Возможности для пользователей

При планировании совещания пользователи выбирают тип совещания. При допуске участников из холла, а также во время совещания организатор может видеть состояние проверки удостоверений каждого участника. Существует также код совещания, который является общим для всех текущих участников совещания, который можно использовать для проверки того, что их совещание не было перехвачено нежелательной сторонней компанией Meddler В Середине (MITM) атаки.

Предоставьте организаторам совещаний следующую информацию:

Проверка идентификации с внутренним или внешним ЦС

Проверка идентификации

Сквозное шифрование с проверкой удостоверений обеспечивает дополнительную безопасность совещания со сквозным шифрованием.

Когда участники или устройства присоединяются к общей группе MLS (Messaging Layer Security), они представляют свои сертификаты другим участникам группы, которые затем проверяют сертификаты в выдающих центрах сертификации (ЦС). Подтвердив, что сертификаты действительны, ЦС проверяет идентификационные данные участников, а на совещании участники/устройства отображаются как проверенные.

Пользователи приложения Webex проходят аутентификацию в хранилище удостоверений Webex, в результате чего они получат маркер доступа при успешной аутентификации. Если им необходим сертификат для проверки их удостоверений на совещании со сквозным шифрованием, ЦС Webex выдает им сертификат на основе их маркера доступа. В настоящее время мы не предоставляем пользователям Webex Meetings способ получения сертификата, выданного сторонним/внешним ЦС.

Устройства могут самостоятельно аутентифицироваться с помощью сертификата, выданного внутренним ЦС (Webex), или сертификата, выданного внешним ЦС:

  • Внутренний ЦС. Webex выдает внутренний сертификат на основе маркера доступа учетной записи компьютера устройства. Сертификат подписан ЦС Webex. У устройств нет идентификаторов пользователей так же, как у пользователей, поэтому Webex использует (один из) доменов вашей организации при написании удостоверений сертификата устройства (общее имя (CN)).

  • Внешний ЦС — запрос и покупка сертификатов устройства непосредственно у выбранного издателя. Сертификаты необходимо шифровать, напрямую загружать и авторизовать с помощью секретного кода, известного только вам.

    Компания Cisco не участвует, что позволяет гарантировать действительное сквозное шифрование и проверенную идентификацию, а также предотвратить теоретическую возможность того, что компания Cisco может прослушивать ваше совещание или расшифровать ваши мультимедиа.

Внутренний сертификат устройства

Webex выдает сертификат устройству при регистрации после запуска и при необходимости обновляет его. Для устройств сертификат включает идентификатор учетной записи и домен.

Если у вашей организации нет домена, ЦС Webex выдает сертификат без домена.

Если у вашей организации несколько доменов, можно использовать Control Hub, чтобы сообщить Webex, какой домен устройство использовать для идентификации. Также можно использовать API xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com".

Если у вас несколько доменов и предпочтительный домен для устройства не задан, Webex выберет его для вас.

Сертификат устройства, выданный внешним способом

Администратор может подготовить устройство с собственным сертификатом, подписанным одним из общедоступных ЦС.

Сертификат должен быть основан на паре ключей ECDSA P-256, хотя он может быть подписан ключом RSA.

Значения в сертификате находятся по усмотрению организации. Общее имя (CN) и альтернативное имя субъекта (SAN) будут отображаться в пользовательском интерфейсе совещаний Webex, как описано в статье Сквозное шифрование с проверкой удостоверений для Webex Meetings.

Рекомендуется использовать отдельный сертификат для каждого устройства и иметь уникальное CN для каждого устройства. Например, meeting-room-1.example.com для организации, которая владеет доменом example.com.

Для полной защиты внешнего сертификата от взлома используется секретная функция клиента для шифрования и подписи различных xcommands.

При использовании секретного кода клиента можно безопасно управлять внешним сертификатом удостоверения Webex с помощью xAPI. В настоящий момент это ограничение ограничено онлайн-устройствами.

В настоящее время Webex предоставляет команды API для управления этой функцией.

Функции и ограничения

Устройства

К совещаниям E2EE могут присоединяться следующие зарегистрированные в облаке устройства серии Webex Room и Webex Desk.

  • Доска Webex

  • Webex Desk Pro

  • Настольное устройство Webex

  • Комплект для Webex Room

  • Комплект Webex Room Kit Mini

Следующие устройства не могут присоединяться к совещаниям E2EE:

  • Серия Webex C

  • Серия Webex DX

  • Серия Webex EX

  • Серия Webex MX

  • Сторонние устройства SIP

Программные клиенты

  • Приложение Webex для настольных и мобильных клиентов может присоединяться к совещаниям E2EE.

  • Веб-клиент Webex не может присоединяться к совещаниям E2EE.

  • Сторонние программные клиенты SIP не могут присоединяться к совещаниям E2EE.

Идентификационные данные

  • По дизайну параметры Control Hub не предоставляются для управления идентификацией устройства с внешней проверкой. Для истинного сквозного шифрования только вы должны знать секреты и ключи и получить доступ к ним. Если для управления этими ключами введена облачная служба, они могут быть перехвачены.

  • В настоящее время мы предоставляем "рецепт" для разработки собственных инструментов, основанных на стандартных в отрасли методах шифрования, чтобы помочь в запросе или шифровании сертификатов удостоверений устройства и их закрытых ключей. Мы не хотим иметь реальный или предполагаемый доступ к вашим секретам или ключам.

