Gebruikerservaring

Gebruikers kiezen het vergaderingstype wanneer ze een vergadering plannen. Wanneer deelnemers vanuit de lobby en tijdens de vergadering worden toegelaten, kan de host de verificatiestatus van elke deelnemer zien. Er is ook een vergadercode die algemeen is voor alle huidige deelnemers aan de vergadering, die ze kunnen gebruiken om te verifiëren dat hun vergadering niet is onderschept door een ongewenste aanval van derden Meddler In The Middle (MITM).

Deel de volgende informatie met de hosts van uw vergadering:

Identiteitsverificatie met interne of externe CA

Identiteit verifiëren

End-to-end-codering met identiteitsverificatie biedt extra beveiliging voor een end-to-end gecodeerde vergadering.

Wanneer deelnemers of apparaten deelnemen aan een gedeelde MLS-groep (Messaging Layer Security), presenteren ze hun certificaten aan de andere groepsleden, die de certificaten vervolgens valideren ten opzichte van de certificeringsinstanties die het certificaat uitgeven. Door te bevestigen dat de certificaten geldig zijn, verifieert de CA de identiteit van de deelnemers en toont de vergadering de deelnemers/apparaten als geverifieerd.

Gebruikers van de Webex-app verifiëren zichzelf met de Webex-identiteitsopslag, die hen een toegangstoken geeft wanneer verificatie is gelukt. Als ze een certificaat nodig hebben om hun identiteit te verifiëren in een end-to-end gecodeerde vergadering, geeft de Webex-CA ze een certificaat op basis van hun toegangstoken. Op dit moment bieden we geen manier voor Webex Meetings-gebruikers om een certificaat te ontvangen dat is uitgegeven door een externe CA.

Apparaten kunnen zichzelf verifiëren met behulp van een certificaat dat is uitgegeven door de interne (Webex) CA of een certificaat dat is uitgegeven door een externe CA:

  • Interne CA: Webex levert een intern certificaat op basis van het toegangstoken van het machineaccount van het apparaat. Het certificaat is ondertekend door de Webex CA. Apparaten hebben niet dezelfde gebruikers-id's als gebruikers, dus Webex gebruikt (een van) de domeinen van uw organisatie bij het schrijven van de identiteit van het apparaatcertificaat (Common Name (CN)).

  • Externe CA: apparaatcertificaten rechtstreeks aanvragen en aanschaffen bij de gekozen verlener. U moet de certificaten coderen, rechtstreeks uploaden en autoreren met een geheim dat alleen aan u bekend is.

    Cisco is niet betrokken, waardoor dit de manier is om echte end-to-end-codering en geverifieerde identiteit te garanderen en om de theoretische mogelijkheid te voorkomen dat Cisco uw vergadering afluistert/uw media decodeert.

Apparaatcertificaat dat intern is uitgegeven

Webex geeft een certificaat aan het apparaat uit wanneer dit is geregistreerd na het opstarten en vernieuwt het indien nodig. Voor apparaten bevat het certificaat de account-id en een domein.

Als uw organisatie geen domein heeft, geeft de Webex-CA het certificaat uit zonder domein.

Als uw organisatie meerdere domeinen heeft, kunt u Control Hub gebruiken om Webex te vertellen welk domein het apparaat moet gebruiken voor de identiteit. U kunt ook de API xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com" gebruiken.

Als u meerdere domeinen hebt en het voorkeursdomein voor het apparaat niet in stelt, kiest Webex er een voor u.

Extern uitgegeven apparaatcertificaat

Een beheerder kan een apparaat voorzien van zijn/haar eigen certificaat dat is ondertekend met een van de openbare certificeringscertificaten.

Het certificaat moet zijn gebaseerd op een ECDSA P-256-sleutelpaar, maar het kan worden ondertekend met een RSA-sleutel.

De waarden in het certificaat hebben de discretie van de organisatie. De algemene naam (CN) en de alternatieve naam van het onderwerp (SAN) worden weergegeven in de gebruikersinterface van de Webex-vergadering, zoals wordt beschreven in End-to-end-codering met identiteitsverificatie voor Webex Meetings.

We raden u aan een afzonderlijk certificaat per apparaat te gebruiken en een unieke CN per apparaat te hebben. Bijvoorbeeld 'meeting-room-1.example.com' voor de organisatie die eigenaar is van het domein 'example.com'.

Om het externe certificaat volledig te beschermen tegen manipulatie, wordt een geheime functie van de client gebruikt om verschillende xcommands te coderen en te ondertekenen.

Wanneer u het clientgeheim gebruikt, is het mogelijk om het externe Webex-identiteitscertificaat veilig te beheren via de xAPI. Dit is momenteel beperkt tot online apparaten.

Webex biedt momenteel API-opdrachten om dit te beheren.

Functies en beperkingen

Apparaten

De volgende in de cloud geregistreerde apparaten uit de Webex Room-serie en Webex Desk-serie kunnen deelnemen aan E2EE-vergaderingen:

  • Webex Board

  • Webex Desk Pro

  • Webex-bureau

  • Webex Room Kit

  • Webex Room Kit Mini

De volgende apparaten kunnen niet deelnemen aan E2EE-vergaderingen:

  • Webex C-serie

  • Webex DX-serie

  • Webex EX-serie

  • Webex MX-serie

  • SIP-apparaten van derden

Software-clients

  • Webex-app voor desktop- en mobiele clients kunnen deelnemen aan E2EE-vergaderingen.

  • De Webex-webclient kan niet deelnemen aan E2EE-vergaderingen.

  • SIP-softclients van derden kunnen niet deelnemen aan E2EE-vergaderingen.

Identiteit

  • We bieden geen Control Hub-opties waarmee u extern geverifieerde apparaatidentiteit kunt beheren. Voor echte end-to-end-codering moet alleen u de geheimen en sleutels kennen/openen. Als we een cloudservice geïntroduceerd hebben om deze sleutels te beheren, kunnen ze worden onderschept.

