Iskustvo sa korisnikom

Korisnici biraju tip sastanka kada zakaže sastanak. Prilikom prijema učesnika iz čekaonice, kao i tokom sastanka, organizator može da vidi status potvrde identiteta svakog učesnika. Postoji i kôd sastanka koji je zajednički za sve aktuelne učesnike sastanka, koji mogu da koriste da bi potvrdili jedni druge.

Podelite sledeće informacije sa organizatorima sastanka:

Potvrda identiteta sa internim ili eksternim CA

Potvrdi identitet

End-to-end šifrovanje sa potvrdom identiteta pruža dodatnu bezbednost za sastanak sa end-to-end šifrovanjem.

Kada se učesnici ili uređaji pridruže deljenoj MLS (razmena poruka sloju bezbednosti), oni izlažu svoje sertifikate drugim članovima grupe, koji potom potvrde potvrde protiv izdavanja autoriteta za izdavanje sertifikata (CA). Potvrdom da su sertifikati važeći, CA potvrđuje identitet učesnika, a sastanak prikazuje učesnike/uređaje kao verifikovane.

Webex aplikacije potvrđuju svoj identitet u Webex skladištu identiteta, koje im dodeljuju oznaku za pristup kada potvrda identiteta uspe. Ako im je potreban sertifikat da bi potvrdili svoj identitet na sastanku sa end-to-end šifrovanjem, Webex CA im izda sertifikat na osnovu njihovog tokena za pristup. Trenutno ne pružamo način korisnicima da Webex Meetings dobiju sertifikat izdat od strane treće strane/spoljnog CA.

Uređaji mogu da potvrde svoj identitet koristeći sertifikat izdat internim (Webex) CA ili sertifikatu izdatom preko spoljnog CA:

  • Interni CA – Webex interni sertifikat na osnovu tokena za pristup mašinskog naloga uređaja. Sertifikat je potpisao Webex CA. Uređaji nemaju korisničke ID-ove na isti način na koji korisnici to koriste, tako da Webex na domene vaše organizacije koristi (jedan od) domena vaše organizacije prilikom pisanja identiteta sertifikata uređaja (Zajedničko ime (CN)).

  • Spoljni CA – zatražite i kupite sertifikate uređaja direktno od izabranog izdavača. Morate da šifrovanjete, direktno otpremite i odobrite sertifikate koristeći tajnu koja vam je poznata.

    Cisco da nije umešan, pa je to način da se garantuje potpuno šifrovanje i verifikovani identitet i sprečava teoretska mogućnost da Cisco mogao da prisluškuje vaš sastanak/dešifrovanje medija.

Interno izdati sertifikat uređaja

Webex se sertifikat na uređaj kada se registruje nakon pokretanja i obnavlja ga po potrebi. Za uređaje, sertifikat sadrži ID naloga i domen.

Ako vaša organizacija nema domen, administrator Webex CA izdaje sertifikat bez domena.

Ako vaša organizacija ima više domena, možete koristiti Control Hub da biste Webex domene koje uređaj koristi za njegov identitet. Takođe možete da koristite API xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com".

Ako imate više domena i ne postavljate željeni domen za uređaj, onda Webex jedan za vas.

Spoljno izdati sertifikat uređaja

Administrator može da dodeli privilegije za uređaj sa sopstvenim sertifikatu koji je potpisan jednim od javnih CA-ova.

Sertifikat mora da se zasniva na ECDSA P-256 ključu, iako ga može potpisati RSA ključ.

Vrednosti u sertifikatu su po diskreciji organizacije. Zajedničko ime (CN) i alternativno ime subjekta (SAN) će biti prikazani u Webex sastanak korisnički interfejs, kao što je opisano u End-to-end šifrovanju sa potvrdom identiteta za Webex Meetings.

Preporučujemo da koristite zaseban sertifikat po uređaju i da imate jedinstveni CN po uređaju. Na primer, "meeting-room-1.example.com" za organizaciju koja je vlasnik domena "example.com".

Da biste u potpunosti zaštitili eksterni sertifikat od nelazivanja, koristi se funkcija tajna klijenta za šifrovanje i potpisivanje različitih xcommanda.

Kada koristite tajnu klijenta, moguće je bezbedno upravljati spoljnim Webex identitetom putem xAPI-ja. Ovo je trenutno ograničeno na uređaje na mreži.

Webex trenutno obezbeđuje API komande za upravljanje ovim.

Funkcije i ograničenja

Uređaji

Sledeće serije soba registrovanih u Webex sobama i uređajima serije Webex Desk mogu da se pridruže sastancima sa end-to-end šifrovanjem:

  • Webex Board

  • Webex Desk Pro

  • Webex Desk

  • Webex Komplet soba

  • Webex Room Kit Mini

Sledeći uređaji ne mogu da se pridruže sastancima sa end-to-end šifrovanjem:

  • Webex C serije

  • Webex DX serija;

  • Webex EX serije

  • Webex MX serije

  • SIP uređaji nezavisnih proizvođača

Klijenti softvera

  • Počeći od verzije 41.6, Webex Meetings klijent za radnu površinu može da se pridruži sastancima sa end-to-end šifrovanjem.

  • Ako vaša organizacija omogućava Webex aplikacija se pridruži sastancima pokretanjem aplikacije za radnu površinu Meetings, tada možete da koristite tu opciju za pridruživanje sastancima sa end-to-end šifrovanjem.

  • Veb Webex može da se pridruži sastancima sa end-to-end šifrovanjem.

  • SIP softverski klijenti nezavisnih proizvođača ne mogu da se pridruže sastancima sa end-to-end šifrovanjem.

Identitet

  • Dizajnom, ne pružamo opcije platforme Control Hub za upravljanje identitetom uređaja sa spoljno potvrđenim identitetom uređaja. Za potpuno šifrovanje, samo vi treba da znate/pristupite tajnama i ključevima. Ako smo predstavili uslugu oblaka za upravljanje tim ključevima, postoji mogućnost da ih presretnete.

