Používateľská skúsenosť

Používatelia si pri plánovaní stretnutia vyberú typ stretnutia. Pri prijímaní účastníkov z lobby, ako aj počas stretnutia, môže hostiteľ vidieť stav overenia identity každého účastníka. Existuje aj kód stretnutia, ktorý je spoločný pre všetkých súčasných účastníkov stretnutia, pomocou ktorého si môžu overiť, či ich stretnutie nezachytil nechcený útok tretej strany Meddler In The Middle (MITM).

Zdieľajte nasledujúce informácie s hostiteľmi stretnutia:

Overenie identity s internou alebo externou CA

Overiť identitu

End-to-end šifrovanie s overením identity poskytuje dodatočnú bezpečnosť pre end-to-end šifrované stretnutia.

Keď sa účastníci alebo zariadenia pripoja k zdieľanej skupine MLS (Messaging Layer Security), prezentujú svoje certifikáty ostatným členom skupiny, ktorí potom overia certifikáty voči vydávajúcim certifikačným autoritám (CA). Potvrdením platnosti certifikátov CA overí identitu účastníkov a schôdza zobrazí účastníkov/zariadenia ako overené.

Používatelia aplikácie Webex sa autentifikujú proti úložisku identity Webex, ktoré im po úspešnom overení vydá prístupový token. Ak potrebujú certifikát na overenie svojej identity na schôdzi so šifrovaním end-to-end, CA Webex im vydá certifikát na základe ich prístupového tokenu. V súčasnosti neposkytujeme používateľom Webex Meetings spôsob, ako získať certifikát vydaný treťou stranou/externou CA.

Zariadenia sa môžu autentifikovať pomocou certifikátu vydaného internou (Webex) CA alebo certifikátu vydaného externou CA:

  • Interná CA – Webex vydáva interný certifikát na základe prístupového tokenu strojového účtu zariadenia. Certifikát je podpísaný Webex CA. Zariadenia nemajú ID používateľov rovnakým spôsobom ako používatelia, takže Webex používa (jednu z) domén vašej organizácie pri písaní identity certifikátu zariadenia (Common Name (CN)).

  • Externá CA – vyžiadajte a zakúpte certifikáty zariadenia priamo od zvoleného vydavateľa. Certifikáty musíte zašifrovať, priamo nahrať a autorizovať pomocou tajomstva, ktoré poznáte len vy.

    Spoločnosť Cisco nie je zapojená, vďaka čomu je možné zaručiť skutočné šifrovanie typu end-to-end a overenú identitu a zabrániť teoretickej možnosti, že by spoločnosť Cisco mohla odpočúvať vašu schôdzu/dešifrovať vaše médiá.

Interne vydaný certifikát zariadenia

Webex vydá certifikát zariadeniu pri jeho registrácii po spustení a v prípade potreby ho obnoví. V prípade zariadení certifikát obsahuje ID účtu a doménu.

Ak vaša organizácia nemá doménu, CA Webex vydá certifikát bez domény.

Ak má vaša organizácia viacero domén, môžete použiť Control Hub a povedať Webexu, ktorú doménu má zariadenie použiť na svoju identitu. Môžete tiež použiť rozhranie API xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com".

Ak máte viacero domén a nenastavíte preferovanú doménu pre zariadenie, Webex vyberie jednu za vás.

Externe vydaný certifikát zariadenia

Správca môže poskytnúť zariadeniu vlastný certifikát, ktorý bol podpísaný jednou z verejných CA.

Certifikát musí byť založený na páre kľúčov ECDSA P-256, hoci môže byť podpísaný kľúčom RSA.

Hodnoty v certifikáte sú na uvážení organizácie. Spoločný názov (CN) a Alternatívny názov subjektu (SAN) sa zobrazia v používateľskom rozhraní schôdze Webex, ako je popísané v časti End-to-end šifrovanie s overením identity pre stretnutia Webex.

Odporúčame použiť samostatný certifikát pre každé zariadenie a mať jedinečný CN pre každé zariadenie. Napríklad „meeting-room-1.example.com“ pre organizáciu, ktorá vlastní doménu „example.com“.

Na úplnú ochranu externého certifikátu pred falšovaním sa na šifrovanie a podpisovanie rôznych príkazov x používa klientsky tajný prvok.

Pri použití tajomstva klienta je možné bezpečne spravovať externý certifikát identity Webex cez xAPI. Toto je momentálne obmedzené na online zariadenia.

Webex v súčasnosti poskytuje príkazy API na správu.

Vlastnosti a obmedzenia

Zariadenia

Nasledujúce zariadenia série Webex Room a Webex Desk registrované v cloude sa môžu pripojiť k stretnutiam E2EE:

  • Webex Board

  • Webex Desk Pro

  • Pracovný stôl Webex

  • Súprava Webex Room Kit

  • Webex Room Kit Mini

Nasledujúce zariadenia sa nemôžu pripojiť k stretnutiam E2EE:

  • Webex radu C

  • Séria Webex DX

  • Séria Webex EX

  • Séria Webex MX

  • Zariadenia SIP tretích strán

Softvérových klientov

  • Aplikácia Webex pre stolných a mobilných klientov sa môže pripojiť k stretnutiam E2EE.

  • Webový klient Webex sa nemôže pripojiť k stretnutiam E2EE.

  • Soft klienti SIP tretích strán sa nemôžu pripojiť k stretnutiam E2EE.

Identita

  • Podľa návrhu vám neposkytujeme možnosti Control Hub na správu externe overenej identity zariadenia. Pre skutočné šifrovanie typu end-to-end by ste mali poznať tajomstvá a kľúče a mať k nim prístup iba vy. Ak sme zaviedli cloudovú službu na správu týchto kľúčov, existuje šanca, že budú zachytené.

  • V súčasnosti vám poskytujeme „recept“ na navrhnutie vlastných nástrojov založených na štandardných šifrovacích technikách, ktoré vám pomôžu pri vyžiadaní alebo zašifrovaní certifikátov identity vášho zariadenia a ich súkromných kľúčov. Nechceme mať žiadny skutočný alebo domnelý prístup k vašim tajomstvám alebo kľúčom.

Stretnutia

  • E2EE stretnutia v súčasnosti podporujú maximálne 1000 účastníkov.

