Experiência do usuário

Os usuários escolhem o tipo de reunião quando agendam uma reunião. Ao admitir participantes do lobby, bem como durante a reunião, o organizador pode ver o status de verificação de identidade de cada participante. Há também um código de reunião que é comum a todos os participantes atuais na reunião, que eles podem usar para verificar se a reunião não foi interceptada por um terceiro indesejado Meddler No Meio (MITM) ataque.

Compartilhe as seguintes informações com os seus hosts de reunião:

Verificação de identidade com CA interna ou externa

Verificar identidade

A criptografia de ponta a ponta com verificação de identidade fornece segurança adicional para uma reunião criptografada de ponta a ponta.

Quando os participantes ou dispositivos se juntam a um grupo MLS compartilhado (Messaging Layer Security), eles apresentam seus certificados para os outros membros do grupo, que então validam os certificados em relação às autoridades de certificação emissoras (CA). Ao confirmar que os certificados são válidos, a autoridade de certificação verifica a identidade dos participantes e a reunião mostra os participantes/dispositivos conforme verificado.

Os usuários do aplicativo Webex se autenticam em relação ao armazenamento de identidade Webex, o que emite um token de acesso quando a autenticação é bem-sucedida. Se ele precisar de um certificado para verificar a identidade em uma reunião criptografada de ponta a ponta, a CA do Webex emitirá um certificado com base no token de acesso. No momento, não fornecemos uma maneira para que os usuários do Webex Meetings obtenham um certificado emitido por uma CA externa/de terceiros.

Os dispositivos podem se autenticar usando um certificado emitido pela CA interna (Webex) ou um certificado emitido por uma CA externa:

  • CA interna — O Webex emite um certificado interno com base no token de acesso da conta da máquina do dispositivo. O certificado é assinado pela CA Webex. Os dispositivos não têm IDs de usuário da mesma maneira que os usuários têm, portanto, o Webex usa (um dos) domínios da sua organização ao escrever a identidade do certificado do dispositivo (Nome comum (CN)).

  • CA externo — solicite e compre certificados de dispositivo diretamente do emissor escolhido. Você deve criptografar, carregar diretamente e autorizar os certificados usando um segredo conhecido apenas para você.

    A Cisco não está envolvida, o que torna essa a maneira de garantir verdadeira criptografia de ponta a ponta e identidade verificada, e evitar a possibilidade teórica de que a Cisco possa espionar sua reunião/descriptografar sua mídia.

Certificado de dispositivo emitido internamente

O Webex emite um certificado ao dispositivo quando ele se registra após a inicialização e o renova quando necessário. Para dispositivos, o certificado inclui a ID da conta e um domínio.

Se sua organização não tiver um domínio, a CA Webex emite o certificado sem um domínio.

Se sua organização tiver vários domínios, você pode usar o Control Hub para dizer ao Webex qual domínio o dispositivo usar para sua identidade. Você também pode usar o API xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com".

Se você tiver vários domínios e não definir o domínio preferido para o dispositivo, então o Webex escolhe um para você.

Certificado de dispositivo emitido externamente

Um administrador pode provisionr um dispositivo com seu próprio certificado que foi assinado com um dos CAs públicos.

O certificado deve ser baseado em um par de chaves ECDSA P-256, embora possa ser assinado por uma chave RSA.

Os valores no certificado estão de acordo com a discrição da organização. O nome comum (CN) e o nome alternativo do assunto (SAN) serão exibidos na interface do usuário da reunião Webex, conforme descrito em Criptografia de ponta a ponta com verificação de identidade do Webex Meetings .

Recomendamos o uso de um certificado separado por dispositivo e ter um CN exclusivo por dispositivo. Por exemplo, "meeting-room-1.example.com" da organização que possui o domínio "example.com".

Para proteger totalmente o certificado externo contra violações, um recurso segredo do cliente é usado para criptografar e assinar vários xcommands.

Ao usar a senha do cliente, é possível gerenciar com segurança o certificado de identidade Webex externo por meio da xAPI. Isso está atualmente limitado a dispositivos on-line.

Atualmente, o Webex fornece comandos de API para gerenciar isso.

Funcionalidades e limitações

Dispositivos

Os seguintes dispositivos da série Webex Room registrados na nuvem e da série Webex Desk podem entrar em reuniões E2EE:

  • Webex Board

  • Webex Desk Pro

  • Mesa Webex

  • Webex Room Kit

  • Webex Room Kit Mini

Os seguintes dispositivos não podem entrar em reuniões E2EE:

  • Webex Série C

  • Séries Webex DX

  • Webex EX Series

  • Webex MX Series

  • Dispositivos SIP de terceiros

Clientes de software

  • O aplicativo Webex para desktop e clientes móveis pode participar de reuniões E2EE.

  • O cliente da web Webex não pode entrar em reuniões E2EE.

  • Clientes de software SIP de terceiros não podem entrar em reuniões E2EE.

Identidade

  • Por design, não fornecemos opções do Control Hub para que você gerencie a identidade do dispositivo verificada externamente. Para a verdadeira criptografia de ponta a ponta, somente você deve conhecer/acessar os segredos e as chaves. Se introduzimos um serviço em nuvem para gerenciar essas chaves, há uma chance de elas serem interceptadas.

  • Atualmente, fornecemos uma "receita" para que você projete suas próprias ferramentas, com base em técnicas de criptografia padrão da indústria, para ajudar a solicitar ou criptografar os certificados de identidade do seu dispositivo e suas chaves privadas. Nós não queremos ter acesso real ou percebido às suas chaves ou segredos.

