Uporabniška izkušnja

Uporabniki izberejo vrsto sestanka, ko načrtujejo sestanek. Ko sprejema udeležence iz čakalnice in med sestankom, si lahko gostitelj ogleda stanje preverjanja identitete vsakega udeleženca. Na voljo je tudi koda sestanka, ki je skupna vsem trenutnim udeležencem sestanka, s katero lahko preverijo, ali njihov sestanek ni prestregel neželen napad Meddler V Sredini (MITM) tretje osebe.

Delite naslednje informacije s svojimi gostitelji sestankov:

Preverjanje identitete z notranjim ali zunanjim CA

Preveri identiteto

Šifriranje od konca do konca s preverjanjem identitete zagotavlja dodatno varnost sestanku, ki je šifriran od konca do konca.

Ko se udeleženci ali naprave pridružijo skupini MLS (Messaging Layer Security) v skupni rabi, predstavijo svoja potrdila drugim članom skupine, ki nato potrdijo potrdila pred organi za potrdila, ki jih izdajo (CA). S potrditvijo veljavnosti potrdil, da so potrdila veljavna, CA preveri identiteto udeležencev in sestanek prikaže udeležence/naprave kot preverjene.

Uporabniki aplikacije Webex preverijo svojo pristnost v shrambi identitete Webex, ki jim izda žeton za dostop, ko je preverjanje pristnosti uspešno. Če potrebujejo potrdilo za preverjanje svoje identitete na sestanku, ki je šifriran od konca do konca, jim Webex CA izda potrdilo na podlagi njihovega žetona za dostop. Trenutno ne ponujamo načina, da bi uporabniki aplikacije Webex Meetings dobili potrdilo, ki ga izda tretja oseba/zunanji CA.

Naprave se lahko preverijo s potrdilom, ki ga izda notranji CA (Webex), ali potrdilom, ki ga izda zunanji CA:

  • Notranji CA – Webex izda notranje potrdilo na podlagi žetona za dostop strojnega računa naprave. Potrdilo podpiše Webex CA. Naprave nimajo ID-jev uporabnikov na enak način kot uporabniki, zato Webex uporablja (eno od) domen vaše organizacije pri pisanju identitete potrdila naprave (Common Name (CN)).

  • Zunanji CA – Zahtevajte in kupite potrdila naprav neposredno od izbranega izdajatelja. Z uporabo skrivnosti, ki je znana samo vam, morate šifrirati, neposredno naložiti in odobriti potrdila.

    Družba Cisco ne sodeluje, zato je to način, da zagotovi resnično šifriranje od konca do konca in preverjeno identiteto ter prepreči teoretično možnost, da bi lahko družba Cisco prisluhnila vašemu sestanku/dešifrirala vaše predstavnosti.

Interno izdano potrdilo naprave

Webex napravi izda potrdilo, ko se registrira po zagonu, in ga po potrebi podaljša. Pri napravah potrdilo vključuje ID računa in domeno.

Če vaša organizacija nima domene, Webex CA izda potrdilo brez domene.

Če ima vaša organizacija več domen, lahko uporabite Control Hub, da Webex poveste, katero domeno naj naprava uporabi za svojo identiteto. Lahko uporabite tudi API xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com".

Če imate več domen in ne nastavite želene domene za napravo, Webex izbere eno za vas.

Zunanje potrdilo naprave

Skrbnik lahko napravi zagotovi lastno potrdilo, ki je bilo podpisano z enim od javnih CA.

Potrdilo mora temeljiti na parih ključev ECDSA P-256, čeprav ga je mogoče podpisati s ključem RSA.

Vrednosti v potrdilu so po presoji organizacije. Skupno ime (CN) in alternativno ime zadeve (SAN) bosta prikazana v uporabniškem vmesniku sestanka Webex, kot je opisano v šifriranju od konca do konca s preverjanjem identitete za Webex Meetings.

Priporočamo uporabo ločenega potrdila za napravo in edinstvenega CN za napravo. Na primer »meeting-room-1.example.com« za organizacijo, ki ima v lasti domeno »example.com«.

Za popolno zaščito zunanjega potrdila pred nedovoljenimi posegi se za šifriranje in podpisovanje različnih xcommands uporablja skrivna funkcija odjemalca.

Pri uporabi skrivnega strežnika odjemalca je mogoče varno upravljati zunanje potrdilo identitete Webex prek xAPI. To je trenutno omejeno na spletne naprave.

Webex trenutno zagotavlja ukaze API za upravljanje tega.

Funkcije in omejitve

Naprave

Naslednje naprave serije Webex Room in serije Webex Desk, registrirane v oblaku, se lahko pridružijo sestankom E2EE:

  • Tabla Webex

  • Namizni Pro Webex

  • Miza Webex

  • Komplet za sobo Webex

  • Mini komplet za sobo Webex

Naslednje naprave se ne morejo pridružiti sestankom E2EE:

  • Serija Webex C

  • Serija Webex DX

  • Serija Webex EX

  • Serija Webex MX

  • Naprave SIP tretjih oseb

Odjemalci programske opreme

  • Aplikacija Webex za namizne in mobilne odjemalce se lahko pridruži sestankom E2EE.

  • Spletni odjemalec Webex se ne more pridružiti sestankom E2EE.

  • Mehki odjemalci SIP tretjih oseb se ne morejo pridružiti sestankom E2EE.

Identiteta

  • Po zasnovi ne ponujamo možnosti zvezdišča Control Hub, da bi lahko upravljali zunanjo preverjeno identiteto naprave. Za resnično šifriranje od konca do konca morate poznati/dostopati samo do skrivnosti in ključev. Če smo za upravljanje teh ključev uvedli storitev v oblaku, obstaja možnost, da jih prestrežemo.

