Uporabniška izkušnja

Uporabniki ob načrtovanju sestanka izberejo vrsto sestanka. Pri sprejemu udeležencev iz preddverja in med sestankom lahko gostitelj vidi status preverjanja identitete vsakega udeleženca. Obstaja tudi koda sestanka, ki je skupna vsem trenutnim udeležencem sestanka in s katero lahko preverijo, ali njihovega sestanka ni prestregla nezaželena tretja oseba z napadom MITM (Meddler In The Middle).

Gostiteljem srečanja sporočite naslednje informacije:

Preverjanje identitete z notranjim ali zunanjim CA

Preverjanje identitete

Šifriranje od konca do konca s preverjanjem identitete zagotavlja dodatno varnost šifriranega sestanka od konca do konca.

Ko se udeleženci ali naprave pridružijo skupni skupini MLS (Messaging Layer Security), predložijo svoja potrdila drugim članom skupine, ki jih nato potrdijo pri overiteljih, ki jih izdajajo. S potrditvijo veljavnosti potrdil CA preveri identiteto udeležencev, sestanek pa prikaže udeležence/naprave kot preverjene.

Uporabniki aplikacij Webex se avtentificirajo v shrambi identitet Webex, ki jim ob uspešni avtentikaciji izda žeton dostopa. Če potrebujejo potrdilo za preverjanje svoje identitete v šifriranem sestanku od konca do konca, jim Webex CA izda potrdilo na podlagi njihovega žetona za dostop. Trenutno uporabnikom storitve Webex Meetings ne omogočamo, da bi pridobili potrdilo, ki bi ga izdala tretja oseba ali zunanji CA.

Naprave se lahko avtentificirajo s potrdilom, ki ga izda notranji (Webexov) CA, ali s potrdilom, ki ga izda zunanji CA:

  • Notranji CA-Webex izda notranje potrdilo na podlagi žetona dostopa strojnega računa naprave. Potrdilo podpiše Webex CA. Naprave nimajo uporabniških identifikatorjev na enak način kot uporabniki, zato Webex pri zapisovanju identitete potrdila naprave (Common Name (CN)) uporablja (eno od) domen vaše organizacije.

  • Zunanji CA - zahtevajte in kupite potrdila naprave neposredno od izbranega izdajatelja. Potrdila morate šifrirati, neposredno naložiti in avtorizirati z uporabo skrivnosti, ki je znana samo vam.

    Cisco ni vpleten, zato lahko na ta način zagotovite resnično šifriranje od konca do konca in preverjeno identiteto ter preprečite teoretično možnost, da bi Cisco prisluškoval vašemu sestanku/dešifriral vaše medije.

Interno izdano potrdilo naprave

Webex izda potrdilo napravi, ko se ta registrira po zagonu, in ga po potrebi obnovi. Za naprave certifikat vključuje ID računa in domeno.

Če vaša organizacija nima domene, Webex CA izda potrdilo brez domene.

Če ima vaša organizacija več domen, lahko s Control Hubom storitvi Webex poveste, katero domeno naj naprava uporabi za svojo identiteto. Uporabite lahko tudi API xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com".

Če imate več domen in ne nastavite prednostne domene za napravo, Webex izbere eno namesto vas.

Zunanje izdano potrdilo naprave

Upravitelj lahko napravo opremi s svojim potrdilom, ki je bilo podpisano z enim od javnih overiteljev.

Potrdilo mora temeljiti na paru ključev ECDSA P-256, lahko pa je podpisano s ključem RSA.

Vrednosti v certifikatu so odvisne od odločitve organizacije. V uporabniškem vmesniku sestanka Webex bosta prikazana skupno ime (CN) in alternativno ime subjekta (SAN), kot je opisano v End-to-end encryption with identity verification for Webex Meetings.

Priporočamo, da za vsako napravo uporabite ločeno potrdilo in edinstveno oznako CN za vsako napravo. Na primer "meeting-room-1.example.com" za organizacijo, ki ima v lasti domeno example.com.

Za popolno zaščito zunanjega potrdila pred ponarejanjem se za šifriranje in podpisovanje različnih ukazov xcommand uporablja funkcija client-secret.

Če uporabljate skrivnost odjemalca, lahko varno upravljate zunanje potrdilo identitete Webex prek vmesnika xAPI. Trenutno je ta možnost omejena na spletne naprave.

Webex trenutno ponuja ukaze API za upravljanje tega.

Lastnosti in omejitve

Naprave

Sestankom E2EE se lahko pridružijo naslednje naprave iz serije Webex Room in Webex Desk, ki so registrirane v oblaku:

  • Webex Board

  • Webex Desk Pro

  • Pisalna miza Webex

  • Komplet za sobo Webex

  • Komplet Webex Room Kit Mini

Naslednje naprave se ne morejo pridružiti sestankom E2EE:

  • Webex C Series

  • Serija Webex DX

  • Serija Webex EX

  • Webex MX Series

  • Naprave SIP tretjih oseb

Odjemalci programske opreme

  • Aplikacija Webex za namizne in mobilne odjemalce se lahko pridruži sestankom E2EE.

  • Spletni odjemalec Webex se ne more pridružiti sestankom E2EE.

  • Odjemalci SIP tretjih oseb se ne morejo pridružiti sestankom E2EE.

Identiteta

  • Po zasnovi ne zagotavljamo možnosti nadzornega vozlišča za upravljanje zunanje preverjene identitete naprave. Za resnično šifriranje od konca do konca morate skrivnosti in ključe poznati oziroma do njih dostopati samo vi. Če bi za upravljanje teh ključev uvedli storitev v oblaku, bi obstajala možnost, da bi bili ti ključi prestreženi.

  • Trenutno vam zagotavljamo "recept" za oblikovanje lastnih orodij, ki temeljijo na standardnih tehnikah šifriranja in vam pomagajo pri zahtevanju ali šifriranju potrdil o identiteti naprave in njihovih zasebnih ključev. Ne želimo imeti nobenega dejanskega ali navideznega dostopa do vaših skrivnosti ali ključev.

