Zero-Trust ミーティングの展開
Webex のゼロトラスト セキュリティは、スケジュールされたミーティングおよびパーソナル会議室のミーティングで、エンドツーエンドの暗号化と強力なアイデンティティ確認を提供します。
ユーザーはミーティングをスケジュールするときにミーティング タイプを選択します。ミーティング中だけでなく、ロビーから参加者を許可する場合、主催者は各参加者の身元確認ステータスを確認できます。また、ミーティングの現在参加しているすべての参加者に共通するミーティング コードがあり、このコードを使用して、ミーティングが望ましくないサードパーティ Meddler In The Middle (MITM) 攻撃によって傍受されていないことを確認できます。
ミーティング主催者と次の情報を共有します。
-
エンドツーエンドで暗号化された Webex ミーティングに参加する
ID の確認
ID 検証によるエンドツーエンド暗号化は、エンドツーエンドで暗号化されたミーティングに追加のセキュリティを提供します。
参加者またはデバイスが共有 MLS (Messaging Layer Security) グループに参加すると、他のグループ メンバーに証明書を提示し、発行された認証局 (CA) に対して証明書を検証します。証明書が有効であることを確認することで、CA は参加者の身元を確認し、ミーティングは確認済みとして参加者/デバイスを表示します。
Webex アプリのユーザーは Webex ID ストアに対して認証を行い、認証が成功するとアクセス トークンを発行します。エンドツーエンドで暗号化されたミーティングで ID を確認するために証明書が必要な場合、Webex CA はアクセス トークンに基づいて証明書を発行します。現時点では、Webex Meetings ユーザーがサードパーティ/外部 CA によって発行された証明書を取得する方法は提供されていません。
デバイスは、内部 (Webex) CA が発行する証明書または外部 CA が発行した証明書を使用して、自分自身を認証できます。
-
内部 CA—Webex は、デバイスのマシン アカウントのアクセス トークンに基づいて内部証明書を発行します。証明書は Webex CA によって署名されています。デバイスにはユーザーと同じ方法でユーザー ID がないため、Webex はデバイス証明書の ID (共通名 (CN)) を書くときに組織のドメインを (いずれかの) 使用します。
-
外部 CA:選択した発行者から直接デバイス証明書を要求および購入します。あなただけに知られている秘密を使用して証明書を暗号化し、直接アップロードし、承認する必要があります。
シスコは関与していないため、真のエンドツーエンドの暗号化と検証済みの ID を保証し、シスコがミーティングを盗聴したり、メディアを解読したりする可能性を理論的に防ぐことができます。
内部で発行されたデバイス証明書
デバイスが起動時に登録すると Webex はデバイスに証明書を発行し、必要に応じて更新します。デバイスの場合、証明書にはアカウント ID とドメインが含まれます。
組織にドメインがない場合、Webex CA はドメインなしの証明書を発行します。
組織に複数のドメインがある場合は、Control Hub を使用して、デバイスが ID に使用するドメインを Webex に伝えられます。また、API xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com"
を使用することもできます。
複数のドメインを持ち、デバイスの優先ドメインを設定していない場合、Webex がユーザーに選択します。
外部で発行されたデバイス証明書
管理者は、パブリック CA の 1 つで署名された、独自の証明書を使用してデバイスをプロビジョニングできます。
RSA キーによる署名は可能ですが、証明書は ECDSA P-256 キーペアに基づく必要があります。
証明書の値は組織の裁量で使用できます。共通名 (CN) とサブジェクト代替名 (SAN) は、Webex Meetings の ID 検証によるエンドツーエンド暗号化で説明されているように、Webex ミーティング ユーザー インターフェイスに表示されます。
デバイスごとに別の証明書を使用し、デバイスごとに固有の CN を使用することをお勧めします。たとえば、「example.com」ドメインを所有する組織の「meeting-room-1.example.com」などです。
外部証明書を改めから完全に保護するために、クライアントシークレット機能を暗号化し、さまざまな xcommands に署名するために使用されます。
クライアント シークレットを使用する場合、xAPI 経由で外部の Webex ID 証明書を安全に管理できます。これは現在、オンライン デバイスに限定されています。
Webex は現在、これを管理するための API コマンドを提供しています。
デバイス
次のクラウド登録済みの Webex Room シリーズおよび Webex Desk シリーズのデバイスは、E2EE ミーティングに参加できます。
-
Webex Board
-
Webex Desk Pro