  • Trenutno vam ponujamo "recept" za oblikovanje lastnih orodij, ki temeljijo na standardnih tehnikah šifriranja industrije, da bi pomagali pri zahtevanju ali šifriranju potrdil o identiteti vaše naprave in njihovih zasebnih ključev. Ne želimo imeti resničnega ali zaznanega dostopa do vaših skrivnosti ali ključev.

Sestanki

  • Sestanki E2EE trenutno podpirajo največ 1000 udeležencev.

  • Na sestankih E2EE lahko daste nove table v skupno rabo. Obstaja nekaj razlik od tabel na rednih sestankih:
    • V sestankih E2EE uporabniki ne morejo dostopati do tabel, ustvarjenih zunaj sestanka, vključno z zasebnimi tablami, tablami, ki so jih delili drugi, in tablami iz prostorov Webex.
    • Table, ustvarjene v sestankih E2EE, so na voljo samo med sestankom. Niso shranjeni in niso dostopni po koncu sestanka.
    • Če nekdo da vsebino v skupno rabo na sestanku E2EE, jo lahko pripišete. Za več informacij o pripisu si oglejte Aplikacija Webex | Označi vsebino v skupni rabi z pripisi.

Vmesnik za upravljanje

Priporočamo vam, da za upravljanje mesta Meetings uporabite Control Hub, saj imajo organizacije Control Hub centralizirano identiteto za celotno organizacijo.

Dodatni viri
Predpogoji

  • Webex Meetings 41.7.

  • Naprave serije Webex Room in Webex Desk, registrirane v oblaku, delujejo 10.6.1-RoomOS_August_2021.

  • Skrbniški dostop do mesta za sestanke v zvezdišču Control Hub.

  • Ena ali več preverjenih domen v vaši organizaciji Control Hub (če uporabljate Webex CA za izdajanje potrdil naprave za preverjeno identiteto).

  • Sejne sobe za sodelovanje morajo biti vklopljene, da se lahko osebe pridružijo prek svojega video sistema. Za več informacij glejte Dovoli video sistemom, da se pridružijo sestankom in dogodkom na vašem spletnem mestu Webex.

Pridobi potrdila naprave

Ta korak lahko preskočite, če ne potrebujete zunanje preverjenih identitet.

Za najvišjo raven varnosti in za preverjanje identitete mora vsak pripomoček imeti edinstveno potrdilo, ki ga izda zaupanja vreden javni Certificate Authority (CA).

Komunicirati morate s CA, da zahtevate, kupite in prejemate digitalna potrdila ter ustvarite povezane zasebne ključe. Ko zahtevate potrdilo, uporabite naslednje parametre:

  • Potrdilo mora izdati in podpisati znani javni CA.

  • Edinstveno: Močno priporočamo uporabo edinstvenega potrdila za vsako napravo. Če uporabljate eno potrdilo za vse naprave, ogrožate svojo varnost.

  • Splošno ime (CN) in nadomestno ime (SAN) subjekta: Te niso pomembne za Webex, vendar morajo biti vrednosti, ki jih lahko ljudje preberejo in povežejo z napravo. CN bo drugim udeležencem sestanka pokazala kot primarno preverjeno identiteto naprave in če uporabniki pregledajo potrdilo prek uporabniškega vmesnika sestanka, bodo videli SAN/e. Morda boste želeli uporabiti imena, kot je name.model@example.com.

  • Oblika datoteke: Potrdila in ključi morajo biti v .pem obliki zapisa.

  • Namen: Namen potrdila mora biti Webex Identity.

  • Ustvarjanje ključev: Potrdila morajo temeljiti na parih ključev ECDSA P-256 (algoritem eliptične krivulje digitalnega podpisa z uporabo krivulje P-256).

    Ta zahteva ne velja za ključ za podpisovanje. CA lahko za podpis potrdila uporabi ključ RSA.

Pripravite se na uvajanje naprav

Če ne želite uporabljati zunanje preverjene identitete za svoje naprave, lahko preskočite ta korak.

Če uporabljate nove naprave, jih še ne registrirajte v Webex. Če želite biti varni, jih na tej točki ne povežite z omrežjem.

Če imate obstoječe naprave, ki jih želite nadgraditi, da uporabite zunanje preverjeno identiteto, morate tovarniško ponastaviti naprave.

  • Shranite obstoječo konfiguracijo, če jo želite obdržati.

  • Načrtujte okno, ko naprave ne uporabljate, ali uporabite postopen pristop. Uporabnike obvestite o spremembah, ki jih lahko pričakujejo.

  • Zagotovite fizični dostop do naprav. Če morate dostopati do naprav prek omrežja, upoštevajte, da skrivnosti potujejo v navadnem besedilu in da ogrožate svojo varnost.

Ko boste zaključili s temi koraki, omogočite video sistemom, da se pridružijo sestankom in dogodkom na vašem spletnem mestu Webex.

Razumevanje postopka zunanje identitete za naprave

Če želite zagotoviti, da vaše predstavnosti naprave ne more šifrirati nihče razen naprave, morate šifrirati zasebni ključ v napravi. Namen diplomskega dela je bil ugotoviti, ali so bili učenci s posebnimi potrebami zadovoljni in ali so bili učenci s posebnimi potrebami zadovoljni.

Za zagotovitev pravega šifriranja od konca do konca prek našega oblaka se ne sme ukvarjati s šifriranjem in nalaganjem potrdila in ključa. Če potrebujete to raven varnosti, morate:

  1. Zahtevajte svoja potrdila.

  2. Ustvarite pare ključev svojih potrdil.

  3. Ustvarite (in zaščitite) začetno skrivnost za vsako napravo, da zaženete zmožnost šifriranja naprave.

  4. Razvijte in vzdržujte lastno orodje za šifriranje datotek z uporabo standarda JWE.

    Postopek in (neskrivni) parametri, ki jih boste potrebovali, so razloženi spodaj, kot tudi recept, ki ga boste morali upoštevati v vaših razvojnih orodjih po izbiri. Ponujamo tudi nekaj testnih podatkov in posledične blokade JWE, kot jih pričakujemo, da vam bodo pomagali preveriti vaš proces.