  • Na stretnutiach E2EE môžete zdieľať nové tabule. Na bežných stretnutiach existujú určité rozdiely od tabúľ:
    • Na stretnutiach E2EE používatelia nemajú prístup k bielym tabuliam vytvoreným mimo stretnutia, vrátane súkromných tabúľ, tabúľ zdieľaných ostatnými a tabúľ z priestorov Webex.
    • Tabule vytvorené na stretnutiach E2EE sú dostupné iba počas stretnutia. Neukladajú sa a po skončení schôdze nie sú prístupné.
    • Ak niekto zdieľa obsah na stretnutí E2EE, môžete ho komentovať. Ďalšie informácie o anotáciách nájdete v časti Aplikácia Webex | Označenie zdieľaného obsahu pomocou anotácií.

Manažérske rozhranie

Dôrazne odporúčame, aby ste na správu svojej lokality schôdzí používali Control Hub, pretože organizácie Control Hub majú centralizovanú identitu pre celú organizáciu.

Ďalšie zdroje
Predpoklady

  • Stretnutia Webex 41.7.

  • Zariadenia série Webex Room a Webex Desk registrované v cloude so systémom 10.6.1-RoomOS_August_2021.

  • Administratívny prístup k lokalite stretnutia v Control Hub.

  • Jedna alebo viacero overených domén vo vašej organizácii Control Hub (ak na vydávanie certifikátov zariadení pre overenú identitu používate Webex CA).

  • Miestnosti na stretnutia pre spoluprácu musia byť zapnuté, aby sa ľudia mohli pripojiť zo svojho videosystému. Ďalšie informácie nájdete v časti Povolenie videosystémom pripojiť sa k stretnutiam a udalostiam na vašej lokalite Webex.

Získajte certifikáty zariadenia

Tento krok môžete preskočiť, ak nepotrebujete externe overené identity.

Pre najvyššiu úroveň zabezpečenia a pre overenie identity by malo mať každé zariadenie jedinečný certifikát vydaný dôveryhodnou verejnou certifikačnou autoritou (CA).

Ak chcete požiadať, zakúpiť a prijať digitálne certifikáty a vytvoriť súvisiace súkromné kľúče, musíte komunikovať s CA. Pri žiadosti o certifikát použite tieto parametre:

  • Certifikát musí byť vydaný a podpísaný známou verejnou CA.

  • Jedinečné: Dôrazne odporúčame používať jedinečný certifikát pre každé zariadenie. Ak používate jeden certifikát pre všetky zariadenia, ohrozujete svoju bezpečnosť.

  • Bežný názov (CN) a Alternatívny názov/názvy subjektu (SAN/s): Pre Webex nie sú dôležité, ale mali by to byť hodnoty, ktoré ľudia dokážu prečítať a priradiť k zariadeniu. CN sa ostatným účastníkom schôdze zobrazí ako primárna overená identita zariadenia a ak používatelia skontrolujú certifikát cez používateľské rozhranie schôdze, uvidia SAN/s. Možno budete chcieť použiť mená ako meno.modelka@example.com.

  • Formát súboru: Certifikáty a kľúče musia byť vo formáte .pem .

  • Účel: Účel certifikátu musí byť Webex Identity.

  • Generovanie kľúčov: Certifikáty musia byť založené na pároch kľúčov ECDSA P-256 (Algoritmus digitálneho podpisu s eliptickou krivkou využívajúci krivku P-256).

    Táto požiadavka sa nevzťahuje na podpisový kľúč. CA môže na podpis certifikátu použiť kľúč RSA.

Pripravte sa na palubné zariadenia

Tento krok môžete preskočiť, ak nechcete so svojimi zariadeniami používať externe overenú identitu.

Ak používate nové zariadenia, ešte ich neregistrujte do Webexu. Pre istotu ich v tomto bode nepripájajte k sieti.

Ak máte existujúce zariadenia, ktoré chcete inovovať na používanie externe overenej identity, musíte zariadenia obnoviť z výroby.

  • Ak chcete existujúcu konfiguráciu zachovať, uložte ju.

  • Naplánujte si okno, keď sa zariadenia nepoužívajú, alebo použite postupný prístup. Informujte používateľov o zmenách, ktoré môžu očakávať.

  • Zabezpečte fyzický prístup k zariadeniam. Ak musíte pristupovať k zariadeniam cez sieť, uvedomte si, že tajomstvá sa šíria ako obyčajný text a ohrozujete tak svoju bezpečnosť.

Po dokončení týchto krokov povoľte videosystémom pripojiť sa k stretnutiam a udalostiam na vašej lokalite Webex.

Pochopte proces externej identity pre zariadenia

Ak chcete zabezpečiť, aby médiá vášho zariadenia nemohol zašifrovať nikto okrem zariadenia, musíte zašifrovať súkromný kľúč na zariadení. Pre zariadenie sme navrhli rozhrania API, ktoré umožňujú správu šifrovaného kľúča a certifikátu pomocou šifrovania JSON Web Encryption (JWE).

Aby sme zabezpečili skutočné end-to-end šifrovanie prostredníctvom nášho cloudu, nemôžeme byť zapojení do šifrovania a nahrávania certifikátu a kľúča. Ak potrebujete túto úroveň zabezpečenia, musíte:

  1. Vyžiadajte si certifikáty.

  2. Vygenerujte páry kľúčov vašich certifikátov.

  3. Vytvorte (a chráňte) počiatočný tajný kód pre každé zariadenie, aby ste nasadili schopnosť šifrovania zariadenia.

  4. Vyviňte a spravujte svoj vlastný nástroj na šifrovanie súborov pomocou štandardu JWE.

    Proces a (netajné) parametre, ktoré budete potrebovať, sú vysvetlené nižšie, ako aj recept, podľa ktorého sa budete riadiť pri výbere nástrojov na vývoj. Poskytujeme tiež niektoré testovacie údaje a výsledné bloby JWE, ako ich očakávame, aby sme vám pomohli overiť váš proces.

    Nepodporovaná referenčná implementácia využívajúca Python3 a knižnicu JWCrypto je k dispozícii od spoločnosti Cisco na požiadanie.