Reuniões

  • Atualmente, as reuniões E2EE suportam um máximo de 1000 participantes.

  • Você pode compartilhar novos quadros de comunicações nas reuniões E2EE. Existem algumas diferenças em relação aos quadros de comunicações em reuniões regulares:
    • Nas reuniões E2EE, os usuários não podem acessar quadros de comunicações criados fora da reunião, incluindo quadros de comunicações privados, quadros de comunicações compartilhados por outras pessoas e quadros de comunicações de espaços Webex.
    • Os quadros de comunicações criados nas reuniões E2EE estão disponíveis apenas durante a reunião. Eles não são salvos e não são acessíveis após o término da reunião.
    • Se alguém compartilhar conteúdo em uma reunião E2EE, você poderá anotá-lo. Para obter mais informações sobre anotações, consulte Aplicativo Webex | Marcar conteúdo compartilhado com anotações .

Interface de gerenciamento

É altamente recomendável que você use o Control Hub para gerenciar seu site Meetings, pois as organizações do Control Hub têm identidade centralizada para toda a organização.

Recursos adicionais
Pré-requisitos

  • Webex Meetings 41.7.

  • Dispositivos das séries Webex Room e Webex Desk registrados na nuvem, executando 10.6.1-RoomOS _ A ugust_ 2021 .

  • Acesso administrativo ao site da reunião no Control Hub.

  • Um ou mais domínios verificados na organização do Control Hub (se você estiver usando o Webex CA para emitir certificados de dispositivos para identidade verificada).

  • As salas de reuniões de colaboração devem ser 21 para que as pessoas possam entrar por meio do sistema de vídeo. Para obter mais informações, consulte Permitir que os sistemas de vídeo entrem em reuniões e eventos no site Webex .

Obter certificados de dispositivo

Você pode pular esta etapa se não precisar de identidades verificadas externamente.

Para o mais alto nível de segurança e para verificação de identidade, cada dispositivo deve ter um certificado exclusivo emitido por uma CA (autoridade de certificação) pública confiável.

Você precisa interagir com a CA para solicitar, comprar e receber os certificados digitais e criar as chaves privadas associadas. Ao solicitar o certificado, use estes parâmetros:

  • O certificado deve ser emitido e assinado por uma CA pública bem conhecida.

  • Único: Recomendamos o uso de um certificado exclusivo para cada dispositivo. Se você usar um certificado para todos os dispositivos, você está comprometendo a sua segurança.

  • Nome comum (CN) e Nome alternativo do assunto (SAN/s): Estes não são importantes para o Webex, mas devem ser valores que os humanos podem ler e associar ao dispositivo. O CN será mostrar a outros participantes da reunião como a identidade verificada principal do dispositivo, e se os usuários inspecionam o certificado através da IU da reunião, eles verão a SAN/s. Você pode querer usar nomes como name.model@example.com .

  • Formato do arquivo: Os certificados e as chaves devem estar no formato .pem.

  • Propósito: A finalidade do certificado deve ser Identidade Webex.

  • Gerando chaves: Os certificados devem ser baseados em pares de chaves ECDSA P-256 (Algoritmo de assinatura digital de curvas elípticas usando a curvas P-256).

    Esse requisito não se estende até a chave de assinatura. A CA pode usar uma chave RSA para assinar o certificado.

Prepare-se para integrar dispositivos

Você pode pular esta etapa se não quiser usar a identidade verificada externamente com seus dispositivos.

Se você estiver usando novos dispositivos, ainda não registre-os no Webex. Para estar seguro, não conecte-os à rede neste momento.

Se você tiver dispositivos existentes que deseja atualizar para usar a identidade verificada externamente, deverá redefinir as configurações de fábrica dos dispositivos.

  • Salve a configuração existente se desejar mantê-la.

  • Agende uma janela quando os dispositivos não estão sendo usados ou use uma abordagem faseada. Notifique os usuários sobre as alterações que podem esperar.

  • Garanta acesso físico aos dispositivos. Se você precisa acessar dispositivos pela rede, esteja ciente de que segredos estão viajando em texto simples e você está comprometendo a sua segurança.

Depois de concluir essas etapas, permita que os sistemas de vídeo entrem em reuniões e eventos no site Webex .

Entenda o processo de identidade externa para dispositivos

Para garantir que a mídia do seu dispositivo não possa ser criptografada por ninguém, exceto pelo dispositivo, você deve criptografar a chave privada no dispositivo. Nós projetamos APIs para o dispositivo para permitir o gerenciamento da chave e do certificado criptografados, usando JSON Web Encryption (JWE).

Para garantir a verdadeira criptografia de ponta a ponta através da nossa nuvem, não podemos estar envolvidos na criptografia e no carregamento do certificado e da chave. Se você precisar desse nível de segurança, deverá:

  1. Solicite seus certificados.

  2. Gere os pares de chaves dos seus certificados.

  3. Crie (e proteja) um segredo inicial para cada dispositivo, para criar a capacidade de criptografia do dispositivo.

  4. Desenvolva e mantenha sua própria ferramenta para criptografia de arquivos usando o padrão JWE.

    O processo e os parâmetros (não secretos) que você precisará são explicados abaixo, bem como uma receita para seguir em suas ferramentas de desenvolvimento de escolha. Nós também fornecemos alguns dados de teste e os blocos JWE resultantes conforme esperamos, para ajudá-lo a verificar seu processo.