    Nepodprta referenčna izvedba z uporabo Python3 in knjižnice JWCrypto je na voljo pri Ciscu na zahtevo.

  5. Povežite in šifrirajte potrdilo in ključ s pomočjo orodja in začetne skrivnosti naprave.

  6. Naložite nastalo blob JWE v napravo.

  7. Nastavite namen šifriranega potrdila, ki se bo uporabljalo za identiteto Webex, in aktivirajte potrdilo.

  8. (Priporočeno) Zagotovite vmesnik za (ali distribuirajte) svoje orodje, da omogočite uporabnikom naprave, da spremenijo začetno skrivnost in zaščitijo svoje predstavnosti pred vami.

Kako uporabljamo format JWE

V tem razdelku je opisano, kako pričakujemo, da bo JWE ustvarjen kot vnos v naprave, tako da lahko ustvarite lastno orodje za ustvarjanje blokov iz svojih potrdil in ključev.

Glejte JSON Web Encryption (JWE) https://datatracker.ietf.org/doc/html/rfc7516 in JSON Web Signature (JWS) https://datatracker.ietf.org/doc/html/rfc7515.

Za ustvarjanje blob JWE uporabljamo kompaktno serializacijo dokumenta JSON. Parametri, ki jih morate vključiti pri ustvarjanju blokov JWE, so:

  • Glava JOSE (zaščitena). V glavi podpisovanja in šifriranja predmeta JSON MORATE vključiti naslednje pare ključnih vrednosti:

    • "alg":"dir"

      Neposredni algoritem je edini, ki ga podpiramo za šifriranje nosilnosti, zato morate uporabiti prvotno skrivnost odjemalca naprave.

    • "enc":"A128GCM" ali "enc":"A256GCM"

      Podpiramo ta dva šifrirna algoritma.

    • "cisco-action": "add" ali "cisco-action": "populate" ali "cisco-action": "activate" ali "cisco-action": "deactivate"

      To je lastniški ključ in štiri vrednosti, ki jih lahko vzame. Ta ključ smo uvedli za označevanje namena šifriranih podatkov ciljni napravi. Vrednosti so poimenovane po ukazah xAPI v napravi, kjer uporabljate šifrirane podatke.

      Imenovali smo ga cisco-action za ublažitev potencialnih spopadov s prihodnjimi podaljški JWE.

    • "cisco-kdf": { "version": "1", "salt": "base64URLEncodedRandom4+Bytes" }

      Drug lastniški ključ. Vrednosti, ki ste jih navedli, uporabljamo kot vnose za izpeljavo ključa v napravi. To version mora biti 1 (različica naše ključne funkcije izpeljave). Vrednost salt mora biti zaporedje, kodirano z URL-jem base64, z vsaj 4 bajti, ki ga morate izbrati naključno.

  • Šifriran ključ JWE. To polje je prazno. Naprava jo pridobi od prvotnega ClientSecret.

  • Vektor inicializacije JWE. Za dešifriranje koristnosti morate posredovati osnovni64url kodiran vektor za inicializacijo. IV MORA biti naključna vrednost 12 bajtov (uporabljamo družino šifer AES-GCM, ki zahteva, da je IV dolg 12 bajtov).

  • JWE AAD (dodatni preverjeni podatki). To polje morate izpustiti, ker ni podprto v kompaktni serializaciji.

  • Šifra JWE: To je šifriran koristni tovor, ki ga želite obdržati skrivnost.

    Koristni tovor je LAHKO prazen. Če želite na primer ponastaviti skrivni ključ odjemalca, ga morate nadomestiti s prazno vrednostjo.

    Obstajajo različne vrste plačilnih obremenitev, odvisno od tega, kaj poskušate storiti na napravi. Različni ukazi xAPI pričakujejo različne obremenitve, s cisco-action ključem pa morate navesti namen nosilnosti, kot sledi:

    • S "cisco-action":"populate" šifro je novo ClientSecret.

    • S »"cisco-action":"add" šifro je PEM blob, ki nosi potrdilo in njegov zasebni ključ (verižno).

    • S »"cisco-action":"activate" šifro je prstni odtis (heksadecimalna predstavitev sha-1) potrdila, ki ga aktiviramo za preverjanje identitete naprave.

    • S »"cisco-action":"deactivate" šifro je prstni odtis (heksadecimalna predstavitev sha-1) certifikata, ki ga deaktiviramo za preverjanje identitete naprave.

  • Oznaka preverjanja pristnosti JWE: To polje vsebuje oznako preverjanja pristnosti za preverjanje celovitosti celotnega JWE kompaktno serializiranega bloba.

Kako izpeljemo šifrirni ključ iz ClientSecret

Po prvi populaciji skrivnosti ne sprejemamo ali iznašamo skrivnosti kot golo besedilo. S tem preprečite potencialne napade slovarjev s strani nekoga, ki bi imel dostop do naprave.

Programska oprema naprave uporablja skrivni ključ odjemalca kot vnos v funkcijo izpeljave ključa (kdf) in nato uporablja izpeljani ključ za dešifriranje/šifriranje vsebine na napravi.

Kaj to pomeni za vas je, da mora vaše orodje za izdelavo blokov JWE slediti istemu postopku za izpeljavo istega šifrirnega/dešifrirnega ključa iz skrivnega odjemalca.

Naprave uporabljajo scrypt za izpeljavo ključa (glejte https://en.wikipedia.org/wiki/Scrypt) z naslednjimi parametri:

  • CostFactor (N) je 32768

  • BlockSizeFactor (r) je 8

  • ParallelizationFactor (p) je 1

  • Sol je naključno zaporedje vsaj 4 bajtov; to morate zagotoviti salt pri določanju cisco-kdf parametra.

