Esperienza utente

Gli utenti scelgono il tipo di riunione quando pianificano una riunione. Quando ammetti i partecipanti dall'area di ingresso virtuale, nonché durante la riunione, l'organizzatore può visualizzare lo stato di verifica dell'identità di ciascun partecipante. È presente anche un codice riunione comune a tutti i partecipanti correnti alla riunione, utilizzabile per verificare che la riunione non sia stata intercettata da un attacco di terze parti Meddler In The Middle (MITM) indesiderato.

Condividere le seguenti informazioni con gli organizzatori delle riunioni:

Verifica identità con CA interna o esterna

Verifica identità

La crittografia end-to-end con verifica dell'identità fornisce ulteriore sicurezza per una riunione con crittografia end-to-end.

Quando i partecipanti o i dispositivi si uniscono a un gruppo MLS (Messaging Layer Security) condiviso, presentano i propri certificati agli altri membri del gruppo, che quindi convalidano i certificati in base alle autorità di certificazione (CA) di emissione. Confermando che i certificati sono validi, l'autorità certificativa verifica l'identità dei partecipanti e la riunione mostra i partecipanti/dispositivi come verificati.

Gli utenti dell'app Webex si autenticano in base all'archivio delle identità Webex, che fornisce loro un token di accesso quando l'autenticazione ha esito positivo. Se è necessario un certificato per verificarne l'identità in una riunione con crittografia end-to-end, l'autorità di certificazione Webex emette un certificato in base al relativo token di accesso. In questo momento, non è possibile consentire agli utenti di Webex Meetings di ottenere un certificato emesso da un CA di terze parti/esterno.

I dispositivi possono autenticarsi utilizzando un certificato emesso dall'autorità di certificazione interna (Webex) o un certificato emesso da un'autorità di certificazione esterna:

  • CA interna: Webex emette un certificato interno in base al token di accesso dell'account macchina del dispositivo. Il certificato viene firmato dall'autorità certificativa di Webex. I dispositivi non dispongono di ID utente allo stesso modo degli utenti, pertanto Webex utilizza (uno dei) domini della propria organizzazione quando si scrive l'identità del certificato di dispositivo (Nome comune (CN)).

  • CA esterna: richiedere e acquistare i certificati dei dispositivi direttamente dall'autorità di certificazione scelta. È necessario crittografare, caricare direttamente e autorizzare i certificati utilizzando un segreto noto solo all'utente.

    Cisco non è coinvolto, il che lo rende il modo per garantire una vera crittografia end-to-end e un'identità verificata ed evitare la possibilità teorica che Cisco possa intercettare le riunioni/decrittografare i tuoi supporti.

Certificato dispositivo emesso internamente

Webex rilascia un certificato sul dispositivo quando si registra dopo l'avvio e lo rinnova quando necessario. Per i dispositivi, il certificato include l'ID account e un dominio.

Se l'organizzazione non dispone di un dominio, Webex CA emette il certificato senza un dominio.

Se la propria organizzazione dispone di più domini, è possibile utilizzare Control Hub per indicare a Webex il dominio da utilizzare per la propria identità. È anche possibile utilizzare l'API xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com".

Se si dispone di più domini e non si imposta il dominio preferito per il dispositivo, Webex ne sceglie uno per l'utente.

Certificato dispositivo emesso esternamente

Un amministratore può eseguire il provisioning di un dispositivo con il proprio certificato che è stato firmato con una delle CA pubbliche.

Il certificato deve essere basato su una coppia di chiavi ECDSA P-256, sebbene possa essere firmato da una chiave RSA.

I valori nel certificato sono a discrezione dell'organizzazione. Il nome comune (CN) e il nome alternativo oggetto (SAN) verranno visualizzati nell'interfaccia utente della riunione Webex, come descritto in Crittografia end-to-end con verifica dell'identità per Webex Meetings.

Si consiglia di utilizzare un certificato separato per dispositivo e di disporre di un CN univoco per dispositivo. Ad esempio, "sala riunioni-1.example.com" per l'organizzazione che possiede il dominio "example.com".

Per proteggere completamente il certificato esterno dalla manomissione, viene utilizzata una funzione client-secret per crittografare e firmare vari xcommand.

Quando si utilizza la chiave privata client, è possibile gestire in modo sicuro il certificato di identità Webex esterno tramite xAPI. Questo è attualmente limitato ai dispositivi online.

Webex fornisce attualmente i comandi API per la gestione.

Funzioni e limitazioni

Dispositivi

Le seguenti serie Webex Room registrate su cloud e i dispositivi della serie Webex Desk possono accedere alle riunioni E2EE:

  • Webex Board

  • Webex Desk Pro

  • Webex Desk

  • Webex Room Kit

  • Webex Room Kit Mini

I seguenti dispositivi non possono accedere alle riunioni E2EE:

  • Webex serie C

  • Serie Webex DX

  • Serie Webex EX

  • Serie Webex MX

  • Dispositivi SIP di terze parti

Client software

  • L'app Webex per client desktop e mobili può accedere alle riunioni E2EE.

  • Il client Web Webex non può accedere alle riunioni E2EE.

  • I client soft SIP di terze parti non possono accedere alle riunioni E2EE.

Identità

  • Per impostazione predefinita, non forniamo opzioni di Control Hub per la gestione dell'identità dei dispositivi verificata esternamente. Per una vera crittografia end-to-end, solo tu dovresti conoscere/accedere ai segreti e alle chiavi. Se è stato introdotto un servizio cloud per gestire tali chiavi, è possibile che vengano intercettate.

  • Attualmente forniamo una "ricetta" per progettare i tuoi strumenti, basati su tecniche di crittografia standard del settore, per assistere nella richiesta o nella crittografia dei certificati di identità del dispositivo e delle relative chiavi private. Non vogliamo avere un accesso reale o percepito ai tuoi segreti o alle tue chiavi.

