Zero-Trust Security tvrtke Webex pruža end-to-end šifriranje i snažnu provjeru identiteta na zakazanim sastancima i sastancima u osobnoj sobi.
Korisnici biraju vrstu sastanka kada zakazati sastanak. Prilikom prijema sudionika iz predvorja, kao i tijekom sastanka, domaćin može vidjeti status provjere identiteta svakog sudionika. Postoji i kod sastanka koji je zajednički svim trenutnim sudionicima sastanka, a koji mogu koristiti za međusobno provjeravanje.
Podijelite sljedeće informacije sa svojim domaćinima sastanka:
Pridružite se Webex sastanku s end-to-end enkripcijom
Potvrdite identitet
Enkripcija s kraja na kraj s provjerom identiteta pruža dodatnu sigurnost za end-to-end šifrirani sastanak.
Kada se sudionici ili uređaji pridruže zajedničkoj MLS (Poruke Layer Security) grupi, oni prezentiraju svoje certifikate drugim članovima grupe, koji zatim provjeravaju certifikate prema izdavateljima certifikata (CA). Potvrdom da su certifikati valjani, CA provjerava identitet sudionika, a sastanak prikazuje sudionike/uređaje kao provjerene.
Korisnici Webex aplikacije provjeravaju se u Webex trgovini identiteta, koja im izdaje token za pristup kada provjera autentičnosti uspije. Ako im je potreban certifikat za provjeru svog identiteta u end-to-end šifriranom sastanku, Webex CA izdaje im certifikat na temelju njihovog tokena za pristup. Trenutačno ne pružamo način na koji korisnici Webex Meetings mogu dobiti certifikat koji je izdao treći/vanjski CA.
Uređaji se mogu autentificirati pomoću certifikata koji je izdao interni (Webex) CA ili certifikata koji je izdao vanjski CA:
Interni CA— Webex izdaje interni certifikat na temelju pristupnog tokena računskog računa uređaja. Certifikat je potpisao Webex CA. Uređaji nemaju korisničke ID-ove na isti način kao korisnici, pa Webex koristi (jednu od) domena vaše organizacije kada upisuje identitet certifikata uređaja (Common Name (CN)).
Vanjski CA—Zatražite i kupite certifikate uređaja izravno od odabranog izdavatelja. Morate šifrirati, izravno prenijeti i autorizirati certifikate koristeći samo vama poznatu tajnu.
Cisco nije uključen, što ovo čini načinom za jamčenje istinske end-to-end enkripcije i provjerenog identiteta i sprječavanja teorijske mogućnosti da bi Cisco mogao prisluškivati vaš sastanak/dešifrirati vaš medij.
Interno izdani certifikat uređaja
Webex izdaje certifikat uređaju kada se registrira nakon pokretanja i obnavlja ga po potrebi. Za uređaje, certifikat uključuje ID računa i domenu.
Ako vaša organizacija nema domenu, Webex CA izdaje certifikat bez domene.
Ako vaša organizacija ima više domena, možete koristiti Control Hub da kažete Webex koju domenu uređaj treba koristiti za svoj identitet. Također možete koristiti API xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com"
.
Ako imate više domena i ne postavite željenu domenu za uređaj, Webex odabire jednu za vas.
Vanjski izdani certifikat uređaja
Administrator može osigurati uređaj s vlastitim certifikatom koji je potpisan s jednim od javnih CA-ova.
Certifikat se mora temeljiti na paru ključeva ECDSA P-256, iako se može potpisati RSA ključem.
Vrijednosti u certifikatu su prema nahođenju organizacije. Uobičajeni naziv (CN) i alternativni naziv subjekta (SAN) bit će prikazani u korisničko sučelje Webex sastanak , kao što je opisano u Enkripcija s kraja na kraj s provjerom identiteta za Webex Meetings .
Preporučujemo korištenje zasebnog certifikata po uređaju i jedinstvenog CN-a po uređaju. Na primjer, "meeting-room-1.example.com" za organizaciju koja posjeduje domenu "example.com".
Kako bi se u potpunosti zaštitio vanjski certifikat od neovlaštenog pristupa, koristi se značajka tajne klijenta za šifriranje i potpisivanje raznih xnaredbi.
Kada koristite tajnu klijenta, moguće je sigurno upravljati vanjskim certifikatom identiteta Webex putem xAPI-ja. Ovo je trenutno ograničeno na mrežne uređaje.
Webex trenutno nudi API naredbe za upravljanje ovim.
Uređaji
Sljedeći uređaji serije Webex Room i Webex Desk registrirani u oblaku mogu se pridružiti sastancima s en-to-end šifriranim sastancima:
Webex Board
Webex Desk Pro
Webex stol
Webex komplet soba
Webex komplet soba Mini
Sljedeći uređaji ne mogu se pridružiti end-to-end šifriranim sastancima:
Webex C serija
Webex serije DX
Webex EX serija
Webex MX serija
SIP uređaji trećih strana
Softverski klijenti
Počevši od verzije 41.6, Webex Meetings klijent stolnog računala može se pridružiti sastancima s en-to-end šifriranim sadržajima.