  • Momenteel bieden wij een 'recept' voor u om uw eigen tools te ontwerpen, op basis van industriestandaard encryptietechnieken, om te helpen bij het aanvragen of versleutelen van uw apparaatidentiteitscertificaten en hun privésleutels. We willen geen echte of ervaren toegang tot uw geheimen of sleutels.

Vergaderingen

  • E2EE-vergaderingen ondersteunen momenteel maximaal 1000 deelnemers.

  • U kunt nieuwe whiteboards delen in E2EE-vergaderingen. Er zijn enkele verschillen met whiteboards in reguliere vergaderingen:
    • In E2EE-vergaderingen hebben gebruikers geen toegang tot whiteboards die buiten de vergadering zijn gemaakt, inclusief privéwhiteboards, whiteboards die door anderen worden gedeeld en whiteboards vanuit Webex-ruimten.
    • Whiteboards die zijn gemaakt in E2EE-vergaderingen zijn alleen beschikbaar tijdens de vergadering. Ze worden niet opgeslagen en zijn niet toegankelijk nadat de vergadering is beëindigd.
    • Als iemand inhoud deelt in een E2EE-vergadering, kunt u aantekeningen maken. Zie Webex-app | Gedeelde inhoud met aantekeningen markeren voor meer informatie over aantekeningen.

Beheerinterface

We raden u ten zeerste aan Control Hub te gebruiken om uw Meetings-site te beheren, aangezien Control Hub-organisaties de identiteit voor de hele organisatie hebben gecentraliseerd.

Aanvullende bronnen
Voorwaarden

  • Webex Meetings 41.7.

  • In de cloud geregistreerde apparaten uit de Webex Room- en Webex Desk-serie met 10.6.1-RoomOS_August_2021.

  • Beheerderstoegang tot de vergadersite in Control Hub.

  • Een of meer geverifieerde domeinen in uw Control Hub-organisatie (als u de Webex CA gebruikt om apparaatcertificaten voor geverifieerde identiteit uit te geven).

  • Samenwerkingsvergaderingsruimten moeten worden ingeschakeld zodat mensen vanuit hun videosysteem kunnen deelnemen. Zie Videosystemen toestaan deel te nemen aan vergaderingen en gebeurtenissen op uw Webex-site voor meer informatie.

Apparaatcertificaten ophalen

U kunt deze stap overslaan als u geen extern geverifieerde identiteiten nodig hebt.

Voor het hoogste beveiligingsniveau en voor identiteitsverificatie moet elk apparaat een uniek certificaat hebben dat is uitgegeven door een vertrouwde openbare certificeringsinstantie (CA).

U moet communiceren met de CA om de digitale certificaten aan te vragen, aan te schaffen en te ontvangen en de bijbehorende privésleutels te maken. Wanneer u het certificaat aanvraagt, gebruikt u deze parameters:

  • Het certificaat moet zijn uitgegeven en ondertekend door een bekende openbare CA.

  • Unieke: We raden u sterk aan een uniek certificaat voor elk apparaat te gebruiken. Als u één certificaat voor alle apparaten gebruikt, doet u niet meer uw veiligheid.

  • Algemene naam (CN) en Onderwerp alternatieve naam/namen (SAN/s): Deze zijn niet belangrijk voor Webex, maar moeten waarden zijn die mensen kunnen lezen en aan het apparaat kunnen koppelen. De algemene naam wordt aan andere deelnemers van de vergadering weergeven als de primaire geverifieerde identiteit van het apparaat en als gebruikers het certificaat inspecteren via de gebruikersinterface van de vergadering, zien ze de SAN/s. U kunt namen als name.model@example.com gebruiken.

  • Bestandsindeling: De certificaten en sleutels moeten de indeling .pem hebben.

  • Purpose: Het certificaat moet Webex-identiteit zijn.

  • Sleutels genereren: De certificaten moeten zijn gebaseerd op ECDSA P-256-sleutelparen (Elliptical Curve Digital Signature Algorithm met behulp van de P-256-curve).

    Deze vereiste geldt niet voor de ondertekeningssleutel. De CA kan een RSA-sleutel gebruiken om het certificaat te ondertekenen.

Voorbereiden op onboardingapparaten

U kunt deze stap overslaan als u geen extern geverifieerde identiteit wilt gebruiken met uw apparaten.

Als u nieuwe apparaten gebruikt, registreert u deze nog niet bij Webex. Om veilig te zijn, sluit u ze op dit moment niet aan op het netwerk.

Als u bestaande apparaten hebt die u wilt upgraden om extern geverifieerde identiteit te gebruiken, moet u de fabrieksinstellingen van de apparaten herstellen.

  • Sla de bestaande configuratie op als u deze wilt behouden.

  • Plan een venster wanneer de apparaten niet worden gebruikt of gebruik een gefaseeerde aanpak. Informeer gebruikers over de wijzigingen die ze kunnen verwachten.

  • Zorg voor fysieke toegang tot apparaten. Als u apparaten via het netwerk moet openen, moet u rekening houden met het feit dat geheimen in platte tekst reizen en u uw veiligheid in gevaar brengen.

Zodra u deze stappen hebt uitgevoerd, kunt u videosystemen toestaan deel te nemen aan vergaderingen en gebeurtenissen op uw Webex-site.

Het externe identiteitsproces voor apparaten begrijpen

Om te verzekeren dat de media van uw apparaat niet door iedereen behalve het apparaat kan worden gecodeerd, moet u de privésleutel op het apparaat coderen. We hebben API's voor het apparaat ontworpen om het beheer van de gecodeerde sleutel en het certificaat mogelijk te maken met JSON Web Encryption (JWE).

Om een waar end-to-end-codering via onze cloud te waarborgen, kunnen we niet worden betrokken bij het coderen en uploaden van het certificaat en de sleutel. Als u dit beveiligingsniveau nodig hebt, moet u:

  1. Verzoek uw certificaten.

  2. Genereer de sleutelparen van uw certificaat.

  3. Maak (en bescherm) een geheim in eerste instantie voor elk apparaat, om de coderingsfunctie van het apparaat te gebruiken.