Совещания

  • В настоящее время совещания E2EE поддерживают не более 1000 участников.

  • На совещаниях E2EE можно предоставлять совместный доступ к новым виртуальным доскам. В обычных совещаниях есть некоторые отличия от виртуальных досок.
    • На совещаниях E2EE пользователи не могут получить доступ к виртуальным доскам, созданным вне совещания, в том числе к личным виртуальным доскам, виртуальным доскам, к которым предоставлен совместный доступ другими пользователями, а также к виртуальным доскам из пространств Webex.
    • Виртуальные доски, созданные во время совещаний E2EE, доступны только во время совещания. Они не сохраняются и недоступны после завершения совещания.
    • Если кто-либо предоставляет совместный доступ к контенту на совещании E2EE, его можно аннотировать. Дополнительную информацию об аннотировании см. в статье Приложение Webex | Пометки контента в совместном доступе с аннотациями.

Интерфейс управления

Настоятельно рекомендуется использовать Control Hub для управления веб-сайтом Meetings, поскольку организации Control Hub имеют централизованную идентификацию для всей организации.

Дополнительные материалы
Предварительные условия

  • Webex Meetings 41.7.

  • Зарегистрированные в облаке устройства серии Webex Room и Webex Desk, запущенные 10.6.1-RoomOS_August_2021.

  • Административный доступ к веб-сайту совещаний в Control Hub.

  • Один или несколько подтвержденных доменов в вашей организации Control Hub (если ЦС Webex используется для выдачи сертификатов устройств для проверки идентификации).

  • Чтобы пользователи могли присоединиться с помощью видеосистемы, необходимо включить функцию совместных комнат совещаний. Дополнительную информацию см. в статье Разрешение видеосистемам присоединяться к совещаниям и event-совещаниям на веб-сайте Webex.

Получение сертификатов устройств

Этот шаг можно пропустить, если не требуются внешние удостоверения.

Для обеспечения наивысшего уровня безопасности и проверки удостоверений каждое устройство должно иметь уникальный сертификат, выданный доверенным общедоступным центром сертификации (ЦС).

Для запроса, приобретения и получения цифровых сертификатов и создания связанных с ними закрытых ключей необходимо взаимодействовать с ЦС. При запросе сертификата используйте следующие параметры:

  • Сертификат должен быть выдан и подписан известным общедоступным ЦС.

  • Уникальный: Настоятельно рекомендуется использовать уникальный сертификат для каждого устройства. Использование одного сертификата для всех устройств ставит под угрозу вашу безопасность.

  • Общее имя (CN) и альтернативное имя субъекта (SAN): Они не важны для Webex, но должны быть значениями, которые люди могут читать и связывать с устройством. CN будет отображаться другим участникам совещания в качестве основного проверенного идентификатора устройства. Если пользователи будут проверять сертификат с помощью пользовательского интерфейса совещания, они будут видеть SAN или SAN. Может понадобиться использовать такие имена, как name.model@example.com.

  • Формат файла: Сертификаты и ключи должны быть в .pem формате.

  • Цель: Целью сертификата должно быть удостоверение Webex.

  • Создание ключей: Сертификаты должны основываться на парах ключей ECDSA P-256 (алгоритм цифровой подписи на эллиптической кривой с использованием кривой P-256).

    Это требование не распространяется на ключ подписи. ЦС может использовать ключ RSA для подписи сертификата.

Подготовка к подключению устройств

Этот шаг можно пропустить, если вы не хотите использовать внешнюю проверку идентификации для ваших устройств.

При использовании новых устройств еще не регистрируйте их в Webex. Для обеспечения безопасности не подключайте их к сети в данный момент.

Если у вас есть существующие устройства, которые необходимо модернизировать для использования внешних удостоверений, необходимо выполнить сброс устройств до заводских настроек.

  • Сохраните существующую конфигурацию, если вы хотите сохранить ее.

  • Запланируйте окно, когда устройства не используются, или используйте поэтапный подход. Уведомьте пользователей об ожидаемых изменениях.

  • Обеспечить физический доступ к устройствам. Если вам необходимо получить доступ к устройствам по сети, помните, что секреты передаются в обычном тексте и вы ставите под угрозу свою безопасность.

После выполнения этих действий разрешите видеосистемам присоединяться к совещаниям и event-совещаниям на веб-сайте Webex.

Понимание процесса внешней идентификации для устройств

Чтобы убедиться, что мультимедиа устройства не может быть зашифровано кем-либо, кроме устройства, необходимо зашифровать закрытый ключ на устройстве. Мы разработали API для устройства, чтобы включить управление зашифрованным ключом и сертификатом с помощью веб-шифрования JSON (JWE).

Чтобы обеспечить действительное сквозное шифрование в облаке, мы не можем участвовать в шифровании и загрузке сертификата и ключа. Если вам необходим этот уровень безопасности, вам необходимо:

  1. Запросите сертификаты.

  2. Создайте пары ключей ваших сертификатов.

  3. Создайте (и защитите) исходный секретный код для каждого устройства, чтобы создать возможности шифрования устройства.

  4. Разработайте и поддерживайте собственный инструмент шифрования файлов с помощью стандарта JWE.

    Процесс и (несекретные) параметры, которые вам понадобятся, описаны ниже, а также рецепт, который следует использовать в ваших инструментах разработки по своему выбору. Мы также предоставляем некоторые тестовые данные и полученные двоичные объекты JWE, как ожидается, чтобы помочь вам проверить процесс.