Ako vaša organizacija omogućuje Webex aplikacija da se pridruži sastancima pokretanjem desktop aplikacije Meetings, tada možete upotrijebiti tu opciju za pridruživanje sastancima s šifrom od kraja do kraja.
Webex klijent ne može se pridružiti end-to-end šifriranim sastancima.
SIP meki klijenti treće strane ne mogu se pridružiti end-to-end šifriranim sastancima.
Identitet
Dizajnirano, ne nudimo opcije Control Hub-a za upravljanje vanjskim provjerenim identitetom uređaja. Za pravu end-to-end enkripciju, samo vi trebate znati/pristupiti tajnama i ključevima. Ako smo uveli uslugu u oblaku za upravljanje tim ključevima, postoji šansa da budu presretnuti.
Trenutačno vam nudimo 'recept' za dizajniranje vlastitih alata, temeljenih na industrijskim standardnim tehnikama šifriranja, za pomoć pri traženju ili šifriranju certifikata identiteta vašeg uređaja i njihovih privatnih ključeva. Ne želimo imati nikakav stvarni ili prividni pristup vašim tajnama ili ključevima.
Sastanci
End-to-end šifrirani sastanci trenutno podržavaju najviše 200 sudionika.
Od tih 200 sudionika može se pridružiti najviše 25 eksterno provjerenih uređaja, a oni moraju biti prvi sudionici koji će se pridružiti sastanku .
Kada se sastanku pridruži veći broj uređaja, naše pozadinske medijske usluge pokušavaju transkodirati medijske streamove. Ako ne možemo dešifrirati, transkodirati i ponovno šifrirati medij (jer nemamo i ne bismo trebali imati ključeve za šifriranje uređaja), onda transkodiranje ne uspijeva.
Da bismo ublažili ovo ograničenje, preporučujemo manje sastanke za uređaje ili razmjenu pozivnica između uređaja i klijenata za sastanke.
Sučelje za upravljanje
Toplo preporučamo da koristite Control Hub za upravljanje svojim mjestom za sastanke, budući da organizacije Control Hub-a imaju centralizirani identitet za cijelu organizaciju, dok se u Administracijsko web-mjesto-mjesta identitet kontrolira od mjesta do mjesta.
Korisnici kojima se upravlja iz Administracijsko web-mjesto ne mogu imati opciju identiteta koji je potvrdio Cisco. Tim korisnicima se izdaje anonimni certifikat za pridruživanje end-to-end šifriranom sastanku i mogu biti isključeni iz sastanaka na kojima domaćin želi osigurati provjeru identiteta.
Povezane informacije
Sigurnost s nultim povjerenjem za Webex (sigurnosno tehnički dokument): https://www.cisco.com/c/en/us/solutions/collateral/collaboration/white-paper-c11-744553.html
Prezentacija Cisco Live 2021 (potrebna je registracija za Cisco Live): https://www.ciscolive.com/2021/learn/session-catalog.html?tab.digitalbundle=Anytime21&search.sessiontype=BRK&search.learningmap=1614364767910003wzD6#/session/16106298425360015zrh
JSON Web enkripcija (JWE) (Nacrt IETF standarda): https://datatracker.ietf.org/doc/html/rfc7516
Dokumentacija za korisnika: https://help.webex.com/5h5d8ab
Webex Meetings 41.7.
Uređaji serije Webex Room i Webex Desk registrirani u oblaku, rade
10.6.1-RoomOS_August_2021
.Administrativni pristup mjestu web-mjesto sastanka u Control Hubu, kako bi se korisnicima omogućila nova vrsta sesije.
Jedna ili više provjerenih domena u vašoj organizaciji Control Hub (ako koristite Webex CA za izdavanje certifikata uređaja za potvrđeni identitet).
Sobe za sastanke za suradnju moraju biti uključene kako bi se ljudi mogli pridružiti iz svog videosustava. Za više informacija pogledajte Dopustite videosustavima da se pridruže sastancima i događajima na vašem Web-mjesto Webex .
Možete preskočiti ovaj korak ako vam ne trebaju vanjski provjereni identiteti.
Za najvišu razinu sigurnosti i za provjeru identiteta, svaki uređaj treba imati jedinstveni certifikat koji izdaje pouzdano javno izdavač certifikata (CA).
Morate stupiti u interakciju s CA da biste zatražili, kupili i primili digitalne certifikate i stvorili pridružene privatne ključeve. Kada tražite certifikat, koristite ove parametre:
Potvrdu mora izdati i potpisati poznati javni CA.
jedinstveno: Preporučujemo korištenje jedinstvenog certifikata za svaki uređaj. Ako koristite jedan certifikat za sve uređaje, ugrožavate svoju sigurnost.