  • Trenutno vam pružamo "recep" za dizajn sopstvenih alatki, na osnovu industrijsko standardne tehnike šifrovanja, koja će vam pomoći pri zahtevu ili šifrovanju sertifikata identiteta uređaja i njihovih privatnih ključeva. Ne želimo da imamo stvaran ili perveržan pristup vašim tajnama ili ključevima.

Sastanci

  • Sastanci sa end-to-end šifrovanjem trenutno podržavaju najviše 200 učesnika.

  • Od tih 200 učesnika, može da se pridruži najviše 25 spoljno potvrđenih uređaja, i oni moraju da budu prvi učesnici koji su se pridružili sastanku.

    Kada se veći broj uređaja pridruži sastanku, naši pozadinski medijski usluge pokušavaju da prešifre medijske strimove. Ako ne možemo da dešifrovanje, transkripte i ponovo šifrovanje medija (zato što nemamo i ne treba da imamo ključeve za šifrovanje uređaja), onda transkodiranje neće uspeti.

    Da biste umanjili ovo ograničenje, preporučujemo manje sastanke za uređaje ili da smanjete pozive između uređaja i Meetings klijenata.

Interfejs za upravljanje

Preporučujemo vam da koristite Control Hub za upravljanje lokacijom sastanka, jer organizacije Control Hub centralizuju identitet za celu organizaciju, administracija lokacije identitet se kontroliše na osnovu lokacije na lokaciji.

Korisnici kojima se upravlja administracija lokacije ne mogu da imaju Cisco identitet potvrđen. Ti korisnici su izdati anonimni sertifikat za pridruživanje sastanku sa end-to-end šifrovanjem i mogu biti izuzeti sa sastanaka na kojima organizator želi da osigura potvrdu identiteta.

Dodatni resursi

Srodne informacije

Preduslovi

  • Webex Meetings je 41,7.

  • Uređaji serije Webex i Webex Desk serije u oblaku, rade 10.6.1-RoomOS_August_2021.

  • Administrativni pristup uređaju lokacija sastanka na platformi Control Hub, da biste omogućili novi tip sesije za korisnike.

  • Jedan ili više potvrđenih domena u vašoj Control Hub organizaciji (ako koristite datoteku Webex CA za izdavanje sertifikata uređaja za provereni identitet).

  • Collaboration Meeting Rooms mora biti uključena da bi učesnici mogli da se pridruže iz njihovog video sistema. Više informacija potražite u članak Dozvoli video sistemima da se pridružuju sastancima i događajima na Webex sajt.

Nabavite sertifikate uređaja

Ovaj korak možete da preskočite ako vam nisu potrebni identiteti sa eksterno potvrđenim identitetima.

Za najviši nivo bezbednosti i za potvrdu identiteta, svaki uređaj treba da ima jedinstveni sertifikat izdat od strane pouzdanog javnog Certificate Authority (CA).

Morate da obavljate interakciju sa CA da biste zatražili, kupili i primili digitalne sertifikate i kreirali povezane privatne ključeve. Kada zahtevate sertifikat, koristite ove parametre:

  • Sertifikat mora da izda i potpiše poznati javni CA.

  • Jedinstveni: Preporučujemo da koristite jedinstveni sertifikat za svaki uređaj. Ako koristite jedan sertifikat za sve uređaje, oštetićete svoju bezbednost.

  • Zajedničko ime (CN) i alternativno ime teme (SAN/s): Ove poruke nisu važne Webex, ali treba da budu vrednosti koje ljudi mogu da čitaju i povezuju sa uređajem. CN će se drugim učesnicima sastanka prikazati kao primarni potvrđen identitet uređaja, a ako korisnici provere sertifikat putem korisničkog korisničkog uputstva sastanka, videće SAN/s. Možda biste želeli da koristite imena kao što su name.model@example.com.

  • Format datoteke: Sertifikati i ključevi moraju biti u .pem Format.

  • Svrhu: Svrha sertifikata mora biti Webex identitetu.

  • Generisanje tastera: Sertifikati moraju da se zasniju na ECDSA P-256 ključnim parama (algoritam eliptičkog algoritma digitalnog potpisa zakrivenih pomoću P-256 krive).

    Ovaj zahtev se ne prostire do ključa za potpisivanje. CA može da koristi RSA ključ za potpisivanje sertifikata.

Pripremite se za priključivanje uređaja

Ovaj korak možete preskočiti ako ne želite da koristite eksterno potvrđen identitet sa uređajima.

Ako koristite nove uređaje, još uvek ih ne registrujte za Webex uređaje. Da biste osigurali, nemojte ih povezati sa mrežom u ovom trenutku.

Ako imate postojeće uređaje koje želite da nadogradite da biste koristili spoljno potvrđen identitet, morate da fabrički resetujete uređaje.

  • Sačuvajte postojeću konfiguraciju ako želite da je zadržite.

  • Zakažite prozor kada se uređaji ne koriste ili koristite fazni pristup. Obavestite korisnike o promenama koje mogu da očekuju.

  • Uverite se da je fizički pristup uređajima. Ako morate da pristupite uređajima preko mreže, imajte na umu da tajni putuju u formatu čistog teksta i da to unošite svoju bezbednost.

Kada dovršite ove korake, dozvolite video sistemima da se pridruže sastancima i događajima na Webex sajt.

Shvatite proces spoljnog identiteta za uređaje

Da biste osigurali da niko ne može da šifruje medije na uređaju, morate da šifrujete privatni ključ na uređaju. Dizajnirali smo API-je za uređaj koji će omogućiti upravljanje šifrovanim ključem i sertifikatu pomoću JSON veb šifrovanja (JWE).

