Expérience utilisateur

Les utilisateurs choisissent le type de réunion lorsqu'ils programment une réunion. Lors de l'admission des participants à partir du lobby, ainsi que pendant la réunion, l'organisateur peut voir l'état de vérification de l'identité de chaque participant. Il existe également un code de réunion commun à tous les participants actuels de la réunion, qu'ils peuvent utiliser pour se vérifier mutuellement.

Partagez les informations suivantes avec les organisateurs de votre réunion :

Vérification de l'identité avec une autorité de certification interne ou externe

Vérifier l'identité

Le chiffrement de bout en bout avec vérification d'identité offre une sécurité supplémentaire à une réunion chiffrée de bout en bout.

Lorsque des participants ou des périphériques rejoignent un groupe MLS (Messaging Layer Security) partagé, ils présentent leurs certificats aux autres membres du groupe, qui valident ensuite les certificats auprès des autorités de certification (AC) émettrices. En confirmant que les certificats sont valides, l'autorité de certification vérifie l'identité des participants et la réunion affiche les participants/périphériques comme vérifiés.

Les utilisateurs de l’application Webex s’authentifient auprès de la banque d’identités Webex, qui leur émet un jeton d’accès lorsque l’authentification réussit. S'ils ont besoin d'un certificat pour vérifier leur identité dans une réunion chiffrée de bout en bout, l'autorité de certification Webex leur délivre un certificat en fonction de leur jeton d'accès. Pour le moment, nous ne proposons pas aux utilisateurs de Webex Meetings un moyen d’obtenir un certificat émis par une autorité de certification tierce/externe.

Les périphériques peuvent s'authentifier à l'aide d'un certificat émis par l'autorité de certification interne (Webex) ou d'un certificat émis par une autorité de certification externe :

  • Autorité de certification interne : Webex émet un certificat interne en fonction du jeton d'accès du compte d'ordinateur du périphérique. Le certificat est signé par l'autorité de certification Webex. Les périphériques n'ont pas d'ID utilisateur de la même manière que les utilisateurs.

  • Autorité de certification externe : demandez et achetez des certificats de périphérique directement auprès de l'émetteur de votre choix. Vous devez chiffrer, télécharger directement et autoriser les certificats en utilisant un secret connu de vous seul.

    Cisco n'est pas impliqué, ce qui permet de garantir un véritable chiffrement de bout en bout et une identité vérifiée, et d'éviter la possibilité théorique que Cisco puisse espionner votre réunion/déchiffrer vos médias.

Certificat de périphérique émis en interne

Webex délivre un certificat au périphérique lorsqu'il s'enregistre après le démarrage et le renouvelle si nécessaire. Pour les périphériques, le certificat inclut l'ID du compte et un domaine.

Si votre organisation n'a pas de domaine, l'autorité de certification Webex émet le certificat sans domaine.

Si votre organisation a plusieurs domaines, vous pouvez utiliser Control Hub pour indiquer à Webex quel domaine le périphérique doit utiliser pour son identité. Vous pouvez également utiliser l' API xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com".

Si vous avez plusieurs domaines et que vous ne définissez pas le domaine préféré pour le périphérique, Webex en choisit un pour vous.

Certificat de périphérique émis en externe

Un administrateur peut provisionner un périphérique avec son propre certificat qui a été signé avec l'une des autorités de certification publiques.

Le certificat doit être basé sur une paire de clés ECDSA P-256, bien qu'il puisse être signé par une clé RSA .

Les valeurs du certificat sont à la discrétion de l'organisation. Le nom commun (CN) et le nom alternatif de l'objet (SAN) seront affichés dans l'interface utilisateur de la réunion Webex , comme décrit dans Chiffrement de bout en bout avec vérification d’identité pour Webex Meetings .

Nous vous recommandons d'utiliser un certificat distinct par périphérique et d'avoir un CN unique par périphérique. Par exemple, « meeting-room-1.example.com » pour l’organisation qui possède le domaine « example.com ».

Afin de protéger complètement le certificat externe contre la falsification, une fonction de secret client est utilisée pour chiffrer et signer diverses commandes x.

Lorsque vous utilisez le secret client, il est possible de gérer en toute sécurité le certificat d'identité Webex externe via l'API x. Ceci est actuellement limité aux périphériques en ligne.

Webex fournit actuellement des commandes API pour gérer cela.

Fonctionnalités et limites

Périphériques

Les périphériques Webex Room Series et Webex Desk Series enregistrés dans le cloud suivants peuvent rejoindre des réunions chiffrées de bout en bout :

  • Webex Board

  • Bureau Pro Webex

  • Bureau Webex

  • Webex Room Kit

  • Webex Room Kit Mini

Les périphériques suivants ne peuvent pas rejoindre les réunions chiffrées de bout en bout :

  • Webex série C

  • Série Webex DX

  • Webex série EX

  • Série Webex MX

  • Périphériques SIP tiers

Clients logiciels

  • À partir de la version 41.6, le client de bureau Webex Meetings peut rejoindre des réunions chiffrées de bout en bout.

  • Si votre organisation permet à Webex App de rejoindre les réunions en lançant l'application de bureau Réunions, vous pouvez utiliser cette option pour rejoindre des réunions chiffrées de bout en bout.

  • Le client Web Webex ne peut pas rejoindre les réunions chiffrées de bout en bout.

  • Les clients logiciels SIP tiers ne peuvent pas rejoindre les réunions chiffrées de bout en bout.

Identité

  • De par leur conception, nous ne proposons pas d’options Control Hub pour vous permettre de gérer l’identité des périphériques vérifiés en externe. Pour un véritable chiffrement de bout en bout, vous seul devez connaître/accéder aux secrets et aux clés. Si nous avons introduit un service cloud pour gérer ces clés, il y a un risque qu'elles soient interceptées.

  • Actuellement, nous vous proposons une « recette » pour concevoir vos propres outils, basés sur des techniques de chiffrement standard, pour vous aider à demander ou à chiffrer les certificats d'identité de votre périphérique et leurs clés privées. Nous ne voulons pas avoir un accès réel ou perçu à vos secrets ou clés.