Uobičajeni naziv (CN) i zamjenski naziv/i subjekta (SAN/s): One nisu važne za Webex, ali bi trebale biti vrijednosti koje ljudi mogu pročitati i povezati s uređajem. CN će se drugim sudionicima sastanka prikazati kao primarni potvrđeni identitet uređaja, a ako korisnici pregledaju certifikat putem korisničkog sučelja sastanka, vidjet će SAN/s. Možda biste željeli koristiti imena kao što su
name.model@example.com
.Format datoteke: Certifikati i ključevi moraju biti u
.pem
formatu.svrha: Svrha certifikata mora biti Webex Identity.
Generiranje ključeva: Certifikati se moraju temeljiti na parovima ključeva ECDSA P-256 (algoritam digitalnog potpisa eliptičke krivulje koji koristi krivulju P-256).
Ovaj se zahtjev ne odnosi na ključ za potpisivanje. CA može koristiti RSA ključ za potpisivanje certifikata.
Možete preskočiti ovaj korak ako ne želite koristiti vanjski provjereni identitet sa svojim uređajima.
Ako koristite nove uređaje, nemojte ih još registrirati na Webex . Da biste bili sigurni, nemojte ih u ovom trenutku povezivati s mrežom.
Ako imate postojeće uređaje koje želite nadograditi za korištenje vanjski provjerenog identiteta, morate ih vratiti na tvorničke postavke.
Spremite postojeću konfiguraciju ako je želite zadržati.
Zakažite prozor kada se uređaji ne koriste ili koristite fazni pristup. Obavijestite korisnike o promjenama koje mogu očekivati.
Osigurajte fizički pristup uređajima. Ako morate pristupiti uređajima putem mreže, imajte na umu da tajne putuju u običnom tekstu i da ugrožavate svoju sigurnost.
Nakon što dovršite ove korake, dopustite videosustavima da se pridruže sastancima i događajima na vašem web- Web-mjesto Webex .
Kako biste osigurali da medij vašeg uređaja ne može šifrirati nitko osim uređaja, morate šifrirati privatni ključ na uređaju. Dizajnirali smo API-je za uređaj kako bismo omogućili upravljanje šifriranim ključem i certifikatom, koristeći JSON Web Encryption (JWE).
Kako bismo osigurali istinsku end-to-end enkripciju putem našeg oblaka, ne možemo biti uključeni u šifriranje i prijenos certifikata i ključa. Ako vam je potrebna ova razina sigurnosti, morate:
Zatražite svoje certifikate.
Generirajte parove ključeva svojih certifikata.
Stvorite (i zaštitite) početnu tajnu za svaki uređaj, kako biste započeli sposobnost šifriranja uređaja.
Razvijte i održavajte vlastiti alat za šifriranje datoteka pomoću JWE standarda.
Proces i (netajni) parametri koji su vam potrebni objašnjeni su u nastavku, kao i recept koji trebate slijediti u razvojnim alatima po izboru. Također pružamo neke testne podatke i rezultirajuće JWE mrlje kako ih očekujemo, kako bismo vam pomogli da potvrdite svoj proces.
Nepodržana referentna implementacija koja koristi Python3 i biblioteku JWCrypto dostupna je od Cisco na zahtjev.
Spojite i šifrirajte certifikat i ključ koristeći svoj alat i početnu tajnu uređaja.
Prenesite rezultirajući JWE blob na uređaj.
Postavite svrhu šifriranog certifikata koji će se koristiti za Webex identitet i aktivirajte certifikat.
(Preporučeno) Omogućite (ili distribuirajte) svoj alat kako biste korisnicima uređaja omogućili promjenu početne tajne i zaštitili svoje medije od vas.
Kako koristimo JWE format
Ovaj odjeljak opisuje kako očekujemo da se JWE kreira kao ulaz za uređaje, tako da možete izraditi vlastiti alat za stvaranje blobova iz vaših certifikata i ključeva.
Pogledajte na JSON Web enkripcija (JWE)https://datatracker.ietf.org/doc/html/rfc7516i JSON Web potpis (JWS)https://datatracker.ietf.org/doc/html/rfc7515.
Koristimo se Kompaktna serijalizacija JSON dokumenta za stvaranje JWE blobova. Parametri koje trebate uključiti prilikom izrade JWE blobova su:
JOSE Zaglavlje (zaštićeno). U zaglavlje JSON za potpisivanje i šifriranje objekta MORATE uključiti sljedeće parove ključ/vrijednost:
"alg":"dir"
Izravni algoritam jedini je koji podržavamo za šifriranje korisnog opterećenja i morate koristiti početnu tajnu klijenta uređaja.
"enc":"A128GCM"
ili"enc":"A256GCM"
Podržavamo ova dva algoritma šifriranja.
