コメントありがとうございます。
ゼロトラスト ミーティングの展開
フィードバックがある場合
ユーザーはミーティングをスケジュールするときに、ミーティング タイプを選択します。ロビーから参加者を許可するとき、およびミーティング中に、主催者は各参加者の ID 確認ステータスを確認できます。また、ミーティングのすべての現在の参加者に共通するミーティング コードがあります。ミーティング コードは、不要なサードパーティ Meddler In The Middle (MITM) 攻撃によってミーティングが傍受されていないことを確認するために使用できます。
以下の情報をミーティング主催者と共有します。
-
エンドツーエンド暗号化で Webex ミーティングに参加する
ID を確認
ID 確認によるエンドツーエンド暗号化は、エンドツーエンド暗号化ミーティングにセキュリティを強化します。
参加者またはデバイスが共有 MLS(メッセージングレイヤーセキュリティ)グループに参加すると、他のグループ メンバーに証明書を提示し、発行する認証局(CA)に対して証明書を検証します。証明書が有効であることを確認することにより、CA は参加者の ID を確認し、ミーティングでは参加者/デバイスが確認済みとして表示されます。
Webex アプリ ユーザーは Webex ID ストアに対して自分自身を認証し、認証に成功するとアクセス トークンが発行されます。エンドツーエンドで暗号化されたミーティングで ID を確認するために証明書が必要な場合、Webex CA はアクセス トークンに基づいて証明書を発行します。現時点では、Webex Meetings ユーザーがサードパーティ/外部 CA によって発行された証明書を取得する方法を提供していません。
デバイスは、内部 (Webex) CA によって発行された証明書、または外部 CA によって発行された証明書を使用して自身を認証できます。
-
内部 CA:Webex は、デバイスのマシン アカウントのアクセス トークンに基づいて内部証明書を発行します。証明書は Webex CA によって署名されています。デバイスはユーザーと同じ方法でユーザー ID を持っていないため、Webex はデバイス証明書の ID (共通名 (CN) の書き込み時に組織のドメインの (1 つ) を使用します。
-
外部 CA:選択した発行者から直接デバイス証明書を要求して購入します。あなた専用の秘密を使用して証明書を暗号化し、直接アップロードし、承認する必要があります。
Cisco は関与していません。これにより、エンドツーエンドの暗号化と検証された ID を保証し、Cisco がミーティングを盗聴したり、メディアを復号したりする理論的な可能性を防ぐことができます。
内部で発行されたデバイス証明書
Webex は起動後に登録するとデバイスに証明書を発行し、必要に応じて更新します。デバイスの場合、証明書にはアカウント ID とドメインが含まれます。
組織にドメインがない場合、Webex CA はドメインなしで証明書を発行します。
組織に複数のドメインがある場合、Control Hub を使用して、デバイスが ID に使用するドメインを Webex に知らせることができます。API xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com" を使用することもできます。
複数のドメインがあり、デバイスの優先ドメインを設定していない場合は、Webex が選択します。
外部で発行されたデバイス証明書
管理者は、パブリック CA の 1 つで署名された独自の証明書を使用してデバイスをプロビジョニングできます。
証明書は RSA キーで署名できますが、証明書は ECDSA P-256 鍵ペアに基づいている必要があります。
証明書の値は、組織の裁量にあります。共通名 (CN) とサブジェクト代替名 (SAN) は、Webex Meetings の ID 検証によるエンドツーエンド暗号化で説明されているように、Webex ミーティングのユーザー インターフェイスに表示されます。
デバイスごとに別の証明書を使用し、デバイスごとに固有の CN を持つことを推奨します。たとえば、「example.com」ドメインを所有する組織に対して「meeting-room-1.example.com」とします。
外部証明書を改ざんから完全に保護するために、クライアント秘密機能は、さまざまな xcommand を暗号化して署名するために使用されます。
クライアント シークレットを使用する場合、xAPI 経由で外部 Webex ID 証明書を安全に管理できます。これは現在、オンライン デバイスに限定されています。
Webex は現在、これを管理するための API コマンドを提供しています。
デバイス
次のクラウド登録された Webex Room シリーズおよび Webex Desk シリーズのデバイスは、E2EE ミーティングに参加できます。
-
Webex Board
-
Webex デスク Pro
-
Webex デスク
-