  • Ključne dolžine so 16 bajtov (če izberete algoritem AES-GCM 128) ali 32 bajtov (če izberete algoritem AES-GCM 256).

  • Največja omejitev pomnilnika je 64 MB

Ta nabor parametrov je edina konfiguracija scrypt , ki je združljiva s funkcijo izpeljave ključa na napravah. Ta kdf na napravah se imenuje "version":"1", kar je edina različica, ki jo ta cisco-kdf parameter trenutno uporablja.

Delujoč primer

Tukaj je primer, ki mu lahko sledite, da preverite, ali vaš postopek šifriranja JWE deluje enako kot postopek, ki smo ga ustvarili v napravah.

Primer scenarija je dodajanje bloba PEM v napravo (mimike dodajajo potrdilo, z zelo kratkim nizom namesto polnega potrdila + ključa). Skrivnost odjemalca v tem primeru je ossifrage.

  1. Izberite šifrirno šifro. Ta primer uporablja A128GCM (AES s 128-bitnimi tipkami v načinu Galois Counter). Vaše orodje lahko uporabite, A256GCM če želite.

  2. Izberite sol (mora biti naključno zaporedje vsaj 4 bajtov). Ta primer uporablja (hex bytes)E5 E6 53 08 03 F8 33 F6. Base64url kodira zaporedje, ki ga želite 5eZTCAP4M_Y (odstranite oblogo base64).

  3. Tukaj je vzorčni scrypt klic za ustvarjanje šifrirnega ključa vsebine (cek):

    cek=scrypt(password="ossifrage", salt=4-byte-sequence, N=32768, r=8, p=1, keylength=16)

    Izpeljani ključ mora biti 16 bajtov (šestnajst), kot sledi:ki 95 9e ba 6d d1 22 01 05 78 fe 6a 9d 22 78 ff ac temelji64url kodira lZ66bdEiAQV4_mqdInj_rA.

  4. Izberite naključno zaporedje 12 bajtov za uporabo kot vektor za inicializacijo. V tem primeru se uporablja (šestnajstiško) 34 b3 5d dd 5f 53 7b af 2d 92 95 83 katere koda base64url kodira NLNd3V9Te68tkpWD.

  5. Ustvarite glavo JOSE s kompaktno serializacijo (sledite istemu zaporedju parametrov, ki jih uporabljamo tukaj) in nato base64url kodirajte:

    {"alg":"dir","cisco-action":"add","cisco-kdf":{"salt":"5eZTCAP4M_Y","version":"1"},"enc":"A128GCM"}

    Osnovna64url kodirana glava JOSE je eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ9

    To bo prvi element JWE blob.

  6. Drugi element blob JWE je prazen, ker ne dobavljamo šifrirnega ključa JWE.

  7. Tretji element bloba JWE je inicializacijski vektor NLNd3V9Te68tkpWD.

  8. Uporabite svoje šifrirno orodje JWE za izdelavo šifriranih nosilcev in oznak. V tem primeru bo nešifrirana koristni tovor ponarejen PEM blob this is a PEM file

    Šifrirni parametri, ki jih morate uporabiti, so:

    • Koristni tovor je this is a PEM file

    • Šifrirna šifra je AES 128 GCM

    • Osnovni64url je kodiran naslov JOSE kot dodatni preverjeni podatki (AAD)

    Base64url kodira šifrirano koristno vsebino, kar naj bi imelo za posledico f5lLVuWNfKfmzYCo1YJfODhQ

    To je četrti element (JWE Ciphertext) v blob JWE.

  9. Base64url kodira oznako, ki ste jo izdelali v 8. koraku, kar naj bi imelo za posledico PE-wDFWGXFFBeo928cfZ1Q

    To je peti element v blobu JWE.

  10. Združite pet elementov blob JWE s pikami (JOSEheader..IV.Ciphertext.Tag), da dobite:

    eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

  11. Če ste izpeljali iste kodirane vrednosti base64url, kot so prikazane tukaj, z lastnimi orodji ste jih pripravljeni uporabiti za zaščito šifriranja E2E in preverjene identitete vaših naprav.

  12. Ta primer dejansko ne bo deloval, vendar bo vaš naslednji korak uporaba JWE blob, ki ste ga ustvarili zgoraj, kot vnos xcommand na napravi, ki doda potrdilo:

    xCommand Security Certificates Add eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

Vrste sej za sestanke brez zaupanja so na voljo vsem spletnim mestom za sestanke brez dodatnih stroškov. Imenuje se ena od teh vrst sej Pro-End to End Encryption_VOIPonly. To je ime javne službe, ki ga bomo morda spremenili v prihodnosti. Za trenutna imena vrst sej glejte ID-ji vrst seje v razdelku Sklic tega članka.

Za pridobivanje te zmožnosti za svoje spletno mesto vam ni treba ničesar storiti; dodeliti morate novo vrsto seje (imenovano tudi Pravica do sestanka) uporabnikom. To lahko storite posamično prek strani za konfiguracijo uporabnika ali skupaj z izvozom/uvozom CSV.

Preveri novo vrsto seje
1

Vpišite se v Control Hub in pojdite v Storitve > Sestanek.

2

Kliknite Mesta, izberite mesto Webex, za katero želite spremeniti nastavitve, nato pa kliknite Nastavitve.

3

V splošnih nastavitvah izberite Vrste sej.

Videti bi morali vsaj eno vrsto sej šifriranja od konca do konca. Glejte seznam ID-jev vrst seje v razdelku Sklic tega članka. Lahko vidite na primer Pro-od konca do konca Encryption_samo VOIP.

Obstaja starejša vrsta seje s podobnim imenom: Šifriranje od konca do konca. Ta vrsta seje vključuje nešifriran dostop do sestankov prek javnega komutiranega telefonskega omrežja. Prepričajte se, da imate različico _VOIPonly , ki zagotavlja šifriranje od konca do konca. To lahko preverite tako, da se s kazalcem pomaknete prek povezave PRO v stolpcu kode seje; v tem primeru mora biti cilj povezave javascript:ShowFeature(652).