"cisco-action": "add"
ili"cisco-action": "populate"
ili"cisco-action": "activate"
ili"cisco-action": "deactivate"
Ovo je vlasnički ključ i četiri vrijednosti koje može uzeti. Uveli smo ovaj ključ da signaliziramo svrhu šifriranih podataka ciljnom uređaju. Vrijednosti su nazvane prema xAPI naredbama na uređaju na kojem koristite šifrirane podatke.
Nazvali smo ga
cisco-action
za ublažavanje potencijalnih sukoba s budućim proširenjima JWE-a."cisco-kdf": { "version": "1", "salt": "base64URLEncodedRandom4+Bytes" }
Još jedan vlasnički ključ. Koristimo vrijednosti koje navedete kao ulaze za izvođenje ključa na uređaju. Datoteka
version
mora biti1
(verzija naše funkcije izvođenja ključa). Vrijednost odsalt
mora biti base64 URL kodiran slijed od najmanje 4 bajta, što vi mora birati nasumično.
JWE šifrirani ključ . Ovo polje je prazno. Uređaj ga izvodi iz početne
ClientSecret
.Vektor za inicijalizaciju JWE . Morate dostaviti base64url kodiran inicijalizacijski vektor za dešifriranje korisnog opterećenja. IV MORA biti nasumična vrijednost od 12 bajtova (koristimo AES-GCM obitelj šifre, koja zahtijeva da IV bude dugačak 12 bajtova).
JWE AAD (dodatni provjereni podaci). Ovo polje morate izostaviti jer nije podržano u kompaktnoj serijalizaciji.
Šifrirani tekst JWE : Ovo je šifrirani teret koji želite zadržati u tajnosti.
Korisni teret MOŽE biti prazan. Na primjer, da biste resetirali tajnu klijenta, trebate je prepisati praznom vrijednošću.
Postoje različite vrste tereta, ovisno o tome što pokušavate učiniti na uređaju. Različite xAPI naredbe očekuju različita tereta, a vi morate navesti svrhu korisnog opterećenja s
cisco-action
ključ, kako slijedi:Sa
"cisco-action":"populate"
šifrirani tekst je noviClientSecret
.sa "
"cisco-action":"add"
šifrirani tekst je PEM blob koji nosi certifikat i njegov privatni ključ (konkatenirani).sa "
"cisco-action":"activate"
šifrirani tekst je otisak prsta (heksadecimalni prikaz sha-1) certifikata koji aktiviramo radi provjere identiteta uređaja.sa "
"cisco-action":"deactivate"
šifrirani tekst je otisak prsta (heksadecimalni prikaz sha-1) certifikata koji deaktiviramo da se ne koristi za provjeru identiteta uređaja.
JWE autentikacijska oznaka: Ovo polje sadrži oznaku za provjeru autentičnosti za utvrđivanje integriteta cijelog JWE kompaktno serijaliziranog blob-a
Kako izvodimo ključ za ključ za šifriranje iz ClientSecret
Nakon prvog popunjavanja tajne, ne prihvaćamo niti ispisujemo tajnu kao običan tekst. Time se sprječavaju potencijalni rječnički napadi od strane nekoga tko bi mogao pristupiti uređaju.
Softver uređaja koristi tajnu klijenta kao ulaz u funkciju izvođenja ključa (kdf), a zatim koristi izvedeni ključ za dešifriranje/šifriranje sadržaja na uređaju.
To za vas znači da vaš alat za proizvodnju JWE blob-ova mora slijediti isti postupak kako bi iz tajne klijenta dobio isti ključ za šifriranje/dešifriranje.
Uređaji koriste skripta za izvođenje ključa (vidihttps://en.wikipedia.org/wiki/Scrypt ), sa sljedećim parametrima:
Faktor troškova (N) je 32768
BlockSizeFactor (r) je 8
Faktor paralelizacije (p) je 1
Salt je nasumični slijed od najmanje 4 bajta; morate dostaviti ovo isto
salt
prilikom navođenjacisco-kdf
parametar.Duljine ključa su ili 16 bajtova (ako odaberete algoritam AES-GCM 128) ili 32 bajta (ako odaberete algoritam AES-GCM 256)
Maksimalni kapacitet memorije je 64 MB
Ovaj skup parametara jedina je konfiguracija skripta koji je kompatibilan s funkcijom izvođenja ključa na uređajima. Ovaj kdf na uređajima se zove "version":"1"
, što je jedina verzija koju trenutno preuzima cisco-kdf
parametar.
Odrađen primjer
Evo primjera koji možete slijediti kako biste potvrdili da vaš JWE proces enkripcije radi isto kao i proces koji smo kreirali na uređajima.
Primjer scenarija je dodavanje PEM blob-a na uređaj (imitira dodavanje certifikata, s vrlo kratkim nizom umjesto punog certifikata + ključa). Tajna klijenta u primjeru je ossifrage
.