Webex 会議室キット
-
Webex 会議室キット ミニ
次のデバイスは E2EE ミーティングに参加できません:
-
Webex C シリーズ
-
Webex DX シリーズ
-
Webex EX シリーズ
-
Webex MX シリーズ
-
サードパーティの SIP デバイス
ソフトウェア クライアント
-
デスクトップおよびモバイル版 Webex アプリのクライアントは、E2EE ミーティングに参加できます。
-
Webex Web クライアントは E2EE ミーティングに参加できません。
-
サードパーティの SIP ソフト クライアントは E2EE ミーティングに参加できません。
アイデンティティ
-
設計上、外部で検証されたデバイス ID を管理するための Control Hub オプションは提供されません。真のエンドツーエンド暗号化については、秘密とキーを知る/アクセスすることのみが必要です。これらのキーを管理するためにクラウド サービスを導入した場合、インターセプトされる可能性があります。
-
現在、デバイス ID 証明書と秘密鍵の要求または暗号化を支援するために、業界標準の暗号化技術に基づいて独自のツールを設計するための「レシピ」を提供しています。私たちはあなたの秘密やキーに実際または知覚的にアクセスすることを望んでいません。
ミーティング
-
E2EE ミーティングは現在、最大 1000 人の参加者をサポートしています。
- E2EE ミーティングで新しいホワイトボードを共有できます。通常のミーティングではホワイトボードといくつかの違いがあります。
- E2EE ミーティングでは、ユーザーはミーティングの外部で作成されたホワイトボードにアクセスできません。これには、プライベート ホワイトボード、他の人が共有したホワイトボード、Webex スペースのホワイトボードが含まれます。
- E2EE ミーティングで作成されたホワイトボードは、ミーティング中のみ使用可能です。ミーティングの終了後に保存されず、アクセスできなくなります。
- E2EE ミーティングで誰かがコンテンツを共有している場合、注釈を付けることができます。注釈の詳細については、「Webex アプリ | 注釈で共有コンテンツをマークする」を参照してください。
管理インターフェイス
Control Hub 組織は組織全体の ID を集中管理しているため、Control Hub を使用して Meetings サイトを管理することを強くおすすめします。
関連情報
-
Webex の Zero-Trust Security (セキュリティ技術ペーパー)
-
JSON ウェブ暗号化 (JWE) (IETF 標準草案)
-
Webex Meetings 41.7。
-
10.6.1-RoomOS_August_2021を実行しているクラウド登録された Webex Room および Webex Desk シリーズのデバイス。 -
Control Hub のミーティング サイトへの管理アクセス。
-
Control Hub 組織の 1 つ以上の検証済みドメイン (検証済みアイデンティティのデバイス証明書を発行するために Webex CA を使用している場合)。
-
ユーザーがビデオシステムから参加できるようにコラボレーション会議室をオンにする必要があります。詳細については、「ビデオ システムが Webex サイトのミーティングとイベントに参加することを許可する」を参照してください。
外部で検証された ID が不要な場合は、このステップをスキップできます。
最高レベルのセキュリティとアイデンティティ検証のために、各デバイスは、信頼されたパブリック認証局(CA)によって発行された一意の証明書を持っている必要があります。
デジタル証明書をリクエスト、購入、および受信し、関連する秘密鍵を作成するには、CA と対話する必要があります。証明書を要求する場合は、次のパラメータを使用します。
-
証明書は、よく知られているパブリック CA によって発行され、署名される必要があります。
-
一意の: デバイスごとに固有の証明書を使用することを強くおすすめします。すべてのデバイスに 1 つの証明書を使用する場合、セキュリティが侵害されます。
-
共通名 (CN) およびサブジェクト代替名 (SAN/s): これらは Webex にとって重要ではありませんが、人間がデバイスに対して読み取り、関連付けることができる値である必要があります。CN はデバイスのプライマリ検証済み ID として他のミーティング参加者に表示され、ユーザーがミーティング UI を通じて証明書を検査すると、SAN/s が表示されます。
name.model@example.comのような名前を使用する場合があります。 -
ファイル形式: 証明書とキーは
.pem形式である必要があります。 -
目的: 証明書の目的は Webex アイデンティティである必要があります。
-
キーの生成: 証明書は、ECDSA P-256 鍵ペア(P-256 曲線を使用した楕円曲線デジタル署名アルゴリズム)に基づく必要があります。
