Korisničko iskustvo

Korisnici biraju vrstu sastanka kada zakažu sastanak. Prilikom primanja sudionika iz predvorja, kao i tijekom sastanka, organizator može vidjeti status provjere identiteta svakog sudionika. Tu je i kôd sastanka koji je zajednički svim trenutačnim sudionicima sastanka, a koji mogu upotrijebiti za potvrdu da njihov sastanak nije presreo neželjeni Posrednik U Sredini (MITM) napada treće strane.

Podijelite sljedeće informacije sa svojim organizatorima sastanka:

Provjera identiteta s unutarnjim ili vanjskim CA-om

Provjeri identitet

Sveobuhvatno šifriranje s provjerom identiteta pruža dodatnu sigurnost sveobuhvatno šifriranom sastanku.

Kada se sudionici ili uređaji pridruže zajedničkoj skupini za MLS (Messaging Layer Security), oni svoje certifikate prezentiraju drugim članovima skupine, koji zatim potvrđuju certifikate u odnosu na tijela za izdavanje certifikata (CA). Potvrdom da su certifikati valjani CA potvrđuje identitet sudionika, a sastanak prikazuje sudionike/uređaje kao potvrđene.

Korisnici aplikacije Webex autentičnost se provjerava u spremište identiteta Webex, što im izdaje pristupni token kada provjera autentičnosti uspije. Ako im je potreban certifikat za potvrdu identiteta na sastanku sa sveobuhvatnim šifriranjem, Webex CA izdaje im certifikat temeljem pristupnog tokena. Trenutačno ne pružamo način da korisnici usluge Webex Meetings dobiju certifikat koji je izdao vanjski CA / vanjski CA.

Uređaji si mogu provjeriti autentičnost pomoću certifikata koji je izdao interni (Webex) CA ili certifikata koji je izdao vanjski CA:

  • Interni CA – Webex izdaje interni certifikat na temelju pristupnog tokena računa uređaja. Certifikat je potpisao Webex CA. Uređaji nemaju korisničke ID-ove na isti način kao i korisnici, pa Webex upotrebljava (jednu od) domena vaše organizacije pri zapisivanju identiteta certifikata uređaja (zajednički naziv (CN)).

  • Vanjski CA – zatražite i kupite certifikate uređaja izravno od odabranog izdavača. Certifikate morate šifrirati, izravno prenijeti i autorizirati pomoću tajne koja vam je poznata.

    Cisco nije uključen, što na taj način jamči istinsko sveobuhvatno šifriranje i provjereni identitet te sprječava teoretsku mogućnost da Cisco prisluškuje vaš sastanak / dešifrira vaše medije.

Certifikat uređaja izdan interno

Webex izdaje certifikat uređaju kada se registrira nakon pokretanja i obnavlja ga po potrebi. Za uređaje certifikat uključuje ID računa i domenu.

Ako vaša organizacija nema domenu, Webex CA izdaje certifikat bez domene.

Ako vaša organizacija ima više domena, možete upotrijebiti Control Hub kako biste webexu rekli koju domenu uređaj smije upotrebljavati za svoj identitet. Možete koristiti i API xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com".

Ako imate više domena i ne postavite željenu domenu za uređaj, Webex će odabrati jednu za vas.

Certifikat uređaja izdan izvana

Administrator može dodijeliti uređaj s vlastitim certifikatom koji je potpisan s jednim od javnih CA-ova.

Certifikat se mora temeljiti na ECDSA P-256 para ključeva, iako ga može potpisati RSA ključ.

Vrijednosti u certifikatu prepuštene su organizaciji. Zajednički naziv (CN) i alternativni naziv subjekta (SAN) prikazat će se na korisničkom sučelju Webex sastanka, kako je opisano u Sveobuhvatnom šifriranju s provjerom identiteta za Webex Meetings.

Preporučujemo da upotrebljavate poseban certifikat po uređaju i da imate jedinstvenu CN po uređaju. Na primjer, „meeting-room-1.primjer.com” za organizaciju koja posjeduje domenu „primjer.com”.

Kako biste u potpunosti zaštitili vanjski certifikat od neovlaštenog pristupa, značajka tajne klijenta upotrebljava se za šifriranje i potpisivanje različitih naredbi xcommands.

Kada upotrebljavate klijentsku tajnu, moguće je sigurno upravljati vanjskim Webex certifikatom identiteta putem xAPI-ja. To je trenutačno ograničeno na mrežne uređaje.

Webex trenutačno pruža API naredbe za upravljanje ovim.

Značajke i ograničenja

Uređaji

E2EE sastancima mogu se pridružiti sljedeći uređaji iz serija Webex Room i Webex Desk registrirani u oblaku:

  • Webex ploča

  • Webex Desk Pro

  • Webex stol

  • Webex komplet soba

  • Webex komplet soba Mini

Sljedeći uređaji ne mogu se pridružiti E2EE sastancima:

  • Webex serija C

  • Webex serija DX

  • Serija Webex EX

  • Serija Webex MX

  • SIP uređaji treće strane

Softverski klijenti

  • Aplikacija Webex za računalne i mobilne klijente može se pridružiti E2EE sastancima.

  • Web-klijent Webex ne može se pridružiti E2EE sastancima.

  • SIP softverski klijenti treće strane ne mogu se pridružiti E2EE sastancima.

Identitet

  • Prema dizajnu, ne pružamo opcije okruženja Control Hub za upravljanje identitetom uređaja koji je potvrđen izvana. Za istinsko sveobuhvatno šifriranje, samo trebate znati / pristupiti tajnama i ključevima. Ako smo uveli uslugu u oblaku za upravljanje tim ključevima, postoji mogućnost da ih se presreće.

  • Trenutačno vam pružamo „recept“ za dizajniranje vlastitih alata na temelju industrijskih standardnih tehnika šifriranja kako biste pomogli pri traženju ili šifriranju certifikata identiteta vašeg uređaja i njihovih privatnih ključeva. Ne želimo imati stvaran ili percipirani pristup vašim tajnama ili ključevima.

