nuevas pizarras blancas en reuniones de E2EE. Existen algunas diferencias con respecto a las pizarras blancas en las reuniones periódicas:
    • En las reuniones E2EE, los usuarios no pueden acceder a las pizarras blancas creadas fuera de la reunión, incluidas las pizarras blancas privadas, las pizarras compartidas por otros y las pizarras blancas de espacios de Webex.
    • Las pizarras blancas creadas en las reuniones de E2EE solo están disponibles durante la reunión. No se guardan y no son accesibles una vez finalizada la reunión.
    • Si alguien comparte contenido en una reunión de E2EE, puede realizar anotaciones. Para obtener más información sobre los comentarios, consulte Aplicación de Webex| : Marcar contenido compartido con comentarios.

Interfaz de administración

Le recomendamos encarecidamente que utilice Control Hub para administrar su sitio de reuniones, ya que las organizaciones de Control Hub tienen identidad centralizada para toda la organización.

Recursos adicionales
Requisitos previos

  • Webex Meetings 41.7.

  • Dispositivos de las series Webex Room y Webex Desk registrados en la nube que ejecutan 10.6.1-RoomOS_August_2021.

  • Acceso administrativo al sitio de la reunión en Control Hub.

  • Uno o más dominios verificados en su organización de Control Hub (si está utilizando la CA de Webex para emitir certificados de dispositivos para identidad verificada).

  • Las salas de reuniones de colaboración deben estar activadas para que las personas puedan entrar desde su sistema de vídeo. Para obtener más información, consulte Permitir que los sistemas de vídeo entren a reuniones y eventos en su sitio de Webex.

Obtener certificados de dispositivo

Puede omitir este paso si no necesita identidades verificadas externamente.

Para lograr el máximo nivel de seguridad y para la verificación de identidad, cada dispositivo debe tener un certificado único emitido por una autoridad de certificación (CA) pública de confianza.

Debe interactuar con la CA para solicitar, comprar y recibir los certificados digitales y crear las claves privadas asociadas. Al solicitar el certificado, utilice estos parámetros:

  • El certificado debe ser emitido y firmado por una CA pública conocida.

  • Único: Le recomendamos encarecidamente que utilice un certificado único para cada dispositivo. Si utiliza un certificado para todos los dispositivos, está comprometiendo su seguridad.

  • Nombre común (CN) y nombre alternativo del sujeto (SAN): Estos no son importantes para Webex, pero deben ser valores que los humanos puedan leer y asociar con el dispositivo. El nombre común se mostrará a los otros participantes de la reunión como la identidad verificada principal del dispositivo, y si los usuarios inspeccionan el certificado a través de la interfaz de usuario de la reunión, verán el/los SAN. Es posible que quiera usar nombres como name.model@example.com.

  • Formato de archivo: Los certificados y las claves deben tener el .pem formato.

  • Propósito: El propósito del certificado debe ser identidad de Webex.

  • Generar claves: Los certificados deben basarse en pares de claves ECDSA P-256 (Algoritmo de firma digital de curva elíptica utilizando la curva P-256).

    Este requisito no se extiende a la clave de firma. La CA puede utilizar una clave RSA para firmar el certificado.

Prepárese para incorporar dispositivos

Puede omitir este paso si no desea utilizar identidad verificada externamente con sus dispositivos.

Si está utilizando dispositivos nuevos, aún no los inscriba en Webex. Para estar seguro, no los conecte a la red en este momento.

Si tiene dispositivos existentes que desea mejorar para utilizar identidad verificada externamente, debe restablecer los dispositivos de fábrica.

  • Guarde la configuración existente si desea mantenerla.

  • Planifique una ventana cuando no se estén utilizando los dispositivos o utilice un enfoque en fases. Notifique a los usuarios sobre los cambios que pueden esperar.

  • Garantice el acceso físico a los dispositivos. Si tiene que acceder a los dispositivos a través de la red, tenga en cuenta que los secretos viajan en texto sin formato y que está poniendo en peligro su seguridad.

Una vez que haya completado estos pasos, permita que los sistemas de vídeo entren a reuniones y eventos en su sitio de Webex.

Comprender el proceso de identidad externo de los dispositivos

Para asegurarse de que nadie excepto el dispositivo pueda cifrar los medios del dispositivo, debe cifrar la clave privada en el dispositivo. Hemos diseñado API para el dispositivo a fin de permitir la administración de la clave y el certificado cifrados, mediante el uso de JSON Web Encryption (JWE).

