Uvajanje sestankov z ničelnim zaupanjem
Uporabniki ob načrtovanju sestanka izberejo vrsto sestanka. Pri sprejemu udeležencev iz preddverja in med sestankom lahko gostitelj vidi status preverjanja identitete vsakega udeleženca. Obstaja tudi koda sestanka, ki je skupna vsem trenutnim udeležencem sestanka in s katero lahko preverijo, ali njihovega sestanka ni prestregla nezaželena tretja oseba z napadom MITM (Meddler In The Middle).
Gostiteljem srečanja sporočite naslednje informacije:
-
Načrtovanje sestanka Webex s šifriranjem od začetka do konca
-
Pridružite se sestanku Webex s šifriranjem od začetka do konca
Preverjanje identitete
Šifriranje od konca do konca s preverjanjem identitete zagotavlja dodatno varnost šifriranega sestanka od konca do konca.
Ko se udeleženci ali naprave pridružijo skupni skupini MLS (Messaging Layer Security), predložijo svoja potrdila drugim članom skupine, ki jih nato potrdijo pri overiteljih, ki jih izdajajo. S potrditvijo veljavnosti potrdil CA preveri identiteto udeležencev, sestanek pa prikaže udeležence/naprave kot preverjene.
Uporabniki aplikacij Webex se avtentificirajo v shrambi identitet Webex, ki jim ob uspešni avtentikaciji izda žeton dostopa. Če potrebujejo potrdilo za preverjanje svoje identitete v šifriranem sestanku od konca do konca, jim Webex CA izda potrdilo na podlagi njihovega žetona za dostop. Trenutno uporabnikom storitve Webex Meetings ne omogočamo, da bi pridobili potrdilo, ki bi ga izdala tretja oseba ali zunanji CA.
Naprave se lahko avtentificirajo s potrdilom, ki ga izda notranji (Webexov) CA, ali s potrdilom, ki ga izda zunanji CA:
-
Notranji CA-Webex izda notranje potrdilo na podlagi žetona dostopa strojnega računa naprave. Potrdilo podpiše Webex CA. Naprave nimajo uporabniških identifikatorjev na enak način kot uporabniki, zato Webex pri zapisovanju identitete potrdila naprave (Common Name (CN)) uporablja (eno od) domen vaše organizacije.
-
Zunanji CA - zahtevajte in kupite potrdila naprave neposredno od izbranega izdajatelja. Potrdila morate šifrirati, neposredno naložiti in avtorizirati z uporabo skrivnosti, ki je znana samo vam.
Cisco ni vpleten, zato lahko na ta način zagotovite resnično šifriranje od konca do konca in preverjeno identiteto ter preprečite teoretično možnost, da bi Cisco prisluškoval vašemu sestanku/dešifriral vaše medije.
Interno izdano potrdilo naprave
Webex izda potrdilo napravi, ko se ta registrira po zagonu, in ga po potrebi obnovi. Za naprave certifikat vključuje ID računa in domeno.
Če vaša organizacija nima domene, Webex CA izda potrdilo brez domene.
Če ima vaša organizacija več domen, lahko s Control Hubom storitvi Webex poveste, katero domeno naj naprava uporabi za svojo identiteto. Uporabite lahko tudi API xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com"
.
Če imate več domen in ne nastavite prednostne domene za napravo, Webex izbere eno namesto vas.
Zunanje izdano potrdilo naprave
Upravitelj lahko napravo opremi s svojim potrdilom, ki je bilo podpisano z enim od javnih overiteljev.
Potrdilo mora temeljiti na paru ključev ECDSA P-256, lahko pa je podpisano s ključem RSA.
Vrednosti v certifikatu so odvisne od odločitve organizacije. V uporabniškem vmesniku sestanka Webex bosta prikazana skupno ime (CN) in alternativno ime subjekta (SAN), kot je opisano v End-to-end encryption with identity verification for Webex Meetings.
Priporočamo, da za vsako napravo uporabite ločeno potrdilo in edinstveno oznako CN za vsako napravo. Na primer "meeting-room-1.example.com" za organizacijo, ki ima v lasti domeno example.com.
Za popolno zaščito zunanjega potrdila pred ponarejanjem se za šifriranje in podpisovanje različnih ukazov xcommand uporablja funkcija client-secret.
Če uporabljate skrivnost odjemalca, lahko varno upravljate zunanje potrdilo identitete Webex prek vmesnika xAPI. Trenutno je ta možnost omejena na spletne naprave.
Webex trenutno ponuja ukaze API za upravljanje tega.