    Uma implementação de referência não compatível usando Android 3 e a biblioteca JWCrypto está disponível a partir da Cisco, após solicitação.

  5. Concatene e criptografe o certificado e a chave usando sua ferramenta e o segredo inicial do dispositivo.

  6. Carregue o blob JWE resultante para o dispositivo.

  7. De definir a finalidade do certificado criptografado a ser usado para a identidade Webex e ativar o certificado.

  8. (Recomendado) Forneça uma interface para (ou distribua) sua ferramenta para permitir que os usuários de dispositivos alterem o segredo inicial e protejam sua mídia de você.

Como usamos o formato JWE

Esta seção descreve como esperamos que o JWE seja criado como entrada para os dispositivos, para que você possa criar sua própria ferramenta para criar os blocos a partir dos seus certificados e chaves.

Consulte JSON Web Encryption (JWE) https://datatracker.ietf.org/doc/html/rfc7516 e JSON Web Signature (JWS) https://datatracker.ietf.org/doc/html/rfc7515.

Usamos a Serialização Compacta de um documento JSON para criar blobs JWE. Os parâmetros que você precisa incluir ao criar os blobs JWE são:

  • JOSE Header (protegido). No header de Criptografia e Assinatura de Objeto JSON, você DEVE incluir os seguintes pares de valores de chaves:

    • "alg":"dir"

      O algoritmo direto é o único que suportamos para criptografar a carga útil, e você deve usar o segredo inicial do cliente do dispositivo.

    • "enc":"A128GCM" ou "enc":"A256GCM"

      Suportamos estes dois algoritmos de criptografia.

    • "cisco-action": "adicionar" ou "cisco-action": "preencher" ou "cisco-action": "ativar" ou "cisco-action": "desativar"

      Essa é uma chave proprietária e quatro valores que podem ser considerados. Introduzimos essa chave para sinalizar a finalidade dos dados criptografados para o dispositivo de destino. Os valores são nomeados após os comandos xAPI no dispositivo onde você está usando os dados criptografados.

      Nós o nomeamos cisco-action para mitigar potenciais confrontos com futuras extensões JWE.

    • "cisco-kdf": { "versão": "1", "sal": "base64URLEncodedRandom4+Bytes" }

      Outra chave proprietária. Usamos os valores que você fornecer como entradas para a derivação de chave no dispositivo. A versão deve ser 1 (a versão de nossa função de derivação de chave). O valor de salt deve ser uma sequência codificada URL base64 de pelo menos 4 bytes, que você must escolher aleatoriamente.

  • Chave criptografada JWE . Este campo está vazio. O dispositivo deriva-o da inicial ClientSecret .

  • Vetor de inicialização JWE . Você deve fornecer um vetor de inicialização codificado base64url para descriptografar a carga. O IV DEVE ser um valor aleatório de 12 bytes (estamos usando a família de codificação AES-GCM, que requer que o IV seja de 12 bytes de comprimento).

  • JWE AAD (dados autenticados adicionais). Você deve omitir este campo porque ele não é suportado na serialização compacta.

  • JWE Ciphertext : Esta é a carga criptografada que você deseja manter em segredo.

    A carga PODE estar vazia. Por exemplo, para redefinir o segredo do cliente, você precisa substituí-lo com um valor vazio.

    Existem diferentes tipos de carga útil, dependendo do que você está tentando fazer no dispositivo. Os diferentes comandos xAPI esperam diferentes cargas e você deve especificar a finalidade da carga com a tecla cisco-action da seguinte forma:

    • Com "cisco-action":"populate" the ciphertext is the new ClientSecret .

    • Com ""cisco-action":"add" the ciphertext is a PEM blob carrying the certificate and its private key (concatenated).

    • Com ""cisco-action":"ativar" o ciphertext é a impressão digital (representação hexadecimal do sha-1) do certificado que estamos ativando para a verificação de identificação do dispositivo.

    • Com ""cisco-action":"desativar" o texto ciférico é a impressão digital (representação hexadecimal do sha-1) do certificado que estamos desativando de ser usado para verificação da identidade do dispositivo.

  • Tag de autenticação JWE: Este campo contém a tag de autenticação para autenticar a integridade de toda a conta de serialização compacta JWE

Como derivamos a chave de criptografia do ClientSecret

Após a primeira população do segredo, não aceitamos ou saídamos o segredo como texto simples. Isso é para evitar potenciais ataques de dicionário por alguém que poderia acessar o dispositivo.

O software do dispositivo usa o segredo do cliente como uma entrada para uma função de derivação de chave (kdf) e, em seguida, usa a chave derivado para descriptografia/criptografia de conteúdo no dispositivo.

O que isso significa para você é que sua ferramenta para produzir blobs JWE deve seguir o mesmo procedimento para produzir a mesma chave de criptografia/descriptografia do segredo do cliente.

Os dispositivos usam scrypt para derivação de chave (consulte https://en.wikipedia.org/wiki/Scrypt), com os seguintes parâmetros:

  • CustoFactor (N) é 32768

  • BlockSizeFactor (r) é 8

  • ParalelizaçãoFactor (p) é 1

  • O sal é uma sequência aleatória de pelo menos 4 bytes; você deve fornecer este mesmo salt ao especificar o parâmetro cisco-kdf .