  4. Ontwikkel en behoudt uw eigen tool voor het coderen van bestanden met behulp van de JWE-standaard.

    Het proces en de (niet-geheime) parameters die u nodig hebt, worden hieronder uitgelegd, evenals een recept om te volgen in uw ontwikkelingstools naar keuze. We bieden ook enkele testgegevens en de resulterende JWE-gegevens zoals we deze verwachten, om u te helpen uw proces te verifiëren.

    Een niet-ondersteunde referentie-implementatie met Cisco JWCrypto en de JWCrypto-bibliotheek is op aanvraag beschikbaar in Cisco.

  5. Het certificaat en de sleutel samenvoegen en coderen met behulp van uw hulpmiddel en het eerste geheim van het apparaat.

  6. Upload het hieruit voortkomende JWE naar het apparaat.

  7. Stel het doel van het gecodeerde certificaat in dat wordt gebruikt voor de Webex-identiteit en activeer het certificaat.

  8. (Aanbevolen) Geef een interface aan (of distribueer) uw tool om apparaatgebruikers in staat te stellen het oorspronkelijke geheim te wijzigen en hun media tegen u te beschermen.

Hoe gebruiken we de JWE-indeling

Dit gedeelte beschrijft hoe we verwachten dat het JWE zal worden gemaakt als invoer voor de apparaten, zodat u uw eigen tool kunt maken om de certificaten en sleutels te maken.

Raadpleeg JSON-webcodering (JWE) https://datatracker.ietf.org/doc/html/rfc7516 en JSON-webhandtekening (JWS) https://datatracker.ietf.org/doc/html/rfc7515.

We gebruiken de Compact Serialization van een JSON-document om JWE-blobs te creëren. De parameters die u moet opnemen bij het maken van de JWE-blobs zijn:

  • JOSE-koptekst (beschermd). In de koptekst JSON-objectondertekening en -codering moet u de volgende sleutelwaardeparen opnemen:

    • "alg":"dir"

      Het directe algoritme is het enige dat we ondersteunen voor de versleuteling van de payload. U moet het initiale client geheim van het apparaat gebruiken.

    • "ENC":"A128GCM" of "enc":"A650 GCM"

      We ondersteunen deze twee coderingsalgoritmen.

    • "cisco-actie": "toevoegen" of "cisco-actie": "vullen" of "cisco-actie": "activeren" of "cisco-actie": "deactiveren"

      Dit is een eigen sleutel en deze kan vier waarden bevatten. We hebben deze sleutel geïntroduceerd om het doel van de gecodeerde gegevens aan te geven op het doelapparaat. De waarden worden genoemd naar de xAPI-opdrachten op het apparaat waar u de gecodeerde gegevens gebruikt.

      We noemden het cisco-actie om potentiële botsingen met toekomstige JWE-extensies te beperken.

    • "cisco kdf": { "version": "1", "salt": "base64URLEncodedRandom4+Bytes" }

      Een andere eigen sleutel. We gebruiken de waarden die u opgeef als invoer voor sleutelcodes op het apparaat. De versie moet 1 zijn (de versie van onze sleutelafleidingsfunctie). De waarde van salt moet een basis64 URL-gecodeerde reeks van minstens 4 bytes zijn, die u willekeurig moet kiezen.

  • JWE-gecodeerde sleutel. Dit veld is leeg. Het apparaat is afgeleid van de eerste ClientSecret.

  • JWE-initialisatievector. U moet een in base64url gecodeerde initialisatie vector invoeren voor het decoderen van de payload. De IV MOET een willekeurige waarde van 12 byte zijn (we gebruiken de AES-GCM-versleutelingsketen, waarvoor de IV 12 bytes lang moet zijn).

  • JWE AAD (aanvullende geverifieerde gegevens). U moet dit veld weglaten omdat dit niet wordt ondersteund in de compacte serialisatie.

  • JWE Ciphertext: Dit is de gecodeerde payload die u geheim wilt houden.

    De payload KAN leeg zijn. Als u bijvoorbeeld het clientgeheim wilt resetten, moet u het overschrijven met een lege waarde.

    Er zijn verschillende soorten payloads, afhankelijk van wat u probeert te doen op het apparaat. Verschillende xAPI-opdrachten verwachten verschillende payloads en u moet het doel van de payload als volgt opgeven met de cisco-action -sleutel:

    • Met "cisco-action":"populate" is de ciphertext de nieuwe ClientSecret.

    • Met ""cisco-action":"add" is de ciphertext een PEM blob met het certificaat en de eigen sleutel (concatenated).

    • Met ""cisco-action":"activate" is de ciphertext de vingerafdruk (hexadecimale weergave van sha-1) van het certificaat dat we activeren voor apparaatidentificatie verificatie.

    • Met ""cisco-actie":"deactiveren" is de ciphertext de vingerafdruk (hexadecimale weergave van sha-1) van het certificaat dat we deactiveren om te worden gebruikt voor apparaatidentiteitsverificatie.

  • JWE-verificatie tag: Dit veld bevat de verificatietag om de integriteit van het gehele JWE-compact seriële codeer te bepalen

Hoe we de coderingssleutel uit het ClientSecret afleiden

Na de eerste inwoners van het geheim accepteren of output we deze geheim niet als platte tekst. Dit is om mogelijke woordenboekaanvallen te voorkomen door iemand die toegang heeft tot het apparaat.

De apparaatsoftware gebruikt het client geheim als invoer voor een sleutelversleutelingsfunctie (kdf) en gebruikt vervolgens de afgeleide sleutel voor inhoudsdecodering/-codering op het apparaat.

Wat dit voor u betekent, is dat uw tool voor het produceren van JWE-gegevens dezelfde procedure moet volgen om dezelfde codering/decoderingssleutel te afgeleid van het client geheim.

De apparaten gebruiken scrypten voor sleutelcodering (zie https://en.wikipedia.org/wiki/Scrypt), met de volgende parameters:

  • CostFactor (N) is 32768

  • BlockSizeFactor (r) is 8

  • Parallelisatiefactor (p) is 1

  • Zout is een willekeurige volgorde van ten minste 4 bytes; u moet hetzelfde zout leveren wanneer u de cisco-kdf -parameter specificeert.