Sestanki

  • Na sestankih E2EE lahko trenutno sodeluje največ 1000 udeležencev.

  • Na sestankih E2EE lahko v skupno rabo dajete nove bele table. Obstajajo nekatere razlike v primerjavi z belimi tablami na običajnih sestankih:
    • Na sestankih E2EE uporabniki ne morejo dostopati do belih tabel, ustvarjenih zunaj sestanka, vključno z zasebnimi tablami, tablami, ki jih delijo drugi, in tablami iz prostorov Webex.
    • Bele table, ustvarjene na sestankih E2EE, so na voljo samo med sestankom. Po koncu sestanka se ne shranijo in niso na voljo.
    • Če nekdo deli vsebino na sestanku E2EE, jo lahko opišete. Za več informacij o opombiranju glejte Aplikacija Webex | Označite skupno vsebino z opombami.

Vmesnik za upravljanje

Priporočamo, da za upravljanje spletnega mesta Srečanja uporabite Control Hub, saj imajo organizacije Control Hub centralizirano identiteto za celotno organizacijo.

Dodatni viri
Predpogoji

  • Srečanja Webex 41.7.

  • Naprave Webex Room in Webex Desk serije, registrirane v oblaku, s sistemom 10.6.1-RoomOS_August_2021.

  • upraviteljski dostop do mesta sestanka v vozlišču Control Hub.

  • Ena ali več preverjenih domen v organizaciji Control Hub (če uporabljate Webex CA za izdajo potrdil naprav za preverjeno identiteto).

  • Sobe za sestanke za sodelovanje morajo biti vklopljene, da se jim lahko ljudje pridružijo iz svojega video sistema. Za več informacij glejte Omogočite video sistemom, da se pridružijo sestankom in dogodkom na spletnem mestu Webex.

Pridobite potrdila naprave

Ta korak lahko preskočite, če ne potrebujete zunanje preverjenih identitet.

Za najvišjo raven varnosti in preverjanje identitete mora imeti vsaka naprava edinstveno potrdilo, ki ga izda zaupanja vreden javni organ za potrjevanje (CA).

Za zahtevo, nakup in prejem digitalnih potrdil ter ustvarjanje pripadajočih zasebnih ključev morate sodelovati z overiteljem. Ko zahtevate potrdilo, uporabite te parametre:

  • Potrdilo mora izdati in podpisati znana javna overiteljica.

  • Edinstveno: Priporočamo, da za vsako napravo uporabite edinstveno potrdilo. Če za vse naprave uporabljate eno potrdilo, ogrožate svojo varnost.

  • Splošno ime (KN) in nadomestno ime predmeta (SAN/s): Te vrednosti niso pomembne za Webex, vendar morajo biti vrednosti, ki jih lahko ljudje preberejo in povežejo z napravo. CN bo drugim udeležencem sestanka prikazan kot primarna preverjena identiteta naprave, če pa uporabniki pregledajo potrdilo prek uporabniškega vmesnika sestanka, bodo videli SAN/s. Morda boste želeli uporabiti imena, kot so name.model@example.com.

  • Format datoteke: Potrdila in ključi morajo biti v obliki .pem .

  • Namen: Namen potrdila mora biti Webex Identity.

  • Ustvarjanje ključev: Potrdila morajo temeljiti na parih ključev ECDSA P-256 (algoritem digitalnega podpisovanja z eliptično krivuljo z uporabo krivulje P-256).

    Ta zahteva ne velja za podpisni ključ. Overitelj lahko za podpis potrdila uporabi ključ RSA.

Priprava na vgradnjo naprav

Ta korak lahko preskočite, če v napravah ne želite uporabljati zunanje preverjene identitete.

Če uporabljate nove naprave, jih še ne registrirajte v storitvi Webex. Za varnost jih na tej točki ne povežite z omrežjem.

Če imate obstoječe naprave, ki jih želite nadgraditi za uporabo zunanje preverjene identitete, morate naprave tovarniško ponastaviti.

  • Če želite ohraniti obstoječo konfiguracijo, jo shranite.

  • Načrtujte obdobje, ko se naprave ne uporabljajo, ali pa uporabite postopen pristop. Uporabnike obvestite o spremembah, ki jih lahko pričakujejo.

  • Zagotovite fizični dostop do naprav. Če morate do naprav dostopati prek omrežja, se zavedajte, da se skrivnosti prenašajo v odprtem besedilu in da s tem ogrožate svojo varnost.

Ko opravite te korake, omogočite video sistemom, da se pridružijo sestankom in dogodkom na vašem spletnem mestu Webex.

Razumevanje postopka zunanje identitete za naprave

Če želite zagotoviti, da medija v napravi ne more šifrirati nihče drug kot naprava, morate zasebni ključ šifrirati v napravi. Za napravo smo zasnovali vmesnike API, ki omogočajo upravljanje šifriranega ključa in potrdila z uporabo spletnega šifriranja JSON (JWE).

Da bi zagotovili resnično šifriranje od konca do konca prek našega oblaka, ne moremo sodelovati pri šifriranju ter prenosu potrdila in ključa. Če potrebujete to raven varnosti, morate:

  1. Zahtevajte potrdila.

  2. Ustvarite pare ključev svojih potrdil.

  3. Ustvarite (in zaščitite) začetno skrivnost za vsako napravo, da se omogoči začetek šifriranja naprave.

  4. Razvijte in vzdržujte lastno orodje za šifriranje datotek s standardom JWE.

    Postopek in (netajni) parametri, ki jih potrebujete, so pojasnjeni v nadaljevanju, prav tako pa je opisan recept, ki ga lahko uporabite v izbranem razvojnem orodju. Zagotavljamo tudi nekaj preskusnih podatkov in dobljene bloke JWE, kot jih pričakujemo, da boste lahko preverili svoj postopek.