  • O comprimento da chave é de 16 bytes (se você selecionar o algoritmo AES-GCM 128) ou 32 bytes (se você selecionar o algoritmo AES-GCM 256)

  • O limite máximo de memória é de 64 MB

Este conjunto de parâmetros é a única configuração de scrypt que é compatível com a função de derivação de chave nos dispositivos. Esse kdf nos dispositivos é chamado "versão":"1", que é a única versão atualmente tomada pelo parâmetro cisco-kdf .

Exemplo trabalhado

Aqui está um exemplo que você pode seguir para verificar se o processo de criptografia JWE funciona do mesmo jeito que o processo criado nos dispositivos.

O cenário de exemplo é adicionar um blob PEM ao dispositivo (simular a adição de um certificado, com uma sequência muito curta em vez de um certificado completo + chave). O segredo do cliente no exemplo é ossifrage .

  1. Escolha uma codificação de criptografia. Este exemplo usa A128GCM (AES com teclas de 128 bits no Modo Contador Galois). Sua ferramenta pode usar A256GCM se você preferir.

  2. Escolha um salt (deve ser uma sequência aleatória de pelo menos 4 bytes). Este exemplo usa (bytes hex) E5 E6 53 08 03 F8 33 F6 . Base64url codifica a sequência para obter 5eZTCAP4M _ Y (remova o preenchimento base64).

  3. Aqui está uma chamada de exemplo scrypt para criar a chave de criptografia de conteúdo (cek):

    cek=scrypt(password="ossifrage", salt=4-byte-sequence, N=32768, r=8, p=1, keylength=16)

    A chave derivado deve ter 16 bytes (hex) como a seguir: 95 9e ba 6d d1 22 01 05 78 fe 6a 9d 22 78 ff ac que base64url codifica para lZ bdEiAQV4 _mqd I nj_r A .

  4. Escolha uma sequência aleatória de 12 bytes para usar como um vetor de inicialização. Este exemplo usa (hex) 34 b3 5d dd 5f 53 7b af 2d 92 95 83 qual base64url codifica para NLNd3V9Te68tkpWD .

  5. Crie o header JOSE com serialização compacta (siga a mesma ordem de parâmetros que usamos aqui) e depois codificar base64url:

    {"alg":"dir","cisco-action":"add","cisco-kdf":{"salt":"5eZTCAP4M _ Y","version":"1"},"enc":"A128GCM"}

    O cabeçalho JOSE codificado pela base64url é eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ9

    Este será o primeiro elemento do bloco JWE.

  6. O segundo elemento do blob JWE está vazio, pois não estamos fornecendo um sistema JWE chave de criptografia.

  7. O terceiro elemento do blob JWE é o vetor de inicialização NLNd3V9Te68tkpWD .

  8. Use sua ferramenta de criptografia JWE para produzir uma carga e uma tag criptografadas. Para este exemplo, a carga não criptografada será o blob PEM falso este é um arquivo PEM

    Os parâmetros de criptografia que você deve usar são:

    • Payload é este é um arquivo PEM

    • A codificação de criptografia é AES 128 GCM

    • O header JOSE codificado em base64url como Dados Autenticados Adicionais (AAD)

    Base64url codifica a carga criptografada, o que deve resultar em f5lLVuWNfKfmzYCo1YJfODhQ

    Este é o quarto elemento (JWE Ciphertext) no bloco JWE.

  9. Base64url codifica a tag que você produziu na etapa 8, o que deve resultar em PE-wDFWGXFFBeo928cfZ1Q

    Este é o quinto elemento no bloco JWE.

  10. Concatenar os cinco elementos do blob JWE com pontos (JOSEheader.. IV.Ciphertext.Tag) para obter:

    eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

  11. Se você derivadou os mesmos valores codificados de base64url como nós mostramos aqui, usando suas próprias ferramentas, você está pronto para usá-las para proteger a criptografia E2E e a identidade verificada de seus dispositivos.

  12. Este exemplo não funcionará, mas, na verdade, sua próxima etapa seria usar o blob JWE que você criou acima como a entrada no xcommand no dispositivo que adiciona o certificado:

    xCommand Certificados de segurança Adicionar eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

Os tipos de sessão para reuniões de confiança zero estão disponíveis para todos os sites de reuniões sem custo adicional. Um desses tipos de sessão é chamado Pro-End to End E ncryption_ VOIPonly . Este é o Nome do Serviço Público , que podemos mudar no futuro. Para os nomes atuais dos tipos de sessão, consulte as IDs do tipo de sessão na seção Referência deste artigo.

Não há nada que você precise fazer para obter esse recurso para o seu site; você precisa conceder o novo tipo de sessão (também chamado Privilégio de Reunião ) aos usuários. Você pode fazer isso individualmente através da página de configuração do usuário ou em massa com uma exportação/importação CSV.

Verificar o novo tipo de sessão
1

Inicie sessão no Control Hub e vá até Serviços > Reunião.

2

Clique em Sites, escolha o site Webex cujas configurações você deseja alterar e clique em Configurações.

3

Em Configurações comuns, selecione Tipos de sessão.

4
Você deve ver um ou mais tipos de sessão de criptografia de ponta a ponta. Consulte a lista de IDs do tipo de sessão na seção Referência deste artigo. Por exemplo, você pode ver Pro-End to End Encryption_VOIPonly.

Existe um nome mais tipo de sessão com um nome muito semelhante: Criptografia de ponta a ponta . Essa tipo de sessão inclui acesso não criptografado PSTN a reuniões. Certifique-se de ter a versão _ VOIPonly para garantir a criptografia de ponta a ponta. Você pode verificar passando o mouse sobre o link PRO na coluna de código da sessão; para este exemplo, o destino do link deve ser javascript:ShowFeature(652).