Réunions

  • Les réunions chiffrées de bout en bout prennent actuellement en charge un maximum de 200 participants.

  • Sur ces 200 participants, un maximum de 25 périphériques vérifiés en externe peuvent se joindre, et ils doit être le premier participant à rejoindre la réunion .

    Lorsqu'un plus grand nombre de périphériques rejoint une réunion, nos services multimédias principaux tentent de transcoder les flux multimédias. Si nous ne pouvons pas déchiffrer, transcoder et chiffrer à nouveau le média (parce que nous n’avons pas et ne devrions pas avoir les clés de chiffrement des périphériques), alors le transcodage échoue.

    Pour atténuer cette limitation, nous recommandons des réunions plus petites pour les périphériques, ou échelonnez les invitations entre les périphériques et les clients Meetings.

Interface de gestion

Nous vous recommandons vivement d’utiliser Control Hub pour gérer votre site de réunion, car les organisations Control Hub ont une identité centralisée pour l’ensemble de l’organisation, tandis que dans administration du site, l’identité est contrôlée site par site.

Les utilisateurs gérés à partir de administration du site ne peuvent pas avoir l'option d'identité vérifiée par Cisco. Ces utilisateurs reçoivent un certificat anonyme pour rejoindre une réunion chiffrée de bout en bout, et ils peuvent être exclus des réunions où l'organisateur souhaite assurer la vérification de l'identité.

Ressources supplémentaires

Informations connexes

Conditions requises

  • Webex Meetings 41.7.

  • Périphériques de la série Webex Room et Webex Desk enregistrés dans le cloud, en cours d’exécution 10.6.1-RoomOS_August_2021.

  • Accès administratif au site de réunion dans Control Hub, pour activer le nouveau type de session pour les utilisateurs.

  • Un ou plusieurs domaines vérifiés dans votre organisation Control Hub (si vous utilisez l’autorité de certification Webex pour émettre des certificats de périphérique pour l’identité vérifiée).

  • Les salles de réunion de collaboration doivent être activées pour que les personnes puissent y participer à partir de leur système vidéo. Pour plus d’informations, voir Autoriser les systèmes vidéo à rejoindre des réunions et des événements sur votre site Webex .

Obtenir des certificats de périphérique

Vous pouvez ignorer cette étape si vous n'avez pas besoin d'identités vérifiées en externe.

Pour le plus haut niveau de sécurité et pour la vérification de l'identité, chaque périphérique doit avoir un certificat unique émis par une autorité de certification (AC) publique de confiance.

Vous devez interagir avec l'autorité de certification pour demander, acheter et recevoir les certificats numériques et créer les clés privées associées. Lorsque vous demandez le certificat, utilisez ces paramètres :

  • Le certificat doit être émis et signé par une autorité de certification publique bien connue.

  • Unique : Nous vous recommandons fortement d’utiliser un certificat unique pour chaque périphérique. Si vous utilisez un certificat pour tous les périphériques, vous compromettez votre sécurité.

  • Nom commun (CN) et nom(s) secondaire(s) du sujet (SAN) : Celles-ci ne sont pas importantes pour Webex, mais doivent être des valeurs que les humains peuvent lire et associer au périphérique. Le CN s'affichera aux autres participants à la réunion en tant qu'identité vérifiée principale du périphérique, et si les utilisateurs inspectent le certificat via l'interface utilisateur de la réunion, ils verront le ou les SAN. Vous pouvez utiliser des noms tels que name.model@example.com.

  • Format de fichier : Les certificats et les clés doivent être dans le .pem formater.

  • Objectif : L’objectif du certificat doit être Webex Identity.

  • Génération des clés : Les certificats doivent être basés sur des paires de clés ECDSA P-256 (algorithme de signature numérique à courbe elliptique utilisant la courbe P-256).

    Cette exigence ne s'étend pas à la clé de signature. L'autorité de certification peut utiliser une clé RSA pour signer le certificat.

Préparer l’intégration des périphériques

Vous pouvez ignorer cette étape si vous ne souhaitez pas utiliser une identité vérifiée en externe avec vos périphériques.

Si vous utilisez de nouveaux périphériques, ne les enregistrez pas encore sur Webex. Par mesure de sécurité, ne les connectez pas au réseau à ce stade.

Si vous avez des périphériques existants que vous souhaitez mettre à niveau pour utiliser une identité vérifiée en externe, vous devez réinitialiser les périphériques aux paramètres d'usine.

  • Enregistrez la configuration existante si vous souhaitez la conserver.

  • Programmez une fenêtre lorsque les périphériques ne sont pas utilisés, ou utilisez une approche progressive. Informez les utilisateurs des changements auxquels ils peuvent s’attendre.

  • Garantir l’accès physique aux périphériques. Si vous devez accéder à des périphériques sur le réseau, sachez que les secrets voyagent en texte brut et que vous compromettez votre sécurité.

Une fois que vous avez terminé ces étapes, autoriser les systèmes vidéo à rejoindre des réunions et des événements sur votre site Webex .

Comprendre le processus d’identité externe pour les périphériques

Pour vous assurer que le média de votre périphérique ne peut pas être chiffré par une personne autre que le périphérique, vous devez chiffrer la clé privée sur le périphérique. Nous avons conçu des API pour le périphérique afin de permettre la gestion de la clé chiffrée et du certificat, à l'aide du chiffrement Web JSON (JWE).

Pour garantir un véritable cryptage de bout en bout via notre cloud, nous ne pouvons pas être impliqués dans le cryptage et le téléchargement du certificat et de la clé. Si vous avez besoin de ce niveau de sécurité, vous devez :

  1. Demandez vos certificats.

  2. Générez les paires de clés de vos certificats.

  3. Créez (et protégez) un secret initial pour chaque périphérique, pour amorcer la capacité de chiffrement du périphérique.