この要件は署名キーには拡張されません。CA は RSA キーを使用して証明書に署名できます。
デバイスで外部検証された ID を使用しない場合は、このステップをスキップできます。
新しいデバイスを使用している場合は、Webex にまだ登録しないでください。安全を確保するために、この時点でネットワークに接続しないでください。
外部検証された ID を使用するためにアップグレードする既存のデバイスがある場合、デバイスを工場出荷時の状態にリセットする必要があります。
-
既存の設定を保存する場合は、既存の設定を保存します。
-
デバイスが使用されていないときにウィンドウをスケジュールするか、段階的なアプローチを使用します。予想される変更をユーザーに通知します。
-
デバイスへの物理的なアクセスを確認します。ネットワーク経由でデバイスにアクセスする必要がある場合は、秘密がプレーンテキストで移動しており、セキュリティが侵害されていることに注意してください。
これらの手順を完了したら、ビデオ システムが Webex サイトのミーティングとイベントに参加することを許可します。
デバイス以外のユーザがデバイス メディアを暗号化できないようにするには、デバイスのプライベート キーを暗号化する必要があります。JSON Web Encryption (JWE) を使用して、暗号化されたキーと証明書の管理を可能にするために、デバイス用の API を設計しました。
クラウドを通じた真のエンドツーエンドの暗号化を保証するために、証明書とキーの暗号化とアップロードに関与することはできません。このレベルのセキュリティが必要な場合は、次のことを実行する必要があります。
-
証明書を要求します。
-
証明書の鍵ペアを生成します。
-
各デバイスの初期シークレットを作成 (および保護) し、デバイスの暗号化機能をシードします。
-
JWE 標準を使用してファイルを暗号化するための独自のツールを開発し、維持します。
必要なプロセスと (非シークレット) パラメータは、以下の説明と、選択した開発ツールでフォローするためのレシピです。また、いくつかのテスト データと結果として生成された JWE ブロブも提供し、プロセスの検証に役立ちます。
Python3 および JWCrypto ライブラリを使用したサポートされていないリファレンス実装は、リクエストに応じてシスコから入手できます。
-
ツールとデバイスの初期シークレットを使用して、証明書とキーを連結し、暗号化します。
-
結果の JWE ブロブをデバイスにアップロードします。
-
Webex ID で使用される暗号化された証明書の目的を設定し、証明書を有効にします。
-
(推奨) デバイスのユーザが最初のシークレットを変更し、そのメディアをユーザから保護できるように、ツールにインターフェイスを提供 (または配布) します。
JWE 形式の使用方法
このセクションでは、JWE がデバイスへの入力として作成されることを期待する方法について説明します。これにより、証明書とキーからブロックを作成するための独自のツールを構築できます。
JSON ウェブ暗号化 (JWE) https://datatracker.ietf.org/doc/html/rfc7516 および JSON ウェブ署名 (JWS) https://datatracker.ietf.org/doc/html/rfc7515 を参照してください。
JSON ドキュメントのコンパクト シリアライズ を使用して、JWE ブロブを作成します。JWE ブロブを作成する際に含める必要があるパラメータは次のとおりです。
-
JOSE ヘッダー (保護)。JSON オブジェクトの署名と暗号化ヘッダーには、次のキーと値のペアを含める必要があります。
-
"alg":"dir"ダイレクト アルゴリズムは、ペイロードの暗号化をサポートする唯一のものであり、デバイスの初期クライアント シークレットを使用する必要があります。
-
"enc":"A128GCM"または"enc":"A256GCM"これらの 2 つの暗号化アルゴリズムをサポートしています。
-
"cisco-action": "add"または"cisco-action": "populate"または"cisco-action": "activate"または"cisco-action": "deactivate"これは独自のキーであり、取ることができる 4 つの値です。このキーを導入して、暗号化されたデータの目的をターゲットデバイスに知らせます。値は、暗号化されたデータを使用しているデバイスの xAPI コマンドにちなんで命名されます。
今後の JWE 拡張機能との潜在的な衝突を軽減するために、
cisco-actionこの名前を付けました。 -
"cisco-kdf": { "version": "1", "salt": "base64URLEncodedRandom4+Bytes" }別の専用キーです。デバイス上のキーの導出のための入力として指定した値を使用します。
