Uporabniki izberejo vrsto sestanka, ko načrtujejo sestanek. Pri sprejemanju udeležencev iz preddverja in med sestankom lahko gostitelj vidi status preverjanja identitete vsakega udeleženca. Obstaja tudi koda sestanka, ki je skupna vsem trenutnim udeležencem sestanka, s katero se lahko medsebojno preverjajo.

Z gostitelji srečanja delite naslednje informacije:

Preveri identiteto

Šifriranje od konca do konca s preverjanjem identitete zagotavlja dodatno varnost za šifriran sestanek od konca do konca.

Ko se udeleženci ali naprave pridružijo skupni skupini MLS (Messaging Layer Security), predložijo svoja potrdila drugim članom skupine, ki nato preverijo potrdila pri izdajajočih overiteljih potrdil (CA). S potrditvijo, da so potrdila veljavna, CA preveri identiteto udeležencev, srečanje pa prikaže udeležence/naprave kot preverjene.

Uporabniki aplikacije Webex se avtentifikirajo s shrambo identitet Webex, ki jim izda žeton za dostop, ko avtentikacija uspe. Če potrebujejo potrdilo za preverjanje svoje identitete v šifriranem sestanku od konca do konca, jim Webex CA izda potrdilo na podlagi njihovega žetona za dostop. Trenutno uporabnikom Webex Meetings ne nudimo možnosti, da bi pridobili potrdilo, ki bi ga izdala tretja oseba/zunanji CA.

Naprave se lahko overijo s potrdilom, ki ga izda notranja (Webex) CA, ali s potrdilom, ki ga izda zunanja CA:

  • Notranji CA—Webex izda interni certifikat na podlagi žetona dostopa strojnega računa naprave. Certifikat je podpisan s strani Webex CA. Naprave nimajo uporabniških ID-jev na enak način kot uporabniki, zato Webex pri pisanju identitete potrdila naprave (Common Name (CN)) uporablja (eno od) domen vaše organizacije.

  • Zunanji CA – zahtevajte in kupite potrdila naprave neposredno pri izbranem izdajatelju. Potrdila morate šifrirati, neposredno naložiti in odobriti s skrivnostjo, ki je znana samo vam.

    Cisco ni vključen, zaradi česar je na ta način zagotovljeno resnično šifriranje od konca do konca in preverjena identiteta ter prepreči teoretična možnost, da bi Cisco prisluškoval vašemu sestanku/dešifriral vaš medij.

Interno izdan certifikat naprave

Webex izda napravi potrdilo, ko se registrira po zagonu, in ga po potrebi obnovi. Pri napravah potrdilo vključuje ID računa in domeno.

Če vaša organizacija nima domene, Webex CA izda potrdilo brez domene.

Če ima vaša organizacija več domen, lahko uporabite Control Hub, da poveste Webexu, katero domeno naj naprava uporabi za svojo identiteto. Uporabite lahko tudi API xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com".

Če imate več domen in ne nastavite želene domene za napravo, Webex izbere eno namesto vas.

Zunanje izdano potrdilo naprave

Skrbnik lahko napravi zagotovi lastno potrdilo, ki je podpisano z enim od javnih CA.

Potrdilo mora temeljiti na paru ključev ECDSA P-256, čeprav ga je mogoče podpisati s ključem RSA.

Vrednosti v certifikatu so po lastni presoji organizacije. Splošno ime (CN) in alternativno ime subjekta (SAN) bosta prikazana v uporabniškem vmesniku srečanja Webex, kot je opisano v Šifriranje od konca do konca s preverjanjem identitete za Webex Meetings.

Priporočamo uporabo ločenega potrdila za vsako napravo in edinstveno CN za vsako napravo. Na primer »meeting-room-1.example.com« za organizacijo, ki ima v lasti domeno »example.com«.

Za popolno zaščito zunanjega potrdila pred posegi se za šifriranje in podpisovanje različnih ukazov x uporablja funkcija tajnosti odjemalca.

Pri uporabi skrivnosti odjemalca je možno varno upravljati zunanji certifikat identitete Webex preko xAPI. To je trenutno omejeno na spletne naprave.

Webex trenutno ponuja ukaze API za upravljanje tega.

Naprave

Naslednje naprave serije Webex Room in serije Webex Desk, registrirane v oblaku, se lahko pridružijo šifriranim sestankom od konca do konca:

  • Webex plošča

  • Webex Desk Pro

  • Pisalna miza Webex

  • Komplet za sobo Webex

  • Webex Room Kit Mini

Naslednje naprave se ne morejo pridružiti šifriranim sestankom od konca do konca:

  • Serija Webex C

  • Serija Webex DX

  • Serija Webex EX

  • Serija Webex MX

  • SIP naprave drugih proizvajalcev

Odjemalci programske opreme
  • Od različice 41.6 se lahko namizni odjemalec Webex Meetings pridruži šifriranim sestankom od konca do konca.

  • Če vaša organizacija omogoča aplikaciji Webex, da se pridruži sestankom z zagonom namizne aplikacije Meetings, potem lahko to možnost uporabite za pridružitev šifriranim sestankom od konca do konca.

  • Spletni odjemalec Webex se ne more pridružiti šifriranim sestankom od konca do konca.

  • Programski odjemalci SIP drugih proizvajalcev se ne morejo pridružiti šifriranim sestankom od konca do konca.

Identiteta
  • Zasnovo vam ne nudimo možnosti Control Hub za upravljanje zunanje preverjene identitete naprave. Za resnično šifriranje od konca do konca morate samo vi poznati/dostopati do skrivnosti in ključev. Če bi uvedli storitev v oblaku za upravljanje teh ključev, obstaja možnost, da jih prestrežemo.