  4. Développez et gérez votre propre outil pour chiffrer les fichiers à l’aide de la norme JWE.

    Le processus et les paramètres (non secrets) dont vous aurez besoin sont expliqués ci-dessous, ainsi qu'une recette à suivre dans les outils de développement de votre choix. Nous fournissons également des données de test et les blobs JWE résultants tels que nous les attendons, pour vous aider à vérifier votre processus.

    Une implémentation de référence non prise en charge utilisant Python3 et la bibliothèque JWCrypto est disponible auprès de Cisco sur demande.

  5. Concaténez et chiffrez le certificat et la clé à l’aide de votre outil et du secret initial du périphérique.

  6. Chargez le blob JWE obtenu sur le périphérique.

  7. Définissez l’objectif du certificat chiffré à utiliser pour l’identité Webex et activez le certificat.

  8. (Recommandé) Fournissez une interface à (ou distribuez) votre outil pour permettre aux utilisateurs de périphériques de modifier le secret initial et de protéger leurs médias contre vous.

Comment nous utilisons le format JWE

Cette section décrit comment nous nous attendons à ce que le JWE soit créé en entrée des périphériques, afin que vous puissiez créer votre propre outil pour créer les objets blob à partir de vos certificats et clés.

Reportez-vous à Chiffrement Web JSON (JWE)https://datatracker.ietf.org/doc/html/rfc7516et Signature Web JSON (JWS)https://datatracker.ietf.org/doc/html/rfc7515.

Nous utilisons le Sérialisation compacte d'un document JSON pour créer des blobs JWE. Les paramètres que vous devez inclure lors de la création des blobs JWE sont :

  • En-tête JOSE (protégé). Dans l'en-tête JSON Object Signing and Encryption, vous DEVEZ inclure les paires clé-valeur suivantes :

    • "alg":"dir"

      L’algorithme direct est le seul que nous prenons en charge pour chiffrer la charge utile, et vous devez utiliser le secret client initial du périphérique.

    • "enc":"A128GCM" ou "enc":"A256GCM"

      Nous prenons en charge ces deux algorithmes de chiffrement.

    • "cisco-action": "add" ou "cisco-action": "populate" ou "cisco-action": "activate" ou "cisco-action": "deactivate"

      Il s'agit d'une clé propriétaire et de quatre valeurs qu'elle peut prendre. Nous avons introduit cette clé pour signaler le but des données chiffrées au périphérique cible. Les valeurs sont nommées d'après les commandes xAPI sur le périphérique sur lequel vous utilisez les données chiffrées.

      Nous l'avons nommé cisco-action pour atténuer les conflits potentiels avec les futures extensions JWE.

    • "cisco-kdf": { "version": "1", "salt": "base64URLEncodedRandom4+Bytes" }

      Une autre clé propriétaire. Nous utilisons les valeurs que vous fournissez comme entrées pour la dérivation des clés sur le périphérique. Le version doit être 1(la version de notre fonction de dérivation de clé). La valeur de salt doit être une séquence URL codée en base64 d'au moins 4 octets, que vous doit choisir au hasard.

  • Clé chiffrée JWE . Ce champ est vide. Le périphérique le dérive de la ClientSecret.

  • Vecteur d'initialisation JWE . Vous devez fournir un vecteur d'initialisation codé en base64url pour déchiffrer la charge utile. Le IV DOIT être une valeur aléatoire de 12 octets (nous utilisons la famille de chiffrement AES-GCM, qui nécessite que l'IV soit long de 12 octets).

  • JWE AAD (données authentifiées supplémentaires). Vous devez omettre ce champ car il n'est pas pris en charge dans la sérialisation compacte.

  • Texte chiffré JWE : Il s’agit de la charge utile chiffrée que vous souhaitez garder secrète.

    La charge utile PEUT être vide. Par exemple, pour réinitialiser le secret client, vous devez le remplacer par une valeur vide.

    Il existe différents types de charges utiles, en fonction de ce que vous essayez de faire sur le périphérique. Différentes commandes xAPI s'attendent à des charges utiles différentes, et vous devez spécifier le but de la charge utile avec le cisco-action clé, comme suit :

    • Avec "cisco-action":"populate" le texte chiffré est le nouveau ClientSecret.

    • Avec " "cisco-action":"add" le texte chiffré est un blob PEM portant le certificat et sa clé privée (concaténés).

    • Avec " "cisco-action":"activate" le texte chiffré est l'empreinte digitale (représentation hexadécimale de sha-1) du certificat que nous activons pour la vérification de l'identité du périphérique.

    • Avec " "cisco-action":"deactivate" le texte chiffré est l'empreinte digitale (représentation hexadécimale de sha-1) du certificat que nous désactivons pour qu'il ne soit pas utilisé pour la vérification de l'identité du périphérique.

  • Balise d'authentification JWE : Ce champ contient la balise d'authentification pour vérifier l'intégrité de l'intégralité du blob JWE sérialisé de manière compacte

Comment nous dérivons la clé de chiffrement du ClientSecret

Après le premier remplissage du secret, nous n'acceptons ni ne sortons le secret sous forme de texte brut. Ceci permet d'éviter les attaques potentielles par dictionnaire par une personne qui pourrait accéder au périphérique.

Le logiciel du périphérique utilise la clé secrète client comme entrée d'une fonction de dérivation de clé (kdf), puis utilise la clé dérivée pour le déchiffrement/chiffrement du contenu sur le périphérique.

Cela signifie pour vous que votre outil pour produire des blobs JWE doit suivre la même procédure pour dériver la même clé de chiffrement/déchiffrement à partir du secret client.

Les périphériques utilisent crypter pour la dérivation de clé (voirhttps://en.wikipedia.org/wiki/Scrypt ), avec les paramètres suivants :

  • Le facteur de coût (N) est 32768

  • BlockSizeFactor (r) est 8

  • Le facteur de parallélisation (p) est égal à 1

  • Salt est une séquence aléatoire d'au moins 4 octets ; vous devez fournir ce même salt lorsque vous spécifiez le cisco-kdf AUTOOC.