Naprave
Sestankom E2EE se lahko pridružijo naslednje naprave iz serije Webex Room in Webex Desk, ki so registrirane v oblaku:
-
Webex Board
-
Webex Desk Pro
-
Webex Desk
-
Komplet za sobo Webex
-
Komplet Webex Room Kit Mini
Naslednje naprave se ne morejo pridružiti sestankom E2EE:
-
Webex C Series
-
Serija Webex DX
-
Serija Webex EX
-
Webex MX Series
-
Naprave SIP tretjih oseb
Odjemalci programske opreme
-
Aplikacija Webex za namizne in mobilne odjemalce se lahko pridruži sestankom E2EE.
-
Spletni odjemalec Webex se ne more pridružiti sestankom E2EE.
-
Odjemalci SIP tretjih oseb se ne morejo pridružiti sestankom E2EE.
Identiteta
-
Po zasnovi ne zagotavljamo možnosti nadzornega vozlišča za upravljanje zunanje preverjene identitete naprave. Za resnično šifriranje od konca do konca morate skrivnosti in ključe poznati oziroma do njih dostopati samo vi. Če bi za upravljanje teh ključev uvedli storitev v oblaku, bi obstajala možnost, da bi bili ti ključi prestreženi.
-
Trenutno vam zagotavljamo "recept" za oblikovanje lastnih orodij, ki temeljijo na standardnih tehnikah šifriranja in vam pomagajo pri zahtevanju ali šifriranju potrdil o identiteti naprave in njihovih zasebnih ključev. Ne želimo imeti nobenega dejanskega ali navideznega dostopa do vaših skrivnosti ali ključev.
Sestanki
-
Na sestankih E2EE lahko trenutno sodeluje največ 1000 udeležencev.
- Na sestankih E2EE lahko v skupno rabo dajete nove bele table. Obstajajo nekatere razlike v primerjavi z belimi tablami na običajnih sestankih:
- Na sestankih E2EE uporabniki ne morejo dostopati do belih tabel, ustvarjenih zunaj sestanka, vključno z zasebnimi tablami, tablami, ki jih delijo drugi, in tablami iz prostorov Webex.
- Bele table, ustvarjene na sestankih E2EE, so na voljo samo med sestankom. Po koncu sestanka se ne shranijo in niso na voljo.
- Če nekdo deli vsebino na sestanku E2EE, jo lahko opišete. Za več informacij o opombiranju glejte Aplikacija Webex | Označite skupno vsebino z opombami.
Vmesnik za upravljanje
Priporočamo, da za upravljanje spletnega mesta Srečanja uporabite Control Hub, saj imajo organizacije Control Hub centralizirano identiteto za celotno organizacijo.
Sorodne informacije
-
Varnost brez zaupanja za Webex (varnostni tehnični dokument)
-
Spletno šifriranje JSON (JWE) (osnutek standarda IETF)
-
Sestanki Webex 41.7.
-
Naprave Webex Room in Webex Desk serije, registrirane v oblaku, s sistemom
10.6.1-RoomOS_August_2021
. -
upraviteljski dostop do mesta sestanka v vozlišču Control Hub.
-
Ena ali več preverjenih domen v organizaciji Control Hub (če uporabljate Webex CA za izdajo potrdil naprav za preverjeno identiteto).
-
Sobe za sestanke za sodelovanje morajo biti vklopljene, da se jim lahko ljudje pridružijo iz svojega video sistema. Za več informacij glejte Omogočite video sistemom, da se pridružijo sestankom in dogodkom na spletnem mestu Webex.
Ta korak lahko preskočite, če ne potrebujete zunanje preverjenih identitet.
Za najvišjo raven varnosti in preverjanje identitete mora imeti vsaka naprava edinstveno potrdilo, ki ga izda zaupanja vreden javni organ za potrjevanje (CA).
Za zahtevo, nakup in prejem digitalnih potrdil ter ustvarjanje pripadajočih zasebnih ključev morate sodelovati z overiteljem. Ko zahtevate potrdilo, uporabite te parametre:
-
Potrdilo mora izdati in podpisati znana javna overiteljica.
-
Edinstveno: Priporočamo, da za vsako napravo uporabite edinstveno potrdilo. Če za vse naprave uporabljate eno potrdilo, ogrožate svojo varnost.
-
Splošno ime (CN) in nadomestno ime predmeta (SAN/s): Te vrednosti niso pomembne za Webex, vendar morajo biti vrednosti, ki jih lahko ljudje preberejo in povežejo z napravo. CN bo drugim udeležencem sestanka prikazan kot primarna preverjena identiteta naprave, če pa uporabniki pregledajo potrdilo prek uporabniškega vmesnika sestanka, bodo videli SAN/s. Morda boste želeli uporabiti imena, kot so
name.model@example.com
. -
Format datoteke: Potrdila in ključi morajo biti v obliki
.pem
. -
Namen: Namen potrdila mora biti Webex Identity.
-
Ustvarjanje ključev: Potrdila morajo temeljiti na parih ključev ECDSA P-256 (algoritem digitalnega podpisovanja z eliptično krivuljo z uporabo krivulje P-256).