    Nepodprta referenčna implementacija, ki uporablja Python3 in knjižnico JWCrypto, je na zahtevo na voljo pri Ciscu.

  5. S pomočjo orodja in začetne skrivnosti naprave združite in šifrirajte potrdilo in ključ.

  6. Dobljeni blob JWE prenesite v napravo.

  7. Nastavite namen šifriranega potrdila, ki se bo uporabljal za identiteto Webex, in aktivirajte potrdilo.

  8. (Priporočljivo) Zagotovite vmesnik za svoje orodje (ali ga distribuirajte), ki uporabnikom naprave omogoča, da spremenijo začetno skrivnost in zaščitijo svoje medije pred vami.

Kako uporabljamo format JWE

V tem razdelku je opisano, kako pričakujemo, da bo JWE ustvarjen kot vhodni podatek za naprave, tako da lahko izdelate lastno orodje za ustvarjanje blobov iz vaših potrdil in ključev.

Oglejte si JSON Web Encryption (JWE) https://datatracker.ietf.org/doc/html/rfc7516 in JSON Web Signature (JWS) https://datatracker.ietf.org/doc/html/rfc7515.

Za ustvarjanje blobov JWE uporabljamo Compact Serialization dokumenta JSON. Parametri, ki jih morate vključiti pri ustvarjanju kapljic JWE, so:

  • JOSE Header (zaščiteno). V glavi za podpisovanje in šifriranje objektov JSON MORAJO biti naslednji pari ključ-vrednost:

    • "alg": "dir"

      Neposredni algoritem je edini, ki ga podpiramo za šifriranje koristnega bremena, pri čemer morate uporabiti začetno skrivnost odjemalca naprave.

    • "enc": "A128GCM" ali "enc": "A256GCM"

      Podpiramo ta dva algoritma šifriranja.

    • "cisco-action": "add" ali "cisco-action": cisco-action": "populate" ali "cisco-action": "activate" ali "cisco-action": "deaktivirati".

      To je lastniški ključ in ima lahko štiri vrednosti. S tem ključem ciljni napravi sporočimo namen šifriranih podatkov. Vrednosti so poimenovane po ukazih xAPI v napravi, v kateri uporabljate šifrirane podatke.

      Poimenovali smo ga cisco-action , da bi ublažili morebitne spopade s prihodnjimi razširitvami JWE.

    • "cisco-kdf": {"različica": "1", "sol": "base64URLEncodedRandom4+Bytes" }

      Še en lastniški ključ. Vrednosti, ki jih navedete, uporabljamo kot vhodne podatke za izpeljavo ključev v napravi. Različica mora biti 1 (različica naše funkcije za izpeljavo ključa). Vrednost soli mora biti zaporedje naslovov URL v kodiranju base64, sestavljeno iz vsaj 4 bajtov, ki jih morate izbrati naključno.

  • Šifrirani ključ JWE. To polje je prazno. Naprava ga izpelje iz začetnega ClientSecret.

  • Inicializacijski vektor JWE. Zagotoviti morate inicializacijski vektor, kodiran v base64url, za dešifriranje koristnega bremena. IV MORA biti naključna 12-bajtna vrednost (uporabljamo družino šifrantov AES-GCM, ki zahteva, da je IV dolg 12 bajtov).

  • JWE AAD (dodatni overjeni podatki). To polje morate izpustiti, ker ni podprto v kompaktni serializaciji.

  • Šifrirano besedilo JWE: To je šifrirani koristni tovor, ki ga želite ohraniti v tajnosti.

    Koristni tovor je lahko prazen. Če želite na primer ponastaviti skrivnost odjemalca, jo morate prepisati s prazno vrednostjo.

    Glede na to, kaj želite v napravi narediti, obstajajo različne vrste koristnih bremen. Različni ukazi xAPI pričakujejo različne koristne obremenitve, zato morate določiti namen koristne obremenitve s ključem cisco-action , kot sledi:

    • S "cisco-action": "populate" je šifrirano besedilo nova ClientSecret.

    • Z ""cisco-action": "add" je šifrirano besedilo blob PEM, ki vsebuje certifikat in njegov zasebni ključ (združena).

    • S ""cisco-action": "activate" je šifrirano besedilo prstni odtis (heksadecimalna predstavitev sha-1) potrdila, ki ga aktiviramo za preverjanje identitete naprave.

    • Pri ""cisco-action": "deactivate" je šifrirano besedilo prstni odtis (heksadecimalna predstavitev sha-1) potrdila, ki ga deaktiviramo iz uporabe za preverjanje identitete naprave.

  • Oznaka za preverjanje pristnosti JWE: To polje vsebuje avtentikacijsko oznako za preverjanje celovitosti celotnega kompaktno serializiranega bloba JWE.

Kako izpeljemo šifrirni ključ iz ClientSecret

Po prvi populaciji skrivnosti skrivnosti ne sprejmemo ali izpišemo kot navadno besedilo. S tem preprečite morebitne napade s slovarjem, ki bi jih lahko izvedla oseba, ki bi lahko dostopala do naprave.

Programska oprema naprave uporablja skrivnost odjemalca kot vhodni podatek za funkcijo izpeljave ključa (kdf) in nato izpeljani ključ uporabi za dešifriranje/šifriranje vsebine v napravi.

To za vas pomeni, da mora vaše orodje za izdelavo blobov JWE uporabiti enak postopek, da bi iz skrivnosti odjemalca pridobilo enak šifrirni/dešifrirni ključ.

Naprave uporabljajo scrypt za izpeljavo ključa (glejte https://en.wikipedia.org/wiki/Scrypt) z naslednjimi parametri:

  • CostFactor (N) je 32768

  • BlockSizeFactor (r) je 8

  • Paralelizacijski faktor (p) je 1

  • Sol je naključno zaporedje najmanj 4 bajtov; to isto sol morate navesti, ko določite parameter cisco-kdf .