  • La longueur des clés est soit de 16 octets (si vous sélectionnez l'algorithme AES-GCM 128), soit de 32 octets (si vous sélectionnez l'algorithme AES-GCM 256).

  • La capacité de mémoire maximale est de 64 Mo

Cet ensemble de paramètres est la seule configuration de crypter qui est compatible avec la fonction de dérivation de clé sur les périphériques. Ce kdf sur les périphériques est appelé "version":"1", qui est la seule version actuellement prise par le cisco-kdf AUTOOC.

Exemple de travail

Voici un exemple que vous pouvez suivre pour vérifier que votre processus de chiffrement JWE fonctionne de la même manière que le processus que nous avons créé sur les périphériques.

L’exemple de scénario consiste à ajouter un blob PEM au périphérique (imite l’ajout d’un certificat, avec une chaîne très courte au lieu d’une clé cert + complète). La clé secrète du client dans l'exemple est ossifrage.

  1. Choisissez un chiffrement de chiffrement. Cet exemple utilise A128GCM(AES avec clés 128 bits en mode compteur Galois). Votre outil pourrait utiliser A256GCM si vous préférez.

  2. Choisissez un sel (il doit s'agir d'une séquence aléatoire d'au moins 4 octets). Cet exemple utilise (octets hexadécimaux) E5 E6 53 08 03 F8 33 F6. Base64url encode la séquence à obtenir 5eZTCAP4M_Y(supprimez le remplissage base64).

  3. Voici un exemple scrypt appelez pour créer la clé de chiffrement du contenu (cek) :

    cek=scrypt(password="ossifrage", salt=4-byte-sequence, N=32768, r=8, p=1, keylength=16)

    La clé dérivée doit être de 16 octets (hex) comme suit : 95 9e ba 6d d1 22 01 05 78 fe 6a 9d 22 78 ff ac vers laquelle base64url encode lZ66bdEiAQV4_mqdInj_rA.

  4. Choisissez une séquence aléatoire de 12 octets à utiliser comme vecteur d'initialisation. Cet exemple utilise (hex) 34 b3 5d dd 5f 53 7b af 2d 92 95 83 vers laquelle base64url encode NLNd3V9Te68tkpWD.

  5. Créez l'en-tête JOSE avec une sérialisation compacte (suivez le même ordre de paramètres que nous utilisons ici), puis encodez-le en base64url :

    {"alg":"dir","cisco-action":"add","cisco-kdf":{"salt":"5eZTCAP4M_Y","version":"1"},"enc":"A128GCM"}

    L'en-tête JOSE encodé en base64url est eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ9

    Ce sera le premier élément du blob JWE.

  6. Le deuxième élément du blob JWE est vide, car nous ne fournissons pas de clé de clé de chiffrement JWE .

  7. Le troisième élément du blob JWE est le vecteur d'initialisation NLNd3V9Te68tkpWD.

  8. Utilisez votre outil de chiffrement JWE pour produire une charge utile chiffrée et une balise. Pour cet exemple, la charge utile non chiffrée sera le faux blob PEM this is a PEM file

    Les paramètres de chiffrement que vous devez utiliser sont :

    • La charge utile est this is a PEM file

    • Le chiffrement est AES 128 GCM

    • L'en-tête JOSE codé en base64url en tant que données authentifiées supplémentaires (AAD)

    Base64url encode la charge utile chiffrée, ce qui devrait entraîner f5lLVuWNfKfmzYCo1YJfODhQ

    Il s'agit du quatrième élément (texte chiffré JWE) du blob JWE.

  9. Base64url encode la balise que vous avez produite à l'étape 8, ce qui devrait entraîner PE-wDFWGXFFBeo928cfZ1Q

    Il s’agit du cinquième élément du blob JWE.

  10. Concaténez les cinq éléments du blob JWE avec des points (JOSEheader..IV.Ciphertext.Tag) pour obtenir :

    eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

  11. Si vous avez dérivé les mêmes valeurs encodées en base64url que celles que nous montrons ici, en utilisant vos propres outils, vous êtes prêt à les utiliser pour sécuriser le cryptage E2E et vérifier l’identité de vos périphériques.

  12. Cet exemple ne fonctionnera pas réellement, mais en principe, votre prochaine étape consisterait à utiliser le blob JWE que vous avez créé ci-dessus comme entrée de la commande x sur le périphérique qui ajoute le certificat :

    xCommand Security Certificates Add eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

Les types de sessions pour les réunions sans confiance sont disponibles pour tous les sites de réunions sans frais supplémentaires. L’un de ces types de sessions est appelé Pro-End to End Encryption_VOIPonly. Il s'agit du nom du service public, que nous pourrions changer à l'avenir. Pour les noms actuels des types de session, voir ID des types de session dans le Référence section de cet article.

Vous n'avez rien à faire pour obtenir cette fonctionnalité pour votre site ; vous devez accorder le nouveau type de session (également appelé Privilège de réunion) aux utilisateurs. Vous pouvez le faire individuellement via la page de configuration de l'utilisateur , ou en bloc avec une exportation/importation CSV.

Vérifier le nouveau type de session

1

Connectez-vous à Control Hub, et allez à Services > Réunion.

2

Cliquez sur Sites, choisissez le site Webex dont vous souhaitez modifier les paramètres, puis cliquez sur Paramètres.

3

Sous Paramètres communs , sélectionnez Types de sessions .

4
Vous devriez voir un ou plusieurs types de session de chiffrement de bout en bout. Reportez-vous à la liste des ID des types de session dans le Référence section de cet article. Par exemple, vous pouvez voir Pro de bout en bout Encryption_ VOIP uniquement .

 

Il existe un ancien type de session avec un nom très similaire : Chiffrement professionnel de bout en bout . Ce type de session inclut l' accès PSTN non crypté aux réunions. Assurez-vous d’avoir le_ VOIP uniquement version pour garantir le chiffrement de bout en bout. Vous pouvez vérifier en survolant le PRO lien dans la colonne du code de session ; pour cet exemple, la cible du lien doit être javascript:ShowFeature(652).