Para garantizar un verdadero cifrado de extremo a extremo a través de nuestra nube, no podemos participar en el cifrado y la carga del certificado y la clave. Si necesita este nivel de seguridad, debe:

  1. Solicite sus certificados.

  2. Genere los pares de claves de sus certificados.

  3. Cree (y proteja) un secreto inicial para cada dispositivo para generar la capacidad de cifrado del dispositivo.

  4. Desarrolle y mantenga su propia herramienta para cifrar archivos usando el estándar JWE.

    A continuación se explica el proceso y los parámetros (no secretos) que necesitará, así como una receta a seguir en sus herramientas de desarrollo de su elección. También proporcionamos algunos datos de prueba y los blobs JWE resultantes tal como los esperamos, para ayudarlo a verificar su proceso.

    Una implementación de referencia no compatible que utiliza Python3 y la biblioteca JWCrypto está disponible a petición de Cisco.

  5. Concatena y cifre el certificado y la clave utilizando su herramienta y el secreto inicial del dispositivo.

  6. Cargue el blob JWE resultante en el dispositivo.

  7. Establezca el propósito del certificado cifrado que se utilizará para la identidad de Webex y active el certificado.

  8. (Recomendado) Proporcione una interfaz para (o distribuya) su herramienta para permitir que los usuarios del dispositivo cambien el secreto inicial y protejan sus medios de usted.

Cómo utilizamos el formato JWE

Esta sección describe cómo esperamos que se cree el JWE como entrada en los dispositivos, de modo que puede crear su propia herramienta para crear los blobs a partir de sus certificados y claves.

Consulte Cifrado web JSON (JWE) https://datatracker.ietf.org/doc/html/rfc7516 y Firma web JSON (JWS) https://datatracker.ietf.org/doc/html/rfc7515.

Utilizamos la Serialización compacta de un documento JSON para crear blobs de JWE. Los parámetros que debe incluir al crear los blobs de JWE son:

  • Encabezado JOSE (protegido). En el encabezado Signing and Encryption (Firma y cifrado de objetos JSON), DEBE incluir los siguientes pares de valores de clave:

    • "alg":"dir"

      El algoritmo directo es el único que admitimos para cifrar la carga útil, y debe utilizar el secreto de cliente inicial del dispositivo.

    • "enc":"A128GCM" o "enc":"A256GCM"

      Admitimos estos dos algoritmos de cifrado.

    • "cisco-action": "add" o "cisco-action": "populate" o "cisco-action": "activate" o "cisco-action": "deactivate"

      Esta es una clave patentada y cuatro valores que puede tomar. Introdujimos esta clave para indicar el propósito de los datos cifrados al dispositivo de destino. Los valores reciben el nombre de los comandos xAPI del dispositivo en el que está utilizando los datos cifrados.

      Lo hemos nombrado cisco-action para mitigar posibles choques con futuras extensiones de JWE.

    • "cisco-kdf": { "version": "1", "salt": "base64URLEncodedRandom4+Bytes" }

      Otra clave de propiedad. Utilizamos los valores que proporciona como entradas para la derivación de claves en el dispositivo. La version debe ser 1 (la versión de nuestra función de derivación de claves). El valor de salt debe ser una secuencia base64 codificada por URL de al menos 4 bytes, que debe elegir al azar.

  • Clave cifrada de JWE. Este campo está vacío. El dispositivo lo deriva del ClientSecret inicial.

  • Vector de inicialización de JWE. Debe proporcionar un vector de inicialización codificada base64url para descifrar la carga útil. El valor IV DEBE ser un valor aleatorio de 12 bytes (estamos utilizando la familia de cifrado AES-GCM, que requiere que el valor IV tenga una longitud de 12 bytes).

  • JWE AAD (datos autenticados adicionales). Debe omitir este campo porque no se admite en la serialización compacta.

  • Texto cifrado de JWE: Esta es la carga útil cifrada que desea mantener en secreto.

    La carga útil PUEDE estar vacía. Por ejemplo, para restablecer el secreto de cliente, debe sobrescribirlo con un valor vacío.

    Hay diferentes tipos de cargas útiles, según lo que esté tratando de hacer en el dispositivo. Los diferentes comandos de xAPI esperan diferentes cargas útiles, y debe especificar el propósito de la carga útil con la cisco-action clave, como se indica a continuación:

    • Con "cisco-action":"populate" el texto cifrado es el nuevo ClientSecret.

    • Con ""cisco-action":"add" el texto cifrado es un blob PEM que lleva el certificado y su clave privada (concatenada).

    • Con ""cisco-action":"activate" el texto cifrado es la huella digital (representación hexadecimal de sha-1) del certificado que estamos activando para la verificación de la identidad del dispositivo.

    • Con ""cisco-action":"deactivate" el texto cifrado es la huella digital (representación hexadecimal de sha-1) del certificado que estamos desactivando para que se utilice para la verificación de identidad del dispositivo.