  • Dolžina ključa je 16 bajtov (če izberete algoritem AES-GCM 128) ali 32 bajtov (če izberete algoritem AES-GCM 256).

  • Največja omejitev pomnilnika je 64 MB

Ta niz parametrov je edina konfiguracija scrypt , ki je združljiva s funkcijo izpeljave ključa v napravah. Ta kdf se v napravah imenuje "version": "1", kar je edina različica, ki jo trenutno prevzema parameter cisco-kdf .

Delujoči primer

Tukaj je primer, po katerem lahko preverite, ali vaš postopek šifriranja JWE deluje enako kot postopek, ki smo ga ustvarili v napravah.

Primer scenarija je dodajanje bloba PEM v napravo (posnema dodajanje potrdila, vendar je namesto celotnega potrdila in ključa zelo kratek niz). Skrivnost odjemalca v primeru je ossifrage.

  1. Izberite šifro za šifriranje. Ta primer uporablja A128GCM (AES s 128-bitnimi ključi v načinu Galoisovega števca). Če želite, lahko vaše orodje uporablja A256GCM .

  2. Izberite sol (izbrati morate naključno zaporedje vsaj 4 bajtov). V tem primeru so uporabljeni (šestnajsti bajti)E5 E6 53 08 03 F8 33 F6. Zaporedje kodirajte v base64url, da dobite 5eZTCAP4M_Y (odstranite polnilo base64).

  3. Tukaj je vzorec klica scrypt za ustvarjanje ključa za šifriranje vsebine (cek):

    cek=scrypt(geslo="ossifrage", sol=4-byte-sequence, N=32768, r=8, p=1, dolžina ključa=16)

    Izpeljani ključ mora biti 16 bajtov (hex), kot sledi:95 9e ba 6d d1 22 01 05 78 fe 6a 9d 22 78 ff ac , ki ga base64url kodira v lZ66bdEiAQV4_mqdInj_rA.

  4. Izberite naključno zaporedje 12 bajtov, ki ga boste uporabili kot inicializacijski vektor. Ta primer uporablja (hex) 34 b3 5d dd 5f 53 7b af 2d 92 95 83 , ki ga base64url kodira v NLNd3V9Te68tkpWD.

  5. Ustvarite glavo JOSE s kompaktno serializacijo (upoštevajte enak vrstni red parametrov, kot ga uporabljamo tukaj) in jo nato kodirajte z base64url:

    {"alg":"dir","cisco-action":"add","cisco-kdf":{"salt":"5eZTCAP4M_Y","version":"1"},"enc":"A128GCM"}

    Naslovnica JOSE, kodirana v base64url, je eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ9

    To bo prvi element kapljice JWE.

  6. Drugi element bloba JWE je prazen, ker ne zagotavljamo šifrirnega ključa JWE.

  7. Tretji element kapljice JWE je inicializacijski vektor NLNd3V9Te68tkpWD.

  8. Uporabite orodje za šifriranje JWE za izdelavo šifriranega koristnega bremena in oznake. V tem primeru bo nešifrirani koristni tovor ponarejeni blob PEM to je datoteka PEM.

    Parametri šifriranja, ki jih morate uporabiti, so:

    • Koristni tovor je to je datoteka PEM

    • Šifriranje je AES 128 GCM

    • Base64url kodirana glavička JOSE kot dodatni overjeni podatki (AAD)

    Base64url kodiranje šifriranega koristnega tovora, ki mora biti f5lLVUWNfKfmzYCo1YJfODhQ

    To je četrti element (šifrirano besedilo JWE) v blobu JWE.

  9. V kodi Base64url kodirajte oznako, ki ste jo ustvarili v koraku 8, rezultat pa bo PE-wDFWGXFFBeo928cfZ1Q.

    To je peti element v kapljici JWE.

  10. Združite pet elementov bloba JWE s pikami (JOSEheader..IV.Ciphertext.Tag), da dobite:

    eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

  11. Če ste z lastnimi orodji izpeljali enake kodirane vrednosti base64url, kot jih prikazujemo tukaj, jih lahko uporabite za zaščito šifriranja E2E in preverjene identitete svojih naprav.

  12. Ta primer dejansko ne bo deloval, vendar bi bil vaš naslednji korak uporaba zgoraj ustvarjenega bloba JWE kot vnosa za ukaz xcommand v napravi, ki dodaja potrdilo:

    xCommand Varnostna potrdila Dodajte eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

Vrste sej za sestanke brez zaupanja so na voljo vsem mestom sestankov brez dodatnih stroškov. Ena od teh vrst sej se imenuje Pro-End to End Encryption_VOIPonly. To je ime javne službe , ki ga lahko v prihodnosti spremenimo. Trenutna imena tipov sej najdete v razdelku ID-ji tipov sej v razdelku Reference v tem članku.

Za pridobitev te možnosti za vaše spletno mesto vam ni treba storiti ničesar, vendar morate uporabnikom dodeliti novo vrsto seje (imenovano tudi Meeting Privilege). To lahko storite posamično na strani za konfiguracijo uporabnika ali množično z izvozom/uvozom CSV.

Preverite novo vrsto seje
1

Prijavite se v Control Hub in pojdite na Services > Meeting.

2

Kliknite Sites, izberite spletno mesto Webex, za katerega želite spremeniti nastavitve, in nato kliknite Settings.

3

V razdelku Skupne nastavitve izberite Vrste sej.

4
Videti morate eno ali več vrst sej za šifriranje od konca do konca. Oglejte si seznam identifikatorjev vrste seje v razdelku Reference tega članka. Na primer, lahko vidite Pro-End to End Encryption_VOIPonly.