Da bismo osigurali potpuno šifrovanje putem oblaka, ne možemo da budemo uključeni u šifrovanje i otpremanje sertifikata i ključa. Ako vam je potreban ovaj nivo bezbednosti, morate:

  1. Zatražite svoje sertifikate.

  2. Generišite ključne parove sertifikata.

  3. Kreirajte (i zaštitite) početnu tajnu za svaki uređaj, da biste ušli u mogućnost šifrovanja uređaja.

  4. Razvijte i održavajte svoj alat za šifrovanje datoteka pomoću JWE standarda.

    Proces i (ne tajni) parametri koji su vam potrebni objašnjeni su u nastavku, kao i recept za praćenje alatki za razvoj izbora. Takođe obezbeđujemo neke podatke testiranja i rezultujuće JWE blobs, kao što očekujemo i koji će vam pomoći da potvrdite svoj proces.

    Nepodržana implementacija reference pomoću funkcije Python3 i JWCrypto biblioteka je dostupna Cisco na zahtev.

  5. Premestite i šifrujte sertifikat i ključ pomoću alatke i početne tajne uređaja.

  6. Otpremite rezultujući JWE blob na uređaj.

  7. Podesite svrhu šifrovanog sertifikata koji će se koristiti Webex identiteta i aktiviranje sertifikata.

  8. (Preporučeno) Navedite interfejs za (ili distribuiraj) alatku kako biste omogućili korisnicima uređaja da promene početnu tajnu i zaštite svoje medije od vas.

Kako koristimo JWE format

Ovaj odeljak opisuje način na koji očekujemo da će JWE biti kreiran kao unos na uređaje, kako biste mogli da napravite sopstvenu alatku za kreiranje blobs iz sertifikata i ključeva.

Pogledajte JSON veb šifrovanje (JWE) https://datatracker.ietf.org/doc/html/rfc7516i JSON veb potpis (JWS) . https://datatracker.ietf.org/doc/html/rfc7515

Koristimo kompaktno serijsko povezivanje JSON dokumenta za kreiranje JWE blobs. Parametri koje treba da uključite prilikom kreiranja JWE blobs su:

  • HOZE zaglavlje (zaštićeno). U zaglavlje potpisivanja i šifrovanja JSON objekta morate da uključite sledeće parove vrednosti ključa:

    • "alg":"dir"

      Direktni algoritam je jedini koji podržavamo za šifrovanje tovara i morate da koristite početnu tajnu klijenta uređaja.

    • "enc":"A128GCM" ili "enc":"A256GCM"

      Podržavamo ova dva algoritma šifrovanja.

    • "cisco-action": "add" ili "cisco-action": "populate" ili "cisco-action": "activate" ili "cisco-action": "deactivate"

      Ovo je ključ za preuzimanje i četiri vrednosti koje može da preuzme. Uveli smo ovaj ključ da bismo signalizirali svrhu šifrovanih podataka na ciljni uređaj. Vrednosti se imenuju po xAPI komandama na uređaju na kom koristite šifrovane podatke.

      Nazvali smo ga cisco-action da biste umanjeli potencijalne sukobe sa budućim JWE proširenjima.

    • "cisco-kdf": { "version": "1", "salt": "base64URLEncodedRandom4+Bytes" }

      Još jedan ključ vlasnika. Koristimo vrednosti koje pružate kao unose za derivaciju ključa na uređaju. / version mora biti 1(verzija naše funkcije za deriaktivaciju ključa). Vrednost za salt mora biti base64 URL-kodirani niz od najmanje 4 bajta, koji morate da izaberete nasumično.

  • JWE šifrovani ključ. Ovo polje je prazno. Uređaj ga deriљe iz početnog ClientSecret.

  • Vektor JWE pokretanja. Morate da navedite base64url kodizovanog vektora za pokretanje radi dešifrovanje opterećenja. IV MORA biti nasumična vrednost od 12 bajta (koristimo AES-GCM porodicu za šifer, koja zahteva da IV dužine 12 bajta).

  • JWE AAD (dodatni podaci potvrđenog identiteta). Ovo polje morate da izostavite zato što nije podržano u kompaktno serijskom pokretanju.

  • JWE Ciphertext: Ovo je šifrovani korisni teret koji želite da zadržite u tajnosti.

    Korisni teret MOŽE biti prazan. Na primer, da biste resetovati tajnu klijenta, potrebno je da je zamenite praznom vrednošću.

    Postoje različite vrste korisnih podataka, u zavisnosti od toga šta pokušavate da uradite na uređaju. Različite xAPI komande očekuju različita korisna tereta i morate navesti svrhu tovara sa cisco-action ključ, na sledeći korak:

    • Sa "cisco-action":"populate" cifrekst je novi ClientSecret.

    • Sa " "cisco-action":"add" šifrovanje je PEM blob koji nosi sertifikat i njegov privatni ključ (uporedan).

    • Sa " "cisco-action":"activate" šifertekst je otisak prsta (heksadecimalni prikaz sha-1) sertifikata koji aktiviramo za potvrdu identiteta uređaja.

    • Sa " "cisco-action":"deactivate" šifertekst je otisak prsta (heksadecimalni prikaz sha-1) sertifikata koji deaktivirate iz upotrebe za potvrdu identiteta uređaja.

  • JWE oznaka za potvrdu identiteta: Ovo polje sadrži oznaku za potvrdu identiteta kako bi se utvrdio integritet čitavog JWE kompaktno serijskog blob-a

Kako odlažemo ključ za šifrovanje na ClientSecret

Nakon prvog stanovniљtva tajnog, ne prihvatamo ili ne izlaћemo tajnu kao obiиan tekst. Ovo sprečava potencijalne napade rečnika od strane nekoga ko može da pristupi uređaju.

Softver uređaja koristi tajnu klijenta kao unos funkcije derivacije ključa (kdf) i zatim koristi izvedeni ključ za dešifrovanje/šifrovanje sadržaja na uređaju.

Ono što ovo znači za vas je da vaša alatka za izradu JWE blobs-a mora da prati istu proceduru da biste odredili isti ključ za šifrovanje/dešifrovanje od tajne klijenta.

Uređaji koriste skript za derivaciju ključa (pogledajte https://en.wikipedia.org/wiki/Scrypt), sa sledećim parametrima:

  • CostFactor (N) je 32768

  • BlockSizeFactor (r) je 8

  • ParalelnostFactor (p) je 1

  • Salt je nasumični niz od najmanje 4 bajta; morate dostavljati isto salt prilikom navođenja cisco-kdf Parametar.