  5. Zreťazte a zašifrujte certifikát a kľúč pomocou svojho nástroja a počiatočného tajného kľúča zariadenia.

  6. Nahrajte výsledný objekt blob JWE do zariadenia.

  7. Nastavte účel šifrovaného certifikátu, ktorý sa má použiť pre identitu Webex, a aktivujte certifikát.

  8. (Odporúča sa) Poskytnite svojmu nástroju rozhranie (alebo ho distribuujte), aby ste používateľom zariadenia umožnili zmeniť počiatočné tajomstvo a chrániť svoje médiá pred vami.

Ako používame formát JWE

Táto časť popisuje, ako očakávame, že sa vytvorí JWE ako vstup do zariadení, aby ste si mohli vytvoriť svoj vlastný nástroj na vytváranie objektov blob z vašich certifikátov a kľúčov.

Pozrite si časti JSON Web Encryption (JWE) https://datatracker.ietf.org/doc/html/rfc7516 a JSON Web Signature (JWS) https://datatracker.ietf.org/doc/html/rfc7515.

Na vytváranie objektov JWE používame kompaktnú serializáciu dokumentu JSON. Parametre, ktoré musíte zahrnúť pri vytváraní objektov BLOB JWE, sú:

  • Hlavička JOSE (chránená). V hlavičke JSON Object Signing and Encryption MUSÍTE zahrnúť nasledujúce páry kľúč – hodnota:

    • "alg":"dir"

      Priamy algoritmus je jediný, ktorý podporujeme na šifrovanie užitočného zaťaženia, a musíte použiť počiatočné tajomstvo klienta zariadenia.

    • "enc":"A128GCM" alebo "enc":"A256GCM"

      Podporujeme tieto dva šifrovacie algoritmy.

    • "cisco-action": "add" alebo "cisco-action": "populate" alebo "cisco-action": "activate" alebo

      Toto je proprietárny kľúč a štyri hodnoty, ktoré môže nadobudnúť. Tento kľúč sme zaviedli, aby sme cieľovému zariadeniu signalizovali účel zašifrovaných údajov. Hodnoty sú pomenované podľa príkazov xAPI na zariadení, kde používate šifrované údaje.

      Nazvali sme to cisco-action , aby sme zmiernili potenciálne konflikty s budúcimi rozšíreniami JWE.

    • "cisco-kdf": { "version": "1", "salt": "base64URLEncodedRandom4+Bytes" }

      Ďalší proprietárny kľúč. Hodnoty, ktoré poskytnete, používame ako vstupy na odvodenie kľúča na zariadení. Verzia musí byť 1 (verzia našej funkcie odvodenia kľúča). Hodnota salt musí byť sekvencia zakódovaná v adrese URL base64 s dĺžkou najmenej 4 bajty, ktorú musíte vybrať náhodne.

  • Šifrovaný kľúč JWE. Toto pole je prázdne. Zariadenie ho odvodzuje z počiatočného ClientSecret.

  • Inicializačný vektor JWE. Na dešifrovanie užitočného zaťaženia musíte zadať inicializačný vektor zakódovaný v base64url. IV MUSÍ byť náhodná 12 bajtová hodnota (používame rodinu šifier AES-GCM, ktorá vyžaduje, aby IV mala dĺžku 12 bajtov).

  • JWE AAD (ďalšie overené údaje). Toto pole musíte vynechať, pretože nie je podporované v kompaktnej serializácii.

  • JWE Ciphertext: Toto je šifrovaný náklad, ktorý chcete zachovať v tajnosti.

    Užitočné zaťaženie MÔŽE byť prázdne. Ak chcete napríklad obnoviť tajný kľúč klienta, musíte ho prepísať prázdnou hodnotou.

    Existujú rôzne typy užitočného zaťaženia v závislosti od toho, čo sa na zariadení pokúšate robiť. Rôzne príkazy xAPI očakávajú rôzne užitočné zaťaženia a účel tohto zaťaženia musíte zadať pomocou klávesu cisco-action takto:

    • S "cisco-action":"populate" je šifrový text novým ClientSecret.

    • Pri ""cisco-action":"add" je šifrový text blob PEM nesúci certifikát a jeho súkromný kľúč (spojený).

    • Pri ""cisco-action":"activate" je šifrový text odtlačok (hexadecimálne znázornenie sha-1) certifikátu, ktorý aktivujeme na overenie identity zariadenia.

    • V prípade „"cisco-action":"deactivate" je šifrový text odtlačkom prsta (hexadecimálne znázornenie sha-1) certifikátu, ktorý deaktivujeme na overenie identity zariadenia.

  • Overovacia značka JWE: Toto pole obsahuje autentifikačnú značku na zistenie integrity celého kompaktne serializovaného blob JWE

Ako odvodíme šifrovací kľúč z ClientSecret

Po prvom naplnení tajného tajomstva neprijímame ani nevypisujeme tajný kľúč ako obyčajný text. Je to preto, aby sa predišlo potenciálnym útokom na slovník zo strany niekoho, kto by mohol získať prístup k zariadeniu.

Softvér zariadenia používa tajný kľúč klienta ako vstup do funkcie odvodenia kľúča (kdf) a potom používa odvodený kľúč na dešifrovanie/šifrovanie obsahu na zariadení.

Pre vás to znamená, že váš nástroj na vytváranie blobov JWE musí postupovať podľa rovnakého postupu, aby sa z tajomstva klienta odvodil rovnaký šifrovací/dešifrovací kľúč.

Zariadenia používajú na odvodenie kľúča scrypt (pozrite si https://en.wikipedia.org/wiki/Scrypt) s nasledujúcimi parametrami:

  • Nákladový faktor (N) je 32768

  • BlockSizeFactor (r) je 8

  • ParallelizationFactor (p) je 1

  • Soľ je náhodná sekvencia najmenej 4 bajtov; rovnakú soľ musíte dodať aj pri zadávaní parametra cisco-kdf .

  • Dĺžka kľúča je buď 16 bajtov (ak vyberiete algoritmus AES-GCM 128), alebo 32 bajtov (ak vyberiete algoritmus AES-GCM 256)

  • Maximálna kapacita pamäte je 64 MB

Táto sada parametrov je jedinou konfiguráciou scrypt , ktorá je kompatibilná s funkciou odvodenia kľúča na zariadeniach. Toto kdf na zariadeniach sa nazýva "version":"1", čo je jediná verzia, ktorú momentálne používa parameter cisco-kdf .