-
Webex Desk
-
Webex Room Kit
-
Webex Room Kit Mini
次のデバイスは E2EE ミーティングに参加できません。
-
Webex C シリーズ
-
Webex DX シリーズ
-
Webex EX シリーズ
-
Webex MX シリーズ
-
サードパーティ SIP デバイス
ソフトウェア クライアント
-
デスクトップおよびモバイル クライアント用の Webex アプリは、E2EE ミーティングに参加できます。
-
Webex Web クライアントは E2EE ミーティングに参加できません。
-
サードパーティ SIP ソフト クライアントは E2EE ミーティングに参加できません。
識別
-
設計上、外部で検証されたデバイス ID を管理するための Control Hub オプションは提供されません。真のエンドツーエンド暗号化では、秘密とキーを知る/アクセスするだけです。これらのキーを管理するためにクラウド サービスを導入した場合、インターセプトされる可能性があります。
-
現在、業界標準の暗号化技術に基づいて、デバイスID証明書とその秘密鍵を要求または暗号化するための独自のツールを設計するための「レシピ」を提供しています。シークレットまたはキーへの実際または認識さるアクセスは持ちたくはないと思います。
Meetings
-
E2EE ミーティングは現在、最大 1000 人の参加者をサポートしています。
- E2EE ミーティングで新しいホワイトボードを共有できます。通常のミーティングのホワイトボードとはいくつかの違いがあります。
- E2EE ミーティングでは、ユーザーはミーティング外で作成されたホワイトボード (プライベート ホワイトボード、他のユーザーが共有するホワイトボード、Webex スペースのホワイトボードなど) にアクセスできません。
- E2EE ミーティングで作成されたホワイトボードは、ミーティング中にのみ利用できます。ミーティングが終了した後、それらは保存されず、アクセスできません。
- E2EE ミーティングで誰かがコンテンツを共有している場合、注釈を付けることができます。注釈の詳細については、「Webex アプリ | 共有コンテンツを注釈でマークアップ」を参照してください。
管理インターフェース
Control Hub 組織は組織全体に対して一元化された ID を持つため、Control Hub を使用して Meetings サイトを管理することを強くお勧めします。
関連情報
-
Webex のゼロトラスト セキュリティ (セキュリティ技術論文)
-
JSON Web Encryption(JWE) (IETF標準の草案)
-
Webex Meetings 41.7
-
クラウドに登録された Webex Room および Webex Desk シリーズのデバイス。
10.6.1-RoomOS_August_2021
を実行しています。 -
Control Hub のミーティング サイトへの管理アクセス。
-
Control Hub 組織の 1 つ以上の検証済みドメイン (検証された ID のためにデバイス証明書を発行するために Webex CA を使用している場合)。
-
ユーザーがビデオ システムから参加するには、コラボレーション ミーティング ルームをオンにする必要があります。詳細については、「ビデオシステムが Webex サイトでミーティングやイベントに参加することを許可する」を参照してください。
外部で検証された ID を必要としない場合は、この手順をスキップできます。
最高レベルのセキュリティと本人確認のために、各デバイスは、信頼できるパブリック認証局(CA)によって発行された固有の証明書を持つ必要があります。
デジタル証明書をリクエスト、購入、受信し、関連するプライベート キーを作成するには、CA と対話する必要があります。証明書を要求するときは、次のパラメータを使用します。
-
証明書は、既知のパブリック CA によって発行および署名されている必要があります。
-
一意: 各デバイスには一意の証明書を使用することを強く推奨します。すべてのデバイスに対して 1 つの証明書を使用する場合、セキュリティを損なっています。
-
共通名 (CN) およびサブジェクト代替名/s (SAN/s): これらは Webex にとって重要ではないが、人間がデバイスを読み取り、関連付けできる価値である必要があります。CN はデバイスのプライマリ検証済み ID として他のミーティング参加者に表示され、ユーザーがミーティング UI を通して証明書を検査する場合、SAN/s が表示されます。次のような名前を使用してもよいでしょう。
名前.model@example.com
は... -
ファイル形式: 証明書とキーは
.pem
形式 であることが必要です。 -
目的: 証明書の目的は Webex アイデンティティである必要があります。
-
キーの生成: 証明書は ECDSA P-256 キーペア (P-256 曲線を使用する楕円曲線デジタル署名アルゴリズム) に基づく必要があります。
この要件は署名キーには拡張されません。CA は RSA キーを使用して証明書に署名できます。