  • Etiqueta de autenticación de JWE: Este campo contiene la etiqueta de autenticación para determinar la integridad de todo el blob JWE serializado compactly

Cómo derivamos la clave de cifrado de la ClientSecret

Después de la primera población del secreto, no aceptamos ni mostramos el secreto como texto sin formato. Esto es para evitar posibles ataques de diccionario por parte de alguien que podría acceder al dispositivo.

El software del dispositivo utiliza el secreto de cliente como entrada a una función de derivación de claves (kdf) y, a continuación, utiliza la clave derivada para el descifrado/cifrado de contenido en el dispositivo.

Lo que esto significa para usted es que su herramienta para producir blobs JWE debe seguir el mismo procedimiento para derivar la misma clave de cifrado/descifrado del secreto de cliente.

Los dispositivos utilizan scrypt para la derivación de claves (consulte https://en.wikipedia.org/wiki/Scrypt), con los siguientes parámetros:

  • El factor de coste (N) es 32768

  • BlockSizeFactor (r) es 8

  • El factor de paralelización (p) es 1

  • sal es una secuencia aleatoria de al menos 4 bytes; debe suministrarla salt cuando especifique el cisco-kdf parámetro.

  • La longitud de la clave es de 16 bytes (si selecciona el algoritmo AES-GCM 128) o de 32 bytes (si selecciona el algoritmo AES-GCM 256)

  • El límite máximo de memoria es de 64 MB

Este conjunto de parámetros es la única configuración de scrypt que es compatible con la función de derivación de claves en los dispositivos. Este kdf en los dispositivos se llama "version":"1", que es la única versión que actualmente toma el parámetro cisco-kdf .

Ejemplo trabajado

A continuación, se muestra un ejemplo que puede seguir para verificar que su proceso de cifrado de JWE funcione de la misma manera que el proceso que creamos en los dispositivos.

El escenario de ejemplo es agregar un blob PEM al dispositivo (imita la adición de un certificado, con una cadena muy corta en lugar de una clave + certificado completa). El secreto de cliente en el ejemplo es ossifrage.

  1. Elija un cifrado. En este ejemplo se utiliza A128GCM (AES con claves de 128 bits en el modo contador de Galois). Su herramienta podría usar A256GCM si lo prefiere.

  2. Elija una sal (debe ser una secuencia aleatoria de al menos 4 bytes). Este ejemplo usa (bytes hexadecimales)E5 E6 53 08 03 F8 33 F6. Base64url codifica la secuencia para obtener 5eZTCAP4M_Y (eliminar el relleno base64).

  3. A continuación, se muestra una scrypt llamada de muestra para crear la clave de cifrado de contenido (cek):

    cek=scrypt(password="ossifrage", salt=4-byte-sequence, N=32768, r=8, p=1, keylength=16)

    La clave derivada debe ser de 16 bytes (hexadecimales) de la siguiente manera:95 9e ba 6d d1 22 01 05 78 fe 6a 9d 22 78 ff ac que base64url se codifica como lZ66bdEiAQV4_mqdInj_rA.

  4. Elija una secuencia aleatoria de 12 bytes para usar como vector de inicialización. En este ejemplo se utiliza (hexadecimal) 34 b3 5d dd 5f 53 7b af 2d 92 95 83 que base64url se codifica como NLNd3V9Te68tkpWD.

  5. Cree el encabezado JOSE con serialización compacta (siga el mismo orden de parámetros que utilizamos aquí) y luego base64url lo codifica:

    {"alg":"dir","cisco-action":"add","cisco-kdf":{"salt":"5eZTCAP4M_Y","version":"1"},"enc":"A128GCM"}

    El encabezado JOSE codificado base64url es eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ9

    Este será el primer elemento del blob JWE.

  6. El segundo elemento del blob de JWE está vacío, porque no suministramos una clave de cifrado de JWE.

  7. El tercer elemento del blob JWE es el vector de inicialización NLNd3V9Te68tkpWD.

  8. Utilice su herramienta de cifrado JWE para producir una carga útil y una etiqueta cifradas. Para este ejemplo, la carga útil no cifrada será el falso blob PEM this is a PEM file

    Los parámetros de cifrado que debe utilizar son los siguientes:

    • La carga útil es this is a PEM file

    • El cifrado es AES 128 GCM

    • El encabezado JOSE codificado en base64url como datos autenticados adicionales (AAD)

    Base64url codifica la carga útil cifrada, lo que debería dar como resultado f5lLVuWNfKfmzYCo1YJfODhQ

    Este es el cuarto elemento (texto cifrado JWE) en el blob JWE.

  9. Base64url codifica la etiqueta que produjo en el paso 8, lo que debería dar como resultado PE-wDFWGXFFBeo928cfZ1Q

    Este es el quinto elemento del blob JWE.