Obstaja starejša vrsta seje z zelo podobnim imenom: Šifriranje od konca do konca. Ta vrsta seje vključuje nešifriran dostop PSTN do sestankov. Prepričajte se, da imate različico _VOIPonly , ki zagotavlja šifriranje od konca do konca. To lahko preverite tako, da v stolpcu s kodo seje podrsnete nad povezavo PRO ; v tem primeru mora biti cilj povezave javascript:ShowFeature(652).

V prihodnosti lahko spremenimo imena javnih storitev za te vrste sej.

5

Če še nimate nove vrste seje, se obrnite na predstavnika družbe Webex.

Kaj storiti naprej

Omogočite to vrsto seje / privilegij sestanka nekaterim ali vsem uporabnikom.

Omogočanje sestankov E2EE za posamezne uporabnike
1

Prijavite se v Control Hub in pojdite na Management > Users.

2

Izberite uporabniški račun, ki ga želite posodobiti, nato pa izberite Meetings.

3

V spustnem seznamu Settings apply to izberite mesto sestanka, ki ga želite posodobiti.

4

Označite polje poleg Pro-End to End Encryption_VOIPonly.

5

Zaprite uporabniško konfiguracijsko ploščo.

6

Po potrebi ponovite za druge uporabnike.

Če želite to dodeliti več uporabnikom, uporabite naslednjo možnost: Omogoči sestanke E2EE za več uporabnikov.

Omogočanje sestankov E2EE za več uporabnikov
1

Prijavite se v Control Hub in pojdite na Services > Meeting.

2

Kliknite Sites, izberite spletno mesto Webex, za katerega želite spremeniti nastavitve.

3

V razdelku Licence in uporabniki kliknite Množično upravljanje.

4

Kliknite Generate Report in počakajte, da pripravimo datoteko.

5

Ko je datoteka pripravljena, kliknite Izvozi rezultate in nato Prenesi. (Po kliku na Prenesi morate to pojavno okno ročno zapreti.)

6

Odprite preneseno datoteko CSV za urejanje.

Za vsakega uporabnika je ena vrstica, stolpec MeetingPrivilege pa vsebuje ID-je vrste seje kot seznam, ločen z vejico.

7

Za vsakega uporabnika, ki mu želite dodeliti novo vrsto seje, dodajte 1561 kot novo vrednost na seznam, ločen z vejico, v celico MeetingPrivilege .

Na spletni strani Webex CSV File Format Reference so podrobnosti o namenu in vsebini datoteke CSV.

8

V vozlišču Control Hub odprite ploščo za konfiguracijo mesta srečanja.

Če ste že bili na strani s seznamom mest srečanj, jo boste morda morali osvežiti.

9

V razdelku Licence in uporabniki kliknite Množično upravljanje.

10

Kliknite Uvozi in izberite urejeni CSV, nato kliknite Uvozi. Počakajte, da se datoteka naloži.

11

Ko je uvoz končan, lahko kliknete Rezultati uvoza in preverite, ali so bile storjene kakšne napake.

12

Pojdite na stran Users in odprite enega od uporabnikov ter preverite, ali ima novo vrsto seje.

Dodajanje zvočnega vodnega znaka za varnost

Posnetkom sestankov lahko dodate vodni žig s Webex Meetings Pro-End to End Encryption_VOIPonly vrsto seje, ki omogoča prepoznavanje izvornega odjemalca ali naprave nepooblaščenih posnetkov zaupnih sestankov.

Ko je ta funkcija omogočena, zvočni posnetek sestanka vključuje edinstven identifikator za vsakega sodelujočega odjemalca ali napravo. Zvočne posnetke lahko naložite v vozlišče Control Hub, ki nato analizira posnetek in poišče edinstvene identifikatorje. V rezultatih lahko preverite, kateri odjemalec vira ali naprava je posnela sestanek.

  • Za analizo mora biti posnetek v obliki datoteke AAC, MP3, M4A, WAV, MP4, AVI ali MOV, ki ni večja od 500 MB.
  • Posnetek mora biti daljši od 100 sekund.
  • Analizirate lahko samo posnetke sestankov, ki jih gostijo osebe v vaši organizaciji.
  • Informacije o vodnem znaku se hranijo enako dolgo kot informacije o sestanku organizacije.

Dodajanje zvočnih vodnih žigov na sestanke E2EE

  1. Prijavite se v Control Hub, nato pod Management izberite Organization Settings.
  2. V razdelku Meeting watermarks preklopite na Add audio watermark.

    Nekaj časa po tem, ko je ta možnost vklopljena, se uporabnikom, ki načrtujejo sestanke s Webex Meetings Pro-End to End Encryption_VOIPonly vrsto seje, v razdelku Varnost prikaže možnost Digital Watermarking .

Prenos in analiza sestanka z vodnim žigom

  1. V vozlišču Control Hub v razdelku Monitoring izberite Troubleshooting.
  2. Kliknite Analiza vodnega znaka.
  3. Poiščite ali izberite sestanek na seznamu, nato kliknite Analyze.
  4. V oknu Analyze audio watermark vnesite ime za analizo.
  5. (Neobvezno) Vnesite opombo za analizo.
  6. Povlecite in spustite zvočno datoteko, ki jo želite analizirati, ali kliknite Izberite datoteko in poiščite zvočno datoteko.
  7. Kliknite Zapri.

    Ko je analiza končana, bo prikazana na seznamu rezultatov na strani Analyze watermark .

  8. Izberite sestanek na seznamu, da si ogledate rezultate analize. Za prenos rezultatov kliknite Gumb za prenos .

Lastnosti in omejitve

Dejavniki za uspešno dekodiranje posnetega vodnega znaka vključujejo razdaljo med snemalno napravo in zvočnikom, ki oddaja zvok, glasnost tega zvoka, hrup okolja itd. Naša tehnologija vodnega znaka je dodatno odporna na večkratno kodiranje, kar se lahko zgodi pri souporabi medija.

