פריסת פגישות ללא אמון
המשתמשים בוחרים את סוג הפגישה כאשר הם מתזמנים פגישה. בעת קבלת משתתפים מהלובי, כמו גם במהלך הפגישה, המארח יכול לראות את מצב אימות הזהות של כל משתתף. קיים גם קוד פגישה המשותף לכל המשתתפים הנוכחיים בפגישה, שבו הם יכולים להשתמש כדי לוודא שהפגישה שלהם לא יירטה על ידי מתקפת צד שלישי לא רצויה באמצע (MITM).
שתף את המידע הבא עם מארחי הפגישות שלך:
-
הצטרף לפגישת Webex עם הצפנה מקצה לקצה
אמת זהות
הצפנה מקצה לקצה עם אימות זהות מספקת אבטחה נוספת לפגישה מוצפנת מקצה לקצה.
כאשר משתתפים או מכשירים מצטרפים לקבוצת MLS משותפת (אבטחת שכבת הודעות), הם מציגים את האישורים שלהם לחברי הקבוצה האחרים, שלאחר מכן מאמתים את האישורים נגד רשויות האישורים המנפיקים (CA). על ידי אישור שהאישורים תקפים, CA מאמת את זהות המשתתפים, והפגישה מציגה את המשתתפים/המכשירים כמאומתת.
משתמשי יישום Webex מאמתים את עצמם מול חנות הזהויות של Webex, שמנפיקה להם אסימון גישה כאשר האימות מצליח. אם הם זקוקים לתעודה כדי לאמת את הזהות שלהם בפגישה מוצפנת מקצה לקצה, ה-Webex CA מנפיק להם תעודה בהתבסס על אסימון הגישה שלהם. בשלב זה, אנחנו לא מספקים דרך למשתמשי Webex Meetings לקבל תעודה שהונפקה על-ידי CA של צד שלישי/חיצוני.
התקנים יכולים לאמת את עצמם באמצעות אישור שהונפק על-ידי ה- CA הפנימי (Webex), או אישור שהונפק על-ידי CA חיצוני:
-
CA פנימי - Webex מנפיק אישור פנימי בהתבסס על אסימון הגישה של חשבון המחשב של המכשיר. האישור חתום על-ידי ה- Webex CA. למכשירים אין מזהי משתמש באותו אופן שבו משתמשים עושים זאת, לכן Webex משתמש (אחד מהדומיינים של הארגון שלך בעת כתיבת הזהות של אישור המכשיר (שם משותף (CN)).
-
CA חיצוני - אישורי בקשה ורכישה של מכשירים ישירות מהמפיק שבחרת. עליך להצפין, להעלות ולאשר ישירות את האישורים באמצעות סוד הידוע רק לך.
Cisco אינה מעורבת, מה שהופך זאת לדרך להבטיח הצפנה אמיתית מקצה לקצה וזהות מאומתת, ולמנוע את האפשרות התיאורטית ש-Cisco תוכל לצותת לפגישה/לפענח את המדיה שלך.
אישור התקן שהונפק באופן פנימי
Webex מנפיק אישור למכשיר כאשר הוא נרשם לאחר ההפעלה, ומחדש אותו בעת הצורך. עבור מכשירים, האישור כולל את מזהה החשבון ואת התחום.
אם לארגון שלך אין תחום, ה- Webex CA מנפיק את האישור ללא תחום.
אם הארגון שלך כולל תחומים מרובים, באפשרותך להשתמש ב- Control Hub כדי לומר ל- Webex באיזה תחום להשתמש בהתקן עבור זהותו. תוכל גם להשתמש ב- API xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com"
.
אם יש לך תחומים מרובים ואינך מגדיר את התחום המועדף עבור ההתקן, Webex בוחר אחד עבורך.
אישור התקן שהונפק חיצונית
מנהל מערכת יכול להקצות מכשיר עם אישור משלו שנחתם באמצעות אחד מה- CAs הציבוריים.
האישור חייב להתבסס על זוג מפתחות ECDSA P-256, אם כי ניתן לחתום עליו על ידי מפתח RSA.
הערכים באישור הם לפי שיקול דעתו של הארגון. השם הנפוץ (CN) ושם חלופי לנושא (SAN) יוצגו בממשק המשתמש של פגישת Webex, כפי שמתואר בהצפנה מקצה לקצה עם אימות זהות עבור Webex Meetings.
אנו ממליצים להשתמש באישור נפרד לכל מכשיר ולהעביר CN ייחודי למכשיר. לדוגמה, "meeting-room-1.example.com" עבור הארגון שבבעלותו הדומיין "example.com".
על מנת להגן באופן מלא על האישור החיצוני מפני חבלה, תכונה סודית לקוח משמשת להצפנה וחתימה על xcommands שונים.
בעת השימוש בסתר הלקוח, ניתן לנהל באופן מאובטח את תעודת הזהות החיצונית של Webex באמצעות xAPI. זה מוגבל כרגע למכשירים מקוונים.
Webex מספק כעת פקודות API לניהול זה.