V prihodnosti bomo lahko spremenili imena javnih storitev za te vrste sej.

4

Če še nimate nove vrste seje, se obrnite na svojega predstavnika Webex.

Kaj storiti naslednje

Omogočite to vrsto seje/pravico do sestanka nekaterim ali vsem svojim uporabnikom.

Omogoči sestanke E2EE za posamezne uporabnike
1

Vpišite se v Control Hub in pojdite v Upravljanje > Uporabniki.

2

Izberite uporabniški račun, ki ga želite posodobiti, nato pa izberite Sestanki.

3

V Nastavitvah uporabi za spustni seznam izberite mesto za sestanke, ki ga želite posodobiti.

4

Označite polje poleg možnosti Pro-od konca do konca Encryption_samo VOIP.

5

Zaprite ploščo s konfiguracijo uporabnika.

6

Po potrebi ponovite za druge uporabnike.

Če želite to dodeliti številnim uporabnikom, uporabite naslednjo možnost, Omogoči sestanke E2EE za več uporabnikov.

Omogoči sestanke E2EE za več uporabnikov
1

Vpišite se v Control Hub in pojdite v Storitve > Sestanek.

2

Kliknite Mesta, izberite mesto Webex, za katero želite spremeniti nastavitve.

3

V razdelku Licence in uporabniki kliknite Množično upravljanje.

4

Kliknite Ustvari poročilo in počakajte, da pripravimo datoteko.

5

Ko je datoteka pripravljena, kliknite Izvozi rezultate in nato Prenesi. (To pojavno okno morate ročno zapreti, ko kliknete Prenesi.)

6

Odprite preneseno datoteko CSV za urejanje.

Za vsakega uporabnika je vrstica in MeetingPrivilege stolpec vsebuje njihove ID-je vrste seje kot seznam, ločen z vejico.

7

Za vsakega uporabnika, ki ga želite dodeliti novo vrsto seje, dodajte 1561 kot novo vrednost na seznam, ločen z vejico, v MeetingPrivilege celici.

Sklic na obliko zapisa datoteke Webex vsebuje podrobnosti o namenu in vsebini datoteke CSV.

8

Odprite konfiguracijsko ploščo spletnega mesta za sestanke v zvezdišču Control Hub.

Če ste bili že na strani s seznamom mest za sestanke, jo boste morda morali osvežiti.

9

V razdelku Licence in uporabniki kliknite Množično upravljanje.

10

Kliknite Uvozi in izberite urejeno datoteko CSV, nato kliknite Uvozi. Počakajte, da se datoteka naloži.

11

Ko se uvoz konča, lahko kliknete Uvozi rezultate , da si ogledate, ali je prišlo do napak.

12

Pojdite na stran Uporabniki in odprite enega od uporabnikov, da preverite, ali ima novo vrsto seje.

Dodaj vodni žig zvoka za varnost

Posnetkom sestankov lahko dodate vodni žig z Webex Meetings Pro-End to End Encryption_VOIPonly vrsto seje, ki vam omogoča identifikacijo izvornega odjemalca ali naprave nepooblaščenih posnetkov zaupnih sestankov.

Ko je ta funkcija omogočena, zvok sestanka vključuje enolični identifikator za vsakega sodelujočega odjemalca ali napravo. Zvočne posnetke lahko naložite v Control Hub, ki nato analizira posnetek in poišče edinstvene identifikatorje. Lahko si ogledate rezultate, da vidite, kateri izvorni odjemalec ali naprava je posnela sestanek.

  • Za analizo mora biti posnetek datoteka AAC, MP3, M4A, WAV, MP4, AVI ali MOV, ki ni večja od 500 MB.
  • Posnetek mora trajati več kot 100 sekund.
  • Posnetke lahko analizirate samo za sestanke, ki jih gostijo osebe v vaši organizaciji.
  • Informacije o vodnem žigu se ohranijo enako dolgo kot informacije o sestanku organizacije.

Dodajte zvočne vodne žige sestankom E2EE

  1. Vpišite se v Control Hub, nato v razdelku Upravljanje, izberite Nastavitve organizacije.
  2. V razdelku Vodni žigi sestanka preklopite Dodaj zvočni vodni žig.

    Nekaj časa po vklopu tega načina si uporabniki, ki načrtujejo sestanke z Webex Meetings Pro-End to End Encryption_VOIPonly vrsto seje, ogledajo možnost Digitalnega vodnega žiga v razdelku Varnost.

Naložite in analizirajte sestanek z vodnim žigom

  1. V zvezdišču Control Hub v razdelku Spremljanje izberite Odpravljanje težav.
  2. Kliknite Analiza vodnega žiga.
  3. Poiščite ali izberite sestanek na seznamu, nato kliknite Analiziraj.
  4. V oknu Analiziraj vodni žig zvoka vnesite ime za svojo analizo.
  5. (Izbirno) Vnesite opombo za svojo analizo.
  6. Povlecite in spustite zvočno datoteko, ki jo želite analizirati, ali kliknite Izberi datoteko , da si ogledate zvočno datoteko.
  7. Kliknite Zapri.

    Ko je analiza dokončana, bo prikazana na seznamu rezultatov na strani Analiziraj vodni žig .

  8. Izberite sestanek na seznamu, da si ogledate rezultate analize. Kliknite Gumb za prenos za prenos rezultatov.

Funkcije in omejitve

Dejavniki, ki sodelujejo pri uspešnem dekodiranju posnetega vodnega žiga, vključujejo razdaljo med snemalno napravo in zvočnikom, ki oddaja zvok, glasnost tega zvoka, okoljski hrup itd. Naša tehnologija vodnega žiga ima dodatno odpornost na večkratno kodiranje, kar se lahko zgodi, ko je medij v skupni rabi.