  • Dužine ključa su ili 16 bajta (ako izaberete AES-GCM 128 algoritam) ili 32 bajta (ako izaberete AES-GCM 256 algoritam)

  • Maksimalna memorijska kapa je 64 MB

Ovaj skup parametara je jedina konfiguracija skripte koja je kompatibilna sa funkcijom derivacije ključa na uređajima. Ovaj kdf na uređajima se naziva "version":"1", koja je jedina verzija koju trenutno uzima cisco-kdf Parametar.

Primer 2016. je

Evo primera koji možete da sledite da biste proverili da li vaš JWE proces šifrovanja radi isto kao i proces koji smo kreirali na uređajima.

Primer scenarija je dodavanje PEM blob uređaju (imitiraju dodavanje sertifikata sa vrlo kratkom niskom umesto potpunog sertifikata + ključ). Tajna klijenta je, na primer, ossifrage.

  1. Izaberite šifrovanje. Ovaj primer koristi A128GCM(AES sa 128-bitnim tasterima u režimu Galoas kontrasta). Vaša alatka može da koristi A256GCM ako vam se više sviđa.

  2. Izaberite soli (mora biti nasumičan niz od najmanje 4 bajta). Ovaj primer koristi (hex B) E5 E6 53 08 03 F8 33 F6. Base64url kodiranje sekvence da biste dobili 5eZTCAP4M_Y(uklonite baz64 posudu).

  3. Evo primera scrypt pozovite da biste kreirali sadržaj ključ za šifrovanje (cek):

    cek=scrypt(password="ossifrage", salt=4-byte-sequence, N=32768, r=8, p=1, keylength=16)

    Izvedeni ključ treba da bude 16 bajta (hex) i to na sledeći naиen: 95 9e ba 6d d1 22 01 05 78 fe 6a 9d 22 78 ff ac koji base64url šifruje na lZ66bdEiAQV4_mqdInj_rA.

  4. Izaberite nasumični niz od 12 bajta koji će se koristiti kao vektor za pokretanje. Ovaj primer koristi (hex) 34 b3 5d dd 5f 53 7b af 2d 92 95 83 koji base64url šifruje na NLNd3V9Te68tkpWD.

  5. Kreirajte zaglavlje HOE sa kompaktno serijskim prikazom (sledite isti redosled parametara koje ovde koristimo) a zatim ga base64url kodirajte:

    {"alg":"dir","cisco-action":"add","cisco-kdf":{"salt":"5eZTCAP4M_Y","version":"1"},"enc":"A128GCM"}

    Base64url kodirano HOE zaglavlje je eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ9

    Ovo će biti prvi element JWE blob.

  6. Drugi element JWE blob je prazan, jer ne snabdevamo JWE ključ za šifrovanje.

  7. Treći element JWE blob je vektor za pokretanje NLNd3V9Te68tkpWD.

  8. Koristite JWE alatku za šifrovanje za izradu šifrovanog korisnog tereta i oznake. Na primer, nešifrovani korisni teret će biti lažni PEM blob this is a PEM file

    Parametri šifrovanja koje treba da koristite su:

    • Korisni teret je this is a PEM file

    • Šifrovanje šifrovanja je AES 128 GCM

    • Base64url je kodirao HOE zaglavlje kao dodatne podatke sa potvrdom identiteta (AAD)

    Base64url kodira šifrovano korisno opterećenje, što bi trebalo da rezultira f5lLVuWNfKfmzYCo1YJfODhQ

    Ovo je četvrti element (JWE Ciphertext) u JWE blob.

  9. Base64url kodira oznaku koju ste proizveli u koraku 8, što bi trebalo da rezultira PE-wDFWGXFFBeo928cfZ1Q

    Ovo je peti element u JWE blob- u.

  10. Uklonite pet elemenata JWE blob tačkama (JOSEheader.). IV.Ciphertext.Tag) da biste dobili:

    eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

  11. Ako ste izneli iste osnovne 64url kodirane vrednosti koje ovde prikazujemo, koristeći sopstvene alatke, spremni ste da ih koristite za obezbeđivanje E2E šifrovanja i proverene identitete uređaja.

  12. Ovaj primer zapravo neće funkcionisati, ali u principu vaš sledeći korak bi bio da koristite JWE blob koji ste kreirali iznad kao unos u xcommand na uređaju koji dodaje sertifikat:

    xCommand Security Certificates Add eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

Tipovi sesija za sastanke sa nultim poverenjem dostupni su svim lokacijama za sastanke bez dodatnih troškova. Jedan od ovih tipova sesija se zove Pro-End to End Encryption_VOIPonly. Ovo je ime javnog servisa koje možemo promeniti u budućnosti. Za trenutna imena tipova sesije pogledajte ID tipa sesije u odeljku Reference ovog članka.

Ne morate ništa da uradite da biste dobili ovu mogućnost za svoju lokaciju; potrebno je da dodelite novi tip sesije (takođe pod nazivom Privilegija sastanka) korisnicima. To možete da uradite pojedinačno putem korisničkog strana za konfigurisanje ili grupno pomoću CSV izvoza/uvoza.

Potvrdite novi tip sesije

1

Prijavite se na portal Control Hub, a zatim pristupite stavci Usluge > Sastanak.

2

Kliknite na dugme Lokacije, odaberite Webex lokaciju za koju želite da promenite podešavanja, a zatim izaberite stavku Podešavanja.

3

U okviru Uobičajene postavke izaberite stavku Tipovi sesije.

4
Trebalo bi da vidite jedan ili više tipova sesije end-to-end šifrovanja. Pogledajte listu ID-ova tipa sesije u odeljku Reference ovog članka. Na primer, možete videti Pro-End to End Encryption_VOIPonly.

