Korisničko iskustvo

Korisnici biraju vrstu sastanka kada zakazati sastanak. Prilikom prijema sudionika iz predvorja, kao i tijekom sastanka, domaćin može vidjeti status provjere identiteta svakog sudionika. Postoji i šifra sastanka koja je zajednička svim trenutnim sudionicima sastanka, a pomoću kojega mogu provjeriti da njihov sastanak nije presreo neželjeni napad treće strane Meddler In The Middle (MITM).

Podijelite sljedeće informacije s domaćinima sastanka:

Provjera identiteta s unutarnjim ili vanjskim CA

Potvrdite identitet

Enkripcija s kraja na kraj s provjerom identiteta pruža dodatnu sigurnost za end-to-end šifrirani sastanak.

Kada se sudionici ili uređaji pridruže zajedničkoj MLS (Poruke Layer Security) grupi, oni prezentiraju svoje certifikate drugim članovima grupe, koji zatim provjeravaju certifikate u odnosu na izdavatelje certifikata (CA). Potvrdom da su certifikati valjani, CA provjerava identitet sudionika, a sastanak prikazuje sudionike/uređaje kao provjerene.

Korisnici Webex aplikacije provjeravaju se u Webex trgovini identiteta, koja im izdaje token za pristup kada provjera autentičnosti uspije. Ako im je potreban certifikat za provjeru svog identiteta u end-to-end šifriranom sastanku, Webex CA izdaje im certifikat na temelju njihovog tokena za pristup. Trenutačno ne pružamo način na koji korisnici Webex Meetings mogu dobiti certifikat koji je izdao treći/vanjski CA.

Uređaji se mogu provjeriti pomoću certifikata izdanog od strane internog (Webex) CA ili certifikata izdanog od strane vanjskog CA:

  • Interni CA— Webex izdaje interni certifikat na temelju pristupnog tokena računskog računa uređaja. Certifikat potpisuje Webex CA. Uređaji nemaju korisničke ID-ove na isti način kao korisnici, pa Webex koristi (jednu od) domena vaše organizacije kada piše identitet certifikata uređaja (Common Name (CN)).

  • Vanjski CA—Zatražite i kupite certifikate uređaja izravno od odabranog izdavatelja. Morate šifrirati, izravno prenijeti i autorizirati certifikate koristeći tajnu poznatu samo vama.

    Cisco nije uključen, što ovo čini načinom za jamčenje istinske end-to-end enkripcije i provjerenog identiteta i sprječavanja teorijske mogućnosti da bi Cisco mogao prisluškivati vaš sastanak/dešifrirati vaš medij.

Interno izdan certifikat uređaja

Webex izdaje certifikat uređaju kada se registrira nakon pokretanja i obnavlja ga kada je to potrebno. Za uređaje certifikat uključuje ID računa i domenu.

Ako vaša tvrtka ili ustanova nema domenu, Webex CA izdaje certifikat bez domene.

Ako vaša tvrtka ili ustanova ima više domena, pomoću kontrolnog centra možete web-exu reći koju domenu uređaj koristiti za svoj identitet. Također možete koristiti API xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com" .

Ako imate više domena i ne postavljate željenu domenu za uređaj, Webex odabire jednu za vas.

Izdani certifikat uređaja izvana

Administrator može uređaju dodijeliti vlastiti certifikat koji je potpisan s jednim od javnih tijela za plaćanja.

Certifikat se mora temeljiti na ECDSA P-256 ključnom paru, iako se može potpisati RSA ključem.

Vrijednosti u certifikatu su na diskreciji organizacije. Uobičajeni naziv (CN) i alternativni naziv subjekta (SAN) bit će prikazani u korisničko sučelje Webex sastanak , kao što je opisano u Enkripcija s kraja na kraj s provjerom identiteta za Webex Meetings .

Preporučujemo korištenje zasebnog certifikata po uređaju i jedinstvenog CN-a po uređaju. Na primjer, "meeting-room-1.example.com" za organizaciju koja posjeduje domenu "example.com".

Kako bi se vanjski certifikat u potpunosti zaštitio od neovlaštenog mijenjanja, za šifriranje i potpisivanje različitih xcommandova koristi se tajna značajka klijenta.

Kada koristite tajnu klijenta, moguće je sigurno upravljati vanjskim certifikatom identiteta Webex putem xAPI-ja. To je trenutno ograničeno na internetske uređaje.

Webex trenutno nudi API naredbe za upravljanje ovim.

Značajke i ograničenja

Uređaji

Sljedeći uređaji serije Webex Room i Webex Desk registrirani u oblaku mogu se pridružiti E2EE sastancima:

  • Webex Board

  • Webex Desk Pro

  • Webex stol

  • Webex komplet soba

  • Webex komplet soba Mini

Sljedeći uređaji ne mogu se pridružiti E2EE sastancima:

  • Serija Webex C

  • Webex DX serija

  • Webex EX serija

  • Webex MX serija

  • SIP uređaji drugih proizvođača

Softverski klijenti

  • Webex aplikacija za desktop i mobilne klijente mogu se pridružiti E2EE sastancima.

  • Webex klijent ne može se pridružiti sastancima E2EE.

  • SIP soft klijenti treće strane ne mogu se pridružiti E2EE sastancima.

Identitet

  • Dizajnirano, ne nudimo opcije Control Hub-a za upravljanje vanjskim provjerenim identitetom uređaja. Za pravu end-to-end enkripciju, samo vi trebate znati/pristupiti tajnama i ključevima. Ako uvedemo uslugu u oblaku za upravljanje tim ključevima, postoji mogućnost da ih presretnemo.

  • Trenutačno vam nudimo 'recept' za dizajniranje vlastitih alata, temeljenih na industrijskim standardnim tehnikama šifriranja, za pomoć pri traženju ili šifriranju certifikata identiteta vašeg uređaja i njihovih privatnih ključeva. Ne želimo imati stvarni ili percipirani pristup vašim tajnama ili ključevima.

