Korisničko iskustvo

Korisnici biraju tip sastanka kada zakažu sastanak. Prilikom prijema učesnika iz čekaonice, kao i tokom sastanka, organizator može da vidi status potvrde identiteta svakog učesnika. Postoji i kôd za sastanke koji je uobičajen za sve aktuelne učesnike sastanka, koji mogu da koriste da potvrde da njihov sastanak nije presretnuo neželjena treća strana U Sred (MITM) napad.

Delite sledeće informacije sa svojim organizatorima sastanka:

Potvrda identiteta pomoću internog ili spoljnog CA

Potvrdi identitet

Potpuno šifrovanje sa potvrdom identiteta pruža dodatnu bezbednost sastanku sa potpunim šifrovanjem.

Kada se učesnici ili uređaji pridruže deljenoj MLS (Bezbednost sloja poruka) grupi, oni izlažu svoje sertifikate drugim članovima grupe, koji zatim potvrđuju sertifikate u odnosu na izdavanje autoriteta za izdavanje sertifikata (CA). Kada potvrdi da su sertifikati važeći, CA potvrđuje identitet učesnika i sastanak prikazuje učesnike/uređaje kao potvrđene.

Korisnici aplikacije Webex potvrđuju svoj identitet u Webex skladištu identiteta, koje im izdaje token za pristup kada potvrda identiteta uspe. Ako im je potreban sertifikat za potvrdu identiteta na sastanku sa potpunim šifrovanjem, Webex CA im daje sertifikat na osnovu tokena za pristup. Trenutno ne obezbeđujemo način da korisnici aplikacije Webex Meetings dobiju sertifikat koji je izdala treća strana/spoljni CA.

Uređaji mogu da potvrde identitet koristeći sertifikat koji je izdao interni (Webex) CA ili sertifikat koji je izdao spoljni CA:

  • Interna CA – Webex izdaje interni sertifikat na osnovu tokena za pristup mašinskom nalogu uređaja. Sertifikat je potpisao Webex CA. Uređaji nemaju ID korisnika na isti način kao korisnici, tako da Webex koristi (jedan od) domena vaše organizacije prilikom pisanja identiteta sertifikata uređaja (zajedničko ime (CN)).

  • Spoljni CA – Zatražite i kupite sertifikate uređaja direktno od izabranog izdavaoca. Morate da šifrujete, direktno otpremate i ovlastite sertifikate pomoću tajne poznate samo vama.

    Cisco nije uključen, što znači da se na taj način garantuje istinito end-to-end šifrovanje i potvrđeni identitet i sprečava teorijsku mogućnost da bi Cisco mogao da prisluškuje vaš sastanak/dešifruje vaše medije.

Interno izdati sertifikat uređaja

Webex izdaje sertifikat uređaju kada se registruje nakon pokretanja i obnavlja kada je to potrebno. Za uređaje sertifikat sadrži ID naloga i domen.

Ako vaša organizacija nema domen, Webex CA izdaje sertifikat bez domena.

Ako vaša organizacija ima više domena, možete da koristite Control Hub da biste rekli usluzi Webex koji domen će uređaj koristiti za njegov identitet. Možete da koristite i API xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com".

Ako imate više domena i ne podesite željeni domen za uređaj, onda Webex bira jedan za vas.

Eksterno izdati sertifikat uređaja

Administrator može da obezbedi uređaj sa sopstvenim sertifikatom koji je potpisan pomoću jednog od javnih CA.

Sertifikat mora da se zasniva na paru ključa ECDSA P-256, iako može da se potpiše pomoću RSA ključa.

Vrednosti u sertifikatu su po diskreciji organizacije. Zajedničko ime (CN) i alternativno ime subjekta (SAN) će se prikazati u korisničkom interfejsu Webex sastanka, kao što je opisano u odeljku Potpuno šifrovanje sa potvrdom identiteta za Webex Meetings.

Preporučujemo da koristite zasebni sertifikat po uređaju i da biste imali jedinstveni CN po uređaju. Na primer, „meeting-room-1.example.com“ za organizaciju koja je vlasnik domena „example.com“.

Da bi se u potpunosti zaštitio spoljni sertifikat od prigušivanja, funkcija tajne klijenta se koristi za šifrovanje i potpisivanje različitih xcommandi.

Kada koristite tajnu klijenta, moguće je bezbedno upravljati spoljnim Webex sertifikatom identiteta putem xAPI-ja. Ovo je trenutno ograničeno na uređaje na mreži.

Webex trenutno obezbeđuje API komande za upravljanje ovim putem.

Funkcije i ograničenja

Uređaji

Sledeći uređaji Webex Room serije registrovani u oblaku i Webex Desk serije mogu da se pridruže sastancima E2EE:

  • Webex tabla

  • Webex Desk Pro

  • Webex Desk

  • Webex Room Kit

  • Webex Room Kit Mini

Sledeći uređaji ne mogu da se pridruže E2EE sastancima:

  • Webex C serija

  • Webex DX serija

  • Webex EX serija

  • Webex MX serija

  • SIP uređaji treće strane

клијенти

  • Aplikacija Webex za klijente radne površine i mobilne uređaje mogu da se pridruže E2EE sastancima.

  • Veb-klijent Webex ne može da se pridruži E2EE sastancima.

  • SIP softverski klijenti treće strane ne mogu da se pridruže E2EE sastancima.

Књига

  • Po dizajnu ne obezbeđujemo opcije Control Hub za upravljanje identitetom uređaja koji je potvrđen spolja. Za potpuno šifrovanje, samo vi treba da znate/pristupite tajnama i ključevima. Ako smo uveli uslugu u oblaku da bismo upravljali tim ključevima, postoji šansa da ih presretnu.

