Používatelia si typ stretnutia vyberajú pri plánovaní stretnutia. Pri prijímaní účastníkov z lobby, ako aj počas stretnutia, môže hostiteľ vidieť stav overenia identity každého účastníka. Existuje aj kód stretnutia, ktorý je spoločný pre všetkých aktuálnych účastníkov stretnutia, pomocou ktorého sa môžu navzájom overovať.
Zdieľajte nasledujúce informácie s hostiteľmi stretnutia:
Pripojte sa k schôdzi Webex s end-to-end šifrovaním
Overiť identitu
End-to-end šifrovanie s overením identity poskytuje dodatočnú bezpečnosť pre end-to-end šifrované stretnutia.
Keď sa účastníci alebo zariadenia pripoja k zdieľanej skupine MLS (Messaging Layer Security), prezentujú svoje certifikáty ostatným členom skupiny, ktorí potom overia certifikáty voči vydávajúcim certifikačným autoritám (CA). Potvrdením platnosti certifikátov CA overí identitu účastníkov a schôdza zobrazí účastníkov/zariadenia ako overené.
Používatelia aplikácie Webex sa autentifikujú proti úložisku identity Webex, ktoré im po úspešnom overení vydá prístupový token. Ak potrebujú certifikát na overenie svojej identity na schôdzi so šifrovaním end-to-end, CA Webex im vydá certifikát na základe ich prístupového tokenu. V súčasnosti neposkytujeme používateľom Webex Meetings spôsob, ako získať certifikát vydaný treťou stranou/externou CA.
Zariadenia sa môžu autentifikovať pomocou certifikátu vydaného internou (Webex) CA alebo certifikátu vydaného externou CA:
Interná CA – Webex vydáva interný certifikát na základe prístupového tokenu strojového účtu zariadenia. Certifikát je podpísaný Webex CA. Zariadenia nemajú ID používateľov rovnakým spôsobom ako používatelia, takže Webex používa (jednu z) domén vašej organizácie pri písaní identity certifikátu zariadenia (Common Name (CN)).
Externá CA – vyžiadajte a zakúpte certifikáty zariadenia priamo od zvoleného vydavateľa. Certifikáty musíte zašifrovať, priamo nahrať a autorizovať pomocou tajomstva, ktoré poznáte len vy.
Spoločnosť Cisco nie je zapojená, vďaka čomu je možné zaručiť skutočné šifrovanie typu end-to-end a overenú identitu a zabrániť teoretickej možnosti, že by spoločnosť Cisco mohla odpočúvať vašu schôdzu/dešifrovať vaše médiá.
Interne vydaný certifikát zariadenia
Webex vydá certifikát zariadeniu pri jeho registrácii po spustení a v prípade potreby ho obnoví. V prípade zariadení certifikát obsahuje ID účtu a doménu.
Ak vaša organizácia nemá doménu, CA Webex vydá certifikát bez domény.
Ak má vaša organizácia viacero domén, môžete použiť Control Hub a povedať Webexu, ktorú doménu má zariadenie použiť na svoju identitu. Môžete tiež použiť API xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com".
Ak máte viacero domén a nenastavíte preferovanú doménu pre zariadenie, Webex vyberie jednu za vás.
Externe vydaný certifikát zariadenia
Správca môže poskytnúť zariadeniu vlastný certifikát, ktorý bol podpísaný jednou z verejných CA.
Certifikát musí byť založený na páre kľúčov ECDSA P-256, hoci môže byť podpísaný kľúčom RSA.
Hodnoty v certifikáte sú na uvážení organizácie. Bežný názov (CN) a alternatívny názov subjektu (SAN) sa zobrazia v používateľskom rozhraní stretnutia Webex, ako je popísané v časti End-to-end šifrovanie s overením identity pre Webex Meetings.
Odporúčame použiť samostatný certifikát pre každé zariadenie a mať jedinečný CN pre každé zariadenie. Napríklad „meeting-room-1.example.com“ pre organizáciu, ktorá vlastní doménu „example.com“.
Na úplnú ochranu externého certifikátu pred falšovaním sa na šifrovanie a podpisovanie rôznych príkazov x používa klientsky tajný prvok.
Pri použití tajomstva klienta je možné bezpečne spravovať externý certifikát identity Webex cez xAPI. Toto je momentálne obmedzené na online zariadenia.
Webex v súčasnosti poskytuje príkazy API na správu.
Zariadenia
Nasledujúce zariadenia série Webex Room a Webex Desk registrované v cloude sa môžu pripojiť k schôdzam so šifrovaním end-to-end:
Webex Board
Webex Desk Pro
Pracovný stôl Webex
Súprava Webex Room Kit
Webex Room Kit Mini
Nasledujúce zariadenia sa nemôžu pripojiť k stretnutiam so šifrovaním end-to-end:
Webex radu C
Séria Webex DX
Séria Webex EX
Séria Webex MX
Zariadenia SIP tretích strán
Softvérových klientov
Počnúc verziou 41.6 sa desktopový klient Webex Meetings môže pripojiť k end-to-end šifrovaným stretnutiam.
