Korisničko iskustvo

Korisnici biraju vrstu sastanka kada zakažu sastanak. Prilikom primanja sudionika iz predvorja, kao i tijekom sastanka, organizator može vidjeti status provjere identiteta svakog sudionika. Tu je i kôd sastanka koji je zajednički svim trenutačnim sudionicima sastanka, a koji mogu upotrijebiti za potvrdu da njihov sastanak nije presreo neželjeni Posrednik U Sredini (MITM) napada treće strane.

Podijelite sljedeće informacije s domaćinima sastanka:

Provjera identiteta s unutarnjim ili vanjskim CA-om

Provjeri identitet

Sveobuhvatno šifriranje s provjerom identiteta pruža dodatnu sigurnost sveobuhvatno šifriranom sastanku.

Kada se sudionici ili uređaji pridruže zajedničkoj skupini za MLS (Messaging Layer Security), oni svoje certifikate prezentiraju drugim članovima skupine, koji zatim potvrđuju certifikate u odnosu na tijela za izdavanje certifikata (CA). Potvrdom da su certifikati valjani CA potvrđuje identitet sudionika, a sastanak prikazuje sudionike/uređaje kao potvrđene.

Korisnici aplikacije Webex autentičnost se provjerava u spremište identiteta Webex, što im izdaje pristupni token kada provjera autentičnosti uspije. Ako im je potreban certifikat za potvrdu identiteta na sastanku sa sveobuhvatnim šifriranjem, Webex CA izdaje im certifikat temeljem pristupnog tokena. Trenutačno ne pružamo način da korisnici usluge Webex Meetings dobiju certifikat koji je izdao vanjski CA / vanjski CA.

Uređaji se mogu provjeriti pomoću certifikata izdanog od strane internog (Webex) CA ili certifikata izdanog od strane vanjskog CA:

  • Interni CA – Webex izdaje interni certifikat na temelju pristupnog tokena računa uređaja. Certifikat potpisuje Webex CA. Uređaji nemaju korisničke ID-ove na isti način kao i korisnici, pa Webex upotrebljava (jednu od) domena vaše organizacije pri zapisivanju identiteta certifikata uređaja (zajednički naziv (CN)).

  • Vanjski CA – zatražite i kupite certifikate uređaja izravno od odabranog izdavača. Morate šifrirati, izravno prenijeti i autorizirati certifikate koristeći tajnu poznatu samo vama.

    Cisco nije uključen, što na taj način jamči istinsko sveobuhvatno šifriranje i provjereni identitet te sprječava teoretsku mogućnost da Cisco prisluškuje vaš sastanak / dešifrira vaše medije.

Interno izdan certifikat uređaja

Webex izdaje certifikat uređaju kada se registrira nakon pokretanja i obnavlja ga kada je to potrebno. Za uređaje certifikat uključuje ID računa i domenu.

Ako vaša tvrtka ili ustanova nema domenu, Webex CA izdaje certifikat bez domene.

Ako vaša tvrtka ili ustanova ima više domena, pomoću kontrolnog centra možete web-exu reći koju domenu uređaj koristiti za svoj identitet. Možete koristiti i API xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "primjer.com".

Ako imate više domena i ne postavljate željenu domenu za uređaj, Webex odabire jednu za vas.

Izdani certifikat uređaja izvana

Administrator može uređaju dodijeliti vlastiti certifikat koji je potpisan s jednim od javnih tijela za plaćanja.

Certifikat se mora temeljiti na ECDSA P-256 ključnom paru, iako se može potpisati RSA ključem.

Vrijednosti u certifikatu su na diskreciji organizacije. Zajednički naziv (CN) i alternativni naziv subjekta (SAN) prikazat će se na korisničkom sučelju Webex sastanka, kako je opisano u Sveobuhvatnom šifriranju s provjerom identiteta za Webex Meetings.

Preporučujemo da upotrebljavate poseban certifikat po uređaju i da imate jedinstvenu CN po uređaju. Na primjer, „meeting-room-1.primjer.com” za organizaciju koja posjeduje domenu „primjer.com”.

Kako bi se vanjski certifikat u potpunosti zaštitio od neovlaštenog mijenjanja, za šifriranje i potpisivanje različitih xcommandova koristi se tajna značajka klijenta.

Kada upotrebljavate klijentsku tajnu, moguće je sigurno upravljati vanjskim Webex certifikatom identiteta putem xAPI-ja. To je trenutno ograničeno na internetske uređaje.

Webex trenutačno pruža API naredbe za upravljanje ovim.

Značajke i ograničenja

Uređaji

E2EE sastancima mogu se pridružiti sljedeći uređaji iz serija Webex Room i Webex Desk registrirani u oblaku:

  • Webex Board

  • Webex Desk Pro

  • Webex stol

  • Webex komplet soba

  • Webex komplet soba Mini

Sljedeći uređaji ne mogu se pridružiti E2EE sastancima:

  • Serija Webex C

  • Webex DX serija

  • Webex EX serija

  • Webex MX serija

  • SIP uređaji drugih proizvođača

Softverski klijenti

  • Aplikacija Webex za računalne i mobilne klijente može se pridružiti E2EE sastancima.

  • Web-klijent Webex ne može se pridružiti E2EE sastancima.

  • SIP softverski klijenti treće strane ne mogu se pridružiti E2EE sastancima.

Identitet

  • Prema dizajnu, ne pružamo opcije okruženja Control Hub za upravljanje identitetom uređaja koji je potvrđen izvana. Za istinsko sveobuhvatno šifriranje, samo trebate znati / pristupiti tajnama i ključevima. Ako uvedemo uslugu u oblaku za upravljanje tim ključevima, postoji mogućnost da ih presretnemo.

  • Trenutačno vam pružamo „recept“ za dizajniranje vlastitih alata na temelju industrijskih standardnih tehnika šifriranja kako biste pomogli pri traženju ili šifriranju certifikata identiteta vašeg uređaja i njihovih privatnih ključeva. Ne želimo imati stvarni ili percipirani pristup vašim tajnama ili ključevima.