デバイスで外部認証された ID を使用しない場合は、この手順をスキップできます。
新しいデバイスを使用している場合、Webex にまだ登録しないでください。安全のため、現時点ではネットワークに接続しないでください。
外部で検証された ID を使用するためにアップグレードする既存のデバイスがある場合は、デバイスを工場出荷時の状態にリセットする必要があります。
-
保存する場合は、既存の設定を保存します。
-
デバイスが使用されていないときにウィンドウをスケジュールするか、段階的に使用します。ユーザーに期待される変更を通知します。
-
デバイスへの物理的なアクセスを確認します。ネットワーク上でデバイスにアクセスする必要がある場合、秘密はプレーンテキストで移動し、セキュリティに妥協している点に注意してください。
これらの手順を完了したら、ビデオシステムが Webex サイトのミーティングやイベントに参加することを許可します。
デバイス以外のユーザーがデバイスのメディアを暗号化できないことを確認するには、デバイスのプライベート キーを暗号化する必要があります。JSON Web Encryption (JWE) を使用して、暗号化されたキーと証明書の管理を可能にするために、デバイス用の API を設計しました。
クラウドを通じたエンドツーエンドの暗号化を保証するために、証明書と鍵の暗号化とアップロードに関与することはできません。このレベルのセキュリティが必要な場合は、以下を行う必要があります。
-
あなたの証明書をリクエストします。
-
あなたの証明書のキー ペアを生成します。
-
各デバイスの初期シークレットを作成 (および保護) し、デバイスの暗号化機能をシードします。
-
JWE 標準を使用するファイルを暗号化するための独自のツールを開発し、維持します。
プロセスと(非秘密の)パラメータを以下に説明し、選択した開発ツールで従うべきレシピを説明します。また、当社ではお客様のプロセスの検証に役立て、いくつかのテストデータと結果として得られた JWE を期待通り提供しています。
Python3 および JWCrypto ライブラリを使用したサポートされていない参照実装はリクエストにより Cisco から利用できます。
-
ツールとデバイスの初期シークレットを使用して、証明書とキーを連結し暗号化します。
-
結果として生成された JWE ブロブをデバイスにアップロードします。
-
Webex アイデンティティに使用される暗号化された証明書の目的を設定し、証明書をアクティブ化します。
-
(推奨) デバイスユーザーが最初の秘密を変更し、メディアをユーザーから保護できるようにするツールへのインターフェイスを提供します(または配布 ) 。
JWE 形式の使用方法
このセクションでは、JWE がデバイスへの入力として作成されると予想される方法について説明します。これにより、証明書とキーからコマンドを作成するための独自のツールを構築できます。
JSON Web Encryption(JWE) https://datatracker.ietf.org/doc/html/rfc7516 およびJSON Web Signature(JWS) https://datatracker.ietf.org/doc/html/rfc7515を参照してください。
JSONドキュメントのコンパクトシリアライズ を使用して、JWEブロブを作成します。JWE ブロブの作成時に含める必要があるパラメータは次のとおりです。
-
JOSEヘッダー (保護)。JSON オブジェクトの署名と暗号化のヘッダーで、次のキー値のペアを含める必要があります。
-
「alg」:「dir」
直接アルゴリズムは、ペイロードの暗号化をサポートしている唯一のものであり、デバイスの最初のクライアント シークレットを使用する必要があります。
-
「enc」:「A128GCM」
または「enc」:「A256GCM」
これら 2 つの暗号化アルゴリズムをサポートしています。
-
「cisco-action」:「add」
または「cisco-action」:「populate」
または「cisco-action」:「activate」
または「cisco-action」:「deactivate」
これは独自のキーであり、取り込み可能な 4 つの値です。暗号化されたデータの目的を、ターゲット デバイスに合図するためにこのキーを導入しました。値は、暗号化されたデータを使用するデバイスで xAPI コマンドにちなんで名前が付けられています。
将来の JWE 拡張機能との潜在的な衝突を軽減するため、
cisco-action
と名付けました。 -
"cisco-kdf": { "version": "1", "salt": "base64URLEncodedRandom4+Bytes" }
別の独自のキー。デバイスでのキーの導出のための入力としてあなたが提供する値を使用します。
バージョン
は1
でなければなりません(このバージョンは、鍵派生機能のバージョン)。salt
の値は、base64のURLエンコードされた少なくとも4バイトのシーケンスである必要があります。このシーケンスはランダムに選択 する必要があります。
-
-