Podemos alterar os Nomes de serviço público para esses tipos de sessão no futuro.

5

Se você ainda não tiver a nova tipo de sessão, entre em contato com o representante Webex.

O que fazer em seguida

Habilita esta tipo de sessão reunião/privilégios de reunião para alguns ou todos os seus usuários.

Habilitar reuniões E2EE para usuários individuais
1

Inicie sessão no Control Hub e vá para Management > Users .

2

Selecione uma conta de usuário para atualizar e selecione Meetings .

3

No menu suspenso Configurações se aplicam a , selecione o site da reunião para atualizar.

4

Marque a caixa ao lado de Pro-End to End E ncryption_ VOIPonly .

5

Feche o painel de configuração do usuário.

6

Repita para outros usuários, se necessário.

Para atribuir isso a muitos usuários, use a próxima opção, Habilitar reuniões E2EE para vários usuários .

Habilitar reuniões E2EE para vários usuários
1

Inicie sessão no Control Hub e vá até Serviços > Reunião.

2

Clique em Sites , escolha o site Webex para o qual deseja alterar as configurações.

3

Na seção de Licenças e usuários, clique em Gerenciamento em massa.

4

Clique Gerar relatório , e aguarde enquanto preparamos o arquivo.

5

Quando o arquivo estiver pronto, clique em Exportar resultados e baixe . (Você tem que fechar manualmente essa janela pop-up depois de clicar em Download .)

6

Abra o arquivo CSV baixado para edição.

Há uma linha para cada usuário e a coluna MeetingPrivilege contém suas IDs de tipo de sessão como uma lista delimitada por vírgulas.

7

Para cada usuário que você deseja conceder o novo tipo de sessão, adicione 1561 como um novo valor na lista delimitada por vírgulas na célula MeetingPrivilege .

A Referência do formato de arquivo CSV Webex contém detalhes sobre a finalidade e o conteúdo do arquivo CSV.

8

Abra o painel de configuração do site Meeting no Control Hub.

Se você já estiver na página de lista de sites da reunião, talvez seja preciso atualize-a.

9

Na seção de Licenças e usuários, clique em Gerenciamento em massa.

10

Clique em Importar e selecione o CSV editado e, em seguida, clique em Importar. Aguarde enquanto o arquivo é carregado.

11

Quando a importação estiver concluída, você poderá clicar em Importar resultados para revisar se houve algum erro.

12

Vá para a página Usuários e abra um dos usuários para verificar se eles têm a nova tipo de sessão.

Adicionar uma marca d'água de áudio como medida de segurança

Você pode adicionar uma marca d'água às gravações de reuniões com o tipo de sessão Webex Meetings Pro-End to End E ncryption_ VOIPonly , que permite identificar o cliente de origem ou o dispositivo de gravações não autorizadas de reuniões confidenciais.

Quando esse recurso está ativado, o áudio da reunião inclui um identificador exclusivo para cada cliente ou dispositivo participante. Você pode carregar gravações de áudio no Control Hub, que analisa a gravação e procura os identificadores exclusivos. Você pode ver os resultados para ver qual cliente de origem ou dispositivo gravou a reunião.

  • Para ser analisado, a gravação deve ser um arquivo AAC, MP3, M4A, WAV, MP4, AVI ou MOV não maior que 500 MB.
  • A gravação deve ter mais de 100 segundos.
  • Você só pode analisar as gravações de reuniões organizadas por pessoas na sua organização.
  • As informações da marca d'água são mantidas pela mesma duração que as informações da reunião da organização.

Adicionar marcas d'água de áudio às reuniões E2EE

  1. Inicie sessão no Control Hub , em seguida, em Management , selecione Configurações da organização .
  2. Na seção Marcas d'água da reunião , ative Adicionar marca d'água de áudio .

    Algum tempo depois de ativado, os usuários que agendam reuniões com o tipo de sessão Webex Meetings Pro-End to End E ncryption_ VOIPonly verão uma opção Digital Watermarking na seção Segurança.

Carregar e analisar uma reunião com marca d'água

  1. No Control Hub, em Monitoring , selecione Troubleshooting .
  2. Clique em Análise de marca d'água .
  3. Procure ou selecione a reunião na lista e clique em Analisar .
  4. Na janela Analisar marca d'água de áudio , insira um nome para sua análise.
  5. (Opcional) Insira uma nota para sua análise.
  6. Arraste e solte o arquivo de áudio a ser analisado ou clique em Escolher arquivo para navegar até o arquivo de áudio.
  7. Clique em Fechar.

    Quando a análise estiver concluída, ela será mostrada na lista de resultados na página Analisar marca d'água .

  8. Selecione a reunião na lista para ver os resultados da análise. Clique em Botão Baixar para baixar os resultados.

Recursos e limitações

Os fatores envolvidos na decodificação bem-sucedida de uma marca d'água gravada incluem a distância entre o dispositivo de gravação e o alto-falante que emite o áudio, o volume desse áudio, o ruído ambiental, etc. Nossa tecnologia de marca d'água tem resiliência adicional para ser codificado várias vezes, como pode acontecer quando a mídia é compartilhada.