Riunioni

  • Le riunioni E2EE supportano attualmente un massimo di 1000 partecipanti.

  • È possibile condividere nuove lavagne nelle riunioni E2EE. Esistono alcune differenze rispetto alle lavagne nelle riunioni normali:
    • Nelle riunioni E2EE, gli utenti non possono accedere alle lavagne create al di fuori della riunione, incluse lavagne private, lavagne condivise da altri e lavagne da spazi Webex.
    • Le lavagne create nelle riunioni E2EE sono disponibili solo durante la riunione. Non vengono salvati e non sono accessibili una volta terminata la riunione.
    • Se qualcuno condivide contenuto in una riunione E2EE, è possibile annotarlo. Per ulteriori informazioni sulle annotazioni, vedi App Webex | Contrassegno di contenuto condiviso con annotazioni.

Interfaccia di gestione

Si consiglia vivamente di utilizzare Control Hub per gestire il sito Meetings, poiché le organizzazioni Control Hub hanno un'identità centralizzata per l'intera organizzazione.

Risorse aggiuntive
Prerequisiti

  • Webex Meetings 41.7.

  • Dispositivi della serie Webex Room e Webex Desk registrati su cloud in esecuzione 10.6.1-RoomOS_August_2021.

  • Accesso amministrativo al sito della riunione in Control Hub.

  • Uno o più domini verificati nella tua organizzazione Control Hub (se stai utilizzando Webex CA per emettere certificati del dispositivo per l'identità verificata).

  • Le sale riunioni di collaborazione devono essere attivate in modo che le persone possano accedere dal proprio sistema video. Per ulteriori informazioni, vedi Consenti ai sistemi video di accedere alle riunioni e agli eventi sul sito Webex.

Ottieni certificati dispositivo

È possibile ignorare questo passaggio se non sono necessarie identità verificate esternamente.

Per il massimo livello di sicurezza e per la verifica dell'identità, ogni dispositivo deve disporre di un certificato univoco rilasciato da un'autorità di certificazione pubblica (CA) attendibile.

È necessario interagire con l'autorità certificativa per richiedere, acquistare e ricevere i certificati digitali e creare le chiavi private associate. Quando si richiede il certificato, utilizzare i seguenti parametri:

  • Il certificato deve essere rilasciato e firmato da una nota CA pubblica.

  • Univoco: Si consiglia vivamente di utilizzare un certificato univoco per ciascun dispositivo. Se si utilizza un certificato per tutti i dispositivi, si sta compromettendo la sicurezza.

  • Nome comune (CN) e Nome/i alternativo oggetto (SAN/i): Questi non sono importanti per Webex, ma devono essere valori che gli esseri umani possono leggere e associare al dispositivo. Il CN verrà visualizzato agli altri partecipanti alla riunione come identità verificata principale del dispositivo e, se gli utenti ispezionano il certificato attraverso l'interfaccia utente della riunione, visualizzeranno i SAN. È possibile utilizzare nomi come name.model@example.com.

  • Formato di file: I certificati e le chiavi devono essere nel .pem formato.

  • Scopo: Lo scopo del certificato deve essere Webex Identity.

  • Generazione delle chiavi: I certificati devono essere basati su coppie di chiavi ECDSA P-256 (algoritmo di firma digitale a curva ellittica che utilizza la curva P-256).

    Questo requisito non si estende alla chiave di firma. L'autorità certificativa può utilizzare una chiave RSA per firmare il certificato.

Preparati all'onboarding dei dispositivi

È possibile ignorare questo passaggio se non si desidera utilizzare l'identità verificata esternamente con i dispositivi.

Se stai utilizzando nuovi dispositivi, non registrarli ancora in Webex. Per essere al sicuro, non connetterli alla rete a questo punto.

Se si dispone di dispositivi esistenti che si desidera aggiornare per utilizzare l'identità verificata esternamente, è necessario ripristinare le impostazioni di fabbrica dei dispositivi.

  • Salvare la configurazione esistente, se si desidera mantenerla.

  • Pianifica una finestra quando i dispositivi non sono in uso o utilizza un approccio graduale. Informare gli utenti delle modifiche previste.

  • Garantire l'accesso fisico ai dispositivi. Se devi accedere ai dispositivi sulla rete, tieni presente che i segreti viaggiano in testo normale e stai compromettendo la tua sicurezza.

Una volta completati questi passaggi, consenti ai sistemi video di accedere alle riunioni e agli eventi sul sito Webex.

Comprendere il processo di identità esterna per i dispositivi

Per assicurarsi che il contenuto multimediale del dispositivo non possa essere crittografato da nessuno tranne il dispositivo, è necessario crittografare la chiave privata sul dispositivo. Abbiamo progettato API per il dispositivo per abilitare la gestione della chiave crittografata e del certificato, utilizzando la crittografia Web JSON (JWE).

Per garantire una vera crittografia end-to-end attraverso il nostro cloud, non possiamo essere coinvolti nella crittografia e nel caricamento di certificato e chiave. Se occorre questo livello di sicurezza, è necessario:

  1. Richiedere i certificati.

  2. Generare le coppie di chiavi dei certificati.

  3. Crea (e proteggi) un segreto iniziale per ciascun dispositivo, per iniziarne la funzionalità di crittografia.

  4. Sviluppa e gestisci il tuo strumento per la crittografia dei file utilizzando lo standard JWE.

    Il processo e i parametri (non segreti) di cui avrai bisogno sono spiegati di seguito, nonché una ricetta da seguire nei tuoi strumenti di sviluppo preferiti. Forniamo anche alcuni dati di test e i risultanti blobs JWE come ci aspettiamo, per aiutarti a verificare il tuo processo.