Ta zahteva ne velja za podpisni ključ. Overitelj lahko za podpis potrdila uporabi ključ RSA.
Ta korak lahko preskočite, če v napravah ne želite uporabljati zunanje preverjene identitete.
Če uporabljate nove naprave, jih še ne registrirajte v storitvi Webex. Za varnost jih na tej točki ne povežite z omrežjem.
Če imate obstoječe naprave, ki jih želite nadgraditi za uporabo zunanje preverjene identitete, morate naprave tovarniško ponastaviti.
-
Če želite ohraniti obstoječo konfiguracijo, jo shranite.
-
Načrtujte obdobje, ko se naprave ne uporabljajo, ali pa uporabite postopen pristop. Uporabnike obvestite o spremembah, ki jih lahko pričakujejo.
-
Zagotovite fizični dostop do naprav. Če morate do naprav dostopati prek omrežja, se zavedajte, da se skrivnosti prenašajo v odprtem besedilu in da s tem ogrožate svojo varnost.
Ko opravite te korake, omogočite video sistemom, da se pridružijo sestankom in dogodkom na vašem spletnem mestu Webex.
Če želite zagotoviti, da medija v napravi ne more šifrirati nihče drug kot naprava, morate zasebni ključ šifrirati v napravi. Za napravo smo zasnovali vmesnike API, ki omogočajo upravljanje šifriranega ključa in potrdila z uporabo spletnega šifriranja JSON (JWE).
Da bi zagotovili resnično šifriranje od konca do konca prek našega oblaka, ne moremo sodelovati pri šifriranju ter prenosu potrdila in ključa. Če potrebujete to raven varnosti, morate:
-
Zahtevajte potrdila.
-
Ustvarite pare ključev svojih potrdil.
-
Ustvarite (in zaščitite) začetno skrivnost za vsako napravo, da se omogoči začetek šifriranja naprave.
-
Razvijte in vzdržujte lastno orodje za šifriranje datotek s standardom JWE.
Postopek in (netajni) parametri, ki jih potrebujete, so pojasnjeni v nadaljevanju, prav tako pa tudi recept, ki ga lahko uporabite v izbranem razvojnem orodju. Zagotavljamo tudi nekaj preskusnih podatkov in dobljene bloke JWE, kot jih pričakujemo, da boste lahko preverili svoj postopek.
Nepodprta referenčna implementacija, ki uporablja Python3 in knjižnico JWCrypto, je na zahtevo na voljo pri Ciscu.
-
S pomočjo orodja in začetne skrivnosti naprave združite in šifrirajte potrdilo in ključ.
-
Dobljeni blob JWE prenesite v napravo.
-
Nastavite namen šifriranega potrdila, ki se bo uporabljal za identiteto Webex, in aktivirajte potrdilo.
-
(Priporočljivo) Zagotovite vmesnik za svoje orodje (ali ga distribuirajte), ki uporabnikom naprave omogoča, da spremenijo začetno skrivnost in zaščitijo svoje medije pred vami.
Kako uporabljamo format JWE
V tem razdelku je opisano, kako pričakujemo, da bo JWE ustvarjen kot vhodni podatek za naprave, tako da lahko izdelate lastno orodje za ustvarjanje blobov iz vaših potrdil in ključev.
Oglejte si JSON Web Encryption (JWE) https://datatracker.ietf.org/doc/html/rfc7516 in JSON Web Signature (JWS) https://datatracker.ietf.org/doc/html/rfc7515.
Za ustvarjanje blobov JWE uporabljamo Compact Serialization dokumenta JSON. Parametri, ki jih morate vključiti pri ustvarjanju kapljic JWE, so:
-
JOSE Header (zaščiteno). V glavi za podpisovanje in šifriranje objektov JSON MORAJO biti naslednji pari ključ-vrednost:
-
"alg": "dir"
Neposredni algoritem je edini, ki ga podpiramo za šifriranje koristnega bremena, pri čemer morate uporabiti začetno skrivnost odjemalca naprave.
-
"enc": "A128GCM"
ali"enc": "A256GCM"
Podpiramo ta dva algoritma šifriranja.
-
"cisco-action": "add"
ali"cisco-action": cisco-action": "populate"
ali"cisco-action": "activate"
ali"cisco-action": "deaktivirati".
To je lastniški ključ in ima lahko štiri vrednosti. S tem ključem ciljni napravi sporočimo namen šifriranih podatkov. Vrednosti so poimenovane po ukazih xAPI v napravi, v kateri uporabljate šifrirane podatke.
Poimenovali smo ga
cisco-action
, da bi ublažili morebitne spopade s prihodnjimi razširitvami JWE. -
"cisco-kdf": {"različica": "1", "sol": "base64URLEncodedRandom4+Bytes" }
Še en lastniški ključ. Vrednosti, ki jih navedete, uporabljamo kot vhodne podatke za izpeljavo ključev v napravi. Različica
mora biti
1
(različica naše funkcije za izpeljavo ključa). Vrednostsoli
mora biti zaporedje naslovov URL v kodiranju base64, sestavljeno iz vsaj 4 bajtov, ki jih morate izbrati naključno.