Sastanci

  • E2EE sastanci trenutačno podržavaju najviše 1000 sudionika.

  • Nove digitalne ploče možete dijeliti u E2EE sastancima. Postoje neke razlike u odnosu na digitalne ploče u redovitim sastancima:
    • Na E2EE sastancima korisnici ne mogu pristupiti digitalnim pločama izrađenima izvan sastanka, uključujući privatne digitalne ploče, digitalne ploče koje dijele drugi i digitalne ploče iz Webex prostora.
    • Digitalne ploče stvorene u sastancima usluge E2EE dostupne su samo tijekom sastanka. Nisu spremljeni i nisu dostupni nakon završetka sastanka.
    • Ako netko dijeli sadržaj u E2EE sastanku, možete ga dodati napomenu. Dodatne informacije o označavanju potražite u aplikaciji Webex | Označite dijeljeni sadržaj napomenama.

Sučelje za upravljanje

Preporučujemo da koristite Control Hub za upravljanje web-mjestom Meetings jer organizacije Control Huba imaju centralizirani identitet za cijelu organizaciju.

Dodatni resursi
Preduvjeti

  • Webex sastanci 41.7.

  • Uređaji iz serija Webex Room i Webex Desk registrirani u oblaku, pokrenuti 10.6.1-RoomOS_August_2021.

  • Administrativni pristup web-mjestu sastanka u okruženju Control Hub.

  • Jedna ili više potvrđenih domena u vašoj organizaciji Kontrolnog čvorišta (ako upotrebljavate Webex CA za izdavanje certifikata uređaja za potvrđeni identitet).

  • Sobe za sastanak za suradnju moraju biti uključene kako bi se osobe mogle pridružiti putem videosustava. Za više informacija pogledajte odjeljak Dopusti videosustavima pridruživanje sastancima i događajima na web-mjestu Webex.

Dohvati certifikate uređaja

Možete preskočiti ovaj korak ako vam nisu potrebni identiteti potvrđeni izvana.

Za najvišu razinu sigurnosti i provjeru identiteta svaki uređaj treba imati jedinstveni certifikat koji izdaje pouzdana javna ustanova za certifikaciju (CA).

Morate komunicirati s CA-om kako biste zatražili, kupili i primili digitalne certifikate i stvorili povezane privatne ključeve. Prilikom zahtjeva za certifikat koristite ove parametre:

  • Certifikat mora biti izdan i potpisan od strane poznatog javnog CA-a.

  • Jedinstveno: Toplo preporučujemo upotrebu jedinstvenog certifikata za svaki uređaj. Ako upotrebljavate jedan certifikat za sve uređaje, ugrožavate svoju sigurnost.

  • Zajednički naziv (CN) i alternativni naziv/nazivi subjekta (SAN/ovi): To nisu važni za Webex, ali trebaju biti vrijednosti koje ljudi mogu čitati i povezivati s uređajem. CN će se drugim sudionicima sastanka prikazati kao primarni potvrđeni identitet uređaja, a ako korisnici pregledavaju certifikat putem korisničkog sučelja sastanka, vidjet će SAN/e. Možda želite upotrijebiti imena kao što je name.model@example.com.

  • Format datoteke: Certifikati i ključevi moraju biti u .pem formatu.

  • Svrha: Svrha certifikata mora biti Webex Identity.

  • Generiranje ključeva: Certifikati se moraju temeljiti na ECDSA P-256 parovima tipki (algoritam digitalnog potpisa eliptične krivulje koji koristi P-256 krivulju).

    Ovaj se zahtjev ne odnosi na ključ za potpisivanje. CA može koristiti RSA tipku za potpisivanje certifikata.

Pripremite se za omogućavanje uređaja

Možete preskočiti ovaj korak ako ne želite upotrebljavati identitet potvrđen izvana na vašim uređajima.

Ako upotrebljavate nove uređaje, još ih nemojte registrirati na Webex. Da biste bili sigurni, u ovom trenutku ih nemojte povezivati na mrežu.

Ako imate postojeće uređaje koje želite nadograditi tako da upotrebljavaju identitet potvrđen izvana, uređaje morate vratiti na tvorničke postavke.

  • Spremite postojeću konfiguraciju ako je želite zadržati.

  • Zakažite prozor kada se uređaji ne koriste ili upotrebljavajte pristup u fazama. Obavijestite korisnike o promjenama koje mogu očekivati.

  • Osigurajte fizički pristup uređajima. Ako uređajima morate pristupiti putem mreže, imajte na umu da tajne putuju običnim tekstom i da ugrožavate svoju sigurnost.

Nakon što dovršite ove korake, dopustite videosustavima da se pridruže sastancima i događajima na vašem web-mjestu Webex.

Razumijevanje procesa vanjskog identiteta za uređaje

Kako biste osigurali da medijski sadržaj vašeg uređaja ne može šifrirati bilo tko osim uređaja, morate šifrirati privatni ključ na uređaju. Dizajnirali smo API-je za uređaj kako bi omogućili upravljanje šifriranim ključem i certifikatom, koristeći JSON web šifriranje (JWE).

Kako bismo osigurali istinsko sveobuhvatno šifriranje putem našeg oblaka, ne možemo sudjelovati u šifriranju i prijenosu certifikata i ključa. Ako vam je potrebna ova razina sigurnosti, morate:

  1. Zatražite svoje certifikate.

  2. Generirajte parove ključeva svojih certifikata.

  3. Izradite (i zaštitite) početnu tajnu za svaki uređaj kako biste sačuvali mogućnost šifriranja uređaja.

  4. Razvijte i održavajte vlastiti alat za šifriranje datoteka pomoću JWE standarda.

    U nastavku su objašnjeni proces i (ne-tajni) parametri koje ćete trebati, kao i recept koji ćete slijediti u vašim razvojnim alatima po izboru. Osim toga, pružamo neke testne podatke i rezultirajuće JWE blokove kako ih očekujemo, kako bismo vam pomogli u provjeri postupka.