    Un'implementazione di riferimento non supportata che utilizza Python3 e la libreria JWCrypto è disponibile su richiesta da Cisco.

  5. Concatena e crittografa il certificato e la chiave utilizzando lo strumento e la chiave privata iniziale del dispositivo.

  6. Caricare il blob JWE risultante sul dispositivo.

  7. Imposta lo scopo del certificato crittografato da utilizzare per l'identità Webex e attiva il certificato.

  8. (Consigliato) Fornisci un'interfaccia per (o distribuisci) il tuo strumento per consentire agli utenti del dispositivo di modificare il segreto iniziale e proteggere i relativi contenuti multimediali dall'utente.

Come viene utilizzato il formato JWE

In questa sezione viene descritto come ci si aspetta che il JWE venga creato come input per i dispositivi, in modo che sia possibile creare il proprio strumento per creare i blobs dai certificati e dalle chiavi.

Fare riferimento a Crittografia Web JSON (JWE) https://datatracker.ietf.org/doc/html/rfc7516 e Firma Web JSON (JWS) https://datatracker.ietf.org/doc/html/rfc7515.

Viene utilizzata la serializzazione compatta di un documento JSON per creare blobs JWE. I parametri che è necessario includere quando si creano i blobs JWE sono:

  • Intestazione JOSE (protetta). Nell'intestazione JSON Object Signing and Encryption, è NECESSARIO includere le seguenti coppie chiave-valore:

    • "alg":"dir"

      L'algoritmo diretto è l'unico supportato per la crittografia del payload e devi utilizzare la chiave privata del client iniziale del dispositivo.

    • "enc":"A128GCM" o "enc":"A256GCM"

      Questi due algoritmi di crittografia sono supportati.

    • "cisco-action": "add" o "cisco-action": "populate" o "cisco-action": "activate" o "cisco-action": "deactivate"

      Si tratta di una chiave proprietaria e di quattro valori che può assumere. Abbiamo introdotto questa chiave per segnalare lo scopo dei dati crittografati al dispositivo di destinazione. I valori hanno il nome dei comandi xAPI sul dispositivo in cui si utilizzano i dati crittografati.

      Lo abbiamo denominato cisco-action per attenuare potenziali conflitti con estensioni JWE future.

    • "cisco-kdf": { "version": "1", "salt": "base64URLEncodedRandom4+Bytes" }

      Un'altra chiave proprietaria. I valori forniti vengono utilizzati come input per la derivazione chiave sul dispositivo. Il valore version deve essere 1 (la versione della funzione di derivazione chiave). Il valore di salt deve essere una sequenza codificata per URL base64 di almeno 4 byte, che è necessario scegliere casualmente.

  • Chiave crittografata JWE. Questo campo è vuoto. Il dispositivo lo ricava dal ClientSecret iniziale.

  • Vettore di inizializzazione JWE. È necessario fornire un vettore di inizializzazione codificato base64url per la decrittografia del payload. IV DEVE essere un valore casuale di 12 byte (stiamo utilizzando la famiglia di crittografia AES-GCM, che richiede che IV sia lungo 12 byte).

  • JWE AAD (ulteriori dati autenticati). È necessario omettere questo campo poiché non è supportato nella serializzazione compatta.

  • Testo cifrato JWE: Questo è il payload crittografato che si desidera mantenere segreto.

    Il payload POTREBBE essere vuoto. Ad esempio, per reimpostare la chiave privata del client, è necessario sovrascriverla con un valore vuoto.

    Esistono diversi tipi di payload, a seconda di ciò che si sta tentando di fare sul dispositivo. Comandi xAPI diversi prevedono payload diversi e devi specificare lo scopo del payload con la cisco-action chiave, come segue:

    • Con "cisco-action":"populate" il testo cifrato è il nuovo ClientSecret.

    • Con ""cisco-action":"add" il testo cifrato è un blob PEM che trasporta il certificato e la relativa chiave privata (concatenata).

    • Con ""cisco-action":"activate" il testo cifrato è l'impronta digitale (rappresentazione esadecimale di sha-1) del certificato che stiamo attivando per la verifica dell'identità del dispositivo.

    • Con ""cisco-action":"deactivate" il testo cifrato è l'impronta digitale (rappresentazione esadecimale di sha-1) del certificato che stiamo disattivando per la verifica dell'identità del dispositivo.

  • Tag autenticazione JWE: Questo campo contiene il tag di autenticazione per accertare l'integrità dell'intero blob serializzato in modo compatto di JWE

Come si ricava la chiave di crittografia dal ClientSecret

Dopo la prima popolazione del segreto, non accettiamo o visualizziamo il segreto come testo normale. Questo è per prevenire potenziali attacchi nel dizionario da parte di qualcuno che potrebbe accedere al dispositivo.

Il software del dispositivo utilizza la chiave privata client come input per una funzione di derivazione chiave (kdf) e quindi utilizza la chiave derivata per la decrittografia/crittografia del contenuto sul dispositivo.

Questo significa che il tuo strumento per produrre blobs JWE deve seguire la stessa procedura per ottenere la stessa chiave di crittografia/decrittografia dalla chiave privata del client.

I dispositivi utilizzano scrypt per la derivazione della chiave (vedere https://en.wikipedia.org/wiki/Scrypt), con i seguenti parametri:

  • CostFactor (N) è 32768

  • BlockSizeFactor (r) è 8

  • Fattore di parallelizzazione (p) è 1

  • Salt è una sequenza casuale di almeno 4 byte; occorre fornire lo stesso valore salt quando si specifica il cisco-kdf parametro.