-
-
Šifrirani ključ JWE. To polje je prazno. Naprava ga izpelje iz začetnega
ClientSecret
. -
Inicializacijski vektor JWE. Zagotoviti morate inicializacijski vektor, kodiran v base64url, za dešifriranje koristnega bremena. IV MORA biti naključna 12-bajtna vrednost (uporabljamo družino šifrantov AES-GCM, ki zahteva, da je IV dolg 12 bajtov).
-
JWE AAD (dodatni overjeni podatki). To polje morate izpustiti, ker ni podprto v kompaktni serializaciji.
-
Šifrirano besedilo JWE: To je šifrirani koristni tovor, ki ga želite ohraniti v tajnosti.
Koristni tovor je lahko prazen. Če želite na primer ponastaviti skrivnost odjemalca, jo morate prepisati s prazno vrednostjo.
Glede na to, kaj želite v napravi narediti, obstajajo različne vrste koristnih bremen. Različni ukazi xAPI pričakujejo različne koristne obremenitve, zato morate določiti namen koristne obremenitve s ključem
cisco-action
, kot sledi:-
S
"cisco-action": "populate"
je šifrirano besedilo novaClientSecret
. -
Z "
"cisco-action": "add"
je šifrirano besedilo blob PEM, ki vsebuje certifikat in njegov zasebni ključ (združena). -
Z "
"cisco-action": "activate"
je šifrirano besedilo prstni odtis (heksadecimalna predstavitev sha-1) potrdila, ki ga aktiviramo za preverjanje identitete naprave. -
Pri "
"cisco-action": "deactivate"
je šifrirano besedilo prstni odtis (heksadecimalna predstavitev sha-1) potrdila, ki ga deaktiviramo iz uporabe za preverjanje identitete naprave.
-
-
Oznaka za preverjanje pristnosti JWE: To polje vsebuje avtentikacijsko oznako za preverjanje celovitosti celotnega kompaktno serializiranega bloba JWE.
Kako izpeljemo šifrirni ključ iz ClientSecret
Po prvi populaciji skrivnosti skrivnosti ne sprejmemo ali izpišemo kot navadno besedilo. S tem preprečite morebitne napade s slovarjem, ki bi jih lahko izvedla oseba, ki bi lahko dostopala do naprave.
Programska oprema naprave uporablja skrivnost odjemalca kot vhodni podatek za funkcijo izpeljave ključa (kdf) in nato izpeljani ključ uporabi za dešifriranje/šifriranje vsebine v napravi.
To za vas pomeni, da mora vaše orodje za izdelavo blobov JWE uporabiti enak postopek, da iz skrivnosti odjemalca pridobi enak šifrirni/dešifrirni ključ.
Naprave uporabljajo scrypt za izpeljavo ključa (glejte https://en.wikipedia.org/wiki/Scrypt) z naslednjimi parametri:
-
CostFactor (N) je 32768
-
BlockSizeFactor (r) je 8
-
ParallelizationFactor (p) je 1
-
Sol je naključno zaporedje najmanj 4 bajtov; to isto
sol
morate navesti, ko določite parametercisco-kdf
. -
Dolžina ključa je 16 bajtov (če izberete algoritem AES-GCM 128) ali 32 bajtov (če izberete algoritem AES-GCM 256).
-
Največja omejitev pomnilnika je 64 MB
Ta niz parametrov je edina konfiguracija scrypt , ki je združljiva s funkcijo izpeljave ključa v napravah. Ta kdf se v napravah imenuje "version": "1"
, kar je edina različica, ki jo trenutno prevzema parameter cisco-kdf
.
Delujoči primer
Tukaj je primer, po katerem lahko preverite, ali vaš postopek šifriranja JWE deluje enako kot postopek, ki smo ga ustvarili v napravah.
Primer scenarija je dodajanje bloba PEM v napravo (posnema dodajanje potrdila, vendar je namesto celotnega potrdila in ključa zelo kratek niz). Skrivnost odjemalca v primeru je ossifrage
.