  10. Concatena los cinco elementos del blob JWE con puntos (JOSEheader..IV.Ciphertext.Tag) para obtener:

    eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

  11. Si ha obtenido los mismos valores codificados base64url que mostramos aquí, con sus propias herramientas, está listo para usarlos para asegurar el cifrado E2E y la identidad verificada de sus dispositivos.

  12. Este ejemplo no funcionará, pero en principio su próximo paso sería utilizar el blob JWE que creó anteriormente como entrada al xcommand en el dispositivo que agrega el certificado:

    xCommand Security Certificates Add eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

Los tipos de sesión para las reuniones de confianza cero están disponibles para todos los sitios de reuniones sin costo adicional. Uno de estos tipos de sesión se llama Pro-End to End Encryption_VOIPonly. Este es el Nombre de servicio público, que podemos cambiar en el futuro. Para ver los nombres actuales de los tipos de sesión, consulte ID de tipo de sesión en la sección Referencia de este artículo.

No es necesario que haga nada para obtener esta funcionalidad para su sitio; debe otorgar el nuevo tipo de sesión (también llamado Privilegio de la reunión) a los usuarios. Puede hacerlo individualmente a través de la página de configuración del usuario o en forma masiva con una importación/exportación CSV.

Verificar el nuevo tipo de sesión
1

Inicie sesión en Control Hub y vaya a Servicios > Reunión.

2

Haga clic en Sitios, elija el sitio de Webex para el que desea cambiar la configuración y, a continuación, haga clic en Configuración.

3

En Configuración común, seleccione Tipos de sesión.

Debería ver uno o más tipos de sesión de cifrado de extremo a extremo. Consulte la lista de ID de tipo de sesión en la sección Referencia de este artículo. Por ejemplo, es posible que vea E de extremo a extremo Proncryption_VOIPonly.

Hay un tipo de sesión más antiguo con un nombre muy similar: Cifrado de extremo a extremo Pro. Este tipo de sesión incluye acceso PSTN no cifrado a las reuniones. Asegúrese de tener la versión de _solo VOIP para garantizar el cifrado de extremo a extremo. Puede comprobarlo desplazando el mouse sobre el enlace PRO en la columna del código de sesión; para este ejemplo, el destino del enlace debe ser javascript:ShowFeature(652).

Es posible que cambiemos los Nombres de Servicios Públicos para estos tipos de sesión en el futuro.

4

Si aún no tiene el nuevo tipo de sesión, comuníquese con su representante de Webex.

Qué hacer a continuación

Habilite este tipo de sesión/privilegio de reunión para algunos o todos sus usuarios.

Habilitar reuniones de E2EE para usuarios individuales
1

Inicie sesión en Control Hub y vaya a Administración > Usuarios.

2

Seleccione una cuenta de usuario para actualizar y luego seleccione Reuniones.

3

En la lista desplegable Configuración aplicada a , seleccione el sitio de la reunión que desea actualizar.

4

Marque la casilla junto a E de extremo a extremo Proncryption_VOIPonly.

5

Cierre el panel de configuración del usuario.

6

Repita para otros usuarios si es necesario.

Para asignar esto a muchos usuarios, utilice la siguiente opción, Habilitar reuniones de E2EE para varios usuarios.

Habilitar reuniones E2EE para varios usuarios
1

Inicie sesión en Control Hub y vaya a Servicios > Reunión.

2

Haga clic en Sitios y elija el sitio de Webex para el que desea cambiar la configuración.

3

En la sección Licencias y usuarios , haga clic en Administrar de forma masiva.

4

Haga clic en Generar informe y espere mientras preparamos el archivo.

5

Cuando el archivo esté listo, haga clic en Exportar resultados y, luego, en Descargar. (Debe cerrar manualmente esa ventana emergente después de hacer clic en Descargar).

6

Abra el archivo CSV descargado para su edición.

Hay una fila para cada usuario, y la MeetingPrivilege columna contiene sus ID de tipo de sesión como una lista delimitada por comas.

7

Para cada usuario que desee otorgar el nuevo tipo de sesión, agregue 1561 como un nuevo valor en la lista delimitada por comas en la MeetingPrivilege celda.

La Referencia de formato de archivo CSV de Webex contiene detalles sobre el propósito y el contenido del archivo CSV.

8

Abra el panel de configuración del sitio de la reunión en Control Hub.

Si ya estaba en la página de lista del sitio de la reunión, es posible que tenga que actualizarla.

9

En la sección Licencias y usuarios , haga clic en Administrar de forma masiva.

10

Haga clic en Importar y seleccione el CSV editado; luego, haga clic en Importar. Espere mientras se carga el archivo.

11

Una vez finalizada la importación, puede hacer clic en Importar resultados para revisar si hubo errores.

12

Vaya a la página Usuarios y abra uno de los usuarios para verificar que tenga el nuevo tipo de sesión.