Ak vaša organizácia umožňuje aplikácii Webex pripájať sa k stretnutiam spustením počítačovej aplikácie Meetings, môžete túto možnosť použiť na pripojenie k schôdzam so šifrovaním end-to-end.
Webový klient Webex sa nemôže pripojiť k stretnutiam so šifrovaním end-to-end.
Soft klienti SIP tretích strán sa nemôžu pripojiť k stretnutiam šifrovaným end-to-end.
Identita
Podľa návrhu vám neposkytujeme možnosti Control Hub na správu externe overenej identity zariadenia. Pre skutočné šifrovanie typu end-to-end by ste mali poznať tajomstvá a kľúče a mať k nim prístup iba vy. Ak sme zaviedli cloudovú službu na správu týchto kľúčov, existuje šanca, že budú zachytené.
V súčasnosti vám poskytujeme „recept“ na navrhnutie vlastných nástrojov založených na štandardných šifrovacích technikách, ktoré vám pomôžu pri vyžiadaní alebo zašifrovaní certifikátov identity vášho zariadenia a ich súkromných kľúčov. Nechceme mať žiadny skutočný alebo domnelý prístup k vašim tajomstvám alebo kľúčom.
Stretnutia
End-to-end šifrované stretnutia v súčasnosti podporujú maximálne 200 účastníkov.
Z týchto 200 účastníkov sa môže pripojiť maximálne 25 externe overených zariadení musia byť prvými účastníkmi, ktorí sa pripojí k schôdzi.
Keď sa k schôdzi pripojí väčší počet zariadení, naše koncové mediálne služby sa pokúsia prekódovať mediálne toky. Ak nedokážeme dešifrovať, prekódovať a znova zašifrovať médiá (pretože nemáme a nemali by sme mať šifrovacie kľúče zariadení), prekódovanie zlyhá.
Na zmiernenie tohto obmedzenia odporúčame menšie stretnutia pre zariadenia alebo rozložiť pozvánky medzi zariadeniami a klientmi schôdzí.
Manažérske rozhranie
Dôrazne odporúčame, aby ste na správu lokality schôdze používali Control Hub, pretože organizácie Control Hub majú centralizovanú identitu pre celú organizáciu, zatiaľ čo v správe lokality je identita riadená na základe lokality po lokalite.
Používatelia spravovaní zo správy lokality nemôžu mať možnosť overenia identity Cisco. Títo používatelia dostanú anonymný certifikát, aby sa mohli pripojiť k schôdzi so šifrovaním end-to-end, a môžu byť vylúčení zo stretnutí, na ktorých chce hostiteľ zabezpečiť overenie identity.
Súvisiace informácie
Bezpečnosť nulovej dôvery pre Webex (bezpečnostný technický list): https://www.cisco.com/c/en/us/solutions/collateral/collaboration/white-paper-c11-744553.html
Prezentácia Cisco Live 2021 (vyžaduje sa registrácia Cisco Live): https://www.ciscolive.com/2021/learn/session-catalog.html?tab.digitalbundle=Anytime21&search.sessiontype=BRK&search.learningmap=1614364767910003wzD6#/session/16106298425360015zrh
Webové šifrovanie JSON (JWE) (Návrh normy IETF): https://datatracker.ietf.org/doc/html/rfc7516
Používateľská dokumentácia: https://help.webex.com/5h5d8ab
Stretnutia Webex 41.7.
Zariadenia série Webex Room a Webex Desk registrované v cloude sú spustené
10.6.1-RoomOS_August_2021.Správcovský prístup k lokalite schôdze v Control Hub, aby ste používateľom povolili nový typ relácie.
Jedna alebo viac overených domén vo vašej organizácii Control Hub (ak na vydávanie certifikátov zariadení pre overenú identitu používate Webex CA).
Miestnosti na stretnutia pre spoluprácu musia byť zapnuté, aby sa ľudia mohli pripojiť zo svojho videosystému. Ďalšie informácie nájdete v časti Umožnite videosystémom pripojiť sa k stretnutiam a udalostiam na vašom webe Webex.
Tento krok môžete preskočiť, ak nepotrebujete externe overené identity.
Pre najvyššiu úroveň zabezpečenia a pre overenie identity by malo mať každé zariadenie jedinečný certifikát vydaný dôveryhodnou verejnou certifikačnou autoritou (CA).
Ak chcete požiadať, zakúpiť a prijať digitálne certifikáty a vytvoriť súvisiace súkromné kľúče, musíte komunikovať s CA. Pri žiadosti o certifikát použite tieto parametre:
Certifikát musí byť vydaný a podpísaný známou verejnou CA.
Jedinečné: Dôrazne odporúčame používať jedinečný certifikát pre každé zariadenie. Ak používate jeden certifikát pre všetky zariadenia, ohrozujete svoju bezpečnosť.
Bežný názov (CN) a Alternatívny názov/názvy subjektu (SAN/s): Pre Webex nie sú dôležité, ale mali by to byť hodnoty, ktoré ľudia dokážu prečítať a priradiť k zariadeniu. CN sa ostatným účastníkom schôdze zobrazí ako primárna overená identita zariadenia a ak používatelia skontrolujú certifikát cez používateľské rozhranie schôdze, uvidia SAN/s. Možno budete chcieť použiť mená ako
name.model@example.com.Formát súboru: Certifikáty a kľúče musia byť v
.pemformát.Účel: Účel certifikátu musí byť Webex Identity.