  • La lunghezza della chiave è 16 byte (se si seleziona l'algoritmo AES-GCM 128) o 32 byte (se si seleziona l'algoritmo AES-GCM 256)

  • Il limite massimo di memoria è 64 MB

Questo set di parametri è l'unica configurazione di scrypt compatibile con la funzione di derivazione dei tasti sui dispositivi. Questo kdf sui dispositivi è denominato "version":"1", che è l'unica versione attualmente utilizzata dal cisco-kdf parametro.

Esempio di lavoro

Di seguito è riportato un esempio che è possibile seguire per verificare che il processo di crittografia JWE funzioni come quello creato sui dispositivi.

Nello scenario di esempio si sta aggiungendo un blob PEM al dispositivo (imita l'aggiunta di un certificato, con una stringa molto breve anziché un certificato + chiave completo). La chiave privata del client nell'esempio è ossifrage.

  1. Scegliere una crittografia. Questo esempio utilizza A128GCM (AES con chiavi a 128 bit in modalità contatore Galois). Il tuo strumento potrebbe utilizzare A256GCM se preferisci.

  2. Scegliere un sale (deve essere una sequenza casuale di almeno 4 byte). Questo esempio utilizza (byte esadecimali)E5 E6 53 08 03 F8 33 F6. Base64url codifica la sequenza per ottenere 5eZTCAP4M_Y (rimuovere l'imbottitura base64).

  3. Di seguito è riportata una scrypt chiamata di esempio per creare la chiave di crittografia del contenuto (cek):

    cek=scrypt(password="ossifrage", salt=4-byte-sequence, N=32768, r=8, p=1, keylength=16)

    La chiave derivata deve essere di 16 byte (esadecimale) come segue:95 9e ba 6d d1 22 01 05 78 fe 6a 9d 22 78 ff ac quale base64url codifica a lZ66bdEiAQV4_mqdInj_rA.

  4. Scegliere una sequenza casuale di 12 byte da utilizzare come vettore di inizializzazione. In questo esempio viene utilizzato (esadecimale) 34 b3 5d dd 5f 53 7b af 2d 92 95 83 quale base64url codifica a NLNd3V9Te68tkpWD.

  5. Creare l'intestazione JOSE con serializzazione compatta (seguire lo stesso ordine di parametri che usiamo qui), quindi base64url la codifica:

    {"alg":"dir","cisco-action":"add","cisco-kdf":{"salt":"5eZTCAP4M_Y","version":"1"},"enc":"A128GCM"}

    L'intestazione JOSE codificata base64url è eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ9

    Questo sarà il primo elemento del blob JWE.

  6. Il secondo elemento del blob JWE è vuoto, perché non viene fornita una chiave di crittografia JWE.

  7. Il terzo elemento del blob JWE è il vettore di inizializzazione NLNd3V9Te68tkpWD.

  8. Utilizzare lo strumento di crittografia JWE per produrre un payload e un tag crittografati. Per questo esempio, il payload non crittografato sarà il falso blob PEM this is a PEM file

    I parametri di crittografia che si devono utilizzare sono:

    • Payload this is a PEM file

    • La crittografia è AES 128 GCM

    • L'intestazione JOSE codificata base64url come AAD (Additional Authenticated Data)

    Base64url codifica il payload crittografato, che dovrebbe risultare in f5lLVuWNfKfmzYCo1YJfODhQ

    Questo è il quarto elemento (JWE Ciphertext) nel blob JWE.

  9. Base64url codifica il tag prodotto nel passaggio 8, che dovrebbe risultare in PE-wDFWGXFFBeo928cfZ1Q

    Questo è il quinto elemento del blob JWE.

  10. Concatenare i cinque elementi del blob JWE con puntini (JOSEheader..IV.Ciphertext.Tag) per ottenere:

    eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

  11. Se hai derivato gli stessi valori codificati base64url che mostriamo qui, utilizzando i tuoi strumenti, sei pronto a utilizzarli per proteggere la crittografia E2E e verificare l'identità dei tuoi dispositivi.

  12. Questo esempio in realtà non funziona, ma in linea di principio il tuo passo successivo è quello di utilizzare il blob JWE creato sopra come input per il comando xcommand sul dispositivo che aggiunge il certificato:

    xCommand Security Certificates Add eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

I tipi di sessione per riunioni zero-trust sono disponibili per tutti i siti delle riunioni senza costi aggiuntivi. Uno di questi tipi di sessione è denominato Pro-End to End Encryption_VOIPonly. Questo è il Nome servizio pubblico, che potrebbe essere modificato in futuro. Per i nomi correnti dei tipi di sessione, vedere ID tipo di sessione nella sezione Riferimento di questo articolo.

Non è necessario effettuare alcuna operazione per ottenere questa funzionalità per il sito; è necessario concedere il nuovo tipo di sessione (denominato anche Privilegio riunione) agli utenti. È possibile effettuare questa operazione singolarmente attraverso la pagina di configurazione dell'utente o in blocco con un'esportazione/importazione CSV.

Verifica il nuovo tipo di sessione
1

Accedi a Control Hub e vai a Servizi > Riunione.

2

Fare clic su Siti, scegliere il sito Webex per il quale si desidera modificare le impostazioni, quindi fare clic su Impostazioni.

3

In Impostazioni comuni, selezionare Tipi di sessione.

È necessario visualizzare uno o più tipi di sessione con crittografia end-to-end. Fare riferimento all'elenco degli ID tipo di sessione nella sezione Riferimento di questo articolo. Ad esempio, è possibile visualizzare Pro-end to end Encryption_VOIPonly.