  • De sleutellengtes zijn 16 bytes (als u het AES-GCM 128-algoritme selecteert) of 32 bytes (als u het AES-GCM 256-algoritme selecteert)

  • Max. geheugen cap is 64 MB

Deze set parameters is de enige configuratie van scrypt die compatibel is met de sleutelcodefunctie op de apparaten. Deze kdf op de apparaten heet "version":"1", wat de enige versie is die momenteel wordt gebruikt door de cisco-kdf parameter.

Voorbeeld gewerkt

Hier volgt u een voorbeeld om te controleren of uw JWE-coderingsproces hetzelfde werkt als het proces dat we op de apparaten hebben aangemaakt.

In het voorbeeldscenario wordt een PEM-certificaat aan het apparaat toegevoegd (nabootsen bij het toevoegen van een certificaat, met een zeer korte tekenreeks in plaats van een volledig cert + key). Het clientgeheim in het voorbeeld is ossifrage.

  1. Kies een coderingscode. Dit voorbeeld maakt gebruik van A128GCM (AES met 128-bits toetsen in de Galois Counter Mode). Als u dat wenst, kan uw tool A31GCM gebruiken.

  2. Kies eenje (moet een willekeurige volgorde zijn van ten minste 4 bytes). Dit voorbeeld gebruikt (hexadecimale bytes)E5 E6 53 08 03 F8 33 F6. Base64url codeert de reeks om 5eZTCAP4M_Y te krijgen (verwijder de base64-padding).

  3. Hier volgt een voorbeeld van een scrypt -gesprek om de coderingssleutel voor inhoud (cek) te maken:

    cek=scrypt(password="ossifrage", salt=4-byte-sequentie, N=32768, r=8, p=1, keylength=16)

    De afgeleide sleutel moet als volgt 16 bytes (hex) zijn:95 9e ba 6d d1 22 01 05 78 fe 6a 9d 22 78 ff ac die basis64url codeert naar lZ66bdEiAQV4_mqdInj_rA.

  4. Kies een willekeurige volgorde van 12 bytes om te gebruiken als initialisatie vector. Dit voorbeeld gebruikt (hex) 34 b3 5d dd 5f 53 7b af 2d 92 95 83 die basis64url codeert naar NLNd3V9Te68tkpWD.

  5. Maak de JOSE-header met compacte serialisatie (volg de volgorde van de parameters die we hier gebruiken) en codeer deze vervolgens in basis64url:

    {"alg":"dir","cisco-actie":"add","cisco-kdf":{"salt":"5eZTCAP4M_Y","version":"1"},"enc":"A128GCM"}

    De gecodeerde JOSE-header van de basis64url is eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ9

    Dit is het eerste element van het JWE-bestand.

  6. Het tweede element van het JWE-bestand is leeg, omdat we geen JWE-ruimte coderingssleutel.

  7. Het derde element van de JWE-blob is de initialisatievector NLNd3V9Te68tkpWD.

  8. Gebruik uw JWE-coderingstool om een gecodeerde payload en tag te produceren. In dit voorbeeld wordt de niet-versleutelde payload de valse PEM-blob dit is een PEM-bestand

    De coderingsparameters die u moet gebruiken zijn:

    • Payload is dit is een PEM-bestand

    • Coderingscode is AES 128 GCM

    • De base64url-koptekst van JOSE gecodeerd als Additional Authenticated Data (AAD)

    Base64url codeert de gecodeerde payload, wat moet resulteren in f5lLVuWNfKfmzYCo1YJfODhQ

    Dit is het vierde element (JWE Ciphertext) in het JWE-bestand.

  9. Base64url codeert de tag die u hebt gemaakt in stap 8, wat moet resulteren in PE-wDFWGXFFBeo928cfZ1Q

    Dit is het vijfde element in het JWE-bestand.

  10. De vijf elementen van het JWE- of het JWE- of de stippen samenvoegen met dots (OOK WELDE-header). IV.Ciphertext.Tag) voor het volgende:

    eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

  11. Als u dezelfde base64url-gecodeerde waarden hebt afgeleid als wij hier met behulp van uw eigen tools, bent u klaar om deze te gebruiken om de E2E-codering en de geverifieerde identiteit van uw apparaten te beveiligen.

  12. Dit voorbeeld werkt niet echt, maar binnen de volgende stap zou u het JWE-bericht moeten gebruiken dat u hierboven hebt gemaakt als invoer voor de xcommand op het apparaat waarin het certificaat is toegevoegd:

    xCommand Security Certificates Add eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

Sessietypen voor vergaderingen zonder vertrouwen zijn beschikbaar voor alle vergaderingssites zonder extra kosten. Een van deze sessietypen wordt Pro-End to End Encryption_VOIPonly genoemd. Dit is de naam van de openbare dienst, die we in de toekomst mogelijk zullen veranderen. Zie Sessietype-ID's in het gedeelte Referentie van dit artikel voor de huidige namen van de sessietypen.

U hoeft niets te doen om deze mogelijkheid voor uw site te krijgen. U moet gebruikers wel het nieuwe sessietype (ook wel Meeting Privilege genoemd) toekennen. U kunt dit individueel doen via de configuratiepagina van de gebruiker, of in bulk met een CSV-export/-import.

Het nieuwe sessietype verifiëren
1

Meld u aan bij Control Hub en ga naar Services > Meeting.

2

Klik op Sites, kies de Webex-site waarvoor u de instellingen wilt wijzigen en klik vervolgens op Instellingen.

3

Selecteer onder Algemene instellingende optie Sessietypen.

4
U moet een of meer sessietypen voor end-to-end-codering zien. Raadpleeg de lijst met sessietype-ED's in het gedeelte met referentie van dit artikel. U kunt bijvoorbeeld Pro-end om Encryption_VOIPonly beëindigen tezien.

Er is een ouder sessietype met een zeer vergelijkbare naam: Pro-End to End-codering. Deze sessietype bevat niet-gecodeerde PSTN toegang tot vergaderingen. Zorg ervoor dat u de _Alleen Vo -versie hebt om end-to-end-codering te garanderen. U kunt controleren door met de muis over de PRO -koppeling in de kolom met sessiecode te bewegen. In dit voorbeeld moet het doel van de koppeling javascript:ShowFeature(652) zijn.