-
Izberite šifro za šifriranje. Ta primer uporablja
A128GCM
(AES s 128-bitnimi ključi v načinu Galoisovega števca). Če želite, lahko vaše orodje uporabljaA256GCM
. -
Izberite sol (izbrati morate naključno zaporedje vsaj 4 bajtov). V tem primeru so uporabljeni (šestnajsti bajti)
E5 E6 53 08 03 F8 33 F6
. Zaporedje kodirajte v base64url, da dobite5eZTCAP4M_Y
(odstranite polnilo base64). -
Tukaj je vzorec klica
scrypt
za ustvarjanje ključa za šifriranje vsebine (cek):cek=scrypt(geslo="ossifrage", sol=4-byte-sequence, N=32768, r=8, p=1, dolžina ključa=16)
Izpeljani ključ mora biti 16 bajtov (hex), kot sledi:
95 9e ba 6d d1 22 01 05 78 fe 6a 9d 22 78 ff ac
, ki ga base64url kodira vlZ66bdEiAQV4_mqdInj_rA
. -
Izberite naključno zaporedje 12 bajtov, ki ga boste uporabili kot inicializacijski vektor. Ta primer uporablja (hex)
34 b3 5d dd 5f 53 7b af 2d 92 95 83
, ki ga base64url kodira vNLNd3V9Te68tkpWD
. -
Ustvarite glavo JOSE s kompaktno serializacijo (upoštevajte enak vrstni red parametrov, kot ga uporabljamo tukaj) in jo nato kodirajte z base64url:
{"alg":"dir","cisco-action":"add","cisco-kdf":{"salt":"5eZTCAP4M_Y","version":"1"},"enc":"A128GCM"}
Naslovnica JOSE, kodirana v base64url, je
eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ9
To bo prvi element kapljice JWE.
-
Drugi element bloba JWE je prazen, ker ne zagotavljamo šifrirnega ključa JWE.
-
Tretji element kapljice JWE je inicializacijski vektor
NLNd3V9Te68tkpWD
. - Uporabite orodje za šifriranje JWE za izdelavo šifriranega koristnega bremena in oznake. V tem primeru bo nešifrirani koristni tovor ponarejeni blob PEM
to je datoteka PEM.
Parametri šifriranja, ki jih morate uporabiti, so:
Koristni tovor je
to je datoteka PEM
Šifriranje je AES 128 GCM
Base64url kodirana glavička JOSE kot dodatni overjeni podatki (AAD)
Base64url kodiranje šifriranega koristnega tovora, ki mora biti
f5lLVUWNfKfmzYCo1YJfODhQ
To je četrti element (šifrirano besedilo JWE) v blobu JWE.
-
V kodi Base64url kodirajte oznako, ki ste jo ustvarili v koraku 8, rezultat pa bo
PE-wDFWGXFFBeo928cfZ1Q.
To je peti element v kapljici JWE.
-
Združite pet elementov bloba JWE s pikami (JOSEheader..IV.Ciphertext.Tag), da dobite:
eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q
-
Če ste z lastnimi orodji izpeljali enake kodirane vrednosti base64url, kot jih prikazujemo tukaj, jih lahko uporabite za zaščito šifriranja E2E in preverjene identitete svojih naprav.
-
Ta primer dejansko ne bo deloval, vendar bi bil vaš naslednji korak uporaba zgoraj ustvarjenega bloba JWE kot vnosa za ukaz xcommand v napravi, ki dodaja potrdilo:
xCommand Varnostna potrdila Dodajte
eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q
Vrste sej za sestanke brez zaupanja so na voljo vsem mestom sestankov brez dodatnih stroškov. Ena od teh vrst sej se imenuje Pro-End to End Encryption_VOIPonly
. To je ime javne službe , ki ga lahko v prihodnosti spremenimo. Za trenutna imena vrst sej glejte ID-ji vrst sej v razdelku Reference v tem članku.
Za pridobitev te možnosti za vaše spletno mesto vam ni treba storiti ničesar, vendar morate uporabnikom dodeliti novo vrsto seje (imenovano tudi Meeting Privilege). To lahko storite posamično na strani za konfiguracijo uporabnika ali množično z izvozom/uvozom CSV.
1 |
Prijavite se v Control Hub in pojdite na . |
2 |
Kliknite Sites, izberite spletno mesto Webex, za katerega želite spremeniti nastavitve, in nato kliknite Settings. |
3 |
V razdelku Skupne nastavitve izberite Vrste sej. |
4 |
Videti morate eno ali več vrst sej za šifriranje od konca do konca. Oglejte si seznam identifikatorjev vrste seje v razdelku Reference tega članka. Na primer, lahko vidite Pro-End to End Encryption_VOIPonly.
Obstaja starejša vrsta seje z zelo podobnim imenom: Šifriranje od konca do konca. Ta vrsta seje vključuje nešifriran dostop PSTN do sestankov. Prepričajte se, da imate različico _VOIPonly , ki zagotavlja šifriranje od konca do konca. To lahko preverite tako, da v stolpcu s kodo seje podrsnete nad povezavo PRO ; v tem primeru mora biti cilj povezave V prihodnosti lahko spremenimo imena javnih storitev za te vrste sej. |
5 |
Če nove vrste seje še nimate, se obrnite na predstavnika družbe Webex. |
Kaj storiti naprej
Omogočite to vrsto seje / privilegij sestanka nekaterim ali vsem uporabnikom.