Spracovaný príklad

Tu je príklad, podľa ktorého si môžete overiť, že váš proces šifrovania JWE funguje rovnako ako proces, ktorý sme vytvorili na zariadeniach.

Príkladom je pridanie blobu PEM do zariadenia (napodobňuje pridanie certifikátu s veľmi krátkym reťazcom namiesto úplného certifikátu + kľúča). Tajomstvo klienta v tomto príklade je ossifrage.

  1. Vyberte šifrovaciu šifru. Tento príklad používa A128GCM (AES so 128-bitovými kľúčmi v režime počítadla Galois). Ak chcete, váš nástroj môže použiť A256GCM .

  2. Vyberte soľ (musí to byť náhodná sekvencia aspoň 4 bajtov). Tento príklad používa (hexadecimálne bajty)E5 E6 53 08 03 F8 33 F6. Base64url zakóduje sekvenciu, aby ste získali 5eZTCAP4M_Y (odstráňte base64 výplň).

  3. Tu je vzorové volanie scrypt na vytvorenie kľúča na šifrovanie obsahu (cek):

    cek=scrypt(heslo="ossifrage", salt=4-bajtová sekvencia, N=32768, r=8, p=1, dĺžka kľúča=16)

    Odvodený kľúč by mal mať 16 bajtov (hexadecimálne):95 9e ba 6d d1 22 01 05 78 fe 6a 9d 22 78 ff ac , ktorá base64url zakóduje do lZ66bdEiAQV4_mqdInj_rA.

  4. Vyberte náhodnú sekvenciu 12 bajtov, ktorú chcete použiť ako inicializačný vektor. Tento príklad používa (hex) 34 b3 5d dd 5f 53 7b af 2d 92 95 83 , ktoré base64url zakóduje na NLNd3V9Te68tkpWD.

  5. Vytvorte hlavičku JOSE s kompaktnou serializáciou (postupujte v rovnakom poradí parametrov, aké používame tu) a potom ju zakódujte pomocou base64url:

    {"alg":"dir","cisco-action":"add","cisco-kdf":{"salt":"5eZTCAP4M_Y","version":" 1"}"enc":"A128GCM"}

    Hlavička JOSE zakódovaná v base64url je eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV92WlJRDQVA0TV92Wl5biJEIJoVyswic DTSJ9

    Toto bude prvý prvok blobu JWE.

  6. Druhý prvok blobu JWE je prázdny, pretože neposkytujeme šifrovací kľúč JWE.

  7. Tretím prvkom objektu blob JWE je inicializačný vektor NLNd3V9Te68tkpWD.

  8. Použite svoj šifrovací nástroj JWE na vytvorenie zašifrovaného obsahu a štítku. V tomto príklade bude nešifrovaným užitočným zaťažením falošný blob PEM toto je súbor PEM

    Parametre šifrovania, ktoré by ste mali použiť, sú:

    • Užitočné zaťaženie je toto je súbor PEM

    • Šifrovacia šifra je AES 128 GCM

    • Hlavička JOSE zakódovaná v base64url ako dodatočné overené údaje (AAD)

    Base64url zakóduje šifrovaný obsah, čo by malo viesť k f5lLVuWNfKfmzYCo1YJfODhQ

    Toto je štvrtý prvok (JWE Ciphertext) v blobe JWE.

  9. Base64url zakóduje značku, ktorú ste vytvorili v kroku 8, výsledkom čoho by malo byť PE-wDFWGXFFBeo928cfZ1Q

    Toto je piaty prvok v blobe JWE.

  10. Spojením piatich prvkov blobu JWE bodkami (JOSEheader..IV.Ciphertext.Tag) získate:

    eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV96ZIiwidmVyc2lvbiI6IjEifSwiZTEyDOp5jJJITS WD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

  11. Ak ste pomocou vlastných nástrojov odvodili rovnaké zakódované hodnoty base64url, aké tu uvádzame, ste pripravení ich použiť na zabezpečenie E2E šifrovania a overenej identity vašich zariadení.

  12. Tento príklad v skutočnosti nebude fungovať, ale v zásade by vaším ďalším krokom bolo použitie objektu blob JWE, ktorý ste vytvorili vyššie, ako vstup do xcommand na zariadení, ktoré pridáva certifikát:

    Pridať bezpečnostné certifikáty xCommand eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidm6IZiQDIEyv J..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

Typy relácií pre stretnutia s nulovou dôverou sú dostupné na všetkých miestach stretnutí bez dodatočných nákladov. Jeden z týchto typov relácií sa nazýva Pro-End to End Encryption_iba VOIP. Toto je názov verejnej služby, ktorý môžeme v budúcnosti zmeniť. Aktuálne názvy typov relácií nájdete v časti Identifikátory typov relácií v časti Referencie tohto článku.

Na získanie tejto funkcie pre vašu stránku nemusíte urobiť nič. musíte používateľom udeliť nový typ relácie (nazývaný aj Privilégium na stretnutie). Môžete to urobiť jednotlivo prostredníctvom konfiguračnej stránky používateľa alebo hromadne pomocou exportu/importu CSV.

Overte nový typ relácie
1

Prihláste sa do Control Hub a prejdite do časti Služby > Stretnutie.

2

Kliknite na položku Stránky, vyberte lokalitu Webex, pre ktorú chcete zmeniť nastavenia, a potom kliknite na položku Nastavenia.

3

V časti Bežné nastavenia vyberte položku Typy relácií.

4
Mali by ste vidieť jeden alebo viac typov relácií end-to-end šifrovania. Pozrite si zoznam ID typu relácie v časti Referencie tohto článku. Môže sa vám napríklad zobraziť možnosť Pro-End to End Encryption_iba VOIP.

Existuje starší typ relácie s veľmi podobným názvom: Pro-End to End šifrovanie. Tento typ relácie zahŕňa nešifrovaný prístup PSTN k stretnutiam. Uistite sa, že máte verziu _VOIPonly , aby ste zaistili šifrovanie typu end-to-end. Môžete to skontrolovať umiestnením kurzora myši na odkaz PRO v stĺpci s kódom relácie. v tomto príklade by mal byť cieľ odkazu javascript:ShowFeature(652).