Generovanie kľúčov: Certifikáty musia byť založené na pároch kľúčov ECDSA P-256 (Algoritmus digitálneho podpisu s eliptickou krivkou využívajúci krivku P-256).
Táto požiadavka sa nevzťahuje na podpisový kľúč. CA môže na podpis certifikátu použiť kľúč RSA.
Tento krok môžete preskočiť, ak nechcete so svojimi zariadeniami používať externe overenú identitu.
Ak používate nové zariadenia, ešte ich neregistrujte do Webexu. Pre istotu ich v tomto bode nepripájajte k sieti.
Ak máte existujúce zariadenia, ktoré chcete inovovať, aby používali externe overenú identitu, musíte zariadenia obnoviť z výroby.
Ak chcete existujúcu konfiguráciu zachovať, uložte ju.
Naplánujte si okno, keď sa zariadenia nepoužívajú, alebo použite fázový prístup. Informujte používateľov o zmenách, ktoré môžu očakávať.
Zabezpečte fyzický prístup k zariadeniam. Ak musíte pristupovať k zariadeniam cez sieť, uvedomte si, že tajomstvá sa šíria ako obyčajný text a ohrozujete tak svoju bezpečnosť.
Po dokončení týchto krokov umožňujú videosystémom pripojiť sa k stretnutiam a udalostiam na vašej webovej lokalite Webex.
Ak chcete zabezpečiť, aby médiá vášho zariadenia nemohol zašifrovať nikto okrem zariadenia, musíte zašifrovať súkromný kľúč na zariadení. Pre zariadenie sme navrhli rozhrania API, ktoré umožňujú správu šifrovaného kľúča a certifikátu pomocou šifrovania JSON Web Encryption (JWE).
Aby sme zabezpečili skutočné end-to-end šifrovanie prostredníctvom nášho cloudu, nemôžeme byť zapojení do šifrovania a nahrávania certifikátu a kľúča. Ak potrebujete túto úroveň zabezpečenia, musíte:
Vyžiadajte si certifikáty.
Vygenerujte páry kľúčov vašich certifikátov.
Vytvorte (a chráňte) počiatočný tajný kód pre každé zariadenie, aby ste nasadili schopnosť šifrovania zariadenia.
Vyviňte a spravujte svoj vlastný nástroj na šifrovanie súborov pomocou štandardu JWE.
Proces a (netajné) parametre, ktoré budete potrebovať, sú vysvetlené nižšie, ako aj recept, podľa ktorého sa budete riadiť pri výbere nástrojov na vývoj. Poskytujeme tiež niektoré testovacie údaje a výsledné bloby JWE, ako ich očakávame, aby sme vám pomohli overiť váš proces.
Nepodporovaná referenčná implementácia využívajúca Python3 a knižnicu JWCrypto je k dispozícii od spoločnosti Cisco na požiadanie.
Zreťazte a zašifrujte certifikát a kľúč pomocou svojho nástroja a počiatočného tajného kľúča zariadenia.
Nahrajte výsledný objekt blob JWE do zariadenia.
Nastavte účel šifrovaného certifikátu, ktorý sa má použiť pre identitu Webex, a aktivujte certifikát.
(Odporúča sa) Poskytnite svojmu nástroju rozhranie (alebo ho distribuujte), aby ste používateľom zariadenia umožnili zmeniť počiatočné tajomstvo a chrániť svoje médiá pred vami.
Ako používame formát JWE
Táto časť popisuje, ako očakávame, že sa vytvorí JWE ako vstup do zariadení, aby ste si mohli vytvoriť svoj vlastný nástroj na vytváranie objektov blob z vašich certifikátov a kľúčov.
Odkazujú na Webové šifrovanie JSON (JWE) https://datatracker.ietf.org/doc/html/rfc7516 a Webový podpis JSON (JWS) https://datatracker.ietf.org/doc/html/rfc7515.
Používame Kompaktná serializácia dokumentu JSON na vytváranie objektov JWE. Parametre, ktoré musíte zahrnúť pri vytváraní objektov BLOB JWE, sú:
Hlavička JOSE (chránené). V hlavičke JSON Object Signing and Encryption MUSÍTE zahrnúť nasledujúce páry kľúč – hodnota:
"alg":"dir"Priamy algoritmus je jediný, ktorý podporujeme na šifrovanie užitočného zaťaženia, a musíte použiť počiatočné tajomstvo klienta zariadenia.
"enc":"A128GCM"alebo"enc":"A256GCM"Podporujeme tieto dva šifrovacie algoritmy.
"cisco-action": "add"alebo"cisco-action": "populate"alebo"cisco-action": "activate"alebo"cisco-action": "deactivate"Toto je proprietárny kľúč a štyri hodnoty, ktoré môže nadobudnúť. Tento kľúč sme zaviedli, aby sme cieľovému zariadeniu signalizovali účel zašifrovaných údajov. Hodnoty sú pomenované podľa príkazov xAPI na zariadení, kde používate šifrované údaje.