Sastanci

  • E2EE sastanci trenutno podržavaju najviše 1000 sudionika.

  • Nove ploče možete dijeliti na E2EE sastancima. Postoje neke razlike u odnosu na bijele ploče na redovitim sastancima:
    • Na E2EE sastancima korisnici ne mogu pristupiti bijelim pločama stvorenim izvan sastanka, uključujući privatne ploče, ploče koje dijele drugi i bijele ploče iz Webex prostora.
    • Bijele ploče stvorene na sastancima E2EE dostupne su samo tijekom sastanka. Oni se ne spremaju i nisu dostupni nakon završetka sastanka.
    • Ako netko dijeli sadržaj na sastanku E2EE, možete ga označiti. Za više informacija o napomenama, pogledajte Webex aplikacija| Označite dijeljeni sadržaj bilješkama .

Sučelje za upravljanje

Toplo preporučujemo da koristite Control Hub za upravljanje svojim sastancima jer organizacije Control Hub-a imaju centralizirani identitet za cijelu organizaciju.

Dodatni resursi
Preduvjeti

  • Webex sastanci 41.7.

  • Uređaji serije Webex Room i Webex Desk registrirani u oblaku, rade 10.6.1-RoomOS_ August_ 2021 .

  • Administrativni pristup mjestu web-mjesto sastanka u Control Hubu.

  • Jedna ili više potvrđenih domena u tvrtki ili ustanovi upravljačkog centra (ako koristite Webex CA za izdavanje certifikata uređaja za potvrđeni identitet).

  • Sobe za sastanke za suradnju moraju biti uključene kako bi se korisnici mogli pridružiti iz svog videosustava. Za više informacija pogledajte Dopustite videosustavima da se pridruže sastancima i događajima na vašem Web-mjesto Webex .

Nabavite certifikate uređaja

Možete preskočiti ovaj korak ako vam ne trebaju vanjski provjereni identiteti.

Za najvišu razinu sigurnosti i za provjeru identiteta, svaki uređaj treba imati jedinstveni certifikat koji izdaje pouzdano javno izdavač certifikata (CA).

Morate komunicirati s CA-om kako biste zatražili, kupili i primili digitalne certifikate i stvorili povezane privatne ključeve. Kada tražite certifikat, koristite ove parametre:

  • Certifikat mora izdati i potpisati poznati javni CA.

  • Jedinstven: Preporučujemo korištenje jedinstvenog certifikata za svaki uređaj. Ako koristite jedan certifikat za sve uređaje, ugrožavate svoju sigurnost.

  • Zajednički naziv (CN) i zamjenski naziv predmeta (SAN/s): Oni nisu važni za Webex, ali bi trebale biti vrijednosti koje ljudi mogu čitati i povezati s uređajem. KN će se drugim sudionicima sastanka prikazati kao primarni provjereni identitet uređaja, a ako korisnici pregledaju certifikat putem korisničkog suida sastanka, vidjet će SAN/s. Možda biste željeli koristiti imena kao što su ime.model@primjer.com .

  • Oblik datoteke: Certifikati i ključevi moraju biti u obliku .pem.

  • Svrha: Svrha certifikata mora biti Webex identitet.

  • Generiranje ključeva: Certifikati se moraju temeljiti na ECDSA P-256 parovima ključeva (algoritam digitalnog potpisa eliptične krivulje pomoću krivulje P-256).

    Ovaj se zahtjev ne odnosi na ključ za potpisivanje. CA može koristiti RSA ključ za potpisivanje certifikata.

Pripremite se za ugrađene uređaje

Možete preskočiti ovaj korak ako ne želite koristiti vanjski provjereni identitet sa svojim uređajima.

Ako koristite nove uređaje, nemojte ih još registrirati na Webex. Da biste bili sigurni, nemojte ih u ovom trenutku povezivati s mrežom.

Ako imate postojeće uređaje koje želite nadograditi za korištenje vanjski provjerenog identiteta, morate ih vratiti na tvorničke postavke.

  • Spremite postojeću konfiguraciju ako je želite zadržati.

  • Zakažite prozor kada se uređaji ne koriste ili koristite pristup u fazama. Obavijestite korisnike o promjenama koje mogu očekivati.

  • Osigurajte fizički pristup uređajima. Ako uređajima morate pristupiti putem mreže, imajte na umu da tajne putuju jednostavnim tekstom i ugrožavate svoju sigurnost.

Nakon što dovršite ove korake, dopustite videosustavima da se pridruže sastancima i događajima na vašem web- Web-mjesto Webex .

Razumjeti proces vanjskog identiteta za uređaje

Da biste bili sigurni da medij vašeg uređaja ne može šifrirati nitko osim uređaja, morate šifrirati privatni ključ na uređaju. Dizajnirali smo API-je za uređaj kako bismo omogućili upravljanje šifriranim ključem i certifikatom, koristeći JSON Web Encryption (JWE).

Da bismo osigurali istinsku end-to-end enkripciju putem našeg oblaka, ne možemo biti uključeni u šifriranje i prijenos certifikata i ključa. Ako vam je potrebna ova razina sigurnosti, morate:

  1. Zatražite svoje certifikate.

  2. Generirajte parove ključeva certifikata.

  3. Stvorite (i zaštitite) početnu tajnu za svaki uređaj kako biste posijali mogućnost šifriranja uređaja.

  4. Razvijte i održavajte vlastiti alat za šifriranje datoteka pomoću JWE standarda.

    Proces i (netajni) parametri koji su vam potrebni objašnjeni su u nastavku, kao i recept koji trebate slijediti u razvojnim alatima po izboru. Također pružamo neke podatke o ispitivanju i nastale JWE blobove kako ih očekujemo, kako bismo vam pomogli potvrditi vaš proces.