Ta funkcija je zasnovana tako, da omogoča uspešno dekodiranje identifikatorja vodnega žiga v širokem, a razumnem sklopu okoliščin. Naš cilj je, da snemalna naprava, kot je mobilni telefon, ki leži na mizi blizu osebne končne točke ali odjemalca prenosnega računalnika, vedno ustvari posnetek, ki vodi do uspešne analize. Ker se snemalna naprava premakne stran od vira ali je zatemnjena pred poslušanjem celotnega zvočnega spektra, se možnosti za uspešno analizo zmanjšajo.

Za uspešno analizo posnetka je potreben razumen zajem zvoka sestanka. Če se zvok sestanka posname v istem računalniku, v katerem gosti odjemalca, omejitve ne bi smele veljati.

Uvajanje naprav (notranji CA)

Če so vaše naprave že vključene v vašo organizacijo Control Hub in želite uporabiti Webex CA za samodejno ustvarjanje njihovih identifikacijskih potrdil, vam ni treba tovarniško ponastaviti naprav.

Ta postopek izbere domeno, ki jo naprava uporablja za lastno identifikacijo, in je potreben, samo če imate v svoji organizaciji Control Hub več domen. Če imate več kot eno domeno, vam priporočamo, da to storite za vse naprave, ki bodo imele identiteto »preverjeno s strani Cisco«. Če aplikaciji Webex ne poveste, katera domena identificira napravo, je samodejno izbrana in morda bo videti napačno za druge udeležence sestanka.

Preden začnete

Če vaše naprave še niso vključene, sledite registraciji naprave v Cisco Webex z API ali lokalnim spletnim vmesnikom ali uvajanjem v oblak za Board, Desk in Room Series. Preveriti morate tudi domeno, ki jo želite uporabiti za identifikacijo naprav v Upravljanje svojih domen.

1

Vpišite se v Control Hub in v razdelku Upravljanje izberite Naprave.

2

Izberite napravo, da odprete svojo konfiguracijsko ploščo.

3

Izberite domeno, ki jo želite uporabiti za identifikacijo te naprave.

4

Ponovite za druge naprave.

Uvajanje naprav (zunanji CA)

Preden začnete

  • Pridobite potrdilo, podpisano s CA, in zasebni ključ v .pem obliki zapisa za vsako napravo.

  • V zavihku Priprava preberite temo Razumevanje postopka zunanje identitete za naprave,

  • Pripravite orodje za šifriranje JWE glede na tam navedene informacije.

  • Prepričajte se, da imate orodje za ustvarjanje naključnih zaporedij bajtov dane dolžine.

  • Prepričajte se, da imate orodje za baza64url kodiranja bajtov ali besedila.

  • Prepričajte se, da imate scrypt izvedbo.

  • Prepričajte se, da imate skrivno besedo ali besedno zvezo za vsako napravo.

1

Napolnite napravo ClientSecret s preprostim skrivnim besedilom:

Ko prvič naselite Secret, jo dostavite v navadnem besedilu. Zato priporočamo, da to storite na konzoli fizične naprave.

  1. Base64url kodira skrivno frazo za to napravo.

  2. Odprite TShell na napravi.

  3. Zaženi xcommand Security ClientSecret Populate Secret: "MDEyMzQ1Njc4OWFiY2RlZg"

    Zgornji ukaz popularizira Secret s frazo 0123456789abcdef. Izbrati morate svojega.

Naprava ima svojo prvotno skrivnost. Ne pozabite tega; ne morete je obnoviti in morate tovarniško ponastaviti napravo, če želite znova začeti.
2

Združite svoje potrdilo in zasebni ključ:

  1. Z urejevalnikom besedila odprite datoteke .pem, prilepite blob ključa blob potrdila in ga shranite kot novo datoteko .pem.

    To je besedilo nosilnosti, ki ga boste šifrirali in dali v svoj blob JWE.

3

Ustvarite blob JWE za uporabo kot vnos v ukaz za dodajanje potrdila:

  1. Ustvarite naključno zaporedje vsaj 4 bajtov. To je tvoja sol.

  2. Pridobite šifrirni ključ vsebine s svojim orodjem scrypt.

    Za to potrebujete skrivnost, sol in dolžino ključa, ki se ujema z izbrano šifrirno šifro. Obstajajo tudi druge fiksne vrednosti za oskrbo (N=32768, r=8, p=1). Naprava uporablja isti postopek in vrednosti za izpeljavo istega šifrirnega ključa vsebine.

  3. Ustvarite naključno zaporedje natanko 12 bajtov. To je vaš vektor za inicializacijo.

  4. Ustvarite glavo, nastavitev alg, encin cisco-kdf ključe JOSE, kot je opisano v Razumevanju postopka zunanje identitete za naprave. Nastavite dejanje »dodaj« z uporabo tipke:value "cisco-action":"add" v glavi JOSE (ker dodajamo potrdilo napravi).

  5. Base64url kodira naslov JOSE.

  6. Uporabite svoje orodje za šifriranje JWE z izbrano šifro in kodirano glavo JOSE base64url za šifriranje besedila iz datoteke pem z verižno verigo.

  7. Base64url kodira inicializacijski vektor, šifriran koristni tovor PEM in oznako preverjanja pristnosti.

  8. Konstruirajte blob JWE na naslednji način (vse vrednosti so kodirane kot base64url):

    JOSEHeader..InitVector.EncryptedPEM.AuthTag

4

Odprite TShell na napravi in zaženite ukaz za dodajanje (multiline): 

xcommand Security Certificates Services Add IsEncrypted: True
your..JWE.str.ing\n
.\n
5

Preverite, ali je potrdilo dodano z zagonom xcommand Security Certificates Services Show

Kopirajte prstni odtis novega potrdila.