1 |
Prijavite se v Control Hub in pojdite na . |
2 |
Izberite uporabniški račun, ki ga želite posodobiti, nato pa izberite Meetings. |
3 |
V spustnem seznamu Settings apply to izberite mesto sestanka, ki ga želite posodobiti. |
4 |
Označite polje poleg Pro-End to End Encryption_VOIPonly. |
5 |
Zaprite uporabniško konfiguracijsko ploščo. |
6 |
Po potrebi ponovite za druge uporabnike. Če želite to dodeliti več uporabnikom, uporabite naslednjo možnost: Omogoči sestanke E2EE za več uporabnikov. |
1 |
Prijavite se v Control Hub in pojdite na . |
2 |
Kliknite Sites, izberite spletno mesto Webex, za katerega želite spremeniti nastavitve. |
3 |
V razdelku Licence in uporabniki kliknite Množično upravljanje. |
4 |
Kliknite Generate Report in počakajte, da pripravimo datoteko. |
5 |
Ko je datoteka pripravljena, kliknite Izvozi rezultate in nato Prenesi. (Po kliku na Prenesi morate to pojavno okno ročno zapreti.) |
6 |
Odprite preneseno datoteko CSV za urejanje. Za vsakega uporabnika je ena vrstica, stolpec |
7 |
Za vsakega uporabnika, ki mu želite dodeliti novo vrsto seje, dodajte Na spletni strani Webex CSV File Format Reference so podrobnosti o namenu in vsebini datoteke CSV. |
8 |
V vozlišču Control Hub odprite ploščo za konfiguracijo mesta srečanja. Če ste že bili na strani s seznamom mest srečanj, jo boste morda morali osvežiti. |
9 |
V razdelku Licence in uporabniki kliknite Množično upravljanje. |
10 |
Kliknite Uvozi in izberite urejeni CSV, nato pa kliknite Uvozi. Počakajte, da se datoteka naloži. |
11 |
Ko je uvoz končan, lahko kliknete Rezultati uvoza in preverite, ali so bile storjene kakšne napake. |
12 |
Pojdite na stran Users in odprite enega od uporabnikov ter preverite, ali ima novo vrsto seje. |
Posnetkom sestankov lahko dodate vodni žig s Webex Meetings Pro-End to End Encryption_VOIPonly
vrsto seje, ki omogoča prepoznavanje izvornega odjemalca ali naprave nepooblaščenih posnetkov zaupnih sestankov.
Ko je ta funkcija omogočena, zvočni posnetek sestanka vključuje edinstven identifikator za vsakega sodelujočega odjemalca ali napravo. Zvočne posnetke lahko naložite v vozlišče Control Hub, ki nato analizira posnetek in poišče edinstvene identifikatorje. V rezultatih lahko preverite, kateri odjemalec vira ali naprava je posnela sestanek.
- Za analizo mora biti posnetek v obliki datoteke AAC, MP3, M4A, WAV, MP4, AVI ali MOV, ki ni večja od 500 MB.
- Posnetek mora biti daljši od 100 sekund.
- Analizirate lahko samo posnetke sestankov, ki jih gostijo osebe v vaši organizaciji.
- Informacije o vodnem znaku se hranijo enako dolgo kot informacije o sestanku organizacije.
Dodajanje zvočnih vodnih žigov na sestanke E2EE
- Prijavite se v Control Hub, nato pod Management izberite Organization Settings.
- V razdelku Meeting watermarks preklopite na Add audio watermark.
Nekaj časa po tem, ko je ta možnost vklopljena, se uporabnikom, ki načrtujejo sestanke s
Webex Meetings Pro-End to End Encryption_VOIPonly
vrsto seje, v razdelku Varnost prikaže možnost Digital Watermarking .
Prenos in analiza sestanka z vodnim žigom
- V vozlišču Control Hub v razdelku Monitoring izberite Troubleshooting.
- Kliknite Analiza vodnega znaka.
- Poiščite ali izberite sestanek na seznamu, nato pa kliknite Analyze.
- V oknu Analyze audio watermark vnesite ime za analizo.
- (Neobvezno) Vnesite opombo za analizo.
- Povlecite in spustite zvočno datoteko, ki jo želite analizirati, ali kliknite Izberite datoteko in poiščite zvočno datoteko.
- Kliknite Zapri.
Ko je analiza končana, bo prikazana na seznamu rezultatov na strani Analyze watermark .
- Izberite sestanek na seznamu, da si ogledate rezultate analize. Za prenos rezultatov kliknite .
Lastnosti in omejitve
Dejavniki, ki vplivajo na uspešno dekodiranje posnetega vodnega znaka, vključujejo razdaljo med snemalno napravo in zvočnikom, ki oddaja zvok, glasnost tega zvoka, hrup okolja itd. Naša tehnologija vodnega znaka je dodatno odporna na večkratno kodiranje, kar se lahko zgodi pri souporabi medija.