    Nepodržana referentna implementacija pomoću Python3 i JWCrypto biblioteke dostupna je na zahtjev tvrtke Cisco.

  5. Ulančajte i šifrirajte certifikat i ključ pomoću alata i početne tajne uređaja.

  6. Prenesite dobivenu JWE mrlju na uređaj.

  7. Postavite svrhu šifriranog certifikata koji će se koristiti za Webex identitet i aktivirajte certifikat.

  8. (Preporučeno) Omogućite (ili distribuirajte) svoj alat kako biste korisnicima uređaja omogućili promjenu početne tajne i zaštitili svoje medije od vas.

Kako koristimo JWE format

Ovaj odjeljak opisuje kako očekujemo da se JWE stvori kao ulaz na uređaje, tako da možete izraditi vlastiti alat za stvaranje blobova iz svojih certifikata i ključeva.

Pogledajte na JSON Web enkripcija (JWE) https://datatracker.ietf.org/doc/html/rfc7516 i JSON Web potpis (JWS) https://datatracker.ietf.org/doc/html/rfc7515 .

Koristimo se Kompaktna serijalizacija JSON dokumenta za stvaranje JWE blobova. Parametri koje trebate uključiti prilikom izrade JWE blobova su:

  • JOSE Zaglavlje (zaštićeno). U zaglavlju JSON potpisivanje objekata i šifriranje morate uključiti sljedeće parove vrijednosti ključa:

    • "alg": "dir"

      Izravni algoritam je jedini koji podržavamo za šifriranje korisnog tereta i morate koristiti početnu tajnu klijenta uređaja.

    • "enc": "A128GCM" ili "enc": "A256GCM"

      Podržavamo ova dva algoritma za šifriranje.

    • "cisco-action": "dodaj" ili "cisco-action": "naseljavanje" ili "cisco-action": "aktiviraj" ili "cisco-action": "deaktiviraj"

      To je vlasnički ključ i četiri vrijednosti koje može uzeti. Uveli smo ovaj ključ kako bismo signalizirali svrhu šifriranih podataka ciljanom uređaju. Vrijednosti su nazvane po xAPI naredbama na uređaju na kojem koristite šifrirane podatke.

      Nazvali smo ga cisco-akcija za ublažavanje potencijalnih sukoba s budućim proširenjima JWE-a.

    • "cisco-kdf": { "verzija": "1", "salt": "base64URLEncodedRandom4+Bytes" }

      Još jedan vlasnički ključ. Vrijednosti koje navedete koristimo kao ulazne podatke za izvođenje ključeva na uređaju. The verzija mora biti 1 (verzija naše funkcije izvođenja ključa). Vrijednost od sol mora biti base64 URL kodiran slijed od najmanje 4 bajta, što vi mora birati nasumično.

  • JWE šifrirani ključ . Polje je prazno. Uređaj ga izvodi iz početne ClientSecret .

  • Vektor za inicijalizaciju JWE . Morate navesti vektor inicijalizacije kodirane base64url za dešifriranje tereta. IV MORA biti slučajna vrijednost od 12 bajtova (koristimo obitelj šifre AES-GCM, koja zahtijeva da IV bude dugačak 12 bajtova).

  • JWE AAD (dodatni provjereni podaci). Ovo polje morate izostaviti jer nije podržano u sažetoj serijalizaciji.

  • Šifrirani tekst JWE : Ovo je šifrirani teret koji želite zadržati u tajnosti.

    Korisni teret MOŽE biti prazan. Na primjer, da biste resetirali tajnu klijenta, trebate je prepisati praznom vrijednošću.

    Postoje različite vrste korisnih tereta, ovisno o tome što pokušavate učiniti na uređaju. Različite xAPI naredbe očekuju različita tereta, a vi morate navesti svrhu korisnog opterećenja s cisco-akcija ključ, kako slijedi:

    • Sa "cisco-action": "populate" šifrirani tekst je novi ClientSecret .

    • sa " "cisco-action":"dodaj" šifrirani tekst je PEM blob koji nosi certifikat i njegov privatni ključ (konkatenirani).

    • sa " "cisco-action": "aktiviraj" šifrirani tekst je otisak prsta (heksadecimalni prikaz sha-1) certifikata koji aktiviramo radi provjere identiteta uređaja.

    • sa " "cisco-action": "deaktiviraj" šifrirani tekst je otisak prsta (heksadecimalni prikaz sha-1) certifikata koji deaktiviramo da se ne koristi za provjeru identiteta uređaja.

  • JWE oznaka za provjeru autentičnosti: Ovo polje sadrži oznaku za provjeru autentičnosti kako bi se utvrdio integritet cijelog JWE kompaktno serijaliziranog bloba

Kako izvodimo ključ za ključ za šifriranje iz ClientSecret

Nakon prve populacije tajne, ne prihvaćamo niti izlazimo iz tajne kao običan tekst. Time se želi spriječiti potencijalni napadi rječnika od strane nekoga tko bi mogao pristupiti uređaju.

Softver uređaja koristi klijentsku tajnu kao ulaz u funkciju izvođenja ključeva (kdf), a zatim koristi izvedeni ključ za dešifriranje /šifriranje sadržaja na uređaju.

To za vas znači da vaš alat za proizvodnju JWE blobs mora slijediti isti postupak kako bi iz klijentske tajne izvući isti ključ za šifriranje / dešifriranje.

Uređaji koriste kriptu za izvođenje ključeva (vidi https://en.wikipedia.org/wiki/Scrypt), sa sljedećim parametrima:

  • CostFactor (N) je 32768

  • BlockSizeFactor (r) je 8

  • ParallelizationFactor (p) je 1

  • Salt je nasumični slijed od najmanje 4 bajta; morate dostaviti ovo isto sol prilikom navođenja cisco-kdf parametar.