Sastanci

  • E2EE sastanci trenutačno podržavaju najviše 1000 sudionika.

  • Nove digitalne ploče možete dijeliti u E2EE sastancima. Postoje neke razlike u odnosu na digitalne ploče u redovitim sastancima:
    • Na E2EE sastancima korisnici ne mogu pristupiti digitalnim pločama izrađenima izvan sastanka, uključujući privatne digitalne ploče, digitalne ploče koje dijele drugi i digitalne ploče iz Webex prostora.
    • Digitalne ploče stvorene u sastancima usluge E2EE dostupne su samo tijekom sastanka. Nisu spremljeni i nisu dostupni nakon završetka sastanka.
    • Ako netko dijeli sadržaj u E2EE sastanku, možete ga dodati napomenu. Dodatne informacije o označavanju potražite u aplikaciji Webex | Označite dijeljeni sadržaj napomenama.

Sučelje za upravljanje

Preporučujemo da koristite Control Hub za upravljanje web-mjestom Meetings jer organizacije Control Huba imaju centralizirani identitet za cijelu organizaciju.

Dodatni resursi
Preduvjeti

  • Webex sastanci 41.7.

  • Uređaji iz serija Webex Room i Webex Desk registrirani u oblaku, pokrenuti 10.6.1-RoomOS_August_2021.

  • Administrativni pristup web-mjestu sastanka u okruženju Control Hub.

  • Jedna ili više potvrđenih domena u tvrtki ili ustanovi upravljačkog centra (ako koristite Webex CA za izdavanje certifikata uređaja za potvrđeni identitet).

  • Sobe za sastanke za suradnju moraju biti uključene kako bi se korisnici mogli pridružiti iz svog videosustava. Za više informacija pogledajte odjeljak Dopusti videosustavima pridruživanje sastancima i događajima na web-mjestu Webex.

Dohvati certifikate uređaja

Možete preskočiti ovaj korak ako vam nisu potrebni identiteti potvrđeni izvana.

Za najvišu razinu sigurnosti i provjeru identiteta svaki uređaj treba imati jedinstveni certifikat koji izdaje pouzdana javna ustanova za certifikaciju (CA).

Morate komunicirati s CA-om kako biste zatražili, kupili i primili digitalne certifikate i stvorili povezane privatne ključeve. Prilikom zahtjeva za certifikat koristite ove parametre:

  • Certifikat mora izdati i potpisati poznati javni CA.

  • Jedinstven: Preporučujemo korištenje jedinstvenog certifikata za svaki uređaj. Ako koristite jedan certifikat za sve uređaje, ugrožavate svoju sigurnost.

  • Zajednički naziv (CN) i zamjenski naziv predmeta (SAN/s): Oni nisu važni za Webex, ali bi trebale biti vrijednosti koje ljudi mogu čitati i povezati s uređajem. KN će se drugim sudionicima sastanka prikazati kao primarni provjereni identitet uređaja, a ako korisnici pregledaju certifikat putem korisničkog suida sastanka, vidjet će SAN/s. Možda želite upotrijebiti imena kao što je name.model@primjer.com.

  • Oblik datoteke: Certifikati i ključevi moraju biti u obliku .pem.

  • Svrha: Svrha certifikata mora biti Webex identitet.

  • Generiranje ključeva: Certifikati se moraju temeljiti na ECDSA P-256 parovima ključeva (algoritam digitalnog potpisa eliptične krivulje pomoću krivulje P-256).

    Ovaj se zahtjev ne odnosi na ključ za potpisivanje. CA može koristiti RSA ključ za potpisivanje certifikata.

Pripremite se za omogućavanje uređaja

Možete preskočiti ovaj korak ako ne želite upotrebljavati identitet potvrđen izvana na vašim uređajima.

Ako koristite nove uređaje, nemojte ih još registrirati na Webex. Da biste bili sigurni, u ovom trenutku ih nemojte povezivati na mrežu.

Ako imate postojeće uređaje koje želite nadograditi tako da upotrebljavaju identitet potvrđen izvana, uređaje morate vratiti na tvorničke postavke.

  • Spremite postojeću konfiguraciju ako je želite zadržati.

  • Zakažite prozor kada se uređaji ne koriste ili koristite pristup u fazama. Obavijestite korisnike o promjenama koje mogu očekivati.

  • Osigurajte fizički pristup uređajima. Ako uređajima morate pristupiti putem mreže, imajte na umu da tajne putuju jednostavnim tekstom i ugrožavate svoju sigurnost.

Nakon što dovršite ove korake, dopustite videosustavima da se pridruže sastancima i događajima na vašem web-mjestu Webex.

Razumijevanje procesa vanjskog identiteta za uređaje

Da biste bili sigurni da medij vašeg uređaja ne može šifrirati nitko osim uređaja, morate šifrirati privatni ključ na uređaju. Dizajnirali smo API-je za uređaj kako bi omogućili upravljanje šifriranim ključem i certifikatom, koristeći JSON web šifriranje (JWE).

Da bismo osigurali istinsku end-to-end enkripciju putem našeg oblaka, ne možemo biti uključeni u šifriranje i prijenos certifikata i ključa. Ako vam je potrebna ova razina sigurnosti, morate:

  1. Zatražite svoje certifikate.

  2. Generirajte parove ključeva certifikata.

  3. Stvorite (i zaštitite) početnu tajnu za svaki uređaj kako biste posijali mogućnost šifriranja uređaja.

  4. Razvijte i održavajte vlastiti alat za šifriranje datoteka pomoću JWE standarda.

    U nastavku su objašnjeni proces i (ne-tajni) parametri koje ćete trebati, kao i recept koji ćete slijediti u vašim razvojnim alatima po izboru. Također pružamo neke podatke o ispitivanju i nastale JWE blobove kako ih očekujemo, kako bismo vam pomogli potvrditi vaš proces.