    Неподдерживаемая эталонная реализация с использованием Python3 и библиотеки JWCrypto доступна от Cisco по запросу.

  5. Объедините сертификат и ключ в цепочку и зашифруйте его с помощью инструмента и исходного секретного кода устройства.

  6. Загрузите полученный двоичный объект JWE на устройство.

  7. Задайте назначение зашифрованного сертификата, который будет использоваться для удостоверений Webex, и активируйте сертификат.

  8. (Рекомендуется) Предоставьте интерфейс к инструменту (или распределите его), чтобы пользователи устройства могли изменить исходный секретный код и защитить от вас свои мультимедиа.

Использование формата JWE

В этом разделе описывается, как мы ожидаем создания JWE в качестве входных данных для устройств, чтобы вы могли создать собственный инструмент для создания двоичных объектов из сертификатов и ключей.

См. статьи Веб-шифрование JSON (JWE) https://datatracker.ietf.org/doc/html/rfc7516 и Веб-подпись JSON (JWS) https://datatracker.ietf.org/doc/html/rfc7515.

Для создания двоичных объектов JWE используется компактная сериализация документа JSON. Параметры, которые необходимо включить при создании двоичных объектов JWE:

  • Заголовок JOSE (защищенный). В заголовке "Подпись и шифрование объекта JSON" НЕОБХОДИМО включить следующие пары ключ-значение:

    • "alg":"dir"

      Для шифрования полезной нагрузки поддерживается только прямой алгоритм. Необходимо использовать исходный секретный код клиента устройства.

    • "enc":"A128GCM" или "enc":"A256GCM"

      Мы поддерживаем два алгоритма шифрования.

    • "cisco-action": "add" или "cisco-action": "populate" или "cisco-action": "activate" или "cisco-action": "deactivate"

      Это проприетарный ключ и четыре значения, которые он может принимать. Мы ввели этот ключ для сигнализации назначения зашифрованных данных целевому устройству. Значения называются в соответствии с командами xAPI на устройстве, на котором используются зашифрованные данные.

      Мы назвали его cisco-action для смягчения потенциальных столкновений с будущими добавочными номерами JWE.

    • "cisco-kdf": { "version": "1", "salt": "base64URLEncodedRandom4+Bytes" }

      Другой закрытый ключ. Мы используем значения, которые вы предоставляете в качестве входных данных для формирования ключей на устройстве. version Должен быть 1 (версия нашей функции формирования ключа). Значение salt должно быть последовательностью в кодировке base64, содержащей не менее 4 байт, которую необходимо выбрать случайным образом.

  • Ключ шифрования JWE. Это поле пустое. Устройство извлекает его из исходного ClientSecret.

  • Вектор инициализации JWE. Для расшифровки полезной нагрузки необходимо предоставить вектор инициализации с кодированием base64url. Значение IV ДОЛЖНО быть случайным значением в 12 байтах (мы используем семейство шифров AES-GCM, для которого требуется длина IV в 12 байтах).

  • JWE AAD (дополнительные аутентифицированные данные). Необходимо пропустить это поле, поскольку оно не поддерживается в компактной сериализации.

  • Шифротекст JWE. Это зашифрованная полезная нагрузка, которую необходимо сохранить в секрете.

    Полезная нагрузка МОЖЕТ быть пустой. Например, чтобы сбросить секретный код клиента, необходимо перезаписать его пустым значением.

    Существуют различные типы полезной нагрузки в зависимости от того, что вы пытаетесь сделать на устройстве. Различные команды xAPI ожидают разные полезные нагрузки. Необходимо указать назначение полезной нагрузки с помощью cisco-action ключа, как показано ниже.

    • Шифротекст "cisco-action":"populate" является новым ClientSecret.

    • С ""cisco-action":"add" шифротекст представляет собой двоичный объект PEM, несущий сертификат и его закрытый ключ (сгруппированный).

    • С помощью ""cisco-action":"activate" шифротекст представляет собой отпечаток пальца (шестнадцатеричное представление sha-1) сертификата, который активируется для проверки идентификации устройства.

    • С помощью ""cisco-action":"deactivate" шифротекст представляет собой отпечаток пальца (шестнадцатеричное представление sha-1) сертификата, который мы деактивируем и который используется для проверки идентификации устройства.

  • Тег аутентификации JWE: Это поле содержит тег аутентификации для проверки целостности всего компактно сериализованного двоичного объекта JWE

Как мы получаем ключ шифрования из ClientSecret

После первого заполнения секрета мы не принимаем и не выводим секретный код как обычный текст. Это необходимо для предотвращения возможных словарных атак со стороны пользователя, который может получить доступ к устройству.

Программное обеспечение устройства использует секретный код клиента в качестве входного сигнала для функции формирования ключа (kdf), а затем использует полученный ключ для расшифровки и шифрования контента на устройстве.

Это означает, что инструмент для создания двоичных объектов JWE должен следовать той же процедуре, чтобы получить тот же ключ шифрования/дешифрования из секретного кода клиента.

Устройства используют scrypt для формирования ключей (см. https://en.wikipedia.org/wiki/Scrypt) со следующими параметрами:

  • CostFactor (N) — 32768

  • BlockSizeFactor (r) — 8

  • Коэффициент параллелизации (p) — 1

  • Соль — это случайная последовательность, состоящая не менее чем из 4 байт; она должна быть указана salt при указании cisco-kdf параметра.