  • Trenutno vam obezbeđujemo „recept“ za dizajn sopstvenih alatki, zasnovanih na industrijskim standardnim tehnikama šifrovanja, koji će vam pomoći pri slanju zahteva ili šifrovanju sertifikata identiteta uređaja i njihovih privatnih ključeva. Ne želimo da imamo nikakav stvarni ili opažen pristup vašim tajnama ili ključevima.

Sastanci

  • E2EE sastanci trenutno podržavaju najviše 1000 učesnika.

  • Nove bele table možete da delite na E2EE sastancima. Postoje neke razlike od belih tabli na redovnim sastancima:
    • Na E2EE sastancima korisnici ne mogu da pristupe belim tablama kreiranim van sastanka, uključujući privatne bele table, bele table koje dele drugi i bele table iz Webex prostora.
    • Bele table kreirane na E2EE sastancima dostupne su samo tokom sastanka. Oni se ne čuvaju i nisu dostupni kada se sastanak završi.
    • Ako neko deli sadržaj na E2EE sastanku, možete da hvatate beleške u njega. Više informacija o hvatanju beleški potražite u članku Aplikacija Webex | Označavanje deljenog sadržaja pomoću beleški.

Interfejs za upravljanje

Preporučujemo da koristite Control Hub za upravljanje lokacijom za sastanke, jer organizacije Control Hub imaju centralizovan identitet za celu organizaciju.

Dodatni resursi
Preduslov

  • Webex Meetings 41.7.

  • Webex Room i Webex Desk uređaji registrovani u oblaku, koji su pokrenuti 10.6.1-RoomOS_August_2021.

  • Administrativni pristup sajtu za sastanak u čvorištu Control Hub.

  • Jedan ili više potvrđenih domena u vašoj Control Hub organizaciji (ako koristite Webex CA za izdavanje sertifikata uređaja za potvrđeni identitet).

  • Collaboration Meeting Rooms mora biti uključena da bi ljudi mogli da se pridruže sa svog video sistema. Više informacija potražite u članku Dozvoljavanje video sistemima da se pridružuju sastancima i događajima na Webex lokaciji.

Nabavite sertifikate za uređaj

Ovaj korak možete da preskočite ako vam nisu potrebni identiteti koji su potvrđeni spolja.

Radi najvišeg nivoa bezbednosti i provere identiteta, svaki uređaj treba da ima jedinstveni sertifikat koji je izdao pouzdani javni autoritet za izdavanje sertifikata (CA).

Potrebno je da komunicirate sa CA da biste zatražili, kupili i dobili digitalne sertifikate i kreirali povezane privatne ključeve. Kada zahtevate sertifikat, koristite sledeće parametre:

  • Sertifikat mora da izda i potpiše dobro poznati javni CA.

  • Jedinstveno: Toplo preporučujemo da koristite jedinstveni sertifikat za svaki uređaj. Ako koristite jedan sertifikat za sve uređaje, time ugrožavate bezbednost.

  • Zajedničko ime (CN) i alternativno ime subjekta (SAN/s): Ovo nisu važne za Webex, ali bi trebalo da budu vrednosti koje ljudi mogu da pročitaju i povežu sa uređajem. CN će pokazati drugim učesnicima sastanka kao primarni potvrđeni identitet uređaja i ako korisnici pregledaju sertifikat putem korisničkog interfejsa sastanka, videće SAN/s. Možda ćete želeti da koristite imena kao što su name.model@example.com.

  • Format datoteke: Sertifikati i ključevi moraju biti u .pem formatu.

  • Namena: Svrha sertifikata mora da bude Webex identitet.

  • Ključevi koji se generišu: Sertifikati moraju biti zasnovani na ECDSA P-256 parova ključeva (algoritam eliptične krive digitalnog potpisa koristeći P-256 krive).

    Ovaj zahtev se ne odnosi na ključ za potpisivanje. CA može da koristi RSA ključ za potpisivanje sertifikata.

Pripremi za priključivanje uređaja

Ovaj korak možete da preskočite ako ne želite da koristite identitet potvrđen spolja za svoje uređaje.

Ako koristite nove uređaje, još uvek ih nemojte registrovati za Webex. Da biste bili sigurni, nemojte ih trenutno povezivati sa mrežom.

Ako imate postojeće uređaje koje želite da nadogradite da biste koristili identitet potvrđen spolja, morate da fabrički resetujete uređaje.

  • Sačuvajte postojeću konfiguraciju ako želite da je zadržite.

  • Zakažite prozor kada se uređaji ne koriste ili koristite fazni pristup. Obavestite korisnike o promenama koje mogu da očekuju.

  • Obezbedite fizički pristup uređajima. Ako morate da pristupite uređajima preko mreže, imajte na umu da tajne putuju u običnom tekstu i da kompromitujete svoju bezbednost.

Kada završite ove korake, dozvolite video sistemima da se pridružuju sastancima i događajima na vašoj Webex lokaciji.

Razumevanje procesa spoljnog identiteta za uređaje

Da biste osigurali da niko osim uređaja ne može da šifruje medijski sadržaj uređaja, morate da šifrujete privatni ključ na uređaju. Dizajnirali smo API-je za uređaj kako bi omogućio upravljanje šifrovanim ključem i sertifikatom koristeći JSON Web Encryption (JWE).

Da bismo osigurali potpuno šifrovanje putem našeg oblaka, ne možemo da budemo uključeni u šifrovanje i otpremanje sertifikata i ključa. Ako vam je potreban ovaj nivo bezbednosti, morate da:

  1. Zahtevajte svoje sertifikate.

  2. Generišite ključne parove sertifikata.

  3. Kreirajte (i zaštitite) početnu tajnu za svaki uređaj da biste podesili mogućnost šifrovanja uređaja.

  4. Razvijte i održavajte sopstvenu alatku za šifrovanje datoteka koristeći JWE standard.

    Proces i parametri (netajni) koji su vam potrebni objašnjeni su u nastavku, kao i recept koji treba slediti u alatkama za razvoj izbora. Takođe dostavljamo neke podatke o testiranju i dobijene JWE blokove kako ih očekujemo, pomoći će vam da potvrdite svoj proces.