Esse recurso foi projetado para permitir a decodificação bem-sucedida do identificador da marca d'água em um conjunto amplo, mas razoável de circunstâncias. Nosso objetivo é que um dispositivo de gravação, como um telefone celular, que esteja em uma mesa próxima a um terminal pessoal ou cliente de laptop, sempre crie uma gravação que resulte em uma análise bem-sucedida. Como o dispositivo de gravação é movido para longe da fonte ou fica obscuro ao ouvir todo o espectro de áudio, as chances de uma análise bem-sucedida são reduzidas.

Para analisar com êxito uma gravação, é necessária uma captura razoável do áudio da reunião. Se o áudio de uma reunião for gravado no mesmo computador que está hospedando o cliente, as limitações não deverão ser aplicadas.

Dispositivos integrados (CA interna)

Se seus dispositivos já estiverem integrados à organização do Control Hub e você quiser usar a CA do Webex para gerar automaticamente os certificados de identificação, não precisará redefinir as configurações de fábrica dos dispositivos.

Este procedimento seleciona qual domínio o dispositivo usa para se identificar e só é necessário se você tiver vários domínios na organização do Control Hub. Se você tiver mais de um domínio, recomendamos que você faça isso em todos os dispositivos que terão a identidade "Cisco verificada". Se você não informar ao Webex qual domínio identifica o dispositivo, um é escolhido automaticamente e pode parecer errado para outros participantes da reunião.

Antes de começar

Se seus dispositivos ainda não estiverem integrados, siga Registrar um dispositivo no Cisco Webex usando API ou interface da Web local ou integração na nuvem para Board, Desk e Room Series . Você também deve verificar o domínio/s que deseja usar para identificar os dispositivos em Gerenciar seus domínios .

1

Inicie sessão no Control Hub e, em Management , selecione Devices .

2

Selecione um dispositivo para abrir seu painel de configuração.

3

Selecione o domínio que você deseja usar para identificar este dispositivo.

4

Repita para outros dispositivos.

Dispositivos integrados (CA externo)

Antes de começar

  • Obtenha um certificado assinado pela CA e uma chave privada, no formato .pem , para cada dispositivo.

  • Na guia Preparar , leia o tópico Entendendo o Processo de Identidade Externa para Dispositivos ,

  • Prepare uma ferramenta de criptografia JWE com relação às informações lá.

  • Certifique-se de ter uma ferramenta para gerar sequências aleatórias de bytes de determinados comprimentos.

  • Certifique-se de que você tenha uma ferramenta para basear64url codificar bytes ou texto.

  • Certifique-se de ter uma implementação scrypt .

  • Certifique-se de ter uma palavra ou frase secreta para cada dispositivo.

1

Preencha o ClientSecret do dispositivo com um segredo de texto simples:

A primeira vez que você preencher o Secret , você fornecê-lo em texto simples. É por isso que recomendamos fazer isso no console do dispositivo físico.

  1. Base64url codificar a frase secreta para este dispositivo.

  2. Abra o TShell no dispositivo.

  3. Execute xcommand Segurança ClientSecret Preencher segredo: "MDEyMzQ1Njc4OWFiY2RlZg"

    O comando de exemplo acima preenche o Secret com a frase 0123456 789abcdef . Você precisa escolher o seu próprio.

O dispositivo tem seu segredo inicial. Não se esqueça disso; você não pode recuperá-lo e deve redefinir a fábrica do dispositivo para iniciar novamente.
2

Concatenar seu certificado e chave privada:

  1. Usando um editor de texto, abra os arquivos .pem, bloquee a tecla blob do certificado e salve-os como um novo arquivo .pem.

    Este é o texto de carga que você criptografará e colocará em seu blob JWE.

3

Crie um blob JWE para usar como entrada para o comando adicionar certificado:

  1. Crie uma sequência aleatória de pelo menos 4 bytes. Este é o seu salt.

  2. Produza um conteúdo chave de criptografia com a sua ferramenta sscriptografada.

    Para isso, você precisa do segredo, do salt e de uma chave para corresponder com sua codificação de criptografia escolhida. Existem alguns outros valores corrigidos para fornecer (N=32768, r=8, p=1). O dispositivo usa o mesmo processo e valores para derivar o mesmo conteúdo chave de criptografia.

  3. Crie uma sequência aleatória de exatamente 12 bytes. Este é o vetor de inicialização.

  4. Crie um cabeçalho JOSE, definindo alg , enc , e cisco-kdf , conforme descrito em Entendendo o processo de identidade externa para dispositivos . Defina a ação "adicionar" usando a chave:value"cisco-action":"add" no cabeçalho JOSE (porque estamos adicionando o certificado ao dispositivo).

  5. Base64url codificar o header JOSE.

  6. Use a sua ferramenta de criptografia JWE com a cifra escolhida e o header JOSE codificado em base64url para criptografar o texto do arquivo pem concatenado.

  7. Base64url codifica o vetorial de inicialização, a carga útil PEM criptografada e a tag de autenticação.

  8. Construir o blob JWE da seguinte forma (todos os valores são codificados de base64url):

    JOSEHeader..InitVector.EncryptedPEM.AuthTag

4

Abra o TShell no dispositivo e execute o comando adicionar (multiline) : 

xcommand Security Certificates Services Adicionar IsEncrypted: Verdadeiro seu...JWE.str.ing\n .\n
5

Verifique se o certificado foi adicionado executando xcommand Security Certificates Services Show

Copie a impressão digital do novo certificado.