  • Длина ключа составляет 16 байт (при выборе алгоритма AES-GCM 128) или 32 байта (при выборе алгоритма AES-GCM 256)

  • Максимальный объем памяти: 64 МБ

Этот набор параметров является единственной конфигурацией scrypt , которая совместима с функцией формирования ключей на устройствах. Этот kdf на устройствах называется "version":"1". Это единственная версия, используемая в данный момент параметром cisco-kdf .

Рабочий пример

Ниже приведен пример, который можно использовать для проверки того, что процесс шифрования JWE работает так же, как и процесс, созданный на устройствах.

Пример сценария заключается в добавлении двоичного объекта PEM на устройство (имитирует добавление сертификата с очень короткой строкой вместо полного сертификата + ключа). Секретный код клиента в примере: ossifrage.

  1. Выберите шифр шифрования. В этом примере используется A128GCM (AES с 128-битными ключами в режиме счетчика Галуа). Инструмент может использовать A256GCM при необходимости.

  2. Выберите соль (должна быть случайной последовательностью не менее 4 байт). В этом примере используется (шестнадцатеричные байты)E5 E6 53 08 03 F8 33 F6. Закодируйте последовательность в Base64url, чтобы получить 5eZTCAP4M_Y (удалите отступ base64).

  3. Ниже приведен пример scrypt вызова для создания ключа шифрования контента (cek).

    cek=scrypt(password="ossifrage", salt=4-byte-sequence, N=32768, r=8, p=1, keylength=16)

    Полученный ключ должен составлять 16 байт (в шестнадцатеричном формате), как показано ниже.95 9e ba 6d d1 22 01 05 78 fe 6a 9d 22 78 ff ac , который кодирует base64url в lZ66bdEiAQV4_mqdInj_rA.

  4. Выберите случайную последовательность из 12 байт для использования в качестве вектора инициализации. В этом примере используется (в шестнадцатеричном формате) 34 b3 5d dd 5f 53 7b af 2d 92 95 83 который кодирует base64url с NLNd3V9Te68tkpWD.

  5. Создайте заголовок JOSE с компактной сериализацией (следуйте тому же порядку параметров, которые мы используем здесь) и затем закодируйте его в base64url:

    {"alg":"dir","cisco-action":"add","cisco-kdf":{"salt":"5eZTCAP4M_Y","version":"1"},"enc":"A128GCM"}

    Заголовок JOSE в кодировке base64url: eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ9

    Это будет первый элемент двоичного объекта JWE.

  6. Второй элемент двоичного объекта JWE пуст, поскольку мы не предоставляем ключ шифрования JWE.

  7. Третьим элементом двоичного объекта JWE является вектор инициализации NLNd3V9Te68tkpWD.

  8. Используйте инструмент шифрования JWE для создания зашифрованной полезной нагрузки и тега. В этом примере незашифрованная полезная нагрузка будет поддельным двоичным объектом PEM this is a PEM file

    Необходимо использовать следующие параметры шифрования:

    • Полезная нагрузка this is a PEM file

    • Шифр AES 128 GCM

    • Заголовок JOSE в кодировке base64url в качестве дополнительных аутентифицированных данных (AAD)

    Base64url кодирует зашифрованную полезную нагрузку, что должно привести к f5lLVuWNfKfmzYCo1YJfODhQ

    Это четвертый элемент (шифротекст JWE) в двоичном объекте JWE.

  9. В Base64url закодируйте тег, созданный в шаге 8, который должен привести к PE-wDFWGXFFBeo928cfZ1Q

    Это пятый элемент двоичного объекта JWE.

  10. Объедините пять элементов двоичного объекта JWE в цепочку с точками (JOSEheader..IV.Ciphertext.Tag), чтобы получить:

    eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

  11. Если вы получили те же кодированные значения base64url, что и мы здесь, с помощью собственных инструментов, вы будете готовы использовать их для защиты шифрования E2E и проверки идентификации ваших устройств.

  12. Этот пример на самом деле не сработает, но в принципе следующим шагом будет использование созданного выше двоичного объекта JWE в качестве входных данных xcommand на устройстве, которое добавляет сертификат:

    xCommand Security Certificates Add eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

Типы сеансов для совещаний с нулевым уровнем доверия доступны для всех веб-сайтов совещаний без дополнительной оплаты. Один из этих типов сеанса называется Pro-End to End Encryption_VOIPonly. Это название общедоступной службы, которое мы можем изменить в будущем. Текущие имена типов сеанса см. в разделе Идентификаторы типов сеанса в разделе Справка этой статьи.

Для получения этой возможности на вашем веб-сайте ничего не требуется. Необходимо предоставить пользователям новый тип сеанса (также называемый Права для совещания). Это можно сделать в индивидуальном порядке на странице конфигурации пользователя или в массовом режиме посредством экспорта или импорта файла CSV.

Проверка нового типа сеанса
1

Войдите в Control Hub и перейдите к меню Службы > Совещание.

2

Щелкните Веб-сайты, выберите веб-сайт Webex, для которого необходимо изменить настройки, затем щелкните Настройки.

3

В разделе Общие настройки выберите Типы сеанса.