    Nepodržana implementacija referenci pomoću Python3 i JWCrypto biblioteke je dostupna od kompanije Cisco na zahtev.

  5. Povežite i šifrujte sertifikat i ključ pomoću alatke i početne tajne uređaja.

  6. Otpremite rezultirajuću JWE blokadu na uređaj.

  7. Podesite svrhu šifrovanog sertifikata koji će se koristiti za Webex identitet i aktivirajte sertifikat.

  8. (Preporučeno) Navedite interfejs za (ili distribuciju) alatku da biste omogućili korisnicima uređaja da promene početnu tajnu i zaštite svoje medije od vas.

Kako koristimo JWE format

Ovaj odeljak opisuje kako očekujemo da se JWE kreira kao unos na uređaje, tako da možete da kreirate sopstvenu alatku za kreiranje blokova sa sertifikata i ključeva.

Pogledajte JSON web šifrovanje (JWE) https://datatracker.ietf.org/doc/html/rfc7516 i JSON web potpis (JWS) https://datatracker.ietf.org/doc/html/rfc7515.

Koristimo Kompaktnu serijalizaciju JSON dokumenta za kreiranje JWE blokova. Parametri koje treba da uključite prilikom kreiranja JWE blokova su:

  • JOSE Zaglavlje (zaštićeno). U zaglavlju JSON objekta Potpisivanje i šifrovanje MORATE DA uključite sledeće parove vrednosti ključa:

    • "alg":"dir"

      Direktan algoritam je jedini koji podržavamo za šifrovanje korisnih podataka i morate da koristite početnu tajnu klijenta uređaja.

    • "enc":"A128GCM" Вијести "enc":"A256GCM"

      Podržavamo ova dva algoritma šifrovanja.

    • "cisco-action": "add" ili "cisco-action": "populate" ili "cisco-action": "activate" ili "cisco-action": "deactivate"

      Ovo je vlasnički ključ i četiri vrednosti koje može da uzme. Uveli smo ovaj ključ kako bi se signalizirala svrha šifrovanih podataka na ciljni uređaj. Vrednosti se nazivaju po komandama za xAPI na uređaju na kom koristite šifrovane podatke.

      Nazvali smo ga cisco-action radi ublažavanja potencijalnih sukoba sa budućim JWE lokalima.

    • "cisco-kdf": { "version": "1", "salt": "base64URLEncodedRandom4+Bytes" }

      Još jedan kljuè. Vrednosti koje navedete koristimo kao unos za izvođenje ključeva na uređaju. version mora biti 1 (verzija naše ključne funkcije izvođenja). Vrednost salt mora biti baza64 URL-kodirana sekvenca od najmanje 4 bajta, koje morate nasumično da izaberete.

  • JWE šifrovani ključ. Ovo polje je prazno. Uređaj ga izvodi iz početnog ClientSecret.

  • JWE Vektor Pokretanja. Morate da obezbedite URL adresu baze šifrovan vektor pokretanja za dešifrovanje korisnih podataka. IV MORA biti nasumična 12 bajtova vrednost (koristimo AES-GCM porodicu šifri, koja zahteva da IV bude 12 bajtova).

  • JWE AAD (dodatni podaci sa potvrdom identiteta). Ovo polje morate izostaviti jer nije podržano u kompaktnoj serijalizaciji.

  • JWE Ciphertext: Ovo je šifrovani korisni teret koji želite da čuvate u tajnosti.

    Korisni teret MOŽE biti prazan. Na primer, da biste resetovali tajnu klijenta, potrebno je da je zamenite praznom vrednošću.

    Postoje različite vrste tereta, u zavisnosti od toga šta pokušavate da uradite na uređaju. Različite xAPI komande očekuju različite payload, a svrhu payload morate navesti pomoću cisco-action ključa, na sledeći način:

    • Sa "cisco-action":"populate" šifrovanjem je novi ClientSecret.

    • Sa ""cisco-action":"add" šifrovanjem je PEM blob koji nosi sertifikat i njegov privatni ključ (povezani).

    • Sa „"cisco-action":"activate" šifertekstom je otisak prsta (heksadecimalni prikaz sha-1) sertifikata koji aktiviramo za potvrdu identiteta uređaja.

    • Sa „"cisco-action":"deactivate" šifertekstom je otisak prsta (heksadecimalni prikaz sha-1) sertifikata koji deaktiviramo od korišćenja za potvrdu identiteta uređaja.

  • JWE oznaka za potvrdu identiteta: Ovo polje sadrži oznaku za potvrdu identiteta da bi se obezbedio integritet celog JWE kompaktno serijalizovanog bloka

Kako izvesti ključ za šifrovanje iz ClientSecret

Nakon prve populacije tajne, ne prihvatamo niti prikazujemo tajnu kao običan tekst. Time se sprečava potencijalni napadi rečnika od strane nekoga ko može pristupiti uređaju.

Softver uređaja koristi tajnu klijenta kao unos u funkciju derivata ključa (kdf), a zatim koristi izvedeni ključ za dešifrovanje/šifrovanje sadržaja na uređaju.

To za vas znači da vaša alatka za izradu JWE blokova mora da prati istu proceduru kako bi iz tajne klijenta proizvela isti ključ za šifrovanje/dešifrovanje.

Uređaji koriste šifrovanje za derivat ključa (pogledajte https://en.wikipedia.org/wiki/Scrypt), sa sledećim parametrima:

  • Faktor troškova (N) je 32768

  • BlockSizeFactor (r) je 8

  • Faktor paralelizacije (p) je 1

  • So je nasumični niz od najmanje 4 bajta; morate da unesete isti salt kada navedete cisco-kdf parametar.