6

Ative o certificado para a finalidade WebexIdentity :

  1. Leia a impressão digital do certificado, seja do próprio certificado ou da saída do xcommand Security Certificates Services Show .

  2. Crie uma sequência aleatória de pelo menos 4 bytes e codificar base64url essa sequência. Este é o seu salt.

  3. Produza um conteúdo chave de criptografia com a sua ferramenta sscriptografada.

    Para isso, você precisa do segredo, do salt e de uma chave para corresponder com sua codificação de criptografia escolhida. Existem alguns outros valores corrigidos para fornecer (N=32768, r=8, p=1). O dispositivo usa o mesmo processo e valores para derivar o mesmo conteúdo chave de criptografia.

  4. Crie uma sequência aleatória de exatamente 12 bytes e codificar base64url essa sequência. Este é o vetor de inicialização.

  5. Crie um cabeçalho JOSE, definindo alg , enc , e cisco-kdf , conforme descrito em Entendendo o processo de identidade externa para dispositivos . Defina a ação "activate" usando a chave:value"cisco-action":"activate" no cabeçalho do JOSE (porque estamos ativando o certificado no dispositivo).

  6. Base64url codificar o header JOSE.

  7. Use a sua ferramenta de criptografia JWE com a codificação escolhida e o header JOSE codificado em base64url para criptografar a impressão digital do certificado.

    A ferramenta deve ter uma sequência de 16 ou 32 byte, dependendo se você escolheu AES-GCM de 128 ou 256 bits e uma tag de autenticação.

  8. Base64urlencode a impressão digital criptografada e a tag de autenticação.

  9. Construir o blob JWE da seguinte forma (todos os valores são codificados de base64url):

    JOSEHeader..InitVector.EncryptedFingerprint.AuthTag

  10. Abra o TShell no dispositivo e execute o seguinte comando de ativação:

     Serviços de certificados de segurança xcommand Ativar propósito: Impressão digital WebexIdentity: "Sua...JWE.encrypted.fingerprint"

O dispositivo tem um certificado criptografado, ativo e emitido pela CA, pronto para ser usado para identificá-lo em reuniões Webex criptografadas de ponta a ponta.
7

A integração do dispositivo à organização do Control Hub.

Teste a criptografia de ponta a ponta com verificação de identidade
1

Agende uma reunião do tipo correto(Webex Meetings Pro-End para Terminar Encryption_VOIPonly).

Consulte Agendar uma Webex Meetings com criptografia de ponta a ponta.

2

Entre na reunião como o anfitrião, de um Webex Meetings diferente.

Consulte Entrar em uma Webex Meetings com a criptografia de ponta a ponta.

3

Entre na reunião a partir de um dispositivo que tenha sua identidade verificada pela CA Webex.

4

Como o host, verifique se este dispositivo aparece no lobby com o ícone de identidade correto.

Consulte Entrar em uma Webex Meetings com a criptografia de ponta a ponta.

5

Entre na reunião de um dispositivo que tenha sua identidade verificada por uma CA externa.

6

Como o host, verifique se este dispositivo aparece no lobby com o ícone de identidade correto. Saiba mais sobre ícones de identidade .

7

Entre na reunião como um participante não autenticado da reunião.

8

Como o anfitrião, verifique se esse participante aparece no lobby com o ícone de identidade correto.

9

Como o anfitrião, admitir ou rejeitar pessoas/dispositivos.

10

Valide as identidades de participante/dispositivo sempre que possível, verificando os certificados.

11

Verifique se todos na reunião veem o mesmo código de segurança da reunião.

12

Entre na reunião com um novo participante.

13

Verifique se todos veem o mesmo, novo código de segurança da reunião.

Definir escopo e expectativas

  • Você vai tornar reuniões criptografadas de ponta a opção de reunião padrão, ou habilita-la apenas para alguns usuários ou permitir que todos os hosts decidam? Quando você decidiu como vai usar esse recurso, prepare os usuários que usarão o recurso, especialmente com relação às limitações e o que esperar da reunião.

  • Você precisa garantir que a Cisco nem qualquer outra pessoa possa descriptografar seu conteúdo ou representar seus dispositivos? Se for o caso, você precisa de certificados de uma CA pública.

  • Se você tiver níveis variados de verificação de identidade, permita que os usuários verifiquem uns aos outros com a identidade apoiada pelo certificado. Mesmo que haja circunstâncias em que os participantes podem aparecer como não verificados, e os participantes devem saber como verificar, pessoas não verificadas podem não ser melhores.

Gerenciamento de identidades

Se você estiver usando uma CA externa para emitir os certificados do seu dispositivo, o onus fica em você para monitorar, atualizar e reaplicar certificados.

Se você criou o segredo inicial, entenda que seus usuários podem querer alterar o segredo de seu dispositivo. Você pode precisar criar uma interface/distribuir uma ferramenta para que elas possam fazer isso.

IDs do tipo de sessão
Tabela 1. IDs do tipo de sessão para reuniões criptografadas de ponta a ponta

ID do tipo de sessão

Nome do Serviço Público

638

Criptografia E2E+VoIP apenas

652

EVOIPonly pro-endncryption_

660

Pro 3 Free-End to End EVOIPonlyncryption_

Criptografia E2E + Identidade

672

Pro 3 Free50- De ponta a ponta e EVOIPonlyncryption_

673

Instrutor de educação E2E EVOIPonlyncryption_

676

Broadworks Standard mais criptografia de ponta a ponta

677

Broadworks Premium além de criptografia de ponta a ponta

681

Schoology Free além de criptografia de ponta a ponta

Comandos xAPI relacionados

Estas tabelas descrevem os comandos da API de dispositivos Webex que adicionamos para reuniões criptografadas de ponta a ponta e identidade verificada. Para obter mais informações sobre como usar a API, consulte o API para dispositivos de Webex Room e de mesa e Webex Boards.