Esiste un tipo di sessione meno recente con un nome molto simile: Crittografia pro-end to end. Questo tipo di sessione include l'accesso PSTN non crittografato alle riunioni. Accertarsi di disporre della versione _VOIPonly per assicurare la crittografia end-to-end. È possibile controllare passando il mouse sul collegamento PRO nella colonna codice sessione; ad esempio, il collegamento di destinazione deve essere javascript:ShowFeature(652).

In futuro potremmo modificare i nomi dei servizi pubblici per questi tipi di sessione.

4

Se ancora non si dispone del nuovo tipo di sessione, contattare il rappresentante Webex.

Operazioni successive

Abilitare questo tipo di sessione/privilegio riunione per alcuni o tutti gli utenti.

Abilita riunioni E2EE per i singoli utenti
1

Accedi a Control Hub e vai a Gestione > Utenti.

2

Selezionare un account utente da aggiornare, quindi selezionare Riunioni.

3

Dall'elenco a discesa Impostazioni applicabili a , selezionare il sito della riunione da aggiornare.

4

Selezionare la casella accanto a Pro-end to end Encryption_VOIPonly.

5

Chiudere il pannello di configurazione utente.

6

Se necessario, ripetere l'operazione per altri utenti.

Per assegnare questa opzione a molti utenti, utilizzare l'opzione successiva, Abilita riunioni E2EE per più utenti.

Abilita riunioni E2EE per più utenti
1

Accedi a Control Hub e vai a Servizi > Riunione.

2

Fai clic su Siti, scegli il sito Webex per il quale desideri modificare le impostazioni.

3

Nella sezione Licenze e utenti , fai clic su Gestione di massa.

4

Fare clic su Genera report e attendere la preparazione del file.

5

Quando il file è pronto, fare clic su Esporta risultati , quindi su Scarica. Devi chiudere manualmente la finestra popup dopo aver fatto clic su Scarica.

6

Apri il file CSV scaricato per la modifica.

È presente una riga per ciascun utente e la MeetingPrivilege colonna contiene gli ID del tipo di sessione come elenco delimitato da virgole.

7

Per ciascun utente a cui si desidera concedere il nuovo tipo di sessione, aggiungere 1561 come nuovo valore nell'elenco delimitato da virgole nella MeetingPrivilege cella.

Il Riferimento formato file CSV Webex contiene dettagli sullo scopo e sul contenuto del file CSV.

8

Apri il pannello di configurazione del sito della riunione in Control Hub.

Se ci si trova già nella pagina di elenco dei siti della riunione, potrebbe essere necessario aggiornarla.

9

Nella sezione Licenze e utenti , fai clic su Gestione di massa.

10

Fai clic su Importa e seleziona il CSV modificato, quindi fai clic su Importa. Attendi il caricamento del file.

11

Al termine dell'importazione, puoi fare clic su Importa risultati per esaminare se sono presenti errori.

12

Vai alla pagina Utenti e apri uno degli utenti per verificare che dispongano del nuovo tipo di sessione.

Aggiungi un livello raggiungibile audio per sicurezza

È possibile aggiungere un livello raggiungibile alle registrazioni delle riunioni con il Webex Meetings Pro-End to End Encryption_VOIPonly tipo di sessione, che consente di identificare il client o il dispositivo di origine delle registrazioni non autorizzate di riunioni riservate.

Quando questa funzione è abilitata, l'audio della riunione include un identificativo univoco per ciascun client o dispositivo partecipante. Puoi caricare registrazioni audio in Control Hub, che quindi analizza la registrazione e cerca gli identificatori univoci. È possibile esaminare i risultati per vedere quale client o dispositivo di origine ha registrato la riunione.

  • Per essere analizzata, la registrazione deve essere un file AAC, MP3, M4A, WAV, MP4, AVI o MOV non più grande di 500 MB.
  • La registrazione deve essere più lunga di 100 secondi.
  • Puoi analizzare solo le registrazioni per le riunioni organizzate da persone nella tua organizzazione.
  • Le informazioni sui livelli raggiungibili vengono conservate per la stessa durata delle informazioni sulla riunione dell'organizzazione.

Aggiungi livelli raggiungibili audio a riunioni E2EE

  1. Accedi a Control Hub, quindi sotto Gestione seleziona Impostazioni organizzazione.
  2. Nella sezione Livelli raggiungibili riunione , attiva Aggiungi livello raggiungibile audio.

    Un po' di tempo dopo l'attivazione di questa opzione, gli utenti che pianificano riunioni con il Webex Meetings Pro-End to End Encryption_VOIPonly tipo di sessione visualizzano un'opzione Livelli raggiungibili digitali nella sezione Sicurezza.

Carica e analizza una riunione con livelli raggiungibili

  1. In Control Hub, sotto Monitoraggio, seleziona Risoluzione dei problemi.
  2. Fai clic su Analisi di livelli raggiungibili.
  3. Ricercare o selezionare la riunione nell'elenco, quindi fare clic su Analizza.
  4. Nella finestra Analizza livello raggiungibile audio , inserisci un nome per l'analisi.
  5. (Opzionale) Inserire una nota per l'analisi.
  6. Trascina la selezione del file audio da analizzare o fai clic su Scegli file per passare al file audio.
  7. Fare clic su Chiudi.

    Al termine dell'analisi, verrà visualizzata nell'elenco dei risultati nella pagina Analizza livello raggiungibile .

  8. Selezionare la riunione nell'elenco per visualizzare i risultati dell'analisi. Fai clic su Pulsante Scarica per scaricare i risultati.

Funzioni e limitazioni

I fattori coinvolti nella decodifica corretta di un livello raggiungibile registrato includono la distanza tra il dispositivo di registrazione e l'altoparlante che passa in uscita dall'audio, il volume di tale audio, il rumore ambientale ecc. La nostra tecnologia di filigrana ha ulteriore resilienza alla codifica più volte, come può accadere quando i supporti vengono condivisi.