Názvy verejných služieb pre tieto typy relácií môžeme v budúcnosti zmeniť.

5

Ak ešte nemáte nový typ relácie, kontaktujte svojho zástupcu Webex.

Čo robiť ďalej

Povoľte tento typ relácie / privilégium schôdze niektorým alebo všetkým svojim používateľom.

Povoliť stretnutia E2EE pre jednotlivých používateľov
1

Prihláste sa do Control Hub a prejdite do časti Správa > Používatelia.

2

Vyberte používateľský účet, ktorý chcete aktualizovať, a potom vyberte položku Stretnutia.

3

V rozbaľovacej ponuke Nastavenia sa vzťahujú na vyberte lokalitu stretnutia, ktorú chcete aktualizovať.

4

Začiarknite políčko vedľa položky Pro-End to End Encryption_iba VOIP.

5

Zatvorte používateľský konfiguračný panel.

6

V prípade potreby zopakujte pre ostatných používateľov.

Ak to chcete priradiť mnohým používateľom, použite ďalšiu možnosť Povoliť schôdze E2EE pre viacerých používateľov.

Povoliť stretnutia E2EE pre viacerých používateľov
1

Prihláste sa do Control Hub a prejdite do časti Služby > Stretnutie.

2

Kliknite na položku Stránky a vyberte webovú lokalitu Webex, pre ktorú chcete zmeniť nastavenia.

3

V sekcii Licencie a používatelia kliknite na položku Hromadná správa.

4

Kliknite na položku Generovať prehľad a počkajte, kým pripravíme súbor.

5

Keď je súbor pripravený, kliknite na položku Exportovať výsledky a potom na položku Prevziať. (Po kliknutí na tlačidlo Prevziať musíte toto kontextové okno manuálne zatvoriť.)

6

Otvorte stiahnutý súbor CSV na úpravu.

Pre každého používateľa existuje riadok a stĺpec MeetingPrivilege obsahuje ich ID typu relácie ako zoznam oddelený čiarkami.

7

Pre každého používateľa, ktorému chcete udeliť nový typ relácie, pridajte 1561 ako novú hodnotu do zoznamu oddeleného čiarkami v bunke MeetingPrivilege .

Referencia formátu súboru CSV Webex obsahuje podrobnosti o účele a obsahu súboru CSV.

8

Otvorte panel konfigurácie lokality schôdze v ovládacom centre.

Ak ste už boli na stránke zoznamu lokalít schôdze, možno ju budete musieť obnoviť.

9

V sekcii Licencie a používatelia kliknite na položku Hromadná správa.

10

Kliknite na tlačidlo Importovať , vyberte upravený súbor CSV a potom kliknite na tlačidlo Importovať. Počkajte, kým sa súbor nahrá.

11

Po dokončení importu môžete kliknúť na položku Importovať výsledky a skontrolovať, či sa vyskytli nejaké chyby.

12

Prejdite na stránku Používatelia a otvorte jedného z používateľov, aby ste overili, že má nový typ relácie.

Pre zabezpečenie pridajte zvukový vodoznak

K záznamom stretnutí môžete pridať vodoznak pomocou typu relácie Webex Meetings Pro-End to End Encryption_VOIPonly , ktorý vám umožňuje identifikovať zdrojového klienta alebo zariadenie neoprávnených záznamov dôverných stretnutí.

Keď je táto funkcia povolená, zvuk schôdze obsahuje jedinečný identifikátor pre každého zúčastneného klienta alebo zariadenie. Zvukové nahrávky môžete nahrať do Control Hub, ktorý potom analyzuje nahrávku a vyhľadá jedinečné identifikátory. Môžete si pozrieť výsledky a zistiť, ktorý zdrojový klient alebo zariadenie zaznamenalo schôdzu.

  • Aby bolo možné analyzovať nahrávku, musí byť súbor AAC, MP3, M4A, WAV, MP4, AVI alebo MOV nie väčší ako 500 MB.
  • Záznam musí byť dlhší ako 100 sekúnd.
  • Môžete analyzovať iba nahrávky stretnutí, ktoré organizujú ľudia vo vašej organizácii.
  • Informácie o vodotlači sa uchovávajú rovnako dlho ako informácie o stretnutí organizácie.

Pridajte zvukové vodoznaky na stretnutia E2EE

  1. Prihláste sa do Control Hub a potom v časti Správa vyberte položku Nastavenia organizácie.
  2. V časti Vodoznaky stretnutí prepnite na možnosť Pridať zvukový vodoznak.

    Po určitom čase po tomto zapnutí uvidia používatelia plánujúci schôdze s typom relácie Webex Meetings Pro-End to End Encryption_iba VOIP možnosť Digitálny vodoznak v sekcii Zabezpečenie.

Nahrajte a analyzujte stretnutie s vodotlačou

  1. V Control Hub v časti Monitorovanie vyberte položku Riešenie problémov.
  2. Kliknite na položku Analýza vodoznaku.
  3. Vyhľadajte alebo vyberte schôdzu v zozname a potom kliknite na tlačidlo Analyzovať.
  4. V okne Analyzovať zvukovú vodotlač zadajte názov analýzy.
  5. (Voliteľné) Zadajte poznámku pre vašu analýzu.
  6. Presuňte myšou zvukový súbor, ktorý chcete analyzovať, alebo kliknutím na položku Vybrať súbor vyhľadajte zvukový súbor.
  7. Kliknite na tlačidlo Zavrieť.

    Po dokončení analýzy sa zobrazí v zozname výsledkov na stránke Analýza vodoznaku .

  8. Ak chcete zobraziť výsledky analýzy, vyberte stretnutie v zozname. Kliknutím na tlačidlo tlačidlo Stiahnuť stiahnete výsledky.

Vlastnosti a obmedzenia

Faktory, ktoré sa podieľajú na úspešnom dekódovaní zaznamenaného vodoznaku, zahŕňajú vzdialenosť medzi záznamovým zariadením a reproduktorom vydávajúcim zvuk, hlasitosť tohto zvuku, okolitý hluk atď. Naša technológia vodoznaku má dodatočnú odolnosť voči viacnásobnému kódovaniu, čo sa môže stať pri zdieľaní médií.