Должен отображаться один или несколько типов сеанса сквозного шифрования. См. список идентификаторов типов сеанса в разделе Справка этой статьи. Например, может отображаться Pro-End to End Encryption_VOIPonly.

Существует более старый тип сеанса с очень похожим названием: Pro-End to End Encryption. Этот тип сеанса включает незашифрованный доступ PSTN к совещаниям. Для сквозного шифрования убедитесь, что у вас установлена версия _VOIPonly . Чтобы проверить это, наведите указатель мыши на ссылку PRO в столбце кода сеанса. В этом примере целевым объектом ссылки должно быть javascript:ShowFeature(652).

Названия общедоступных служб для этих типов сеансов в будущем можно изменить.

4

Если у вас еще нет нового типа сеанса, обратитесь к представителю Webex.

Дальнейшие действия

Включите этот тип сеанса или права на совещание для некоторых или всех пользователей.

Включить совещания E2EE для отдельных пользователей
1

Войдите в Control Hub и перейдите к меню Управление > Пользователи.

2

Выберите учетную запись пользователя, которую необходимо обновить, затем нажмите Совещания.

3

В раскрывающемся списке Настройки применяются к выберите веб-сайт совещания, который необходимо обновить.

4

Установите флажок Pro-End to End Encryption_VOIPonly.

5

Закройте панель конфигурации пользователя.

6

При необходимости повторите эту процедуру для других пользователей.

Чтобы назначить этот параметр многим пользователям, воспользуйтесь следующим параметром: Включить совещания E2EE для нескольких пользователей.

Включение совещаний E2EE для нескольких пользователей
1

Войдите в Control Hub и перейдите к меню Службы > Совещание.

2

Щелкните Веб-сайты и выберите веб-сайт Webex, для которого необходимо изменить настройки.

3

В разделе Лицензии и пользователи щелкните Массовое управление.

4

Щелкните Создать отчет и дождитесь подготовки файла.

5

Когда файл будет готов, щелкните Экспорт результатов , а затем Скачать. (Это всплывающее окно необходимо закрыть вручную после нажатия кнопки Скачать.)

6

Откройте скачанный файл CSV для редактирования.

Для каждого пользователя предусмотрена строка. MeetingPrivilege Столбец содержит идентификаторы типов сеанса в виде списка с разделителями-запятыми.

7

Для каждого пользователя, которому необходимо предоставить новый тип сеанса, добавьте 1561 в качестве нового значения в список с разделителями-запятыми в MeetingPrivilege ячейке.

Справка по формату файлов CSV Webex содержит сведения о назначении и содержании файла CSV.

8

Откройте панель конфигурации веб-сайта совещания в Control Hub.

Если вы уже были на странице со списком веб-сайтов совещаний, может потребоваться обновить страницу.

9

В разделе Лицензии и пользователи щелкните Массовое управление.

10

Щелкните Импорт и выберите отредактированный файл CSV, затем щелкните Импорт. Дождитесь загрузки файла.

11

По завершении импорта можно щелкнуть Результаты импорта , чтобы проверить наличие ошибок.

12

Перейдите на страницу Пользователи и откройте одного из пользователей, чтобы проверить наличие нового типа сеанса.

Добавить аудиоподложку в целях безопасности

Можно добавить подложку к записям совещаний с использованием Webex Meetings Pro-End to End Encryption_VOIPonly типа сеанса, которая позволяет идентифицировать исходный клиент или устройство несанкционированных записей конфиденциальных совещаний.

Если эта функция включена, аудио совещания будет содержать уникальный идентификатор для каждого клиента или устройства, участвующего в совещании. Можно загрузить аудиозаписи в Control Hub, в котором будет проанализирована запись и найдены уникальные идентификаторы. Можно просмотреть результаты, чтобы узнать, какой клиент или устройство было записано совещание.

  • Для анализа записи необходимо сохранить файл AAC, MP3, M4A, WAV, MP4, AVI или MOV размером не более 500 МБ.
  • Продолжительность записи должна превышать 100 секунд.
  • Можно анализировать только записи совещаний, организованных пользователями в вашей организации.
  • Информация о подложке сохраняется в течение той же продолжительности, что и информация о совещании организации.

Добавить аудиоподложки в совещания E2EE

  1. Войдите в Control Hub, затем в разделе Управление выберите Настройки организации.
  2. В разделе Подложки совещания включите параметр Добавить аудиоподложку.

    Через некоторое время после включения этого параметра пользователи, планирующие совещания с использованием Webex Meetings Pro-End to End Encryption_VOIPonly типа сеанса, увидят параметр Цифровая подложка в разделе "Безопасность".

Загрузка и анализ совещания с подложкой

  1. В Control Hub в разделе Мониторинг выберите Устранение неполадок.
  2. Щелкните Анализ подложки.
  3. Выполните поиск совещания или выберите его в списке, затем щелкните Анализ.
  4. В окне Анализ аудиоподложки введите название анализа.
  5. (Необязательно) Введите примечание для анализа.
  6. Перетащите аудиофайл для анализа или щелкните Выбрать файл , чтобы найти аудиофайл.
  7. Щелкните Закрыть.

    По завершении анализа он будет отображен в списке результатов на странице Анализ подложки .

  8. Выберите совещание в списке, чтобы просмотреть результаты анализа. Щелкните Кнопка "Скачать" , чтобы скачать результаты.