Ta funkcija je zasnovana tako, da omogoča uspešno dekodiranje identifikatorja vodnega znaka v širokem, a razumnem naboru okoliščin. Naš cilj je, da snemalna naprava, kot je mobilni telefon, ki leži na mizi v bližini osebne končne točke ali prenosnega računalnika, vedno ustvari posnetek, ki omogoča uspešno analizo. Ko se snemalna naprava oddalji od vira zvoka ali ko se zasenči celoten zvočni spekter, so možnosti za uspešno analizo manjše.

Za uspešno analizo posnetka je potreben ustrezen posnetek zvoka sestanka. Če je zvok sestanka posnet v istem računalniku, v katerem je nameščen odjemalec, omejitve ne veljajo.

Vgrajene naprave (notranji CA)

Če so naprave že vključene v organizacijo Control Hub in želite uporabiti Webex CA za samodejno generiranje identifikacijskih potrdil, vam naprav ni treba ponastaviti na tovarniško nastavitev.

S tem postopkom izberete domeno, ki jo naprava uporablja za identifikacijo, in je potreben le, če imate v organizaciji Control Hub več domen. Če imate več kot eno domeno, priporočamo, da to storite za vse naprave, ki bodo imele identiteto "Cisco-verified". Če storitvi Webex ne poveste, katera domena identificira napravo, se samodejno izbere ena od njih, kar se lahko drugim udeležencem sestanka zdi napačno.

Preden začnete

Če vaše naprave še niso vgrajene, sledite navodilom Registracija naprave v Cisco Webex z uporabo vmesnika API ali lokalnega spletnega vmesnika ali Vgradnja v oblak za serije Board, Desk in Room Series. Prav tako morate preveriti domeno/e, ki jo/jih želite uporabiti za identifikacijo naprav, na spletnem mestu Upravljanje domen.

1

Prijavite se v Control Hub in v razdelku Management izberite Devices.

2

Izberite napravo, da odprete njeno konfiguracijsko ploščo.

3

Izberite domeno, ki jo želite uporabiti za identifikacijo te naprave.

4

Ponovite za druge naprave.

Vgrajene naprave (zunanji CA)

Preden začnete

  • Za vsako napravo pridobite potrdilo, podpisano s CA, in zasebni ključ v obliki .pem .

  • V zavihku Pripravite preberite temo Understanding External Identity Process for Devices,

  • Pripravite orodje za šifriranje JWE glede na informacije v njem.

  • Zagotovite si orodje za generiranje naključnih zaporedij bajtov določenih dolžin.

  • Prepričajte se, da imate orodje za kodiranje bajtov ali besedila base64url.

  • Prepričajte se, da imate implementacijo scrypt .

  • Za vsako napravo imejte skrivno besedo ali besedno zvezo.

1

Napolnite ClientSecret naprave s skrivnostjo navadnega besedila:

Ko prvič napolnite Secret, ga navedete v obliki navadnega besedila. Zato priporočamo, da to storite na konzoli fizične naprave.

  1. Base64url kodiranje tajnega stavka za to napravo.

  2. V napravi odprite TShell.

  3. Zaženi xcommand Security ClientSecret Populate Secret: "MDEyMzQ1Njc4OWFiY2RlZg"

    Zgornji primer ukaza zapolni polje Secret z besedno zvezo 0123456789abcdef. Izbrati morate svojega.

Naprava ima svojo začetno skrivnost. Tega ne pozabite, saj ga ne morete obnoviti in morate napravo tovarniško ponastaviti, če želite začeti znova.
2

Združite svoje potrdilo in zasebni ključ:

  1. Z urejevalnikom besedila odprite datoteke .pem, prilepite blob ključa in blob potrdila ter ga shranite kot novo datoteko .pem.

    To je besedilo koristnega bremena, ki ga boste šifrirali in vstavili v svoj blob JWE.

3

Ustvarite blob JWE, ki ga uporabite kot vhodni podatek za ukaz za dodajanje potrdila:

  1. Ustvarite naključno zaporedje vsaj 4 bajtov. To je vaša sol.

  2. Z orodjem scrypt izpeljite ključ za šifriranje vsebine.

    Za to potrebujete skrivnost, sol in dolžino ključa, ki se ujema z izbrano šifro šifriranja. Navesti je treba še nekatere druge fiksne vrednosti (N=32768, r=8, p=1). Naprava uporablja isti postopek in vrednosti za pridobitev istega ključa za šifriranje vsebine.

  3. Ustvarite naključno zaporedje natanko 12 bajtov. To je vaš inicializacijski vektor.

  4. Ustvarite glavo JOSE in nastavite alg, enc in cisco-kdf ključe, kot je opisano v Understanding External Identity Process for Devices. V glavi JOSE nastavite akcijo "dodaj" z uporabo ključa:vrednosti "cisco-action": "add" (ker dodajamo certifikat v napravo).

  5. Base64url kodiranje glave JOSE.

  6. Uporabite orodje za šifriranje JWE z izbrano šifro in glavo JOSE, kodirano z base64url, za šifriranje besedila iz združene datoteke pem.

  7. Base64url kodira inicializacijski vektor, šifrirani koristni tovor PEM in oznako avtentikacije.

  8. Blob JWE sestavite na naslednji način (vse vrednosti so kodirane v base64url):

    JOSEHeader..InitVector.EncryptedPEM.AuthTag

4

V napravi odprite TShell in zaženite (večvrstični) ukaz dodaj: 

xcommand Varnostna potrdila Storitve Dodaj IsEncrypted: Resnično vaš...JWE.str.ing\n .\n
5

Preverite, ali je potrdilo dodano, tako da zaženete xcommand Security Certificates Services Show

Kopirajte prstni odtis novega potrdila.

6

Aktivirajte potrdilo za namen WebexIdentity:

  1. Preberite prstni odtis potrdila, bodisi iz samega potrdila bodisi iz izpisa xcommand Security Certificates Services Show.