Táto funkcia je navrhnutá tak, aby umožnila úspešné dekódovanie identifikátora vodoznaku v širokom, ale rozumnom súbore okolností. Naším cieľom je, aby nahrávacie zariadenie, akým je napríklad mobilný telefón, ktorý leží na stole v blízkosti osobného koncového bodu alebo prenosného klienta, vždy vytváralo záznam, ktorého výsledkom je úspešná analýza. Keď sa záznamové zariadenie vzdiali od zdroja alebo je zakryté počutím celého zvukového spektra, šanca na úspešnú analýzu sa znižuje.

Na úspešnú analýzu záznamu je potrebné primerané zachytenie zvuku stretnutia. Ak je zvuk schôdze zaznamenaný na tom istom počítači, ktorý je hostiteľom klienta, obmedzenia by nemali platiť.

Palubné zariadenia (interná CA)

Ak sú vaše zariadenia už integrované do vašej organizácie Control Hub a chcete použiť Webex CA na automatické generovanie ich identifikačných certifikátov, nemusíte zariadenia resetovať na výrobné nastavenia.

Tento postup vyberá doménu, ktorú zariadenie používa na svoju identifikáciu, a je povinný iba vtedy, ak máte v organizácii Control Hub viacero domén. Ak máte viac ako jednu doménu, odporúčame vám to urobiť pre všetky vaše zariadenia, ktoré budú mať identitu overenú spoločnosťou Cisco. Ak Webexu nepoviete, ktorá doména identifikuje zariadenie, automaticky sa vyberie jedna a ostatným účastníkom schôdze sa môže zdať nesprávne.

Skôr ako začnete

Ak vaše zariadenia ešte nie sú zaregistrované, postupujte podľa pokynov v časti Registrácia zariadenia do Cisco Webex pomocou rozhrania API alebo miestneho webového rozhrania alebo Prihlásenie do cloudu pre rady Board, Desk a Room Series. Mali by ste tiež overiť domény, ktoré chcete použiť na identifikáciu zariadení, v časti Správa domén.

1

Prihláste sa do Control Hub a v časti Správa vyberte položku Zariadenia.

2

Výberom zariadenia otvoríte jeho konfiguračný panel.

3

Vyberte doménu, ktorú chcete použiť na identifikáciu tohto zariadenia.

4

Opakujte pre ostatné zariadenia.

Palubné zariadenia (externá CA)

Skôr ako začnete

  • Získajte certifikát a súkromný kľúč podpísaný CA vo formáte .pem pre každé zariadenie.

  • Na karte Pripraviť si prečítajte tému Porozumenie procesu externej identity pre zariadenia,

  • Pripravte si šifrovací nástroj JWE s ohľadom na informácie v ňom uvedené.

  • Uistite sa, že máte nástroj na generovanie náhodných sekvencií bajtov daných dĺžok.

  • Uistite sa, že máte nástroj na kódovanie bajtov alebo textu pomocou base64url.

  • Uistite sa, že máte implementáciu scrypt .

  • Uistite sa, že máte pre každé zariadenie tajné slovo alebo frázu.

1

Vyplňte ClientSecret zariadenia jednoduchým textovým tajným kódom:

Keď prvýkrát vyplníte pole Tajné, zadáte ho ako obyčajný text. Preto to odporúčame urobiť na konzole fyzického zariadenia.

  1. Base64url zakóduje tajnú frázu pre toto zariadenie.

  2. Otvorte prostredie TShell na zariadení.

  3. Spustite xcommand Security ClientSecret Populate Secret: "MDEyMzQ1Njc4OWFiY2RlZg"

    Príklad vyššie uvedeného príkazu vyplní pole Tajné frázou 0123456789abcdef. Treba si vybrať ten svoj.

Zariadenie má svoje počiatočné tajomstvo. Nezabudnite na to; nemôžete ho obnoviť a na opätovné spustenie musíte zariadenie obnoviť z výroby.
2

Zreťazte svoj certifikát a súkromný kľúč:

  1. Pomocou textového editora otvorte súbory .pem, prilepte blob kľúča blob certifikátu a uložte ho ako nový súbor .pem.

    Toto je text užitočného zaťaženia, ktorý zašifrujete a vložíte do svojho blobu JWE.

3

Vytvorte blob JWE, ktorý sa použije ako vstup pre príkaz na pridanie certifikátu:

  1. Vytvorte náhodnú sekvenciu najmenej 4 bajtov. Toto je vaša soľ.

  2. Odvoďte kľúč na šifrovanie obsahu pomocou nástroja na šifrovanie.

    Na to potrebujete tajomstvo, soľ a dĺžku kľúča, ktoré zodpovedajú vybratej šifrovacej šifre. Je potrebné dodať niekoľko ďalších pevných hodnôt (N=32768, r=8, p=1). Zariadenie používa rovnaký proces a hodnoty na odvodenie rovnakého kľúča na šifrovanie obsahu.

  3. Vytvorte náhodnú sekvenciu presne 12 bajtov. Toto je váš inicializačný vektor.

  4. Vytvorte hlavičku JOSE s nastavením kľúčov alg, enc a cisco-kdf podľa popisu v časti Porozumenie procesu externej identity pre zariadenia. Akciu „pridať“ nastavte pomocou kľúča:hodnoty "cisco-action":"add" v hlavičke JOSE (pretože certifikát pridávame do zariadenia).

  5. Base64url zakóduje hlavičku JOSE.

  6. Použite svoj šifrovací nástroj JWE so zvolenou šifrou a hlavičkou JOSE kódovanou base64url na zašifrovanie textu zo zreťazeného súboru pem.

  7. Base64url kóduje inicializačný vektor, zašifrované užitočné zaťaženie PEM a autentifikačnú značku.

  8. Vytvorte blob JWE nasledovne (všetky hodnoty sú zakódované pomocou base64url):

    JOSEHeader..InitVector.EncryptedPEM.AuthTag

4

Otvorte TShell na zariadení a spustite (viacriadkový) príkaz add: 

xcommand Security Certificate Services Add IsEncrypted: Pravdaže..JWE.str.ing\n .\n
5

Overte pridanie certifikátu spustením príkazu xcommand Security Certificates Services Show

Skopírujte odtlačok nového certifikátu.