    Nepodržana referentna implementacija koja koristi Python3 i JWCrypto biblioteku dostupna je od tvrtke Cisco na zahtjev.

  5. Ulančajte i šifrirajte certifikat i ključ pomoću svog alata i početne tajne uređaja.

  6. Prenesite rezultirajući JWE blok na uređaj.

  7. Postavite svrhu šifriranog certifikata za upotrebu za Webex identitet i aktivirajte certifikat.

  8. (Preporučeno) Osigurajte sučelje za (ili distribuciju) vašeg alata kako biste korisnicima uređaja omogućili promjenu početne tajne i zaštitu svojih medija od vas.

Kako upotrebljavamo format JWE

Ovaj odjeljak opisuje kako očekujemo da će se JWE stvoriti kao ulaz na uređaje, tako da možete izraditi vlastiti alat za izradu blokova iz svojih certifikata i ključeva.

Pogledajte JSON web-šifriranje (JWE) https://datatracker.ietf.org/doc/html/rfc7516 i JSON web-potpis (JWS) https://datatracker.ietf.org/doc/html/rfc7515.

Upotrebljavamo Kompaktnu serijalizaciju JSON dokumenta za stvaranje JWE blokova. Parametri koje trebate uključiti prilikom izrade JWE blokova su:

  • JOSE zaglavlje (zaštićeno). U zaglavlju JSON objekta potpisivanja i šifriranja MORATE uključiti sljedeće parove vrijednosti ključa:

    • "alg":"dir"

      Izravni algoritam jedini je koji podržavamo za šifriranje tereta i morate upotrijebiti početnu klijentsku tajnu uređaja.

    • "enc":"A128GCM" ili "enc":"A256GCM"

      Podržavamo ova dva algoritma za šifriranje.

    • "cisco-action": "add" ili "cisco-action": "populate" ili "cisco-action": "activate" ili "cisco-action": "deactivate"

      To je vlasnički ključ i može imati četiri vrijednosti. Uveli smo ovaj ključ kako bismo signalizirali svrhu šifriranih podataka ciljnom uređaju. Vrijednosti su nazvane prema xAPI naredbama na uređaju na kojem upotrebljavate šifrirane podatke.

      Nazvali smo ga cisco-action za ublažavanje potencijalnih sukoba s budućim JWE proširenjima.

    • "cisco-kdf": { "version": "1", "salt": "base64URLEncodedRandom4+Bytes" }

      Drugi vlasnički ključ. Vrijednosti koje navedete upotrebljavamo kao ulazne podatke za deriviranje ključeva na uređaju. version mora biti 1 (verzija naše funkcije za deriviranje ključa). Vrijednost salt mora biti base64 URL-om kodiran niz od najmanje 4 bajta, koji morate nasumično odabrati.

  • JWE šifrirani ključ. Ovo je polje prazno. Uređaj ga izvodi iz početnog ClientSecret.

  • JWE vektor pokretanja. Morate osigurati base64url kodirani vektor inicijalizacije za dešifriranje opterećenosti. IV MORA biti nasumična vrijednost od 12 bajtova (koristimo obitelj šifri AES-GCM, koja zahtijeva da IV bude dugačka 12 bajtova).

  • JWE AAD (dodatni podaci čija je autentičnost potvrđena). Morate izostaviti ovo polje jer nije podržano u kompaktnoj serijalizaciji.

  • JWE tekst šifre: To je šifrirani korisni podaci koje želite zadržati u tajnosti.

    Korisni podaci MOGU biti prazni. Na primjer, da biste ponovno postavili klijentsku tajnu, morate je prepisati praznom vrijednošću.

    Postoje različite vrste korisničkih tereta, ovisno o tome što pokušavate učiniti na uređaju. Različite xAPI naredbe očekuju različite korisničke tereta, a morate odrediti svrhu korisničkih tereta s cisco-action ključem, na sljedeći način:

    • S "cisco-action":"populate" šifrom je novo ClientSecret.

    • S ""cisco-action":"add" šifru je PEM blok koji nosi certifikat i njegov privatni ključ (ulančani).

    • S ""cisco-action":"activate" šifri je otisak prsta (heksadecimalni prikaz sha-1) certifikata koji aktiviramo za provjeru identiteta uređaja.

    • S ""cisco-action":"deactivate" šifri je otisak prsta (heksadecimalni prikaz sha-1) certifikata koji deaktiviramo iz upotrebe za provjeru identiteta uređaja.

  • JWE oznaka za provjeru autentičnosti: Ovo polje sadrži oznaku za provjeru autentičnosti kako bi se utvrdio integritet cijelog JWE kompaktno serijaliziranog bloba

Kako izvesti ključ za šifriranje iz ClientSecret

Nakon prve populacije tajne, ne prihvaćamo ili ne izlažemo tajnu kao običan tekst. Time ćete spriječiti potencijalne napade iz rječnika nekoga tko bi mogao pristupiti uređaju.

Softver uređaja upotrebljava klijentsku tajnu kao unos za funkciju deriviranja ključa (kdf), a zatim koristi izvedeni ključ za dešifriranje/šifriranje sadržaja na uređaju.

To za vas znači da vaš alat za proizvodnju JWE blobs mora slijediti isti postupak za dobivanje istog ključa za šifriranje/dešifriranje iz klijentske tajne.

Uređaji koriste sšifriranje za deriviranje ključa (pogledajte https://en.wikipedia.org/wiki/Scrypt), sa sljedećim parametrima:

  • Faktor troškova (N) je 32768

  • BlockSizeFactor (r) je 8

  • Faktor paralelizacije (p) je 1

  • Sol je slučajni slijed od najmanje 4 bajta; morate isporučiti isto salt kada odredite cisco-kdf parametar.