  2. Ustvarite naključno zaporedje vsaj 4 bajtov in ga kodirajte s kodo base64url. To je vaša sol.

  3. Z orodjem scrypt izpeljite ključ za šifriranje vsebine.

    Za to potrebujete skrivnost, sol in dolžino ključa, ki se ujema z izbrano šifro šifriranja. Navesti je treba še nekatere druge fiksne vrednosti (N=32768, r=8, p=1). Naprava uporablja isti postopek in vrednosti za pridobitev istega ključa za šifriranje vsebine.

  4. Ustvarite naključno zaporedje natanko 12 bajtov in ga kodirajte s kodo base64url. To je vaš inicializacijski vektor.

  5. Ustvarite glavo JOSE in nastavite alg, enc in cisco-kdf ključe, kot je opisano v Understanding External Identity Process for Devices. V glavi JOSE nastavite akcijo "activate" z uporabo ključ:vrednost "cisco-action": "activate" (ker bomo aktivirali certifikat v napravi).

  6. Base64url kodiranje glave JOSE.

  7. Za šifriranje prstnega odtisa potrdila uporabite orodje za šifriranje JWE z izbrano šifro in glavo JOSE, kodirano v base64url.

    Orodje mora prikazati zaporedje 16 ali 32 bajtov, odvisno od tega, ali ste izbrali 128 ali 256-bitni AES-GCM, in avtentikacijsko oznako.

  8. Base64urlencode zašifriranega prstnega odtisa in avtentikacijske oznake.

  9. Blob JWE sestavite na naslednji način (vse vrednosti so kodirane v base64url):

    JOSEHeader..InitVector.EncryptedFingerprint.AuthTag

  10. V napravi odprite TShell in zaženite naslednji ukaz activate:

     xcommand Storitve aktiviranja varnostnih potrdil Namen: WebexIdentity Prstni odtis: "JWE.encrypted.fingerprint"

Naprava ima šifrirano, aktivno potrdilo, izdano s strani CA, ki je pripravljeno za identifikacijo v končnih šifriranih sestankih Webex.
7

Vključite napravo v organizacijo Control Hub.

Testiranje šifriranja od konca do konca s preverjanjem identitete
1

Načrtujte sestanek ustrezne vrste (Webex Meetings Pro-End to End Encryption_VOIPonly).

Glejte Načrtovanje sestanka Webex s šifriranjem od začetka do konca.

2

Pridružite se sestanku kot gostitelj iz odjemalca Webex Meetings.

Glejte Pridružite se sestanku Webex s šifriranjem od začetka do konca.

3

Pridružite se sestanku iz naprave, katere identiteto je preveril Webex CA.

4

Kot gostitelj preverite, ali je ta naprava v preddverju prikazana s pravilno ikono identitete.

Glejte Pridružite se sestanku Webex s šifriranjem od začetka do konca.

5

Pridružite se sestanku iz naprave, katere identiteto je preveril zunanji CA.

6

Kot gostitelj preverite, ali je ta naprava v preddverju prikazana s pravilno ikono identitete. Več informacij o ikonah identitete.

7

Pridružite se sestanku kot neavtentificirani udeleženec sestankov.

8

Kot gostitelj preverite, ali je ta udeleženec v avli prikazan s pravilno ikono identitete.

9

Kot gostitelj lahko sprejmete ali zavrnete osebe / naprave.

10

Če je mogoče, potrdite identitete udeležencev/ naprav s preverjanjem certifikatov.

11

Preverite, ali vsi udeleženci sestanka vidijo isto varnostno kodo sestanka.

12

Pridružite se sestanku z novim udeležencem.

13

Preverite, ali vsi vidijo isto, novo varnostno kodo sestanka.

Določite obseg in pričakovanja

  • Ali boste šifrirane sestanke od konca do konca določili za privzeto možnost sestankov, jo omogočili le nekaterim uporabnikom ali omogočili vsem gostiteljem, da se o tem odločijo sami? Ko se odločite, kako boste to funkcijo uporabljali, pripravite uporabnike, ki jo bodo uporabljali, zlasti glede omejitev in tega, kaj lahko pričakujejo na sestanku.

  • Ali morate zagotoviti, da Cisco ali kdo drug ne more dešifrirati vaše vsebine ali se izdajati za vaše naprave? Če je tako, potrebujete potrdila javnega overitelja.

  • Če imate različne ravni preverjanja identitete, omogočite uporabnikom, da se med seboj preverjajo s potrdili podprto identiteto. Čeprav obstajajo okoliščine, v katerih se lahko udeleženci pojavijo kot nepreverjeni, in udeleženci bi morali vedeti, kako to preveriti, nepreverjene osebe morda niso prevaranti.

Upravljanje identitete

Če za izdajanje potrdil za naprave uporabljate zunanjega overitelja, morate sami spremljati, osveževati in ponovno uporabljati potrdila.

Če ste ustvarili začetno skrivnost, se zavedajte, da bodo uporabniki morda želeli spremeniti skrivnost svoje naprave. Morda boste morali ustvariti vmesnik/distribuirati orodje, ki jim bo to omogočilo.

ID-ji vrste seje
Tabela 1. ID-ji vrste seje za šifrirane sestanke od konca do konca

ID vrste seje

Ime javne službe

638

Samo šifriranje E2E+VoIP

652

Pro-End to End Encryption_VOIPonly

660

Pro 3 Free-End to End Encryption_VOIPonly

Šifriranje E2E + identiteta

672

Pro 3 Free50-End to End Encryption_VOIPonly

673

Inštruktor izobraževanja E2E Encryption_VOIPonly

676

Broadworks Standard plus šifriranje od konca do konca

677

Broadworks Premium plus šifriranje od konca do konca

681

Schoology Brezplačno in šifriranje od konca do konca

Sorodni ukazi xAPI

V teh preglednicah so opisani ukazi API naprav Webex, ki smo jih dodali za končne šifrirane sestanke in preverjeno identiteto. Za več informacij o uporabi vmesnika API glejte Access the API for Webex Room and Desk Devices and Webex Boards.