  • Trenutno vam nudimo 'recept' za oblikovanje lastnih orodij, ki temeljijo na industrijskih standardnih tehnikah šifriranja, za pomoč pri zahtevanju ali šifriranju potrdil o identiteti vaše naprave in njihovih zasebnih ključev. Ne želimo imeti resničnega ali navideznega dostopa do vaših skrivnosti ali ključev.

Sestanki
  • Šifrirani sestanki od konca do konca trenutno podpirajo največ 200 udeležencev.

  • Od teh 200 udeležencev se lahko pridruži največ 25 zunanje preverjenih naprav in oni morajo biti prvi udeleženci, ki se pridružijo srečanju.

    Ko se srečanju pridruži večje število naprav, poskušajo naše zaledne medijske storitve prekodirati medijske tokove. Če ne moremo dešifrirati, prekodirati in ponovno šifrirati medija (ker nimamo in ne smemo imeti šifrirnih ključev naprav), potem transkodiranje ne uspe.

    Da bi ublažili to omejitev, priporočamo manjše sestanke za naprave ali razporedite povabila med napravami in odjemalci sestankov.

Vmesnik za upravljanje

Toplo priporočamo, da za upravljanje svojega mesta za srečanja uporabljate Control Hub, saj imajo organizacije Control Hub centralizirano identiteto za celotno organizacijo, medtem ko se v Site Administration identiteta nadzoruje na podlagi posameznega mesta.

Uporabniki, ki jih upravlja Site Administration, ne morejo imeti možnosti Cisco verified identity. Tem uporabnikom se izda anonimno potrdilo za pridružitev sestanku, šifriranemu od konca do konca, in so lahko izključeni iz sestankov, kjer gostitelj želi zagotoviti preverjanje identitete.

Povezane informacije
  • Webex srečanja 41.7.

  • Naprave serije Webex Room in Webex Desk, registrirane v oblaku, delujejo 10.6.1-RoomOS_August_2021.

  • Skrbniški dostop do mesta srečanja v Control Hubu, da omogočite novo vrsto seje za uporabnike.

  • Ena ali več preverjenih domen v vaši organizaciji Control Hub (če uporabljate Webex CA za izdajanje potrdil naprave za preverjeno identiteto).

  • Sobe za sestanke za sodelovanje morajo biti vklopljene, da se lahko ljudje pridružijo iz svojega video sistema. Za več informacij glejte Dovolite video sistemom, da se pridružijo sestankom in dogodkom na vašem spletnem mestu Webex.

Ta korak lahko preskočite, če ne potrebujete zunanje preverjenih identitet.

Za najvišjo raven varnosti in za preverjanje identitete mora imeti vsaka naprava edinstveno potrdilo, ki ga izda zaupanja vreden javni overitelj potrdil (CA).

Za zahtevanje, nakup in prejem digitalnih potrdil ter ustvarjanje povezanih zasebnih ključev morate komunicirati s CA. Ko zahtevate potrdilo, uporabite te parametre:

  • Certifikat mora izdati in podpisati priznana javna overitelja potrdil.

  • Edinstveno: Močno priporočamo uporabo edinstvenega certifikata za vsako napravo. Če uporabljate en certifikat za vse naprave, ogrožate svojo varnost.

  • Splošno ime (CN) in nadomestna imena subjekta (SAN/i): Te za Webex niso pomembne, ampak morajo biti vrednosti, ki jih lahko ljudje preberejo in povežejo z napravo. CN bo prikazan drugim udeležencem srečanja kot primarna preverjena identiteta naprave in če uporabniki pregledajo potrdilo prek uporabniškega vmesnika srečanja, bodo videli SAN/s. Morda boste želeli uporabiti imena, kot je name.model@example.com.

  • Format datoteke: Certifikati in ključi morajo biti v .pem format.

  • Namen: Namen potrdila mora biti Webex Identity.

  • Generiranje ključev: Potrdila morajo temeljiti na parih ključev ECDSA P-256 (algoritem digitalnega podpisa z eliptično krivuljo, ki uporablja krivuljo P-256).

    Ta zahteva ne velja za podpisni ključ. CA lahko za podpis potrdila uporabi ključ RSA.

Ta korak lahko preskočite, če s svojimi napravami ne želite uporabljati zunanje preverjene identitete.

Če uporabljate nove naprave, jih še ne registrirajte v Webex. Zaradi varnosti jih na tej točki ne povezujte z omrežjem.

Če imate obstoječe naprave, ki jih želite nadgraditi za uporabo zunanje preverjene identitete, morate naprave ponastaviti na tovarniške nastavitve.

  • Shranite obstoječo konfiguracijo, če jo želite obdržati.

  • Načrtujte okno, ko se naprave ne uporabljajo, ali uporabite postopni pristop. Obvestite uporabnike o spremembah, ki jih lahko pričakujejo.

  • Zagotovite fizični dostop do naprav. Če morate dostopati do naprav prek omrežja, se zavedajte, da skrivnosti potujejo v navadnem besedilu in s tem ogrožate svojo varnost.

Ko dokončate te korake, omogočite video sistemom, da se pridružijo sestankom in dogodkom na vašem spletnem mestu Webex.

Če želite zagotoviti, da medijev vaše naprave ne more šifrirati nihče razen naprave, morate šifrirati zasebni ključ v napravi. API-je za napravo smo zasnovali tako, da omogočajo upravljanje šifriranega ključa in potrdila z uporabo JSON Web Encryption (JWE).

Da zagotovimo resnično šifriranje od konca do konca prek našega oblaka, ne moremo sodelovati pri šifriranju in nalaganju potrdila in ključa. Če potrebujete to stopnjo varnosti, morate:

  1. Zahtevajte svoje certifikate.

  2. Ustvarite pare ključev svojih potrdil.

  3. Ustvarite (in zaščitite) začetno skrivnost za vsako napravo, da zagotovite zmožnost šifriranja naprave.

  4. Razvijte in vzdržujte lastno orodje za šifriranje datotek s standardom JWE.

    Postopek in (neskrivni) parametri, ki jih boste potrebovali, so razloženi spodaj, kot tudi recept, ki ga morate upoštevati pri izbranih razvojnih orodjih. Zagotavljamo tudi nekaj preskusnih podatkov in posledične blob JWE, kot jih pričakujemo, da vam pomagamo preveriti vaš proces.