מכשירים
סדרת Webex Room הרשומה בענן ומכשירים מסדרת Webex Desk יכולים להצטרף לפגישות E2EE:
-
Webex Board
-
Webex Desk Pro
-
Webex Desk
-
Webex Room Kit
-
Webex Room Kit Mini
המכשירים הבאים לא יכולים להצטרף לפגישות E2EE:
-
סדרת Webex C
-
סדרת Webex DX
-
סדרת Webex EX
-
סדרת וובקס MX
-
התקני SIP של צד שלישי
לקוחות תוכנה
-
יישום Webex עבור לקוחות שולחניים ומכשירים ניידים יכולים להצטרף לפגישות E2EE.
-
לקוח האינטרנט של Webex לא יכול להצטרף לפגישות E2EE.
-
לקוחות SIP SOFT של צד שלישי לא יכולים להצטרף לפגישות E2EE.
זהות
-
על-ידי עיצוב, אנחנו לא מספקים אפשרויות Control Hub כדי שתוכל לנהל זהות מכשיר מאומתת חיצונית. עבור הצפנה מקצה לקצה אמיתית, רק אתה צריך לדעת/לגשת לסודות ולמפתחות. אם היינו מציגים שירות ענן כדי לנהל את המפתחות האלה, יש סיכוי שהם ייורטו.
-
נכון לעכשיו אנו מספקים לך 'מתכון' לעיצוב כלים משלך, המבוסס על טכניקות הצפנה סטנדרטיות בתעשייה, כדי לסייע בבקשת או להצפין תעודות זהות של המכשיר שלך ואת המפתחות הפרטיים שלהם. אנחנו לא רוצים שתהיה לנו גישה אמיתית או נתפסת לסודות או למפתחות שלך.
Meetings
-
פגישות E2EE תומכות כעת בעד 1000 משתתפים לכל היותר.
- באפשרותך לשתף לוחות עבודה חדשים בפגישות E2EE. ישנם כמה הבדלים מלוחות עבודה בפגישות רגילות:
- בפגישות E2EE, משתמשים לא יכולים לגשת ללוחות עבודה שנוצרו מחוץ לפגישה, כולל לוחות עבודה פרטיים, לוחות עבודה ששותפו על-ידי אחרים ולוחות עבודה ממרחבי Webex.
- לוחות עבודה שנוצרו בפגישות E2EE זמינים רק במהלך הפגישה. הם לא נשמרים ואינם נגישים לאחר שהפגישה הסתיימה.
- אם מישהו משתף תוכן בפגישת E2EE, באפשרותך להוסיף ביאורים. למידע נוסף על ביאור, עיין ב-Webex App | סמן תוכן משותף עם ביאורים.
ממשק ניהול
אנו ממליצים בחום להשתמש ב-Control Hub כדי לנהל את אתר Meetings, מכיוון שארגוני Control Hub ריכזו זהות עבור הארגון כולו.
מידע קשור
-
אבטחת אפס אמון עבור Webex (נייר טכני אבטחה)
-
הצפנת אינטרנט JSON (JWE) (טיוטת תקן IETF)
-
מפגשי Webex 41.7.
-
מכשירים מסדרת Webex Room ו-Webex Desk הרשומים בענן, המפעילים
10.6.1-RoomOS_August_ugust_2021
. -
גישה ניהולית לאתר הפגישה ב-Control Hub.
-
תחום מאומת אחד או יותר בארגון מרכז הבקרה שלך (אם אתה משתמש ב- Webex CA כדי להנפיק אישורי התקן עבור זהות מאומתת).
-
יש להפעיל את חדרי הישיבות של שיתוף הפעולה כדי שאנשים יוכלו להצטרף ממערכת הווידאו שלהם. למידע נוסף, ראה אפשר למערכות וידאו להצטרף לפגישות ואירועים באתר Webex שלך.
באפשרותך לדלג על שלב זה אם אינך זקוק לזהויות מאומתות חיצונית.
ברמה הגבוהה ביותר של אבטחה ואימות זהות, לכל מכשיר צריך להיות אישור ייחודי שהונפק על ידי רשות אישורים ציבורית מהימנה (CA).
עליך לקיים אינטראקציה עם CA כדי לבקש, לרכוש ולקבל את האישורים הדיגיטליים וליצור את המפתחות הפרטיים המשויכים. בעת בקשת האישור, השתמש בפרמטרים הבאים:
-
האישור חייב להיות מונפק וחתום על ידי CA ציבורי ידוע.
-
ייחודי: אנו ממליצים בחום להשתמש באישור ייחודי עבור כל מכשיר. אם אתה משתמש באישור אחד עבור כל המכשירים, אתה מתפשר על האבטחה שלך.
-
שם משותף (CN) ונושא שם/ים חלופיים (SAN/s): אלה אינם חשובים ל- Webex, אך צריכים להיות ערכים שבני אדם יכולים לקרוא ולשייך למכשיר. ה- CN יציג למשתתפי פגישה אחרים את הזהות המאומתת העיקרית של המכשיר, ואם משתמשים יבדקו את האישור דרך ממשק המשתמש של הפגישה, הם יראו את ה- SAN/s. ייתכן שתרצה להשתמש בשמות כמו
name.model@example.com
. -
תבנית הקובץ: האישורים והמפתחות חייבים להיות בתבנית
.pem
. -
תכלית: מטרת האישור חייבת להיות זהות Webex.
-
יצירת מפתחות: האישורים חייבים להתבסס על זוגות מפתחות ECDSA P-256 (אלגוריתם חתימה דיגיטלית של עקומה אליפטית באמצעות עקומת P-256).