  • Duljine tipki su ili 16 bajtova (ako odaberete algoritam AES-GCM 128) ili 32 bajtova (ako odaberete algoritam AES-GCM 256)

  • Maksimalna memorijska kapica iznosi 64 MB

Ovaj skup parametara jedina je konfiguracija kripte koja je kompatibilna s funkcijom izvođenja ključa na uređajima. Ovaj kdf na uređajima se zove "verzija": "1" , što je jedina verzija koju trenutno preuzima cisco-kdf parametar.

Obrađeni primjer

Evo primjera koji možete slijediti kako biste provjerili funkcionira li vaš postupak JWE šifriranja isto kao i proces koji smo stvorili na uređajima.

Primjer scenarija je dodavanje PEM bloba uređaju (oponaša dodavanje certifikata, s vrlo kratkim nizom umjesto punim certifikatom + ključem). Tajna klijenta u primjeru je osifraga .

  1. Odaberite šifru šifriranja. Ovaj primjer koristi A128GCM (AES sa 128-bitnim ključevima u načinu Galois Counter). Vaš bi alat mogao koristiti A256GCM ako ti je draže.

  2. Odaberite sol (mora biti slučajni slijed od najmanje 4 bajtova). Ovaj primjer koristi (hex bajtova) E5 E6 53 08 03 F8 33 F6 . Base64url kodira sekvencu za dobivanje 5eZTCAP4M_ Y (uklonite base64 padding).

  3. Evo primjera skripta nazovite za stvaranje ključ za šifriranje sadržaja (cek):

    cek=scrypt(password="ossifrage", sol=4-byte-sequence, N=32768, r=8, p=1, keylength=16)

    Izvedeni ključ trebao bi biti 16 bajtova (heksale) kako slijedi:95 9e ba 6d d1 22 01 05 78 fe 6a 9d 22 78 ff ac na koji base64url kodira lZ66bdEiAQV4_mqd janj_r A .

  4. Odaberite slučajni slijed od 12 bajtova koji će se koristiti kao vektor inicijalizacije. Ovaj primjer koristi (hex) 34 b3 5d dd 5f 53 7b af 2d 92 95 83 na koji base64url kodira NLNd3V9Te68tkpWD .

  5. Stvorite JOSE zaglavlje kompaktnom serijalizacijom (slijedite isti redoslijed parametara koje ovdje koristimo), a zatim ga šifrirajte na bazi64url:

    {"alg":"dir","cisco-action":"add","cisco-kdf":{"salt":"5eZTCAP4M_ Y","version":"1"},"enc":"A128GCM"}

    Zaglavlje JOSE kodirano base64url je eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZQW5j9

    To će biti prvi element JWE bloba.

  6. Drugi element JWE bloba je prazan, jer ne isporučujemo JWE ključ za šifriranje.

  7. Treći element JWE blob-a je vektor inicijalizacije NLNd3V9Te68tkpWD .

  8. Upotrijebite svoj JWE alat za šifriranje kako biste proizveli šifrirani korisni teret i oznaku. Za ovaj primjer, nekriptirani korisni teret bit će lažni PEM blob ovo je PEM datoteka

    Parametri šifriranja koje biste trebali koristiti su:

    • Nosivost je ovo je PEM datoteka

    • Šifra za šifriranje je AES 128 GCM

    • Zaglavlje BAZE64url kodiralo je JOSE kao dodatne provjerene podatke (AAD)

    Base64url kodira šifrirani korisni teret, što bi trebalo rezultirati f5lLVuWNfKfmzYCo1YJfODhQ

    Ovo je četvrti element (JWE Ciphertext) u JWE blob.

  9. Base64url kodira oznaku koju ste proizveli u koraku 8, što bi trebalo rezultirati PE-wDFWGXFFBeo928cfZ1Q

    Ovo je peti element u JWE grudnoj kugli.

  10. Ulančajte pet elemenata JWE bloba s točkicama (JOSEheader.. IV.Ciphertext.Tag) da biste dobili:

    eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

  11. Ako ste izvedene iste vrijednosti kodirane u bazi64url kao što prikazujemo ovdje, koristeći vlastite alate, spremni ste ih koristiti za zaštitu E2E šifriranja i potvrđenog identiteta vaših uređaja.

  12. Ovaj primjer zapravo neće raditi, ali u načelu bi vaš sljedeći korak bio korištenje JWE bloba koji ste gore stvorili kao ulaz u xcommand na uređaju koji dodaje certifikat:

    xCommand sigurnosni certifikati Dodaj eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

Vrste sesija za sastanke bez povjerenja dostupne su svim mjestima za sastanke bez dodatnih troškova. Jedan od ovih tipova sesije zove se Pro-End to End Encryption_ Samo za VOIP . Ovo je Naziv javne službe , što bismo mogli promijeniti u budućnosti. Trenutne nazive vrsta sesija potražite u članku ID-ovi vrste sesije u odjeljku Referenca ovog članka.

Ne morate ništa učiniti da biste dobili ovu mogućnost za svoju stranicu; morate dodijeliti novu vrstu sesije (također tzv Privilegija susreta ) korisnicima. To možete učiniti pojedinačno putem korisnikove konfiguracijske stranice ili skupno s CSV izvozom/uvozom.

Provjerite novu vrstu sesije
1

Prijavite se u okruženje Control Hub te idite na Usluge > Sastanak.

2

Kliknite na Web-mjesta, odaberite web-mjesto Webex za koje želite promijeniti postavke, a zatim kliknite na Postavke.

3

U odjeljku Uobičajene postavkeodaberite Vrste sesija.

4
Trebali biste vidjeti jednu ili više vrsta sesija end-to-end enkripcije. Pogledajte popis ID-ova vrste sesije u odjeljku Referenca ovog članka. Na primjer, možda ćete vidjeti Pro-End to End Encryption_VOIPonly.