Ti ukazi xAPI so na voljo samo v napravah, ki so:

  • Registriran v Webex

  • Registrirani na kraju samem in povezani z Webexom s storitvijo Webex Edge for Devices

Preglednica 2. API-ji na sistemski ravni za šifrirane sestanke od konca do konca in preverjeno identiteto

Klic API

Opis

xConfiguration Conference EndToEndEncryption Identity Prednostna domena: "example.com"

Ta konfiguracija se izvede, ko skrbnik nastavi prednostno domeno naprave iz vozlišča Control Hub. Potrebno le, če ima organizacija več kot eno domeno.

Naprava uporabi to domeno, ko od Webex CA zahteva potrdilo. Domena nato identificira napravo.

Ta konfiguracija se ne uporablja, če ima naprava aktivno, zunaj izdano potrdilo, s katerim se identificira.

xStatus Conference EndToEndEncryption Razpoložljivost

Označuje, ali se lahko naprava pridruži šifriranemu sestanku od konca do konca. API v oblaku ga pokliče, tako da seznanjena aplikacija ve, ali lahko uporabi napravo za pridružitev.

xStatus Konferenca EndToEndEncryption Preverjanje zunanje identitete

Označuje, ali naprava uporablja preverjanje External (ima zunanje izdano potrdilo).

xStatus Conference EndToEndEncryption ExternalIdentity Identity

Identiteta naprave, kot je razvidna iz splošnega imena zunanjega potrdila.

xStatus Conference EndToEndEncryption ExternalIdentity CertificateChain Certificate # specificinfo

Prebere določene informacije iz zunanjega potrdila.

V prikazanem ukazu nadomestite # s številko potrdila. Zamenjajte specificinfo z eno od naslednjih možnosti:

  • Prstni odtisi

  • NotAfter Končni datum veljavnosti

  • Ne prej Datum začetka veljavnosti

  • PrimaryName

  • PublicKeyAlgorithm

  • SerialNumber

  • SignatureAlgorithm

  • Zadeva # Ime Seznam subjektov za potrdilo (npr. e-poštni naslov ali ime domene)

  • Veljavnost Podaja status veljavnosti tega potrdila (npr. veljavno ali poteklo)

xStatus Konferenca EndToEndEncryption Status zunanje identitete

Status zunanje identitete naprave (npr. veljavno ali napaka).

xStatus Konferenca EndToEndEncryption Preverjanje notranje identitete

Označuje, ali ima naprava veljavno potrdilo, ki ga je izdal Webex CA.

xStatus Conference EndToEndEncryption InternalIdentity Identity

Identiteta naprave, kot je razvidna iz skupnega imena potrdila, izdanega s strani družbe Webex.

Vsebuje ime domene, če ima organizacija domeno.

Je prazen, če organizacija nima domene.

Če je naprava v organizaciji, ki ima več domen, je to vrednost iz PreferredDomain.

xStatus Conference EndToEndEncryption InternalIdentity CertificateChain Certificate # specificinfo

Prebere določene informacije iz potrdila, ki ga je izdal Webex.

V prikazanem ukazu nadomestite # s številko potrdila. Zamenjajte specificinfo z eno od naslednjih možnosti:

  • Prstni odtisi

  • NotAfter Končni datum veljavnosti

  • Ne prej Datum začetka veljavnosti

  • PrimaryName

  • PublicKeyAlgorithm

  • SerialNumber

  • SignatureAlgorithm

  • Zadeva # Ime Seznam subjektov za potrdilo (npr. e-poštni naslov ali ime domene)

  • Veljavnost Podaja status veljavnosti tega potrdila (npr. veljavno ali poteklo)

Preglednica 3. API-ji v klicu za šifrirane sestanke od konca do konca in preverjeno identiteto

Klic API

Opis

xEvent Konferenca Seznam udeležencev ParticipantAdded

xEvent Konferenca Seznam udeležencev ParticipantUpdated

xEvent Konferenca Seznam udeležencev ParticipantDeleted

Ti trije dogodki zdaj vključujejo EndToEndEncryptionStatus, EndToEndEncryptionIdentity in EndToEndEncryptionCertInfo za prizadetega udeleženca.

Preglednica 4. API-ji, povezani s ClientSecret, za šifrirane sestanke od konca do konca in preverjeno identiteto

Klic API

Opis

xCommand Varnost ClientSecret Izpolnite Skrivnost: "base64url-encoded"

ali

xCommand Varnost ClientSecret Izpolnite skrivnost: JWEblob

Sprejme vrednost navadnega besedila, kodirano v base64url, za prvo pošiljanje odjemalčeve skrivnosti v napravo.

Če želite posodobiti skrivnost po tem prvem poskusu, morate zagotoviti blob JWE, ki vsebuje novo skrivnost, šifrirano s staro skrivnostjo.

xCommand Security Certificates Services Dodaj JWEblob

Doda potrdilo (z zasebnim ključem).

Ta ukaz smo razširili tako, da sprejme blob JWE, ki vsebuje šifrirane podatke PEM.

xCommand Varnostna potrdila Storitve Aktiviraj Namen:WebexIdentity FingerPrint: JWEblob

Aktivira določeno potrdilo za WebexIdentity. Za ta Namen, ukaz zahteva, da se identifikacijski prstni odtis šifrira in serializira v blob JWE.

xCommand Varnostna potrdila Storitve Deaktivirati Namen:WebexIdentity FingerPrint: JWEblob

Deaktivira določeno potrdilo za WebexIdentity. Za ta Namen, ukaz zahteva, da se identifikacijski prstni odtis šifrira in serializira v blob JWE.