6

Aktivujte certifikát na účely WebexIdentity:

  1. Prečítajte si odtlačok certifikátu buď zo samotného certifikátu, alebo z výstupu príkazu xcommand Security Certificates Services Show.

  2. Vytvorte náhodnú sekvenciu aspoň 4 bajtov a base64url túto sekvenciu zakódujte. Toto je vaša soľ.

  3. Odvoďte kľúč na šifrovanie obsahu pomocou nástroja na šifrovanie.

    Na to potrebujete tajomstvo, soľ a dĺžku kľúča, ktoré zodpovedajú vybratej šifrovacej šifre. Je potrebné dodať niekoľko ďalších pevných hodnôt (N=32768, r=8, p=1). Zariadenie používa rovnaký proces a hodnoty na odvodenie rovnakého kľúča na šifrovanie obsahu.

  4. Vytvorte náhodnú sekvenciu presne 12 bajtov a base64url túto sekvenciu zakódujte. Toto je váš inicializačný vektor.

  5. Vytvorte hlavičku JOSE s nastavením kľúčov alg, enc a cisco-kdf podľa popisu v časti Porozumenie procesu externej identity pre zariadenia. Akciu "aktivovať" nastavte pomocou kľúča:hodnoty "cisco-action":"activate" v hlavičke JOSE (pretože na zariadení aktivujeme certifikát).

  6. Base64url zakóduje hlavičku JOSE.

  7. Na zašifrovanie odtlačku certifikátu použite svoj šifrovací nástroj JWE so zvolenou šifrou a hlavičkou JOSE kódovanou base64url.

    Nástroj by mal vygenerovať 16 alebo 32 bajtovú sekvenciu v závislosti od toho, či ste vybrali 128 alebo 256 bitový AES-GCM, a autentifikačnú značku.

  8. Base64urlencode zašifrovaný odtlačok prsta a autentifikačnú značku.

  9. Vytvorte blob JWE nasledovne (všetky hodnoty sú zakódované pomocou base64url):

    JOSEHeader..InitVector.EncryptedFingerprint.AuthTag

  10. Otvorte prostredie TShell na zariadení a spustite nasledujúci príkaz na aktiváciu:

     xcommand Security Certificates Services Aktivovať Účel: WebexIdentity Fingerprint: "Váš..JWE.šifrovaný.odtlačok prsta"

Zariadenie má zašifrovaný aktívny certifikát vydaný CA, pripravený na použitie na jeho identifikáciu na schôdzach Webex šifrovaných medzi koncovými bodmi.
7

Pripojte zariadenie do svojej organizácie Control Hub.

Otestujte end-to-end šifrovanie s overením identity
1

Naplánujte si stretnutie správneho typu (Webex Meetings Pro-End to End Encryption_iba VOIP).

Pozrite si časť Naplánovanie stretnutia Webex s end-to-end šifrovaním.

2

Pripojte sa k schôdzi ako hostiteľ z klienta Webex Meetings.

Pozrite si časť Pripojte sa k schôdzi Webex s end-to-end šifrovaním.

3

Pripojte sa k schôdzi zo zariadenia, ktorého identita bola overená CA Webex.

4

Ako hostiteľ overte, či sa toto zariadenie zobrazuje v lobby so správnou ikonou identity.

Pozrite si časť Pripojte sa k schôdzi Webex s end-to-end šifrovaním.

5

Pripojte sa k schôdzi zo zariadenia, ktorého identita bola overená externou CA.

6

Ako hostiteľ overte, či sa toto zariadenie zobrazuje v lobby so správnou ikonou identity. Viac informácií o ikonách identity.

7

Pripojte sa k stretnutiu ako neoverený účastník stretnutia.

8

Ako hostiteľ overte, či sa tento účastník zobrazuje v lobby so správnou ikonou identity.

9

Ako hostiteľ prijmite alebo odmietnite ľudí / zariadenia.

10

Ak je to možné, overte identitu účastníka/zariadenia kontrolou certifikátov.

11

Skontrolujte, či všetci účastníci stretnutia vidia rovnaký bezpečnostný kód stretnutia.

12

Pripojte sa k schôdzi s novým účastníkom.

13

Skontrolujte, či všetci vidia rovnaký, nový bezpečnostný kód stretnutia.

Nastavte rozsah a očakávania

  • Chystáte sa nastaviť schôdze so šifrovaním end-to-end ako predvolenú možnosť schôdze alebo ju povolíte len pre niektorých používateľov alebo umožníte všetkým hostiteľom rozhodnúť? Keď sa rozhodnete, ako budete túto funkciu používať, pripravte tých používateľov, ktorí ju budú používať, najmä s ohľadom na obmedzenia a na to, čo môžete na stretnutí očakávať.

  • Potrebujete zabezpečiť, aby ani Cisco, ani nikto iný nemohol dešifrovať váš obsah alebo odcudziť identitu vašich zariadení? Ak áno, potrebujete certifikáty od verejnej CA.

  • Ak máte rôzne úrovne overenia identity, poskytnite používateľom možnosť vzájomne sa overiť pomocou identity zálohovanej certifikátom. Aj keď existujú okolnosti, za ktorých sa účastníci môžu javiť ako neoverení a účastníci by mali vedieť, ako to skontrolovať, neoverení ľudia nemusia byť podvodníci.

Správa identity

Ak na vydávanie certifikátov zariadenia používate externú CA, je na vás, aby ste monitorovali, obnovovali a opätovne používali certifikáty.

Ak ste vytvorili počiatočný tajný kľúč, uvedomte si, že vaši používatelia môžu chcieť zmeniť tajný kľúč svojho zariadenia. Možno budete musieť vytvoriť rozhranie/distribuovať nástroj, ktorý im to umožní.