Nous pouvons modifier les noms de service public pour ces types de sessions à l'avenir.

5

Si vous n'avez pas encore le nouveau type de session , contactez votre représentant Webex.

Que faire ensuite

Activez ce type de session /privilège de réunion pour certains ou tous vos utilisateurs.

Activer les réunions E2EE pour les utilisateurs individuels

1

Connectez-vous à Concentrateur de contrôle , et allez à Gestion > Utilisateurs .

2

Sélectionnez un compte utilisateur à mettre à jour, puis sélectionnez Réunions .

3

Dans la liste déroulante Les paramètres s’appliquent à, sélectionnez le site de réunion à mettre à jour.

4

Cochez la case à côté de Pro de bout en bout Encryption_ VOIP uniquement .

5

Fermez le panneau de configuration de l'utilisateur .

6

Répétez l’opération pour les autres utilisateurs si nécessaire.

Pour l'attribuer à plusieurs utilisateurs, utilisez l'option suivante, Activer les réunions E2EE pour plusieurs utilisateurs .

Activer les réunions E2EE pour plusieurs utilisateurs

1

Connectez-vous à Control Hub, et allez à Services > Réunion.

2

Cliquez sur Sites, choisissez le site Webex pour lequel vous souhaitez modifier les paramètres.

3

Dans la section Licences et utilisateurs, cliquez sur Gestion en bloc.

4

Cliquez sur Générer le rapport, puis attendez que nous préparions le fichier.

5

Lorsque le fichier est prêt, cliquez sur Exporter les résultats et puis Télécharger . (Vous devez fermer manuellement cette fenêtre contextuelle après avoir cliqué sur Télécharger .)

6

Ouvrez le fichier CSV téléchargé pour le modifier.

Il y a une ligne pour chaque utilisateur, et le MeetingPrivilege La colonne contient leurs ID de type de session sous forme de liste délimitée par des virgules.

7

Pour chaque utilisateur auquel vous souhaitez accorder le nouveau type de session, ajoutez 1561 en tant que nouvelle valeur dans la liste délimitée par des virgules dans le MeetingPrivilege cellule.

Le Référence du format de fichier CSV Webex contient des détails sur l'objectif et le contenu du fichier CSV.

8

Ouvrez le panneau de configuration du site de réunion dans Control Hub.


 

Si vous étiez déjà sur la page de la liste des sites de réunion, vous devrez peut-être l'actualiser.

9

Dans la section Licences et utilisateurs, cliquez sur Gestion en bloc.

10

Cliquez sur Importer et sélectionnez le fichier CSV modifié, puis cliquez sur Importer . Patientez pendant le téléchargement du fichier.

11

Lorsque l'importation est terminée, vous pouvez cliquer sur Importer les résultats pour vérifier s’il y a eu des erreurs.

12

Allez à la Utilisateurs et ouvrez l'un des utilisateurs pour vérifier qu'ils ont le nouveau type de session.

Ajouter un filigrane audio pour la sécurité

Vous pouvez ajouter un filigrane aux enregistrements de réunions avec le Webex Meetings Pro-End to End Encryption_VOIPonly type de session, qui vous permet d'identifier le client ou le périphérique source des enregistrements non autorisés de réunions confidentielles.

Lorsque cette fonctionnalité est activée, l’audio de la réunion inclut un identifiant unique pour chaque client ou périphérique participant. Vous pouvez télécharger des enregistrements audio vers Control Hub, qui analyse ensuite l’enregistrement et recherche les identifiants uniques. Vous pouvez consulter les résultats pour voir quel client ou périphérique source a enregistré la réunion.

  • Pour être analysé, l'enregistrement doit être un fichier AAC, MP3, M4A, WAV, MP4, AVI ou MOV ne dépassant pas 500 Mo.
  • L'enregistrement doit durer plus de 100 secondes.
  • Vous pouvez uniquement analyser les enregistrements des réunions organisées par des personnes de votre organisation.
  • Les informations du filigrane sont conservées pendant la même durée que les informations de la réunion de l’organisation.
Ajouter des filigranes audio aux réunions E2EE
  1. Connectez-vous au Control Hub, puis sous Gestion, sélectionnez Paramètres de l’organisation.
  2. Dans le Filigranes de réunion section, activer Ajouter un filigrane audio .

    Quelque temps après avoir activé cette option, les utilisateurs programment des réunions avec le Webex Meetings Pro-End to End Encryption_VOIPonly voir une option Watermarking numérique dans la section Sécurité.

Télécharger et analyser une réunion avec filigrane
  1. Dans Control Hub, sous Surveillance , sélectionnez Dépannage .
  2. Cliquez sur Analyse du filigrane .
  3. Recherchez ou sélectionnez la réunion dans la liste, puis cliquez sur Analyser.
  4. Dans le Analyser le filigrane audio , saisissez un nom pour votre analyse.
  5. (Facultatif) Saisissez une note pour votre analyse.
  6. Faites glisser et déposez le fichier audio à analyser, ou cliquez sur Choisir le fichier pour rechercher le fichier audio.
  7. Cliquez sur Fermer.

    Lorsque l'analyse est terminée, elle s'affiche dans la liste des résultats sur le Analyser le filigrane page.

  8. Sélectionnez la réunion dans la liste pour voir les résultats de l'analyse. Cliquez surBouton Télécharger pour télécharger les résultats.
Fonctionnalités et limites

Les facteurs impliqués dans le décodage réussi d’un filigrane enregistré comprennent la distance entre le dispositif d’enregistrement et le haut-parleur émettant l’audio, le volume de cet audio, le bruit ambiant, etc. Notre technologie de filigrane a une résilience supplémentaire à être codée plusieurs fois, comme cela peut se produire lorsque le média est partagé.