Agregar una marca de agua de audio para la seguridad

Puede agregar una marca de agua a las grabaciones de reuniones con el Webex Meetings Pro-End to End Encryption_VOIPonly tipo de sesión, que le permite identificar el cliente o dispositivo de origen de las grabaciones no autorizadas de reuniones confidenciales.

Cuando esta característica está habilitada, el audio de la reunión incluye un identificador único para cada cliente o dispositivo participante. Puede cargar grabaciones de audio en Control Hub, que luego analiza la grabación y busca los identificadores únicos. Puede mirar los resultados para ver qué cliente de origen o dispositivo grabó la reunión.

  • Para poder ser analizada, la grabación debe ser un archivo AAC, MP3, M4A, WAV, MP4, AVI o MOV de no más de 500 MB.
  • La grabación debe durar más de 100 segundos.
  • Solo puede analizar las grabaciones de las reuniones organizadas por personas de su organización.
  • La información de marca de agua se conserva durante el mismo tiempo que la información de la reunión de la organización.

Agregar marcas de agua de audio a las reuniones E2EE

  1. Inicie sesión en Control Hub; luego, en Administración, seleccione Configuración de la organización.
  2. En la sección Marcas de agua de la reunión , active Agregar marca de agua de audio.

    Algún tiempo después de activar esta opción, los usuarios que planifican reuniones con el Webex Meetings Pro-End to End Encryption_VOIPonly tipo de sesión ven una opción de Marcado de agua digital en la sección Seguridad.

Cargar y analizar una reunión con marca de agua

  1. En Control Hub, en Monitoreo, seleccione Solución de problemas.
  2. Haga clic en Análisis de marca de agua.
  3. Busque o seleccione la reunión en la lista y, a continuación, haga clic en Analizar.
  4. En la ventana Analizar marca de agua de audio , introduzca un nombre para su análisis.
  5. (Opcional) Introduzca una nota para su análisis.
  6. Arrastre y suelte el archivo de audio que se va a analizar o haga clic en Elegir archivo para buscar el archivo de audio.
  7. Haga clic en Cerrar.

    Cuando el análisis esté completo, se mostrará en la lista de resultados en la página Analizar marca de agua .

  8. Seleccione la reunión en la lista para ver los resultados del análisis. Haga clic en Botón Descargar para descargar los resultados.

Características y limitaciones

Los factores que intervienen en la decodificación exitosa de una marca de agua grabada incluyen la distancia entre el dispositivo de grabación y el altavoz que emite el audio, el volumen de ese audio, el ruido ambiental, etc. Nuestra tecnología de marcas de agua tiene resiliencia adicional para ser codificada varias veces, como podría suceder cuando se comparten los medios.

Esta característica está diseñada para permitir la decodificación exitosa del identificador de marca de agua en un conjunto amplio pero razonable de circunstancias. Nuestro objetivo es que un dispositivo de grabación, como un teléfono móvil, que esté tumbado en un escritorio cerca de un extremo personal o un cliente portátil, siempre cree una grabación que dé lugar a un análisis exitoso. A medida que el dispositivo de grabación se aleja de la fuente, o se oculta para no escuchar todo el espectro de audio, disminuyen las posibilidades de un análisis exitoso.

Para analizar con éxito una grabación, se necesita una captura razonable del audio de la reunión. Si el audio de una reunión se graba en la misma computadora que aloja al cliente, no se deben aplicar limitaciones.

Dispositivos de incorporación (CA interna)

Si sus dispositivos ya están incorporados a su organización de Control Hub y desea utilizar la CA de Webex para generar automáticamente sus certificados de identificación, no es necesario que los dispositivos restablezcan los valores de fábrica.

Este procedimiento selecciona el dominio que utiliza el dispositivo para identificarse y solo es necesario si tiene varios dominios en su organización de Control Hub. Si tiene más de un dominio, le recomendamos que lo haga para todos sus dispositivos que tengan identidad “verificada por Cisco”. Si no le dice a Webex qué dominio identifica el dispositivo, se elige uno automáticamente y es posible que los demás participantes de la reunión parezcan equivocados.

Antes de comenzar

Si sus dispositivos aún no están incorporados, siga Inscribir un dispositivo en Cisco Webex mediante la interfaz web local o la API o Incorporación en la nube para las series Board, Desk y Room. También debe verificar el dominio o los dominios que desea utilizar para identificar los dispositivos en Administrar sus dominios.

1

Inicie sesión en Control Hub y, en Administración, seleccione Dispositivos.

2

Seleccione un dispositivo para abrir su panel de configuración.

3

Seleccione el dominio que desea utilizar para identificar este dispositivo.

4

Repita para otros dispositivos.

Dispositivos de incorporación (CA externa)

Antes de comenzar

  • Obtenga un certificado firmado por una CA y una clave privada, en .pem formato, para cada dispositivo.