versionは1(鍵導出機能のバージョン) である必要があります。saltの値は、少なくとも 4 バイトの base64 URL エンコードシーケンスでなければなりません。ランダムに選択する 必要があります。
-
-
JWE 暗号化キー。このフィールドは空です。デバイスは最初の
ClientSecretから取得します。 -
JWE 初期化ベクトル。ペイロードを解読するには、base64url エンコードされた初期化ベクトルを提供する必要があります。IV は 必須 ランダムな 12 バイトの値 (AES-GCM 暗号ファミリを使用しています。これは、IV は 12 バイト長である必要があります)。
-
JWE AAD (追加の認証データ)。このフィールドはコンパクトシリアル化ではサポートされていないため、省略する必要があります。
-
JWE 暗号テキスト: これは秘密にしたい暗号化ペイロードです。
ペイロードは空である可能性があります。たとえば、クライアント シークレットをリセットするには、空の値で上書きする必要があります。
デバイスで行おうとしている内容に応じて、ペイロードのタイプが異なります。異なる xAPI コマンドは異なるペイロードを期待し、
cisco-actionキーを使用してペイロードの目的を次のように指定する必要があります。-
"cisco-action":"populate"暗号テキストは新しいClientSecretです。 -
「
"cisco-action":"add"暗号テキストは、証明書とその秘密キー(連結)を運ぶ PEM ブロブです。 -
「
"cisco-action":"activate"暗号テキストは、デバイス ID 検証のためにアクティベートしている証明書のフィンガープリント (sha-1 の 16 進数表現) です。 -
「
"cisco-action":"deactivate"暗号テキストは証明書のフィンガープリント (sha-1 の 16 進数表現) であり、デバイス ID 検証に使用されなくなっています。
-
-
JWE 認証タグ: このフィールドには、JWE のコンパクトにシリアライズされた blob 全体の整合性を確認するための認証タグが含まれます。
暗号化キーを ClientSecret
シークレットの最初の集団の後、私たちはシークレットをプレーンテキストとして受け入れまたは出力しません。これは、デバイスにアクセスできる人による辞書攻撃を防ぐためです。
デバイス ソフトウェアは、クライアント シークレットをキー導出機能(kdf)への入力として使用し、デバイスのコンテンツの復号/暗号化に派生キーを使用します。
これは、JWE ブロブを生成するツールが同じ手順に従い、クライアント シークレットから同じ暗号化/復号キーを導き出す必要があります。
デバイスは、次のパラメータを使用して、キーの導出に scrypt を使用します (https://en.wikipedia.org/wiki/Scryptを参照)。
-
CostFactor (N) は 32768 です
-
BlockSizeFactor (r) は 8 です
-
ParallelizationFactor (p) は 1 です
-
salt は少なくとも 4 バイトのランダムシーケンスです。
saltパラメータを指定する場合はcisco-kdf同じ値を指定する必要があります。 -
キーの長さは 16 バイト(AES-GCM 128 アルゴリズムを選択した場合)、または 32 バイト(AES-GCM 256 アルゴリズムを選択した場合)。
-
最大メモリ容量は 64MB です
このパラメータのセットは、デバイスのキー導出機能と互換性がある scrypt の唯一の構成です。デバイス上のこの kdf は "version":"1" と呼ばれ、cisco-kdf パラメータによって現在使用されている唯一のバージョンです。
成功した例
以下は、JWE 暗号化プロセスがデバイスで作成したプロセスと同じ動作であることを確認するための例です。
この例のシナリオでは、PEM ブロブをデバイスに追加しています(証明書を追加することを模倣し、完全な証明書とキーの代わりに非常に短い文字列を使用します)。この例のクライアント シークレットは ossifrage です。
-
暗号化を選択します。この例では、
A128GCMを使用します (Galois カウンター モードで 128 ビット キーを持つ AES)。必要に応じて、ツールを使用できますA256GCM。 -
ソルト (少なくとも 4 バイトのランダムシーケンスである必要があります) を選択します。この例では (16 バイト)
E5 E6 53 08 03 F8 33 F6を使用します。Base64url はシーケンスをエンコードして5eZTCAP4M_Y(base64 パディングを削除) を取得します。 -
コンテンツ暗号化キー (cek) を作成するためのサンプル
scryptコールの例を次に示します。cek=scrypt(password="ossifrage", salt=4-byte-sequence, N=32768, r=8, p=1, keylength=16)取得されたキーは、次のように 16 バイト(16 進数)にしてください。