JWE暗号化キー。フィールドが空です。このデバイスは、最初の
ClientSecret
から取得します。 -
JWE初期化ベクトル。ペイロードを解読するための base64url エンコード初期化ベクトルを提供する必要があります。IV はランダムな 12 バイト値でなければなりません (当社は AES-GCM 暗号ファミリーを使用しています。IV は 12 バイトの長さでなければなりません )。
-
JWE AAD (追加認証データ)。このフィールドは、コンパクトなシリアル化でサポートされていないので、省略する必要があります。
-
JWE暗号テキスト: これは、シークレットにしたい暗号化ペイロードです。
ペイロードは空である可能性があります。たとえば、クライアントシークレットをリセットするには、空の値で上書きする必要があります。
デバイスで行おうとしている内容に応じて、ペイロードには異なるタイプがあります。異なる xAPI コマンドは異なるペイロードを予測します。次の手順に従って、ペイロードの目的を
cisco-action
キーで指定する必要があります。-
「cisco-action」:「populate」
を使用すると、暗号テキストが新しいClientSecret
になります。 -
"
"cisco-action":"add"
では、ciphertext は PEM ブロブで、証明書とその秘密キー (連結された) を格納します。 -
"
"cisco-action":"activate"
を使用すると、暗号テキストはデバイスの識別検証のためにアクティブ化している証明書のフィンガープリント (sha-1 の 16 進数表現) です。 -
"
"cisco-action":"deactivate"
を使用すると、暗号テキストはデバイスのアイデンティティ検証に使用されないように無効化している証明書のフィンガープリント (sha-1 の 16 進数表現) です。
-
-
JWE 認証タグ: このフィールドには、JWE のコンパクトにシリアル化されたブロブ全体の整合性を確認するための認証タグが含まれています
ClientSecret
から暗号化キーを引き出す方法
シークレットの最初のポピュレーションの後で、プレーン テキストとしてシークレットを受け入れる、または出力しません。これは、デバイスにアクセスできる誰かによる辞書攻撃を防ぐためです。
デバイス ソフトウェアは、クライアント シークレットをキー導出関数 (kdf) への入力として使用し、デバイスのコンテンツの復号/暗号化のために、取得したキーを使用します。
つまり、JWE ブロブを生成するツールが、同じ手順に従って、クライアント シークレットから同じ暗号化/復号キーを導き出す必要がある、という意味です。
デバイスは、 次のパラメータを使用して、キーの導出に scrypt を使用します (https://en.wikipedia.org/wiki/Scrypt を参照)。
-
CostFactor (N) は 32768 です
-
BlockSizeFactor (r) は 8 です
-
ParallelizationFactor (p) は 1 です
-
Salt は少なくとも 4 バイトのランダムシーケンスです。
cisco-kdf
パラメータを指定する場合は、同じsalt
を指定する必要があります。 -
キーの長さは、16 バイト (AES-GCM 128 アルゴリズムを選択した場合)、または 32 バイト (AES-GCM 256 アルゴリズムを選択した場合) のいずれかです
-
最大メモリ上限は 64MB です
このパラメータのセットは、デバイスのキーの導出機能と互換性のある scrypt の唯一の構成です。デバイス上のこの kdf は "version":"1"
と呼ばれ、cisco-kdf
パラメータによって現在取得されている唯一のバージョンです。
機能した例
次の例では、JWE 暗号化プロセスがデバイスで作成したプロセスと同じ動作を確認できます。
サンプルのシナリオは、PEM をデバイスに追加しています (完全な cert + キーの代わりに短い文字列で、証明書を追加した例です)。この例のクライアントシークレットはossifrage
です。
-
暗号化を選択します。この例では、
A128GCM
(Galois Counter Modeで128ビットキーを使用したAES)を使用します。必要に応じて、ツールでA256GCM
を使用できます。 -
Salt を選択します (少なくとも 4 バイトのランダムシーケンスを使用する必要があります)。この例では(16進数バイト)
E5 E6 53 08 03 F8 33 F6
を使用します。Base64urlはシーケンスをエンコードして5eZTCAP4M_Y
を取得します(base64のパディングを削除します)。 -
以下は、コンテンツ暗号化キー(cek)を作成するための
scrypt
コールのサンプルです。cek=scrypt(password="ossifrage", salt=4-byte-sequence, N=32768, r=8, p=1, keylength=16)
取得されたキーは、次のように 16 バイト (16 進) でなければなりません。