 

Postoji stariji tip sesije sa veoma sličnim imenom: Pro-End to End šifrovanje. Ovaj tip sesije uključuje sastanke bez PSTN pristup šifrovanja. Uverite se da imate _verziju VOIPonly da biste osigurali potpuno šifrovanje. Možete da proverite tako što ćete preleteti preko PRO veze u koloni koda sesije; na ovaj primer, cilj veze treba da bude javascript:ShowFeature(652).

Ubuduće možemo da promenimo imena javnih usluga za ove tipove sesija.

5

Ako još uvek nemate novi tip sesije, obratite se svom Webex predstavniku.

Šta je sledeće

Omogućite ovaj tip sesije / privilegiju sastanka nekim ili svim svojim korisnicima.

Omogući E2E sastanke za pojedinačne korisnike

1

Prijavite se na Control Hub i idite na "Upravljanje > korisnicima".

2

Izaberite opciju korisnički nalog ažurirate, a zatim izaberite stavku Sastanci.

3

U okviru stavke Postavke se primenjuju na padajući meni, izaberite lokacija sastanka ažurirati.

4

Označite polje pored " Pro-End to End Encryption_VOIPonly".

5

Zatvorite korisnička konfiguracija panel.

6

Ponovite za druge korisnike ako je potrebno.

Da biste ovo dodelili mnogim korisnicima, koristite sledeću opciju, Omogućite E2E sastanke za više korisnika.

Omogući E2E sastanke za više korisnika

1

Prijavite se na portal Control Hub, a zatim pristupite stavci Usluge > Sastanak.

2

Izaberite stavku Lokacije, odaberite Webex sajt za koju želite da promenite podešavanja.

3

U odeljku Licence i korisnici kliknite na "Grupno upravljanje".

4

Kliknite na "Generiši izveštaj" i sačekajte dok pripremimo datoteku.

5

Kada datoteka bude spremna, kliknite na izvezi rezultate, a zatim preuzmite. (Morate ručno da zatvorite taj iskačući prozor nakon što kliknete Preuzmi.)

6

Otvorite preuzete CSV datoteka za uređivanje.

Postoji red za svakog korisnika i MeetingPrivilege kolona sadrži ID tipa sesije kao listu razdvojenih zarezima.

7

Za svakog korisnika koji želite da dodelite novi tip sesije, dodajte 1561 kao novu vrednost u listi razdvojenih zarezima u MeetingPrivilege Ćeliju.

Referenca Webex CSV formatu datoteke sadrži detalje o svrhi i sadržaju CSV datoteka.

8

Otvorite tablu za konfiguraciju lokacije sastanka na platformi Control Hub.


 

Ako ste već bili na stranici liste lokacija sastanka, možda ćete morati da je osvežite.

9

U odeljku Licence i korisnici kliknite na "Grupno upravljanje".

10

Kliknite na uvezi i izaberite uređeni CSV, a zatim kliknite na Uvezi. Sačekajte dok se datoteka otpremi.

11

Kada se uvoz završi, možete da kliknete na "Uvoz rezultati " da biste pregledali ako je bilo grešaka.

12

Idite na stranicu Korisnici i otvorite jednog od korisnika da biste potvrdili da imaju novi tip sesije.

Dodajte audio vodeni žig zarad bezbednosti

Vodeni žig možete dodati snimcima sastanka pomoću Webex Meetings Pro-End to End Encryption_VOIPonly tip sesije, koji vam omogućava da identifikujete izvorni klijent ili uređaj neovlašćenih snimaka poverljivih sastanaka.

Kada je ova funkcija omogućena, zvuk sastanka sadrži jedinstveni identifikator za svakog klijenta ili uređaja koji učestvuje. Možete da otpremite audio snimke na Control Hub, koji zatim analiziraju snimak i traži jedinstvene identifikatore. Možete pogledati rezultate da biste videli koji izvorni klijent ili uređaj su snimili sastanak.

  • Da bi se analizirala, snimak mora da bude AAC, MP3, M4A, WAV, MP4, AVI ili MOV datoteka ne veća od 500 MB.
  • Snimak mora da bude duži od 100 sekundi.
  • Možete samo da analizirate snimke za sastanke koje organizatori organizatori u vašoj organizaciji.
  • Informacije o vodenom žigu se zadržavaju iste dužine trajanja kao i informacije o sastanku organizacije.
Dodaj audio vodene žigove na E2EE sastanke
  1. Prijavite se u Control Hub, a zatim u okviru odeljka Upravljanje izaberite Podešavanja organizacije.
  2. U odeljku Vodeni žigovi sastanka uključite opciju Dodaj audio vodeni žig.

    Neko vreme nakon što se ovo uključi, korisnici zakazuju sastanke sa Webex Meetings Pro-End to End Encryption_VOIPonly tip sesije pogledajte opciju digitalnog vodenog žiga u odeljku "Bezbednost".

Otpremite i analizirajte vodeni sastanak
  1. U kontrolnom čvorištu, u okviru "Nadgledanje" izaberite stavku Rešavanje problema.
  2. Kliknite na analizu vodenih žigova.
  3. Pretražite sastanak ili izaberite sastanak na listi, a zatim kliknite na " Analiziraj".
  4. U prozoru "Analiziraj audio vodeni žig" unesite ime za analizu.
  5. (Opcionalno) Unesite namenu za analizu.
  6. Prevucite i otpustite audio datoteku da biste je analizirali ili kliknite na " Izaberi datoteku" za pregledanje audio datoteke.
  7. Kliknite na dugme Zatvori.

    Kada se analiza završi, ona će se prikazati na listi rezultata na stranici Analyze watermark .

  8. Izaberite sastanak na listi da biste videli rezultate analize. Kliknite da Dugme "Preuzmi" biste preuzeli rezultate.
Funkcije i ograničenja

Faktori uključeni u uspešno dekodiranje snimljenog vodenog žiga uključuju razdaljinu između uređaja za snimanje i zvučnika koji emituje zvuk, jačine zvuka, buke u okruženju itd. Naša tehnologija vodenog žiga ima dodatnu otpornost na šifrovanje više puta, kao što se može desiti kada se mediji dele.