דרישה זו אינה חלה על מפתח החתימה. ה- CA יכול להשתמש במפתח RSA כדי לחתום על האישור.
באפשרותך לדלג על שלב זה אם אינך מעוניין להשתמש בזהות מאומתת חיצונית עם המכשירים שלך.
אם אתה משתמש במכשירים חדשים, אל תרשום אותם עדיין ל- Webex. כדי להיות בטוח, אל תחבר אותם לרשת בשלב זה.
אם יש לך מכשירים קיימים שברצונך לשדרג כדי להשתמש בזהות מאומתת חיצונית, עליך לאפס את המכשירים במפעל.
-
שמור את התצורה הקיימת אם ברצונך לשמור אותה.
-
תזמן חלון כאשר ההתקנים אינם בשימוש, או השתמש בגישה מדורגת. הודע למשתמשים על השינויים שהם יכולים לצפות להם.
-
הבטח גישה פיזית למכשירים. אם אתה חייב לגשת למכשירים דרך הרשת, שים לב שסודות עוברים בטקסט רגיל ואתה מתפשר על האבטחה שלך.
לאחר סיום השלבים האלה, אפשר למערכות וידאו להצטרף לפגישות ולאירועים באתר Webex שלך.
כדי להבטיח שאף אחד מלבד המכשיר לא יוכל להצפין את מדיית המכשיר שלך, עליך להצפין את המפתח הפרטי במכשיר. תכננו ממשקי API עבור המכשיר כדי לאפשר ניהול של המפתח והאישור המוצפנים, באמצעות הצפנת האינטרנט של JSON (JWE).
כדי להבטיח הצפנה אמיתית מקצה לקצה דרך הענן שלנו, איננו יכולים להיות מעורבים בהצפנה ובהעלאה של האישור והמפתח. אם אתה זקוק לרמת אבטחה זו, אתה חייב:
-
בקש את האישורים שלך.
-
צור את צמדי המפתחות של האישורים שלך.
-
צור (והגן) על סוד ראשוני עבור כל מכשיר, כדי לזרוע את יכולת ההצפנה של המכשיר.
-
פתח ותחזק כלי משלך להצפנת קבצים באמצעות תקן JWE.
התהליך והפרמטרים (לא סודיים) תצטרך מוסברים להלן, כמו גם מתכון לעקוב אחר כלי הפיתוח שלך לבחירה. אנו מספקים גם כמה נתוני בדיקה וכתמי JWE המתקבלים כפי שאנו מצפים מהם, כדי לעזור לך לאמת את התהליך שלך.
יישום ייחוס שאינו נתמך באמצעות Python3 וספריית JWCrypto זמין מ-Cisco על פי בקשה.
-
שרשור והצפין את האישור והמפתח באמצעות הכלי שלך והסוד הראשוני של המכשיר.
-
העלה את כתם JWE שנוצר למכשיר.
-
הגדר את מטרת האישור המוצפן לשימוש עבור זהות Webex והפעל את האישור.
-
(מומלץ) ספק ממשק (או להפיץ) הכלי שלך כדי לאפשר למשתמשי המכשיר לשנות את הסוד הראשוני ולהגן על המדיה שלהם ממך.
כיצד אנו משתמשים בפורמט JWE
סעיף זה מתאר כיצד אנו מצפים שה- JWE ייווצר כקלט למכשירים, כך שתוכל לבנות כלי משלך כדי ליצור את הכתמים מהאישורים והמפתחות שלך.
עיין ב-JSON Web Encryption (JWE) https://datatracker.ietf.org/doc/html/rfc7516 וב-JSON Web Signature (JWS) https://datatracker.ietf.org/doc/html/rfc7515.
אנו משתמשים בסריאליזציה קומפקטית של מסמך JSON כדי ליצור כתמי JWE. הפרמטרים הדרושים לך לכלול בעת יצירת כתמי JWE הם:
-
כותרת JOSE (מוגנת). בכותרת החתימה וההצפנה של אובייקט JSON, עליך לכלול את הזוגות הבאים של ערכי מפתח:
-
"alg":"dir"
האלגוריתם הישיר הוא היחיד שאנו תומכים בו להצפנת המטען, ועליך להשתמש בסוד הלקוח הראשוני של המכשיר.
-
"enc":"A GCM"
או"enc":"A GCM"
אנו תומכים בשני אלגוריתמי ההצפנה הללו.
-
"cisco-action": "add"
או"cisco-action": "אכלוס"
או"cisco-action": "הפעל"
או"cisco-action": "השבת"
זהו מפתח קנייני וארבעה ערכים שהוא יכול לקחת. הצגנו מפתח זה כדי לסמן את מטרת הנתונים המוצפנים להתקן היעד. הערכים נקראים על שם פקודות xAPI בהתקן שבו אתה משתמש בנתונים המוצפנים.
קראנו לו
Cisco-action
כדי לצמצם עימותים פוטנציאליים עם הרחבות JWE עתידיות. -
"cisco-kdf": { "version": "1", "salt": "base URLEncodedRandom4+בתים" }
עוד מפתח קנייני. אנו משתמשים בערכים שאתה מספק כקלטים לצורך גזירת מפתח בהתקן.