Postoji starija vrsta sesije s vrlo sličnim nazivom: Pro-End to End Enkripcija . Ova vrsta sesije uključuje nešifrirani PSTN pristup sastancima. Provjerite imate li_ Samo za VOIP verziju kako bi se osigurala end-to-end enkripcija. Možete provjeriti tako da zadržite pokazivač iznad PRO veza u stupcu koda sesije; za ovaj primjer, cilj veze bi trebao biti javascript:ShowFeature(652) .

Nazive javnih usluga za ove vrste sesija možemo promijeniti u budućnosti.

5

Ako još nemate novu vrstu sesije, obratite se predstavniku Webexa.

Što učiniti sljedeće

Omogućite ovu vrstu sesije / privilegiju sastanka nekim ili svim korisnicima.

Omogućite sastanke E2EE za pojedinačne korisnike
1

Prijavite se na Kontrolno čvorište , i idite na Upravljanje > Korisnici .

2

Odaberite korisnički račun za ažuriranje, a zatim odaberite Sastanci .

3

Od Postavke se odnose na padajući izbornik odaberite mjesto web-mjesto sastanka za ažuriranje.

4

Označite okvir pored Pro-End to End Encryption_ Samo za VOIP .

5

Zatvorite konfiguracijsku ploču korisnika.

6

Ponovite postupak za druge korisnike ako je potrebno.

Da biste ovo dodijelili mnogim korisnicima, koristite sljedeću opciju, Omogućite sastanke E2EE za više korisnika .

Omogućite sastanke E2EE za više korisnika
1

Prijavite se u okruženje Control Hub te idite na Usluge > Sastanak.

2

Kliknite web-mjesta , odaberite web- Web-mjesto Webex za koje želite promijeniti postavke.

3

U odjeljku Licence i korisnici kliknite Masovno upravljanje.

4

Kliknite Generiraj izvješće , i pričekajte dok pripremimo datoteku.

5

Kada je datoteka spremna, kliknite Izvezi rezultate, a zatim Preuzmi. (Morate ručno zatvoriti taj skočni prozor nakon što kliknete Preuzmi .)

6

Otvorite preuzetu CSV datoteku za uređivanje.

Za svakog korisnika postoji red i MeetingPrivilege stupac sadrži njihove ID-ove tipa sesije kao popis razdvojen zarezima.

7

Za svakog korisnika kojem želite dodijeliti novu vrstu sesije dodajte 1561 kao nova vrijednost na popisu razdvojenom zarezima u MeetingPrivilege stanica.

The Referenca za format CSV datoteke Webex sadrži pojedinosti o namjeni i sadržaju CSV datoteka.

8

Otvorite konfiguracijsku ploču web-mjesta sastanka u kontrolnom središtu.

Ako ste već bili na stranici popisa web-mjesta sastanka, možda ćete je morati osvježiti.

9

U odjeljku Licence i korisnici kliknite Masovno upravljanje.

10

Kliknite Uvezi i odaberite uređeni CSV, a zatim kliknite Uvezi. Pričekajte dok se datoteka ne prenese.

11

Kada je uvoz dovršen, kliknite Uvezi rezultate da biste pregledali je li bilo pogrešaka.

12

Idite na stranicu Korisnici i otvorite jedan od korisnika da biste provjerili imaju li novu vrstu sesije.

Za sigurnost dodajte zvučni vodeni žig

Snimkama sastanka možete dodati vodeni žig pomoću Webex Meetings Pro-End to End Encryption_ Samo za VOIP tip sesije, koji vam omogućuje identificiranje izvornog klijenta ili uređaja neovlaštenih snimanja povjerljivih sastanaka.

Kada je ova značajka omogućena, zvuk sastanka uključuje jedinstveni identifikator za svakog klijenta ili uređaja koji sudjeluje. Možete prenijeti audiosnimke u Control Hub, koji zatim analizira snimku i traži jedinstvene identifikatore. Možete pogledati rezultate da biste vidjeli koji je izvorni klijent ili uređaj snimio sastanak.

  • Da bi se mogla analizirati, snimka mora biti datoteka AAC, MP3, M4A, WAV, MP4, AVI ili MOV ne veća od 500 MB.
  • Snimka mora biti dulja od 100 sekundi.
  • Možete analizirati samo snimke sastanaka koje su organizirali ljudi u vašoj organizaciji.
  • Informacije o vodenom žigu čuvaju se isto vrijeme kao i informacije o sastanku organizacije.

Dodajte audio vodene žigove sastancima E2EE

  1. Prijavite se na Kontrolno čvorište , zatim ispod Upravljanje , odaberite Postavke organizacije .
  2. U Susret sa vodenim žigovima odjeljak, uključite Dodaj audio vodeni žig .

    Neko vrijeme nakon što je ovo uključeno, korisnici zakazuju sastanke s Webex Meetings Pro-End to End Encryption_ Samo za VOIP vrsta sesije vidi a Digitalni vodeni žig opciju u odjeljku Sigurnost.

Prenesite i analizirajte sastanak s vodenim žigom

  1. U Control Hubu, pod Praćenje , odaberite Rješavanje problema .
  2. Kliknite Analiza vodenog žiga .
  3. Potražite ili odaberite sastanak na popisu, a zatim kliknite Analizirati .
  4. U Analizirajte audio vodeni žig prozoru, unesite naziv za svoju analizu.
  5. (Neobavezno) Unesite bilješku za svoju analizu.
  6. Povucite i ispustite audio datoteku koju želite analizirati ili kliknite Odaberite datoteku za pregledavanje audio datoteke.
  7. Kliknite Zatvori.

    Kada se analiza završi, ona će se prikazati na popisu rezultata na Analizirajte vodeni žig stranica.

  8. Odaberite sastanak na popisu da biste vidjeli rezultate analize. KlikniteGumb Preuzmi za preuzimanje rezultata.

Značajke i ograničenja

Čimbenici uključeni u uspješno dekodiranje snimljenog vodenog žiga uključuju udaljenost između uređaja za snimanje i zvučnika koji emitira zvuk, glasnoću tog zvuka, buku iz okoliša itd. Naša tehnologija vodenog žiga ima dodatnu otpornost na višestruko kodiranje, što se može dogoditi kada se medij dijeli.