    Nepodprta referenčna izvedba z uporabo Python3 in knjižnice JWCrypto je na voljo pri Ciscu na zahtevo.

  5. Združite in šifrirajte potrdilo in ključ s svojim orodjem in začetno skrivnostjo naprave.

  6. Prenesite nastalo blob JWE v napravo.

  7. Nastavite namen šifriranega potrdila, ki naj se uporablja za identiteto Webex, in aktivirajte potrdilo.

  8. (Priporočeno) Zagotovite vmesnik (ali distribuirajte) svojemu orodju, da uporabnikom naprav omogočite spreminjanje začetne skrivnosti in zaščito svojih medijev pred vami.

Kako uporabljamo format JWE

V tem razdelku je opisano, kako pričakujemo, da bo JWE ustvarjen kot vhod v naprave, tako da lahko sestavite svoje orodje za ustvarjanje blobov iz svojih potrdil in ključev.

Nanašati se na Spletno šifriranje JSON (JWE) https://datatracker.ietf.org/doc/html/rfc7516 in Spletni podpis JSON (JWS) https://datatracker.ietf.org/doc/html/rfc7515.

Uporabljamo Kompaktna serializacija dokumenta JSON za ustvarjanje blobov JWE. Parametri, ki jih morate vključiti pri ustvarjanju blobov JWE, so:

  • JOSE Glava (zaščiteno). V glavo JSON Object Signing and Encryption MORATE vključiti naslednje pare ključ-vrednost:

    • "alg":"dir"

      Neposredni algoritem je edini, ki ga podpiramo za šifriranje tovora, in uporabiti morate začetno skrivnost odjemalca naprave.

    • "enc":"A128GCM" ali "enc":"A256GCM"

      Podpiramo ta dva algoritma šifriranja.

    • "cisco-action": "add" ali "cisco-action": "populate" ali "cisco-action": "activate" ali "cisco-action": "deactivate"

      To je lastniški ključ in ima lahko štiri vrednosti. Ta ključ smo uvedli za signaliziranje namena šifriranih podatkov ciljni napravi. Vrednosti so poimenovane po ukazih xAPI v napravi, kjer uporabljate šifrirane podatke.

      Poimenovali smo ga cisco-action za ublažitev morebitnih navzkrižij s prihodnjimi razširitvami JWE.

    • "cisco-kdf": { "version": "1", "salt": "base64URLEncodedRandom4+Bytes" }

      Še en lastniški ključ. Vrednosti, ki jih posredujete, uporabljamo kot vnose za izpeljavo ključa v napravi. The version mora biti 1(različica naše ključne funkcije za izpeljavo). Vrednost salt mora biti vsaj 4 bajti kodirano zaporedje base64 URL, ki ga mora izberite naključno.

  • Šifrirani ključ JWE. To polje je prazno. Naprava jo izpelje iz začetne ClientSecret.

  • Inicializacijski vektor JWE. Za dešifriranje koristnega tovora morate zagotoviti inicializacijski vektor, kodiran base64url. IV MORA naj bo naključna 12-bajtna vrednost (uporabljamo družino šifre AES-GCM, ki zahteva, da je IV dolg 12 bajtov).

  • JWE AAD (dodatni overjeni podatki). To polje morate izpustiti, ker ni podprto v kompaktni serializaciji.

  • Šifrirano besedilo JWE: To je šifriran tovor, ki ga želite ohraniti skrivnost.

    Tovor je LAHKO prazen. Če želite na primer ponastaviti skrivnost odjemalca, jo morate prepisati s prazno vrednostjo.

    Obstajajo različne vrste koristnih obremenitev, odvisno od tega, kaj poskušate narediti na napravi. Različni ukazi xAPI pričakujejo različne koristne obremenitve, zato morate določiti namen koristne obremenitve z cisco-action ključ, kot sledi:

    • z "cisco-action":"populate" šifrirano besedilo je novo ClientSecret.

    • z " "cisco-action":"add" šifrirano besedilo je PEM blob, ki nosi potrdilo in njegov zasebni ključ (povezan).

    • z " "cisco-action":"activate" šifrirano besedilo je prstni odtis (šestnajstiška predstavitev sha-1) potrdila, ki ga aktiviramo za preverjanje identitete naprave.

    • z " "cisco-action":"deactivate" šifrirano besedilo je prstni odtis (šestnajstiška predstavitev sha-1) potrdila, ki ga deaktiviramo pred uporabo za preverjanje identitete naprave.

  • Oznaka za preverjanje pristnosti JWE: To polje vsebuje oznako za preverjanje pristnosti za preverjanje celovitosti celotnega kompaktno serializiranega bloba JWE

Kako pridobimo šifrirni ključ iz ClientSecret

Po prvem vnosu skrivnosti skrivnosti ne sprejmemo ali izpišemo kot golo besedilo. To je namenjeno preprečevanju morebitnih slovarskih napadov nekoga, ki bi lahko dostopal do naprave.

Programska oprema naprave uporablja skrivnost odjemalca kot vhod v funkcijo izpeljave ključa (kdf) in nato uporabi izpeljani ključ za dešifriranje/šifriranje vsebine v napravi.

Za vas to pomeni, da mora vaše orodje za izdelavo blobov JWE slediti istemu postopku za pridobitev istega ključa za šifriranje/dešifriranje iz skrivnosti odjemalca.