Ta funkcija je zasnovana tako, da omogoča uspešno dekodiranje identifikatorja vodnega znaka v širokem, a razumnem naboru okoliščin. Naš cilj je, da snemalna naprava, kot je mobilni telefon, ki leži na mizi v bližini osebne končne točke ali prenosnega računalnika, vedno ustvari posnetek, ki omogoča uspešno analizo. Ko se snemalna naprava oddalji od vira zvoka ali ko se zasenči celoten zvočni spekter, so možnosti za uspešno analizo manjše.
Za uspešno analizo posnetka je potreben ustrezen posnetek zvoka sestanka. Če je zvok sestanka posnet v istem računalniku, v katerem je nameščen odjemalec, omejitve ne veljajo.
Če so vaše naprave že vključene v organizacijo Control Hub in želite uporabiti Webex CA za samodejno generiranje identifikacijskih potrdil, vam naprav ni treba ponastaviti na tovarniško nastavitev.
S tem postopkom izberete domeno, ki jo naprava uporablja za identifikacijo, in je potreben le, če imate v organizaciji Control Hub več domen. Če imate več kot eno domeno, priporočamo, da to storite za vse naprave, ki bodo imele identiteto "Cisco-verified". Če družbi Webex ne poveste, katera domena identificira napravo, se samodejno izbere ena od njih, kar se lahko drugim udeležencem sestanka zdi napačno.
Preden začnete
Če vaše naprave še niso vgrajene, sledite navodilom Registracija naprave v Cisco Webex z uporabo vmesnika API ali lokalnega spletnega vmesnika ali Vgradnja v oblak za serije Board, Desk in Room Series. Prav tako morate preveriti domeno/e, ki jo/jih želite uporabiti za identifikacijo naprav, na spletnem mestu Upravljanje domen.
1 |
Prijavite se v Control Hub in v razdelku Management izberite Devices. |
2 |
Izberite napravo, da odprete njeno konfiguracijsko ploščo. |
3 |
Izberite domeno, ki jo želite uporabiti za identifikacijo te naprave. |
4 |
Ponovite za druge naprave. |
Preden začnete
-
Za vsako napravo pridobite potrdilo, podpisano s CA, in zasebni ključ v obliki
.pem
. -
V zavihku Pripravite preberite temo Understanding External Identity Process for Devices,
-
Pripravite orodje za šifriranje JWE glede na informacije v njem.
-
Zagotovite si orodje za generiranje naključnih zaporedij bajtov določenih dolžin.
-
Prepričajte se, da imate orodje za kodiranje bajtov ali besedila base64url.
-
Prepričajte se, da imate implementacijo
scrypt
. -
Za vsako napravo imejte skrivno besedo ali besedno zvezo.
1 |
Napolnite Ko prvič napolnite Naprava ima svojo začetno skrivnost. Tega ne pozabite, saj ga ne morete obnoviti in morate napravo tovarniško ponastaviti, če želite začeti znova.
|
2 |
Združite svoje potrdilo in zasebni ključ: |
3 |
Ustvarite blob JWE, ki ga uporabite kot vhodni podatek za ukaz za dodajanje potrdila: |
4 |
V napravi odprite TShell in zaženite (večvrstični) ukaz dodaj: |
5 |
Preverite, ali je potrdilo dodano, tako da zaženete Kopirajte prstni odtis novega potrdila. |
6 |
Aktivirajte potrdilo za namen Naprava ima šifrirano, aktivno potrdilo, izdano s strani CA, ki je pripravljeno za identifikacijo v končnih šifriranih sestankih Webex.
|
7 |
Vključite napravo v organizacijo Control Hub. |
1 |
Načrtujte sestanek ustrezne vrste (Webex Meetings Pro-End to End Encryption_VOIPonly). |
2 |
Pridružite se sestanku kot gostitelj iz odjemalca Webex Meetings. |
3 |
Pridružite se sestanku iz naprave, katere identiteto je preveril Webex CA. |
4 |
Kot gostitelj preverite, ali je ta naprava v preddverju prikazana s pravilno ikono identitete. |
5 |
Pridružite se sestanku iz naprave, katere identiteto je preveril zunanji CA. |
6 |
Kot gostitelj preverite, ali je ta naprava v preddverju prikazana s pravilno ikono identitete. Več informacij o ikonah identitete. |
7 |
Pridružite se sestanku kot neavtentificirani udeleženec sestankov. |
8 |
Kot gostitelj preverite, ali je ta udeleženec v avli prikazan s pravilno ikono identitete. |
9 |
Kot gostitelj lahko sprejmete ali zavrnete osebe / naprave. |
10 |
Če je mogoče, potrdite identitete udeležencev/ naprav s preverjanjem certifikatov. |
11 |
Preverite, ali vsi udeleženci sestanka vidijo isto varnostno kodo sestanka. |
12 |
Pridružite se sestanku z novim udeležencem. |
13 |
Preverite, ali vsi vidijo isto, novo varnostno kodo sestanka. |
-
Ali boste šifrirane sestanke od konca do konca določili za privzeto možnost sestankov, jo omogočili le nekaterim uporabnikom ali omogočili vsem gostiteljem, da se o tem odločijo sami? Ko se odločite, kako boste to funkcijo uporabljali, pripravite uporabnike, ki jo bodo uporabljali, zlasti glede omejitev in tega, kaj lahko pričakujejo na sestanku.