  • Ključne duljine su ili 16 bajtova (ako odaberete algoritam AES-GCM 128), ili 32 bajta (ako odaberete algoritam AES-GCM 256)

  • Maks. ograničenje memorije je 64 MB

Ovaj skup parametara jedina je konfiguracija sšifriranja koja je kompatibilna s funkcijom deriviranja ključa na uređajima. Ovaj kdf na uređajima zove se "version":"1", što je jedina verzija koju trenutno preuzima cisco-kdf parametar.

Obrađeni primjer

Ovdje je primjer koji možete slijediti kako biste potvrdili funkcionira li vaš postupak JWE šifriranja na uređajima.

Primjer scenarija je dodavanje PEM bloba na uređaj (oponaša dodavanje certifikata, s vrlo kratkim nizom umjesto pune tipke certifikata +). Klijentska tajna u primjeru je ossifrage.

  1. Odaberite šifru za šifriranje. Ovaj primjer koristi A128GCM (AES s 128-bitnim ključevima u načinu Galois brojača). Vaš alat može upotrebljavati A256GCM ako želite.

  2. Odaberite sol (mora biti nasumičan slijed od najmanje 4 bajta). Ovaj se primjer koristi (heksabajta)E5 E6 53 08 03 F8 33 F6. Base64url šifrira slijed kako bi dobili 5eZTCAP4M_Y (uklonite base64 oblogu).

  3. Ovdje je primjer scrypt poziva za izradu ključa za šifriranje sadržaja (cek):

    cek=scrypt(password="ossifrage", salt=4-byte-sequence, N=32768, r=8, p=1, keylength=16)

    Izvedeni ključ treba biti 16 bajtova (heksadecimalna vrijednost) kako slijedi:95 9e ba 6d d1 22 01 05 78 fe 6a 9d 22 78 ff ac koja baza64url kodira lZ66bdEiAQV4_mqdInj_rA.

  4. Odaberite nasumični slijed od 12 bajtova koji će se koristiti kao vektor za pokretanje. Ovaj primjer koristi (heksadecimalni) 34 b3 5d dd 5f 53 7b af 2d 92 95 83 na koji base64url kodira NLNd3V9Te68tkpWD.

  5. Stvorite JOSE zaglavlje s kompaktnom serijalizacijom (slijedite isti redoslijed parametara koji koristimo ovdje), a zatim base64url šifrira:

    {"alg":"dir","cisco-action":"add","cisco-kdf":{"salt":"5eZTCAP4M_Y","version":"1"},"enc":"A128GCM"}

    JOSE zaglavlje šifriranog base64url-a je eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ9

    To će biti prvi element JWE bloba.

  6. Drugi element JWE bloba je prazan jer ne pružamo JWE ključ šifriranja.

  7. Treći element JWE bloba je vektor inicijalizacije NLNd3V9Te68tkpWD.

  8. Upotrijebite JWE alat za šifriranje kako biste izradili šifrirani teret i oznaku. Za ovaj primjer, nešifrirani korisni teret bit će lažni PEM blob this is a PEM file

    Parametri šifriranja koje biste trebali upotrijebiti su:

    • Korisni podaci su this is a PEM file

    • Šifra za šifriranje je AES 128 GCM

    • Base64url šifrirao je JOSE zaglavlje kao dodatne autentificirane podatke (AAD)

    Base64url šifrira šifrirani korisni podaci, što bi trebalo rezultirati f5lLVuWNfKfmzYCo1YJfODhQ

    Ovo je četvrti element (JWE Ciphertext) u JWE blobu.

  9. Base64url šifrira oznaku koju ste proizveli u koraku 8, što bi trebalo rezultirati PE-wDFWGXFFBeo928cfZ1Q

    To je peti element u JWE blobu.

  10. Ulančajte pet elemenata JWE bloba s točkama (JOSEheader..IV.Ciphertext.Tag) kako biste dobili:

    eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

  11. Ako ste izradili iste vrijednosti baze64url kodirane vrijednosti koje ovdje prikazujemo, koristeći vlastite alate, spremni ste ih koristiti za osiguranje E2E šifriranja i potvrđenog identiteta vaših uređaja.

  12. Ovaj primjer zapravo neće raditi, ali u načelu sljedeći korak bi bio koristiti JWE blob koji ste gore stvorili kao unos u xcommand na uređaju koji dodaje certifikat:

    xCommand Security Certificates Add eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

Vrste sesija za sastanke bez povjerenja dostupne su na svim web-mjestima sastanaka bez dodatnog troška. Jedna od tih vrsta sesije zove se Pro-End to End Encryption_VOIPonly. To je Naziv javne usluge, koji možemo promijeniti u budućnosti. Trenutačne nazive vrsta sesija potražite u odjeljku ID-ovi vrste sesije u odjeljku Referenca ovog članka.

Nema ništa što trebate učiniti da biste dobili ovu mogućnost za svoje web-mjesto; korisnicima morate dodijeliti novu vrstu sesije (koja se naziva i Privilegija za sastanak). To možete učiniti pojedinačno putem stranice za konfiguraciju korisnika ili skupno pomoću CSV izvoza/uvoza.

Potvrdi novu vrstu sesije
1

Prijavite se u okruženje Control Hub i idite na Usluge > Sastanak.

2

Kliknite na Web-mjesta, odaberite web-mjesto Webex za koje želite promijeniti postavke, a zatim kliknite na Postavke.

3

U izborniku Zajedničke postavke odaberite Vrste sesija.

Trebate vidjeti jednu ili više vrsta sesija sveobuhvatnog šifriranja. Pogledajte popis ID-ova vrste sesije u odjeljku Referenca ovog članka. Na primjer, možda ćete vidjeti samo Pro-End to End Encryption_VOIP.