Cette fonctionnalité est conçue pour permettre un décodage réussi de l'identificateur de filigrane dans un ensemble de circonstances larges mais raisonnables. Notre objectif est qu’un appareil d’enregistrement, tel qu’un téléphone portable, qui est couché sur un bureau près d’un terminal personnel ou d’un client d’ordinateur portable, crée toujours un enregistrement qui aboutit à une analyse réussie. Lorsque le dispositif d'enregistrement est éloigné de la source, ou est empêché d'entendre tout le spectre audio, les chances d'une analyse réussie sont réduites.

Afin d’analyser un enregistrement avec succès, une capture raisonnable de l’audio de la réunion est nécessaire. Si l'audio d'une réunion est enregistré sur le même ordinateur qui héberge le client, les limites ne doivent pas s'appliquer.

Périphériques intégrés (AC interne)

Si vos périphériques sont déjà intégrés à votre organisation Control Hub et que vous souhaitez utiliser Webex CA pour générer automatiquement leurs certificats d’identification, vous n’avez pas besoin de réinitialiser les périphériques aux paramètres d’usine.

Cette procédure sélectionne le domaine que le périphérique utilise pour s'identifier et n'est requise que si vous avez plusieurs domaines dans votre organisation Control Hub. Si vous avez plusieurs domaines, nous vous recommandons de le faire pour tous vos périphériques qui auront une identité « vérifiée par Cisco ». Si vous ne dites pas à Webex quel domaine identifie le périphérique, un domaine est automatiquement choisi et il peut sembler erroné aux autres participants de la réunion.

Avant de commencer

Si vos périphériques ne sont pas encore intégrés, suivez Enregistrer un périphérique sur Cisco Webex à l'aide de l' API ou de l'interface Web locale ou Intégration au cloud pour les séries Board, Desk et Room . Vous devez également vérifier le ou les domaines que vous souhaitez utiliser pour identifier les périphériques dans Gérer vos domaines .

1

Se connecter à Control Hub , et sous Gestion , sélectionnez Périphériques .

2

Sélectionnez un périphérique pour ouvrir son panneau de configuration.

3

Sélectionnez le domaine que vous souhaitez utiliser pour identifier ce périphérique.

4

Répétez l'opération pour les autres périphériques.

Périphériques intégrés (AC externe)

Avant de commencer

Vous avez besoin de :

  • Pour obtenir un certificat signé par une autorité de certification et une clé privée, dans .pem format, pour chaque périphérique.

  • Pour lire le sujet Comprendre le processus d'identité externe pour les périphériques , dans le Préparer partie de cet article.

  • Pour préparer un outil de chiffrement JWE en ce qui concerne les informations qui s’y trouvent.

  • Un outil pour générer des séquences d'octets aléatoires de longueurs données.

  • Un outil pour encoder des octets ou du texte en base64url.

  • Un scrypt mise en œuvre.

  • Un mot ou une phrase secrète pour chaque périphérique.

1

Remplir le périphérique ClientSecret avec un secret en texte brut :

La première fois que vous remplissez le Secret, vous le fournissez en texte brut. C'est pourquoi nous vous recommandons d'effectuer cette opération sur la console du périphérique physique.

  1. Base64url code la phrase secrète pour ce périphérique.

  2. Ouvrez le TShell sur le périphérique.

  3. Exécuter xcommand Security ClientSecret Populate Secret: "MDEyMzQ1Njc4OWFiY2RlZg"

    L'exemple de commande ci-dessus remplit le Secret avec l'expression 0123456789abcdef. Vous devez choisir le vôtre.

Le périphérique a son secret initial. N'oubliez pas ceci ; vous ne pouvez pas le récupérer et devez réinitialiser le périphérique aux paramètres d'usine pour redémarrer.
2

Concaténez votre certificat et votre clé privée :

  1. À l'aide d'un éditeur de texte, ouvrez les fichiers .pem, collez le blob de clé dans le blob du certificat et enregistrez-le en tant que nouveau fichier .pem.

    (Il s’agit du texte de la charge utile que vous allez chiffrer et mettre dans votre blob JWE)

3

Créez un blob JWE à utiliser comme entrée pour la commande certificate add :

  1. Créez une séquence aléatoire d'au moins 4 octets. Ceci est votre sel.

  2. Obtenez une clé de chiffrement de contenu avec votre outil de chiffrement.

    Pour cela, vous avez besoin du secret, du sel et d’une longueur de clé correspondant au chiffrement de chiffrement que vous avez choisi. Il y a d'autres valeurs fixes à fournir (N=32768, r=8, p=1). Le périphérique utilise le même processus et les mêmes valeurs pour dériver la même clé de chiffrement de contenu .

  3. Créez une séquence aléatoire d'exactement 12 octets. Il s'agit de votre vecteur d'initialisation.

  4. Créer un en-tête JOSE, paramètre alg, enc et cisco-kdf touches comme décrit dans Comprendre le processus d'identité externe pour les périphériques . Définissez l’action « ajouter » à l’aide de la clé : valeur "cisco-action":"add" dans votre en-tête JOSE (car nous ajoutons le certificat à l'appareil).

  5. Base64url encode l'en-tête JOSE.

  6. Utilisez votre outil de chiffrement JWE avec le chiffrement choisi et l'en-tête JOSE encodé en base64url pour chiffrer le texte à partir du fichier pem concaténé.

  7. Base64url encode le vecteur d'initialisation, la charge utile PEM chiffrée et la balise d'authentification.

  8. Construisez le blob JWE comme suit (toutes les valeurs sont encodées en base64url) :

    JOSEHeader..InitVector.EncryptedPEM.AuthTag

4

Ouvrez le TShell sur le périphérique et exécutez la commande d'ajout (multiligne) :

xcommand Security Certificates Services Add IsEncrypted: True
your..JWE.str.ing\n
.\n
5

Vérifiez que le certificat est ajouté en exécutant xcommand Security Certificates Services Show

Copiez l'empreinte digitale du nouveau certificat.

