Korisničko iskustvo

Korisnici biraju tip sastanka kada zakažu sastanak. Prilikom prijema učesnika iz čekaonice, kao i tokom sastanka, organizator može da vidi status potvrde identiteta svakog učesnika. Postoji i kôd za sastanke koji je uobičajen za sve aktuelne učesnike sastanka, koji mogu da koriste da potvrde da njihov sastanak nije presretnuo neželjena treća strana U Sred (MITM) napad.

Delite sledeće informacije sa domaćinima sastanka:

Potvrda identiteta pomoću internog ili spoljnog CA

Potvrdi identitet

Potpuno šifrovanje sa potvrdom identiteta pruža dodatnu bezbednost sastanku sa potpunim šifrovanjem.

Kada se učesnici ili uređaji pridruže deljenoj MLS (Bezbednost sloja poruka) grupi, oni izlažu svoje sertifikate drugim članovima grupe, koji zatim potvrđuju sertifikate u odnosu na izdavanje autoriteta za izdavanje sertifikata (CA). Kada potvrdi da su sertifikati važeći, CA potvrđuje identitet učesnika i sastanak prikazuje učesnike/uređaje kao potvrđene.

Korisnici aplikacije Webex potvrđuju svoj identitet u Webex skladištu identiteta, koje im izdaje token za pristup kada potvrda identiteta uspe. Ako im je potreban sertifikat za potvrdu identiteta na sastanku sa potpunim šifrovanjem, Webex CA im daje sertifikat na osnovu tokena za pristup. Trenutno ne obezbeđujemo način da korisnici aplikacije Webex Meetings dobiju sertifikat koji je izdala treća strana/spoljni CA.

Uređaji mogu da potvrde verodostojnost pomoću certifikata izdatog od strane internog (Webex) CA ili certifikata izdatog od strane eksternog CA:

  • Interna CA – Webex izdaje interni sertifikat na osnovu tokena za pristup mašinskom nalogu uređaja. Webex CA potpisuje certifikat. Uređaji nemaju ID korisnika na isti način kao korisnici, tako da Webex koristi (jedan od) domena vaše organizacije prilikom pisanja identiteta sertifikata uređaja (zajedničko ime (CN)).

  • Spoljni CA – Zatražite i kupite sertifikate uređaja direktno od izabranog izdavaoca. Morate šifrovati, direktno otpremiti i ovlastiti certifikate koristeći tajnu poznatu samo vama.

    Cisco nije uključen, što znači da se na taj način garantuje istinito end-to-end šifrovanje i potvrđeni identitet i sprečava teorijsku mogućnost da bi Cisco mogao da prisluškuje vaš sastanak/dešifruje vaše medije.

Interno izdat certifikat uređaja

Webex izdaje certifikat uređaju kada se registruje nakon pokretanja i obnavlja ga kada je to potrebno. Za uređaje, certifikat uključuje ID naloga i domen.

Ako vaša organizacija nema domen, Webex CA izdaje certifikat bez domena.

Ako vaša organizacija ima više domena, možete da koristite kontrolno čvorište da biste webexu rekli koji domen uređaj da koristite za njegov identitet. Takođe možete da koristite API xConfiguration Conference EndToEndEncryption Identity PreferredDomain: „example.com“.

Ako imate više domena i ne postavite željeni domen za uređaj, Webex će odabrati jedan za vas.

Certifikat spoljno izdatog uređaja

Administrator može da obezbedi uređaj sa sopstvenim certifikatom koji je potpisan jednim od javnih OA.

Certifikat mora biti zasnovan na ECDSA P-256 ključnom paru, iako ga može potpisati RSA ključ.

Vrednosti u certifikatu su po nahođenju organizacije. Zajedničko ime (CN) i alternativno ime subjekta (SAN) će se prikazati u korisničkom interfejsu Webex sastanka, kao što je opisano u odeljku Potpuno šifrovanje sa potvrdom identiteta za Webex Meetings.

Preporučujemo da koristite zasebni sertifikat po uređaju i da biste imali jedinstveni CN po uređaju. Na primer, „meeting-room-1.example.com“ za organizaciju koja je vlasnik domena „example.com“.

Da bi se spoljni certifikat u potpunosti zaštitio od neovlašćenog menjanja, funkcija klijent-tajna se koristi za šifrovanje i potpisivanje različitih xcommandova.