6

Aktivirajte potrdilo za namen WebexIdentity:

  1. Preberite prstni odtis potrdila, bodisi iz samega potrdila ali iz izhoda xcommand Security Certificates Services Show.

  2. Ustvarite naključno zaporedje vsaj 4 bajtov in kodirajte osnovo64url za to zaporedje. To je tvoja sol.

  3. Pridobite šifrirni ključ vsebine s svojim orodjem scrypt.

    Za to potrebujete skrivnost, sol in dolžino ključa, ki se ujema z izbrano šifrirno šifro. Obstajajo tudi druge fiksne vrednosti za oskrbo (N=32768, r=8, p=1). Naprava uporablja isti postopek in vrednosti za izpeljavo istega šifrirnega ključa vsebine.

  4. Ustvarite naključno zaporedje natanko 12 bajtov in base64url kodirajte to zaporedje. To je vaš vektor za inicializacijo.

  5. Ustvarite glavo, nastavitev alg, encin cisco-kdf ključe JOSE, kot je opisano v Razumevanju postopka zunanje identitete za naprave. Nastavite dejanje »aktiviraj« s tipko:value "cisco-action":"activate" v glavi JOSE (ker aktiviramo potrdilo na napravi).

  6. Base64url kodira naslov JOSE.

  7. Za šifriranje prstnega odtisa potrdila uporabite svoje orodje za šifriranje JWE z izbrano šifro in kodirano glavo JOSE base64url.

    Orodje bi moralo izdati 16- ali 32-bitno zaporedje, odvisno od tega, ali ste izbrali 128- ali 256-bitni AES-GCM in oznako za preverjanje pristnosti.

  8. Base64urlencode šifriran prstni odtis in oznako za preverjanje pristnosti.

  9. Konstruirajte blob JWE na naslednji način (vse vrednosti so kodirane kot base64url):

    JOSEHeader..InitVector.EncryptedFingerprint.AuthTag

  10. Odprite TShell na napravi in zaženite naslednji ukaz za aktiviranje:

                      xcommand Security Certificates Services Activate Purpose: WebexIdentity Fingerprint: "Your..JWE.encrypted.fingerprint"

Naprava ima šifrirano, aktivno potrdilo, ki ga izda CA in je pripravljeno za njeno identifikacijo na sestankih Webex, ki so šifrirani od konca do konca.
7

Napravo vključite v svojo organizacijo Control Hub.

Preskusite šifriranje od konca do konca s preverjanjem identitete
1

Načrtujte sestanek pravilne vrste (Webex Meetings Pro-od konca do konca Encryption_VOIPonly).

Glejte Načrtovanje sestanka Webex s šifriranjem od konca do konca.

2

Pridružite se sestanku kot gostitelj iz odjemalca Webex Meetings.

Oglejte si možnost Pridružite se sestanku Webex s šifriranjem od konca do konca.

3

Pridružite se sestanku iz naprave, ki ima identiteto preverjeno s strani Webex CA.

4

Kot gostitelj preverite, ali se ta naprava pojavi v čakalnici z ustrezno ikono identitete.

Oglejte si možnost Pridružite se sestanku Webex s šifriranjem od konca do konca.

5

Pridružite se sestanku iz naprave, ki ima njeno identiteto preverjen zunanji CA.

6

Kot gostitelj preverite, ali se ta naprava pojavi v čakalnici z ustrezno ikono identitete. Več o ikonah identitete.

7

Pridružite se sestanku kot nepreverjen udeleženec sestanka.

8

Kot gostitelj preverite, ali se ta udeleženec pojavi v čakalnici z ustrezno ikono identitete.

9

Kot gostitelj sprejmite ali zavrnite osebe/naprave.

10

Če je mogoče, potrdite identitete udeležencev/naprave s preverjanjem potrdil.

11

Preverite, ali vsi na sestanku vidijo enako varnostno kodo za sestanke.

12

Pridružite se sestanku z novim udeležencem.

13

Preverite, ali vsi vidijo enako, novo varnostno kodo za sestanke.

Določite obseg in pričakovanja

  • Ali boste naredili sestanke, ki so šifrirani od konca do konca, za privzeto možnost sestanka ali jo omogočili samo za nekatere uporabnike ali dovolili vsem gostiteljem, da se odločijo? Ko se odločite, kako boste uporabljali to funkcijo, pripravite tiste uporabnike, ki jo bodo uporabljali, zlasti kar zadeva omejitve in kaj lahko pričakujete na sestanku.

  • Ali morate zagotoviti, da ne družba Cisco ne nihče drug ne more dešifrirati vaše vsebine ali poosebiti vaših naprav? Če je tako, potrebujete potrdila javnega CA.

  • Če imate različne ravni preverjanja identitete, pooblasti uporabnike, da drug drugega preverjajo z identiteto, podprto s potrdilom. Čeprav obstajajo okoliščine, v katerih se lahko udeleženci pojavijo kot Nepreverjeni in bi morali udeleženci vedeti, kako preveriti, nepreverjene osebe morda niso prevaranti.

Upravljanje identitete

Če za izdajanje potrdil naprave uporabljate zunanji CA, morate spremljati, osvežiti in ponovno uporabiti potrdila.

Če ste ustvarili prvotno skrivnost, upoštevajte, da bodo vaši uporabniki morda želeli spremeniti skrivnost svoje naprave. Morda boste morali ustvariti vmesnik/porazdeliti orodje, da jim omogočite to.