Postoji starija vrsta sesije s vrlo sličnim nazivom: Sveobuhvatno šifriranje. Ta vrsta sesije uključuje nešifrirani PSTN pristup sastancima. Morate imati verziju za _VOIPonly kako biste osigurali sveobuhvatno šifriranje. Možete provjeriti tako da zadržite pokazivač miša iznad veze PRO u stupcu šifre sesije; u ovom bi primjeru cilj veze trebao biti javascript:ShowFeature(652).

U budućnosti možemo promijeniti nazive javnih usluga za ove vrste sesija.

4

Ako još nemate novu vrstu sesije, obratite se svom predstavniku Webexa.

Što učiniti sljedeće

Omogućite tu vrstu sesije / privilegiju sastanka nekim ili svim svojim korisnicima.

Omogućite E2EE sastanke za pojedinačne korisnike
1

Prijavite se u okruženje Control Hub i idite na Upravljanje > Korisnici.

2

Odaberite korisnički račun za ažuriranje, a zatim odaberite Sastanci.

3

Na padajućem popisu Postavke se primjenjuju na odaberite web-mjesto sastanka za ažuriranje.

4

Označite okvir pored opcije Pro-End to End Encryption_VOIPonly.

5

Zatvorite ploču korisničke konfiguracije.

6

Po potrebi ponovite za druge korisnike.

Kako biste to dodijelili mnogim korisnicima, upotrijebite sljedeću opciju Omogućite E2EE sastanke za više korisnika.

Omogući E2EE sastanke za više korisnika
1

Prijavite se u okruženje Control Hub i idite na Usluge > Sastanak.

2

Kliknite na Web-mjesta, odaberite web-mjesto Webex za koje želite promijeniti postavke.

3

U odjeljku Licence i korisnici kliknite na Skupno upravljanje.

4

Kliknite na Generiraj izvješće i pričekajte da pripremimo datoteku.

5

Kada datoteka bude spremna, kliknite na Izvoz rezultata , a zatim Preuzmi. (Skočni prozor morate ručno zatvoriti nakon što kliknete na Preuzmi.)

6

Otvorite preuzetu CSV datoteku za uređivanje.

Postoji redak za svakog korisnika, a MeetingPrivilege stupac sadržava ID-ove vrste sesije kao popis razgraničenih zarezima.

7

Za svakog korisnika kojem želite dodijeliti novu vrstu sesije dodajte 1561 kao novu vrijednost na popisu razgraničenom zarezima u MeetingPrivilege ćeliji.

Referenca formata Webex CSV datoteke sadrži pojedinosti o svrsi i sadržaju CSV datoteke.

8

Otvorite ploču konfiguracije web-mjesta sastanka u okruženju Control Hub.

Ako ste već bili na stranici s popisom web-mjesta sastanka, možda ćete ga morati osvježiti.

9

U odjeljku Licence i korisnici kliknite na Skupno upravljanje.

10

Kliknite Uvezi i odaberite uređeni CSV, a zatim Uvezi . Pričekajte na prijenos datoteke.

11

Kada se uvoz završi, možete kliknuti na Rezultati uvoza kako biste provjerili je li došlo do pogrešaka.

12

Idite na stranicu Korisnici i otvorite jednog od korisnika da biste potvrdili da imaju novu vrstu sesije.

Dodaj zvučni vodeni žig za sigurnost

Možete dodati vodeni žig snimkama sastanka Webex Meetings Pro-End to End Encryption_VOIPonly vrste sesije koji vam omogućava identificiranje izvornog klijenta ili uređaja neovlaštenih snimki povjerljivih sastanaka.

Kada je ta značajka omogućena, zvuk sastanka uključuje jedinstveni identifikator za svakog klijenta ili uređaja koji sudjeluje. Možete prenijeti zvučne snimke u Control Hub koji zatim analizira snimku i traži jedinstvene identifikatore. Rezultate možete pogledati kako biste vidjeli koji je izvorni klijent ili uređaj snimio sastanak.

  • Za analizu snimka mora biti AAC, MP3, M4A, WAV, MP4, AVI ili MOV datoteka čija veličina ne premašuje 500 MB.
  • Snimka mora biti dulja od 100 sekundi.
  • Možete analizirati samo snimke za sastanke koje organiziraju osobe u vašoj organizaciji.
  • Informacije o vodenom žigu zadržavaju se tijekom istog trajanja kao informacije o sastanku organizacije.

Dodaj zvučne vodene žigove E2EE sastancima

  1. Prijavite se u okruženje Control Hub, a zatim u izborniku Upravljanje odaberite opciju Postavke organizacije.
  2. U odjeljku Vodeni žigovi sastanka uključite Dodaj zvučni vodeni žig.

    Neko vrijeme nakon uključivanja, korisnici koji zakazuju sastanke s Webex Meetings Pro-End to End Encryption_VOIPonly vrstom sesije vide opciju Digitalni vodeni žig u odjeljku Sigurnost.

Prenesite i analizirajte sastanak s vodenom oznakom

  1. U okruženju Control Hub, u izborniku Praćenje odaberite Rješavanje problema.
  2. Kliknite na Analiza vodenog žiga.
  3. Potražite ili odaberite sastanak s popisa, a zatim kliknite na Analiziraj.
  4. U prozoru Analiza zvučnog vodenog žiga unesite naziv za svoju analizu.
  5. (Neobavezno) Unesite napomenu za svoju analizu.
  6. Povucite i ispustite zvučnu datoteku za analizu ili kliknite na Odaberi datoteku za prelazak na zvučnu datoteku.
  7. Kliknite na Zatvori.

    Kada se analiza dovrši, bit će prikazana na popisu rezultata na stranici Analiza vodenog žiga .

  8. Odaberite sastanak s popisa kako biste vidjeli rezultate analize. Kliknite Gumb Preuzmi za preuzimanje rezultata.

Značajke i ograničenja

Čimbenici koji su uključeni u uspješno dekodiranje snimljenog vodenog žiga uključuju udaljenost između uređaja za snimanje i zvučnika koji emitira zvuk, glasnoću tog zvuka, buku iz okoline itd. Naša tehnologija za vodeni žig ima dodatnu otpornost na šifriranje više puta, što bi se moglo dogoditi kada se mediji dijele.