Функции и ограничения

Факторы, влияющие на успешную расшифровку записанной подложки, включают расстояние между устройством записи и динамиком, исходящее аудио, громкость этого аудио, фоновый шум и т. д. Наша технология подложки имеет дополнительную устойчивость к многократной кодировке, как это может произойти при совместном использовании мультимедиа.

Эта функция предназначена для успешного декодирования идентификатора подложки в широком, но разумном наборе обстоятельств. Наша цель заключается в том, чтобы устройство записи, например мобильный телефон, лежащее на рабочем месте рядом с персональной конечной точкой или клиентом ноутбука, всегда создавало запись, которая приводит к успешному анализу. Поскольку устройство записи перемещается из источника или не слышно полного спектра аудио, шансы на успешный анализ уменьшаются.

Для успешного анализа записи необходим разумный захват аудио совещания. Если аудио совещания записывается на том же компьютере, на котором размещен клиент, ограничения не должны применяться.

Подключение устройств (внутренний ЦС)

Если ваши устройства уже подключены к вашей организации Control Hub и вы хотите использовать ЦС Webex для автоматического создания их идентификационных сертификатов, сброс устройств до заводских настроек не требуется.

В этой процедуре выбирается домен, который устройство использует для самоидентификации. Эта процедура необходима только в том случае, если в организации Control Hub имеется несколько доменов. Если у вас несколько доменов, рекомендуется сделать это для всех устройств, удостоверение которых подтверждено Cisco. Если вы не укажете Webex, какой домен идентифицирует устройство, домен выбирается автоматически. Другие участники совещания могут ошибочно отображаться.

Перед началом работы

Если ваши устройства еще не подключены, выполните следующие действия: Регистрация устройства в Cisco Webex с помощью API или локального веб-интерфейса или Перенос устройств серии Board, Desk и Room. Также необходимо проверить домены, которые необходимо использовать для идентификации устройств, в разделе Управление вашими доменами.

1

Войдите в Control Hub и в разделе Управление выберите Устройства.

2

Выберите устройство, чтобы открыть его панель конфигурации.

3

Выберите домен, который необходимо использовать для идентификации этого устройства.

4

Повторите для других устройств.

Подключение устройств (внешний ЦС)

Перед началом работы

  • Получите сертификат, подписанный ЦС, и частный ключ в .pem формате для каждого устройства.

  • На вкладке Подготовка прочитайте тему Понимание процесса внешней идентификации для устройств.

  • Подготовьте инструмент шифрования JWE для указанной там информации.

  • Убедитесь, что у вас есть инструмент для создания случайных последовательностей байтов заданной длины.

  • Убедитесь, что у вас есть инструмент для кодирования base64url байт или текста.

  • Убедитесь, что у вас есть scrypt реализация.

  • Убедитесь, что у вас есть секретное слово или фраза для каждого устройства.

1

Заполните для устройства ClientSecret секретный код обычного текста:

При первом заполнении Secret вы предоставляете его обычным текстом. Поэтому рекомендуется делать это с помощью физической консоли устройства.

  1. Закодируйте секретную фразу для этого устройства в Base64url.

  2. Откройте TShell на устройстве.

  3. Запустить xcommand Security ClientSecret Populate Secret: "MDEyMzQ1Njc4OWFiY2RlZg"

    Приведенная выше команда примера заполняет Secret фразой 0123456789abcdef. Вам необходимо выбрать собственный.

У устройства есть свой исходный секретный код. Не забудьте об этом. Его невозможно восстановить. Чтобы снова запустить устройство, необходимо выполнить сброс до заводских настроек.
2

Объединение сертификата и закрытого ключа в цепочку.

  1. С помощью текстового редактора откройте файлы .pem, вставьте двоичный объект ключа и сохраните его как новый файл .pem.

    Это текст полезной нагрузки, который будет зашифрован и помещен в двоичный объект JWE.

3

Создайте двоичный объект JWE для использования в качестве ввода команды добавления сертификата:

  1. Создайте случайную последовательность из не менее 4 байт. Это ваша соль.

  2. Создайте ключ шифрования содержимого с помощью инструмента scrypt.

    Для этого вам понадобятся секретный код, соль и длина ключа в соответствии с выбранным шифром шифрования. Существуют другие фиксированные значения (N=32768, r=8, p=1). Устройство использует один и тот же процесс и значения, чтобы получить один и тот же ключ шифрования контента.

  3. Создайте случайную последовательность из 12 байт. Это ваш вектор инициализации.

  4. Создайте заголовок JOSE, настройки alg, enc и cisco-kdf ключи, как описано в разделе Понимание процесса внешней идентификации для устройств. Задайте действие "добавить", используя ключ:значение "cisco-action":"add" в заголовке JOSE (поскольку сертификат добавляется на устройство).

  5. Закодируйте заголовок JOSE в Base64url.

  6. Для шифрования текста из объединенного файла pem используйте инструмент шифрования JWE с выбранным шифром и заголовком JOSE в кодировке base64url.

  7. Закодируйте в Base64url вектор инициализации, зашифрованную полезную нагрузку PEM и тег аутентификации.

  8. Создайте двоичный объект JWE следующим образом (все значения закодированы в base64url):

    JOSEHeader..InitVector.EncryptedPEM.AuthTag

4

Откройте TShell на устройстве и выполните команду добавления (многострочной): 

xcommand Security Certificates Services Add IsEncrypted: True
your..JWE.str.ing\n
.\n
5

Убедитесь, что сертификат добавлен, выполнив запуск xcommand Security Certificates Services Show

Скопируйте отпечаток пальца нового сертификата.