    Nepodržana referentna implementacija pomoću Python3 i JWCrypto biblioteke dostupna je na zahtjev tvrtke Cisco.

  5. Ulančajte i šifrirajte certifikat i ključ pomoću alata i početne tajne uređaja.

  6. Prenesite dobivenu JWE mrlju na uređaj.

  7. Postavite svrhu šifriranog certifikata koji će se koristiti za Webex identitet i aktivirajte certifikat.

  8. (Preporučeno) Osigurajte sučelje za (ili distribuciju) vašeg alata kako biste korisnicima uređaja omogućili promjenu početne tajne i zaštitu svojih medija od vas.

Kako koristimo JWE format

Ovaj odjeljak opisuje kako očekujemo da se JWE stvori kao ulaz na uređaje, tako da možete izraditi vlastiti alat za stvaranje blobova iz svojih certifikata i ključeva.

Pogledajte JSON web-šifriranje (JWE) https://datatracker.ietf.org/doc/html/rfc7516 i JSON web-potpis (JWS) https://datatracker.ietf.org/doc/html/rfc7515.

Upotrebljavamo Kompaktnu serijalizaciju JSON dokumenta za stvaranje JWE blokova. Parametri koje trebate uključiti prilikom izrade JWE blokova su:

  • JOSE zaglavlje (zaštićeno). U zaglavlju JSON potpisivanje objekata i šifriranje morate uključiti sljedeće parove vrijednosti ključa:

    • "alga": "dir"

      Izravni algoritam je jedini koji podržavamo za šifriranje korisnog tereta i morate koristiti početnu tajnu klijenta uređaja.

    • "enc":"A115GCM" ili "enc":"A115GCM"

      Podržavamo ova dva algoritma za šifriranje.

    • "cisco-action": "dodaj" ili "cisco-action": "popuni" ili "cisco-action": "aktiviraj" ili "cisco-action": "deaktiviraj"

      To je vlasnički ključ i četiri vrijednosti koje može uzeti. Uveli smo ovaj ključ kako bismo signalizirali svrhu šifriranih podataka ciljanom uređaju. Vrijednosti su nazvane po xAPI naredbama na uređaju na kojem koristite šifrirane podatke.

      Nazvali smo je Cisco-action za ublažavanje potencijalnih sukoba s budućim JWE kućnim brojevima.

    • "cisco-kdf": { "version": "1", "salt": "base64URLEncodedRandom4+Bytes" }

      Još jedan vlasnički ključ. Vrijednosti koje navedete koristimo kao ulazne podatke za izvođenje ključeva na uređaju. Verzija mora biti 1 (verzija naše funkcije deriviranja ključa). Vrijednost soli mora biti URL-kodirani slijed od najmanje 4 bajta koji morate nasumično odabrati.

  • JWE šifrirani ključ. Polje je prazno. Uređaj ga izvodi iz inicijala ClientSecret.

  • JWE vektor pokretanja. Morate navesti vektor inicijalizacije kodirane base64url za dešifriranje tereta. IV MORA biti slučajna vrijednost od 12 bajtova (koristimo obitelj šifre AES-GCM, koja zahtijeva da IV bude dugačak 12 bajtova).

  • JWE AAD (dodatni podaci čija je autentičnost potvrđena). Ovo polje morate izostaviti jer nije podržano u sažetoj serijalizaciji.

  • JWE tekst šifre: Ovo je šifrirani teret koji želite zadržati u tajnosti.

    Korisni podaci MOGU biti prazni. Na primjer, da biste ponovno postavili klijentsku tajnu, morate je prepisati praznom vrijednošću.

    Postoje različite vrste korisnih tereta, ovisno o tome što pokušavate učiniti na uređaju. Različite xAPI naredbe očekuju različite korisničke tereta, a svrha korisničkog tereta morate navesti ključem Cisco-action , na sljedeći način:

    • Uz "cisco-action":"populate" tekst šifre je novi ClientSecret.

    • S ""cisco-radnjom":"add" šifri je PEM blok koji nosi certifikat i njegov privatni ključ (ulančani).

    • S ""cisco-akcija":"aktiviraj" šifru je otisak prsta (heksadecimalni prikaz sha-1) certifikata koji aktiviramo za provjeru identiteta uređaja.

    • S ""cisco-akcija":"deaktiviraj" šifru je otisak prsta (heksadecimalni prikaz sha-1) certifikata koji deaktiviramo iz upotrebe za provjeru identiteta uređaja.

  • JWE oznaka za provjeru autentičnosti: Ovo polje sadrži oznaku za provjeru autentičnosti kako bi se utvrdio integritet cijelog JWE kompaktno serijaliziranog bloba

Kako izvesti ključ za šifriranje iz usluge ClientSecret

Nakon prve populacije tajne, ne prihvaćamo niti izlazimo iz tajne kao običan tekst. Time se želi spriječiti potencijalni napadi rječnika od strane nekoga tko bi mogao pristupiti uređaju.

Softver uređaja koristi klijentsku tajnu kao ulaz u funkciju izvođenja ključeva (kdf), a zatim koristi izvedeni ključ za dešifriranje /šifriranje sadržaja na uređaju.

To za vas znači da vaš alat za proizvodnju JWE blobs mora slijediti isti postupak kako bi iz klijentske tajne izvući isti ključ za šifriranje / dešifriranje.

Uređaji koriste kriptu za izvođenje ključeva (vidi https://en.wikipedia.org/wiki/Scrypt), sa sljedećim parametrima:

  • CostFactor (N) je 32768

  • BlockSizeFactor (r) je 8

  • ParallelizationFactor (p) je 1

  • Sol je nasumični slijed od najmanje 4 bajta; morate opskrbiti ovu istu sol prilikom određivanja parametra cisco-kdf .