Pomenovali sme to
cisco-actionna zmiernenie potenciálnych konfliktov s budúcimi rozšíreniami JWE."cisco-kdf": { "version": "1", "salt": "base64URLEncodedRandom4+Bytes" }Ďalší proprietárny kľúč. Hodnoty, ktoré poskytnete, používame ako vstupy na odvodenie kľúča na zariadení. The
versionmusí byť1(verzia našej funkcie odvodenia kľúča). Hodnotasaltmusí byť sekvencia zakódovaná v adrese URL base64 s dĺžkou najmenej 4 bajty, ktorú vy musieť vybrať náhodne.
Šifrovaný kľúč JWE. Toto pole je prázdne. Zariadenie ho odvodzuje od počiatočného
ClientSecret.Inicializačný vektor JWE. Na dešifrovanie užitočného zaťaženia musíte zadať inicializačný vektor zakódovaný v base64url. Koncom IV MUSIEŤ byť náhodná 12 bajtová hodnota (používame rodinu šifier AES-GCM, ktorá vyžaduje, aby IV mala dĺžku 12 bajtov).
JWE AAD (dodatočné overené údaje). Toto pole musíte vynechať, pretože nie je podporované v kompaktnej serializácii.
Šifrovaný text JWE: Toto je šifrovaný náklad, ktorý chcete zachovať v tajnosti.
Užitočné zaťaženie MÔŽE byť prázdne. Ak chcete napríklad obnoviť tajný kľúč klienta, musíte ho prepísať prázdnou hodnotou.
Existujú rôzne typy užitočného zaťaženia v závislosti od toho, čo sa na zariadení pokúšate robiť. Rôzne príkazy xAPI očakávajú rôzne užitočné zaťaženia a musíte zadať účel užitočného zaťaženia pomocou súboru
cisco-actionkľúč, takto:s
"cisco-action":"populate"šifrový text je novýClientSecret.s "
"cisco-action":"add"šifrový text je PEM blob nesúci certifikát a jeho súkromný kľúč (spojený).s "
"cisco-action":"activate"šifrový text je odtlačok prsta (hexadecimálne znázornenie sha-1) certifikátu, ktorý aktivujeme na overenie identity zariadenia.s "
"cisco-action":"deactivate"šifrový text je odtlačok prsta (hexadecimálne znázornenie sha-1) certifikátu, ktorého používanie na overenie identity zariadenia deaktivujeme.
Overovacia značka JWE: Toto pole obsahuje autentifikačnú značku na zistenie integrity celého kompaktne serializovaného blob JWE
Ako odvodíme šifrovací kľúč z ClientSecret
Po prvom naplnení tajného tajomstva neprijímame ani nevypisujeme tajný kľúč ako obyčajný text. Je to preto, aby sa predišlo potenciálnym útokom na slovník zo strany niekoho, kto by mohol získať prístup k zariadeniu.
Softvér zariadenia používa tajný kľúč klienta ako vstup do funkcie odvodenia kľúča (kdf) a potom používa odvodený kľúč na dešifrovanie/šifrovanie obsahu na zariadení.
Pre vás to znamená, že váš nástroj na vytváranie blobov JWE musí postupovať podľa rovnakého postupu, aby sa z tajomstva klienta odvodil rovnaký šifrovací/dešifrovací kľúč.
Zariadenia používajú scrypt pre odvodenie kľúča (pozri https://en.wikipedia.org/wiki/Scrypt), s nasledujúcimi parametrami:
CostFactor (N) je 32768
BlockSizeFactor (r) je 8
ParallelizationFactor (p) je 1
Soľ je náhodná sekvencia najmenej 4 bajtov; musíte dodať to isté
saltpri špecifikovanícisco-kdfparameter.Dĺžka kľúča je buď 16 bajtov (ak vyberiete algoritmus AES-GCM 128), alebo 32 bajtov (ak vyberiete algoritmus AES-GCM 256)
Maximálna kapacita pamäte je 64 MB
Táto sada parametrov je jedinou konfiguráciou scrypt ktorý je kompatibilný s funkciou odvodenia kľúča na zariadeniach. Tento kdf na zariadeniach sa nazýva "version":"1", čo je jediná verzia, ktorú v súčasnosti používa server cisco-kdf parameter.
Spracovaný príklad
Tu je príklad, podľa ktorého si môžete overiť, že váš proces šifrovania JWE funguje rovnako ako proces, ktorý sme vytvorili na zariadeniach.
Príkladom je pridanie blobu PEM do zariadenia (napodobňuje pridanie certifikátu s veľmi krátkym reťazcom namiesto úplného certifikátu + kľúča). Tajomstvo klienta v príklade je ossifrage.