Ova je značajka osmišljena kako bi omogućila uspješno dekodiranje identifikatora vodenog žiga u širokom, ali razumnom nizu okolnosti. Naš cilj je da uređaj za snimanje, kao što je mobilni telefon, koji leži na stolu u blizini osobne krajnje točke ili klijenta prijenosnog računala, uvijek treba napraviti snimku koja rezultira uspješnom analizom. Kako se uređaj za snimanje udaljava od izvora ili je zaklonjen od slušanja cijelog audio spektra, šanse za uspješnu analizu se smanjuju.

Za uspješnu analizu snimke potrebno je razumno snimanje zvuka sastanka. Ako je zvuk sastanka snimljen na istom računalu na kojem se nalazi klijent, ograničenja se ne bi trebala primjenjivati.

Ugrađeni uređaji (interni CA)

Ako su vaši uređaji već uključeni u vašu organizaciju Control Hub-a i želite koristiti Webex CA za automatsko generiranje njihovih identifikacijskih certifikata, ne morate vraćati uređaje na vraćanje na tvorničke postavke .

Ovaj postupak odabire domenu koju uređaj koristi za identifikaciju i potreban je samo ako imate više domena u tvrtki ili ustanovi kontrolnog centra. Ako imate više domena, preporučujemo da to učinite za sve svoje uređaje koji će imati identitet "Cisco-provjeren". Ako Webex ne kažete koja domena identificira uređaj, jedan će se automatski odabrati i drugim sudionicima sastanka može izgledati pogrešno.

Prije početka

Ako vaši uređaji još nisu uključeni, slijedite ih Registrirajte uređaj na Cisco Webex pomoću API -ja ili lokalnog Web sučelja ili Cloud onboarding za Board, Desk i Room Series . Također biste trebali potvrditi domenu/e koje želite koristiti za identifikaciju uređaja Upravljajte svojim domenama .

1

Prijavite se na Kontrolno čvorište , i ispod Upravljanje , odaberite Uređaji .

2

Odaberite uređaj da biste otvorili njegovu konfiguracijsku ploču.

3

Odaberite domenu koju želite koristiti za identifikaciju ovog uređaja.

4

Ponovite postupak za druge uređaje.

Ugrađeni uređaji (vanjski CA)

Prije početka

  • Nabavite certifikat s potpisom CA i privatni ključ .pem formatu za svaki uređaj.

  • Ispod Pripremite se tab, pročitaj temu Razumijevanje procesa vanjskog identiteta za uređaje ,

  • Pripremite JWE alat za enkripciju s obzirom na tamošnje informacije.

  • Provjerite imate li alat za generiranje nasumičnih nizova bajtova zadane duljine.

  • Provjerite imate li alat za base64url kodiranje bajtova ili teksta.

  • Provjerite imate li skripta provedba.

  • Provjerite imate li tajnu riječ ili izraz za svaki uređaj.

1

Popunite uređaj ClientSecret s tajnom običnog teksta:

Prvi put kada popunite Tajna , dostavljate ga u obliku običnog teksta. Zato preporučamo da to učinite na konzoli fizičkog uređaja.

  1. Base64url kodira tajnu frazu za ovaj uređaj.

  2. Otvorite TShell na uređaju.

  3. Trči xcommand Security ClientSecret Popune tajna: "MDEyMzQ1Njc4OWFiY2RlZg"

    Gornja naredba za primjer popunjava Tajna s frazom0123456 789abcdef . Moraš izabrati svoju.

Uređaj ima svoju početnu tajnu. Ne zaboravite ovo; ne možete ga oporaviti i morate vratiti uređaj na tvorničke postavke da biste ponovno pokrenuli.
2

Ulančajte certifikat i privatni ključ:

  1. Pomoću uređivača teksta otvorite .pem datoteke, zalijepite ključ blob certifikata i spremite ga kao novu .pem datoteku.

    Ovo je tekst korisnog opterećenja koji ćete šifrirati i staviti u svoj JWE blob.

3

Stvorite JWE blob koji će se koristiti kao ulaz u naredbu za dodavanje certifikata:

  1. Stvorite slučajni slijed od najmanje 4 bajtova. Ovo je tvoja sol.

  2. Pomoću alata za šifriranje sadržaja iznesite ključ za šifriranje sadržaja.

    Za to vam je potrebna tajna, sol i ključna duljina koja odgovara odabranoj šifri za šifriranje. Postoje i neke druge fiksne vrijednosti za opskrbu (N=32768, r=8, p=1). Uređaj koristi isti postupak i vrijednosti za dobivanje istog ključa za šifriranje sadržaja.

  3. Stvorite slučajni slijed od točno 12 bajtova. Ovo je tvoj vektor inicijalizacije.

  4. Napravite zaglavlje JOSE, postavku alg , enc , i cisco-kdf ključeve kako je opisano u Razumijevanje procesa vanjskog identiteta za uređaje . Postavite akciju "dodaj" pomoću ključa:vrijednost "cisco-action":"dodaj" u zaglavlju JOSE (jer dodajemo certifikat na uređaj).

  5. Base64url kodira JOSE zaglavlje.

  6. Koristite svoj JWE alat za šifriranje s odabranom šifrom i zaglavljem JOSE kodiranog base64url za šifriranje teksta iz ulančane pem datoteke.

  7. Base64url kodira vektor inicijalizacije, šifrirani PEM teret i oznaku za provjeru autentičnosti.

  8. Konstruirajte JWE blob na sljedeći način (sve vrijednosti su kodirane u bazu64url):

    JOSEHeader..InitVector.EncryptedPEM.AuthTag

4

Otvorite TShell na uređaju i pokrenite naredbu (višeredno dodavanje): 

xcommand Security Certificates Services Dodaj IsEncrypted: Istina je vaš..JWE.str.ing\n .\n
5

Provjerite je li certifikat dodan pokretanjem xcommand Security Certificates Services Show

Kopirajte otisak prsta novog certifikata.