  • Dužine ključa su ili 16 bajtova (ako izaberete AES-GCM 128 algoritam) ili 32 bajta (ako izaberete AES-GCM 256 algoritam)

  • Maksimalna memorija je 64MB

Ovaj skup parametara je jedina konfiguracija za write koja je kompatibilna sa ključnom funkcijom izvođenja na uređajima. Ovaj kdf na uređajima se zove "version":"1", što je jedina verzija koja trenutno koristi cisco-kdf parametar.

Primer je uspeo

Evo primera koji možete da sledite da biste proverili da li vaš proces JWE šifrovanja funkcioniše na isti način kao proces koji smo kreirali na uređajima.

Primer scenarija je dodavanje PEM blob uređaju (oponaša dodavanje sertifikata, sa veoma kratkom niskom umesto punog sertifikata + ključa). Tajna klijenta u primeru je ossifrage.

  1. Izaberite lozinku za šifrovanje. Ovaj primer koristi A128GCM (AES sa 128-bitnim tasterima u Galois kontra režimu). Vaša alatka može da koristi A256GCM ako želite.

  2. Odaberite so (mora biti nasumična sekvenca od najmanje 4 bajta). Ovaj primer koristi (hex bajtovi)E5 E6 53 08 03 F8 33 F6. URL adresa baze šifruje sekvencu za 5eZTCAP4M_Y (ukloni bazu64 padding).

  3. Evo primera scrypt poziva za kreiranje ključa za šifrovanje sadržaja (cek):

    cek=scrypt(password="ossifrage", salt=4-byte-sequence, N=32768, r=8, p=1, keylength=16)

    Izvedeni ključ treba da bude 16 bajtova (hex) na sledeći način:95 9e ba 6d d1 22 01 05 78 fe 6a 9d 22 78 ff ac na koju bazu URL adresa je kodirana lZ66bdEiAQV4_mqdInj_rA.

  4. Odaberite nasumičnu sekvencu od 12 bajtova koje ćete koristiti kao vektor pokretanja. Ovaj primer koristi (hex) 34 b3 5d dd 5f 53 7b af 2d 92 95 83 URL adresa baze šifruje za NLNd3V9Te68tkpWD.

  5. Kreirajte JOSE zaglavlje sa kompaktnom serijalizacijom (pratite isti redosled parametara koje ovde koristimo) a zatim ga URL adresa baze šifruje:

    {"alg":"dir","cisco-action":"add","cisco-kdf":{"salt":"5eZTCAP4M_Y","version":"1"},"enc":"A128GCM"}

    URL adresa baze kodirane JOSE zaglavlje je eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ9

    Ovo će biti prvi element JWE blokada.

  6. Drugi element JWE bloka je prazan, jer ne dostavljamo JWE ključ za šifrovanje.

  7. Treći element JWE bloka je vektor pokretanja NLNd3V9Te68tkpWD.

  8. Koristite svoju alatku za JWE šifrovanje da biste kreirali šifrovani korisni teret i oznaku. Za ovaj primer, nešifrovani korisni teret će biti lažna PEM blokada this is a PEM file

    Parametri šifrovanja koje treba da koristite su:

    • Korisni teret je this is a PEM file

    • Šifra za šifrovanje je AES 128 GCM

    • URL adresa baze šifrovano zaglavlje JOSE kao dodatni podaci sa potvrdom identiteta (AAD)

    URL adresa baze šifruje šifrovani korisni teret, koji bi trebalo da dovede do f5lLVuWNfKfmzYCo1YJfODhQ

    Ovo je četvrti element (JWE Ciphertext) u JWE bloku.

  9. URL adresa baze šifruje oznaku koju ste napravili u koraku 8, što treba da rezultuje u PE-wDFWGXFFBeo928cfZ1Q

    Ovo je peti element u JWE bloku.

  10. Spakujte pet elemenata JWE blob sa tačkama (JOSEheader..IV.Ciphertext.Tag) da biste dobili:

    eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

  11. Ako ste izradili iste osnovne URL adrese kodirane vrednosti kao što ovde prikazujemo, korišćenjem sopstvenih alatki, spremni ste da ih koristite za obezbeđivanje E2E šifrovanja i potvrđenog identiteta uređaja.

  12. Ovaj primer zapravo neće funkcionisati, ali u principu vaš sledeći korak bi bio da koristite JWE blob koji ste kreirali iznad kao unos za xcommand na uređaju koji dodaje sertifikat:

    xCommand Security Certificates Add eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

Tipovi sesija za sastanke sa nultim poverenjem dostupni su za sve lokacije sastanaka bez dodatnih troškova. Jedan od ovih tipova sesija se zove Pro-End to End Encryption_VOIPonly. Ovo je ime javnog servisa, koje možemo promeniti u budućnosti. Za trenutna imena tipova sesije pogledajte ID tipa sesije u odeljku Referenca ovog članka.

Ne morate ništa da uradite da biste dobili ovu mogućnost za vašu lokaciju; morate da odobrite novi tip sesije (takođe se naziva Privilegija za sastanak) korisnicima. To možete da uradite pojedinačno putem stranice za konfiguraciju korisnika ili grupno pomoću CSV izvoza/uvoza.

Potvrdi novi tip sesije
1

Prijavite se u Control Hub i idite do stavki Usluge > Sastanak.

2

Kliknite na Lokacije, odaberite Webex lokaciju za koju želite da promenite podešavanja, a zatim kliknite na Podešavanja.

3

U okviru stavke Opšta podešavanja izaberite Tipovi sesije.

Trebalo bi da vidite jedan ili više tipova sesija end-to-end šifrovanja. Pogledajte listu ID-a tipa sesije u odeljku Referenca ovog članka. Na primer, možda ćete videti samo Pro-End to End Encryption_VOIPsamo.

Postoji stariji tip sesije sa veoma sličnim imenom: Pro-end šifrovanje. Ovaj tip sesije uključuje nešifrovani PSTN pristup sastancima. Uverite se da imate verziju _VOIPonly da biste osigurali end-to-end šifrovanje. Možete da proverite tako što ćete zadržati pokazivač miša iznad PRO veze u koloni koda sesije; za ovaj primer, cilj veze treba da bude javascript:ShowFeature(652).