Vyberte šifrovaciu šifru. Tento príklad používa
A128GCM(AES so 128-bitovými kľúčmi v režime počítadla Galois). Váš nástroj by sa mohol hodiťA256GCMkeď upredňostňuješ.Vyberte soľ (musí to byť náhodná sekvencia aspoň 4 bajtov). Tento príklad používa (hexadecimálne bajty)
E5 E6 53 08 03 F8 33 F6. Base64url zakóduje sekvenciu, ktorú chcete získať5eZTCAP4M_Y(odstráňte výplň base64).Tu je ukážka
scryptvolanie na vytvorenie kľúča na šifrovanie obsahu (cek):cek=scrypt(password="ossifrage", salt=4-byte-sequence, N=32768, r=8, p=1, keylength=16)Odvodený kľúč by mal mať 16 bajtov (hexadecimálne):
95 9e ba 6d d1 22 01 05 78 fe 6a 9d 22 78 ff acdo ktorého base64url kódujelZ66bdEiAQV4_mqdInj_rA.Vyberte náhodnú sekvenciu 12 bajtov, ktorú chcete použiť ako inicializačný vektor. Tento príklad používa (hex)
34 b3 5d dd 5f 53 7b af 2d 92 95 83do ktorého base64url kódujeNLNd3V9Te68tkpWD.Vytvorte hlavičku JOSE s kompaktnou serializáciou (postupujte v rovnakom poradí parametrov, aké používame tu) a potom ju zakódujte pomocou base64url:
{"alg":"dir","cisco-action":"add","cisco-kdf":{"salt":"5eZTCAP4M_Y","version":"1"},"enc":"A128GCM"}Hlavička JOSE zakódovaná v base64url je
eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ9Toto bude prvý prvok blobu JWE.
Druhý prvok blobu JWE je prázdny, pretože neposkytujeme šifrovací kľúč JWE.
Tretím prvkom blobu JWE je inicializačný vektor
NLNd3V9Te68tkpWD.- Použite svoj šifrovací nástroj JWE na vytvorenie zašifrovaného obsahu a štítku. V tomto príklade bude nešifrovaný náklad falošný PEM blob
this is a PEM fileParametre šifrovania, ktoré by ste mali použiť, sú:
Užitočné zaťaženie je
this is a PEM fileŠifrovacia šifra je AES 128 GCM
Hlavička JOSE zakódovaná v base64url ako dodatočné overené údaje (AAD)
Base64url zakóduje šifrované užitočné zaťaženie, čo by malo mať za následok
f5lLVuWNfKfmzYCo1YJfODhQToto je štvrtý prvok (JWE Ciphertext) v blobe JWE.
Base64url zakóduje značku, ktorú ste vytvorili v kroku 8, čo by malo viesť k
PE-wDFWGXFFBeo928cfZ1QToto je piaty prvok v blobe JWE.
Spojením piatich prvkov blobu JWE bodkami (JOSEheader..IV.Ciphertext.Tag) získate:
eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1QAk ste pomocou vlastných nástrojov odvodili rovnaké zakódované hodnoty base64url, aké tu uvádzame, ste pripravení ich použiť na zabezpečenie E2E šifrovania a overenej identity vašich zariadení.
Tento príklad v skutočnosti nebude fungovať, ale v zásade by vaším ďalším krokom bolo použitie objektu blob JWE, ktorý ste vytvorili vyššie, ako vstup do xcommand na zariadení, ktoré pridáva certifikát:
xCommand Security Certificates AddeyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q
Typy relácií pre stretnutia s nulovou dôverou sú dostupné na všetkých miestach stretnutí bez dodatočných nákladov. Jeden z týchto typov relácie je tzv Pro-End to End Encryption_VOIPonly. To je Názov verejnej služby, čo môžeme v budúcnosti zmeniť. Aktuálne názvy typov relácií nájdete v časti ID typu relácie v Odkaz časti tohto článku.
Na získanie tejto funkcie pre vašu stránku nemusíte urobiť nič. musíte udeliť nový typ relácie (nazývaný aj Privilégium stretnutia) používateľom. Môžete to urobiť jednotlivo prostredníctvom konfiguračnej stránky používateľa alebo hromadne pomocou exportu/importu CSV.
| 1 | Prihláste sa do Control Huba prejdite na . | ||
| 2 | Kliknite Stránky, vyberte webovú lokalitu Webex, pre ktorú chcete zmeniť nastavenia, a potom kliknite nastavenie. | ||
| 3 | Pod Spoločné nastavenia, vyberte Typy relácií. | ||
| 4 | Mali by ste vidieť jeden alebo viac typov relácií end-to-end šifrovania. Pozrite si zoznam ID typu relácie v Odkaz časti tohto článku. Môžete napríklad vidieť Pro-End to End Encryption_Iba VOIP.
| ||
| 5 | Ak ešte nemáte nový typ relácie, kontaktujte svojho zástupcu Webex. |
Čo urobiť ďalej
Povoľte tento typ relácie / privilégium schôdze niektorým alebo všetkým svojim používateľom.