  • Duljine tipki su ili 16 bajtova (ako odaberete algoritam AES-GCM 128) ili 32 bajtova (ako odaberete algoritam AES-GCM 256)

  • Maksimalna memorijska kapica iznosi 64 MB

Ovaj skup parametara jedina je konfiguracija kripte koja je kompatibilna s funkcijom izvođenja ključa na uređajima. Ovaj kdf na uređajima zove se "verzija":"1", što je jedina verzija koju trenutno preuzima parametar cisco-kdf .

Obrađeni primjer

Evo primjera koji možete slijediti kako biste provjerili funkcionira li vaš postupak JWE šifriranja isto kao i proces koji smo stvorili na uređajima.

Primjer scenarija je dodavanje PEM bloba uređaju (oponaša dodavanje certifikata, s vrlo kratkim nizom umjesto punim certifikatom + ključem). Klijentska tajna u primjeru je ossifrage.

  1. Odaberite šifru šifriranja. Ovaj primjer koristi A115GCM (AES s 128-bitnim ključevima u načinu brojača Galois). Vaš alat može koristiti A114GCM ako želite.

  2. Odaberite sol (mora biti slučajni slijed od najmanje 4 bajtova). Ovaj primjer koristi (heksabajt)E5 E6 53 08 03 F8 33 F6. Base64url šifrira slijed kako bi dobio 5eZTCAP4M_Y (uklonite base64 oblogu).

  3. Ovdje je primjer poziva za sšifriranje za izradu ključa za šifriranje sadržaja (cek):

    cek=scrypt(password="ossifrage", salt=4-byte-sequence, N=32768, r=8, p=1, keylength=16)

    Izvedeni ključ trebao bi biti 16 bajtova (heksale) kako slijedi:95 9e ba 6d d1 22 01 05 78 fe 6a 9d 22 78 ff ac koji base64url kodira lZ66bdEiAQV4_mqdInj_rA.

  4. Odaberite slučajni slijed od 12 bajtova koji će se koristiti kao vektor inicijalizacije. Ovaj primjer koristi (heksadecimalni) 34 b3 5d dd 5f 53 7b af 2d 92 95 83 koji base64url kodira NLNd3V9Te68tkpWD.

  5. Stvorite JOSE zaglavlje kompaktnom serijalizacijom (slijedite isti redoslijed parametara koje ovdje koristimo), a zatim ga šifrirajte na bazi64url:

    {"alg":"dir","cisco-action":"add","cisco-kdf":{"salt":"5eZTCAP4M_Y","verzija":"1"},"enc":"A115GCM"}

    Baza64url šifrirano JOSE zaglavlje je eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ9

    To će biti prvi element JWE bloba.

  6. Drugi element JWE bloba je prazan, jer ne isporučujemo JWE ključ za šifriranje.

  7. Treći element JWE bloba je vektor inicijalizacije NLNd3V9Te68tkpWD.

  8. Upotrijebite svoj JWE alat za šifriranje kako biste proizveli šifrirani korisni teret i oznaku. Na primjer, nešifrirani korisni podaci bit će lažna PEM blob ovo je PEM datoteka

    Parametri šifriranja koje biste trebali koristiti su:

    • Korisni podaci su to je PEM datoteka

    • Šifra za šifriranje je AES 128 GCM

    • Zaglavlje BAZE64url kodiralo je JOSE kao dodatne provjerene podatke (AAD)

    Base64url kodira šifrirani korisni podaci, što bi trebalo rezultirati f5lLVuWNfKfmzYCo1YJfODhQ

    Ovo je četvrti element (JWE Ciphertext) u JWE blob.

  9. Base64url kodira oznaku koju ste proizveli u 8. koraku, što bi trebalo rezultirati PE-wDFWGXFFBeo928cfZ1Q

    Ovo je peti element u JWE grudnoj kugli.

  10. Ulančajte pet elemenata JWE bloba s točkicama (JOSEheader.. IV.Ciphertext.Tag) da biste dobili:

    eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

  11. Ako ste izvedene iste vrijednosti kodirane u bazi64url kao što prikazujemo ovdje, koristeći vlastite alate, spremni ste ih koristiti za zaštitu E2E šifriranja i potvrđenog identiteta vaših uređaja.

  12. Ovaj primjer zapravo neće raditi, ali u načelu bi vaš sljedeći korak bio korištenje JWE bloba koji ste gore stvorili kao ulaz u xcommand na uređaju koji dodaje certifikat:

    xCommand Sigurnosni certifikati Dodaj eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

Vrste sesija za sastanke bez povjerenja dostupne su na svim web-mjestima sastanaka bez dodatnog troška. Jedna od tih vrsta sesija zove se Pro-End to End Encryption_VOIPonly. To je Naziv javne usluge, koji možemo promijeniti u budućnosti. Trenutne nazive vrsta sesija potražite u članku ID-ovi vrste sesije u odjeljku Referenca ovog članka.

Nema ništa što trebate učiniti da biste dobili ovu mogućnost za svoje web-mjesto; korisnicima morate dodijeliti novu vrstu sesije (koja se naziva i Privilegija za sastanak). To možete učiniti pojedinačno putem korisnikove konfiguracijske stranice ili skupno s CSV izvozom/uvozom.

Potvrdi novu vrstu sesije
1

Prijavite se u okruženje Control Hub te idite na Usluge > Sastanak.

2

Kliknite na Web-mjesta, odaberite web-mjesto Webex za koje želite promijeniti postavke, a zatim kliknite na Postavke.

3

U odjeljku Uobičajene postavkeodaberite Vrste sesija.

4
Trebate vidjeti jednu ili više vrsta sesija sveobuhvatnog šifriranja. Pogledajte popis ID-ova vrste sesije u odjeljku Referenca ovog članka. Na primjer, možda ćete vidjeti Pro-End to End Encryption_VOIPonly.