  • En la ficha Preparar , lea el tema Comprensión del proceso de identidad externa para dispositivos,

  • Prepare una herramienta de cifrado JWE con respecto a la información allí.

  • Asegúrese de tener una herramienta para generar secuencias de bytes aleatorios de longitudes dadas.

  • Asegúrese de tener una herramienta para base64url codificar bytes o texto.

  • Asegúrese de tener una scrypt implementación.

  • Asegúrese de tener una palabra o frase secreta para cada dispositivo.

1

Complete los dispositivos ClientSecret con un secreto de texto sin formato:

La primera vez que complete el Secret, lo suministra en texto sin formato. Por eso, recomendamos hacerlo en la consola del dispositivo físico.

  1. Base64url codifica la frase secreta para este dispositivo.

  2. Abra el TShell en el dispositivo.

  3. Ejecutar xcommand Security ClientSecret Populate Secret: "MDEyMzQ1Njc4OWFiY2RlZg"

    El comando de ejemplo de arriba completa la Secret con la frase 0123456789abcdef. Tienes que elegir la tuya.

El dispositivo tiene su secreto inicial. No lo olvide; no puede recuperarlo y debe restablecer los valores de fábrica del dispositivo para que se vuelva a iniciar.
2

Concatena su certificado y clave privada:

  1. Con un editor de texto, abra los archivos .pem, pegue el blob de clave el blob de certificado y guárdelo como un nuevo archivo .pem.

    Este es el texto de carga útil que cifrará y colocará en su blob de JWE.

3

Cree un blob JWE para usarlo como entrada en el comando de adición de certificado:

  1. Cree una secuencia aleatoria de al menos 4 bytes. Esta es tu sal.

  2. Derive una clave de cifrado de contenido con su herramienta scrypt.

    Para esto necesita el secreto, la sal y una longitud de clave para que coincidan con el cifrado elegido. Hay otros valores fijos para suministrar (N=32768, r=8, p=1). El dispositivo utiliza el mismo proceso y valores para derivar la misma clave de cifrado de contenido.

  3. Crea una secuencia aleatoria de exactamente 12 bytes. Este es su vector de inicialización.

  4. Cree un encabezado JOSE, una configuración alg, enc y cisco-kdf claves como se describe en Comprensión del proceso de identidad externa para dispositivos. Configure la acción "agregar" con la clave:valor "cisco-action":"add" en su encabezado JOSE (porque estamos agregando el certificado al dispositivo).

  5. Base64url codifica el encabezado JOSE.

  6. Utilice su herramienta de cifrado JWE con el cifrado elegido y el encabezado JOSE codificado base64url para cifrar el texto del archivo pem concatenado.

  7. Base64url codifica el vector de inicialización, la carga útil de PEM cifrada y la etiqueta de autenticación.

  8. Construya el blob JWE de la siguiente manera (todos los valores están codificados en base64url):

    JOSEHeader..InitVector.EncryptedPEM.AuthTag

4

Abra el TShell en el dispositivo y ejecute el comando add (multilínea): 

xcommand Security Certificates Services Add IsEncrypted: True
your..JWE.str.ing\n
.\n
5

Verifique que se haya agregado el certificado mediante la ejecución xcommand Security Certificates Services Show

Copie la huella digital del nuevo certificado.

6

Active el certificado para el propósito WebexIdentity:

  1. Lea la huella digital del certificado, ya sea del propio certificado o de la salida de xcommand Security Certificates Services Show.

  2. Crea una secuencia aleatoria de al menos 4 bytes y base64url codifica esa secuencia. Esta es tu sal.

  3. Derive una clave de cifrado de contenido con su herramienta scrypt.

    Para esto necesita el secreto, la sal y una longitud de clave para que coincidan con el cifrado elegido. Hay otros valores fijos para suministrar (N=32768, r=8, p=1). El dispositivo utiliza el mismo proceso y valores para derivar la misma clave de cifrado de contenido.

  4. Crea una secuencia aleatoria de exactamente 12 bytes y base64url codifica esa secuencia. Este es su vector de inicialización.

  5. Cree un encabezado JOSE, una configuración alg, enc y cisco-kdf claves como se describe en Comprensión del proceso de identidad externa para dispositivos. Configure la acción "activar" con la clave:valor "cisco-action":"activate" de su encabezado JOSE (porque estamos activando el certificado en el dispositivo).

  6. Base64url codifica el encabezado JOSE.

  7. Utilice su herramienta de cifrado JWE con el cifrado elegido y el encabezado JOSE codificado base64url para cifrar la huella digital del certificado.

    La herramienta debería mostrar una secuencia de 16 o 32 bytes, según si eligió AES-GCM de 128 o 256 bits y una etiqueta de autenticación.