U budućnosti možemo da promenimo Imena Javnih Usluga za ove tipove sesija.

4

Ako još uvek nemate novi tip sesije, obratite se svom Webex predstavniku.

Šta je sledeće

Omogućite ovaj tip sesije/sastanak nekim ili svim svojim korisnicima.

Omogući E2EE sastanke za pojedinačne korisnike
1

Prijavite se u Control Hub i idite do stavki Upravljanje > Korisnici.

2

Izaberite korisnički nalog za ažuriranje, a zatim izaberite Sastanci.

3

Na padajućoj listi Podešavanja se primenjuju na padajuću listu izaberite lokaciju sastanka za ažuriranje.

4

Potvrdite polje pored opcije Pro-End to End Encryption_VOIPonly.

5

Zatvorite tablu za konfiguraciju korisnika.

6

Ako je potrebno, ponovite za ostale korisnike.

Da biste ovo dodelili mnogim korisnicima, koristite sledeću opciju, Omogući E2EE sastanke za više korisnika.

Omogući E2EE sastanke za više korisnika
1

Prijavite se u Control Hub i idite do stavki Usluge > Sastanak.

2

Kliknite na Lokacije, odaberite Webex lokaciju za koju želite da promenite podešavanja.

3

U odeljku Licence i korisnici kliknite na Masovno upravljanje.

4

Kliknite na Generiši izveštaj i sačekajte dok ne pripremimo datoteku.

5

Kada datoteka bude spremna, kliknite na Izvezi rezultate , a zatim i na Preuzmi. (Morate ručno da zatvorite taj iskačući prozor nakon što kliknete na dugme Preuzmi.)

6

Otvorite preuzetu CSV datoteku za uređivanje.

Postoji red za svakog korisnika, a kolona MeetingPrivilege sadrži njihove ID-ove sesije kao listu razgraničenih zarezima.

7

Za svakog korisnika kom želite da dodelite novi tip sesije, dodajte 1561 kao novu vrednost na listu razgraničenih zarezom u MeetingPrivilege ćeliji.

Referenca u Webex CSV formatu datoteke sadrži detalje o nameni i sadržaju CSV datoteke.

8

Otvorite tablu za konfiguraciju lokacije sastanka u čvorištu Control Hub.

Ako ste već bili na stranici liste lokacija sastanka, možda ćete morati da je osvežite.

9

U odeljku Licence i korisnici kliknite na Masovno upravljanje.

10

Kliknite na dugme Uvezi, a zatim na dugme Uvezi. Sačekajte dok se datoteka otpremi.

11

Kada se uvoz završi, možete da kliknete na Uvoz rezultata da biste pregledali ako je došlo do grešaka.

12

Idite na stranicu Korisnici i otvorite jedan od korisnika da biste proverili da li imaju novi tip sesije.

Dodajte audio vodeni žig radi bezbednosti

Vodeni žig možete dodati snimcima sastanaka uz Webex Meetings Pro-End to End Encryption_VOIPonly tip sesije, koji vam omogućava da identifikujete izvorni klijent ili uređaj neovlašćenih snimaka poverljivih sastanaka.

Kada je ova funkcija omogućena, audio snimak sastanka sadrži jedinstveni identifikator za svakog klijenta ili uređaj koji učestvuje. Možete da otpremite audio snimke u Control Hub, koji zatim analizira snimak i traži jedinstvene identifikatore. Možete da pogledate rezultate da biste videli koji izvor je klijent ili uređaj snimio sastanak.

  • Da bi se analizirao, snimak mora da bude AAC, MP3, M4A, WAV, MP4, AVI ili MOV datoteka ne veća od 500 MB.
  • Snimak mora da bude duži od 100 sekundi.
  • Snimke možete analizirati samo za sastanke koje organizuju osobe u vašoj organizaciji.
  • Informacije o vodenim žigovima se zadržavaju isto trajanje kao i informacije o sastanku organizacije.

Dodajte audio vodene žigove sastancima E2EE

  1. Prijavite se u Control Hub, a zatim u odeljku Upravljanje izaberite stavku Podešavanja organizacije.
  2. U odeljku Vodeni žigovi za sastanak uključite opciju Dodaj audio vodeni žig.

    Neko vreme nakon što je ovo uključeno, korisnici koji zakazuju sastanke pomoću tipa Webex Meetings Pro-End to End Encryption_VOIPonly sesije vide opciju Digitalni vodeni žig u odeljku Bezbednost.

Otpremite i analizirajte sastanak sa vodenim žigovima

  1. Na platformi Control Hub, u okviru odeljka Praćenje izaberite stavku Rešavanje problema.
  2. Kliknite na analizu vodenog žiga.
  3. Pretražite ili izaberite sastanak na listi, a zatim kliknite na Analiziraj.
  4. U prozoru Analiziraj audio vodeni žig unesite ime za analizu.
  5. (Opcionalno) Unesite napomenu za analizu.
  6. Prevucite i otpustite audio datoteku za analizu ili kliknite na Izaberi datoteku da biste pregledali audio datoteku.
  7. Kliknite na opciju Zatvori.

    Kada se analiza završi, ona će se prikazati na listi rezultata na stranici Analiza vodenog žiga .

  8. Izaberite sastanak na listi da biste videli rezultate analize. Kliknite Dugme za preuzimanje da biste preuzeli rezultate.

Funkcije i ograničenja

Faktori koji su uključeni u uspešno dekodiranje snimljenog vodenog žiga uključuju razdaljinu između uređaja za snimanje i zvučnika koji ostavlja zvuk, jačinu tog zvuka, buku iz okoline itd. Naša tehnologija vodenih žigova ima dodatnu otpornost da bude kodirana više puta, kao što može da se desi kada se mediji dele.