6

Активируйте сертификат в целях WebexIdentity.

  1. Прочтите отпечаток сертификата либо из самого сертификата, либо из вывода xcommand Security Certificates Services Show.

  2. Создайте случайную последовательность из не менее 4 байт и закодируйте ее в base64url. Это ваша соль.

  3. Создайте ключ шифрования содержимого с помощью инструмента scrypt.

    Для этого вам понадобятся секретный код, соль и длина ключа в соответствии с выбранным шифром шифрования. Существуют другие фиксированные значения (N=32768, r=8, p=1). Устройство использует один и тот же процесс и значения, чтобы получить один и тот же ключ шифрования контента.

  4. Создайте случайную последовательность из 12 байт и закодируйте ее в base64url. Это ваш вектор инициализации.

  5. Создайте заголовок JOSE, настройки alg, enc и cisco-kdf ключи, как описано в разделе Понимание процесса внешней идентификации для устройств. Задайте действие "активировать", используя ключ:значение "cisco-action":"activate" в заголовке JOSE (поскольку активация сертификата происходит на устройстве).

  6. Закодируйте заголовок JOSE в Base64url.

  7. Для шифрования отпечатка пальца сертификата используйте инструмент шифрования JWE с выбранным шифром и заголовком JOSE в кодировке base64url.

    Инструмент должен вывести последовательность из 16 или 32 байт в зависимости от того, выбран ли 128 или 256 бит AES-GCM, а также тег аутентификации.

  8. Base64urlencode зашифрованный отпечаток пальца и тег аутентификации.

  9. Создайте двоичный объект JWE следующим образом (все значения закодированы в base64url):

    JOSEHeader..InitVector.EncryptedFingerprint.AuthTag

  10. Откройте TShell на устройстве и выполните следующую команду активации:

                      xcommand Security Certificates Services Activate Purpose: WebexIdentity Fingerprint: "Your..JWE.encrypted.fingerprint"

На устройстве есть зашифрованный активный сертификат, выданный центром сертификации, готовый к использованию для его идентификации на совещаниях Webex со сквозным шифрованием.
7

Подключите устройство к своей организации Control Hub.

Тестирование сквозного шифрования с проверкой удостоверений
1

Запланируйте совещание правильного типа (Webex Meetings Pro-End to End Encryption_VOIPonly).

См. статью Планирование совещания Webex со сквозным шифрованием.

2

Присоединитесь к совещанию в качестве организатора с помощью клиента Webex Meetings.

См. статью Присоединение к совещанию Webex со сквозным шифрованием.

3

Присоединитесь к совещанию с устройства, идентификация которого подтверждена ЦС Webex.

4

Будучи организатором, убедитесь, что это устройство отображается в холле с правильной пиктограммой идентификации.

См. статью Присоединение к совещанию Webex со сквозным шифрованием.

5

Присоединитесь к совещанию с устройства, идентификация которого подтверждена внешним ЦС.

6

Будучи организатором, убедитесь, что это устройство отображается в холле с правильной пиктограммой идентификации. Узнать больше об пиктограммах удостоверений.

7

Присоединитесь к совещанию в качестве участника, не прошедшего аутентификацию.

8

Будучи организатором, убедитесь, что этот участник отображается в холле с правильной пиктограммой идентификации.

9

Организатор может допустить или отклонить пользователей или устройства.

10

По возможности проверьте удостоверения участников или устройств, проверив сертификаты.

11

Убедитесь, что все участники совещания видят один и тот же код безопасности совещания.

12

Присоединитесь к совещанию с новым участником.

13

Убедитесь, что все пользователи видят одинаковый новый код безопасности совещания.

Настройка области действия и ожиданий

  • Вы собираетесь сделать совещания со сквозным шифрованием параметром по умолчанию, включить его только для некоторых пользователей или разрешить всем организаторам принимать решения? После выбора способа использования этой функции подготовьте пользователей, которые ее будут использовать, особенно в отношении ограничений и ожиданий на совещании.

  • Необходимо убедиться, что ни Cisco, ни другие пользователи не могут расшифровать ваш контент или олицетворять ваши устройства? В этом случае вам потребуются сертификаты из общедоступного ЦС.

  • Если вы используете разные уровни проверки удостоверений, предоставьте пользователям возможность проверять друг друга с помощью удостоверений на основе сертификатов. Несмотря на то, что в некоторых случаях участники могут отображаться как непроверенные и участники должны знать, как проверить, непроверенные пользователи не могут быть самозванцами.

Управление удостоверениями

Если для выдачи сертификатов устройства используется внешний ЦС, на вас возложена ответственность за отслеживание, обновление и повторное применение сертификатов.

Если вы создали исходный секретный код, обратите внимание, что пользователи могут захотеть изменить секретный код своего устройства. Для этого может потребоваться создать интерфейс или распространить инструмент.