Questa funzione è progettata per consentire la decodifica con successo dell'identificativo di livello raggiungibile in un insieme ampio ma ragionevole di circostanze. Il nostro obiettivo è che un dispositivo di registrazione, come un cellulare, posizionato su una scrivania vicino a un endpoint personale o un client di laptop, debba sempre creare una registrazione che risulti in un'analisi completata. Poiché il dispositivo di registrazione si allontana dall'origine o non si sente l'intero spettro audio, le possibilità di un'analisi di successo risultano ridotte.

Per analizzare correttamente una registrazione, è necessaria un'acquisizione ragionevole dell'audio della riunione. Se l'audio di una riunione viene registrato sullo stesso computer che ospita il client, non devono essere applicate limitazioni.

Onboarding dei dispositivi (CA interna)

Se i dispositivi sono già caricati nella propria organizzazione Control Hub e si desidera utilizzare Webex CA per generare automaticamente i relativi certificati di identificazione, non è necessario ripristinare le impostazioni di fabbrica dei dispositivi.

Questa procedura seleziona il dominio utilizzato dal dispositivo per identificarsi ed è richiesta solo se disponi di più domini nell'organizzazione Control Hub. Se si dispone di più domini, si consiglia di eseguire questa operazione per tutti i dispositivi con identità "verificata da Cisco". Se non si comunica a Webex quale dominio identifica il dispositivo, ne viene scelto automaticamente uno e potrebbe risultare errato per gli altri partecipanti alla riunione.

Operazioni preliminari

Se non è stato ancora eseguito l'onboarding dei dispositivi, seguire Registrazione di un dispositivo su Cisco Webex utilizzando API o interfaccia Web locale o Onboarding su cloud per Board, Desk e serie Room. Devi anche verificare i domini che desideri utilizzare per identificare i dispositivi in Gestisci domini.

1

Accedi a Control Hub e in Gestione seleziona Dispositivi.

2

Seleziona un dispositivo per aprire il relativo pannello di configurazione.

3

Seleziona il dominio da utilizzare per identificare questo dispositivo.

4

Ripetere l'operazione per altri dispositivi.

Onboarding dispositivi (CA esterna)

Operazioni preliminari

  • Richiedere un certificato firmato da un'autorità di certificazione e una chiave privata, in .pem formato, per ciascun dispositivo.

  • Nella scheda Preparazione , leggere l'argomento Comprensione del processo di identità esterna per i dispositivi,

  • Preparare uno strumento di crittografia JWE rispetto alle informazioni disponibili.

  • Assicurati di avere uno strumento per generare sequenze di byte casuali di lunghezze date.

  • Assicurati di disporre di uno strumento per base64url codificare byte o testo.

  • Accertarsi di disporre di un'scrypt implementazione.

  • Assicurati di disporre di una parola o di una frase segreta per ogni dispositivo.

1

Popola il dispositivo ClientSecret con un segreto di testo normale:

La prima volta che si compila Secret, fornire il testo normale. Per questo motivo, si consiglia di eseguire questa operazione sulla console del dispositivo fisico.

  1. Base64url codifica la frase segreta per questo dispositivo.

  2. Apri il TShell sul dispositivo.

  3. Esegui xcommand Security ClientSecret Populate Secret: "MDEyMzQ1Njc4OWFiY2RlZg"

    Il comando di esempio precedente popola Secret con la frase 0123456789abcdef. Devi scegliere il tuo.

Il dispositivo ha il suo segreto iniziale. Non dimenticare questo aspetto, non puoi recuperarlo e devi ripristinare le impostazioni di fabbrica del dispositivo per riavviarlo.
2

Concatena il certificato e la chiave privata:

  1. Utilizzando un editor di testo, aprire i file .pem, incollare il blob della chiave il blob del certificato e salvarlo come nuovo file .pem.

    Questo è il testo del payload che crittograferai e inserirai nel tuo blob JWE.

3

Creare un blob JWE da utilizzare come input per il comando di aggiunta certificato:

  1. Creare una sequenza casuale di almeno 4 byte. Questo è il vostro sale.

  2. Ottieni una chiave di crittografia del contenuto con il tuo strumento Scrypt.

    Per questo hai bisogno del segreto, del sale e di un keylength per abbinare la crittografia scelta. Ci sono altri valori fissi da fornire (N=32768, r=8, p=1). Il dispositivo utilizza lo stesso processo e gli stessi valori per derivare la stessa chiave di crittografia del contenuto.

  3. Creare una sequenza casuale di esattamente 12 byte. Questo è il tuo vettore di inizializzazione.

  4. Creare un'intestazione, un'impostazione alg, enc e cisco-kdf chiavi JOSE come descritto in Comprensione del processo di identità esterna per i dispositivi. Impostare l'azione "Aggiungi" utilizzando chiave:valore "cisco-action":"add" nell'intestazione JOSE (poiché il certificato viene aggiunto al dispositivo).

  5. Base64url codifica l'intestazione JOSE.

  6. Utilizzare lo strumento di crittografia JWE con la crittografia scelta e l'intestazione JOSE codificata base64url per crittografare il testo dal file pem concatenato.

  7. Base64url codifica il vettore di inizializzazione, il payload PEM crittografato e il tag di autenticazione.

  8. Costruire il blob JWE come segue (tutti i valori sono base64url codificati):

    JOSEHeader..InitVector.EncryptedPEM.AuthTag

4

Aprire il TShell sul dispositivo ed eseguire il comando di aggiunta (multiriga): 

xcommand Security Certificates Services Add IsEncrypted: True
your..JWE.str.ing\n
.\n
5

Verifica che il certificato sia stato aggiunto eseguendo xcommand Security Certificates Services Show

Copiare l'impronta digitale del nuovo certificato.