6

Aktivirajte certifikat za tu svrhu WebexIdentity :

  1. Pročitajte otisak prsta certifikata, bilo iz samog certifikata ili iz izlaza xcommand Security Certificates Services Show .

  2. Stvorite slučajni slijed od najmanje 4 bajtova, a base64url kodirajte taj slijed. Ovo je tvoja sol.

  3. Pomoću alata za šifriranje sadržaja iznesite ključ za šifriranje sadržaja.

    Za to vam je potrebna tajna, sol i ključna duljina koja odgovara odabranoj šifri za šifriranje. Postoje i neke druge fiksne vrijednosti za opskrbu (N=32768, r=8, p=1). Uređaj koristi isti postupak i vrijednosti za dobivanje istog ključa za šifriranje sadržaja.

  4. Stvorite slučajni slijed od točno 12 bajtova i base64url kodirajte taj slijed. Ovo je tvoj vektor inicijalizacije.

  5. Napravite zaglavlje JOSE, postavku alg , enc , i cisco-kdf ključeve kako je opisano u Razumijevanje procesa vanjskog identiteta za uređaje . Postavite akciju "aktiviraj" pomoću ključa:vrijednost "cisco-action": "aktiviraj" u vašem zaglavlju JOSE (jer aktiviramo certifikat na uređaju).

  6. Base64url kodira JOSE zaglavlje.

  7. Upotrijebite svoj JWE alat za šifriranje s odabranom šifrom i zaglavljem JOSE kodirane baze64url za šifriranje otiska prsta certifikata.

    Alat bi trebao imati slijed od 16 ili 32 bajtova, ovisno o tome jeste li odabrali 128 ili 256-bitni AES-GCM i oznaku za provjeru autentičnosti.

  8. Base64urlencode šifrirani otisak prsta i oznaku za provjeru autentičnosti.

  9. Konstruirajte JWE blob na sljedeći način (sve vrijednosti su kodirane u bazu64url):

    JOSEHeader..InitVector.EncryptedFingerprint.AuthTag

  10. Otvorite TShell na uređaju i pokrenite sljedeću naredbu za aktivaciju:

     xcommand Security Certificates Services Activate Svrha: WebexIdentity otisak prsta: "Vaš..JWE.šifrirani.otisak prsta"

Uređaj ima šifrirani, aktivni, CA-izdani certifikat, spreman za identifikaciju na end-to-end šifriranim Webex sastancima.
7

Uključite uređaj u tvrtku ili ustanovu upravljačkog centra.

Testirajte end-to-end enkripciju s provjerom identiteta
1

Zakažite sastanak odgovarajuće vrste (Webex sastanci od kraja do kraja Encryption_VOIPonly).

Pogledajte Zakazivanje web-sastanka pomoću end-to-end šifriranja.

2

Uključite se u sastanak kao domaćin iz klijenta Webex sastanaka.

Pogledajte Uključivanje u web-ex sastanak s end-to-end šifriranjem.

3

Uključite se u sastanak s uređaja na kojem je webex CA potvrdio svoj identitet.

4

Kao glavno računalo provjerite pojavljuje li se ovaj uređaj u predvorju s ispravnom ikonom identiteta.

Pogledajte Uključivanje u web-ex sastanak s end-to-end šifriranjem.

5

Uključite se u sastanak s uređaja na kojem je vanjski CA potvrdio svoj identitet.

6

Kao glavno računalo provjerite pojavljuje li se ovaj uređaj u predvorju s ispravnom ikonom identiteta. Saznajte više o ikonama identiteta .

7

Uključite se u sastanak kao neprovjereni sudionik sastanaka.

8

Kao domaćin provjerite pojavljuje li se ovaj sudionik u predvorju s ispravnom ikonom identiteta.

9

Kao domaćin, priznajte ili odbacite ljude / uređaje.

10

Potvrdite identitet sudionika/uređaja gdje je to moguće provjerom certifikata.

11

Provjerite vide li svi u sastanku isti sigurnosni kod sastanka.

12

Uključite se u sastanak s novim sudionikom.

13

Provjerite vide li svi isti, novi sigurnosni kod sastanka.

Postavljanje opsega i očekivanja

  • Hoćete li end-to-end šifrirane sastanke učiniti zadanom opcijom sastanka ili je omogućiti samo nekim korisnicima ili dopustiti svim domaćinima da odluče? Kada odlučite kako ćete koristiti ovu značajku, pripremite one korisnike koji će je koristiti, posebno s obzirom na ograničenja i što možete očekivati na sastanku.

  • Trebate li osigurati da ni Cisco ni bilo tko drugi ne može dešifrirati vaš sadržaj ili oponašati vaše uređaje? Ako je tako, potrebni su vam certifikati javnog CA- a.

  • Ako imate različite razine provjere identiteta, omogućite korisnicima da provjeravaju jedni druge pomoću identiteta podržanog certifikatom. Iako postoje okolnosti u kojima se sudionici mogu pojaviti kao neprovjereni, a sudionici bi trebali znati provjeriti, neprovjereni ljudi možda nisu varalice.

Upravljanje identitetom

Ako za izdavanje certifikata uređaja koristite vanjski CA, onus je na vama da pratite, osvježavate i ponovno primjenjujete certifikate.

Ako ste stvorili početnu tajnu, shvatite da vaši korisnici možda žele promijeniti tajnu svog uređaja. Možda ćete morati stvoriti sučelje/distribuirati alat da biste im to omogućili.