Kada koristite tajnu klijenta, moguće je bezbedno upravljati spoljnim Webex sertifikatom identiteta putem xAPI-ja. Ovo je trenutno ograničeno na uređaje na mreži.

Webex trenutno obezbeđuje API komande za upravljanje ovim putem.

Funkcije i ograničenja

Uređaji

Sledeći uređaji Webex Room serije registrovani u oblaku i Webex Desk serije mogu da se pridruže sastancima E2EE:

  • Webex Board

  • Webex Desk Pro

  • Webex Desk

  • Webex Komplet soba

  • Webex Room Kit Mini

Sledeći uređaji ne mogu da se pridruže E2EE sastancima:

  • Webex C serija

  • Webex DX Series

  • Webex EX grupa

  • Webex MX Series

  • SIP uređaji nezavisnih proizvođača

Softverski klijenti

  • Aplikacija Webex za klijente radne površine i mobilne uređaje mogu da se pridruže E2EE sastancima.

  • Veb-klijent Webex ne može da se pridruži E2EE sastancima.

  • SIP softverski klijenti treće strane ne mogu da se pridruže E2EE sastancima.

Identitet

  • Po dizajnu ne obezbeđujemo opcije Control Hub za upravljanje identitetom uređaja koji je potvrđen spolja. Za potpuno šifrovanje, samo vi treba da znate/pristupite tajnama i ključevima. Ako smo uveli uslugu u oblaku za upravljanje tim ključevima, postoji šansa da budu presretnuti.

  • Trenutno vam obezbeđujemo „recept“ za dizajn sopstvenih alatki, zasnovanih na industrijskim standardnim tehnikama šifrovanja, koji će vam pomoći pri slanju zahteva ili šifrovanju sertifikata identiteta uređaja i njihovih privatnih ključeva. Ne želimo da imamo bilo kakav stvarni ili percipiran pristup vašim tajnama ili ključevima.

Sastanci

  • E2EE sastanci trenutno podržavaju najviše 1000 učesnika.

  • Nove bele table možete da delite na E2EE sastancima. Postoje neke razlike od belih tabli na redovnim sastancima:
    • Na E2EE sastancima korisnici ne mogu da pristupe belim tablama kreiranim van sastanka, uključujući privatne bele table, bele table koje dele drugi i bele table iz Webex prostora.
    • Bele table kreirane na E2EE sastancima dostupne su samo tokom sastanka. Oni se ne čuvaju i nisu dostupni kada se sastanak završi.
    • Ako neko deli sadržaj na E2EE sastanku, možete da hvatate beleške u njega. Više informacija o hvatanju beleški potražite u članku Aplikacija Webex | Označavanje deljenog sadržaja pomoću beleški.

Interfejs upravljanja

Preporučujemo da koristite Control Hub za upravljanje lokacijom za sastanke, jer organizacije Control Hub imaju centralizovan identitet za celu organizaciju.

Dodatni resursi
Preduslovi

  • Webex sastanci 41.7.

  • Uređaji serija Webex Room i Webex Desk registrovani u oblaku, koji koriste 10.6.1-RoomOS_August_2021.

  • Administrativni pristup sajtu za sastanak u čvorištu Control Hub.

  • Neki od proverenih domena u organizaciji "Kontrolno čvorište" (ako koristite Webex CA za izdavanje certifikata uređaja za provereni identitet).

  • Sale za sastanke o saradnji moraju biti uključene tako da se osobe mogu pridružiti njihovom video sistemu. Više informacija potražite u članku Dozvoljavanje video sistemima da se pridružuju sastancima i događajima na Webex lokaciji.

Nabavite sertifikate za uređaj

Ovaj korak možete da preskočite ako vam nisu potrebni identiteti koji su potvrđeni spolja.

Radi najvišeg nivoa bezbednosti i provere identiteta, svaki uređaj treba da ima jedinstveni sertifikat koji je izdao pouzdani javni autoritet za izdavanje sertifikata (CA).

Potrebno je da komunicirate sa CA da biste zahtevali, kupili i primili digitalne certifikate i kreirali povezane privatne ključeve. Kada zahtevate sertifikat, koristite sledeće parametre:

  • Certifikat mora biti izdat i potpisan od strane poznatog javnog CA.

  • Jedinstveni: Preporučujemo da koristite jedinstveni certifikat za svaki uređaj. Ako koristite jedan certifikat za sve uređaje, ugrožavate svoju bezbednost.