95 9e ba 6d d1 22 01 05 78 fe 6a 9d 22 78 ff acの base64url はlZ66bdEiAQV4_mqdInj_rAにエンコードします。 -
初期化ベクトルとして使用する 12 バイトのランダムシーケンスを選択します。この例では、
34 b3 5d dd 5f 53 7b af 2d 92 95 83base64url がNLNd3V9Te68tkpWDにエンコードする (16 進数) を使用します。 -
コンパクトなシリアライゼーションで JOSE ヘッダーを作成し (ここで使用するパラメータの同じ順序に従います)、base64url エンコードします。
{"alg":"dir","cisco-action":"add","cisco-kdf":{"salt":"5eZTCAP4M_Y","version":"1"},"enc":"A128GCM"}base64url エンコードされた JOSE ヘッダーは
eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ9これは JWE ブロブの最初の要素になります。
-
JWE 暗号化キーを提供していないため、JWE ブロブの 2 番目の要素は空です。
-
JWE ブロブの 3 番目の要素は、初期化ベクトル
NLNd3V9Te68tkpWDです。 - JWE 暗号化ツールを使用して、暗号化ペイロードとタグを生成します。この例では、暗号化されていないペイロードは偽の PEM ブロブになります。
this is a PEM file使用する暗号化パラメータは次のとおりです。
ペイロードは です
this is a PEM file暗号化は AES 128 GCM です
base64url は、追加の認証データ(AAD)として JOSE ヘッダーをエンコードしました
Base64url は暗号化されたペイロードをエンコードし、結果として
f5lLVuWNfKfmzYCo1YJfODhQこれは JWE ブロブの 4 番目の要素(JWE Ciphertext)です。
-
ステップ 8 で生成したタグを Base64url エンコードします。結果として
PE-wDFWGXFFBeo928cfZ1Qこれは JWE ブロブの 5 番目の要素です。
-
JWE ブロブの 5 つの要素をドット(JOSEheader..IV.Ciphertext.Tag)で連結して、以下を取得します。
eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q -
独自のツールを使用して、ここに示されているのと同じ base64url エンコード値を取得した場合、それらを使用して、デバイスの E2E 暗号化と検証済みの ID を保護することができます。
-
この例は実際には機能しませんが、次のステップは、証明書を追加するデバイスの xcommand への入力として上記で作成した JWE ブロブを使用することです。
xCommand Security Certificates AddeyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q
ゼロトラスト ミーティングのセッション タイプは、すべてのミーティング サイトで追加料金なしで利用できます。これらのセッションタイプの 1 つは Pro-End to End Encryption_VOIPonly と呼ばれます。これはパブリックサービス名です。これは将来変更される可能性があります。セッションタイプの現在の名前については、この記事の参照 セクションのセッションタイプ ID を参照してください。
サイトでこの機能を取得するために必要なことは何もありません。ユーザーに新しいセッション タイプ (ミーティング権限とも呼ばれます) を付与する必要があります。これは、ユーザーの設定ページから個別に、または CSV エクスポート/インポートで一括で行うことができます。
| 1 | |
| 2 |
[サイト] をクリックし、設定を変更する Webex サイトを選択し、[設定] をクリックします。 |
| 3 |
[共通設定] で [セッション タイプ] を選択します。 1 つ以上のエンドツーエンド暗号化セッション タイプが表示されます。この記事の [参照 ] セクションの [セッションタイプ ID ] の一覧を参照してください。たとえば、Pro-End to End Encryption_VOIPonly が表示される場合があります。
非常に似た名前の古いセッションタイプがあります:Pro-End to End 暗号化。このセッション タイプには、ミーティングへの暗号化されていない PSTN アクセスが含まれます。エンドツーエンドの暗号化を確実にするために、_VOIPonly バージョンがあることを確認します。セッション コード列の PRO リンクの上にカーソルを合わせることで確認できます。この例では、リンクのターゲットは これらのセッション タイプのパブリック サービス名は今後変更される場合があります。 |