  8. La base64urlencodifica la huella digital cifrada y la etiqueta de autenticación.

  9. Construya el blob JWE de la siguiente manera (todos los valores están codificados en base64url):

    JOSEHeader..InitVector.EncryptedFingerprint.AuthTag

  10. Abra el TShell en el dispositivo y ejecute el siguiente comando de activación:

                      xcommand Security Certificates Services Activate Purpose: WebexIdentity Fingerprint: "Your..JWE.encrypted.fingerprint"

El dispositivo tiene un certificado cifrado, activo, emitido por una autoridad de certificación (CA), listo para ser utilizado para identificarlo en reuniones cifradas de extremo a extremo de Webex.
7

Incorpore el dispositivo a su organización de Control Hub.

Probar el cifrado de extremo a extremo con verificación de identidad
1

Planifique una reunión del tipo correcto (Webex Meetings Pro de extremo a extremo Encryption_VOIPonly).

Consulte Planificar una reunión de Webex con cifrado de extremo a extremo.

2

Entre a la reunión como organizador, desde un cliente de Webex Meetings.

Consulte Entrar a una reunión de Webex con cifrado de extremo a extremo.

3

Entre a la reunión desde un dispositivo que tenga su identidad verificada por la CA de Webex.

4

Como organizador, verifique que este dispositivo aparezca en la sala de recepción con el icono de identidad correcto.

Consulte Entrar a una reunión de Webex con cifrado de extremo a extremo.

5

Entre a la reunión desde un dispositivo que tenga su identidad verificada por una CA externa.

6

Como organizador, verifique que este dispositivo aparezca en la sala de recepción con el icono de identidad correcto. Obtenga más información sobre los iconos de identidad.

7

Entrar a la reunión como participante no autenticado de reuniones.

8

Como organizador, verifique que este participante aparezca en la sala de recepción con el icono de identidad correcto.

9

Como organizador, admita o rechace personas/dispositivos.

10

Valide las identidades de los participantes/dispositivos siempre que sea posible comprobando los certificados.

11

Compruebe que todos los participantes de la reunión vean el mismo código de seguridad de la reunión.

12

Entre a la reunión con un nuevo participante.

13

Compruebe que todos vean el mismo código de seguridad de la reunión nuevo.

Establecer el alcance y las expectativas

  • ¿Va a convertir las reuniones cifradas de extremo a extremo en la opción predeterminada de reunión, o habilitarlas solo para algunos usuarios, o permitir que todos los organizadores decidan? Cuando haya decidido cómo va a utilizar esta característica, prepare a los usuarios que la utilizarán, especialmente con respecto a las limitaciones y a qué esperar en la reunión.

  • ¿Necesita asegurarse de que ni Cisco ni nadie más pueda descifrar su contenido o suplantar sus dispositivos? De ser así, necesitará certificados de una CA pública.

  • Si tiene diferentes niveles de verificación de identidad, permita que los usuarios se verifiquen entre sí con identidad respaldada por un certificado. Aunque hay circunstancias en las que los participantes pueden aparecer como no verificados, y los participantes deben saber cómo verificar, las personas no verificadas pueden no ser impostores.

Administración de identidades

Si utiliza una CA externa para emitir los certificados de sus dispositivos, incumbe supervisar, actualizar y volver a aplicar los certificados.

Si creó el secreto inicial, comprenda que es posible que sus usuarios quieran cambiar el secreto de su dispositivo. Es posible que necesite crear una interfaz o distribuir una herramienta que les permita hacer esto.

ID del tipo de sesión
Tabla 1. ID del tipo de sesión para reuniones cifradas de extremo a extremo

ID del tipo de sesión

Nombre de servicio público

638

Cifrado E2E + solo VoIP

652

Encryption_VOIPonly de extremo a extremo Pro

660

Pro 3 de extremo a extremo libre Encryption_VOIPonly

Cifrado E2E + Identidad

672

Pro 3 Free50-Extremo a extremo Encryption_VOIPonly

673

Instructor de educación E2E Encryption_VOIPonly

676

Cifrado de extremo a extremo de Broadworks Standard más

677

Cifrado de extremo a extremo de Broadworks Premium más

681

Schoology Free más cifrado de extremo a extremo

Comandos xAPI relacionados

Estas tablas describen los comandos de la API de dispositivos Webex que agregamos para las reuniones cifradas de extremo a extremo y la identidad verificada. Para obtener más información sobre cómo utilizar la API, consulte Acceder a la API para dispositivos Webex Room y Desk y Webex Boards.