6

Activer le certificat à cette fin WebexIdentity:

  1. Lire l'empreinte du certificat, soit à partir du certificat lui-même, soit à partir de la sortie de xcommand Security Certificates Services Show.

  2. Créez une séquence aléatoire d'au moins 4 octets et encodez cette séquence en base64url. Ceci est votre sel.

  3. Obtenez une clé de chiffrement de contenu avec votre outil de chiffrement.

    Pour cela, vous avez besoin du secret, du sel et d’une longueur de clé correspondant au chiffrement de chiffrement que vous avez choisi. Il y a d'autres valeurs fixes à fournir (N=32768, r=8, p=1). Le périphérique utilise le même processus et les mêmes valeurs pour dériver la même clé de chiffrement de contenu .

  4. Créez une séquence aléatoire d'exactement 12 octets et encodez cette séquence en base64url. Il s'agit de votre vecteur d'initialisation.

  5. Créer un en-tête JOSE, paramètre alg, enc et cisco-kdf touches comme décrit dans Comprendre le processus d'identité externe pour les périphériques . Définissez l’action « activate » à l’aide de la touche key:value "cisco-action":"activate" dans votre en-tête JOSE (car nous activons le certificat sur le périphérique).

  6. Base64url encode l'en-tête JOSE.

  7. Utilisez votre outil de chiffrement JWE avec le chiffrement choisi et l'en-tête JOSE encodé en base64url pour chiffrer l'empreinte digitale du certificat.

    L'outil doit générer une séquence de 16 ou 32 octets, selon que vous avez choisi AES-GCM 128 ou 256 bits, et une balise d'authentification.

  8. Codez en Base64 l’empreinte digitale chiffrée et la balise d’authentification.

  9. Construisez le blob JWE comme suit (toutes les valeurs sont encodées en base64url) :

    JOSEHeader..InitVector.EncryptedFingerprint.AuthTag

  10. Ouvrez le TShell sur le périphérique et exécutez la commande activate suivante :

                      xcommand Security Certificates Services Activate Purpose: WebexIdentity Fingerprint: "Your..JWE.encrypted.fingerprint"
Le périphérique a un certificat crypté, actif, émis par une autorité de certification, prêt à être utilisé pour l’identifier dans les réunions Webex cryptées de bout en bout.
7

Intégrez le périphérique à votre organisation Control Hub.

Tester le chiffrement de bout en bout avec la vérification de l’identité

1

Programmer une réunion du type correct ( Webex Meetings Pro de bout en bout Encryption_ VOIP uniquement ).

Voir Programmer une réunion Webex avec le chiffrement de bout en bout .

2

Rejoignez la réunion en tant qu'organisateur, à partir d'un client Webex Meetings .

Voir Rejoindre une réunion Webex avec le chiffrement de bout en bout .

3

Rejoignez la réunion à partir d'un périphérique dont l'identité a été vérifiée par l'autorité de certification Webex.

4

En tant qu'organisateur, vérifiez que ce périphérique apparaît dans le lobby avec l'icône d'identité correcte.

Voir Rejoindre une réunion Webex avec le chiffrement de bout en bout .

5

Rejoignez la réunion à partir d'un périphérique dont l'identité a été vérifiée par une autorité de certification externe.

6

En tant qu'organisateur, vérifiez que ce périphérique apparaît dans le lobby avec l'icône d'identité correcte. En savoir plus sur les icônes d’identité .

7

Rejoindre la réunion en tant que participant non authentifié.

8

En tant qu'organisateur, vérifiez que ce participant apparaît dans le lobby avec l'icône d'identité correcte.

9

En tant qu’organisateur, admettre ou rejeter des personnes/périphériques.

10

Dans la mesure du possible, validez les identités des participants/périphériques en vérifiant les certificats.

11

Vérifiez que tous les participants à la réunion voient le même code de sécurité de réunion.

12

Rejoindre la réunion avec un nouveau participant.

13

Vérifiez que tout le monde voit le même nouveau code de sécurité de réunion.

Définir la portée et les attentes

Allez-vous faire des réunions chiffrées de bout en bout l’option de réunion par défaut, ou l’activer uniquement pour certains utilisateurs, ou permettre à tous les organisateurs de décider ? Lorsque vous avez décidé comment vous allez utiliser cette fonctionnalité, préparez les utilisateurs qui l’utiliseront, en particulier en ce qui concerne les limites et les attentes de la réunion.

Avez-vous besoin de vous assurer que ni Cisco ni personne d’autre ne peut déchiffrer votre contenu ou usurper l’identité de vos périphériques ? Si c'est le cas, vous avez besoin des certificats d'une autorité de certification publique. Vous ne pouvez avoir qu’un maximum de 25 périphériques dans une réunion sécurisée. Si vous avez besoin de ce niveau de sécurité, vous ne devez pas autoriser les clients à rejoindre les réunions.

Pour les utilisateurs qui rejoignent la réunion avec des périphériques sécurisés, autorisez les périphériques à rejoindre la réunion en premier et définissez les attentes des utilisateurs selon lesquelles ils ne pourront peut-être pas rejoindre la réunion s’ils rejoignent la réunion en retard.

Si vous avez différents niveaux de vérification d'identité, autorisez les utilisateurs à se vérifier les uns les autres à l'aide d'un certificat d'identité et du code de sécurité de la réunion. Même s’il existe des circonstances où les participants peuvent apparaître comme Non vérifiés, et les participants doivent savoir comment vérifier, les personnes non vérifiées peuvent ne pas être des imposteurs.

Gestion des identités

Si vous utilisez une autorité de certification externe pour émettre les certificats de votre périphérique, il vous incombe de surveiller, d'actualiser et de réappliquer les certificats.

Si vous avez créé le secret initial, sachez que vos utilisateurs peuvent vouloir modifier le secret de leur périphérique. Vous devrez peut-être créer une interface/distribuer un outil pour leur permettre de le faire.