| 4 |
新しいセッション タイプがまだない場合は、Webex 担当者に連絡してください。 |
次に行うこと
一部またはすべてのユーザーに対し、このセッション タイプ/ミーティング権限を有効にします。
| 1 | |
| 2 |
[サイト] をクリックし、設定を変更する Webex サイトを選択します。 |
| 3 |
[ライセンスとユーザー] セクションで、[一括管理] をクリックします。 |
| 4 |
[レポートの生成] をクリックし、ファイルの準備が完了するまで待ちます。 |
| 5 |
ファイルの準備ができたら、[結果のエクスポート] をクリックし、[ダウンロード] をクリックします。([ダウンロード] をクリックした後で、ポップアップ ウィンドウを手動で閉じる必要があります)。 |
| 6 |
ダウンロードした CSV ファイルを開いて編集します。 各ユーザーには行があり、 |
| 7 |
新しいセッションタイプを付与する各ユーザーに対し、 Webex CSV ファイル形式のリファレンス には、CSV ファイルの目的と内容に関する詳細が含まれています。 |
| 8 |
Control Hub でミーティング サイト構成パネルを開きます。 すでにミーティング サイトのリスト ページにアクセスしている場合は、更新する必要がある場合があります。 |
| 9 |
[ライセンスとユーザー] セクションで、[一括管理] をクリックします。 |
| 10 |
[インポート] をクリックし、編集した CSV を選択し、[インポート] をクリックします。ファイルのアップロードが完了するまでお待ちください。 |
| 11 |
インポートが完了したら、[インポート結果] をクリックして、エラーの有無を確認できます。 |
| 12 |
[ユーザー] ページに移動し、いずれかのユーザーを開き、新しいセッション タイプを確認します。 |
Webex Meetings Pro-End to End Encryption_VOIPonly セッション タイプを使用してミーティング録画に透かしを追加できます。これにより、機密ミーティングの不正な録画のソース クライアントまたはデバイスを識別できます。
この機能が有効になっている場合、ミーティングの音声には各参加しているクライアントまたはデバイスの一意の識別子が含まれます。音声録音を Control Hub にアップロードして、録音を分析し、一意の識別子を検索できます。結果を確認して、どのソースクライアントまたはデバイスがミーティングを録画したかを確認できます。
- 録画を分析するには、500MB を超える AAC、MP3、M4A、WAV、MP4、AVI、または MOV ファイルである必要があります。
- 録画は 100 秒以上である必要があります。
- 組織内のユーザーが主催するミーティングの録画のみ分析できます。
- 透かし情報は、組織のミーティング情報と同じ期間保持されます。
E2EE ミーティングに音声透かしを追加
- Control Hub にサインインし、[管理] の下で [組織設定] を選択します。
- [ミーティング透かし] セクションで、[音声透かしを追加] をオンに切り替えます。
これが切り替わってからしばらくすると、
Webex Meetings Pro-End to End Encryption_VOIPonlyセッション タイプでミーティングをスケジュールするユーザーは、[セキュリティ] セクションで [デジタル透かし ] オプションが表示されます。
透かしのあるミーティングをアップロードして分析
- Control Hub の [モニタリング] の下で、[トラブルシューティング] を選択します。
- [透かしの分析] をクリックします。
- リストからミーティングを検索または選択し、[分析] をクリックします。
- [音声透かしを分析する] ウィンドウで分析の名前を入力します。
- (オプション)分析用のメモを入力します。
- 分析する音声ファイルをドラッグ アンド ドロップするか、[ファイルを選択] をクリックして音声ファイルを参照します。
- [閉じる] をクリックします。
分析が完了すると、[透かしを分析する] ページの結果のリストに表示されます。
- リストからミーティングを選択し、分析結果を表示します。
をクリックして結果をダウンロードします。
機能と制限
録音された透かしの解読に成功する要因には、録音デバイスとスピーカー間の距離、その音声の音量、環境ノイズなどが含まれます。Webex の透かし技術は、メディアが共有されている場合と同様に、複数回エンコードされるという追加の回復力があります。
この機能は、幅広く妥当な一連の状況で透かしの識別子を正常にデコードできるように設計されています。私たちの目標は、個人のエンドポイントやノートパソコンのクライアントの近くのデスクに横たわっている携帯電話などの録画デバイスで、常に分析を成功させる録画を作成する必要があります。録音デバイスがソースから移動したり、完全な音声スペクトルを聴こえなくなったりすると、分析が成功する確率が減少します。