Naprave uporabljajo šifra za izpeljavo ključa (glej https://en.wikipedia.org/wiki/Scrypt), z naslednjimi parametri:

  • CostFactor (N) je 32768

  • BlockSizeFactor (r) je 8

  • Paralelizacijski faktor (p) je 1

  • Sol je naključno zaporedje vsaj 4 bajtov; morate zagotoviti to isto salt pri določanju cisco-kdf parameter.

  • Dolžine ključev so 16 bajtov (če izberete algoritem AES-GCM 128) ali 32 bajtov (če izberete algoritem AES-GCM 256)

  • Največja omejitev pomnilnika je 64 MB

Ta nabor parametrov je edina konfiguracija šifra ki je združljiv s funkcijo izpeljave ključev na napravah. Ta kdf na napravah se imenuje "version":"1", ki je edina različica, ki jo trenutno uporablja cisco-kdf parameter.

Primer dela

Tukaj je primer, ki mu lahko sledite, da preverite, ali vaš postopek šifriranja JWE deluje enako kot postopek, ki smo ga ustvarili v napravah.

Primer scenarija je dodajanje bloba PEM v napravo (posnema dodajanje potrdila z zelo kratkim nizom namesto polnega potrdila + ključ). Skrivnost stranke v primeru je ossifrage.

  1. Izberite šifro šifriranja. Ta primer uporablja A128GCM(AES s 128-bitnimi ključi v načinu števca Galois). Vaše orodje bi lahko uporabilo A256GCM če vam je ljubše.

  2. Izberite sol (mora biti naključno zaporedje vsaj 4 bajtov). Ta primer uporablja (šestnajstiške bajte) E5 E6 53 08 03 F8 33 F6. Base64url kodira zaporedje, ki ga želite dobiti 5eZTCAP4M_Y(odstranite oblazinjenje base64).

  3. Tukaj je vzorec scrypt klic za ustvarjanje ključa za šifriranje vsebine (cek):

    cek=scrypt(password="ossifrage", salt=4-byte-sequence, N=32768, r=8, p=1, keylength=16)

    Izpeljani ključ mora imeti 16 bajtov (šestnajstiški), kot sledi: 95 9e ba 6d d1 22 01 05 78 fe 6a 9d 22 78 ff ac v katerega base64url kodira lZ66bdEiAQV4_mqdInj_rA.

  4. Izberite naključno zaporedje 12 bajtov za uporabo kot inicializacijski vektor. Ta primer uporablja (hex) 34 b3 5d dd 5f 53 7b af 2d 92 95 83 v katerega base64url kodira NLNd3V9Te68tkpWD.

  5. Ustvarite glavo JOSE s kompaktno serializacijo (upoštevajte isti vrstni red parametrov, kot ga uporabljamo tukaj) in jo nato kodirajte z base64url:

    {"alg":"dir","cisco-action":"add","cisco-kdf":{"salt":"5eZTCAP4M_Y","version":"1"},"enc":"A128GCM"}

    Base64url kodirana glava JOSE je eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ9

    To bo prvi element bloba JWE.

  6. Drugi element bloba JWE je prazen, ker ne posredujemo ključa za šifriranje JWE.

  7. Tretji element bloba JWE je inicializacijski vektor NLNd3V9Te68tkpWD.

  8. Uporabite svoje orodje za šifriranje JWE, da ustvarite šifriran tovor in oznako. V tem primeru bo nešifrirana koristna vsebina ponarejena blob PEM this is a PEM file

    Parametri šifriranja, ki jih morate uporabiti, so:

    • Tovor je this is a PEM file

    • Šifrirana šifra je AES 128 GCM

    • Base64url kodirana glava JOSE kot dodatni overjeni podatki (AAD)

    Base64url kodira šifrirano koristno vsebino, kar bi moralo povzročiti f5lLVuWNfKfmzYCo1YJfODhQ

    To je četrti element (šifrirano besedilo JWE) v blobu JWE.

  9. Base64url kodira oznako, ki ste jo izdelali v 8. koraku, rezultat pa bi moral biti PE-wDFWGXFFBeo928cfZ1Q

    To je peti element v blobu JWE.

  10. Združite pet elementov bloba JWE s pikami (JOSEheader..IV.Ciphertext.Tag), da dobite:

    eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

  11. Če ste z lastnimi orodji izpeljali iste kodirane vrednosti base64url, kot jih prikazujemo tukaj, ste jih pripravljeni uporabiti za zaščito šifriranja E2E in preverjene identitete vaših naprav.

  12. Ta primer dejansko ne bo deloval, vendar bi bil načeloma vaš naslednji korak uporaba bloba JWE, ki ste ga ustvarili zgoraj, kot vnos v ukaz x v napravi, ki dodaja potrdilo:

    xCommand Security Certificates Add eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

Vrste sej za sestanke brez zaupanja so na voljo vsem mestom za sestanke brez dodatnih stroškov. Ena od teh vrst sej se imenuje Pro-End to End Encryption_VOIPonly. To je Ime javne službe, kar bomo morda v prihodnosti spremenili. Za trenutna imena vrst sej glejte ID-ji vrste seje v Referenca razdelek tega članka.

Ničesar vam ni treba storiti, da bi pridobili to možnost za svoje spletno mesto; morate odobriti novo vrsto seje (imenovano tudi Privilegij srečanja) uporabnikom. To lahko storite posamezno na uporabniški konfiguracijski strani ali v velikem obsegu z izvozom/uvozom CSV.

1

Prijavite se v Nadzorno središče, in pojdite na Storitve > Srečanje.

2

Kliknite Spletna mesta, izberite spletno mesto Webex, za katerega želite spremeniti nastavitve, in kliknite nastavitve.

3

Spodaj Skupne nastavitve, izberite Vrste sej.