Ova funkcija je dizajnirana da omogući uspešno dekodiranje identifikatora vodenog žiga u širokom ali razumnom skupu okolnosti. Naš cilj je da uređaj za snimanje, na primer mobilni telefon, koji leži na stolu u blizini lične krajnje tačke ili klijenta laptopa, uvek treba da kreira snimak koji za rezultat ima uspešnu analizu. Kako je uređaj sa snimkom uklonjen iz izvora ili je zaklonjen sluhom celog audio spektra, šanse za uspešnu analizu se smanjuju.

Da biste uspešno analizirali snimak, potreban je razuman snimak zvuka sastanka. Ako se zvuk sastanka snima na istom računaru koji hostuje klijent, ograničenja ne bi trebalo da se primenjuju.

Priključi uređaje (interni CA)

Ako su vaši uređaji već priključeni u vašu organizaciju Control Hub i želite da koristite Webex CA za automatsko generisanje njihovih sertifikata za identifikovanje, ne morate da fabričko resetovanje uređaje.

Ova procedura bira koji domen uređaj koristi za identifikaciju i on je potreban samo ako imate više domena u svojoj Control Hub organizaciji. Ako imate više domena, preporučujemo da to uradite za sve uređaje koji imaju identitet "Cisco-verifikovan". Ako ne kažete Webex koji domen identifikuje uređaj, on se automatski bira i možda izgleda pogrešno na druge učesnike sastanka.

Pre nego što počnete

Ako vaši uređaji još uvek nisu priključeni, sledite registrujte uređaj da biste Cisco Webex koristite API ili lokalni veb Interfejs ili Oblak za priključivanje za board, Desk i Room Series. Takođe bi trebalo da potvrdite domen/s koji želite da koristite za identifikaciju uređaja u upravljanju domenima.

1

Prijavite se na Control Hub i u okviru Upravljanje izaberite stavku Uređaji.

2

Izaberite uređaj da biste otvorili njegovu tablu za konfiguraciju.

3

Izaberite domen koji želite da koristite za identifikaciju ovog uređaja.

4

Ponovite za druge uređaje.

Priključi uređaje (eksterni CA)

Pre nego što počnete

Ti trebaš:

  • Da biste dobili CA potpisani sertifikat i privatni ključ, u .pem formatiranje, za svaki uređaj.

  • Da biste pročitali temu "Proces razumevanja spoljnog identiteta za uređaje", u pripremite deo ovog članka.

  • Da biste pripremili JWE alatku za šifrovanje u vezi sa tamošnje informacijama.

  • Alatka za generisanje nasumičnih bajt sekvenci datih dužina.

  • Alatka za base64url kodiranje bajta ili teksta.

  • Jedan scrypt Implementaciju.

  • Tajna reč ili fraza za svaki uređaj.

1

Popunjavaj broj uređaja ClientSecret sa tajnom običnog teksta:

Prvi put kada popunjavate Secret, dostavljate ga čistim tekstom. Zato vam preporučujemo da to uradite na konzoli fizičkog uređaja.

  1. Base64url kodiranje tajne fraze za ovaj uređaj.

  2. Otvorite TShell na uređaju.

  3. Pokreni xcommand Security ClientSecret Populate Secret: "MDEyMzQ1Njc4OWFiY2RlZg"

    Primer komande iznad popunjava Secret sa frazom 0123456789abcdef. Moraљ sama da izabereљ.

Uređaj ima svoju početnu tajnu. Ne zaboravi ovo, ja ću samo da ih pustim da prošetaju. ne možete ga povratiti i morate fabrički resetovati uređaj da biste počeli ponovo.
2

Pridružite sertifikat i privatni ključ:

  1. Koristeći uređivač teksta otvorite .pem datoteke, nalepite ključ u blob certifikat i sačuvajte je kao novu .pem datoteku.

    (Ovo je tekst korisnog tereta koji ćete šifrovani i staviti u svoj JWE blob)

3

Kreirajte JWE blob da biste je koristili kao unos u komandu za dodavanje sertifikata:

  1. Kreirajte nasumični niz od najmanje 4 bajta. Ovo je tvoja so.

  2. Deraktivirajte sadržaj ključ za šifrovanje alatkom za skript.

    Za ovo vam je potrebna tajna, sla i ključna dužina da biste se podudarali sa odabranim šifrovanjem. Za isporuku ima još nekih fiksnih vrednosti (N=32768, r=8, p=1). Uređaj koristi isti proces i vrednosti za deraktiviranje istog sadržaja ključ za šifrovanje.

  3. Kreirajte nasumični niz od tačno 12 bajta. Ovo je vaš vektor za pokretanje.

  4. Kreirajte HOZE zaglavlje, podešavanje alg, enc, i cisco-kdf ključevi kao što je opisano u procesu razumevanja spoljnog identiteta za uređaje. Podesite radnju "dodaj" pomoću ključa:vrednost "cisco-action":"add" u vašem HOSE zaglavlju (zato što dodajemo sertifikat uređaju).

  5. Base64url kodiranje zaglavlja HOZE.

  6. Koristite JWE alatku za šifrovanje sa izabranim šifrovanjem i baz64url kodiranim HOE zaglavljem da biste šifruli tekst iz uporedne pem datoteke.

  7. Base64url kodiranje vektora za pokretanje, šifrovano PEM korisni teret i oznaka za potvrdu identiteta.

  8. Konstruisan je JWE blob na sledeći način (sve vrednosti su base64url kodovane):

    JOSEHeader..InitVector.EncryptedPEM.AuthTag

4

Otvorite TShell na uređaju i pokrenite (više linija) i dodajte komandu:

xcommand Security Certificates Services Add IsEncrypted: True
your..JWE.str.ing\n
.\n
5

Proveri da li je sertifikat dodat pokretanjem xcommand Security Certificates Services Show

Kopirajte otisak prsta novog sertifikata.