| 1 | Prihláste sa do Control Huba prejdite na . |
| 2 | Vyberte používateľský účet, ktorý chcete aktualizovať, a potom vyberte Stretnutia. |
| 3 | Z Nastavenia sa vzťahujú na vyberte lokalitu stretnutia, ktorú chcete aktualizovať. |
| 4 | Začiarknite políčko vedľa Pro-End to End Encryption_Iba VOIP. |
| 5 | Zatvorte používateľský konfiguračný panel. |
| 6 | V prípade potreby zopakujte pre ostatných používateľov. Ak to chcete priradiť mnohým používateľom, použite nasledujúcu možnosť, Povoliť stretnutia E2EE pre viacerých používateľov. |
| 1 | Prihláste sa do Control Huba prejdite na . | ||
| 2 | Kliknite Stránky, vyberte webovú stránku Webex, pre ktorú chcete zmeniť nastavenia. | ||
| 3 | V Licencie a používatelia sekciu, kliknite Hromadná správa. | ||
| 4 | Kliknite Generovať správua počkajte, kým pripravíme súbor. | ||
| 5 | Keď je súbor pripravený, kliknite Exportovať výsledky a potom Stiahnuť ▼. (Po kliknutí musíte manuálne zatvoriť kontextové okno Stiahnuť ▼.) | ||
| 6 | Otvorte stiahnutý súbor CSV na úpravu. Pre každého používateľa existuje riadok a | ||
| 7 | Pre každého používateľa, ktorému chcete udeliť nový typ relácie, pridajte The Odkaz na formát súboru Webex CSV obsahuje podrobnosti o účele a obsahu súboru CSV. | ||
| 8 | Otvorte panel konfigurácie lokality schôdze v ovládacom centre.
| ||
| 9 | V Licencie a používatelia sekciu, kliknite Hromadná správa. | ||
| 10 | Kliknite Importovať a vyberte upravený súbor CSV a potom kliknite Importovať. Počkajte, kým sa súbor nahrá. | ||
| 11 | Po dokončení importu môžete kliknúť Importovať výsledky skontrolovať, či sa vyskytli nejaké chyby. | ||
| 12 | Choďte na Používatelia a otvorte jedného z používateľov, aby ste overili, že má nový typ relácie. |
K nahrávkam schôdzí môžete pridať vodotlač pomocou Webex Meetings Pro-End to End Encryption_VOIPonly typ relácie, ktorý umožňuje identifikovať zdrojového klienta alebo zariadenie neoprávnených záznamov dôverných stretnutí.
Keď je táto funkcia povolená, zvuk schôdze obsahuje jedinečný identifikátor pre každého zúčastneného klienta alebo zariadenie. Zvukové nahrávky môžete nahrať do Control Hub, ktorý potom analyzuje nahrávku a vyhľadá jedinečné identifikátory. Môžete si pozrieť výsledky a zistiť, ktorý zdrojový klient alebo zariadenie zaznamenalo schôdzu.
- Aby bolo možné analyzovať nahrávku, musí byť súbor AAC, MP3, M4A, WAV, MP4, AVI alebo MOV nie väčší ako 500 MB.
- Záznam musí byť dlhší ako 100 sekúnd.
- Môžete analyzovať iba nahrávky stretnutí, ktoré organizujú ľudia vo vašej organizácii.
- Informácie o vodotlači sa uchovávajú rovnako dlho ako informácie o stretnutí organizácie.
Pridajte zvukové vodoznaky na stretnutia E2EE
- Prihláste sa do Control Hub, potom pod Zvládanie, vyberte Nastavenia organizácie.
- V Stretnutie s vodoznakmi sekciu, zapnite Pridať zvukový vodoznak.
Po určitom čase po zapnutí tejto funkcie používatelia plánujú stretnutia s
Webex Meetings Pro-End to End Encryption_VOIPonlytyp relácie pozri a Digitálne vodoznaky možnosť v sekcii Zabezpečenie.
Nahrajte a analyzujte stretnutie s vodoznakom
- V Control Hub pod Monitorovanie, vyberte Riešenie problémov.
- Kliknite Analýza vodoznaku.
- Vyhľadajte alebo vyberte stretnutie v zozname a potom kliknite Analyzovať.
- V Analyzujte zvukový vodoznak zadajte názov svojej analýzy.
- (Voliteľné) Zadajte poznámku pre vašu analýzu.
- Presuňte myšou zvukový súbor, ktorý chcete analyzovať, alebo kliknite Vyberte súbor na prezeranie zvukového súboru.
- Kliknite Zavrieť.
Keď je analýza dokončená, zobrazí sa v zozname výsledkov na Analyzujte vodoznak stránku.
- Ak chcete zobraziť výsledky analýzy, vyberte stretnutie v zozname. Kliknite
na stiahnutie výsledkov.
Vlastnosti a obmedzenia
Faktory, ktoré sa podieľajú na úspešnom dekódovaní nahratého vodoznaku, zahŕňajú vzdialenosť medzi nahrávacím zariadením a reproduktorom, ktorý vydáva zvuk, hlasitosť tohto zvuku, okolitý hluk atď. Naša technológia vodoznaku má dodatočnú odolnosť voči viacnásobnému zakódovaniu, čo sa môže stať, keď médiá sú zdieľané.
Táto funkcia je navrhnutá tak, aby umožnila úspešné dekódovanie identifikátora vodoznaku v širokom, ale rozumnom súbore okolností. Naším cieľom je, aby záznamové zariadenie, akým je napríklad mobilný telefón, ktorý leží na stole v blízkosti osobného koncového bodu alebo prenosného klienta, vždy vytváralo záznam, ktorý vedie k úspešnej analýze. Keď sa záznamové zariadenie vzdiali od zdroja alebo je zakryté počutím celého zvukového spektra, šanca na úspešnú analýzu sa znižuje.