הגרסה
חייבת להיות1
(הגרסה של פונקציית הנגזרת של המפתח שלנו). הערך שלמלח
חייב להיות רצף URL מקודד base64 של לפחות 4 בתים, שבו אתה חייב לבחור באופן אקראי.
-
-
מפתח מוצפן JWE. שדה זה ריק. המכשיר מגיע מ-
ClientSecret הראשוני
. -
וקטור האתחול של JWE. עליך לספק וקטור אתחול מקודד base64url לפענוח המטען. ה- IV חייב להיות ערך אקראי של 12 בתים (אנו משתמשים במשפחת הצופנים AES-GCM, הדורשת שה- IV יהיה באורך של 12 בתים).
-
JWE AAD (נתונים מאומתים נוספים). עליך להשמיט שדה זה מכיוון שהוא אינו נתמך בסידור הקומפקטי.
-
טקסט צופן JWE: זהו המטען המוצפן שברצונך לשמור בסוד.
המטען עשוי להיות ריק. לדוגמה, כדי לאפס את סוד הלקוח, עליך להחליף אותו בערך ריק.
ישנם סוגים שונים של מטענים, בהתאם למה שאתה מנסה לעשות במכשיר. פקודות xAPI שונות צפויות לעומסים שונים, ועליך לציין את מטרת המנה באמצעות מקש
Cisco-Action
, כדלקמן:-
עם
"cisco-action":"populate"
הטקסט המוצפן הואClientSecret החדש
. -
עם "
"cisco-action":"add"
the ciphertext is a PEM blob carrying the certificate and his private key (concatenated). -
עם "
"cisco-action":"activate"
הטקסט המוצפן הוא טביעת האצבע (הייצוג הקסדצימלי של sha-1) של האישור שאנו מפעילים לאימות מזהה מכשיר. -
עם "
"cisco-action":"
השבתת הטקסט המוצפן הוא טביעת האצבע (הייצוג הקסדצימלי של sha-1) של האישור שאנו משחררים מלשמש לאימות זהות מכשיר.
-
-
תג אימות JWE: שדה זה מכיל את תג האימות כדי לוודא את שלמותו של כל הכתם הדחוס של JWE
כיצד נגזור את מפתח ההצפנה מ-ClientSecret
לאחר האוכלוסייה הראשונה של הסוד, איננו מקבלים או מפיקים את הסוד כטקסט רגיל. זאת כדי למנוע התקפות מילון פוטנציאליות של מישהו שיכול לגשת למכשיר.
תוכנת ההתקן משתמשת בסוד הלקוח כקלט לפונקציית נגזרת מפתח (kdf) ולאחר מכן משתמשת במפתח הנגזר לפענוח/הצפנת תוכן במכשיר.
המשמעות של זה עבורך היא שהכלי שלך לייצור כתמי JWE חייב לפעול על פי אותו הליך כדי לגזור את אותו מפתח הצפנה/פענוח מסוד הלקוח.
ההתקנים משתמשים ב - scrypt עבור נגזרת מפתח (ראה https://en.wikipedia.org/wiki/Scrypt), עם הפרמטרים הבאים:
-
עלות-פקטור (N) היא 32768
-
BlockSizeFactor (r) הוא 8
-
גורם מקבילי (p) הוא 1
-
מלח הוא רצף אקראי של לפחות 4 בתים; עליך לספק את אותו
מלח
בעת ציוןהפרמטר cisco-kdf
. -
אורכי המפתח הם 16 בתים (אם תבחר באלגוריתם AES-GCM 128), או 32 בתים (אם תבחר באלגוריתם AES-GCM 256)
-
מכסה הזיכרון המרבי הוא 64 מגה-בתים
קבוצה זו של פרמטרים היא התצורה היחידה של scrypt התואמת לפונקציית הנגזרת העיקרית בהתקנים. kdf זה במכשירים נקרא "version":"1"
, שזו הגרסה היחידה שנלקחה כרגע על-ידי הפרמטר cisco-kdf
.
דוגמה מעובדת
הנה דוגמה שתוכלו לעקוב אחריה כדי לוודא שתהליך ההצפנה של JWE שלכם פועל כמו התהליך שיצרנו במכשירים.
התרחיש לדוגמה הוא הוספת כתם PEM להתקן (מחקה הוספת אישור, עם מחרוזת קצרה מאוד במקום מפתח cert + מלא). סוד הלקוח בדוגמה זו הוא ossifrage
.