ID-ji vrst seje
Tabela 1. ID vrst seje za sestanke, ki so šifrirani od konca do konca

ID vrste seje

Ime javne storitve

638

Samo šifriranje E2E+VoIP

652

Od od konca do konca Encryption_Samo VOIP

660

Pro 3 Prosti-od konca do konca Encryption_Samo VOIPonly

Šifriranje E2E + identiteta

672

Pro 3 Free50-od konca do konca Encryption_VOIPonly

673

Učitelj izobraževanja E2E Encryption_VOIPonly

676

Broadworks Standard plus šifriranje od konca do konca

677

Šifriranje od konca do konca Broadworks Premium plus

681

Schoology Free plus šifriranje od konca do konca

Povezani ukazi xAPI

V teh tabelah so opisani ukazi API naprav Webex, ki smo jih dodali za sestanke, ki so šifrirani od konca do konca, in za preverjeno identiteto. Za več informacij o uporabi API glejte Dostop do API za sobne in namizne naprave Webex in plošče Webex.

Ti ukazi xAPI so na voljo samo v napravah, ki so:

  • Registrirano v Webexu

  • Registrirano v podjetju in povezano z Webex s storitvijo Webex Edge za naprave

Tabela 2. API-ji na nivoju sistema za sestanke, ki so šifrirani od konca do konca, in preverjeno identiteto

Klic API

Opis

xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com"

Ta konfiguracija je izvedena, ko skrbnik nastavi želeno domeno naprave iz zvezdišča Control Hub. Potrebno samo, če ima organizacija več kot eno domeno.

Naprava uporablja to domeno, ko zahteva potrdilo Webex CA. Domena nato identificira napravo.

Ta konfiguracija ne velja, če ima naprava aktivno, zunanje izdano potrdilo, s katerim se identificira.

xStatus Conference EndToEndEncryption Availability

Označuje, ali se lahko naprava pridruži sestanku, ki je šifriran od konca do konca. API v oblaku ga pokliče tako, da seznanjena aplikacija ve, ali lahko uporabi napravo za pridružitev.

xStatus Conference EndToEndEncryption ExternalIdentity Verification

Označuje, ali naprava uporablja External preverjanje (ima zunanje potrdilo).

xStatus Conference EndToEndEncryption ExternalIdentity Identity

Identiteta naprave, kot je prebrana iz splošnega imena zunanje izdanega potrdila.

xStatus Conference EndToEndEncryption ExternalIdentity CertificateChain Certificate # specificinfo

Prebere specifične informacije iz zunanje izdanega potrdila.

V prikazanem ukazu zamenjajte # s številko potrdila. Zamenjaj specificinfo z enim od:

  • Fingerprint

  • NotAfter Datum konca veljavnosti

  • NotBefore Datum začetka veljavnosti

  • PrimaryName

  • PublicKeyAlgorithm

  • SerialNumber

  • SignatureAlgorithm

  • Subject # Name Seznam predmetov za potrdilo (npr. e-poštni naslov ali ime domene)

  • Validity Dodeli stanje veljavnosti tega potrdila (npr. valid ali expired)

xStatus Conference EndToEndEncryption ExternalIdentity Status

Stanje zunanje identitete naprave (npr. valid ali error).

xStatus Conference EndToEndEncryption InternalIdentity Verification

Označuje, ali ima naprava veljavno potrdilo, ki ga je izdala CA Webex.

xStatus Conference EndToEndEncryption InternalIdentity Identity

Identiteta naprave, kot je prebrana iz splošnega imena potrdila, ki ga izda aplikacija Webex.

Vsebuje ime domene, če ima organizacija domeno.

Je prazno, če organizacija nima domene.

Če je naprava v organizaciji, ki ima več domen, je to vrednost iz PreferredDomain.

xStatus Conference EndToEndEncryption InternalIdentity CertificateChain Certificate # specificinfo

Prebere specifične informacije iz potrdila, ki ga je izdal Webex.

V prikazanem ukazu zamenjajte # s številko potrdila. Zamenjaj specificinfo z enim od:

  • Fingerprint

  • NotAfter Datum konca veljavnosti

  • NotBefore Datum začetka veljavnosti

  • PrimaryName

  • PublicKeyAlgorithm

  • SerialNumber

  • SignatureAlgorithm

  • Subject # Name Seznam predmetov za potrdilo (npr. e-poštni naslov ali ime domene)

  • Validity Dodeli stanje veljavnosti tega potrdila (npr. valid ali expired)

Tabela 3. V API-jih klicev za sestanke, ki so šifrirani od konca do konca, in preverjeno identiteto

Klic API

Opis

xEvent Conference ParticipantList ParticipantAdded

xEvent Conference ParticipantList ParticipantUpdated

xEvent Conference ParticipantList ParticipantDeleted

Ti trije dogodki zdaj vključujejo EndToEndEncryptionStatus, EndToEndEncryptionIdentityin EndToEndEncryptionCertInfo za prizadete udeležence.

Tabela 4. Povezani API-ji ClientSecret za sestanke, ki so šifrirani od konca do konca, in preverjena identiteta

Klic API

Opis

xCommand Security ClientSecret Populate Secret: "base64url-encoded"

ali

xCommand Security ClientSecret Populate Secret: JWEblob

Sprejme osnovno kodirano vrednost besedila, ki je osnovna64url, za prvič sejanje skrivnega strežnika v napravi.

Če želite po tem prvič posodobiti skrivnost, morate zagotoviti JWE blob, ki vsebuje novo skrivnost, šifrirano s staro skrivnost.

xCommand Security Certificates Services Add JWEblob

Doda potrdilo (z zasebnim ključem).

Ta ukaz smo razširili tako, da smo sprejeli blob JWE, ki vsebuje šifrirane podatke PEM.

xCommand Security Certificates Services Activate Purpose:WebexIdentity FingerPrint: JWEblob

Aktivira točno določeno potrdilo za WebexIdentity. Za to Purposeukaz zahteva, da se identifikacijski prstni odtis šifrira in serializira v blob JWE.

xCommand Security Certificates Services Deactivate Purpose:WebexIdentity FingerPrint: JWEblob

Deaktivira točno določeno potrdilo za WebexIdentity. Za to Purposeukaz zahteva, da se identifikacijski prstni odtis šifrira in serializira v blob JWE.