  • Zajedničko ime (CN) i alternativno ime teme/s (SAN/s): To webexu nije važno, ali bi trebalo da budu vrednosti koje ljudi mogu da pročitaju i povežu sa uređajem. CN će drugim učesnicima sastanka pokazati kao primarni provereni identitet uređaja, a ako korisnici pregledaju certifikat putem UI sastanka, videće SAN/s. Možda ćete želeti da koristite imena kao što je name.model@example.com.

  • Format datoteke: Certifikati i ključevi moraju biti u .pem formatu.

  • Svrhu: Svrha certifikata mora biti Webex Identitet.

  • Generisanje ključeva: Certifikati moraju biti zasnovani na ECDSA P-256 ključnim parovima (Elliptical Curve Digital Signature Algorithm using the P-256 curve).

    Ovaj zahtev se ne proširuje na ključ za potpisivanje. CA može da koristi RSA ključ za potpisivanje certifikata.

Pripremi za priključivanje uređaja

Ovaj korak možete da preskočite ako ne želite da koristite identitet potvrđen spolja za svoje uređaje.

Ako koristite nove uređaje, nemojte ih još registrovati na Webex. Da biste bili sigurni, nemojte ih trenutno povezivati sa mrežom.

Ako imate postojeće uređaje koje želite da nadogradite da biste koristili identitet potvrđen spolja, morate da fabrički resetujete uređaje.

  • Sačuvajte postojeću konfiguraciju ako želite da je zadržite.

  • Planirajte prozor kada se uređaji ne koriste ili koristite fazni pristup. Obavestite korisnike o promenama koje mogu da očekuju.

  • Obezbedite fizički pristup uređajima. Ako morate da pristupite uređajima preko mreže, imajte na umu da tajne putuju čistim tekstom i da ugrožavate svoju bezbednost.

Kada završite ove korake, dozvolite video sistemima da se pridružuju sastancima i događajima na vašoj Webex lokaciji.

Razumevanje procesa spoljnog identiteta za uređaje

Da biste se uverili da medijum uređaja ne može da šifruje niko osim uređaja, morate šifrovati privatni ključ na uređaju. Dizajnirali smo API-je za uređaj kako bi omogućio upravljanje šifrovanim ključem i sertifikatom koristeći JSON Web Encryption (JWE).

Da bismo obezbedili istinsko end-to-end šifrovanje kroz naš oblak, ne možemo biti uključeni u šifrovanje i otpremanje certifikata i ključa. Ako vam je potreban ovaj nivo bezbednosti, morate da:

  1. Zahtevajte svoje certifikate.

  2. Generišite parove ključeva certifikata.

  3. Kreirajte (i zaštitite) početnu tajnu za svaki uređaj, kako biste zasejali mogućnost šifrovanja uređaja.

  4. Razvijte i održavajte sopstvenu alatku za šifrovanje datoteka pomoću JWE standarda.

    Proces i parametri (netajni) koji su vam potrebni objašnjeni su u nastavku, kao i recept koji treba slediti u alatkama za razvoj izbora. Takođe obezbeđujemo neke podatke o testiranju i dobijene JWE grudvice kao što očekujemo, kako bismo vam pomogli da proverite svoj proces.

    Nepodržana referentna implementacija pomoću Python3 i JWCrypto biblioteke dostupna je od Cisco-a na zahtev.

  5. Spajanje i šifrovanje certifikata i ključa pomoću alatke i početne tajne uređaja.

  6. Otpremite dobijenu JWE grudvicu na uređaj.

  7. Podesite svrhu šifrovanog certifikata koji će se koristiti za Webex identitet i aktivirajte certifikat.

  8. (Preporučeno) Navedite interfejs za (ili distribuciju) alatku da biste omogućili korisnicima uređaja da promene početnu tajnu i zaštite svoje medije od vas.

Kako koristimo JWE format

Ovaj odeljak opisuje kako očekujemo da JWE bude kreiran kao ulaz na uređaje, tako da možete da napravite sopstvenu alatku za kreiranje grudvica iz vaših certifikata i ključeva.

Pogledajte JSON web šifrovanje (JWE) https://datatracker.ietf.org/doc/html/rfc7516 i JSON web potpis (JWS) https://datatracker.ietf.org/doc/html/rfc7515.