-
בחר צופן הצפנה. דוגמה זו משתמשת
ב-A GCM
(AES עם מפתחות של 128 סיביות במצב דלפק גלואה). הכלי שלך יכול להשתמשב-A GCM
אם אתה מעדיף. -
בחר מלח (חייב להיות רצף אקראי של לפחות 4 בתים). דוגמה זו משתמשת (בתי הקס)
E5 E6 53 08 03 F8 33 F6
. כתובת url של Base מקודדת את הרצף כדי לקבל5eZTCAP4M_Y
(הסר את ריפוד base64). -
להלן דוגמה
לפענח
שיחה כדי ליצור את מפתח הצפנת התוכן (cek):cek=scrypt(password="ossifrage", salt=4-בתים-רצף, N=32768, r=8, p=1, keylength=16)
המפתח הנגזר צריך להיות 16 בתים (hex) כדלקמן:
95 9e ba 6d d1 22 01 05 78 fe 6a 9d 22 78 ff ac
אשר מקודד ל-lZ bdEiAQV4 I_mqdnj_rA
. -
בחר רצף אקראי של 12 בתים שישמש כווקטור אתחול. דוגמה זו משתמשת ב-(hex)
34 b3 5d dd 5f 53 7b af 2d 92 95 83
אשר מקודד כתובת בסיס url מקודד ל-NLNd3V9Te tkpWD
. -
צור את כותרת JOSE עם סידור קומפקטי (בצע את אותו סדר של פרמטרים שבהם אנו משתמשים כאן) ולאחר מכן base64url לקודד אותו:
{"alg":"dir","cisco-action":"add","cisco-kdf":{"salt":"5eZTCAP4M_Y","version":"1"},"enc":"A GCM"}
כתובת הבסיס מקודדת JOSE כותרת היא
eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ9
זה יהיה האלמנט הראשון של כתם JWE.
-
האלמנט השני של כתם JWE הוא ריק, כי אנחנו לא מספקים מפתח הצפנה JWE.
-
היסוד השלישי של גוש JWE הוא וקטור האתחול
NLNd3V9Te tkpWD
. - השתמש בכלי ההצפנה JWE שלך כדי לייצר מטען ותג מוצפנים. לדוגמה זו, תוכן מנה לא מוצפן הולך להיות כתם PEM מזויף
זהו קובץ PEM
פרמטרי ההצפנה שבהם עליך להשתמש הם:
Payload הוא
זה קובץ PEM
צופן הצפנה הוא AES 128 GCM
כותרת ה- JOSE המקודדת base64url כנתונים מאומתים נוספים (AAD)
Base url מקודד את payload המוצפן, אשר אמור לגרום
f5lLVuWNfKfmzYCo1YJfODhQ
זהו האלמנט הרביעי (טקסט צופן JWE) בכתם JWE.
-
כתובת ה-url של בסיס מקודדת את התגית שיצרת בשלב 8, מה שעלול לגרום ל-
PE-wDFWGXFFBeo928cfZ1Q
זהו האלמנט החמישי בכתם JWE.
-
שרשור את חמשת האלמנטים של כתם JWE עם נקודות (JOSEheader.. IV.Ciphertext.Tag) כדי לקבל:
eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q
-
אם הפקת את אותם ערכים מקודדים של base64url כפי שאנו מראים כאן, באמצעות הכלים שלך, אתה מוכן להשתמש בהם כדי לאבטח את הצפנת E2E ואת הזהות המאומתת של המכשירים שלך.
-
דוגמה זו לא תעבוד בפועל, אך באופן עקרוני השלב הבא שלך יהיה להשתמש בכתם JWE שיצרת למעלה כקלט ל- xcommand במכשיר המוסיף את האישור:
אישורי אבטחה של xCommand
eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q
סוגי פגישות לפגישות אפס אמון זמינים לכל אתרי הפגישות ללא עלות נוספת. אחד מסוגי ההפעלה האלה נקרא Pro-End to End Encryption_VOIPonly
. זהו שם השירות הציבורי, שאנו עשויים להשתנות בעתיד. לקבלת השמות הנוכחיים של סוגי ההפעלות, ראה מזהי סוג הפעלה במקטע הפניה במאמר זה.
אין שום דבר שעליך לעשות כדי לקבל יכולת זו עבור האתר שלך; עליך להעניק למשתמשים את סוג המפגש החדש (הנקרא גם Meeting Privilege). באפשרותך לעשות זאת בנפרד דרך דף התצורה של המשתמש, או בתפזורת עם ייצוא/ייבוא CSV.
1 |
היכנס אל Control Hub, ואז עבור אל . |
2 |
לחץ אתרים, בחר את אתר Webex שעבורו תרצה לשנות את ההגדרות, ולאחר מכן לחץ על הגדרות. |
3 |
תחת הגדרותנפוצות, בחר סוגי הפעלות. |
4 |
עליך לראות סוג הפעלה אחד או יותר של הצפנה מקצה לקצה. עיין ברשימה של מזהי סוג הפעלה במקטע הפניה של מאמר זה. לדוגמה, ייתכן שתראה PRO-End to End Encryption_VOIPonly.
יש סוג הפעלה ישן יותר עם שם דומה מאוד: הצפנה פרו-מקצה לקצה. סוג הפעלה זה כולל גישה לא מוצפנת של PSTN לפגישות. ודא שיש לך את גרסת _VOIPonly כדי להבטיח הצפנה מקצה לקצה. אתה יכול לבדוק על ידי ריחוף מעל PRO קישור בעמודה קוד ההפעלה; לדוגמה זו, היעד של הקישור צריך להיות אנו עשויים לשנות את שמות השירות הציבורי עבור סוגי המפגשים האלה בעתיד. |
5 |
אם עדיין אין לך את סוג ההפעלה החדש, פנה לנציג Webex שלך. |
מה הלאה?
הפוך הרשאת סוג הפעלה / פגישה זו לזמינה עבור חלק מהמשתמשים שלך או את כולם.