Ova je značajka osmišljena kako bi omogućila uspješno dekodiranje identifikatora vodenog žiga u širokom, ali razumnom skupu okolnosti. Naš je cilj da uređaj za snimanje, kao što je mobilni telefon, koji leži na stolu u blizini osobne krajnje točke ili klijenta prijenosnog računala, uvijek stvori snimku koja rezultira uspješnom analizom. Kako se uređaj za snimanje odbacuje od izvora ili ne sluša cijeli zvučni spektar, smanjuju se šanse za uspješnu analizu.

Kako biste uspješno analizirali snimku, potrebno je odgovarajuće snimanje zvuka sastanka. Ako se zvuk sastanka snima na istom računalu koje je organizator klijenta, ne bi se trebala primjenjivati ograničenja.

Omogućavanje uređaja (interni CA)

Ako su vaši uređaji već omogućeni u vašoj organizaciji Kontrolnog čvorišta i želite upotrijebiti Webex CA za automatsko generiranje njihovih identifikacijskih certifikata, ne morate vraćati uređaje na tvorničke postavke.

Taj postupak odabire koju domenu uređaj upotrebljava za svoju identifikaciju, a obavezan je samo ako imate više domena u organizaciji Kontrolnog čvorišta. Ako imate više od jedne domene, preporučujemo da to učinite za sve svoje uređaje koji će imati identitet „potvrđen Cisco“. Ako Webexu ne kažete koja domena identificira uređaj, automatski se odabire, a drugi sudionici sastanka mogu pogriješiti.

Prije početka

Ako vaši uređaji još nisu omogućeni, slijedite odjeljak Registrirajte uređaj na Cisco Webex pomoću API-ja ili lokalnog web-sučelja ili Omogućavanje u oblaku za serije Board, Desk i Room. Također biste trebali potvrditi domene koje želite upotrebljavati za identifikaciju uređaja u izborniku Upravljanje domenama.

1

Prijavite se u okruženje Control Hub, a u izborniku Upravljanje odaberite opciju Uređaji.

2

Odaberite uređaj kako biste otvorili ploču za konfiguraciju.

3

Odaberite domenu koju želite upotrijebiti za identifikaciju tog uređaja.

4

Ponovite za druge uređaje.

Omogućavanje uređaja (vanjski CA)

Prije početka

  • Nabavite CA-potpisani certifikat i privatni ključ, u .pem formatu, za svaki uređaj.

  • U kartici Priprema pročitajte temu Razumijevanje procesa vanjskog identiteta za uređaje,

  • Pripremite JWE alat za šifriranje s obzirom na informacije u njemu.

  • Provjerite imate li alat za generiranje nasumičnih nizova bajtova određenih duljina.

  • Provjerite imate li alat za bazu64url šifriranja bajtova ili teksta.

  • Provjerite imate li scrypt implementaciju.

  • Provjerite imate li tajnu riječ ili izraz za svaki uređaj.

1

Popunite uređaj ClientSecret tajnom običnom tekstualnom oznakom:

Prvi put kada popunite Secret, isporučujete ga običnim tekstom. Zato preporučujemo da to učinite na konzoli fizičkog uređaja.

  1. Base64url šifrira tajnu frazu za ovaj uređaj.

  2. Otvorite TShell na uređaju.

  3. Pokreni xcommand Security ClientSecret Populate Secret: "MDEyMzQ1Njc4OWFiY2RlZg"

    Gornja naredba za primjer popunjava Secret izrazom 0123456789abcdef. Morate odabrati vlastito.

Uređaj ima svoju početnu tajnu. Ne zaboravite to; ne možete ga oporaviti i morate vratiti uređaj na tvorničke postavke kako biste ga ponovno pokrenuli.
2

Ulančajte svoj certifikat i privatni ključ:

  1. Pomoću uređivača teksta otvorite .pem datoteke, zalijepite blob ključa u blob certifikata i spremite je kao novu .pem datoteku.

    To je tekst tereta koji ćete šifrirati i staviti u svoj JWE blok.

3

Izradite JWE blok koji ćete koristiti kao ulaz u naredbu dodavanja certifikata:

  1. Stvorite nasumičan slijed od najmanje 4 bajta. Ovo je vaša sol.

  2. Izvedite ključ za šifriranje sadržaja svojim alatom za scrypt.

    Za to vam je potrebna tajna, sol i duljina ključa koji odgovaraju odabranoj šifri za šifriranje. Postoje i druge fiksne vrijednosti za opskrbu (N=32768, r=8, p=1). Uređaj koristi isti proces i vrijednosti za deriviranje istog ključa za šifriranje sadržaja.

  3. Stvorite nasumičan slijed od točno 12 bajtova. Ovo je vaš vektor pokretanja.

  4. Izradite JOSE zaglavlje, postavku alg, enc i cisco-kdf ključeve kako je opisano u odjeljku Razumijevanje procesa vanjskog identiteta za uređaje. Postavite radnju „dodaj“ pomoću ključa: vrijednosti "cisco-action":"add" u svom zaglavlju JOSE (jer dodajemo certifikat uređaju).

  5. Base64url šifrira JOSE zaglavlje.

  6. Upotrijebite svoj alat za šifriranje JWE s odabranom šifrom i JOSE zaglavljem kodiranim bazom64url kako biste šifrirali tekst iz ulančane pem datoteke.

  7. Base64url šifrira vektor inicijalizacije, šifrirani PEM opterećenost i oznaku provjere autentičnosti.

  8. Konstruiši JWE blob kako slijedi (sve vrijednosti su base64url šifrirane):

    JOSEHeader..InitVector.EncryptedPEM.AuthTag

4

Otvorite TShell na uređaju i pokrenite naredbu dodavanja (više redaka): 

xcommand Security Certificates Services Add IsEncrypted: True
your..JWE.str.ing\n
.\n
5

Potvrdite je li certifikat dodan pokretanjem xcommand Security Certificates Services Show

Kopirajte otisak prsta novog certifikata.