Postoji starija vrsta sesije s vrlo sličnim nazivom: Sveobuhvatno šifriranje. Ova vrsta sesije uključuje nešifrirani PSTN pristup sastancima. Morate imati verziju za _VOIPonly kako biste osigurali sveobuhvatno šifriranje. Možete provjeriti tako da zadržite pokazivač miša iznad veze PRO u stupcu šifre sesije; u ovom primjeru, cilj veze treba biti javascript:ShowFeature(652).

U budućnosti možemo promijeniti nazive javnih usluga za ove vrste sesija.

5

Ako još nemate novu vrstu sesije, obratite se predstavniku Webexa.

Što učiniti sljedeće

Omogućite ovu vrstu sesije / privilegiju sastanka nekim ili svim korisnicima.

Omogućite E2EE sastanke za pojedinačne korisnike
1

Prijavite se u okruženje Control Hub i idite na Upravljanje > Korisnici.

2

Odaberite korisnički račun za ažuriranje, a zatim odaberite Sastanci.

3

U izborniku Postavke primijeni na padajući izbornik odaberite web-mjesto sastanka za ažuriranje.

4

Označite okvir pored opcije Pro-End to End Encryption_VOIPonly.

5

Zatvorite konfiguracijsku ploču korisnika.

6

Ponovite postupak za druge korisnike ako je potrebno.

Kako biste to dodijelili mnogim korisnicima, upotrijebite sljedeću opciju Omogućite E2EE sastanke za više korisnika.

Omogući E2EE sastanke za više korisnika
1

Prijavite se u okruženje Control Hub te idite na Usluge > Sastanak.

2

Kliknite na Web-mjesta, odaberite web-mjesto Webex za koje želite promijeniti postavke.

3

U odjeljku Licence i korisnici kliknite Masovno upravljanje.

4

Kliknite na Generiraj izvješće i pričekajte da pripremimo datoteku.

5

Kada je datoteka spremna, kliknite Izvezi rezultate, a zatim Preuzmi. (Skočni prozor morate ručno zatvoriti nakon što kliknete na Preuzmi.)

6

Otvorite preuzetu CSV datoteku za uređivanje.

Postoji redak za svakog korisnika, a stupac MeetingPrivilege sadržava ID-ove vrste sesije kao popis razgraničenih zarezima.

7

Za svakog korisnika kojem želite dodijeliti novu vrstu sesije dodajte 1561 kao novu vrijednost na popisu razgraničenom zarezima u ćeliji MeetingPrivilege .

Referenca formata Webex CSV datoteke sadrži pojedinosti o svrsi i sadržaju CSV datoteke.

8

Otvorite konfiguracijsku ploču web-mjesta sastanka u kontrolnom središtu.

Ako ste već bili na stranici popisa web-mjesta sastanka, možda ćete je morati osvježiti.

9

U odjeljku Licence i korisnici kliknite Masovno upravljanje.

10

Kliknite Uvezi i odaberite uređeni CSV, a zatim kliknite Uvezi. Pričekajte dok se datoteka ne prenese.

11

Kada je uvoz dovršen, kliknite Uvezi rezultate da biste pregledali je li bilo pogrešaka.

12

Idite na stranicu Korisnici i otvorite jedan od korisnika da biste provjerili imaju li novu vrstu sesije.

Za sigurnost dodajte zvučni vodeni žig

Možete dodati vodeni žig snimkama sastanka s vrstom sesije Webex Meetings Pro-End to End Encryption_VOIPonly koja vam omogućuje identificiranje izvornog klijenta ili uređaja neovlaštenih snimki povjerljivih sastanaka.

Kada je ta značajka omogućena, zvuk sastanka uključuje jedinstveni identifikator za svakog klijenta ili uređaja koji sudjeluje. Možete prenijeti zvučne snimke u Control Hub koji zatim analizira snimku i traži jedinstvene identifikatore. Rezultate možete pogledati kako biste vidjeli koji je izvorni klijent ili uređaj snimio sastanak.

  • Za analizu snimka mora biti AAC, MP3, M4A, WAV, MP4, AVI ili MOV datoteka čija veličina ne premašuje 500 MB.
  • Snimka mora biti dulja od 100 sekundi.
  • Možete analizirati samo snimke za sastanke koje organiziraju osobe u vašoj organizaciji.
  • Informacije o vodenom žigu zadržavaju se tijekom istog trajanja kao informacije o sastanku organizacije.

Dodaj zvučne vodene žigove E2EE sastancima

  1. Prijavite se u Control Hub, a zatim u izborniku Upravljanje odaberite opciju Postavke organizacije.
  2. U odjeljku Vodeni žigovi sastanka uključite Dodaj zvučni vodeni žig.

    Neko vrijeme nakon uključivanja, korisnici koji zakazuju sastanke s vrstom sesije Webex Meetings Pro-End to End Encryption_VOIPonly vide opciju Digitalni vodeni žig u odjeljku Sigurnost.

Prenesite i analizirajte sastanak s vodenom oznakom

  1. U okruženju Control Hub, u izborniku Praćenje odaberite Rješavanje problema.
  2. Kliknite na Analiza vodenog žiga.
  3. Potražite ili odaberite sastanak s popisa, a zatim kliknite na Analiziraj.
  4. U prozoru Analiza zvučnog vodenog žiga unesite naziv za svoju analizu.
  5. (Neobavezno) Unesite napomenu za svoju analizu.
  6. Povucite i ispustite zvučnu datoteku za analizu ili kliknite na Odaberi datoteku za prelazak na zvučnu datoteku.
  7. Kliknite Zatvori.

    Kada se analiza dovrši, bit će prikazana na popisu rezultata na stranici Analiza vodenog žiga .

  8. Odaberite sastanak s popisa kako biste vidjeli rezultate analize. Kliknite Gumb Preuzmi za preuzimanje rezultata.

Značajke i ograničenja

Čimbenici koji su uključeni u uspješno dekodiranje snimljenog vodenog žiga uključuju udaljenost između uređaja za snimanje i zvučnika koji emitira zvuk, glasnoću tog zvuka, buku iz okoline itd. Naša tehnologija za vodeni žig ima dodatnu otpornost na šifriranje više puta, što bi se moglo dogoditi kada se mediji dijele.