4
Morali bi videti eno ali več vrst sej šifriranja od konca do konca. Oglejte si seznam ID-ji vrste seje v Referenca razdelek tega članka. Na primer, lahko vidite Pro-End to End Encryption_VOIPonly.

 

Obstaja starejša vrsta seje z zelo podobnim imenom: Pro-End to End Encryption. Ta vrsta seje vključuje nešifriran dostop PSTN do sestankov. Prepričajte se, da imate _VOIPonly različico za zagotavljanje šifriranja od konca do konca. Lahko preverite tako, da miškin kazalec premaknete nad PRO povezava v stolpcu s kodo seje; v tem primeru bi moral biti cilj povezave javascript:ShowFeature(652).

V prihodnosti bomo morda spremenili imena javnih storitev za te vrste sej.

5

Če še nimate nove vrste seje, se obrnite na predstavnika Webexa.

Kaj storiti naprej

Omogočite to vrsto seje/privilegij srečanja nekaterim ali vsem svojim uporabnikom.

1

Prijavite se v Nadzorno središče, in pojdite na Upravljanje > Uporabniki.

2

Izberite uporabniški račun za posodobitev in nato izberite Srečanja.

3

Iz Nastavitve veljajo za spustnem meniju izberite mesto srečanja, ki ga želite posodobiti.

4

Potrdite polje zraven Pro-End to End Encryption_VOIPonly.

5

Zaprite uporabniško konfiguracijsko ploščo.

6

Po potrebi ponovite za druge uporabnike.

Če želite to dodeliti več uporabnikom, uporabite naslednjo možnost, Omogočite srečanja E2EE za več uporabnikov.

1

Prijavite se v Nadzorno središče, in pojdite na Storitve > Srečanje.

2

Kliknite Spletna mesta, izberite spletno mesto Webex, za katerega želite spremeniti nastavitve.

3

V Licence in uporabniki kliknite Množično upravljanje.

4

Kliknite Ustvari poročilo, in počakajte, da pripravimo datoteko.

5

Ko je datoteka pripravljena, kliknite Izvozi rezultate in potem Prenesi. (Po kliku morate to pojavno okno zapreti ročno Prenesi.)

6

Odprite preneseno datoteko CSV za urejanje.

Obstaja vrstica za vsakega uporabnika in MeetingPrivilege stolpec vsebuje njihove ID-je vrste seje kot seznam, ločen z vejico.

7

Za vsakega uporabnika, ki mu želite dodeliti novo vrsto seje, dodajte 1561 kot novo vrednost na seznamu, ločenem z vejico v MeetingPrivilege celica.

The Webex Referenca za format datoteke CSV vsebuje podrobnosti o namenu in vsebini datoteke CSV.

8

Odprite ploščo za konfiguracijo mesta srečanja v nadzornem središču.


 

Če ste že bili na strani s seznamom mest srečanja, jo boste morda morali osvežiti.

9

V Licence in uporabniki kliknite Množično upravljanje.

10

Kliknite Uvozi in izberite urejen CSV ter kliknite Uvozi. Počakajte, da se datoteka naloži.

11

Ko je uvoz končan, lahko kliknete Uvozi rezultate pregledati, če so bile kakšne napake.

12

Pojdi na Uporabniki in odprite enega od uporabnikov, da preverite, ali ima novo vrsto seje.

Posnetkom sestankov lahko dodate vodni žig z Webex Meetings Pro-End to End Encryption_VOIPonly vrsto seje, ki omogoča identifikacijo izvornega odjemalca ali naprave nepooblaščenih posnetkov zaupnih sestankov.

Ko je ta funkcija omogočena, zvok sestanka vključuje edinstven identifikator za vsakega sodelujočega odjemalca ali napravo. Zvočne posnetke lahko naložite v Control Hub, ki nato analizira posnetek in poišče edinstvene identifikatorje. Ogledate si lahko rezultate, da vidite, kateri izvorni odjemalec ali naprava je posnela sestanek.

  • Za analizo mora biti posnetek datoteka AAC, MP3, M4A, WAV, MP4, AVI ali MOV, ki ni večja od 500 MB.
  • Posnetek mora biti daljši od 100 sekund.
  • Posnetke lahko analizirate samo za sestanke, ki jih gostijo ljudje v vaši organizaciji.
  • Informacije o vodnem žigu se hranijo enako dolgo kot informacije o sestanku organizacije.
Sestankom E2EE dodajte zvočne vodne žige
  1. Prijavite se v Control Hub, nato pod Upravljanje, izberite Nastavitve organizacije.
  2. V Vodni žigi srečanja razdelek, vklopite Dodajte zvočni vodni žig.

    Nekaj časa po tem, ko je to vklopljeno, uporabniki načrtujejo sestanke z Webex Meetings Pro-End to End Encryption_VOIPonly vrsta seje glej a Digitalni vodni žig možnost v razdelku Varnost.

Naložite in analizirajte srečanje z vodnim žigom
  1. V Control Hub, pod Spremljanje, izberite Odpravljanje težav.
  2. Kliknite Analiza vodnega žiga.
  3. Poiščite ali izberite srečanje na seznamu in kliknite Analizirajte.
  4. V Analizirajte zvočni vodni žig oknu vnesite ime za analizo.
  5. (Izbirno) Vnesite opombo za svojo analizo.
  6. Povlecite in spustite zvočno datoteko, ki jo želite analizirati, ali kliknite Izberite datoteko za brskanje do zvočne datoteke.
  7. Kliknite Zapri.

    Ko je analiza končana, bo prikazana na seznamu rezultatov na Analizirajte vodni žig strani.

  8. Za ogled rezultatov analize izberite srečanje na seznamu. KlikniteDownload buttonza prenos rezultatov.
Lastnosti in omejitve

Dejavniki, ki sodelujejo pri uspešnem dekodiranju posnetega vodnega žiga, vključujejo razdaljo med snemalno napravo in zvočnikom, ki oddaja zvok, glasnost tega zvoka, okoljski hrup itd. Naša tehnologija vodnih žigov ima dodatno odpornost na večkratno kodiranje, kar se lahko zgodi, ko mediji so v skupni rabi.