1 |
היכנס אל Control Hub, ועבור אל . |
2 |
בחר חשבון משתמש כדי לעדכן ולאחר מכן בחר Meetings. |
3 |
מתוך ההגדרות חלות על תפריט נפתח, בחר את אתר הפגישה שיש לעדכן. |
4 |
סמן את התיבה ליד Pro-End to End Encryption_VOIPonly. |
5 |
סגור את לוח התצורה של המשתמש. |
6 |
חזור על הפעולה עבור משתמשים אחרים במידת הצורך. כדי להקצות זאת למשתמשים רבים, השתמש באפשרות הבאה, הפעל פגישות E2EE עבור משתמשים מרובים. |
1 |
היכנס אל Control Hub, ואז עבור אל . |
2 |
לחץ על אתרים, בחר את אתר Webex עבורו ברצונך לשנות את ההגדרות. |
3 |
במקטע רשיונות ומשתמשים , לחץ על ניהולבצובר. |
4 |
לחץ על צור דוח, והמתן בזמן שאנחנו מכינים את הקובץ. |
5 |
כאשר הקובץ מוכן, לחץ על ייצוא תוצאות ולאחר מכן הורד. (עליך לסגור את החלון המוקפץ הזה באופן ידני לאחר שתלחץ על הורדה.) |
6 |
פתח את קובץ ה- CSV שהורדת לעריכה. יש שורה עבור כל משתמש, והעמודה |
7 |
עבור כל משתמש שברצונך להעניק את סוג ההפעלה החדש, הוסף ההתייחסות לתבנית קובץ Webex CSV מכילה פרטים על מטרתו ותוכן של קובץ ה-CSV. |
8 |
פתח את החלונית 'קביעת תצורה של אתר פגישה' ב'מרכז הבקרה'. אם כבר היית בדף רשימת אתרי הפגישות, ייתכן שיהיה עליך לרענן אותו. |
9 |
במקטע רשיונות ומשתמשים , לחץ על ניהולבצובר. |
10 |
לחץ על ייבא ובחר את ה- CSV הערוך ולאחר מכן לחץ על יבא. המתן בזמן העלאת הקובץ. |
11 |
לאחר סיום הייבוא, באפשרותך ללחוץ על ייבוא תוצאות כדי לסקור אם היו שגיאות. |
12 |
עבור אל דף המשתמשים ופתח אחד מהמשתמשים כדי לוודא שיש לו את סוג ההפעלה החדש. |
באפשרותך להוסיף סימן מים להקלטות פגישות עם סוג ההפעלה של Webex Meetings Pro-End to End Encryption_VOIPonly
, המאפשר לך לזהות את לקוח המקור או המכשיר של הקלטות לא מורשות של פגישות חסויות.
כאשר התכונה הזו מופעלת, שמע הפגישה כולל מזהה ייחודי עבור כל לקוח או מכשיר משתתפים. באפשרותך להעלות הקלטות שמע ל-Control Hub, שמנתח את ההקלטה ומחפש את המזהים הייחודיים. באפשרותך להסתכל על התוצאות כדי לראות איזה לקוח מקור או מכשיר הקליטו את הפגישה.
- על מנת לנתח, ההקלטה חייבת להיות קובץ AAC, MP3, M4A, WAV, MP4, AVI או MOV לא גדול מ-500MB.
- ההקלטה חייבת להיות ארוכה מ-100 שניות.
- באפשרותך לנתח הקלטות רק עבור פגישות המתארחות על-ידי אנשים בארגון שלך.
- פרטי סימן מים נשמרים למשך זמן זהה לפרטי הפגישה של הארגון.
הוסף סימני מים של שמע לפגישות E2EE
- היכנס אל Control Hub, ולאחר מכן תחת Management, בחר הגדרות ארגון.
- במקטע סימני המים של הפגישה , הפעל את האפשרות הוסף סימן מים של שמע.
זמן מה לאחר שינוי המצב, משתמשים מתזמנים פגישות עם סוג ההפעלה
Webex Meetings Pro-End to End Encryption_VOIPonly
ראה אפשרות סימון מים דיגיטלי בקטע 'אבטחה'.
העלה ונתח פגישה מסומנת במים
- ב-Control Hub, תחת ניטור, בחר פתרון בעיות.
- לחץ על ניתוח סימן מים.
- חפש או בחר את הפגישה ברשימה ולאחר מכן לחץ על נתח.
- בחלון ניתוח סימן המים של השמע , הזן שם לניתוח שלך.
- (אופציונלי) הזן הערה לניתוח שלך.
- גרור ושחרר את קובץ השמע כדי לנתח, או לחץ על בחר קובץ כדי לעיין בקובץ השמע.
- לחץ על סיום.
כאשר הניתוח יושלם, הוא יוצג ברשימת התוצאות בדף סימן המים לנתח.
- בחר את הפגישה ברשימה כדי לראות את תוצאות הניתוח. לחצו כדי להוריד את התוצאות.
תכונות ומגבלות
גורמים המעורבים בפענוח בהצלחה של סימן מים מוקלט כוללים את המרחק בין מכשיר ההקלטה לרמקול שקול השמע, עוצמת הקול של השמע, רעש סביבתי וכו'. לטכנולוגיית סימון המים שלנו יש עמידות נוספת לקידוד מספר פעמים, כפי שעלול לקרות כשהתקשורת משותפת.