6

Aktivirajte certifikat u svrhu WebexIdentity:

  1. Pročitajte otisak certifikata, iz samog certifikata ili iz izlaza xcommand Security Certificates Services Show.

  2. Stvorite nasumičan slijed od najmanje 4 bajta, a base64url šifrira taj slijed. Ovo je vaša sol.

  3. Izvedite ključ za šifriranje sadržaja svojim alatom za scrypt.

    Za to vam je potrebna tajna, sol i duljina ključa koji odgovaraju odabranoj šifri za šifriranje. Postoje i druge fiksne vrijednosti za opskrbu (N=32768, r=8, p=1). Uređaj koristi isti proces i vrijednosti za deriviranje istog ključa za šifriranje sadržaja.

  4. Stvorite nasumičan slijed od točno 12 bajtova, a base64url šifrira taj slijed. Ovo je vaš vektor pokretanja.

  5. Izradite JOSE zaglavlje, postavku alg, enc i cisco-kdf ključeve kako je opisano u odjeljku Razumijevanje procesa vanjskog identiteta za uređaje. Postavite radnju „aktiviraj“ pomoću ključa: vrijednosti "cisco-action":"activate" u svom zaglavlju JOSE (jer aktiviramo certifikat na uređaju).

  6. Base64url šifrira JOSE zaglavlje.

  7. Upotrijebite svoj JWE alat za šifriranje s odabranom šifrom i JOSE zaglavljem šifriranog JWE zaglavlja za šifriranje otiska prsta certifikata.

    Alat bi trebao prikazati slijed od 16 ili 32 bajta, ovisno o tome jeste li odabrali 128 ili 256 bit AES-GCM, i oznaku provjere autentičnosti.

  8. Base64urlencode šifrirani otisak prsta i oznaku za provjeru autentičnosti.

  9. Konstruiši JWE blob kako slijedi (sve vrijednosti su base64url šifrirane):

    JOSEHeader..InitVector.EncryptedFingerprint.AuthTag

  10. Otvorite TShell na uređaju i pokrenite sljedeću aktivacijsku naredbu:

                      xcommand Security Certificates Services Activate Purpose: WebexIdentity Fingerprint: "Your..JWE.encrypted.fingerprint"

Uređaj ima šifrirani, aktivan certifikat s CA i spreman za njegovu identifikaciju na sveobuhvatno šifriranim Webex sastancima.
7

Omogućite uređaj u svojoj organizaciji Kontrolnog čvorišta.

Testiraj sveobuhvatno šifriranje s provjerom identiteta
1

Zakažite sastanak ispravne vrste (Webex Meetings Pro-End to End Encryption_VOIPonly).

Pogledajte odjeljak Zakazivanje Webex sastanka sveobuhvatnim šifriranjem.

2

Pridružite se sastanku kao organizator, iz klijenta usluge Webex Meetings.

Pogledajte Pridruživanje Webex sastanku sa sveobuhvatnim šifriranjem.

3

Pridružite se sastanku s uređaja čiji je identitet potvrdio Webex CA.

4

Kao organizator provjerite prikazuje li se ovaj uređaj u predvorju s ispravnom ikonom identiteta.

Pogledajte Pridruživanje Webex sastanku sa sveobuhvatnim šifriranjem.

5

Pridružite se sastanku s uređaja čiji je identitet potvrdio vanjski CA.

6

Kao organizator provjerite prikazuje li se ovaj uređaj u predvorju s ispravnom ikonom identiteta. Saznajte više o ikonama identiteta.

7

Pridružite se sastanku kao sudionik sastanka bez provjere autentičnosti.

8

Kao organizator provjerite prikazuje li se taj sudionik u predvorju s ispravnom ikonom identiteta.

9

Kao organizator prihvatite ili odbacite osobe/uređaje.

10

Provjerite valjanost identiteta sudionika/uređaja gdje je to moguće provjerom certifikata.

11

Provjerite vide li svi na sastanku isti sigurnosni kôd sastanka.

12

Pridružite se sastanku s novim sudionikom.

13

Provjerite vide li svi isti, novi sigurnosni kôd sastanka.

Postavi opseg i očekivanja

  • Želite li sveobuhvatno šifrirane sastanke učiniti zadanom opcijom sastanka ili je omogućiti samo za neke korisnike ili dopustiti svim organizatorima da odluče? Kada odlučite kako ćete upotrebljavati ovu značajku, pripremite korisnike koji će je upotrebljavati, posebno s obzirom na ograničenja i što možete očekivati na sastanku.

  • Želite li osigurati da ni Cisco ni bilo tko drugi ne mogu dešifrirati vaš sadržaj ili impersonirati vaše uređaje? Ako da, potrebni su vam certifikati javnog CA-a.

  • Ako imate različite razine provjere identiteta, omogućite korisnicima da se međusobno provjere s identitetom podržanim certifikatom. Iako postoje okolnosti u kojima se sudionici mogu pojaviti kao neprovjereni, a sudionici bi trebali znati kako provjeriti, neprovjerene osobe možda neće biti varalice.

Upravljanje identitetom

Ako za izdavanje certifikata uređaja upotrebljavate vanjski CA, na vama je da nadzirete, osvježite i ponovno primijenite certifikate.

Ako ste izradili početnu tajnu, shvatite da vaši korisnici možda žele promijeniti tajnu svog uređaja. Možda ćete morati izraditi sučelje / distribuirati alat kako biste im omogućili to.