We kunnen in de toekomst de namen van openbare diensten voor deze sessietypen wijzigen.

5

Als u de nieuwe versie nog niet sessietype, neem dan contact op met uw Webex-vertegenwoordiger.

De volgende stap

Schakel deze sessietype/vergaderingsrechten in voor bepaalde of al uw gebruikers.

E2EE-vergaderingen inschakelen voor individuele gebruikers
1

Meld u aan bij Control Hub en ga naar Beheer > Gebruikers.

2

Selecteer een gebruikersaccount om bij te werken en selecteer vervolgens Vergaderingen.

3

Selecteer in de vervolgkeuzelijst Instellingen toepassen op de vergaderingssite die u wilt bijwerken.

4

Schakel het selectievakje naast Pro-End to End Encryption_VOIPonly in.

5

Sluit het configuratiescherm van de gebruiker.

6

Herhaal dit indien nodig voor andere gebruikers.

Als u dit aan veel gebruikers wilt toewijzen, gebruikt u de volgende optie E2EE-vergaderingen voor meerdere gebruikers inschakelen.

E2EE-vergaderingen inschakelen voor meerdere gebruikers
1

Meld u aan bij Control Hub en ga naar Services > Meeting.

2

Klik op Sites, kies de Webex-site waarvoor u de instellingen wilt wijzigen.

3

Klik in het gedeelte Licenties en gebruikers op In bulk beheren.

4

Klik op Generate Report (Rapport genereren) en wacht terwijl we het bestand voorbereiden.

5

Wanneer het bestand gereed is, klikt u op Exportresultaten en vervolgens opDownloaden. (U moet dat pop-upvenster handmatig sluiten nadat u op Downloaden hebt geklikt.)

6

Open het gedownloade CSV-bestand om te bewerken.

Er is een rij voor elke gebruiker en de kolom MeetingPrivilege bevat hun sessietype-id's als een door komma's gescheiden lijst.

7

Voor elke gebruiker die u het nieuwe sessietype wilt toekennen, voegt u 1561 toe als nieuwe waarde in de lijst met door komma's gescheiden waarden in de cel MeetingPrivilege .

De Webex CSV-bestandsindelingsreferentie bevat details over het doel en de inhoud van het CSV-bestand.

8

Open het configuratiescherm van de Vergaderingssite in Control Hub.

Als u al op de pagina met de lijst met vergaderingssite's staat, moet u deze mogelijk vernieuwen.

9

Klik in het gedeelte Licenties en gebruikers op In bulk beheren.

10

Klik op Importeren en selecteer het bewerkte CSV-bestand en klik vervolgens op Importeren. Wacht terwijl het bestand wordt geüpload.

11

Wanneer het importeren is voltooid, kunt u klikken op Importeerresultaten om te controleren of er fouten zijn.

12

Ga naar de pagina Gebruikers en open een van de gebruikers om te controleren of de nieuwe versie sessietype.

Een audiowatermerk toevoegen voor beveiliging

U kunt een watermerk toevoegen aan vergaderingsopnamen met het sessietype Webex Meetings Pro-End to End Encryption_VOIPonly , waarmee u de bronclient of het apparaat van onbevoegde opnamen van vertrouwelijke vergaderingen kunt identificeren.

Wanneer deze functie is ingeschakeld, bevat de audio van de vergadering een unieke id voor elke deelnemende client of elk apparaat. U kunt audio-opnamen uploaden naar Control Hub, die vervolgens de opname analyseert en de unieke id's opzoekt. U kunt de resultaten bekijken om te zien welke bronclient of apparaat de vergadering heeft opgenomen.

  • Om te worden geanalyseerd, moet de opname een AAC-, MP3-, M4A-, WAV-, MP4-, AVI- of MOV-bestand zijn dat niet groter is dan 500 MB.
  • De opname moet langer zijn dan 100 seconden.
  • U kunt alleen opnamen analyseren voor vergaderingen die worden gehost door personen in uw organisatie.
  • Watermerk-informatie wordt bewaard voor dezelfde duur als de vergaderingsinformatie van de organisatie.

Audiowatermerken toevoegen aan E2EE-vergaderingen

  1. Meld u aan bij Control Hub en selecteer onder BeheerOrganisatie-instellingen.
  2. Schakel in het gedeelte Watermerken voor vergaderingen de optie Audiowatermerk toevoegen in.

    Nadat dit is ingeschakeld, zien gebruikers die vergaderingen plannen met het sessietype Webex Meetings Pro-End to End Encryption_VOIPonly een optie Digital Watermarking in het gedeelte Beveiliging.

Een watergemarkeerde vergadering uploaden en analyseren

  1. Selecteer in Control Hub onder Bewaking de optie Problemen oplossen.
  2. Klik op Watermarkeringsanalyse.
  3. Zoek of selecteer de vergadering in de lijst en klik vervolgens op Analyseren.
  4. Voer in het venster Audiowatermerk analyseren een naam voor uw analyse in.
  5. (Optioneel) Voer een notitie in voor uw analyse.
  6. Sleep het te analyseren audiobestand en zet het neer of klik op Bestand kiezen om naar het audiobestand te bladeren.
  7. Klik op Sluiten.

    Wanneer de analyse is voltooid, wordt ze weergegeven in de lijst met resultaten op de pagina Watermerk analyseren .

  8. Selecteer de vergadering in de lijst om de resultaten van de analyse weer te geven. Klik op Knop Downloaden om de resultaten te downloaden.

Functies en beperkingen

Factoren die een succesvolle decodering van een opgenomen watermerk omvatten de afstand tussen het opnameapparaat en de luidspreker die de audio uitzet, het volume van die audio, omgevingsgeluid, enz. Onze watermarkeringstechnologie heeft een extra veerkracht om meerdere keren gecodeerd te worden, zoals kan gebeuren wanneer de media worden gedeeld.