Ta funkcija je zasnovana tako, da omogoča uspešno dekodiranje identifikatorja vodnega žiga v širokem, a razumnem nizu okoliščin. Naš cilj je, da bi snemalna naprava, kot je mobilni telefon, ki leži na mizi blizu osebne končne točke ali odjemalca prenosnika, vedno ustvarila posnetek, ki ima za posledico uspešno analizo. Ko je snemalna naprava odmaknjena od vira ali je zakrita, da ne bi slišali celotnega zvočnega spektra, se možnosti za uspešno analizo zmanjšajo.

Za uspešno analizo posnetka je potreben primeren zajem zvoka sestanka. Če je zvok sestanka posnet na istem računalniku, ki gosti odjemalca, omejitve ne bi smele veljati.

Če so vaše naprave že vključene v vašo organizacijo Control Hub in želite uporabiti Webex CA za samodejno generiranje njihovih identifikacijskih potrdil, vam naprav ni treba ponastaviti na tovarniške nastavitve.

Ta postopek izbere, katero domeno naprava uporablja za identifikacijo, in je potreben samo, če imate v svoji organizaciji Control Hub več domen. Če imate več kot eno domeno, vam priporočamo, da to storite za vse svoje naprave, ki bodo imele identiteto "Cisco-verified". Če Webexu ne poveste, katera domena identificira napravo, se samodejno izbere ena in se lahko drugim udeležencem srečanja zdi napačna.

Preden začneš

Če vaše naprave še niso vgrajene, sledite Registrirajte napravo v Cisco Webex z uporabo API-ja ali lokalnega spletnega vmesnika oz Vključevanje v oblak za serije Board, Desk in Room. Prav tako morate preveriti domene, ki jih želite uporabiti za identifikacijo naprav Upravljajte svoje domene.

1

Prijavite se v Control Hub, in pod Upravljanje, izberite Naprave.

2

Izberite napravo, da odprete njeno konfiguracijsko ploščo.

3

Izberite domeno, ki jo želite uporabiti za identifikacijo te naprave.

4

Ponovite za druge naprave.

Preden začneš

Potrebujete:

  • Če želite pridobiti potrdilo in zasebni ključ s podpisom CA, v .pem obliki, za vsako napravo.

  • Da prebereš temo Razumevanje postopka zunanje identitete za naprave, v Pripravite se del tega članka.

  • Za pripravo orodja za šifriranje JWE glede na tamkajšnje informacije.

  • Orodje za ustvarjanje naključnih zaporedij bajtov danih dolžin.

  • Orodje za kodiranje bajtov ali besedila base64url.

  • An scrypt izvajanje.

  • Skrivna beseda ali fraza za vsako napravo.

1

Napolnite naprave ClientSecret s skrivnostjo navadnega besedila:

Ko prvič zapolnite Secret, ga posredujete v navadnem besedilu. Zato priporočamo, da to storite na konzoli fizične naprave.

  1. Base64url kodira tajno frazo za to napravo.

  2. Odprite TShell na napravi.

  3. Teči xcommand Security ClientSecret Populate Secret: "MDEyMzQ1Njc4OWFiY2RlZg"

    Zgornji primer ukaza zapolni Secret s frazo 0123456789abcdef. Izbrati morate svojega.

Naprava ima svojo prvotno skrivnost. Ne pozabi tega; ne morete ga obnoviti in morate napravo ponastaviti na tovarniške nastavitve, da začnete znova.
2

Povežite svoje potrdilo in zasebni ključ:

  1. Z urejevalnikom besedila odprite datoteke .pem, prilepite blob ključa blob potrdila in ga shranite kot novo datoteko .pem.

    (To je besedilo koristnega tovora, ki ga boste šifrirali in vstavili v svoj JWE blob)

3

Ustvarite blob JWE za uporabo kot vhod v ukaz za dodajanje potrdila:

  1. Ustvarite naključno zaporedje vsaj 4 bajtov. To je tvoja sol.

  2. Izpeljite ključ za šifriranje vsebine s svojim orodjem scrypt.

    Za to potrebujete skrivnost, sol in dolžino ključa, ki ustreza vaši izbrani šifri šifriranja. Obstaja še nekaj drugih stalnih vrednosti (N=32768, r=8, p=1). Naprava uporablja isti postopek in vrednosti za pridobivanje istega ključa za šifriranje vsebine.

  3. Ustvarite naključno zaporedje natančno 12 bajtov. To je vaš inicializacijski vektor.

  4. Ustvarite glavo JOSE, nastavitev alg, enc, in cisco-kdf ključe, kot je opisano v Razumevanje postopka zunanje identitete za naprave. Nastavite dejanje »dodaj« z uporabo ključa:vrednost "cisco-action":"add" v vaši glavi JOSE (ker dodajamo potrdilo v napravo).

  5. Base64url kodira glavo JOSE.

  6. Uporabite svoje orodje za šifriranje JWE z izbrano šifro in glavo JOSE, kodirano z base64url, da šifrirate besedilo iz povezane datoteke pem.

  7. Base64url kodira inicializacijski vektor, šifrirano koristno vsebino PEM in oznako za preverjanje pristnosti.

  8. Konstruirajte blob JWE na naslednji način (vse vrednosti so kodirane base64url):

    JOSEHeader..InitVector.EncryptedPEM.AuthTag

4

Odprite TShell na napravi in zaženite (večvrstični) ukaz za dodajanje:

xcommand Security Certificates Services Add IsEncrypted: True
your..JWE.str.ing\n
.\n
5

Z zagonom preverite, ali je potrdilo dodano xcommand Security Certificates Services Show

Kopirajte prstni odtis novega potrdila.