95 9e ba 6d d1 22 01 05 78 fe 6a 9d 22 78 ff ac
。base64urlがlZ66bdEiAQV4_mqdInj_rA
にエンコードされる。 -
12 バイトのランダムシーケンスを選択して、初期化ベクトルとして使用します。この例では、(16進数)
34 b3 5d dd 5f 53 7b af 2d 92 95 83
を使用し、base64urlがNLNd3V9Te68tkpWD
にエンコードされています。 -
コンパクトな一部を持つ JOSE ヘッダーを作成し (ここで使用するパラメータの同じ順番に従います)、base64url エンコードします。
{"alg":"dir","cisco-action":"add","cisco-kdf":{"salt":"5eZTCAP4M_Y","version":"1"},"enc":"A128GCM"}
base64url でエンコードされた JOSE ヘッダーは、
eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ9
これは JWE ブロブの最初の要素です。
-
JWE フィールドの 2 番目の要素は空です。JWE 暗号化キーを指定しないためです。
-
JWE ブロブの第 3 要素は、初期化ベクトル
NLNd3V9Te68tkpWD
です。 - JWE 暗号化ツールを使用して、暗号化ペイロードとタグを作成します。この例では、暗号化されていないペイロードは偽のPEMブロブになります
これはPEMファイルです
使用すべき暗号化パラメータ:
ペイロードは
PEMファイルです
暗号化は AES 128 GCM です
base64url は、追加認証データ(AAD)として、JOSE ヘッダーをエンコードします。
Base64url は暗号化されたペイロードをエンコードします。この場合、
f5lLVuWNfKfmzYCo1YJfODhQ
これは JWE フィールドの 4 番目の要素 (JWE Ciphertext) です。
-
ステップ8で作成したタグをBase64urlでエンコードすると、
PE-wDFWGXFFBeo928cfZ1Q
これは JWE ブロブの 5 番目の要素です。
-
JWE ブロブの 5 要素をドットで連結して (JOSEheader..IV.Ciphertext.Tag) 次を取得します。
eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q
-
ここに表示されるのと同じ base64url エンコード値を取得した場合は、それらを使用してデバイスの E2E 暗号化と検証済み ID のセキュリティを確保する準備ができています。
-
この例は実際には機能しませんが、次のステップは、上で作成した JWE グループを、証明書を追加するデバイスの xcommand への入力として使用する方法です。
xコマンドセキュリティ証明書
eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q
ゼロトラスト ミーティングのセッション タイプは、追加料金なしですべてのミーティング サイトで利用できます。これらのセッションタイプの1つは、Pro-End to End Encryption_VOIPonly
と呼ばれます。これは公共サービス名です。これは将来変更される可能性があります。セッション タイプの現在の名前については、この記事の参照セクションの セッション タイプ ID を参照してください。
サイトでこの機能を使用するには何もする必要はありません。新しいセッションタイプ (ミーティング権限とも呼ばれます) をユーザーに付与する必要があります。これは、ユーザーの設定ページから個別に行う、または CSV エクスポート/インポートで一括で行う必要があります。
1 |
Control Hub にサインインし、 |
2 |
[サイト] をクリックし、設定を変更する Webex サイトを選択して、[設定] をクリックします。 |
3 |
[共通設定] の下で、[セッション タイプ] を選択します。 |
4 |
1 つ以上のエンドツーエンド暗号化セッションタイプが表示されます。この記事の 参照 セクションにある セッション タイプ ID の一覧を参照してください。たとえば、Pro-End to End Encryption_VOIPonlyを参照できます。
非常に類似する名前の古いセッション タイプがあります。Pro-End to Endの暗号化このセッション タイプには、ミーティングへのアクセスに非暗号化 PSTN が含まれています。エンドツーエンドの暗号化を保証する_VOIPonly バージョンがあることを確認してください。セッションコード列のPRO リンクにカーソルを合わせることで確認できます。この例では、リンクのターゲットを これらのセッション タイプのパブリック サービス名は今後変更される可能性があります。 |
5 |
新しいセッション タイプをまだ取得していない場合、Webex 担当者に連絡してください。 |
次に行うこと
一部のユーザーまたはすべてのユーザーに対して、このセッション タイプ/ミーティング権限を有効にしてください。