録画を正常に分析するには、ミーティングの音声の妥当なキャプチャが必要です。クライアントをホストしている同じコンピュータにミーティングの音声が記録されている場合、制限は適用されません。
デバイスがすでに Control Hub 組織にオンボードされており、Webex CA を使用して識別証明書を自動生成する場合は、デバイスを工場出荷時の状態にリセットする必要はありません。
この手順では、デバイスが自身を識別するために使用するドメインを選択し、Control Hub 組織に複数のドメインがある場合にのみ必要です。複数のドメインがある場合は、「Cisco 検証済み」ID を持つすべてのデバイスに対してこれを行うことを推奨します。デバイスを識別するドメインを Webex に通知しない場合、デバイスが自動的に選択され、他のミーティング参加者には間違って見える場合があります。
始める前に
デバイスがまだオンボードされていない場合は、「API またはローカル Web インターフェイスを使用して Cisco Webex にデバイスを登録する 」または「Board、Desk、および Room シリーズのクラウドオンボード」に従ってください。また、[ドメインの管理] でデバイスを識別するために使用するドメインを確認する必要があります。
| 1 |
Control Hub にサインインし、[管理] の下で [デバイス] を選択します。 |
| 2 |
デバイスを選択して、設定パネルを開きます。 |
| 3 |
このデバイスを識別するために使用するドメインを選択します。 |
| 4 |
他のデバイスでも繰り返します。 |
始める前に
-
各デバイスの CA 署名付き証明書とプライベート キーを
.pem形式で取得します。 -
[準備] タブで、「デバイスの外部 ID プロセスの理解」のトピックをお読みください。
-
そこにある情報に関して JWE 暗号化ツールを準備します。
-
指定された長さのランダムなバイトシーケンスを生成するツールがあることを確認します。
-
base64url エンコードバイトまたはテキスト用のツールがあることを確認します。
-
scrypt実装があることを確認します。 -
デバイスごとに秘密の単語またはフレーズがあることを確認します。
| 1 |
デバイスの
デバイスには最初のシークレットがあります。これを忘れないでください。復元することはできず、デバイスを工場出荷時設定にリセットして再起動する必要があります。
|
| 2 |
証明書と秘密キーを連結します。 |
| 3 |
証明書の追加コマンドへの入力として使用する JWE ブロブを作成します。 |
| 4 |
デバイスで TShell を開き、(multiline) add コマンドを実行します。 |
| 5 |
実行して証明書が追加されていることを確認します 新しい証明書の指紋をコピーします。 |
| 6 |
目的の証明書を有効にします デバイスには、エンドツーエンドで暗号化された Webex ミーティングでそれを識別するために使用できる暗号化されたアクティブな CA 発行の証明書があります。
|
| 7 |
デバイスを Control Hub 組織にオンボードします。 |
| 1 |
正しいタイプ (Webex Meetings Pro-End to End Encryption_VOIPonly) のミーティングをスケジュールします。 「エンドツーエンド暗号化で Webex ミーティングをスケジュールする」を参照してください。 |
| 2 |
Webex Meetings クライアントから主催者としてミーティングに参加します。 「エンドツーエンド暗号化で Webex ミーティングに参加する」を参照してください。 |
| 3 |
Webex CA によって検証された ID を持つデバイスからミーティングに参加します。 |
| 4 |
主催者として、このデバイスが正しいアイデンティティ アイコンでロビーに表示されていることを確認します。 「エンドツーエンド暗号化で Webex ミーティングに参加する」を参照してください。 |
| 5 |
外部 CA によって検証された ID を持つデバイスからミーティングに参加します。 |
| 6 |
主催者として、このデバイスが正しいアイデンティティ アイコンでロビーに表示されていることを確認します。アイデンティティアイコンの詳細をご覧ください。 |
| 7 |
未認証のミーティング参加者としてミーティングに参加します。 |
| 8 |
主催者として、この参加者が正しいアイデンティティ アイコンでロビーに表示されていることを確認します。 |
| 9 |
主催者として、ユーザー/デバイスを許可または拒否します。 |
| 10 |
可能な場合は、証明書をチェックして、参加者/デバイスの ID を検証します。 |
| 11 |
ミーティングの全員に同じミーティング セキュリティ コードが表示されていることを確認します。 |
| 12 |
新しい参加者とミーティングに参加します。 |
| 13 |