6

Za ta namen aktivirajte potrdilo WebexIdentity:

  1. Preberite prstni odtis potrdila iz samega potrdila ali iz izpisa xcommand Security Certificates Services Show.

  2. Ustvarite naključno zaporedje vsaj 4 bajtov in base64url kodirajte to zaporedje. To je tvoja sol.

  3. Izpeljite ključ za šifriranje vsebine s svojim orodjem scrypt.

    Za to potrebujete skrivnost, sol in dolžino ključa, ki ustreza vaši izbrani šifri šifriranja. Obstaja še nekaj drugih stalnih vrednosti (N=32768, r=8, p=1). Naprava uporablja isti postopek in vrednosti za pridobivanje istega ključa za šifriranje vsebine.

  4. Ustvarite naključno zaporedje natančno 12 bajtov in base64url kodirajte to zaporedje. To je vaš inicializacijski vektor.

  5. Ustvarite glavo JOSE, nastavitev alg, enc, in cisco-kdf ključe, kot je opisano v Razumevanje postopka zunanje identitete za naprave. Nastavite dejanje "aktiviraj" s ključem:vrednostjo "cisco-action":"activate" v glavi JOSE (ker aktiviramo potrdilo na napravi).

  6. Base64url kodira glavo JOSE.

  7. Za šifriranje prstnega odtisa potrdila uporabite svoje orodje za šifriranje JWE z izbrano šifro in glavo JOSE, kodirano z base64url.

    Orodje bi moralo izpisati 16 ali 32 bajtno zaporedje, odvisno od tega, ali ste izbrali 128 ali 256 bitni AES-GCM, in oznako za preverjanje pristnosti.

  8. Base64urlencode šifriran prstni odtis in oznako za preverjanje pristnosti.

  9. Konstruirajte blob JWE na naslednji način (vse vrednosti so kodirane base64url):

    JOSEHeader..InitVector.EncryptedFingerprint.AuthTag

  10. Odprite TShell v napravi in zaženite naslednji ukaz za aktiviranje:

                      xcommand Security Certificates Services Activate Purpose: WebexIdentity Fingerprint: "Your..JWE.encrypted.fingerprint" 
                    
Naprava ima šifrirano, aktivno potrdilo, ki ga je izdal CA, pripravljeno za uporabo za identifikacijo v šifriranih sestankih Webex od konca do konca.
7

Napravo vključite v svojo organizacijo Control Hub.

1

Načrtujte sestanek pravilne vrste (Webex Meetings Pro-End to End Encryption_VOIPonly).

2

Pridružite se srečanju kot gostitelj iz odjemalca Webex Meetings.

3

Pridružite se sestanku iz naprave, katere identiteto je potrdil Webex CA.

4

Kot gostitelj preverite, ali je ta naprava prikazana v preddverju s pravilno ikono identitete.

5

Pridružite se sestanku iz naprave, katere identiteto je preveril zunanji CA.

6

Kot gostitelj preverite, ali je ta naprava prikazana v preddverju s pravilno ikono identitete. Izvedite več o ikonah identitete.

7

Pridružite se sestanku kot nepreverjeni udeleženec sestanka.

8

Kot gostitelj preverite, ali se ta udeleženec pojavi v preddverju s pravilno ikono identitete.

9

Kot gostitelj sprejmete ali zavrnete ljudi/naprave.

10

Potrdite identitete udeležencev/naprav, kjer je to mogoče, tako da preverite potrdila.

11

Preverite, ali vsi udeleženci sestanka vidijo isto varnostno kodo sestanka.

12

Pridružite se srečanju z novim udeležencem.

13

Preverite, ali vsi vidijo isto, novo varnostno kodo sestanka.

Ali boste šifrirana srečanja od konca do konca določili kot privzeto možnost srečanja ali jo omogočili le nekaterim uporabnikom ali dovolili vsem gostiteljem, da se odločijo? Ko se odločite, kako boste uporabljali to funkcijo, pripravite uporabnike, ki jo bodo uporabljali, predvsem glede omejitev in kaj lahko pričakujete na sestanku.

Ali morate zagotoviti, da niti Cisco niti kdo drug ne more dešifrirati vaše vsebine ali lažno predstavljati vaših naprav? Če je tako, potrebujete potrdila javnega CA. Na varnem sestanku lahko imate največ 25 naprav. Če potrebujete to raven varnosti, strankam sestankov ne smete dovoliti, da se pridružijo.

Za uporabnike, ki se pridružujejo z varnimi napravami, dovolite, da se naprave najprej pridružijo, in nastavite pričakovanja uporabnikov, da se morda ne bodo mogli pridružiti, če se pridružijo pozno.

Če imate različne ravni preverjanja identitete, omogočite uporabnikom, da se medsebojno preverjajo z identiteto, podprto s potrdilom, in varnostno kodo srečanja. Čeprav obstajajo okoliščine, v katerih se lahko udeleženci prikažejo kot nepreverjeni in bi morali udeleženci vedeti, kako preveriti, nepreverjeni ljudje morda niso sleparji.

Če za izdajo potrdil vaše naprave uporabljate zunanjo CA, ste sami odgovorni za spremljanje, osveževanje in ponovno uporabo potrdil.

Če ste ustvarili prvotno skrivnost, upoštevajte, da bodo vaši uporabniki morda želeli spremeniti skrivnost svoje naprave. Morda boste morali ustvariti vmesnik/distribuirati orodje, ki jim bo omogočilo to.