Odaberite šifru za šifriranje. Ovaj primjer koristi
A128GCM
(AES sa 128-bitnim ključevima u načinu Galois Counter). Vaš bi alat mogao koristitiA256GCM
ako ti je draže.Odaberite sol (mora biti nasumični slijed od najmanje 4 bajta). Ovaj primjer koristi (hex bajtova)
E5 E6 53 08 03 F8 33 F6
. Base64url kodira sekvencu za dobivanje5eZTCAP4M_Y
(uklonite base64 padding).Evo primjera
scrypt
nazovite za stvaranje ključ za šifriranje sadržaja (cek):cek=scrypt(password="ossifrage", salt=4-byte-sequence, N=32768, r=8, p=1, keylength=16)
Izvedeni ključ trebao bi imati 16 bajtova (hex) kako slijedi:
95 9e ba 6d d1 22 01 05 78 fe 6a 9d 22 78 ff ac
na koji base64url kodiralZ66bdEiAQV4_mqdInj_rA
.Odaberite nasumični slijed od 12 bajtova koji ćete koristiti kao inicijalizacijski vektor. Ovaj primjer koristi (hex)
34 b3 5d dd 5f 53 7b af 2d 92 95 83
na koji base64url kodiraNLNd3V9Te68tkpWD
.Napravite zaglavlje JOSE s kompaktnom serijalizacijom (slijedite isti redoslijed parametara koji ovdje koristimo), a zatim ga base64url kodirajte:
{"alg":"dir","cisco-action":"add","cisco-kdf":{"salt":"5eZTCAP4M_Y","version":"1"},"enc":"A128GCM"}
Zaglavlje JOSE kodirano base64url je
eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ9
Ovo će biti prvi element JWE bloba.
Drugi element JWE blob-a je prazan jer ne isporučujemo JWE ključ za ključ za šifriranje.
Treći element JWE blob-a je vektor inicijalizacije
NLNd3V9Te68tkpWD
.- Upotrijebite svoj JWE alat za enkripciju za proizvodnju šifriranog tereta i oznake. Za ovaj primjer, nekriptirani korisni teret bit će lažni PEM blob
this is a PEM file
Parametri šifriranja koje biste trebali koristiti su:
Nosivost je
this is a PEM file
Šifra za šifriranje je AES 128 GCM
Zaglavlje JOSE kodirano base64url kao dodatni provjereni podaci (AAD)
Base64url kodira šifrirani korisni teret, što bi trebalo rezultirati
f5lLVuWNfKfmzYCo1YJfODhQ
Ovo je četvrti element (JWE šifrirani tekst) u JWE blob-u.
Base64url kodira oznaku koju ste proizveli u koraku 8, što bi trebalo rezultirati
PE-wDFWGXFFBeo928cfZ1Q
Ovo je peti element u JWE blob.
Spojite pet elemenata JWE blob-a s točkama (JOSEheader..IV.Ciphertext.Tag) da biste dobili:
eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q
Ako ste izveli iste base64url kodirane vrijednosti kao što prikazujemo ovdje, koristeći svoje vlastite alate, spremni ste ih koristiti za osiguranje E2E enkripcije i provjerenog identiteta svojih uređaja.
Ovaj primjer zapravo neće raditi, ali u principu bi vaš sljedeći korak bio korištenje JWE blob-a koji ste kreirali iznad kao ulaz za naredbu x na uređaju koji dodaje certifikat:
xCommand Security Certificates Add
eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q
Vrste sesija za sastanke bez povjerenja dostupne su svim mjestima za sastanke bez dodatnih troškova. Jedan od ovih tipova sesije zove se Pro-End to End Encryption_VOIPonly
. Ovo je Naziv javne službe , što bismo mogli promijeniti u budućnosti. Za trenutne nazive vrsta sesija, pogledajte ID-jevi vrsta sesije u Referenca odjeljak ovog članka.
Ne morate ništa učiniti da biste dobili ovu mogućnost za svoju stranicu; morate dodijeliti novu vrstu sesije (također tzv Privilegija susreta ) korisnicima. To možete učiniti pojedinačno putem stranice za stranica za konfiguraciju korisnika ili skupno s CSV izvozom/uvozom.
1 | Prijavite se u okruženje Control Hub te idite na . | ||
2 | Kliknite na Web-mjesta, odaberite web-mjesto Webex za koje želite promijeniti postavke, a zatim kliknite na Postavke. | ||
3 | Ispod Uobičajene postavke , odaberite Vrste sesija . | ||
4 | Trebali biste vidjeti jednu ili više vrsta sesija end-to-end enkripcije. Pogledajte popis ID-jevi vrsta sesije u Referenca odjeljak ovog članka. Na primjer, možete vidjeti Pro-End to End Encryption_ Samo za VOIP .
| ||
5 | Ako još nemate novu vrstu sesije, kontaktirajte svog predstavnika Webex . |
Što učiniti sljedeće
Omogućite ovu vrstu sesije/privilegiju sastanka nekim ili svim svojim korisnicima.