1 |
Control Hub にサインインし、[ ] の順に移動します。 |
2 |
更新するユーザーアカウントを選択し、[ミーティング] を選択します。 |
3 |
[Settings apply to ] ドロップダウンから、更新するミーティング サイトを選択します。 |
4 |
Pro-End to End Encryption_VOIPonlyの横にあるボックスをオンにします。 |
5 |
ユーザー設定パネルを閉じます。 |
6 |
必要な場合は、その他のユーザーに対して繰り返します。 これを多くのユーザーに割り当てるには、次のオプション「複数のユーザーに E2EE ミーティングを有効にする」を使用します。 |
1 |
Control Hub にサインインし、 |
2 |
[サイト] をクリックし、設定を変更する Webex サイトを選択します。 |
3 |
[ライセンスとユーザー] セクションで、[一括管理] をクリックします。 |
4 |
[レポートの生成]をクリックし、ファイルの準備を待ちます。 |
5 |
ファイルの準備ができたら、[結果をエクスポート] をクリックし、次に [ダウンロード] をクリックします。(ダウンロードをクリックした後、ポップアップウィンドウを手動で閉じる必要があります。) |
6 |
編集のためにダウンロードされた CSV ファイルを開きます。 各ユーザーには行があり、 |
7 |
新しいセッション タイプを付与する各ユーザーに対して、 Webex CSV ファイル形式リファレンス には、CSV ファイルの目的と内容に関する詳細が含まれています。 |
8 |
Control Hub の [ミーティング サイト設定] パネルを開きます。 すでにミーティング サイトのリスト ページを使用している場合は、更新が必要な場合があります。 |
9 |
[ライセンスとユーザー] セクションで、[一括管理] をクリックします。 |
10 |
[インポート] をクリックし、編集した CSV を選択してから、[インポート] をクリックします。ファイルがアップロードされるのを待ちます。 |
11 |
インポートが完了したら、[結果をインポート] をクリックして、エラーの発生した場合に確認できます。 |
12 |
[ユーザー] ページに進み、ユーザーの 1 人を開いて、新しいセッション タイプになっていることを確認してください。 |
Webex Meetings Pro-End to End Encryption_VOIPonly
セッションタイプを使用して、ミーティング録画に透かしを追加できます。これにより、機密ミーティングの不正録画のソースクライアントまたはデバイスを識別できます。
この機能が有効になっている場合、ミーティングの音声には各参加クライアントまたはデバイスの一意の識別子が含まれます。音声録音を Control Hub にアップロードして、録音を分析し、一意の識別子を検索できます。結果を確認して、ミーティングを録画したソース クライアントまたはデバイスを確認できます。
- 分析するには、録音は500MB以下のAAC、MP3、M4A、WAV、MP4、AVI、またはMOVファイルである必要があります。
- 録音は 100 秒以上でなければなりません。
- 組織内のユーザーが主催するミーティングの録画のみ分析できます。
- 透かし情報は、組織のミーティング情報と同じ期間保持されます。
E2EE ミーティングに音声透かしを追加する
- Control Hub にサインインし、[管理] から [組織設定] を選択します。
- [ミーティングの透かし ] セクションで、[音声透かしを追加] をオンに切り替えます。
この操作がオンになっていると、ユーザーが
Webex Meetings Pro-End to End Encryption_VOIPonly
セッションタイプでミーティングをスケジュールすると、[セキュリティ]セクションに[デジタル透かし] オプションが表示されます。
透かし入りのミーティングをアップロードして分析する
- Control Hub の [モニタリング] から [トラブルシューティング] を選択します。
- [透かし分析] をクリックします。
- リストからミーティングを検索または選択し、[分析] をクリックします。
- [オーディオウォーターマークの解析 ] ウィンドウで、分析の名前を入力します。
- (オプション) 分析用のメモを入力します。
- 分析するオーディオファイルをドラッグアンドドロップするか、[ファイルを選択 ]をクリックしてオーディオファイルを参照します。
- [閉じる] をクリックします。
分析が完了すると、[ウォーターマークの解析 ]ページの結果リストに表示されます。
- リスト内のミーティングを選択して、分析の結果を表示します。 をクリックして結果をダウンロードします。
機能と制限
録音された透かしを正常にデコードする要因には、録音デバイスと音声を出力するスピーカー間の距離、その音声の音量、環境ノイズなどが含まれます。当社の透かし技術には、メディアが共有されたときに起こる可能性があるように、複数回エンコードされることに対する耐性がさらに高まっています。