全員に同じ新しいミーティング セキュリティ コードが表示されることを確認します。 |
-
エンドツーエンドで暗号化されたミーティングをデフォルトのミーティング オプションにするか、一部のユーザーに対してのみ有効にするか、すべての主催者が決定できるようにしますか? この機能の使用方法を決定したら、特に制限事項とミーティングで期待される内容に関して、それを使用するユーザーを準備します。
-
Ciscoや他の人がコンテンツを解読したり、デバイスを偽装したりできないことを確認する必要がありますか? その場合は、パブリック CA からの証明書が必要です。
-
さまざまなレベルの ID 検証がある場合、ユーザが証明書ベースのアイデンティティで互いに検証できるようにします。参加者が未確認として表示できる状況があり、参加者は確認方法を把握する必要がありますが、未確認のユーザーは偽者ではない可能性があります。
外部 CA を使用してデバイス証明書を発行する場合、onus が証明書の監視、更新、および再適用を行います。
最初のシークレットを作成した場合は、ユーザがデバイスのシークレットを変更することを理解してください。これを行うには、インターフェイスを作成し、ツールを配布する必要があります。
|
セッションタイプ ID |
パブリックサービス名 |
|---|---|
|
638 |
E2E 暗号化+VoIP のみ |
|
652 |
Pro-End to End Encryption_VOIPonly |
|
660 |
Pro 3 無料エンドツーエンド Encryption_VOIPonly E2E 暗号化 + ID |
|
672 |
Pro 3 Free50-End to End Encryption_VOIPonly |
|
673 |
教育インストラクター E2E Encryption_VOIPonly |
|
676 |
BroadWorks Standard + エンドツーエンド暗号化 |
|
677 |
Broadworks Premium + エンドツーエンド暗号化 |
|
681 |
Schoology 無料 + エンドツーエンド暗号化 |
これらの表は、エンドツーエンドで暗号化されたミーティングと検証された ID に追加した Webex デバイスの API コマンドについて説明しています。API の使用方法の詳細については、「Webex Room、Desk デバイス、Webex Boards の API にアクセスする」を参照してください。
これらの xAPI コマンドは、次のいずれかのデバイスでのみ使用できます。
-
Webex に登録済み
-
オンプレミスで登録され、デバイス用 Webex Edge で Webex にリンクされます
|
API コール |
説明 |
|---|---|
|
|
この設定は、管理者が Control Hub からデバイスの優先ドメインを設定したときに作成されます。組織に複数のドメインがある場合にのみ必要です。 デバイスは、Webex CA から証明書を要求するときに、このドメインを使用します。その後、ドメインはデバイスを識別します。 この構成は、デバイスにアクティブで外部で発行された証明書がある場合は適用されません。 |
|
|
デバイスがエンドツーエンド暗号化ミーティングに参加できるかどうかを示します。クラウド API がこれを呼び出すため、ペアリングされたアプリがデバイスを使用して参加できるかどうかを知ることができます。 |
|
|
デバイスが |
|
|
外部発行証明書の共通名から読み取られたデバイスの ID。 |
|
|
外部発行の証明書から特定の情報を読み取ります。 表示されるコマンドで、
|
|
|
デバイスの外部 ID のステータス (例: |
|
|
デバイスが Webex CA によって発行された有効な証明書を持っているかどうかを示します。 |
|
|
Webex で発行された証明書の共通名から読み取られるデバイスの ID。 組織にドメインがある場合、ドメイン名が含まれます。 組織にドメインがない場合は空です。 デバイスが複数のドメインを持つ組織にある場合、これは |
|
|
Webex で発行された証明書から特定の情報を読み取ります。 表示されるコマンドで、
|
|
API コール |
説明 |
|---|---|
| これら 3 つのイベントには、影響を受ける参加者の |
|
API コール |
説明 |
|---|---|
または
| base64url エンコードされたプレーン テキスト値を受け入れて、デバイスにクライアント シークレットを初めてシードします。 初めてシークレットを更新するには、古いシークレットによって暗号化された新しいシークレットを含む JWE ブロブを指定する必要があります。 |
| 証明書(秘密鍵を含む)を追加します。 このコマンドを拡張して、暗号化された PEM データを含む JWE ブロブを受け入れました。 |
| WebexIdentity の特定の証明書を有効にします。この |
| WebexIdentity の特定の証明書を無効にします。この |