1 | Prijavite se na Kontrolno čvorište , i idite na . |
2 | Odaberite korisnički račun za ažuriranje, a zatim odaberite Sastanci . |
3 | Od Postavke se odnose na padajući izbornik odaberite mjesto web-mjesto sastanka za ažuriranje. |
4 | Označite okvir pored Pro-End to End Encryption_ Samo za VOIP . |
5 | Zatvorite konfiguracija korisnika . |
6 | Ponovite za druge korisnike ako je potrebno. Da biste ovo dodijelili mnogim korisnicima, koristite sljedeću opciju, Omogućite sastanke E2EE za više korisnika . |
1 | Prijavite se u okruženje Control Hub te idite na . | ||
2 | Kliknite web-mjesta , odaberite web- Web-mjesto Webex za koje želite promijeniti postavke. | ||
3 | U Licence i korisnici odjeljak, kliknite Grupno upravljanje . | ||
4 | Kliknite Generiraj izvješće , i pričekajte dok pripremimo datoteku. | ||
5 | Kada je datoteka spremna, kliknite Izvoz rezultata a zatim Preuzmi . (Morate ručno zatvoriti taj skočni prozor nakon što kliknete Preuzmi .) | ||
6 | Otvorite preuzetu CSV datoteka za uređivanje. Za svakog korisnika postoji red i | ||
7 | Za svakog korisnika kojem želite dodijeliti novu vrstu sesije dodajte The Referenca za format CSV datoteke Webex sadrži pojedinosti o namjeni i sadržaju CSV datoteka. | ||
8 | Otvorite ploču za konfiguraciju mjesta sastanka u Control Hubu.
| ||
9 | U Licence i korisnici odjeljak, kliknite Grupno upravljanje . | ||
10 | Kliknite Uvoz i odaberite uređeni CSV, a zatim kliknite Uvoz . Pričekajte dok se datoteka učita. | ||
11 | Kada je uvoz gotov, možete kliknuti Uvoz rezultata provjeriti ima li grešaka. | ||
12 | Idite na Korisnici stranicu i otvorite jednog od korisnika kako biste potvrdili da imaju novu vrstu sesije. |
Snimkama sastanka možete dodati vodeni žig pomoću Webex Meetings Pro-End to End Encryption_VOIPonly
tip sesije, koji vam omogućuje identificiranje izvornog klijenta ili uređaja neovlaštenih snimanja povjerljivih sastanaka.
Kada je ova značajka omogućena, zvuk sastanka uključuje jedinstveni identifikator za svakog klijenta ili uređaja koji sudjeluje. Možete prenijeti audiosnimke u Control Hub, koji zatim analizira snimku i traži jedinstvene identifikatore. Možete pogledati rezultate da biste vidjeli koji je izvorni klijent ili uređaj snimio sastanak.
- Da bi se mogla analizirati, snimka mora biti datoteka AAC, MP3, M4A, WAV, MP4, AVI ili MOV ne veća od 500 MB.
- Snimka mora biti dulja od 100 sekundi.
- Možete analizirati samo snimke sastanaka koje su organizirali ljudi u vašoj organizaciji.
- Informacije o vodenom žigu čuvaju se isto vrijeme kao i informacije o sastanku organizacije.
Dodajte audio vodene žigove sastancima E2EE
- Prijavite se u Control Hub, zatim u području Upravljanje odaberite opciju Postavke organizacije.
- U Susret sa vodenim žigovima odjeljak, uključite Dodaj audio vodeni žig .
Neko vrijeme nakon što je ovo uključeno, korisnici zakazuju sastanke s
Webex Meetings Pro-End to End Encryption_VOIPonly
vrsta sesije vidi a Digitalni vodeni žig opciju u odjeljku Sigurnost.
Prenesite i analizirajte sastanak s vodenim žigom
- U Control Hubu, pod Praćenje , odaberite Rješavanje problema .
- Kliknite Analiza vodenog žiga .
- Potražite ili odaberite sastanak na popisu, a zatim kliknite Analizirati .
- U Analizirajte audio vodeni žig prozoru, unesite naziv za svoju analizu.
- (Neobavezno) Unesite bilješku za svoju analizu.
- Povucite i ispustite audio datoteku koju želite analizirati ili kliknite Odaberite datoteku za pregledavanje audio datoteke.
- Kliknite Zatvori.
Kada se analiza završi, ona će se prikazati na popisu rezultata na Analizirajte vodeni žig stranica.
- Odaberite sastanak na popisu da biste vidjeli rezultate analize. Klikniteza preuzimanje rezultata.
Značajke i ograničenja
Čimbenici koji sudjeluju u uspješnom dekodiranju snimljenog vodenog žiga uključuju udaljenost između uređaja za snimanje i zvučnika koji emitira zvuk, glasnoću tog zvuka, buku iz okoliša, itd. Naša tehnologija vodenog žiga ima dodatnu otpornost na višestruko kodiranje, što se može dogoditi kada mediji se dijele.