תכונה זו נועדה לאפשר פענוח מוצלח של מזהה סימן המים בסדרה רחבה אך סבירה של נסיבות. המטרה שלנו היא למכשיר הקלטה, כגון טלפון נייד, שנמצא על שולחן ליד נקודת קצה אישית או לקוח מחשב נייד, תמיד צריך ליצור הקלטה שמביאה ניתוח מוצלח. כאשר מכשיר ההקלטה מתרחק מהמקור, או נסתר מלשמוע את ספקטרום השמע המלא, הסיכויים לניתוח מוצלח מופחתים.
כדי לנתח בהצלחה הקלטה, נדרשת לכידה סבירה של שמע הפגישה. אם שמע של פגישה מוקלט באותו מחשב שמארח את הלקוח, אסור לחול מגבלות.
אם המכשירים שלך כבר נקלטו בארגון Control Hub וברצונך להשתמש ב-Webex CA כדי ליצור אוטומטית את האישורים המזהים שלהם, אין צורך לאפס את המכשירים במפעל.
הליך זה בוחר באיזה תחום משתמש ההתקן כדי לזהות את עצמו, והוא נדרש רק אם יש לך תחומים מרובים בארגון מרכז הבקרה שלך. אם יש לך יותר מתחום אחד, אנו ממליצים לך לעשות זאת עבור כל המכשירים שלך שיהיו בעלי זהות "מאומתת על-ידי Cisco". אם לא תספר ל-Webex איזה דומיין מזהה את המכשיר, אחד ייבחר אוטומטית וייתכן שהוא ייראה שגוי למשתתפים אחרים בפגישה.
לפני שתתחיל
אם המכשירים שלך עדיין לא נקלטו, עקוב אחר רשם מכשיר ל-Cisco Webex באמצעות API או ממשק אינטרנט מקומי או צירוף בענן עבור סדרת Board, Desk ו-Room. עליך גם לאמת את הדומיין/s שברצונך להשתמש בו כדי לזהות את המכשירים ב-Manage לדומיינים שלך.
1 |
היכנס אל Control Hub, ותחת ניהול, בחר מכשירים. |
2 |
בחר התקן כדי לפתוח את לוח התצורה שלו. |
3 |
בחר את התחום שבו ברצונך להשתמש כדי לזהות התקן זה. |
4 |
חזור על הפעולה עבור מכשירים אחרים. |
לפני שתתחיל
-
קבל תעודה חתומה על-ידי CA ומפתח פרטי, בתבנית
.pem
, עבור כל מכשיר. -
תחת לשונית הכנת , יש לקרוא את נושא הבנת תהליך הזהות החיצונית עבור מכשירים,
-
הכן כלי הצפנה של JWE ביחס למידע שם.
-
ודא שיש לך כלי ליצור רצפי בתים אקראיים של אורכים נתונים.
-
ודא שיש לך כלי להצבת כתובת url מקודד בתים או טקסט.
-
ודא שיש לך יישום
scrypt
. -
ודא שיש לך מילה או ביטוי סודיים לכל מכשיר.
1 |
אכלוס את בפעם הראשונה שאתם מאכלסים את למכשיר יש את הסוד הראשוני שלו. אל תשכח זאת; אינך יכול לשחזר אותו ועליך לאפס את המכשיר להגדרות יצרן כדי להתחיל שוב.
|
2 |
שרשור את האישור והמפתח הפרטי שלך: |
3 |
צור כתם JWE שישמש כקלט לפקודת הוספת האישור: |
4 |
פתח את ה- TShell בהתקן והפעל את הפקודה הוספה (מרובת שורות): |
5 |
אמת שהתעודה נוספה על-ידי הפעלת העתק את טביעת האצבע של האישור החדש. |
6 |
הפעל את האישור לצורך להתקן יש אישור מוצפן, פעיל שהונפק על-ידי CA, המוכן לשימוש לזיהויו בפגישות Webex מוצפנות מקצה לקצה.
|
7 |
הצמידו את המכשיר לארגון מרכז הבקרה שלכם. |
1 |
תזמן פגישה מהסוג הנכון (Webex Meetings Pro-End to End Encryption_VOIPonly). |
2 |
הצטרף לפגישה כמארח, מלקוח פגישות Webex. |
3 |
הצטרף לפגישה מהתקן שהזהות שלו מאומתת על-ידי ה- Webex CA. |
4 |
כמארח, ודא שהתקן זה מופיע בלובי עם סמל הזהות הנכון. |
5 |
הצטרף לפגישה מהתקן שהזהות שלו מאומתת על-ידי CA חיצוני. |
6 |
כמארח, ודא שהתקן זה מופיע בלובי עם סמל הזהות הנכון. קבל מידע נוסף על סמלי זהות. |
7 |
הצטרף לפגישה כמשתתף בפגישות לא מאומתות. |
8 |
כמארח, ודא שמשתתף זה מופיע בלובי עם סמל הזהות הנכון. |
9 |
כמארח, להודות או לדחות אנשים / מכשירים. |
10 |
אמת זהויות משתתף/מכשיר במידת האפשר על-ידי בדיקת האישורים. |
11 |
ודא שכולם בפגישה רואים את אותו קוד אבטחה של פגישה. |
12 |
הצטרף לפגישה עם משתתף חדש. |
13 |
ודא שכולם רואים את אותו קוד אבטחה חדש של פגישה. |
-
האם אתה מתכוון להפוך פגישות מוצפנות מקצה לקצה לאפשרות הפגישה המוגדרת כברירת מחדל, או להפוך אותן לזמינות רק עבור משתמשים מסוימים, או לאפשר לכל המארחים להחליט? לאחר שהחלטת כיצד אתה הולך להשתמש בתכונה זו, הכן את המשתמשים שישתמשו בה, במיוחד ביחס למגבלות ולמה לצפות בפגישה.