Koristimo Kompaktnu serijalizaciju JSON dokumenta za kreiranje JWE blokova. Parametri koje treba da uključite prilikom kreiranja JWE blokova su:

  • JOSE Zaglavlje (zaštićeno). U zaglavlje JSON potpisivanja i šifrovanja objekata morate da uključite sledeće parove vrednosti ključa:

    • „Језик”:„dir”

      Direktan algoritam je jedini koji podržavamo za šifrovanje tovara i morate da koristite početnu klijentsku tajnu uređaja.

    • "enc":"A128GCM" ili "enc":"A256GCM"

      Podržavamo ova dva algoritma šifrovanja.

    • „cisco-action”: „dodaj ili „cisco-action”: „popuni“ ili „cisco-action”: „aktiviraj” ili „cisco-action”: „deaktiviraj”

      Ovo je vlasnički ključ i četiri vrednosti koje može da uzme. Uveli smo ovaj ključ da bismo signalizirali svrhu šifrovanih podataka ciljnom uređaju. Vrednosti su nazvane po xAPI komandama na uređaju na kojem koristite šifrovane podatke.

      Nazvali smo je cisco-akcija da bismo ublažili potencijalne sukobe sa budućim JWE lokalima.

    • „cisco-kdf”: { "version": "1", "salt": "base URLEncodedRandom4+Bytes" }

      Još jedan vlasnički ključ. Koristimo vrednosti koje navedete kao unose za ključnu derivaciju na uređaju. Verzija mora da bude 1 (verzija naše ključne funkcije izvođenja). Vrednost soli mora biti baza64 URL-kodirana sekvenca od najmanje 4 bajta, koje morate nasumično da izaberete.

  • JWE šifrovani ključ. Ovo polje je prazno. Uređaj ga dobija iz početnog programa ClientSecret.

  • JWE Vektor Pokretanja. Morate da obezbedite base64url kodirani vektor za pokretanje za dešifrovanje tovara. IV mora biti nasumična vrednost od 12 bajtova (koristimo AES-GCM šifru porodice, koja zahteva da infuzija bude dugačka 12 bajtova).

  • JWE AAD (dodatni podaci sa potvrdom identiteta). Ovo polje morate izostaviti jer ono nije podržano u sažetoj serijalizaciji.

  • JWE Ciphertext: Ovo je šifrovani tovar koji želite da držite u tajnosti.

    Korisni teret MOŽE biti prazan. Na primer, da biste resetovali tajnu klijenta, potrebno je da je zamenite praznom vrednošću.

    Postoje različiti tipovi tovara, u zavisnosti od toga šta pokušavate da uradite na uređaju. Različite xAPI komande očekuju različite korisni teret i morate da navedete svrhu naplate pomoću ključa za cisco radnju , na sledeći način:

    • Uz „cisco-action”: „populate” šifrovani tekst je novi ClientSecret.

    • Sa „„cisco-action”:„add“ šifrovani tekst je PEM blok koji sadrži sertifikat i njegov privatni ključ (povezani).

    • Sa „„cisco-action”: „aktiviraj” cifrtekst je otisak prsta (heksadecimalni prikaz sha-1) sertifikata koji aktiviramo za potvrdu identiteta uređaja.

    • Sa „„cisco-action”:„deaktiviraj“ cifrtekst je otisak prsta (heksadecimalni prikaz sha-1) sertifikata koji deaktiviramo od korišćenja za potvrdu identiteta uređaja.

  • Oznaka JWE potvrde identiteta: Ovo polje sadrži oznaku potvrde identiteta da bi se utvrdio integritet cele JWE sažeto serijalizovane grudvice

Kako izvesti ključ za šifrovanje iz usluge ClientSecret

Posle prve populacije tajne, ne prihvatamo ili prenosimo tajnu kao čisti tekst. Ovo je da biste sprečili potencijalne napade rečnika od strane nekoga ko bi mogao da pristupi uređaju.

Softver uređaja koristi tajnu klijenta kao ulaz u funkciju derivata ključa (kdf) i zatim koristi izvedeni ključ za dešifrovanje/šifrovanje sadržaja na uređaju.

Ono što ovo znači za vas je da vaš alat za proizvodnju JWE blobs mora da sledi istu proceduru da bi proizveo isti ključ za šifrovanje/dešifrovanje iz tajne klijenta.