Na úspešnú analýzu záznamu je potrebné primerané zachytenie zvuku stretnutia. Ak je zvuk schôdze zaznamenaný na tom istom počítači, ktorý je hostiteľom klienta, obmedzenia by nemali platiť.
Ak sú vaše zariadenia už integrované do vašej organizácie Control Hub a chcete použiť Webex CA na automatické generovanie ich identifikačných certifikátov, nemusíte zariadenia resetovať z výroby.
Tento postup vyberá doménu, ktorú zariadenie používa na svoju identifikáciu, a je povinný iba vtedy, ak máte v organizácii Control Hub viacero domén. Ak máte viac ako jednu doménu, odporúčame vám to urobiť pre všetky vaše zariadenia, ktoré budú mať identitu overenú spoločnosťou Cisco. Ak Webexu nepoviete, ktorá doména identifikuje zariadenie, automaticky sa vyberie jedna a ostatným účastníkom schôdze sa môže zdať nesprávne.
Predtým ako začneš
Ak vaše zariadenia ešte nie sú integrované, postupujte podľa pokynov Zaregistrujte zariadenie do Cisco Webex pomocou API alebo lokálneho webového rozhrania alebo Cloud onboarding pre rady Board, Stôl a Room. Mali by ste tiež overiť domény, ktoré chcete použiť na identifikáciu zariadení Spravujte svoje domény.
| 1 | Prihláste sa do Control Huba pod Zvládanie, vyberte Zariadenia. |
| 2 | Výberom zariadenia otvoríte jeho konfiguračný panel. |
| 3 | Vyberte doménu, ktorú chcete použiť na identifikáciu tohto zariadenia. |
| 4 | Opakujte pre ostatné zariadenia. |
Predtým ako začneš
Potrebuješ:
Ak chcete získať certifikát podpísaný CA a súkromný kľúč, v
.pemformát pre každé zariadenie.Na prečítanie témy Pochopenie procesu externej identity pre zariadenia, v Pripravte sa časť tohto článku.
Pripraviť šifrovací nástroj JWE s ohľadom na informácie v ňom uvedené.
Nástroj na generovanie náhodných sekvencií bajtov daných dĺžok.
Nástroj na kódovanie base64url bajtov alebo textu.
An
scryptimplementáciu.Tajné slovo alebo fráza pre každé zariadenie.
| 1 | Vyplňte zariadenia Pri prvom naplnení Zariadenie má svoje počiatočné tajomstvo. Nezabudnite na to; nemôžete ho obnoviť a na opätovné spustenie musíte zariadenie obnoviť z výroby.
|
| 2 | Zreťazte svoj certifikát a súkromný kľúč: |
| 3 | Vytvorte blob JWE, ktorý sa použije ako vstup pre príkaz na pridanie certifikátu: |
| 4 | Otvorte TShell na zariadení a spustite (viacriadkový) príkaz add: |
| 5 | Spustením overte pridanie certifikátu Skopírujte odtlačok nového certifikátu. |
| 6 | Aktivujte certifikát na tento účel Zariadenie má zašifrovaný aktívny certifikát vydaný CA, pripravený na použitie na jeho identifikáciu na schôdzach Webex šifrovaných medzi koncovými bodmi.
|
| 7 | Pripojte zariadenie do svojej organizácie Control Hub. |
| 1 | Naplánujte si stretnutie správneho typu (Webex Meetings Pro-End to End Encryption_Iba VOIP). |
| 2 | Pripojte sa k schôdzi ako hostiteľ z klienta Webex Meetings. |
| 3 | Pripojte sa k schôdzi zo zariadenia, ktorého identita bola overená CA Webex. |
| 4 | Ako hostiteľ overte, či sa toto zariadenie zobrazuje v lobby so správnou ikonou identity. |
| 5 | Pripojte sa k schôdzi zo zariadenia, ktorého identita bola overená externou CA. |
| 6 | Ako hostiteľ overte, či sa toto zariadenie zobrazuje v lobby so správnou ikonou identity. Získajte viac informácií o ikonách identity. |
| 7 | Pripojte sa k stretnutiu ako neoverený účastník stretnutia. |
| 8 | Ako hostiteľ overte, či sa tento účastník zobrazuje v lobby so správnou ikonou identity. |
| 9 | Ako hostiteľ prijmite alebo odmietnite ľudí / zariadenia. |
| 10 | Ak je to možné, overte identitu účastníka/zariadenia kontrolou certifikátov. |
| 11 | Skontrolujte, či všetci účastníci stretnutia vidia rovnaký bezpečnostný kód stretnutia. |
| 12 | Pripojte sa k schôdzi s novým účastníkom. |
| 13 | Skontrolujte, či všetci vidia rovnaký, nový bezpečnostný kód stretnutia. |
Chystáte sa nastaviť schôdze so šifrovaním end-to-end ako predvolenú možnosť schôdze alebo ju povolíte len pre niektorých používateľov alebo umožníte všetkým hostiteľom rozhodnúť? Keď sa rozhodnete, ako budete túto funkciu používať, pripravte tých používateľov, ktorí ju budú používať, najmä s ohľadom na obmedzenia a na to, čo môžete na stretnutí očakávať.