ID-jevi vrste sesije
Tablica 1. ID-jevi vrste sesije za sveobuhvatno šifrirane sastanke

ID vrste sesije

Naziv javne usluge

638

Samo E2E šifriranje + VoIP

652

Samo za E-ncryption_VOIPpro-End to End

660

Pro 3 besplatno sveobuhvatno Encryption_VOIPonly

E2E šifriranje + identitet

672

Pro 3 Free50-End to End Encryption_VOIPonly

673

Obrazovni instruktor E2E Encryption_VOIPonly

676

Sveobuhvatno šifriranje Broadworks Standard i

677

Sveobuhvatno šifriranje Broadworks Premium i

681

Schoology Free plus sveobuhvatno šifriranje

Povezane xAPI naredbe

Ove tablice opisuju API naredbe za Webex uređaje koje smo dodali za sveobuhvatno šifrirane sastanke i potvrđeni identitet. Za više informacija o upotrebi API-ja pogledajte odjeljak Pristup API-ju za Webex Room i Desk uređaje te Webex Boards.

Ove xAPI naredbe dostupne su samo na uređajima koji su:

  • Registriran na Webex

  • Registrirano lokalno i povezano s uslugom Webex s uslugom Webex Edge za uređaje

Tablica 2. API-ji na razini sustava za sveobuhvatno šifrirane sastanke i potvrđeni identitet

API poziv

Opis

xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com"

Ova se konfiguracija izrađuje kad administrator postavi željenu domenu uređaja iz okruženja Control Hub. Potrebno je samo ako organizacija ima više od jedne domene.

Uređaj upotrebljava tu domenu kada zatraži certifikat od Webex CA-a. Domena tada identificira uređaj.

Ova konfiguracija nije primjenjiva ako uređaj ima aktivan certifikat koji je izdan izvana kako bi se identificirao.

xStatus Conference EndToEndEncryption Availability

Naznačuje može li se uređaj pridružiti sveobuhvatno šifriranom sastanku. API oblaka poziva ga tako da uparena aplikacija zna može li koristiti uređaj za pridruživanje.

xStatus Conference EndToEndEncryption ExternalIdentity Verification

Naznačuje koristi li uređaj External provjeru valjanosti (ima vanjski certifikat).

xStatus Conference EndToEndEncryption ExternalIdentity Identity

Identitet uređaja kako se čita iz zajedničkog naziva certifikata izdanog izvana.

xStatus Conference EndToEndEncryption ExternalIdentity CertificateChain Certificate # specificinfo

Čita određene informacije iz certifikata koji je izdan izvana.

U prikazanoj naredbi zamijenite # brojem certifikata. Zamijeni specificinfo jednim od:

  • Fingerprint

  • NotAfter Datum završetka valjanosti

  • NotBefore Datum početka valjanosti

  • PrimaryName

  • PublicKeyAlgorithm

  • SerialNumber

  • SignatureAlgorithm

  • Subject # Name Popis subjekata za certifikat (npr. adresa e-pošte ili naziv domene)

  • Validity Daje status valjanosti ovog certifikata (npr. valid ili expired)

xStatus Conference EndToEndEncryption ExternalIdentity Status

Status vanjskog identiteta uređaja (npr. valid ili error).

xStatus Conference EndToEndEncryption InternalIdentity Verification

Naznačuje ima li uređaj valjani certifikat koji je izdao Webex CA.

xStatus Conference EndToEndEncryption InternalIdentity Identity

Identitet uređaja kako se čita iz uobičajenog naziva certifikata koji je izdao Webex.

Sadrži naziv domene ako organizacija ima domenu.

Ako organizacija nema domenu, prazno je.

Ako se uređaj nalazi u organizaciji koja ima više domena, to je vrijednost iz PreferredDomain.

xStatus Conference EndToEndEncryption InternalIdentity CertificateChain Certificate # specificinfo

Čita određene podatke iz certifikata koji je izdao Webex.

U prikazanoj naredbi zamijenite # brojem certifikata. Zamijeni specificinfo jednim od:

  • Fingerprint

  • NotAfter Datum završetka valjanosti

  • NotBefore Datum početka valjanosti

  • PrimaryName

  • PublicKeyAlgorithm

  • SerialNumber

  • SignatureAlgorithm

  • Subject # Name Popis subjekata za certifikat (npr. adresa e-pošte ili naziv domene)

  • Validity Daje status valjanosti ovog certifikata (npr. valid ili expired)

Tablica 3. U API-jima poziva za sveobuhvatno šifrirane sastanke i potvrđeni identitet

API poziv

Opis

xEvent Conference ParticipantList ParticipantAdded

xEvent Conference ParticipantList ParticipantUpdated

xEvent Conference ParticipantList ParticipantDeleted

Ta tri događaja sada uključuju EndToEndEncryptionStatus, EndToEndEncryptionIdentity i EndToEndEncryptionCertInfo za zahvaćenog sudionika.

Tablica 4. ClientSecret povezani API-ji za sveobuhvatno šifrirane sastanke i potvrđeni identitet

API poziv

Opis

xCommand Security ClientSecret Populate Secret: "base64url-encoded"

ili

xCommand Security ClientSecret Populate Secret: JWEblob

Prihvaća vrijednost kodiranog običnog teksta base64url za prvi put tražeći klijentsku tajnu na uređaju.

Da biste ažurirali tajnu nakon tog prvog puta, morate dostaviti JWE blok koji sadrži novu tajnu šifriranu starom tajnom.

xCommand Security Certificates Services Add JWEblob

Dodaje certifikat (s privatnim ključem).

Proširili smo ovu naredbu kako bismo prihvatili JWE blok koji sadrži šifrirane PEM podatke.

xCommand Security Certificates Services Activate Purpose:WebexIdentity FingerPrint: JWEblob

Aktivira određeni certifikat za WebexIdentity. Za to Purpose, naredba zahtijeva šifriranje i serijalizaciju identifikacijskog otiska prsta u JWE blobu.

xCommand Security Certificates Services Deactivate Purpose:WebexIdentity FingerPrint: JWEblob

Deaktivira određeni certifikat za WebexIdentity. Za to Purpose, naredba zahtijeva šifriranje i serijalizaciju identifikacijskog otiska prsta u JWE blobu.