-
האם אתה צריך להבטיח שלא סיסקו ולא אף אחד אחר יוכל לפענח את התוכן שלך או להתחזות למכשירים שלך? אם כן, אתה זקוק לאישורים מ- CA ציבורי.
-
אם יש לך רמות שונות של אימות זהות, העצמת משתמשים לאמת זה את זה עם זהות מגובת תעודה. למרות שיש נסיבות שבהן המשתתפים יכולים להופיע כלא מאומתים, והמשתתפים צריכים לדעת איך לבדוק, אנשים לא מאומתים עשויים שלא להיות מתחזים.
אם אתה משתמש ב- CA חיצוני כדי להנפיק את אישורי המכשיר שלך, הנטל הוא עליך לנטר, לרענן ולהחיל מחדש אישורים.
אם יצרת את הסוד הראשוני, הבן שהמשתמשים שלך עשויים לרצות לשנות את סוד המכשיר שלהם. ייתכן שיהיה עליך ליצור ממשק/להפיץ כלי כדי לאפשר להם לעשות זאת.
מזהה סוג הפעלה |
שם השירות הציבורי |
---|---|
638 |
הצפנת E2E+VoIP בלבד |
652 |
Pro-End to End Encryption_VOIPonly |
660 |
Pro 3 מקצה לקצה Encryption_VOIPonly הצפנת E2E + זהות |
672 |
Pro 3 חינם50-מקצה לקצה Encryption_VOIPonly |
673 |
מדריך חינוך E2E Encryption_VOIPonly |
676 |
הרחבה סטנדרטית בתוספת הצפנה מקצה לקצה |
677 |
הצפנת Broadworks Premium בתוספת הצפנה מקצה לקצה |
681 |
Schoology חינם בתוספת הצפנה מקצה לקצה |
טבלאות אלה מתארות פקודות API של התקני Webex שהוספנו עבור פגישות מוצפנות מקצה לקצה וזהות מאומתת. לקבלת מידע נוסף אודות אופן השימוש ב- API, ראה גישה ל- API עבור התקני חדר ושולחן עבודה של Webex ולוחותWebex.
פקודות xAPI אלה זמינות רק בהתקנים שהם:
-
רשום ב-Webex
-
רשום באופן מקומי ומקושר ל- Webex עם Webex Edge למכשירים
קריאת API |
תיאור |
---|---|
|
תצורה זו נוצרת כאשר מנהל המערכת מגדיר את התחום המועדף על ההתקן ממרכז הבקרה. הכרחי רק אם לארגון יש יותר מתחום אחד. ההתקן משתמש בתחום זה כאשר הוא מבקש אישור מ- Webex CA. לאחר מכן התחום מזהה את ההתקן. תצורה זו אינה ישימה כאשר להתקן יש אישור פעיל שהונפק באופן חיצוני כדי לזהות את עצמו. |
|
מציין אם המכשיר יכול להצטרף לפגישה מוצפנת מקצה לקצה. ה-API של הענן קורא לזה כך שאפליקציה מותאמת יודעת אם היא יכולה להשתמש במכשיר כדי להצטרף. |
|
מציין אם המכשיר משתמש באימות |
|
זהות ההתקן כפי שנקראה מהשם המשותף של האישור שהונפק מבחוץ. |
|
קורא מידע ספציפי מתוך אישור שהונפק באופן חיצוני. בפקודה המוצגת, החלף
|
|
מצב הזהות החיצונית של ההתקן (לדוגמה, |
|
מציין אם להתקן יש אישור חוקי שהונפק על-ידי ה- Webex CA. |
|
זהות ההתקן כפי שנקראה מהשם המשותף של האישור שהונפק על-ידי Webex. מכיל שם תחום אם לארגון יש תחום. הוא ריק אם לארגון אין תחום. אם המכשיר נמצא בארגון שיש לו מספר דומיינים, זהו הערך מתוך |
|
קורא מידע ספציפי מהאישור שהונפק על-ידי Webex. בפקודה המוצגת, החלף
|
קריאת API |
תיאור |
---|---|
| שלושה אירועים אלה כוללים |
קריאת API |
תיאור |
---|---|
או
| מקבל ערך טקסט רגיל מקודד base64url עבור זריעת סוד הלקוח במכשיר בפעם הראשונה. כדי לעדכן את הסוד לאחר מכן בפעם הראשונה, עליך לספק כתם JWE המכיל את הסוד החדש המוצפן על ידי הסוד הישן. |
| מוסיף אישור (עם מפתח פרטי). הרחבנו פקודה זו כדי לקבל כתם JWE המכיל את נתוני ה- PEM המוצפנים. |
| מפעיל אישור ספציפי עבור WebexIdentity. לשם |
| ביטול הפעלה של אישור ספציפי עבור WebexIdentity. לשם |