ID typu relácie
Tabuľka č. 1 ID typu relácie pre end-to-end šifrované stretnutia

ID typu relácie

Názov verejnej služby

638

Len šifrovanie E2E+VoIP

652

Pro-End to End Encryption_iba VOIP

660

Pro 3 Free-End to End Encryption_iba VOIP

E2E šifrovanie + identita

672

Pro 3 Free50-End to End Encryption_iba VOIP

673

Vzdelávací inštruktor E2E Encryption_iba VOIP

676

Broadworks Standard plus end-to-end šifrovanie

677

Broadworks Premium plus end-to-end šifrovanie

681

Schoology Free plus end-to-end šifrovanie

Súvisiace príkazy xAPI

Tieto tabuľky popisujú príkazy rozhrania API zariadení Webex, ktoré sme pridali pre end-to-end šifrované stretnutia a overenú identitu. Ďalšie informácie o používaní rozhrania API nájdete v časti Prístup k rozhraniu API pre zariadenia Webex Room and Desk Devices a Webex Boards.

Tieto príkazy xAPI sú dostupné iba na zariadeniach, ktoré sú buď:

  • Registrovaný na Webex

  • Registrované na mieste a prepojené s Webex s Webex Edge for Devices

Tabuľka 2 Rozhrania API na systémovej úrovni pre end-to-end šifrované stretnutia a overenú identitu

Volanie API

Opis

xConfiguration Conference EndToEndEncryption Identita PreferredDomain: "example.com"

Táto konfigurácia sa vykoná, keď správca nastaví preferovanú doménu zariadenia z Control Hub. Potrebné iba vtedy, ak má organizácia viac ako jednu doménu.

Zariadenie používa túto doménu, keď požaduje certifikát od Webex CA. Doména potom identifikuje zariadenie.

Táto konfigurácia nie je použiteľná, ak má zariadenie aktívny, externe vydaný certifikát na svoju identifikáciu.

xStatus Conference EndToEndEncryption Dostupnosť

Označuje, či sa zariadenie môže pripojiť k schôdzi so šifrovaním end-to-end. Cloudové API ho volá, aby spárovaná aplikácia vedela, či môže použiť zariadenie na pripojenie.

xStatus Conference EndToEndEncryption Overenie externej identity

Označuje, či zariadenie používa externé overenie (má externe vydaný certifikát).

xStatus Conference EndToEndEncryption ExternalIdentity Identity

Identita zariadenia načítaná z externe vydaného certifikátu Common Name.

xStatus Conference EndToEndEncryption ExternalIdentity CertificateChain Certificate # specificinfo

Číta špecifické informácie z externe vydaného certifikátu.

V zobrazenom príkaze nahraďte znak # číslom certifikátu. Nahraďte špecifické informácie jedným z:

  • Odtlačok prsta

  • NotAfter Dátum ukončenia platnosti

  • NotBefore Dátum začiatku platnosti

  • PrimaryName

  • PublicKeyAlgorithm

  • sériové číslo

  • SignatureAlgorithm

  • Predmet # Názov Zoznam predmetov certifikátu (napr. e-mailová adresa alebo názov domény)

  • Platnosť Udáva stav platnosti tohto certifikátu (napr. platné alebo platnosť vypršala)

xStatus Conference EndToEndEncryption Stav externej identity

Stav externej identity zariadenia (napr. platné alebo chyba).

xStatus Conference EndToEndEncryption Overenie internej identity

Označuje, či má zariadenie platný certifikát vydaný CA Webex.

xStatus Conference EndToEndEncryption InternalIdentity Identity

Identita zariadenia načítaná z Common Name certifikátu vydaného Webexom.

Obsahuje názov domény, ak má organizácia doménu.

Ak organizácia nemá doménu, je prázdne.

Ak je zariadenie v organizácii, ktorá má viacero domén, ide o hodnotu z PreferredDomain.

xStatus Conference EndToEndEncryption Certifikát InternalIdentity CertificateChain č. specificinfo

Prečíta špecifické informácie z certifikátu vydaného Webexom.

V zobrazenom príkaze nahraďte znak # číslom certifikátu. Nahraďte špecifické informácie jedným z:

  • Odtlačok prsta

  • NotAfter Dátum ukončenia platnosti

  • NotBefore Dátum začiatku platnosti

  • PrimaryName

  • PublicKeyAlgorithm

  • sériové číslo

  • SignatureAlgorithm

  • Predmet # Názov Zoznam predmetov certifikátu (napr. e-mailová adresa alebo názov domény)

  • Platnosť Udáva stav platnosti tohto certifikátu (napr. platné alebo platnosť vypršala)

Tabuľka 3. In call API pre end-to-end šifrované stretnutia a overenú identitu

Volanie API

Opis

xEvent Conference ParticipantList ParticipantAdded

xEvent Conference ParticipantList ParticipantAktualizované

xEvent Conference ParticipantList ParticipantDeleted

Tieto tri udalosti teraz zahŕňajú EndToEndEncryptionStatus, EndToEndEncryptionIdentity a EndToEndEncryptionCertInfo pre dotknutého účastníka.

Tabuľka 4. Rozhrania API súvisiace s ClientSecret pre end-to-end šifrované stretnutia a overenú identitu

Volanie API

Opis

xCommand Security ClientSecret Populate Secret: "base64url-encoded"

alebo

xCommand Security ClientSecret Populate Secret: JWEblob

Prijíma hodnotu obyčajného textu zakódovanú v base64url na prvé vloženie tajného kľúča klienta do zariadenia.

Ak chcete aktualizovať tajomstvo po tomto prvom raze, musíte dodať blob JWE obsahujúci nové tajomstvo zašifrované starým tajomstvom.

xCommand Security Certificates Services Pridať JWEblob

Pridá certifikát (so súkromným kľúčom).

Rozšírili sme tento príkaz, aby akceptoval JWE blob obsahujúci zašifrované dáta PEM.

xCommand Security Certificates Services Aktivácia Účel:WebexIdentity FingerPrint: JWEblob

Aktivuje špecifický certifikát pre WebexIdentity. Na tento účel príkaz vyžaduje, aby bol identifikačný odtlačok zašifrovaný a serializovaný v blobe JWE.

xCommand Security Certificate Services Deaktivácia Účel:WebexIdentity Fingerprint: JWEblob

Deaktivuje špecifický certifikát pre WebexIdentity. Na tento účel príkaz vyžaduje, aby bol identifikačný odtlačok zašifrovaný a serializovaný v blobe JWE.