Deze functie is ontworpen om succesvolle decodering van de watermerk-id in een brede maar redelijke reeks omstandigheden mogelijk te maken. Ons doel is dat een opnameapparaat, zoals een mobiele telefoon, dat op een bureau ligt in de buurt van een persoonlijk eindpunt of een laptopclient, altijd een opname maakt die resulteert in een succesvolle analyse. Als het opnameapparaat wordt verwijderd van de bron of wordt verduisterd van het horen van het volledige audiospectrum, neemt de kans op een succesvolle analyse af.

Voor een geslaagde analyse van een opname is een redelijke opname van de audio van de vergadering nodig. Als de audio van een vergadering wordt opgenomen op dezelfde computer als die waarop de client wordt gehost, zijn er geen beperkingen van toepassing.

Onboard-apparaten (interne CA)

Als uw apparaten al zijn geïntegreerd in uw Control Hub-organisatie en u de Webex CA wilt gebruiken om hun identificatiecertificaten automatisch te genereren, hoeft u de fabrieksinstellingen van de apparaten niet te herstellen.

Deze procedure selecteert welk domein het apparaat gebruikt om zichzelf te identificeren en is alleen vereist als u meerdere domeinen hebt in uw Control Hub-organisatie. Als u meer dan één domein hebt, raden we u aan dit te doen voor al uw apparaten met een identiteit 'Geverifieerde identiteit van Cisco'. Als u Webex niet vertelt welk domein het apparaat identificeert, wordt er automatisch één gekozen en ziet het er mogelijk verkeerd uit voor andere deelnemers aan de vergadering.

Voordat u begint

Als uw apparaten nog niet zijn geïntegreerd, volgt u Een apparaat bij Cisco Webex registreren via API of lokale webinterface of Cloud onboarding voor Board, Desk en Room-serie. U moet ook de domeinen verifiëren die u wilt gebruiken om de apparaten te identificeren in Uw domeinen beheren.

1

Meld u aan bij Control Hub en selecteer onder BeheerApparaten.

2

Selecteer een apparaat om het configuratiescherm te openen.

3

Selecteer het domein dat u wilt gebruiken om dit apparaat te identificeren.

4

Herhaal dit voor andere apparaten.

Onboard-apparaten (externe CA)

Voordat u begint

  • Ontvang voor elk apparaat een door een certificeringsinstantie ondertekend certificaat en een privésleutel in .pem -indeling.

  • Lees op het tabblad Voorbereiden het onderwerp Het proces van externe identiteit voor apparaten begrijpen,

  • Bereid een JWE-coderingstool voor met betrekking tot de informatie daar.

  • Zorg ervoor dat u een tool hebt om willekeurige byte-sequenties van bepaalde lengtes te genereren.

  • Zorg ervoor dat u een tool hebt om bytes of tekst in te voeren op basis64url.

  • Zorg voor een scrypt -implementatie.

  • Zorg ervoor dat u voor elk apparaat een geheim woord of een geheime zin hebt.

1

Vul het ClientSecret van het apparaat in met een geheim voor platte tekst:

De eerste keer dat u het Geheim invult, geeft u het aan in platte tekst. Daarom raden we aan dit te doen in de fysieke apparaatconsole.

  1. Base64url het geheime zinsdeel voor dit apparaat coderen.

  2. Open het TShell op het apparaat.

  3. Voer xcommand Security ClientSecret Populate Secret uit: "MDEyMzQ1Njc4OWFiY2RlZg"

    Het bovenstaande voorbeeldcommando vult het Geheim in met de zin 0123456789abcdef. U moet uw eigen kiezen.

Het apparaat heeft een initieel geheim. Vergeet dit niet; u kunt het niet herstellen en moet de fabrieksinstellingen herstellen om het apparaat opnieuw te starten.
2

Uw certificaat en privésleutel samenvoegen:

  1. Gebruik een teksteditor om de .pem-bestanden te openen, plak de sleutel in het certificaat en sla het op als een nieuw .pem-bestand.

    Dit is de payloadtekst die u versleutelt en in uw JWE-blob plaatst.

3

Maak een JWE-certificaat om te gebruiken als invoer voor het commando Certificaat toevoegen:

  1. Maak een willekeurige reeks van minimaal 4 bytes. Dit is uw naam.

  2. Afgeleid van een coderingssleutel met uw scrypt-hulpmiddel.

    Hiervoor hebt u het geheim, de gegevens en een keylength nodig die overeenkomen met uw gekozen coderingscode. Er zijn enkele andere vaste waarden om op te geven (N=32768, r=8, p=1). Het apparaat gebruikt hetzelfde proces en dezelfde waarden om dezelfde inhoud afgeleid te coderingssleutel.

  3. Maak een willekeurige reeks van exact 12 bytes. Dit is uw initialisatie vector.

  4. Maak een JOSE-header, met de instellingen alg, enc en cisco-kdf toetsen zoals beschreven in Understanding External Identity Process for Devices. Stel de actie "toevoegen" in met de toets:waarde "cisco-actie":"toevoegen" in uw JOSE-koptekst (omdat we het certificaat toevoegen aan het apparaat).

  5. Base64url decoderen van de JOSE-koptekst.

  6. Gebruik uw JWE-coderingstool met de gekozen versleuteling en de base64url-gecodeerde JOSE-koptekst om de tekst uit het samengestelde pem-bestand te coderen.

  7. Base64url de initialisatie vector, de gecodeerde PEM-payload en de verificatietag coderen.

  8. Bouw de JWE-eer als volgt (alle waarden zijn base64url gecodeerd):

    JOSEHeader..InitVector.EncryptedPEM.AuthTag

4

Open het TShell op het apparaat en voer de opdracht (meerregel) toevoegen uit: 

Services voor xcommand-beveiligingscertificaten toevoegen is gecodeerd: Trouw uw..JWE.str.ing\n .\n
5

Controleer of het certificaat is toegevoegd door xcommand Security Certificates Services Show uit te voeren

Kopieer de vingerafdruk van het nieuwe certificaat.

6

Activeer het certificaat voor het doel WebexIdentity:

  1. Lees de vingerafdruk van het certificaat, hetzij vanuit het certificaat zelf, hetzij vanuit de uitvoer van xcommand Security Certificates Services Show.