Esses comandos xAPI estão disponíveis apenas em dispositivos que estão:

  • Registrado no Webex

  • Registrado no local e vinculado ao Webex com o Webex Edge para dispositivos

Tabela 2. APIs de nível do sistema para reuniões criptografadas de ponta a ponta e identidade verificada

Chamada API

Descrição

xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com"

Essa configuração é feita quando o administrador define o domínio preferido do dispositivo a partir do Control Hub. Necessário apenas se a organização tiver mais de um domínio.

O dispositivo usa este domínio quando ele solicita um certificado da CA Webex. O domínio então identifica o dispositivo.

Essa configuração não é aplicável quando o dispositivo possui um certificado ativo emitido externamente para se identificar.

Disponibilidade do xStatus Conference EndToEndEncryption

Indica se o dispositivo pode entrar em uma reunião criptografada de ponta a ponta. A API em nuvem liga para que um aplicativo emparelhado saiba se pode usar o dispositivo para entrar.

Verificação de identidade externa do xStatus Conference EndToEndEncryption

Indica se o dispositivo usa verificação externa (tem um certificado emitido externamente).

Identidade de identidade externa do xStatus Conference EndToEndEncryption

A identidade do dispositivo como lida do Nome comum do certificado emitido externamente.

xStatus Conference EndToEndEncryption ExternalIdentity CertificateChain Certificate # Specificinfo

Lê informações específicas de um certificado emitido externamente.

No comando mostrado, substitua # pelo número do certificado. Substitua Specificinfo por um dos seguintes:

  • Impressão digital

  • NotAfter Data de término da validade

  • NotBefore Data de início da validade

  • Nome do Primary

  • Algoritmo PublicKeyAlgorithm

  • SerialNumber

  • Algoritmo de assinatura

  • Assunto # Nome Uma lista dos assuntos do certificado (por exemplo, endereço de e-mail ou nome de domínio)

  • Validade Fornece o status de validade deste certificado (por exemplo. valid ou expired )

Status da conferência xStatus da criptografia de extensão do xStatus de identidade externa

O status da identidade externa do dispositivo (por exemplo, valid ou error ).

Verificação do xStatus Conference EndToEndEncryption InternalIdentity

Indica se o dispositivo tem um certificado válido emitido pela CA Webex.

xStatus Conference EndToEndEncryption Identidade interna

A identidade do dispositivo como lida do Nome comum do certificado emitido pelo Webex.

Contém um nome de domínio se a organização tiver um domínio.

Fica vazio se a organização não tiver um domínio.

Se o dispositivo estiver em uma organização com vários domínios, esse será o valor de PreferredDomain .

xStatus Conference EndToEndEncryption InternalIdentity CertificateChain Certificate # Specificinfo

Lê informações específicas do certificado emitido pelo Webex.

No comando mostrado, substitua # pelo número do certificado. Substitua Specificinfo por um dos seguintes:

  • Impressão digital

  • NotAfter Data de término da validade

  • NotBefore Data de início da validade

  • Nome do Primary

  • Algoritmo PublicKeyAlgorithm

  • SerialNumber

  • Algoritmo de assinatura

  • Assunto # Nome Uma lista dos assuntos do certificado (por exemplo, endereço de e-mail ou nome de domínio)

  • Validade Fornece o status de validade deste certificado (por exemplo. valid ou expired )

Tabela 3. APIs de chamada para reuniões criptografadas de ponta a ponta e identidade verificada

Chamada API

Descrição

xEvent Conference ParticipantList ParticipantAdicionado

xEvent Conference ParticipantList ParticipantAtualizado

xEvent Conference ParticipantList ParticipantDeleted

Esses três eventos agora incluem EndToEndEncryptionStatus , EndToEndEncryptionIdentity , e EndToEndEndEncryptionCertInfo para o participante afetado.

Tabela 4. ClientSecret relacionada a APIs para reuniões criptografadas de ponta a ponta e identidade verificada

Chamada API

Descrição

xCommand Security ClientSecret Preencher segredo: "base64url-codificado"

ou

Segurança xCommand ClientSecret Preencher segredo: JWEblob

Aceita um valor de texto sem codificação base64url para codificar o segredo do cliente no dispositivo pela primeira vez.

Para atualizar o segredo depois dessa primeira vez, você deve fornecer um blob JWE contendo o novo segredo criptografado pelo antigo segredo.

xCommand Security Certificats Services Adicionar JWEblob

Adiciona um certificado (com chave privada).

Prorrogamos este comando para aceitar um blob JWE contendo os dados PEM criptografados.

Os serviços de certificados de segurança xCommand ativam o propósito: impressão digital da identidade WebexIdentity: JWEblob

Ativa um certificado específico para WebexIdentity. Para este Propósito , o comando requer que a impressão digital de identificação seja criptografada e serializada em um blob JWE.

Os serviços de certificados de segurança xCommand desativam o propósito: impressão digital da identidade WebexIdentity: JWEblob

Desativa um certificado específico para a Identidade Webex. Para este Propósito , o comando requer que a impressão digital de identificação seja criptografada e serializada em um blob JWE.