Ova funkcija je dizajnirana da omogući uspešno dekodiranje identifikatora vodenog žiga u širokom ali razumnom skupu okolnosti. Naš cilj je da uređaj za snimanje, kao što je mobilni telefon, koji leži na stolu blizu lične krajnje tačke ili klijenta laptopa, uvek treba da kreira snimak koji rezultira uspešnom analizom. Pošto se uređaj za snimanje udaljava od izvora ili je prigušen slušanjem celog audio spektra, smanjiće se šanse za uspešnu analizu.

Da bi se uspešno analizirao snimak, potrebno je razumno snimanje zvuka sastanka. Ako se zvuk sastanka snima na istom računaru koji hostuje klijent, ograničenja ne bi trebalo da se primenjuju.

Priključeni uređaji (interni CA)

Ako su uređaji već priključeni u vašu Control Hub organizaciju i želite da koristite Webex CA za automatsko generisanje njihovih identifikacionih sertifikata, ne morate da fabrički resetujete uređaje.

Ova procedura bira koje domene uređaj koristi za identifikaciju i potrebna je samo ako imate više domena u svojoj organizaciji Control Hub. Ako imate više domena, preporučujemo da to uradite za sve uređaje koji će imati identitet „potvrđen za Cisco“. Ako ne kažete Webexu koji domen identifikuje uređaj, on se automatski bira i možda će izgledati pogrešno prema drugim učesnicima sastanka.

Pre nego što počnete

Ako vaši uređaji još nisu ulazno migrirani, pratite opciju Registrujte uređaj za Cisco Webex pomoću API-ja ili lokalnog veb-interfejsa ili Priključivanja u oblaku za seriju Board, Desk i Room. Takođe bi trebalo da proverite domen/e koje želite da koristite za identifikaciju uređaja u odeljku Upravljanje domenima.

1

Prijavite se u Control Hub, a u okviru stavke Upravljanje izaberite stavku Uređaji.

2

Izaberite uređaj da biste otvorili tablu za konfiguraciju.

3

Izaberite domen koji želite da koristite za identifikovanje ovog uređaja.

4

Ponovi za druge uređaje.

Priključeni uređaji (spoljni CA)

Pre nego što počnete

  • Dobijte sertifikat sa potpisom CA i privatni ključ u .pem formatu za svaki uređaj.

  • U okviru kartice Priprema pročitajte temu Razumevanje procesa spoljnog identiteta za uređaje,

  • Pripremite alat za JWE šifrovanje u odnosu na informacije koje postoje.

  • Uverite se da imate alatku za generisanje nasumičnih bajtova po datim dužinama.

  • Uverite se da imate alatku za osnova bajtova ili teksta za URL šifrovanje.

  • Uverite se da imate scrypt implementaciju.

  • Uverite se da imate tajnu reč ili frazu za svaki uređaj.

1

Popunite uređaj ClientSecret tajnom za obični tekst:

Kada prvi put popunite Secret, objavite ga u običnom tekstu. Zato preporučujemo da ovo radite na konzoli fizičkog uređaja.

  1. URL adresa baze šifruje tajnu frazu za ovaj uređaj.

  2. Otvorite TShell na uređaju.

  3. Pokreni xcommand Security ClientSecret Populate Secret: "MDEyMzQ1Njc4OWFiY2RlZg"

    Gorenavedena komanda popunjava Secret frazom 0123456789abcdef. Moraš da izabereš svoju.

Uređaj ima svoju početnu tajnu. Ne zaboravite ovo; ne možete ga obnoviti i morate fabrički resetovati uređaj da biste ponovo pokrenuli.
2

Koncentrišite svoj sertifikat i privatni ključ:

  1. Pomoću uređivača teksta otvorite .pem datoteke, nalepite blok ključa certifikata i sačuvajte ga kao novu .pem datoteku.

    Ovo je tekst za korisni teret koji ćete šifrovati i staviti u JWE blok.

3

Kreirajte JWE blok koji ćete koristiti kao unos za komandu za dodavanje sertifikata:

  1. Kreirajte nasumični niz od najmanje 4 bajta. Ovo je tvoja so.

  2. Unesite ključ za šifrovanje sadržaja pomoću alatke za šifrovanje.

    Za ovo vam je potrebna tajna, so i dužina ključa da biste uparili izabranoj šifri šifrovanja. Postoje neke druge fiksne vrednosti za snabdevanje (N=32768, r=8, p=1). Uređaj koristi isti proces i vrednosti za generisanje istog ključa za šifrovanje sadržaja.

  3. Kreirajte nasumični niz od tačno 12 bajtova. Ovo je vaš vektor pokretanja.

  4. Kreirajte JOSE zaglavlje, podešavanje alg, enci cisco-kdf ključeve kao što je opisano u odeljku Razumevanje procesa spoljnog identiteta za uređaje. Podesite radnju „dodaj“ pomoću ključa:vrednost "cisco-action":"add" u JOSE zaglavlju (jer dodajemo sertifikat uređaju).

  5. URL adresa baze kodira JOSE zaglavlje.

  6. Koristite alatku za JWE šifrovanje sa izabranim šifriranjem i baznom URL adresom šifrovanog JOSE zaglavlja za šifrovanje teksta iz povezane pem datoteke.

  7. URL adresa baze šifruje vektor pokretanja, šifrovani PEM korisni teret i oznaka potvrde identiteta.

  8. Konstruišite JWE blok na sledeći način (sve vrednosti su bazne URL adrese kodirane):

    JOSEHeader..InitVector.EncryptedPEM.AuthTag

4

Otvorite TShell na uređaju i pokrenite komandu za dodavanje (višelinijski): 

xcommand Security Certificates Services Add IsEncrypted: True
your..JWE.str.ing\n
.\n
5

Potvrdi da je sertifikat dodat pokretanjem xcommand Security Certificates Services Show

Kopirajte otisak prsta novog sertifikata.