Идентификаторы типов сеанса
Таблица 1. Идентификаторы типов сеансов для совещаний со сквозным шифрованием

Идентификатор типа сеанса

Название общедоступной службы

638

Шифрование E2E только с передачей голоса по IP

652

Pro-End to End Encryption_VOIPonly

660

Pro 3 Free-End to End Encryption_VOIPonly

Шифрование E2E + идентификация

672

Pro 3 Free50-End to End Encryption_VOIPonly

673

Инструктор по обучению E2E Encryption_VOIPonly

676

Broadworks Standard + сквозное шифрование

677

Broadworks Premium со сквозным шифрованием

681

Schoology Free + сквозное шифрование

Связанные команды xAPI

В этих таблицах описываются команды API устройств Webex, добавленные для совещаний со сквозным шифрованием и проверкой идентификации. Дополнительную информацию об использовании API см. в статье Доступ к API для устройств комнат и настольных устройств Webex, а также Webex Board.

Эти команды xAPI доступны только на следующих устройствах:

  • зарегистрировано в Webex

  • зарегистрированные локально и связанные с Webex с помощью Webex Edge для устройств

Таблица 2. API уровня системы для совещаний со сквозным шифрованием и проверкой идентификации

Вызов API

Описание

xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com"

Эта конфигурация выполняется, когда администратор задает предпочтительный домен устройства в Control Hub. Необходимо только в том случае, если организация имеет несколько доменов.

Устройство использует этот домен при запросе сертификата от ЦС Webex. Затем домен идентифицирует устройство.

Эта конфигурация неприменима, если на устройстве есть активный внешний сертификат для самоидентификации.

xStatus Conference EndToEndEncryption Availability

Указывает, может ли устройство присоединиться к совещанию со сквозным шифрованием. Облачный API вызывает его, чтобы сопряженное приложение узнало, может ли оно использовать устройство для присоединения.

xStatus Conference EndToEndEncryption ExternalIdentity Verification

Указывает, использует ли устройство External проверку (имеет сертификат, выданный извне).

xStatus Conference EndToEndEncryption ExternalIdentity Identity

Удостоверение устройства, как указано в общем имени внешнего сертификата.

xStatus Conference EndToEndEncryption ExternalIdentity CertificateChain Certificate # specificinfo

Считывает конкретную информацию из внешнего сертификата.

В показанной команде замените # номером сертификата. Заменить specificinfo на один из приведенных ниже вариантов.

  • Fingerprint

  • NotAfter Дата окончания срока действия

  • NotBefore Дата начала срока действия

  • PrimaryName

  • PublicKeyAlgorithm

  • SerialNumber

  • SignatureAlgorithm

  • Subject # Name Список субъектов сертификата (например, адрес электронной почты или доменное имя)

  • Validity Указывает состояние действительности этого сертификата (например, valid или expired)

xStatus Conference EndToEndEncryption ExternalIdentity Status

Состояние внешнего удостоверения устройства (например, valid или error).

xStatus Conference EndToEndEncryption InternalIdentity Verification

Указывает, имеет ли устройство действительный сертификат, выданный ЦС Webex.

xStatus Conference EndToEndEncryption InternalIdentity Identity

Удостоверение устройства, как указано в общем имени сертификата, выданного Webex.

Содержит имя домена, если у организации есть домен.

Поле пустое, если у организации нет домена.

Если устройство находится в организации с несколькими доменами, это значение указывается в PreferredDomain.

xStatus Conference EndToEndEncryption InternalIdentity CertificateChain Certificate # specificinfo

Считывает конкретную информацию из сертификата, выданного Webex.

В показанной команде замените # номером сертификата. Заменить specificinfo на один из приведенных ниже вариантов.

  • Fingerprint

  • NotAfter Дата окончания срока действия

  • NotBefore Дата начала срока действия

  • PrimaryName

  • PublicKeyAlgorithm

  • SerialNumber

  • SignatureAlgorithm

  • Subject # Name Список субъектов сертификата (например, адрес электронной почты или доменное имя)

  • Validity Указывает состояние действительности этого сертификата (например, valid или expired)

Таблица 3. API вызовов для совещаний со сквозным шифрованием и проверкой идентификации

Вызов API

Описание

xEvent Conference ParticipantList ParticipantAdded

xEvent Conference ParticipantList ParticipantUpdated

xEvent Conference ParticipantList ParticipantDeleted

Теперь эти три event-совещания включают EndToEndEncryptionStatus, EndToEndEncryptionIdentity и EndToEndEncryptionCertInfo для затронутого участника.

Таблица 4. API, связанные с секретом клиента, для совещаний со сквозным шифрованием и проверкой идентификации

Вызов API

Описание

xCommand Security ClientSecret Populate Secret: "base64url-encoded"

или

xCommand Security ClientSecret Populate Secret: JWEblob

Принимает значение кодированного base64url простого текста для первого размещения секретного кода клиента на устройстве.

Чтобы обновить секретный код после этого первого раза, необходимо предоставить двоичный объект JWE, содержащий новый секретный код, зашифрованный старым.

xCommand Security Certificates Services Add JWEblob

Добавляет сертификат (с закрытым ключом).

Эта команда расширена, чтобы принять двоичный объект JWE, содержащий зашифрованные данные PEM.

xCommand Security Certificates Services Activate Purpose:WebexIdentity FingerPrint: JWEblob

Активирует определенный сертификат для WebexIdentity. Для этого Purpose команда требует шифрования и сериализации идентификационной отпечатки в двоичном объекте JWE.

xCommand Security Certificates Services Deactivate Purpose:WebexIdentity FingerPrint: JWEblob

Деактивация определенного сертификата для WebexIdentity. Для этого Purpose команда требует шифрования и сериализации идентификационной отпечатки в двоичном объекте JWE.