この機能は、透かし識別子を広範囲かつ合理的な状況で正常にデコードできるように設計されています。私たちの目標は、個人のエンドポイントまたはラップトップクライアントの近くのデスクに横たわっている携帯電話などの記録デバイスが、常に分析を成功させる記録を作成することです。録音デバイスがソースから離れるか、完全なオーディオスペクトルを聴くことで不明瞭になるため、分析が成功する可能性は低下します。
録画の分析を成功させるには、ミーティングの音声の合理的なキャプチャが必要です。ミーティングの音声がクライアントをホストしているコンピューターに録画されている場合、制限は適用されません。
デバイスがすでに Control Hub 組織にオンボードされており、Webex CA を使用して識別証明書を自動生成する場合は、デバイスを工場出荷時の状態にリセットする必要はありません。
この手順では、デバイスが自分自身を識別するために使用するドメインを選択し、Control Hub 組織に複数のドメインがある場合にのみ必要です。複数のドメインがある場合、「Cisco 検証済み」アイデンティティを持つすべてのデバイスに対してこれを実行することをお勧めします。Webex にデバイスを識別するドメインを知らせない場合、1 つは自動的に選択され、他のミーティング参加者に間違って見える可能性があります。
開始する前に
デバイスがまだオンボードされていない場合は、「API またはローカル Web インターフェイスを使用して Cisco Webex にデバイスを登録する 」または「Board、Desk、および Room シリーズのクラウドオンボーディング」に従ってください。また、ドメインの管理でデバイスを識別するために使用するドメインを確認する必要があります。
1 |
Control Hub にサインインし、[管理] から [デバイス] を選択します。 |
2 |
デバイスを選択して、その構成パネルを開きます。 |
3 |
このデバイスを使用するドメインを選択します。 |
4 |
他のデバイスでも繰り返します。 |
開始する前に
-
デバイスごとに、
.pem
形式の CA 署名付き証明書と秘密キーを取得します。 -
「準備 」タブの「デバイスの外部 ID プロセスの理解」のトピックをお読みください。
-
そこにある情報に関して、JWE暗号化ツールを準備します。
-
指定された長さのランダムなバイトシーケンスを生成するツールがあることを確認してください。
-
base64url エンコード バイトまたはテキスト用のツールがあることを確認してください。
-
scrypt
を実装していることを確認してください。 -
デバイスごとに秘密の単語またはフレーズがあることを確認してください。
1 |
プレーンテキストのシークレットを使用して、デバイスの
デバイスには最初のシークレットがあります。これを忘れないでください。 復元できず、デバイスを工場出荷時の状態にリセットして再起動する必要があります。
|
2 |
証明書とプライベートキーを連結する: |
3 |
証明書の追加コマンドへの入力として使用する JWE ブロブを作成します。 |
4 |
デバイスで TShell を開き、 (multiline) add コマンドを実行します。 |
5 |
証明書が 新しい証明書の指紋をコピーします。 |
6 |
デバイスには、エンドツーエンド暗号化された Webex ミーティングで識別するために使用される準備ができている、暗号化されたアクティブな CA 発行の証明書があります。
|
7 |
デバイスを Control Hub 組織にオンボードします。 |
1 |
正しいタイプのミーティング (Webex Meetings Pro-End to End Encryption_VOIPonly) をスケジュールします。 「エンドツーエンドで暗号化された Webex Meetings をスケジュールする」を参照してください。 |
2 |
Webex Meetings から主催者としてミーティングに参加します。 「エンドツーエンドで暗号化された Webex ミーティングに参加する」を参照してください。 |
3 |
Webex CA によって検証された ID を持つデバイスからミーティングに参加します。 |
4 |
主催者として、このデバイスが正しいアイデンティティ アイコンとともにロビーに表示されます。 「エンドツーエンドで暗号化された Webex ミーティングに参加する」を参照してください。 |
5 |
外部 CA によって検証されたアイデンティティを持つデバイスからミーティングに参加します。 |
6 |
主催者として、このデバイスが正しいアイデンティティ アイコンとともにロビーに表示されます。ID アイコンの詳細をご覧ください。 |
7 |
未認証のミーティング参加者としてミーティングに参加します。 |
8 |
主催者として、この参加者が正しいアイデンティティ アイコンとともにロビーに表示されます。 |
9 |
主催者として、ユーザー/デバイスを承認または拒否します。 |
10 |
可能であれば、証明書を確認して参加者/デバイスの ID を確認します。 |
11 |
ミーティングの全員に同じミーティング セキュリティ コードが表示されるのを確認してください。 |