-
Ali morate zagotoviti, da Cisco ali kdo drug ne more dešifrirati vaše vsebine ali se izdajati za vaše naprave? Če je tako, potrebujete potrdila javnega overitelja.
-
Če imate različne ravni preverjanja identitete, omogočite uporabnikom, da se med seboj preverjajo s potrdili podprto identiteto. Čeprav obstajajo okoliščine, v katerih se lahko udeleženci pojavijo kot nepreverjeni, in udeleženci bi morali vedeti, kako to preveriti, nepreverjene osebe morda niso prevaranti.
Če za izdajanje potrdil za naprave uporabljate zunanjega overitelja, morate sami spremljati, osveževati in ponovno uporabljati potrdila.
Če ste ustvarili začetno skrivnost, se zavedajte, da bodo uporabniki morda želeli spremeniti skrivnost svoje naprave. Morda boste morali ustvariti vmesnik/distribuirati orodje, ki jim bo to omogočilo.
ID vrste seje |
Ime javne službe |
---|---|
638 |
Samo šifriranje E2E+VoIP |
652 |
Pro-End to End Encryption_VOIPonly |
660 |
Pro 3 Free-End to End Encryption_VOIPonly Šifriranje E2E + identiteta |
672 |
Pro 3 Free50-End to End Encryption_VOIPonly |
673 |
ncryption_Inštruktor izobraževanja E2E EVOIPonly |
676 |
Broadworks Standard plus šifriranje od konca do konca |
677 |
Broadworks Premium plus šifriranje od konca do konca |
681 |
Schoology Brezplačno in šifriranje od konca do konca |
V teh preglednicah so opisani ukazi API naprav Webex, ki smo jih dodali za končne šifrirane sestanke in preverjeno identiteto. Za več informacij o uporabi vmesnika API glejte Access the API for Webex Room and Desk Devices and Webex Boards.
Ti ukazi xAPI so na voljo samo v napravah, ki so:
-
Registriran v Webex
-
Registrirani na kraju samem in povezani z Webexom s storitvijo Webex Edge for Devices
Klic API |
Opis |
---|---|
|
Ta konfiguracija se izvede, ko upravitelj nastavi prednostno domeno naprave iz vozlišča Control Hub. Potrebno le, če ima organizacija več kot eno domeno. Naprava uporabi to domeno, ko od Webex CA zahteva potrdilo. Domena nato identificira napravo. Ta konfiguracija se ne uporablja, če ima naprava aktivno, zunaj izdano potrdilo, s katerim se identificira. |
|
Označuje, ali se lahko naprava pridruži šifriranemu sestanku od konca do konca. API v oblaku ga pokliče, tako da seznanjena aplikacija ve, ali lahko uporabi napravo za pridružitev. |
|
Označuje, ali naprava uporablja preverjanje |
|
Identiteta naprave, kot je razvidna iz splošnega imena zunanjega potrdila. |
|
Prebere določene informacije iz zunanjega potrdila. V prikazanem ukazu nadomestite
|
|
Status zunanje identitete naprave (npr. |
|
Označuje, ali ima naprava veljavno potrdilo, ki ga je izdal Webex CA. |
|
Identiteta naprave, kot je razvidna iz skupnega imena potrdila, izdanega s strani družbe Webex. Vsebuje ime domene, če ima organizacija domeno. Je prazen, če organizacija nima domene. Če je naprava v organizaciji, ki ima več domen, je to vrednost iz |
|
Prebere določene informacije iz potrdila, ki ga je izdal Webex. V prikazanem ukazu nadomestite
|
Klic API |
Opis |
---|---|
| Ti trije dogodki zdaj vključujejo |
Klic API |
Opis |
---|---|
ali
| Sprejme vrednost navadnega besedila, kodirano v base64url, za prvo pošiljanje odjemalčeve skrivnosti v napravo. Če želite posodobiti skrivnost po tem prvem poskusu, morate zagotoviti blob JWE, ki vsebuje novo skrivnost, šifrirano s staro skrivnostjo. |
| Doda potrdilo (z zasebnim ključem). Ta ukaz smo razširili tako, da sprejme blob JWE, ki vsebuje šifrirane podatke PEM. |
| Aktivira določeno potrdilo za WebexIdentity. Za ta |
| Deaktivira določeno potrdilo za WebexIdentity. Za ta |