Potrebujete zabezpečiť, aby ani Cisco, ani nikto iný nemohol dešifrovať váš obsah alebo odcudziť identitu vašich zariadení? Ak áno, potrebujete certifikáty od verejnej CA. Na zabezpečenom stretnutí môžete mať maximálne 25 zariadení. Ak potrebujete túto úroveň zabezpečenia, nemali by ste povoliť pripojenie klientov k stretnutiam.
Pre používateľov, ktorí sa pripájajú pomocou zabezpečených zariadení, nechajte zariadenia, aby sa pripojili ako prvé, a nastavte očakávania používateľov, že sa možno nebudú môcť pripojiť, ak sa pripoja neskoro.
Ak máte rôzne úrovne overenia identity, splnomocnite používateľov, aby sa navzájom overili pomocou identity krytej certifikátom a bezpečnostného kódu stretnutia. Aj keď existujú okolnosti, za ktorých sa účastníci môžu javiť ako neoverení a účastníci by mali vedieť, ako to skontrolovať, neoverení ľudia nemusia byť podvodníci.
Ak na vydávanie certifikátov zariadenia používate externú CA, je na vás, aby ste monitorovali, obnovovali a opätovne používali certifikáty.
Ak ste vytvorili počiatočný tajný kľúč, uvedomte si, že vaši používatelia môžu chcieť zmeniť tajný kľúč svojho zariadenia. Možno budete musieť vytvoriť rozhranie/distribuovať nástroj, ktorý im to umožní.
ID typu relácie | Názov verejnej služby |
|---|---|
638 | Len šifrovanie E2E+VoIP |
652 | Pro-End to End Encryption_Iba VOIP |
660 | Pro 3 Free-End to End Encryption_Iba VOIP E2E šifrovanie + identita |
672 | Pro 3 Free50-End to End Encryption_Iba VOIP |
673 | Inštruktor vzdelávania E2E Encryption_Iba VOIP |
676 | Broadworks Standard plus end-to-end šifrovanie |
677 | Broadworks Premium plus end-to-end šifrovanie |
681 | Schoology Free plus end-to-end šifrovanie |
Tieto tabuľky popisujú príkazy rozhrania API zariadení Webex, ktoré sme pridali pre end-to-end šifrované stretnutia a overenú identitu. Ďalšie informácie o používaní rozhrania API nájdete v časti Prístup k API pre Webex Room and Desk Devices a Webex Boards.
Tieto príkazy xAPI sú dostupné iba na zariadeniach, ktoré sú buď:
Registrovaný na Webex
Registrované na mieste a prepojené s Webex s Webex Edge for Devices
Volanie API | Popis |
|---|---|
| Táto konfigurácia sa vykoná, keď správca nastaví preferovanú doménu zariadenia z Control Hub. Potrebné iba vtedy, ak má organizácia viac ako jednu doménu. Zariadenie používa túto doménu, keď požaduje certifikát od Webex CA. Doména potom identifikuje zariadenie. Táto konfigurácia nie je použiteľná, ak má zariadenie aktívny, externe vydaný certifikát na svoju identifikáciu. |
| Označuje, či sa zariadenie môže pripojiť k schôdzi so šifrovaním end-to-end. Cloudové API ho volá, aby spárovaná aplikácia vedela, či môže použiť zariadenie na pripojenie. |
| Označuje, či zariadenie používa |
| Identita zariadenia načítaná z externe vydaného certifikátu Common Name. |
| Číta špecifické informácie z externe vydaného certifikátu. V zobrazenom príkaze nahraďte
|
| Stav externej identity zariadenia (napr |
| Označuje, či má zariadenie platný certifikát vydaný CA Webex. |
| Identita zariadenia načítaná z Common Name certifikátu vydaného Webexom. Obsahuje názov domény, ak má organizácia doménu. Ak organizácia nemá doménu, je prázdne. Ak je zariadenie v organizácii, ktorá má viacero domén, toto je hodnota z |
| Prečíta špecifické informácie z certifikátu vydaného Webexom. V zobrazenom príkaze nahraďte
|
Volanie API | Popis |
|---|---|
| Tieto tri udalosti teraz zahŕňajú |
Volanie API | Popis |
|---|---|
alebo
| Prijíma hodnotu obyčajného textu zakódovanú v base64url na prvé vloženie tajného kľúča klienta do zariadenia. Ak chcete aktualizovať tajomstvo po tomto prvom raze, musíte dodať blob JWE obsahujúci nové tajomstvo zašifrované starým tajomstvom. |
| Pridá certifikát (so súkromným kľúčom). Rozšírili sme tento príkaz tak, aby akceptoval JWE blob obsahujúci zašifrované dáta PEM. |
| Aktivuje špecifický certifikát pre WebexIdentity. Pre to |
| Deaktivuje špecifický certifikát pre WebexIdentity. Pre to |