6

Attivare il certificato per lo scopo WebexIdentity:

  1. Leggere l'impronta digitale del certificato, dal certificato stesso o dall'output di xcommand Security Certificates Services Show.

  2. Creare una sequenza casuale di almeno 4 byte e base64url codifica tale sequenza. Questo è il vostro sale.

  3. Ottieni una chiave di crittografia del contenuto con il tuo strumento Scrypt.

    Per questo hai bisogno del segreto, del sale e di un keylength per abbinare la crittografia scelta. Ci sono altri valori fissi da fornire (N=32768, r=8, p=1). Il dispositivo utilizza lo stesso processo e gli stessi valori per derivare la stessa chiave di crittografia del contenuto.

  4. Creare una sequenza casuale di esattamente 12 byte, e base64url codificare tale sequenza. Questo è il tuo vettore di inizializzazione.

  5. Creare un'intestazione, un'impostazione alg, enc e cisco-kdf chiavi JOSE come descritto in Comprensione del processo di identità esterna per i dispositivi. Impostare l'azione "attiva" utilizzando chiave:valore "cisco-action":"activate" nell'intestazione JOSE (poiché il certificato sul dispositivo è stato attivato).

  6. Base64url codifica l'intestazione JOSE.

  7. Utilizzare lo strumento di crittografia JWE con la crittografia scelta e l'intestazione JOSE codificata base64url per crittografare l'impronta digitale del certificato.

    Lo strumento deve generare una sequenza di 16 o 32 byte, a seconda che si scelga AES-GCM a 128 o 256 bit e un tag di autenticazione.

  8. Base64urlencode l'impronta digitale crittografata e il tag di autenticazione.

  9. Costruire il blob JWE come segue (tutti i valori sono base64url codificati):

    JOSEHeader..InitVector.EncryptedFingerprint.AuthTag

  10. Aprire il TShell sul dispositivo ed eseguire il seguente comando di attivazione:

                      xcommand Security Certificates Services Activate Purpose: WebexIdentity Fingerprint: "Your..JWE.encrypted.fingerprint"

Il dispositivo dispone di un certificato crittografato, attivo, rilasciato da un'autorità di certificazione, pronto per essere utilizzato per identificarlo nelle riunioni Webex con crittografia end-to-end.
7

Eseguire l'onboarding del dispositivo nell'organizzazione Control Hub.

Verifica la crittografia end-to-end con verifica dell'identità
1

Pianificare una riunione del tipo corretto (Webex Meetings Pro-end to end Encryption_VOIPonly).

Vedere Pianificazione di una riunione Webex con crittografia end-to-end.

2

Accedere alla riunione come organizzatore da un client Webex Meetings.

Vedere Accesso a una riunione Webex con crittografia end-to-end.

3

Partecipa alla riunione da un dispositivo con identità verificata da Webex CA.

4

In qualità di organizzatore, verificare che il dispositivo venga visualizzato nell'area di ingresso virtuale con l'icona di identità corretta.

Vedere Accesso a una riunione Webex con crittografia end-to-end.

5

Partecipare alla riunione da un dispositivo con identità verificata da un'autorità certificativa esterna.

6

In qualità di organizzatore, verificare che il dispositivo venga visualizzato nell'area di ingresso virtuale con l'icona di identità corretta. Ulteriori informazioni sulle icone di identità.

7

Accedere alla riunione come partecipante alle riunioni non autenticato.

8

In qualità di organizzatore, verificare che questo partecipante venga visualizzato nell'area di ingresso virtuale con l'icona di identità corretta.

9

In qualità di organizzatore, ammettere o rifiutare persone/dispositivi.

10

Ove possibile, convalida le identità dei partecipanti/dispositivi controllando i certificati.

11

Verificare che tutti i partecipanti alla riunione vedano lo stesso codice di sicurezza della riunione.

12

Accedere alla riunione con un nuovo partecipante.

13

Verificare che tutti vedano lo stesso nuovo codice di sicurezza della riunione.

Impostazione della portata e delle aspettative

  • Vuoi impostare le riunioni con crittografia end-to-end come opzione di riunione predefinita o abilitarle solo per alcuni utenti o consentire a tutti gli organizzatori di decidere? Una volta deciso come utilizzare questa funzione, preparare gli utenti che la utilizzeranno, in particolare per quanto riguarda le limitazioni e le operazioni da eseguire nella riunione.

  • Devi assicurarti che né Cisco né altri possano decrittografare il contenuto o impersonare i tuoi dispositivi? In tal caso, è necessario disporre di certificati da una CA pubblica.

  • Se si dispone di diversi livelli di verifica dell'identità, consentire agli utenti di verificarsi reciprocamente con identità supportata da certificato. Anche se ci sono circostanze in cui i partecipanti possono apparire come non verificati e i partecipanti dovrebbero sapere come controllare, le persone non verificati potrebbero non essere impostori.

Gestione identità

Se si utilizza una CA esterna per emettere certificati del dispositivo, ricade sull'utente l'onere di monitorare, aggiornare e riapplicare i certificati.

Se hai creato il segreto iniziale, comprendi che i tuoi utenti potrebbero voler modificare il segreto del loro dispositivo. Potrebbe essere necessario creare un'interfaccia/distribuire uno strumento per consentirgli di eseguire questa operazione.