Ova je značajka osmišljena kako bi omogućila uspješno dekodiranje identifikatora vodenog žiga u širokom, ali razumnom skupu okolnosti. Naš je cilj da uređaj za snimanje, kao što je mobilni telefon, koji leži na stolu u blizini osobne krajnje točke ili klijenta prijenosnog računala, uvijek stvori snimku koja rezultira uspješnom analizom. Kako se uređaj za snimanje odbacuje od izvora ili ne sluša cijeli zvučni spektar, smanjuju se šanse za uspješnu analizu.

Kako biste uspješno analizirali snimku, potrebno je odgovarajuće snimanje zvuka sastanka. Ako se zvuk sastanka snima na istom računalu koje je organizator klijenta, ne bi se trebala primjenjivati ograničenja.

Omogućavanje uređaja (interni CA)

Ako su vaši uređaji već omogućeni u vašoj organizaciji Kontrolnog čvorišta i želite upotrijebiti Webex CA za automatsko generiranje njihovih identifikacijskih certifikata, ne morate vraćati uređaje na tvorničke postavke.

Ovaj postupak odabire domenu koju uređaj koristi za identifikaciju i potreban je samo ako imate više domena u tvrtki ili ustanovi kontrolnog centra. Ako imate više domena, preporučujemo da to učinite za sve svoje uređaje koji će imati identitet "Cisco-provjeren". Ako Webexu ne kažete koja domena identificira uređaj, automatski se odabire, a drugi sudionici sastanka mogu pogriješiti.

Prije početka

Ako vaši uređaji još nisu omogućeni, slijedite odjeljak Registrirajte uređaj na Cisco Webex pomoću API-ja ili lokalnog web-sučelja ili Omogućavanje u oblaku za serije Board, Desk i Room. Također biste trebali potvrditi domene koje želite upotrebljavati za identifikaciju uređaja u izborniku Upravljanje domenama.

1

Prijavite se u okruženje Control Hub, a u izborniku Upravljanje odaberite opciju Uređaji.

2

Odaberite uređaj da biste otvorili njegovu konfiguracijsku ploču.

3

Odaberite domenu koju želite koristiti za identifikaciju ovog uređaja.

4

Ponovite postupak za druge uređaje.

Omogućavanje uređaja (vanjski CA)

Prije početka

  • Nabavite CA-potpisani certifikat i privatni ključ u .pem formatu za svaki uređaj.

  • U kartici Priprema pročitajte temu Razumijevanje procesa vanjskog identiteta za uređaje,

  • Pripremite JWE alat za šifriranje s obzirom na informacije u njemu.

  • Provjerite imate li alat za generiranje nasumičnih nizova bajtova određenih duljina.

  • Provjerite imate li alat za bazu64url šifriranja bajtova ili teksta.

  • Provjerite imate li implementaciju scrypt .

  • Provjerite imate li tajnu riječ ili izraz za svaki uređaj.

1

Popunite ClientSecret uređaja tajnom običnog teksta:

Prvi put kada popunite Tajnu, opskrbljujete je običnim tekstom. Zato preporučujemo da to učinite na konzoli fizičkog uređaja.

  1. Base64url kodira tajnu frazu za ovaj uređaj.

  2. Otvorite TShell na uređaju.

  3. Pokreni xcommand Security ClientSecret Populate Secret: "MDEyMzQ1Njc4OWFiY2RlZg"

    Gornja naredba za primjer popunjava Tajna izrazom 0123456789abcdef. Moraš izabrati svoju.

Uređaj ima svoju početnu tajnu. Ne zaboravite to; ne možete ga oporaviti i morate vratiti uređaj na tvorničke postavke kako biste ga ponovno pokrenuli.
2

Ulančajte certifikat i privatni ključ:

  1. Pomoću uređivača teksta otvorite .pem datoteke, zalijepite ključ blob certifikata i spremite ga kao novu .pem datoteku.

    To je tekst tereta koji ćete šifrirati i staviti u svoj JWE blok.

3

Stvorite JWE blob koji će se koristiti kao ulaz u naredbu za dodavanje certifikata:

  1. Stvorite slučajni slijed od najmanje 4 bajtova. Ovo je tvoja sol.

  2. Pomoću alata za šifriranje sadržaja iznesite ključ za šifriranje sadržaja.

    Za to vam je potrebna tajna, sol i ključna duljina koja odgovara odabranoj šifri za šifriranje. Postoje i neke druge fiksne vrijednosti za opskrbu (N=32768, r=8, p=1). Uređaj koristi isti postupak i vrijednosti za dobivanje istog ključa za šifriranje sadržaja.

  3. Stvorite slučajni slijed od točno 12 bajtova. Ovo je tvoj vektor inicijalizacije.

  4. Izradite JOSE zaglavlje, postavljajući tipke alg, enc i cisco-kdf kako je opisano u poglavlju Razumijevanje procesa vanjskog identiteta za uređaje. Postavite radnju „dodaj“ pomoću ključa:vrijednosti „cisco-action“:„dodaj” u zaglavlju JOSE (jer dodajemo certifikat uređaju).

  5. Base64url kodira JOSE zaglavlje.

  6. Koristite svoj JWE alat za šifriranje s odabranom šifrom i zaglavljem JOSE kodiranog base64url za šifriranje teksta iz ulančane pem datoteke.

  7. Base64url kodira vektor inicijalizacije, šifrirani PEM teret i oznaku za provjeru autentičnosti.

  8. Konstruirajte JWE blob na sljedeći način (sve vrijednosti su kodirane u bazu64url):

    JOSEHeader..InitVector.EncryptedPEM.AuthTag

4

Otvorite TShell na uređaju i pokrenite naredbu (višeredno dodavanje): 

xcommand Security Certificates Services Add IsŠifrirano: Ispunite svoje..JWE.str.ing\n .\n
5

Potvrdite da je certifikat dodan pokretanjem xcommand Prikaži usluge sigurnosnog certifikata

Kopirajte otisak prsta novog certifikata.