ID-ovi vrste sesije
Tablica 1. ID-ove vrste sesije za end-to-end šifrirane sastanke

ID vrste sesije

Naziv javne usluge

638

Samo E2E Enkripcija+VoIP

652

Pro-End to End EVOIPonlyncryption_

660

Pro 3 Free-End to End EVOIPonlyncryption_

E2E enkripcija + identitet

672

Pro 3 Free50-End to End EVOIPonlyncryption_

673

Instruktor obrazovanja E2E EVOIPonlyncryption_

676

Broadworks Standard plus end to end enkripcija

677

Broadworks Premium plus end to end enkripcija

681

Schoology Free plus end to end enkripcija

Povezane xAPI naredbe

Ove tablice opisuju API naredbe webex uređaja koje smo dodali za end-to-end šifrirane sastanke i provjereni identitet. Dodatne informacije o korištenju API-ja potražite u članku Pristup API-jem za Webex room i desk uređaje te Webex ploče.

Ove xAPI naredbe dostupne su samo na uređajima koji su:

  • Registriran na Webex

  • Registriran lokalno i povezan s Webexom s Webex Edgeom za uređaje

Tablica 2. API-je na razini sustava za end-to-end šifrirane sastanke i provjereni identitet

API poziv

Opis

xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com"

Ta se konfiguracija vrši kada administrator postavi željenu domenu uređaja iz kontrolnog središta. Potrebno samo ako organizacija ima više domena.

Uređaj koristi ovu domenu kada zatraži certifikat od Webex CA. Domena zatim identificira uređaj.

Ova konfiguracija nije primjenjiva kada uređaj ima aktivan, vanjski izdan certifikat za identifikaciju.

xStatus Conference EndToEndEncryption Dostupnost

Označava može li se uređaj pridružiti end-to-end šifriranom sastanku. API u oblaku naziva ga tako da uparena aplikacija zna može li koristiti uređaj za pridruživanje.

xStatus konferencija EndToEndEncryption Provjera vanjskog identiteta

Označava koristi li uređaj Vanjski provjeru (ima vanjski certifikat).

xStatus Conference EndToEndEncryption ExternalIdentity Identity

Identitet uređaja koji se očitava iz zajedničkog naziva vanjskog certifikata.

xStatus Conference EndToEndEncryption ExternalIdentity CertificateChain Certifikat # specificinfo

Čita određene informacije iz vanjsko izdanog certifikata.

U prikazanoj naredbi zamijenite # s brojem potvrde. Zamijenite specificinfo s jednim od:

  • Otisak prsta

  • NeNakon datum završetka

  • Ne Prije datum početka

  • PrimaryName

  • Algoritam javnog ključa

  • serijski broj

  • Algoritam potpisa

  • Predmet # ime Popis predmeta za certifikat (npr. adresa e-pošte ili naziv domene)

  • valjanost Daje status valjanosti ove potvrde (npr valjano ili istekao )

xStatus Conference EndToEndEncryption ExternalIdentity Status

Status vanjskog identiteta uređaja (npr. valjano ili pogreška ).

xStatus konferencija EndToEndEncryption Provjera unutarnjeg identiteta

Označava ima li uređaj valjani certifikat koji je izdao Webex CA.

xStatus konferencija EndToEndEncryption InternalIdentity Identity

Identitet uređaja koji se čita iz zajedničkog naziva certifikata izdanog na Webexu.

Sadrži naziv domene ako organizacija ima domenu.

Prazna je ako organizacija nema domenu.

Ako je uređaj u organizaciji koja ima više domena, ovo je vrijednost iz PreferredDomain .

xStatus Conference EndToEndEncryption InternalIdentity CertificateChain Certifikat # specificinfo

Čita određene informacije iz certifikata izdanog na Webexu.

U prikazanoj naredbi zamijenite # s brojem potvrde. Zamijenite specificinfo s jednim od:

  • Otisak prsta

  • NeNakon datum završetka

  • Ne Prije datum početka

  • PrimaryName

  • Algoritam javnog ključa

  • serijski broj

  • Algoritam potpisa

  • Predmet # ime Popis predmeta za certifikat (npr. adresa e-pošte ili naziv domene)

  • valjanost Daje status valjanosti ove potvrde (npr valjano ili istekao )

Tablica 3. Pozivni API-je za end-to-end šifrirane sastanke i provjereni identitet

API poziv

Opis

xEvent Conference ParticipantList ParticipantAdded

xEvent Conference ParticipantList ParticipantAžuriran

xEvent Conference ParticipantList ParticipantDeleted

Ova tri događaja sada uključuju EndToEndEncryptionStatus , EndToEndEncryptionIdentity , i EndToEndEndEncryptionCertInfo za pogođenog sudionika.

Stol 4. API-je povezani s klijentomSecret za end-to-end šifrirane sastanke i provjereni identitet

API poziv

Opis

xCommand Security ClientSecret Populate Secret: "base64url-encoded"

ili

xCommand Security ClientSecret Popune tajna: JWEblob

Prihvaća osnovnu vrijednost običnog teksta kodirane u bazi64url za posijanje tajne klijenta na uređaju po prvi put.

Da biste ažurirali tajnu nakon toga prvi put, morate dostaviti JWE blob koji sadrži novu tajnu šifriranu starom tajnom.

xCommand Security Certificates Services Add JWEblob

Dodaje certifikat (s privatnim ključem).

Proširili smo ovu naredbu kako bismo prihvatili JWE blob koji sadrži šifrirane PEM podatke.

xCommand Security Certificates Services Activate Svrha:WebexIdentity Fingerprint: JWEblob

Aktivira određeni certifikat za WebexIdentity. Za ovo Svrha , naredba zahtijeva da identifikacijski otisak prsta bude šifriran i serijaliziran u JWE blob.

xCommand Security Certificates Services Deaktiviraj Svrha:WebexIdentity Fingerprint: JWEblob

Deaktivira određeni certifikat za WebexIdentity. Za ovo Svrha , naredba zahtijeva da identifikacijski otisak prsta bude šifriran i serijaliziran u JWE blob.