6

Aktivirajte sertifikat u svrhu WebexIdentity:

  1. Pročitajte otisak prsta sertifikata, bilo iz samog sertifikata ili iz izlaza xcommand Security Certificates Services Show.

  2. Kreirajte nasumični niz od najmanje 4 bajta i base64url kodirajte tu sekvencu. Ovo je tvoja so.

  3. Deraktivirajte sadržaj ključ za šifrovanje alatkom za skript.

    Za ovo vam je potrebna tajna, sla i ključna dužina da biste se podudarali sa odabranim šifrovanjem. Za isporuku ima još nekih fiksnih vrednosti (N=32768, r=8, p=1). Uređaj koristi isti proces i vrednosti za deraktiviranje istog sadržaja ključ za šifrovanje.

  4. Kreirajte nasumični niz od tačno 12 bajta i base64url kodiranjem te sekvence. Ovo je vaš vektor za pokretanje.

  5. Kreirajte HOZE zaglavlje, podešavanje alg, enc, i cisco-kdf ključevi kao što je opisano u procesu razumevanja spoljnog identiteta za uređaje. Podesite radnju "aktiviraj" pomoću ključa:vrednost "cisco-action":"activate" u vašem HOE zaglavlju (zato što aktiviramo sertifikat na uređaju).

  6. Base64url kodiranje zaglavlja HOZE.

  7. Koristite JWE alatku za šifrovanje sa izabranim šifrovanjem i base64url kodiranim HOE zaglavljem da biste šifruli otisak prsta sertifikata.

    Alatka treba da izlaže sekvencu od 16 ili 32 bajta, u zavisnosti od toga da li ste izabrali 128 ili 256-bitni AES-GCM i oznaku za potvrdu identiteta.

  8. Base64urlencode šifrovani otisak prsta i oznaku za potvrdu identiteta.

  9. Konstruisan je JWE blob na sledeći način (sve vrednosti su base64url kodovane):

    JOSEHeader..InitVector.EncryptedFingerprint.AuthTag

  10. Otvorite TShell na uređaju i pokrenite sledeću aktiviranu komandu:

                      xcommand Security Certificates Services Activate Purpose: WebexIdentity Fingerprint: "Your..JWE.encrypted.fingerprint"
Uređaj ima šifrovani, aktivan sertifikat izdat od CA-a, spreman da se koristi za identifikaciju sa end-to-end šifrovanjem Webex sastancima.
7

Priključite uređaj svojoj control Hub organizaciji.

Testirajte end-to-end šifrovanje sa potvrdom identiteta

1

Zakažite sastanak ispravnog tipa (Webex Meetings "Pro-End to End Encryption_VOIPonly").

Pogledajte članak Zakazivanje Webex sastanka pomoću end-to-End šifrovanja.

2

Pridružite se sastanku kao organizator, od Webex Meetings klijenta.

Pogledajte opciju Webex sastanku sa end-to-End šifrovanjem.

3

Pridružite se sastanku sa uređaja na kojem je potvrđen identitet Webex CA.

4

Kao organizator, potvrdite da se ovaj uređaj pojavljuje u čekaonici sa pravilnom ikonošcu identiteta.

Pogledajte opciju Webex sastanku sa end-to-End šifrovanjem.

5

Pridružite se sastanku sa uređaja na kojima je spoljni CA potvrdio identitet.

6

Kao organizator, potvrdite da se ovaj uređaj pojavljuje u čekaonici sa pravilnom ikonošcu identiteta. Saznajte više o ikonama identiteta.

7

Pridružite se sastanku kao učesnik sastanka bez potvrđenog identiteta.

8

Kao organizator, potvrdite da se ovaj učesnik pojavljuje u čekaonici sa pravilnom ikonošcu identiteta.

9

Kao organizator, primite ili odbijte osobe /uređaje.

10

Potvrdite identitete učesnika/uređaja gde je to moguće proverom sertifikata.

11

Proverite da li svi na sastanku vide isti bezbednosni kôd sastanka.

12

Pridružite se sastanku sa novim učesnikom.

13

Proverite da li svi vide isti, novi bezbednosni kôd za sastanak.

Podesite opseg i očekivanja

Učinićete sastanke sa end-to-end šifrovanjem kao podrazumevanu opciju sastanka ili ćete ga omogućiti samo za neke korisnike ili dozvoliti svim organizatorima da odluče? Kada odlučite kako ćete koristiti ovu funkciju, pripremite korisnike koji će je koristiti, naročito u pogledu ograničenja i onoga što očekujete na sastanku.

Da li treba da osigurate da ni Cisco niti bilo ko drugi ne može da dešifruju vaš sadržaj ili da se predstavlja kao vaši uređaji? U ukoliko je to potrebno, potrebni su vam sertifikati iz javnog CA. Možda imate samo 25 uređaja u bezbednom sastanku. Ako vam je potreban ovaj nivo bezbednosti, ne bi trebalo da dozvoljavate klijentima sastanaka da se pridruže.

Za korisnike koji se pridružuju bezbednim uređajima, dozvolite uređajima da se prvo pridruže i podesite korisnička očekivanja da oni možda neće moći da se pridruže ako se pridruže kasnije.

Ako imate različite nivoe potvrde identiteta, podstiču korisnike da se potvrde identitetom putem sertifikata i bezbednosnim kodom za sastanak. Iako postoje okolnosti u kojima se učesnici mogu pojaviti kao Nepotvrđeni, a učesnici bi trebalo da znaju kako da provere, nepotvrđeni ljudi možda neće biti impostori.

Upravljanje identitetom

Ako koristite spoljni CA za izdavanje certifikata uređaja, onus je na vama da nadgledate, osvežavate i ponovo prijavite sertifikate.

Ako ste kreirali početnu tajnu, shvatite da korisnici možda žele da promene tajnu svog uređaja. Možda ćete morati da kreirate interfejs/distribuirate alatku da biste im omogućili to.