Ova je značajka osmišljena da omogući uspješno dekodiranje identifikatora vodenog žiga u širokom, ali razumnom nizu okolnosti. Naš cilj je da uređaj za snimanje, kao što je mobilni telefon, koji leži na stolu u blizini osobne krajnje točke ili laptop klijenta, uvijek treba napraviti snimku koja rezultira uspješnom analizom. Kako se uređaj za snimanje udaljava od izvora ili je zaklonjen od slušanja cijelog audio spektra, šanse za uspješnu analizu se smanjuju.
Za uspješnu analizu snimke potrebno je razumno snimanje zvuka sastanka. Ako je zvuk sastanka snimljen na istom računalu na kojem se nalazi klijent, ograničenja se ne bi trebala primjenjivati.
Ako su vaši uređaji već uključeni u vašu organizaciju Control Hub-a i želite koristiti Webex CA za automatsko generiranje njihovih identifikacijskih certifikata, ne morate vraćati uređaje na vraćanje na tvorničke postavke .
Ovaj postupak odabire koju domenu uređaj koristi za identifikaciju, a potreban je samo ako imate više domena u organizaciji Control Hub-a. Ako imate više od jedne domene, preporučujemo da to učinite za sve svoje uređaje koji će imati "Cisco-verified" identitet. Ako Webex ne kažete koja domena identificira uređaj, jedan će se automatski odabrati i drugim sudionicima sastanka može izgledati pogrešno.
Prije početka
Ako vaši uređaji još nisu uključeni, slijedite ih Registrirajte uređaj na Cisco Webex pomoću API -ja ili lokalnog Web sučelja ili Cloud onboarding za Board, Desk i Room Series . Također biste trebali potvrditi domenu/e koje želite koristiti za identifikaciju uređaja Upravljajte svojim domenama .
1 | Prijavite se na Control Hub , i ispod Upravljanje , odaberite Uređaji . |
2 | Odaberite uređaj da biste otvorili njegovu konfiguracijsku ploču. |
3 | Odaberite domenu koju želite koristiti za identifikaciju ovog uređaja. |
4 | Ponovite za druge uređaje. |
Prije početka
trebate:
Da biste dobili CA potpisan certifikat i privatni ključ, u
.pem
formatu za svaki uređaj.Da pročitam temu Razumijevanje procesa vanjskog identiteta za uređaje , u Pripremite se dio ovog članka.
Za pripremu JWE alata za šifriranje s obzirom na tamošnje informacije.
Alat za generiranje nasumičnih nizova bajtova zadane duljine.
Alat za base64url kodiranje bajtova ili teksta.
An
scrypt
provedba.Tajna riječ ili izraz za svaki uređaj.
1 | Popunite uređaj Prvi put kada popunite Uređaj ima svoju početnu tajnu. Ne zaboravite ovo; ne možete ga oporaviti i morate vratiti uređaj na tvorničke postavke da biste ponovno pokrenuli.
|
2 | Spojite svoj certifikat i privatni ključ: |
3 | Napravite JWE blob za korištenje kao ulaz za naredbu za dodavanje certifikata: |
4 | Otvorite TShell na uređaju i pokrenite naredbu za dodavanje (više redaka):
|
5 | Provjerite je li certifikat dodan pokretanjem Kopirajte otisak prsta novog certifikata. |
6 | Aktivirajte certifikat za tu svrhu Uređaj ima šifrirani, aktivni certifikat koji je izdao CA, spreman za korištenje za njegovu identifikaciju u end-to-end šifriranim Webex sastancima.
|
7 | Uključite uređaj u svoju organizaciju Control Hub. |
1 | Zakažite sastanak ispravnog tipa ( Webex Meetings Pro-End to End Encryption_ Samo za VOIP ). |
2 | Pridružite se sastanku kao domaćin iz klijenta Webex Meetings . |
3 | Pridružite se sastanku s uređaja čiji je identitet potvrđen od strane Webex CA. |
4 | Kao domaćin, provjerite da se ovaj uređaj pojavljuje u predvorju s ispravnom ikonom identiteta. |
5 | Pridružite se sastanku s uređaja čiji je identitet potvrđen od strane vanjskog CA. |
6 | Kao domaćin, provjerite da se ovaj uređaj pojavljuje u predvorju s ispravnom ikonom identiteta. Saznajte više o ikonama identiteta . |
7 | Pridružite se sastanku kao neautorizirani sudionik sastanka. |
8 | Kao domaćin, provjerite da se ovaj sudionik pojavljuje u predvorju s ispravnom ikonom identiteta. |
9 | Kao domaćin, priznajte ili odbijte ljude/uređaje. |
10 | Potvrdite identitet sudionika/uređaja gdje je to moguće provjerom certifikata. |
11 | Provjerite vide li svi na sastanku isti sigurnosni kod sastanka. |
12 | Pridružite se sastanku s novim sudionikom. |
13 | Provjerite vide li svi isti, novi sigurnosni kod sastanka. |
Hoćete li end-to-end šifrirane sastanke učiniti zadanom opcijom sastanka, ili ćete je omogućiti samo za neke korisnike ili dopustiti svim domaćinima da odluče? Kada odlučite kako ćete koristiti ovu značajku, pripremite one korisnike koji će je koristiti, posebno s obzirom na ograničenja i što očekivati na sastanku.