ID des types de session

Tableau 1. ID de type de session pour les réunions chiffrées de bout en bout

ID du type de session

Nom de la fonction publique

638

Chiffrement E2E+VoIP uniquement

652

Pro de bout en bout Encryption_ VOIP uniquement

660

Pro 3 Free-End to End Encryption_ VOIP uniquement

Chiffrement E2E + Identité

672

Pro 3 Free50 de bout en bout Encryption_ VOIP uniquement

673

Formateur E2E Encryption_ VOIP uniquement

676

Broadworks Standard plus chiffrement de bout en bout

677

Broadworks Premium plus chiffrement de bout en bout

681

Schoology Free et chiffrement de bout en bout

Commandes xAPI associées

Ces tableaux décrivent les commandes API des périphériques Webex que nous avons ajoutées pour les réunions chiffrées de bout en bout et l’identité vérifiée. Pour plus d’informations sur l’utilisation de l’ API, voir Accéder à l’ API pour les périphériques de salle et de bureau Webex et les Webex Boards .

Ces commandes xAPI ne sont disponibles que sur les périphériques qui sont :

  • Inscrit à Webex

  • Enregistré sur site et lié à Webex avec Webex Edge pour les périphériques

Tableau 2. API au niveau du système pour des réunions chiffrées de bout en bout et une identité vérifiée

appel API

Description

xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com"

Cette configuration est effectuée lorsque l'administrateur définit le domaine préféré du périphérique à partir de Control Hub. Nécessaire uniquement si l'organisation a plusieurs domaines.

Le périphérique utilise ce domaine lorsqu'il demande un certificat à l'autorité de certification Webex. Le domaine identifie alors le périphérique.

Cette configuration n'est pas applicable lorsque le périphérique a un certificat actif émis en externe pour s'identifier.

xStatus Conference EndToEndEncryption Availability

Indique si le périphérique peut rejoindre une réunion chiffrée de bout en bout. L' API cloud l'appelle pour qu'une application associée sache si elle peut utiliser le périphérique pour rejoindre la réunion.

xStatus Conference EndToEndEncryption ExternalIdentity Verification

Indique si le périphérique utilise External vérification (possède un certificat émis en externe).

xStatus Conference EndToEndEncryption ExternalIdentity Identity

Identité du périphérique telle que lue à partir du nom commun du certificat émis en externe.

xStatus Conference EndToEndEncryption ExternalIdentity CertificateChain Certificate # specificinfo

Lit des informations spécifiques à partir d’un certificat émis en externe.

Dans la commande affichée, remplacez # avec le numéro du certificat. Remplacer specificinfo avec l'un des éléments suivants :

  • Fingerprint

  • NotAfter Date de fin de validité

  • NotBefore Date de début de validité

  • PrimaryName

  • PublicKeyAlgorithm

  • SerialNumber

  • SignatureAlgorithm

  • Subject # Name Une liste des sujets pour le certificat (par exemple, adresse électronique ou nom de domaine)

  • Validity Donne le statut de validité de ce certificat (par ex. valid ou expired)

xStatus Conference EndToEndEncryption ExternalIdentity Status

L'état de l'identité externe du périphérique (par ex. valid ou error).

xStatus Conference EndToEndEncryption InternalIdentity Verification

Indique si le périphérique a un certificat valide émis par l'autorité de certification Webex.

xStatus Conference EndToEndEncryption InternalIdentity Identity

L’identité du périphérique telle que lue à partir du nom commun du certificat émis par Webex.

Contient un nom de domaine si l'organisation a un domaine.

Est vide si l'organisation n'a pas de domaine.

Si le périphérique est dans une organisation qui a plusieurs domaines, il s'agit de la valeur de la PreferredDomain.

xStatus Conference EndToEndEncryption InternalIdentity CertificateChain Certificate # specificinfo

Lit des informations spécifiques à partir du certificat émis par Webex.

Dans la commande affichée, remplacez # avec le numéro du certificat. Remplacer specificinfo avec l'un des éléments suivants :

  • Fingerprint

  • NotAfter Date de fin de validité

  • NotBefore Date de début de validité

  • PrimaryName

  • PublicKeyAlgorithm

  • SerialNumber

  • SignatureAlgorithm

  • Subject # Name Une liste des sujets pour le certificat (par exemple, adresse électronique ou nom de domaine)

  • Validity Donne le statut de validité de ce certificat (par ex. valid ou expired)

Tableau 3. API d’appel pour les réunions chiffrées de bout en bout et l’identité vérifiée

appel API

Description

xEvent Conference ParticipantList ParticipantAdded

xEvent Conference ParticipantList ParticipantUpdated

xEvent Conference ParticipantList ParticipantDeleted

Ces trois événements incluent maintenant EndToEndEncryptionStatus, EndToEndEncryptionIdentity et EndToEndEncryptionCertInfo pour le participant concerné.

Tableau 4. API liées à ClientSecret pour des réunions chiffrées de bout en bout et une identité vérifiée

appel API

Description

xCommand Security ClientSecret Populate Secret: "base64url-encoded"

ou

xCommand Security ClientSecret Populate Secret: JWEblob

Accepte une valeur de texte brut codée en base64url pour amorcer le secret client sur le périphérique pour la première fois.

Pour mettre à jour le secret après cette première fois, vous devez fournir un blob JWE contenant le nouveau secret chiffré par l'ancien secret.

xCommand Security Certificates Services Add JWEblob

Ajoute un certificat (avec clé privée).

Nous avons étendu cette commande pour accepter un blob JWE contenant les données PEM chiffrées.

xCommand Security Certificates Services Activate Purpose:WebexIdentity FingerPrint: JWEblob

Active un certificat spécifique pour WebexIdentity. Pour cela Purpose, la commande nécessite que l'empreinte digitale d'identification soit chiffrée et sérialisée dans un blob JWE.

xCommand Security Certificates Services Deactivate Purpose:WebexIdentity FingerPrint: JWEblob

Désactive un certificat spécifique pour WebexIdentity. Pour cela Purpose, la commande nécessite que l'empreinte digitale d'identification soit chiffrée et sérialisée dans un blob JWE.