Tabela 1. ID-ji vrste seje za šifrirane sestanke od konca do konca

ID vrste seje

Ime javne službe

638

Samo šifriranje E2E + VoIP

652

Pro-End to End Encryption_VOIPonly

660

Pro 3 Free-End to End Encryption_VOIPonly

Šifriranje E2E + identiteta

672

Pro 3 Free50-od konca do konca Encryption_VOIPonly

673

Inštruktor izobraževanja E2E Encryption_VOIPonly

676

Broadworks Standard plus šifriranje od konca do konca

677

Broadworks Premium plus šifriranje od konca do konca

681

Schoology Free plus šifriranje od konca do konca

Te tabele opisujejo ukaze API-ja za naprave Webex, ki smo jih dodali za šifrirana srečanja od konca do konca in preverjeno identiteto. Za več informacij o uporabi API-ja glejte Dostopajte do API-ja za sobne in namizne naprave Webex ter plošče Webex.

Ti ukazi xAPI so na voljo samo v napravah, ki so:

  • Registriran na Webex

  • Registriran na mestu uporabe in povezan z Webexom z Webex Edge for Devices

Tabela 2. API-ji na sistemski ravni za šifrirana srečanja od konca do konca in preverjeno identiteto

API klic

Opis

xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com"

Ta konfiguracija se izvede, ko skrbnik nastavi prednostno domeno naprave iz Control Huba. Potrebno le, če ima organizacija več kot eno domeno.

Naprava uporablja to domeno, ko zahteva potrdilo od Webex CA. Domena nato identificira napravo.

Ta konfiguracija ni uporabna, če ima naprava aktivno, zunanje izdano potrdilo za identifikacijo.

xStatus Conference EndToEndEncryption Availability

Označuje, ali se naprava lahko pridruži šifriranemu sestanku od konca do konca. API za oblak ga pokliče, tako da seznanjena aplikacija ve, ali lahko uporabi napravo za pridružitev.

xStatus Conference EndToEndEncryption ExternalIdentity Verification

Označuje, ali naprava uporablja External overitev (ima certifikat zunanje izdaje).

xStatus Conference EndToEndEncryption ExternalIdentity Identity

Identiteta naprave, kot je prebrana iz splošnega imena zunanjega izdanega potrdila.

xStatus Conference EndToEndEncryption ExternalIdentity CertificateChain Certificate # specificinfo

Prebere določene informacije iz zunanjega izdanega potrdila.

V prikazanem ukazu zamenjajte # s številko potrdila. Zamenjati specificinfo z enim od:

  • Fingerprint

  • NotAfter Končni datum veljavnosti

  • NotBefore Datum začetka veljavnosti

  • PrimaryName

  • PublicKeyAlgorithm

  • SerialNumber

  • SignatureAlgorithm

  • Subject # Name Seznam predmetov za potrdilo (npr. elektronski naslov ali ime domene)

  • Validity Poda status veljavnosti tega potrdila (npr valid ali expired)

xStatus Conference EndToEndEncryption ExternalIdentity Status

Stanje zunanje identitete naprave (npr valid ali error).

xStatus Conference EndToEndEncryption InternalIdentity Verification

Označuje, ali ima naprava veljavno potrdilo, ki ga je izdal Webex CA.

xStatus Conference EndToEndEncryption InternalIdentity Identity

Identiteta naprave, kot je prebrana iz splošnega imena potrdila, ki ga je izdal Webex.

Vsebuje ime domene, če ima organizacija domeno.

Je prazno, če organizacija nima domene.

Če je naprava v organizaciji, ki ima več domen, je to vrednost iz PreferredDomain.

xStatus Conference EndToEndEncryption InternalIdentity CertificateChain Certificate # specificinfo

Prebere določene informacije iz potrdila, ki ga je izdal Webex.

V prikazanem ukazu zamenjajte # s številko potrdila. Zamenjati specificinfo z enim od:

  • Fingerprint

  • NotAfter Končni datum veljavnosti

  • NotBefore Datum začetka veljavnosti

  • PrimaryName

  • PublicKeyAlgorithm

  • SerialNumber

  • SignatureAlgorithm

  • Subject # Name Seznam predmetov za potrdilo (npr. elektronski naslov ali ime domene)

  • Validity Poda status veljavnosti tega potrdila (npr valid ali expired)

Tabela 3. API-ji v klicu za šifrirana srečanja od konca do konca in preverjeno identiteto

API klic

Opis

xEvent Conference ParticipantList ParticipantAdded

xEvent Conference ParticipantList ParticipantUpdated

xEvent Conference ParticipantList ParticipantDeleted

Ti trije dogodki zdaj vključujejo EndToEndEncryptionStatus, EndToEndEncryptionIdentity, in EndToEndEncryptionCertInfo za prizadetega udeleženca.

Tabela 4. API-ji, povezani s ClientSecret, za šifrirana srečanja od konca do konca in preverjeno identiteto

API klic

Opis

xCommand Security ClientSecret Populate Secret: "base64url-encoded"

ali

xCommand Security ClientSecret Populate Secret: JWEblob

Sprejema vrednost navadnega besedila, kodiranega z base64url, za prvo sejanje skrivnosti odjemalca v napravi.

Če želite posodobiti skrivnost po tem prvem času, morate zagotoviti blob JWE, ki vsebuje novo skrivnost, šifrirano s staro skrivnostjo.

xCommand Security Certificates Services Add JWEblob

Doda potrdilo (z zasebnim ključem).

Ta ukaz smo razširili, da sprejme blob JWE, ki vsebuje šifrirane podatke PEM.

xCommand Security Certificates Services Activate Purpose:WebexIdentity FingerPrint: JWEblob

Aktivira določeno potrdilo za WebexIdentity. Za to Purpose, ukaz zahteva, da je identifikacijski prstni odtis šifriran in serializiran v blobu JWE.

xCommand Security Certificates Services Deactivate Purpose:WebexIdentity FingerPrint: JWEblob

Deaktivira določeno potrdilo za WebexIdentity. Za to Purpose, ukaz zahteva, da je identifikacijski prstni odtis šifriran in serializiran v blobu JWE.