Estos comandos de xAPI solo están disponibles en dispositivos que:

  • Registrado en Webex

  • Registrado localmente y vinculado a Webex con Webex Edge for Devices

Tabla 2. API a nivel del sistema para reuniones cifradas de extremo a extremo e identidad verificada

Llamada a la API

Descripción

xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com"

Esta configuración se realiza cuando el administrador establece el dominio preferido del dispositivo desde Control Hub. Solo es necesario si la organización tiene más de un dominio.

El dispositivo utiliza este dominio cuando solicita un certificado de la CA de Webex. Luego, el dominio identifica el dispositivo.

Esta configuración no se aplica cuando el dispositivo tiene un certificado activo emitido externamente para identificarse.

xStatus Conference EndToEndEncryption Availability

Indica si el dispositivo puede entrar a una reunión cifrada de extremo a extremo. La API en la nube la llama para que una aplicación emparejada sepa si puede utilizar el dispositivo para entrar.

xStatus Conference EndToEndEncryption ExternalIdentity Verification

Indica si el dispositivo utiliza External verificación (tiene un certificado emitido externamente).

xStatus Conference EndToEndEncryption ExternalIdentity Identity

La identidad del dispositivo tal como se lee del nombre común del certificado emitido externamente.

xStatus Conference EndToEndEncryption ExternalIdentity CertificateChain Certificate # specificinfo

Lee información específica de un certificado emitido externamente.

En el comando que se muestra, reemplace # por el número del certificado. Reemplace specificinfo por uno de:

  • Fingerprint

  • NotAfter Fecha de finalización de la validez

  • NotBefore Fecha de inicio de la validez

  • PrimaryName

  • PublicKeyAlgorithm

  • SerialNumber

  • SignatureAlgorithm

  • Subject # Name Una lista de los temas del certificado (p. ej., dirección de correo electrónico o nombre de dominio)

  • Validity Indica el estado de validez de este certificado (p. ej. valid o expired)

xStatus Conference EndToEndEncryption ExternalIdentity Status

El estado de la identidad externa del dispositivo (p. ej. valid o error).

xStatus Conference EndToEndEncryption InternalIdentity Verification

Indica si el dispositivo tiene un certificado válido emitido por la CA de Webex.

xStatus Conference EndToEndEncryption InternalIdentity Identity

La identidad del dispositivo tal como se lee del nombre común del certificado emitido por Webex.

contiene un nombre de dominio si la organización tiene un dominio.

Está vacía si la organización no tiene un dominio.

Si el dispositivo se encuentra en una organización que tiene varios dominios, este es el valor del PreferredDomain.

xStatus Conference EndToEndEncryption InternalIdentity CertificateChain Certificate # specificinfo

Lee información específica del certificado emitido por Webex.

En el comando que se muestra, reemplace # por el número del certificado. Reemplace specificinfo por uno de:

  • Fingerprint

  • NotAfter Fecha de finalización de la validez

  • NotBefore Fecha de inicio de la validez

  • PrimaryName

  • PublicKeyAlgorithm

  • SerialNumber

  • SignatureAlgorithm

  • Subject # Name Una lista de los temas del certificado (p. ej., dirección de correo electrónico o nombre de dominio)

  • Validity Indica el estado de validez de este certificado (p. ej. valid o expired)

Cuadro 3. API en llamadas para reuniones cifradas de extremo a extremo e identidad verificada

Llamada a la API

Descripción

xEvent Conference ParticipantList ParticipantAdded

xEvent Conference ParticipantList ParticipantUpdated

xEvent Conference ParticipantList ParticipantDeleted

Estos tres eventos ahora incluyen EndToEndEncryptionStatus, EndToEndEncryptionIdentity y EndToEndEncryptionCertInfo para el participante afectado.

Cuadro 4. API relacionadas con ClientSecret para reuniones cifradas de extremo a extremo e identidad verificada

Llamada a la API

Descripción

xCommand Security ClientSecret Populate Secret: "base64url-encoded"

o

xCommand Security ClientSecret Populate Secret: JWEblob

Acepta un valor de texto sin formato codificado base64url para sembrar el secreto de cliente en el dispositivo por primera vez.

Para actualizar el secreto después de esa primera vez, debe proporcionar un blob JWE que contenga el nuevo secreto cifrado por el secreto antiguo.

xCommand Security Certificates Services Add JWEblob

Agrega un certificado (con clave privada).

Extendimos este comando para aceptar un blob JWE que contenía los datos PEM cifrados.

xCommand Security Certificates Services Activate Purpose:WebexIdentity FingerPrint: JWEblob

Activa un certificado específico para WebexIdentity. Para este Purpose, el comando requiere que la huella digital de identificación esté cifrada y serializada en un blob de JWE.

xCommand Security Certificates Services Deactivate Purpose:WebexIdentity FingerPrint: JWEblob

Desactiva un certificado específico para WebexIdentity. Para este Purpose, el comando requiere que la huella digital de identificación esté cifrada y serializada en un blob de JWE.