ID tipo di sessione
Tabella 1. ID tipo di sessione per riunioni con crittografia end-to-end

ID tipo di sessione

Nome servizio pubblico

638

Crittografia E2E + solo VoIP

652

Encryption_VOIPonly Pro-end to end

660

Pro 3 - Free-end to end Encryption_VOIPonly

Crittografia E2E + Identità

672

Pro 3 gratuito50-End to End Encryption_VOIPonly

673

Istruttore istruzione E2E Encryption_VOIPonly

676

Standard BroadWorks più crittografia end-to-end

677

Crittografia end-to-end BroadWorks Premium più

681

Schoology Free più crittografia end-to-end

Comandi xAPI correlati

Queste tabelle descrivono i comandi API dei dispositivi Webex aggiunti per riunioni con crittografia end-to-end e identità verificata. Per ulteriori informazioni su come utilizzare l'API, vedi Accesso all'API per dispositivi Webex Room e Desk e Webex Board.

Questi comandi xAPI sono disponibili solo sui dispositivi che sono:

  • Registrato in Webex

  • Registrato in locale e collegato a Webex con Webex Edge per dispositivi

Tabella 2. API a livello di sistema per riunioni con crittografia end-to-end e identità verificata

Chiamata API

Descrizione

xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com"

Questa configurazione viene effettuata quando l'amministratore imposta il dominio preferito del dispositivo da Control Hub. Necessario solo se l'organizzazione dispone di più domini.

Il dispositivo utilizza questo dominio quando richiede un certificato dalla CA Webex. Il dominio identifica quindi il dispositivo.

Questa configurazione non è applicabile quando il dispositivo dispone di un certificato attivo emesso esternamente da identificare.

xStatus Conference EndToEndEncryption Availability

Indica se il dispositivo può accedere a una riunione con crittografia end-to-end. L'API cloud lo chiama in modo che un'app accoppiata sappia se può utilizzare il dispositivo per l'accesso.

xStatus Conference EndToEndEncryption ExternalIdentity Verification

Indica se il dispositivo utilizza la External verifica (dispone di un certificato emesso esternamente).

xStatus Conference EndToEndEncryption ExternalIdentity Identity

L'identità del dispositivo come letto dal nome comune del certificato emesso esternamente.

xStatus Conference EndToEndEncryption ExternalIdentity CertificateChain Certificate # specificinfo

Legge informazioni specifiche di un certificato emesso esternamente.

Nel comando visualizzato, sostituire # con il numero del certificato. Sostituisci specificinfo con una delle seguenti opzioni:

  • Fingerprint

  • NotAfter Data fine validità

  • NotBefore Data di inizio validità

  • PrimaryName

  • PublicKeyAlgorithm

  • SerialNumber

  • SignatureAlgorithm

  • Subject # Name Un elenco dei soggetti per il certificato (ad esempio, indirizzo e-mail o nome del dominio)

  • Validity Fornisce lo stato di validità di questo certificato (es. valid o expired)

xStatus Conference EndToEndEncryption ExternalIdentity Status

Lo stato dell'identità esterna del dispositivo (es. valid o error).

xStatus Conference EndToEndEncryption InternalIdentity Verification

Indica se il dispositivo dispone di un certificato valido rilasciato dall'autorità di certificazione Webex.

xStatus Conference EndToEndEncryption InternalIdentity Identity

Identità del dispositivo come letto dal nome comune del certificato emesso da Webex.

Contiene un nome di dominio se l'organizzazione dispone di un dominio.

È vuoto se l'organizzazione non dispone di un dominio.

Se il dispositivo si trova in un'organizzazione che dispone di più domini, questo è il valore di PreferredDomain.

xStatus Conference EndToEndEncryption InternalIdentity CertificateChain Certificate # specificinfo

Legge informazioni specifiche del certificato emesso da Webex.

Nel comando visualizzato, sostituire # con il numero del certificato. Sostituisci specificinfo con una delle seguenti opzioni:

  • Fingerprint

  • NotAfter Data fine validità

  • NotBefore Data di inizio validità

  • PrimaryName

  • PublicKeyAlgorithm

  • SerialNumber

  • SignatureAlgorithm

  • Subject # Name Un elenco dei soggetti per il certificato (ad esempio, indirizzo e-mail o nome del dominio)

  • Validity Fornisce lo stato di validità di questo certificato (es. valid o expired)

Tabella 3. API in chiamata per riunioni con crittografia end-to-end e identità verificata

Chiamata API

Descrizione

xEvent Conference ParticipantList ParticipantAdded

xEvent Conference ParticipantList ParticipantUpdated

xEvent Conference ParticipantList ParticipantDeleted

Questi tre eventi ora includono EndToEndEncryptionStatus, EndToEndEncryptionIdentity e EndToEndEncryptionCertInfo per il partecipante interessato.

Tabella 4. API correlate a ClientSecret per riunioni con crittografia end-to-end e identità verificata

Chiamata API

Descrizione

xCommand Security ClientSecret Populate Secret: "base64url-encoded"

o

xCommand Security ClientSecret Populate Secret: JWEblob

Accetta un valore di testo normale codificato base64url per la distribuzione della chiave privata client sul dispositivo per la prima volta.

Per aggiornare il segreto dopo la prima volta, è necessario fornire un blob JWE contenente il nuovo segreto crittografato dal vecchio segreto.

xCommand Security Certificates Services Add JWEblob

Aggiunge un certificato (con chiave privata).

Questo comando è stato esteso per accettare un blob JWE contenente i dati PEM crittografati.

xCommand Security Certificates Services Activate Purpose:WebexIdentity FingerPrint: JWEblob

Attiva un certificato specifico per WebexIdentity. A tale scopo Purpose, il comando richiede che l'impronta digitale di identificazione sia crittografata e serializzata in un blob JWE.

xCommand Security Certificates Services Deactivate Purpose:WebexIdentity FingerPrint: JWEblob

Disattiva un certificato specifico per WebexIdentity. A tale scopo Purpose, il comando richiede che l'impronta digitale di identificazione sia crittografata e serializzata in un blob JWE.