ID-ovi tipa sesije

Tabela 1. ID tipa sesije za sastanke sa end-to-end šifrovanjem

ID tipa sesije

Ime javne usluge

638

Samo E2E šifrovanje+VoIP samo

652

Pro-End to End Encryption_VOIPonly

660

Pro 3 free-End to End Encryption_VOIPonly

E2E šifrovanje + identitet

672

Pro 3 Free50-End to End Encryption_VOIPonly

673

Instruktor obrazovanja E2E Encryption_VOIPonly

676

Broadworks standardni plus end to end šifrovanje

677

Broadworks premijum plus end to end šifrovanje

681

Besplatna škola i završenje šifrovanja

Srodne xAPI komande

Ove tabele opisuju Webex API komande uređaja koje smo dodali za sastanke sa end-to-end šifrovanjem i potvrđen identitet. Za više informacija o tome kako da koristite API, pogledajte pristup API-u za Webex Room i Desk Uređaje i Webex boards.

Ove xAPI komande su dostupne samo na uređajima koji su:

  • Registrovano za Webex

  • Registrovani u objektu i povezani Webex sa Webex Edge za uređaje

Tabela 2. API-je nivoa sistema za sastanke sa end-to-end šifrovanjem i potvrđen identitet

API poziv

Opis

xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com"

Ova konfiguracija se napravljena kada administrator postavi željeni domen uređaja iz Control Hub. Neophodno je samo ako organizacija ima više od jednog domena.

Uređaj koristi ovaj domen kada zahteva sertifikat sa liste Webex CA. Domen zatim identifikuje uređaj.

Ova konfiguracija nije primenljiva kada uređaj ima aktivan, eksterno izdat sertifikat za identifikaciju.

xStatus Conference EndToEndEncryption Availability

Označava da li uređaj može da se pridruži sastanku sa end-to-end šifrovanjem. API na oblaku ga poziva tako da uparena aplikacija zna da li može da koristi uređaj za pridruživanje.

xStatus Conference EndToEndEncryption ExternalIdentity Verification

Označava da li uređaj koristi External verifikacija (ima eksterni izdati sertifikat).

xStatus Conference EndToEndEncryption ExternalIdentity Identity

Identitet uređaja koji je pročitan iz zajedničkog imena sertifikata spoljnog izdavanja.

xStatus Conference EndToEndEncryption ExternalIdentity CertificateChain Certificate # specificinfo

Čita određene informacije sa eksterno izdatog sertifikata.

U prikazanoj komandi zameni # sa brojem sertifikata. Zameni specificinfo sa jednim od:

  • Fingerprint

  • NotAfter Potvrda važenja datum prekida

  • NotBefore Potvrda važenja datum početka

  • PrimaryName

  • PublicKeyAlgorithm

  • SerialNumber

  • SignatureAlgorithm

  • Subject # Name Lista subjekata za sertifikat (npr. e-adresa ili naziv domena)

  • Validity Daje status važenja ovog sertifikata (npr. valid ili expired)

xStatus Conference EndToEndEncryption ExternalIdentity Status

Status spoljnog identiteta uređaja (npr. valid ili error).

xStatus Conference EndToEndEncryption InternalIdentity Verification

Označava da li uređaj ima važeći sertifikat izdat od strane Webex CA.

xStatus Conference EndToEndEncryption InternalIdentity Identity

Identitet uređaja koji je pročitan iz zajedničkog imena Webex izdatog sertifikata.

Sadrži naziv domena li organizacija ima domen.

Je prazno ako organizacija nema domen.

Ako se uređaj nalazi u organizaciji koja ima više domena, ovo je vrednost iz PreferredDomain.

xStatus Conference EndToEndEncryption InternalIdentity CertificateChain Certificate # specificinfo

Čita određene informacije sa Webex izdatog sertifikata.

U prikazanoj komandi zameni # sa brojem sertifikata. Zameni specificinfo sa jednim od:

  • Fingerprint

  • NotAfter Potvrda važenja datum prekida

  • NotBefore Potvrda važenja datum početka

  • PrimaryName

  • PublicKeyAlgorithm

  • SerialNumber

  • SignatureAlgorithm

  • Subject # Name Lista subjekata za sertifikat (npr. e-adresa ili naziv domena)

  • Validity Daje status važenja ovog sertifikata (npr. valid ili expired)

Tabela 3. U pozivu API-je za sastanke sa end-to-end šifrovanjem i potvrđen identitet

API poziv

Opis

xEvent Conference ParticipantList ParticipantAdded

xEvent Conference ParticipantList ParticipantUpdated

xEvent Conference ParticipantList ParticipantDeleted

Ova tri događaja sada obuhvataju EndToEndEncryptionStatus, EndToEndEncryptionIdentity, i EndToEndEncryptionCertInfo za pogođenog učesnika.

Tabela 4. ClientSecret povezane API-je za sastanke sa end-to-end šifrovanjem i potvrđen identitet

API poziv

Opis

xCommand Security ClientSecret Populate Secret: "base64url-encoded"

ili

xCommand Security ClientSecret Populate Secret: JWEblob

Prihvata base64url kodovanu vrednost čistog teksta za označavanje tajne klijenta na uređaju po prvi put.

Da biste ažurirali tajnu nakon toga prvog puta, morate da dostavite JWE blob koja sadrži novu tajnu šifrovanu starom tajnom.

xCommand Security Certificates Services Add JWEblob

Dodaje sertifikat (sa privatnim ključem).

Produžili smo ovu komandu da prihvatimo JWE blob koji sadrži šifrovane PEM podatke.

xCommand Security Certificates Services Activate Purpose:WebexIdentity FingerPrint: JWEblob

Aktivira određeni sertifikat za WebexIdentity. Za ovo Purpose, komanda zahteva da se otisak prsta za identifikaciju šifrovanja i serijski prikaže u JWE blob.

xCommand Security Certificates Services Deactivate Purpose:WebexIdentity FingerPrint: JWEblob

Deaktivirate određeni sertifikat za WebexIdentity. Za ovo Purpose, komanda zahteva da se otisak prsta za identifikaciju šifrovanja i serijski prikaže u JWE blob.