6

Aktivirajte sertifikat za potrebe WebexIdentity:

  1. Pročitajte otisak prsta sertifikata, bilo iz samog sertifikata ili iz izlaza xcommand Security Certificates Services Show.

  2. Kreirajte nasumični niz od najmanje 4 bajta i bazna URL adresa kodira tu sekvencu. Ovo je tvoja so.

  3. Unesite ključ za šifrovanje sadržaja pomoću alatke za šifrovanje.

    Za ovo vam je potrebna tajna, so i dužina ključa da biste uparili izabranoj šifri šifrovanja. Postoje neke druge fiksne vrednosti za snabdevanje (N=32768, r=8, p=1). Uređaj koristi isti proces i vrednosti za generisanje istog ključa za šifrovanje sadržaja.

  4. Kreirajte nasumični niz od tačno 12 bajtova i bazna URL adresa kodira tu sekvencu. Ovo je vaš vektor pokretanja.

  5. Kreirajte JOSE zaglavlje, podešavanje alg, enci cisco-kdf ključeve kao što je opisano u odeljku Razumevanje procesa spoljnog identiteta za uređaje. Podesite radnju „aktiviraj” pomoću ključa:vrednost "cisco-action":"activate" u vašem JOSE zaglavlju (jer aktiviramo sertifikat na uređaju).

  6. URL adresa baze kodira JOSE zaglavlje.

  7. Koristite alatku za JWE šifrovanje sa izabranim šifriranjem i baznom URL adresom šifrovanog JOSE zaglavlja za šifrovanje otiska prsta sertifikata.

    Alatka treba da emituje sekvencu od 16 ili 32 bajta, u zavisnosti od toga da li ste izabrali 128 ili 256-bitni AES-GCM, kao i oznaku za potvrdu identiteta.

  8. Baza urlCode šifrovani otisak prsta i oznaka za potvrdu identiteta.

  9. Konstruišite JWE blok na sledeći način (sve vrednosti su bazne URL adrese kodirane):

    JOSEHeader..InitVector.EncryptedFingerprint.AuthTag

  10. Otvorite TShell na uređaju i pokrenite sledeću komandu za aktiviranje:

                      xcommand Security Certificates Services Activate Purpose: WebexIdentity Fingerprint: "Your..JWE.encrypted.fingerprint"

Uređaj ima šifrovani, aktivan sertifikat koji je izdao CA, spreman da se koristi za identifikaciju u potpuno šifrovanim Webex sastancima.
7

Postavite uređaj u Control Hub organizaciju.

Testirajte potpuno šifrovanje sa potvrdom identiteta
1

Zakažite sastanak odgovarajućeg tipa (Webex Meetings Pro-End to End Encryption_VOIPonly).

Pogledajte članak Zakazivanje Webex sastanka sa end-to-end šifrovanjem.

2

Pridružite se sastanku kao organizator, od Webex Meetings klijenta.

Pogledajte članak Pridruživanje Webex sastanku sa end-to-end šifrovanjem.

3

Pridružite se sastanku sa uređaja koji je potvrdio Webex CA.

4

Kao organizator potvrdite da se ovaj uređaj pojavljuje u čekaonici sa ispravnom ikonom identiteta.

Pogledajte članak Pridruživanje Webex sastanku sa end-to-end šifrovanjem.

5

Pridružite se sastanku sa uređaja čiji je identitet potvrdio spoljni CA.

6

Kao organizator potvrdite da se ovaj uređaj pojavljuje u čekaonici sa ispravnom ikonom identiteta. Saznajte više o ikonama identiteta.

7

Pridružite se sastanku kao učesnik sastanaka bez potvrđenog identiteta.

8

Kao organizator potvrdite da se ovaj učesnik pojavljuje u čekaonici sa ispravnom ikonom identiteta.

9

Kao organizator, primite ili odbijte osobe/uređaje.

10

Potvrdite identitete učesnika/uređaja gde je to moguće proverom sertifikata.

11

Proverite da li svi na sastanku vide isti bezbednosni kôd za sastanak.

12

Pridružite se sastanku sa novim učesnikom.

13

Proverite da li svi vide isti, novi bezbednosni kôd za sastanak.

Postavljanje opsega i očekivanja

  • Da li ćete načiniti sastanke sa potpunim šifrovanjem podrazumevanu opciju sastanka ili je omogućiti samo za neke korisnike ili dozvoliti svim organizatorima da odluče? Kada odlučite kako ćete koristiti ovu funkciju, pripremite one korisnike koji će je koristiti, posebno u vezi sa ograničenjima i šta možete da očekujete na sastanku.

  • Da li treba da se uverite da ni Cisco ni bilo ko drugi ne mogu da dešifruju vaš sadržaj ili da oponašaju vaše uređaje? U tom slučaju, potrebni su vam certifikati od javnog CA.

  • Ako imate različite nivoe potvrde identiteta, osnažite korisnike da se međusobno potvrđuju identitetom podržanim sertifikatom. Iako postoje okolnosti u kojima učesnici mogu da se pojave kao nepotvrđeni, a učesnici bi trebalo da znaju kako da ih provere, nepotvrđeni ljudi možda nisu prevaranti.

Upravljanje identitetom

Ako koristite spoljni CA za izdavanje sertifikata za uređaj, na vama je da nadgledate, osvežite i ponovo primenite sertifikate.

Ako ste kreirali početnu tajnu, saznajte da će korisnici možda želeti da promene tajnu svog uređaja. Možda ćete morati da kreirate interfejs/distribuirate alatku da biste im omogućili to da rade.