12 |
新しい参加者とミーティングに参加します。 |
13 |
全員に同じ新しいミーティング セキュリティ コードが表示されるのを確認してください。 |
-
エンドツーエンド暗号化ミーティングをデフォルトのミーティング オプションにしますか?それとも一部のユーザーに対してだけ有効にしますか?また、すべての主催者が決定しますか? この機能の使い方を決定した時点で、使用するユーザーを準備します。特に、制限やミーティングで期待される点に関してです。
-
Cisco もしくは他の誰もがコンテンツを解読したり、デバイスを偽装したりできるかを確認する必要がありますか? この場合、パブリック CA の証明書が必要です。
-
ID の検証レベルが異なる場合は、証明書がサポートされた ID を使用してユーザがお互いを検証できるようにします。参加者が未確認と表示される場合があり、チェックの方法を参加者が知っている必要がある場合でも、未確認の人は詐欺的ではない場合があります。
外部 CA を使用してデバイス証明書を発行する場合、onus が証明書を監視、更新、再適用します。
最初のシークレットを作成した場合、ユーザーがデバイスのシークレットを変更する可能性がある可能性を理解します。インターフェイスを作成し、これを行うツールを配布する必要がある場合があります。
セッション タイプ ID |
パブリック サービス名 |
---|---|
638 |
E2E 暗号化+VoIPのみ |
652 |
Pro-End to End Encryption_VOIPonly |
660 |
Pro 3 Free-End to End Encryption_VOIPonly E2E 暗号化+アイデンティティ |
672 |
Pro 3 Free50-End to End Encryption_VOIPonly |
673 |
教育インストラクタ E2E Encryption_VOIPonly |
676 |
Broadworks Standard + エンドツーエンド暗号化 |
677 |
Broadworks Premium + エンドツーエンド暗号化 |
681 |
Schoology Free +エンドツーエンド暗号化 |
以下の表では、エンドツーエンド暗号化ミーティングと検証されたアイデンティティのために追加された Webex デバイス API コマンドについて説明しています。API の使用方法の詳細については、「Webex Room およびデスク デバイス、Webex Board の API にアクセスする」を参照してください。
これらの xAPI コマンドは、次のいずれかのデバイスでのみ使用できます。
-
Webex に登録されているデバイス
-
オンプレミスで登録され、デバイス用の Webex Edge を使って Webex にリンクされているデバイス
API コール |
説明 |
---|---|
|
この構成は、管理者が Control Hub からデバイスの優先ドメインを設定するときに行います。組織に複数のドメインがある場合にのみ必要です。 Webex CA からの証明書を要求すると、デバイスはこのドメインを使用します。ドメインがデバイスを識別します。 デバイスがアクティブで外部から発行された証明書を持っている場合、この構成は適用されません。 |
|
デバイスがエンドツーエンド暗号化ミーティングに参加可能かどうかを示します。クラウド API は、ペアリングされたアプリが参加するためにデバイスを使用できるかどうかを知るように、それを呼び出します。 |
|
デバイスで |
|
外部に発行された証明書の共通名から読み取りとしてのデバイスのアイデンティティ。 |
|
外部発行された証明書から特定の情報を読み取ります。 表示されるコマンドで、
|
|
デバイスの外部 ID のステータス (例: |
|
デバイスが Webex CA によって発行された有効な証明書を持つかどうかを示します。 |
|
Webex の発行された証明書の共通名から読み取りとしてのデバイスのアイデンティティ。 組織がドメインを持っている場合、ドメイン名を含む。 組織にドメインが存在しない場合は空です。 デバイスが複数のドメインを持つ組織内にある場合、これは |
|
Webex が発行する証明書から特定の情報を読み取ります。 表示されるコマンドで、
|
API コール |
説明 |
---|---|
| これらの3つのイベントには、影響を受ける参加者の |
API コール |
説明 |
---|---|
または
| base64url エンコードのプレーン テキスト値を受け付け、初めてデバイスにクライアント シークレットをシードします。 その後、シークレットを更新するには、古いシークレットにより暗号化された新しいシークレットを含む JWE ブロブを指定する必要があります。 |
| 証明書を追加します (プライベート キーを含む)。 このコマンドを拡張して、暗号化 PEM データを含む JWE ブロブを承認しました。 |
| WebexIdentity に対して特定の証明書をアクティブ化します。この |
| WebexIdentity に対して特定の証明書をアクティベート解除化します。この |