  2. Maak een willekeurige reeks van minimaal 4 bytes en codeer die reeks base64url. Dit is uw naam.

  3. Afgeleid van een coderingssleutel met uw scrypt-hulpmiddel.

    Hiervoor hebt u het geheim, de gegevens en een keylength nodig die overeenkomen met uw gekozen coderingscode. Er zijn enkele andere vaste waarden om op te geven (N=32768, r=8, p=1). Het apparaat gebruikt hetzelfde proces en dezelfde waarden om dezelfde inhoud afgeleid te coderingssleutel.

  4. Maak een willekeurige reeks van exact 12 bytes en codeer die reeks base64url. Dit is uw initialisatie vector.

  5. Maak een JOSE-header, met de instellingen alg, enc en cisco-kdf toetsen zoals beschreven in Understanding External Identity Process for Devices. Stel de actie "activeren" in met de toets:waarde "cisco-actie":"activeren" in uw JOSE-koptekst (omdat we het certificaat activeren op het apparaat).

  6. Base64url decoderen van de JOSE-koptekst.

  7. Gebruik uw JWE-coderingstool met de gekozen versleuteling en de base64url-gecodeerde JOSE-koptekst om de vingerafdruk van het certificaat te coderen.

    De tool moet een reeks van 16 of 32 byte uitvoeren, afhankelijk van of u 128-bits AES-GCM hebt gekozen of 256-bits en een verificatietag.

  8. Base64urlencode de gecodeerde vingerafdruk en de verificatietag.

  9. Bouw de JWE-eer als volgt (alle waarden zijn base64url gecodeerd):

    JOSEHeader..InitVector.EncryptedFingerprint.AuthTag

  10. Open het TShell op het apparaat en voer de volgende activeringsopdracht uit:

     xcommand Security Certificates Services activeren doel: WebexIdentity-vingerafdruk: 'Uw..JWE.encrypted.fingerprint'

Het apparaat heeft een gecodeerd, actief, ca-uitgegeven certificaat dat kan worden gebruikt om het te identificeren in end-to-end gecodeerde Webex-vergaderingen.
7

Onboard het apparaat naar uw Control Hub-organisatie.

End-to-end-codering testen met identiteitsverificatie
1

Plan een vergadering van het juiste type (Webex Meetingsend-to-end Encryption_VOIPonly).

Zie Een gesprek Webex Meeting met end-to-end-coderingplannen.

2

Neem als host deel aan de vergadering vanaf een Webex Meetings client.

Zie Deelnemen aan Webex Meeting met end-to-end-codering.

3

Deelnemen aan de vergadering vanaf een apparaat dat is geverifieerd door de Webex CA.

4

Controleer als host of dit apparaat in de lobby wordt weergegeven met het juiste identiteitspictogram.

Zie Deelnemen aan Webex Meeting met end-to-end-codering.

5

Deelnemen aan de vergadering vanaf een apparaat dat is geverifieerd door een externe CA.

6

Controleer als host of dit apparaat in de lobby wordt weergegeven met het juiste identiteitspictogram. Meer informatie over identiteitspictogrammen.

7

Deelnemen aan de vergadering als een niet-nautische deelnemer aan de vergadering.

8

Controleer als host of deze deelnemer in de lobby wordt weergegeven met het juiste identiteitspictogram.

9

Als host kunt u personen/apparaten toelaten of weigeren.

10

Waar mogelijk de deelnemers-/apparaatidentiteiten valideren door de certificaten te controleren.

11

Controleer of iedereen in de vergadering dezelfde beveiligingscode voor de vergadering ziet.

12

Neem deel aan de vergadering met een nieuwe deelnemer.

13

Controleer of iedereen dezelfde nieuwe beveiligingscode voor een vergadering ziet.

Bereik en verwachtingen instellen

  • Gaat u end-to-end gecodeerde vergaderingen instellen als de standaardversleutelingsoptie voor vergaderingen, of wilt u deze alleen voor bepaalde gebruikers inschakelen, of wilt u alle hosts laten beslissen? Wanneer u hebt besloten hoe u deze functie gaat gebruiken, bereidt u de gebruikers voor die deze gaan gebruiken, vooral met betrekking tot de beperkingen en wat er in de vergadering te verwachten is.

  • Moet u ervoor zorgen dat Cisco en niemand anders uw inhoud kan decoderen of zich kan uitgeven voor uw apparaten? In dat certificaat hebt u certificaten van een openbare certificerings- of certificeringsstantie nodig.

  • Als u verschillende niveaus van identiteitsverificatie hebt, stelt u gebruikers in staat om elkaar te verifiëren met een door het certificaat ondersteunde identiteit. Zelfs als er omstandigheden zijn waarin deelnemers als Niet-geverifieerd kunnen worden weergegeven en deelnemers moeten weten hoe ze moeten controleren, zijn onified personen mogelijk geen chatpostors.

Identiteitsbeheer

Als u een externe CA gebruikt om uw apparaatcertificaten uit te geven, staat de e-mail op u om certificaten te controleren, vernieuwen en opnieuw toe te staan.

Als u het aanvankelijke geheim hebt gemaakt, begrijpt u dat uw gebruikers het geheim van hun apparaat kunnen willen wijzigen. Mogelijk moet u een interface maken/een hulpprogramma distribueren om dit mogelijk te maken.

Sessietype-ids
Tabel 1. Sessietype-ID's voor end-to-end gecodeerde vergaderingen

Sessietype-id

Naam openbare service

638

E2E-codering+VoIP

652

Pro-end om EVOIPonlyncryption_te beëindigen

660

Pro 3 gratis end tot einde EVOIPonlyncryption_

E2E-codering + identiteit

672

Pro 3 Free50-End tot einde EVOIPonlyncryption_

673

Opleiding instructeur E2E EVOIPonlyncryption_

676

Broadworks Standard plus end-to-end-codering

677

Broadworks Premium plus end-to-end-codering

681

Een gratis dataologie plus end-to-end-codering

Gerelateerde xAPI-opdrachten

Deze tabellen beschrijven webex-apparaten API-opdrachten die we hebben toegevoegd voor end-to-end gecodeerde vergaderingen en geverifieerde identiteit. Voor meer informatie over het gebruik van de API, zie De API openen Webex Room en bureauapparaten en Webex Boards.