6

Aktivirajte certifikat u svrhu WebexIdentity:

  1. Pročitajte otisak certifikata, iz samog certifikata ili iz izlaza xcommand Security Certificates Service Show.

  2. Stvorite slučajni slijed od najmanje 4 bajtova, a base64url kodirajte taj slijed. Ovo je tvoja sol.

  3. Pomoću alata za šifriranje sadržaja iznesite ključ za šifriranje sadržaja.

    Za to vam je potrebna tajna, sol i ključna duljina koja odgovara odabranoj šifri za šifriranje. Postoje i neke druge fiksne vrijednosti za opskrbu (N=32768, r=8, p=1). Uređaj koristi isti postupak i vrijednosti za dobivanje istog ključa za šifriranje sadržaja.

  4. Stvorite slučajni slijed od točno 12 bajtova i base64url kodirajte taj slijed. Ovo je tvoj vektor inicijalizacije.

  5. Izradite JOSE zaglavlje, postavljajući tipke alg, enc i cisco-kdf kako je opisano u poglavlju Razumijevanje procesa vanjskog identiteta za uređaje. Postavite radnju "aktiviraj" pomoću ključa:vrijednosti "cisco-action":"aktiviraj" u zaglavlju JOSE (jer aktiviramo certifikat na uređaju).

  6. Base64url kodira JOSE zaglavlje.

  7. Upotrijebite svoj JWE alat za šifriranje s odabranom šifrom i zaglavljem JOSE kodirane baze64url za šifriranje otiska prsta certifikata.

    Alat bi trebao imati slijed od 16 ili 32 bajtova, ovisno o tome jeste li odabrali 128 ili 256-bitni AES-GCM i oznaku za provjeru autentičnosti.

  8. Base64urlencode šifrirani otisak prsta i oznaku za provjeru autentičnosti.

  9. Konstruirajte JWE blob na sljedeći način (sve vrijednosti su kodirane u bazu64url):

    JOSEHeader..InitVector.EncryptedFingerprint.AuthTag

  10. Otvorite TShell na uređaju i pokrenite sljedeću naredbu za aktivaciju:

     xcommand Security Certificates Services Purpose Activate: WebexIdentity otisak prsta: „Your..JWE.encrypted.fingerprint”

Uređaj ima šifrirani, aktivni, CA-izdani certifikat, spreman za identifikaciju na end-to-end šifriranim Webex sastancima.
7

Uključite uređaj u tvrtku ili ustanovu upravljačkog centra.

Testiraj sveobuhvatno šifriranje s provjerom identiteta
1

Zakažite sastanak odgovarajuće vrste (Webex sastanci od kraja do kraja Encryption_VOIPonly).

Pogledajte Zakazivanje web-sastanka pomoću end-to-end šifriranja.

2

Uključite se u sastanak kao domaćin iz klijenta Webex sastanaka.

Pogledajte Uključivanje u web-ex sastanak s end-to-end šifriranjem.

3

Uključite se u sastanak s uređaja na kojem je webex CA potvrdio svoj identitet.

4

Kao glavno računalo provjerite pojavljuje li se ovaj uređaj u predvorju s ispravnom ikonom identiteta.

Pogledajte Uključivanje u web-ex sastanak s end-to-end šifriranjem.

5

Uključite se u sastanak s uređaja na kojem je vanjski CA potvrdio svoj identitet.

6

Kao glavno računalo provjerite pojavljuje li se ovaj uređaj u predvorju s ispravnom ikonom identiteta. Saznajte više o ikonama identiteta.

7

Uključite se u sastanak kao neprovjereni sudionik sastanaka.

8

Kao domaćin provjerite pojavljuje li se ovaj sudionik u predvorju s ispravnom ikonom identiteta.

9

Kao domaćin, priznajte ili odbacite ljude / uređaje.

10

Provjerite valjanost identiteta sudionika/uređaja gdje je to moguće provjerom certifikata.

11

Provjerite vide li svi u sastanku isti sigurnosni kod sastanka.

12

Uključite se u sastanak s novim sudionikom.

13

Provjerite vide li svi isti, novi sigurnosni kod sastanka.

Postavljanje opsega i očekivanja

  • Hoćete li end-to-end šifrirane sastanke učiniti zadanom opcijom sastanka ili je omogućiti samo nekim korisnicima ili dopustiti svim domaćinima da odluče? Kada odlučite kako ćete koristiti ovu značajku, pripremite one korisnike koji će je koristiti, posebno s obzirom na ograničenja i što možete očekivati na sastanku.

  • Trebate li osigurati da ni Cisco ni bilo tko drugi ne može dešifrirati vaš sadržaj ili oponašati vaše uređaje? Ako je tako, potrebni su vam certifikati javnog CA- a.

  • Ako imate različite razine provjere identiteta, omogućite korisnicima da se međusobno provjere s identitetom podržanim certifikatom. Iako postoje okolnosti u kojima se sudionici mogu pojaviti kao neprovjereni, a sudionici bi trebali znati provjeriti, neprovjereni ljudi možda nisu varalice.

Upravljanje identitetom

Ako za izdavanje certifikata uređaja koristite vanjski CA, onus je na vama da pratite, osvježavate i ponovno primjenjujete certifikate.

Ako ste stvorili početnu tajnu, shvatite da vaši korisnici možda žele promijeniti tajnu svog uređaja. Možda ćete morati stvoriti sučelje/distribuirati alat da biste im to omogućili.