Trebate li osigurati da ni Cisco ni bilo tko drugi ne može dešifrirati vaš sadržaj ili lažno predstavljati vaše uređaje? Ako je tako, trebate certifikate javnog CA. U sigurnom sastanku možete imati samo do 25 uređaja. Ako vam je potrebna ova razina sigurnosti, ne biste trebali dopustiti da se sastanci pridruže.
Za korisnike koji se pridružuju sa sigurnim uređajima, pustite uređaje da se prvi pridruže i postavite očekivanja korisnika da se možda neće moći pridružiti ako se pridruže kasno.
Ako imate različite razine provjere identiteta, omogućite korisnicima da se međusobno provjeravaju pomoću identiteta s certifikatom i sigurnosnog koda sastanka. Iako postoje okolnosti u kojima se sudionici mogu pojaviti kao Neprovjereni, a sudionici bi trebali znati kako to provjeriti, neprovjereni ljudi možda nisu varalice.
Ako koristite vanjski CA za izdavanje certifikata uređaja, na vama je nadzor, osvježavanje i ponovna primjena certifikata.
Ako ste stvorili početnu tajnu, imajte na umu da bi vaši korisnici možda željeli promijeniti tajnu svog uređaja. Možda ćete morati izraditi sučelje/distribuirati alat da im to omogućite.
ID vrste sesije | Naziv javne službe |
---|---|
638 | Samo E2E Encryption+ VoIP |
652 | Pro-End to End Encryption_ Samo za VOIP |
660 | Pro 3 Free-End to End Encryption_ Samo za VOIP E2E šifriranje + identitet |
672 | Pro 3 Free50-End to End Encryption_ Samo za VOIP |
673 | Instruktor edukacije E2E Encryption_ Samo za VOIP |
676 | Broadworks Standard plus enkripcija od kraja do kraja |
677 | Broadworks Premium plus enkripcija od kraja do kraja |
681 | Schoology Free plus enkripcija od kraja do kraja |
Ove tablice opisuju naredbe API -ja Webex uređaja koje smo dodali za end-to-end šifrirane sastanke i potvrđeni identitet. Za više informacija o tome kako koristiti API, pogledajte Pristupite API -ju za Webex sobne i stolne uređaje i Webex ploče .
Ove xAPI naredbe dostupne su samo na uređajima koji su:
Registriran na Webex
Registriran lokalno i povezan s Webex uz Webex Edge za uređaje
API poziv | Opis |
---|---|
| Ova se konfiguracija izrađuje kada administrator postavi željenu domenu uređaja iz Control Huba. Potrebno samo ako organizacija ima više od jedne domene. Uređaj koristi ovu domenu kada zatraži certifikat od Webex CA. Domena tada identificira uređaj. Ova konfiguracija nije primjenjiva kada uređaj ima aktivan, vanjski izdani certifikat za identifikaciju. |
| Označava može li se uređaj pridružiti end-to-end šifriranom sastanku. Cloud API ga poziva tako da uparena aplikacija zna može li koristiti uređaj za pridruživanje. |
| Označava koristi li uređaj |
| Identitet uređaja pročitan iz zajedničkog naziva certifikata izdanog izvana. |
| Čita određene podatke iz certifikata izdanog izvana. U prikazanoj naredbi zamijenite
|
| Status vanjskog identiteta uređaja (npr |
| Označava ima li uređaj važeći certifikat koji je izdao Webex CA. |
| Identitet uređaja pročitan iz uobičajenog naziva certifikata koji je izdao Webex. Sadrži naziv domene ako organizacija ima domenu. Prazan je ako organizacija nema domenu. Ako je uređaj u organizaciji koja ima više domena, ovo je vrijednost iz |
| Čita određene informacije iz certifikata koji je izdao Webex. U prikazanoj naredbi zamijenite
|
API poziv | Opis |
---|---|
| Ova tri događaja sada uključuju |
API poziv | Opis |
---|---|
ili
| Prihvaća base64url kodiranu vrijednost običnog teksta za postavljanje tajne klijenta na uređaj po prvi put. Da biste ažurirali tajnu nakon tog prvog puta, morate dostaviti JWE blob koji sadrži novu tajnu šifriranu starom tajnom. |
| Dodaje certifikat (s privatnim ključem). Proširili smo ovu naredbu da prihvatimo JWE blob koji sadrži šifrirane PEM podatke. |
| Aktivira određeni certifikat za WebexIdentity. Za ovo |
| Deaktivira određeni certifikat za WebexIdentity. Za ovo |