Deze xAPI-opdrachten zijn alleen beschikbaar op apparaten die:

  • Geregistreerd bij Webex

  • Geregistreerd op locatie en gekoppeld aan Webex met Webex Edge voor apparaten

Tabel 2. API's op systeemniveau voor end-to-end gecodeerde vergaderingen en geverifieerde identiteit

API-aanroep

Beschrijving

xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com"

Deze configuratie wordt gemaakt wanneer de beheerder het voorkeursdomein van het apparaat in stelt vanuit Control Hub. Alleen noodzakelijk als de organisatie meer dan één domein heeft.

Het apparaat gebruikt dit domein als er een certificaat wordt gevraagd van de Webex CA. Het domein identificeert vervolgens het apparaat.

Deze configuratie is niet van toepassing wanneer het apparaat een actief, extern uitgegeven certificaat heeft om zichzelf te identificeren.

Beschikbaarheid van endToEndEncryption voor conferentie met xStatus

Geeft aan of het apparaat kan deelnemen aan een end-to-end gecodeerde vergadering. De cloud-API belt deze aan zodat een gekoppelde app weet of het apparaat kan worden gebruikt om deel te nemen.

xStatus conferentie EndToEndEncryption ExternalIdentity verificatie

Geeft aan of het apparaat Externe verificatie gebruikt (heeft een extern uitgegeven certificaat).

xStatus conferentie EndToEndEncryption ExternalIdentity Identity

De identiteit van het apparaat zoals gelezen uit de algemene naam van het extern uitgegeven certificaat.

xStatus Conference EndToEndEncryption ExternalIdentity CertificateChain Certificate # specificinfo

Leest specifieke informatie van een extern uitgegeven certificaat.

Vervang in het afgebeelde commando # door het nummer van het certificaat. Specificinfo vervangen door:

  • Vingerafdruk

  • NotAfter Einddatum geldigheid

  • NotBefore Begindatum geldigheid

  • Primaire naam

  • PublicKeyAlgorithm

  • Serienummer

  • Handtekeningalgoritme

  • Onderwerp # Naam Een lijst van de onderwerpen voor het certificaat (bv. e-mailadres of domeinnaam)

  • Geldigheid Geeft de geldigheidsstatus van dit certificaat (bv. geldig of vervallen)

xStatus Conferentie EndToEndEncryption ExternalIdentity Status

De status van de externe identiteit van het apparaat (bijvoorbeeld geldig of fout).

xStatus conferentie EndToEndEncryption InternalIdentity Verification

Geeft aan of het apparaat een geldig certificaat heeft dat is uitgegeven door de Webex CA.

xStatus conferentie EndToEndEncryption InternalIdentity Identity

De identiteit van het apparaat zoals gelezen vanuit de algemene naam van het Webex-certificaat.

Bevat een domeinnaam als de organisatie een domein heeft.

Is leeg als de organisatie geen domein heeft.

Als het apparaat zich in een organisatie met meerdere domeinen bevindt, is dit de waarde van het PreferredDomain.

xStatus Conference EndToEndEncryption InternalIdentity CertificateChain Certificate # specificinfo

Leest specifieke informatie van het door Webex uitgegeven certificaat.

Vervang in het afgebeelde commando # door het nummer van het certificaat. Specificinfo vervangen door:

  • Vingerafdruk

  • NotAfter Einddatum geldigheid

  • NotBefore Begindatum geldigheid

  • Primaire naam

  • PublicKeyAlgorithm

  • Serienummer

  • Handtekeningalgoritme

  • Onderwerp # Naam Een lijst van de onderwerpen voor het certificaat (bv. e-mailadres of domeinnaam)

  • Geldigheid Geeft de geldigheidsstatus van dit certificaat (bv. geldig of vervallen)

Tabel 3. API's in het gesprek voor end-to-end gecodeerde vergaderingen en geverifieerde identiteit

API-aanroep

Beschrijving

xEvent Conference DeelnemerLijst met deelnemersToegevoegd

xEvent Conference DeelnemerLijst met deelnemersBijgewerkt

xEvent Conference DeelnemerLijst met deelnemersVerwijderd

Deze drie gebeurtenissen omvatten nu EndToEndEncryptionStatus, EndToEndEncryptionIdentity en EndToEndEncryptionCertInfo voor de betrokken deelnemer.

Tabel 4. ClientSecret-gerelateerde API's voor end-to-end gecodeerde vergaderingen en geverifieerde identiteit

API-aanroep

Beschrijving

xCommand Security ClientSecret Vul geheim in: "basis64url-gecodeerd"

of

xCommand Security ClientSecret Vul geheim in: JWEblob

Accepteert een basis64url-gecodeerde waarde voor platte tekst voor het eerste gebruik van het client geheim op het apparaat.

Als u het geheim wilt bijwerken na die eerste keer, moet u een JWE-bestand met het nieuwe geheim dat is gecodeerd met het oude geheim, leveren.

Services xCommand-beveiligingscertificaten toevoegen JWEblob

Hiermee voegt u een certificaat (met privésleutel) toe.

We hebben dit commando uitgebreid om een JWE-bestand te accepteren dat de gecodeerde PEM-gegevens bevat.

Services van xCommand-beveiligingscertificaten activeren doel:WebexIdentity FingerPrint: JWEblob

Activeert een specifiek certificaat voor WebexIdentity. Voor dit Doel vereist de opdracht dat de identificerende vingerafdruk wordt gecodeerd en geserialiseerd in een JWE-blob.

Services van xCommand-beveiligingscertificaten deactiveren doel:WebexIdentity FingerPrint: JWEblob

Deactiveert een specifiek certificaat voor WebexIdentity. Voor dit Doel vereist de opdracht dat de identificerende vingerafdruk wordt gecodeerd en geserialiseerd in een JWE-blob.