ID-ovi vrste sesije
Tablica 1. ID-ove vrste sesije za end-to-end šifrirane sastanke

ID vrste sesije

Naziv javne usluge

638

Samo E2E Enkripcija+VoIP

652

Pro-End to End EVOIPonlyncryption_

660

Pro 3 Free-End to End EVOIPonlyncryption_

E2E enkripcija + identitet

672

Pro 3 Free50-End to End EVOIPonlyncryption_

673

Instruktor obrazovanja E2E EVOIPonlyncryption_

676

Broadworks Standard plus end to end enkripcija

677

Broadworks Premium plus end to end enkripcija

681

Schoology Free plus end to end enkripcija

Povezane xAPI naredbe

Ove tablice opisuju API naredbe webex uređaja koje smo dodali za end-to-end šifrirane sastanke i provjereni identitet. Dodatne informacije o korištenju API-ja potražite u članku Pristup API-jem za Webex room i desk uređaje te Webex ploče.

Ove xAPI naredbe dostupne su samo na uređajima koji su:

  • Registriran na Webex

  • Registriran lokalno i povezan s Webexom s Webex Edgeom za uređaje

Tablica 2. API-je na razini sustava za end-to-end šifrirane sastanke i provjereni identitet

API poziv

Opis

xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "primjer.com"

Ta se konfiguracija vrši kada administrator postavi željenu domenu uređaja iz kontrolnog središta. Potrebno samo ako organizacija ima više domena.

Uređaj koristi ovu domenu kada zatraži certifikat od Webex CA. Domena zatim identificira uređaj.

Ova konfiguracija nije primjenjiva kada uređaj ima aktivan, vanjski izdan certifikat za identifikaciju.

Dostupnost xStatus konferencije EndToEndEncryption

Označava može li se uređaj pridružiti end-to-end šifriranom sastanku. API u oblaku naziva ga tako da uparena aplikacija zna može li koristiti uređaj za pridruživanje.

Provjera identiteta vanjskog šifriranja za xStatus konferencije s kraja na kraj

Naznačuje koristi li uređaj vanjsku provjeru valjanosti (ima vanjski certifikat).

xStatus konferencije EndToEndEncryption vanjski identitet

Identitet uređaja koji se očitava iz zajedničkog naziva vanjskog certifikata.

xStatus konferencije EndToEndEncryption ExternalIdentity CertificateChain certifikat br. specificinfo

Čita određene informacije iz vanjsko izdanog certifikata.

U prikazanoj naredbi # zamijenite brojem certifikata. Zamijeni specificinfo jednim od:

  • Otisak prsta

  • NeNakon datuma završetka valjanosti

  • NePrije Datum početka valjanosti

  • PrimarnoName

  • Algoritam javnog ključa

  • Serijski broj

  • Algoritam potpisa

  • Predmet # Name Popis subjekata za certifikat (npr. adresa e-pošte ili naziv domene)

  • Valjanost Daje status valjanosti ovog certifikata (npr. važeće ili isteklo)

Status xStatus završne konferencije – kraj šifriranja – status vanjskog identiteta

Status vanjskog identiteta uređaja (npr. važeće ili pogreške).

Provjera internog identiteta xStatus konferencije EndToEndEncryption

Označava ima li uređaj valjani certifikat koji je izdao Webex CA.

xStatus konferencije EndToEndEncryption Interni identitet

Identitet uređaja koji se čita iz zajedničkog naziva certifikata izdanog na Webexu.

Sadrži naziv domene ako organizacija ima domenu.

Prazna je ako organizacija nema domenu.

Ako se uređaj nalazi u organizaciji koja ima više domena, to je vrijednost iz preferirane domene.

xStatus konferencije EndToEndEncryption InternalIdentity CertificateChain Certificate br. specificinfo

Čita određene informacije iz certifikata izdanog na Webexu.

U prikazanoj naredbi # zamijenite brojem certifikata. Zamijeni specificinfo jednim od:

  • Otisak prsta

  • NeNakon datuma završetka valjanosti

  • NePrije Datum početka valjanosti

  • PrimarnoName

  • Algoritam javnog ključa

  • Serijski broj

  • Algoritam potpisa

  • Predmet # Name Popis subjekata za certifikat (npr. adresa e-pošte ili naziv domene)

  • Valjanost Daje status valjanosti ovog certifikata (npr. važeće ili isteklo)

Tablica 3. Pozivni API-je za end-to-end šifrirane sastanke i provjereni identitet

API poziv

Opis

Sudionik xEvent konferencijePopis sudionikaDodano

Sudionici xEvent konferencijePopis sudionikaAžuriran

Sudionici xEvent konferencijePopis sudionika izbrisano

Ta tri događaja sada uključuju EndToEndEncryptionStatus, EndToEndEncryptionIdentity i EndToEndEncryptionCertInfo za zahvaćenog sudionika.

Stol 4. API-je povezani s klijentomSecret za end-to-end šifrirane sastanke i provjereni identitet

API poziv

Opis

xCommand Security ClientSecret Populate Secret: "base64url-kodirano"

ili

xCommand Security ClientSecret Populate Secret: JWEblob

Prihvaća osnovnu vrijednost običnog teksta kodirane u bazi64url za posijanje tajne klijenta na uređaju po prvi put.

Da biste ažurirali tajnu nakon toga prvi put, morate dostaviti JWE blob koji sadrži novu tajnu šifriranu starom tajnom.

Usluge sigurnosnog certifikata za xCommand Dodaj JWEblob

Dodaje certifikat (s privatnim ključem).

Proširili smo ovu naredbu kako bismo prihvatili JWE blob koji sadrži šifrirane PEM podatke.

xCommand Sigurnosni certifikati Usluge Aktiviraj svrhu:WebexIdentity FingerPrint: JWEblob

Aktivira određeni certifikat za WebexIdentity. U tu Svrhu, naredba zahtijeva šifriranje i serijalizaciju identifikacijskog otiska prsta u JWE blobu.

Usluge xCommand sigurnosnog certifikata Deaktiviraj svrhu:WebexIdentity FingerPrint: JWEblob

Deaktivira određeni certifikat za WebexIdentity. U tu Svrhu, naredba zahtijeva šifriranje i serijalizaciju identifikacijskog otiska prsta u JWE blobu.