ID-ovi tipa sesije
Tabela 1. ID tipa sesije za sastanke sa potpunim šifrovanjem

ID tipa sesije

Ime javne usluge

638

Samo E2E šifrovanje+VoIP

652

Samo za end-to-end Encryption_VOIP

660

Pro 3 besplatni end-to-end Encryption_VOIPonly

E2E šifrovanje + identitet

672

Pro 3 Free50-End to End Encryption_VOIPonly

673

Instruktor za obrazovanje E2E Encryption_VOIPonly

676

Broadworks standard plus potpuno šifrovanje

677

Broadworks Premium plus potpuno šifrovanje

681

Schoology Besplatan plus potpuno šifrovanje

Povezane komande za xAPI

U ovim tabelama opisane su API komande za Webex uređaje koje smo dodali za sastanke sa potpunim šifrovanjem i potvrđeni identitet. Više informacija o načinu korišćenja API-ja potražite u članku Pristup API-ju za Webex Room i Desk uređaje i Webex table.

Ove xAPI komande su dostupne samo na uređajima koji su:

  • Registrovano u usluzi Webex

  • Registrovano lokalno i povezano sa uslugom Webex pomoću usluge Webex Edge za uređaje

Tabela 2. API-ji na nivou sistema za potpuno šifrovane sastanke i potvrđeni identitet

API poziv

опис

xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com"

Ova konfiguracija se vrši kada administrator postavlja željeni domen uređaja na portalu Control Hub. Neophodno samo ako organizacija ima više od jednog domena.

Uređaj koristi ovaj domen kada zahteva sertifikat od Webex CA. Domen zatim identifikuje uređaj.

Ova konfiguracija nije primenljiva kada uređaj ima aktivan sertifikat koji je izdat spolja da bi se identifikovao.

xStatus Conference EndToEndEncryption Availability

Označava da li uređaj može da se pridruži sastanku sa potpunim šifrovanjem. API u oblaku ga poziva tako da uparena aplikacija zna da li može da koristi uređaj za pridruživanje.

xStatus Conference EndToEndEncryption ExternalIdentity Verification

Označava da li uređaj koristi External potvrdu (ima eksterno izdat sertifikat).

xStatus Conference EndToEndEncryption ExternalIdentity Identity

Identitet uređaja kao pročitan iz zajedničkog imena sertifikata koji je spolja izdat.

xStatus Conference EndToEndEncryption ExternalIdentity CertificateChain Certificate # specificinfo

Čita određene informacije sa spoljno izdatog sertifikata.

U prikazanoj komandi zamenite # brojem sertifikata. Zamenite specificinfo nekim od:

  • Fingerprint

  • NotAfter Datum završetka važenja

  • NotBefore Datum početka važenja

  • PrimaryName

  • PublicKeyAlgorithm

  • SerialNumber

  • SignatureAlgorithm

  • Subject # Name Lista predmeta za sertifikat (npr. e-adresa ili ime domena)

  • Validity Daje status važenja ovog sertifikata (npr. valid ili expired)

xStatus Conference EndToEndEncryption ExternalIdentity Status

Status spoljnog identiteta uređaja (npr. valid ili error).

xStatus Conference EndToEndEncryption InternalIdentity Verification

Označava da li uređaj ima važeći sertifikat izdat od strane Webex CA.

xStatus Conference EndToEndEncryption InternalIdentity Identity

Identitet uređaja kako je pročitan iz zajedničkog imena sertifikata izdatog putem Webex-a.

Sadrži ime domena ako organizacija ima domen.

Prazno je ako organizacija nema domen.

Ako je uređaj u organizaciji koja ima više domena, ovo je vrednost iz PreferredDomain.

xStatus Conference EndToEndEncryption InternalIdentity CertificateChain Certificate # specificinfo

Čita određene informacije iz sertifikata izdatog od strane Webex-a.

U prikazanoj komandi zamenite # brojem sertifikata. Zamenite specificinfo nekim od:

  • Fingerprint

  • NotAfter Datum završetka važenja

  • NotBefore Datum početka važenja

  • PrimaryName

  • PublicKeyAlgorithm

  • SerialNumber

  • SignatureAlgorithm

  • Subject # Name Lista predmeta za sertifikat (npr. e-adresa ili ime domena)

  • Validity Daje status važenja ovog sertifikata (npr. valid ili expired)

Tabela 3. API-je poziva za sastanke sa potpunim šifrovanjem i potvrđenim identitetom

API poziv

опис

xEvent Conference ParticipantList ParticipantAdded

xEvent Conference ParticipantList ParticipantUpdated

xEvent Conference ParticipantList ParticipantDeleted

Ova tri događaja sada uključuju EndToEndEncryptionStatus, EndToEndEncryptionIdentityi EndToEndEncryptionCertInfo za zahvaćenog učesnika.

Tabela 4. API-je vezani za ClientSecret za sastanke sa potpunim šifrovanjem i potvrđenim identitetom

API poziv

опис

xCommand Security ClientSecret Populate Secret: "base64url-encoded"

Вијести

xCommand Security ClientSecret Populate Secret: JWEblob

Prihvata baznu URL adresu šifrovani čisti tekst za sejanje tajne klijenta na uređaju po prvi put.

Da biste ažurirali tajnu nakon tog prvog puta, morate da obezbedite JWE blob koji sadrži novu tajnu šifrovanu starom tajnom.

xCommand Security Certificates Services Add JWEblob

Dodaje sertifikat (sa privatnim ključem).

Proširili smo ovu komandu da bismo prihvatili JWE blok koji sadrži šifrovane PEM podatke.

xCommand Security Certificates Services Activate Purpose:WebexIdentity FingerPrint: JWEblob

Aktivira određeni sertifikat za WebexIdentity. Za ovo Purpose, komanda zahteva da identifikacija otiska prsta bude šifrovana i serijalizovana u JWE bloku.

xCommand Security Certificates Services Deactivate Purpose:WebexIdentity FingerPrint: JWEblob

Deaktivira određeni sertifikat za WebexIdentity. Za ovo Purpose, komanda zahteva da identifikacija otiska prsta bude šifrovana i serijalizovana u JWE bloku.