Uređaji koriste scrypt za ključnu derivaciju (pogledajte https://en.wikipedia.org/wiki/Scrypt), sa sledećim parametrima:

  • CostFactor (N) je 32768

  • BlockSizeFactor (r) je 8

  • ParallelizationFactor (p) je 1

  • So je nasumični niz od najmanje 4 bajta; morate da obezbedite istu so kada navedete cisco-kdf parametar.

  • Dužine ključa su ili 16 bajtova (ako izaberete algoritam AES-GCM 128) ili 32 bajta (ako izaberete algoritam AES-GCM 256)

  • Maksimalna memorijska kapa je 64MB

Ovaj skup parametara je jedina konfiguracija skripta koja je kompatibilna sa funkcijom derivata ključa na uređajima. Ovaj kdf na uređajima se naziva „verzija“: „1“, što je jedina verzija koja trenutno koristi cisco-kdf parametar.

Radila je na primeru

Evo primera koji možete slediti da biste proverili da li vaš proces JWE šifrovanja funkcioniše isto kao i proces koji smo kreirali na uređajima.

Primer scenarija je dodavanje PEM bloba uređaju (imitira dodavanje certifikata, sa veoma kratkom niskom umesto punim certifikatom + ključem). Tajna klijenta u primeru je oksifrag.

  1. Odaberite šifru šifrovanja. Ovaj primer koristi A128GCM (AES sa 128-bitnim tasterima u Galois kontra režimu). Vaša alatka može da koristi A256GCM ako želite.

  2. Odaberite so (mora biti nasumična sekvenca od najmanje 4 bajta). Ovaj primer koristi (hex bajte)E5 E6 53 08 03 F8 33 F6. URL adresa baze šifruje sekvencu tako da bude 5eZTCAP4M_Y (ukloni pad baze64).

  3. Evo primera poziva za šifrovanje za kreiranje ključa za šifrovanje sadržaja (cek):

    cek=skript(password="oksifrag", so=4-bajt-sekvenca, N=32768, r=8, p=1, keylength=16)

    Izvedeni ključ treba da bude 16 bajtova (heksa) na sledeći način:95 9e ba 6d d1 22 01 05 78 fe 6a 9d 22 78 ff ac koji baza URL adrese kodiraju na lZ bdEiAQV4_mqdInj_rA.

  4. Odaberite nasumičnu sekvencu od 12 bajtova koju ćete koristiti kao vektor pokretanja. Ovaj primer koristi (hex) 34 b3 5d dd 5f 53 7b af 2d 92 95 83 , koji baza URL adrese kodiraju na NLNd3V9Te68tkpWD.

  5. Kreirajte JOSE zaglavlje sa kompaktnom serijalizacijom (pratite isti redosled parametara koje ovde koristimo) i zatim ga base64url kodira:

    {"alg":"dir","cisco-action":"add","cisco-kdf":{"salt":"5eZTCAP4M_Y","version":"1"},"enc":"A128GCM"}

    URL adresa kodirane JOSE zaglavlje je eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ9

    Ovo će biti prvi element JWE bloba.

  6. Drugi element JWE bloba je prazan, jer ne snabdevamo JWE ključ za šifrovanje.

  7. Treći element JWE bloka je vektor za pokretanje NLNd3V9Te68tkpWD.

  8. Koristite alatku za JWE šifrovanje da biste proizveli šifrovani tovar i oznaku. Za ovaj primer, nešifrovani korisni teret će biti lažni PEM blok ovo je PEM datoteka

    Parametri šifrovanja koje bi trebalo da koristite su:

    • Korisni teret je ovo je PEM datoteka

    • Šifrovanje šifre je AES 128 GCM

    • Baza64url kodirala je JOSE zaglavlje kao dodatne potvrđene podatke (AAD)

    URL adresa baze šifruje šifrovani korisni teret, koji treba da dovede do f5lLVuWNfKfmzYCo1YJfODhQ

    Ovo je četvrti element (JWE Ciphertext) u JWE blob-u.

  9. URL adresa baze šifruje oznaku koju ste napravili u koraku 8, koja treba da rezultira u PE-wDFWGXFFBeo928cfZ1Q

    Ovo je peti element u JWE blob- u.

  10. Spajanje pet elemenata JWE bloba sa tačkicama (JOSEheader.. IV.Ciphertext.Tag) da biste dobili:

    eyJhbGciOiXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfWGXFFBeo928cfZ1Q

  11. Ako ste izvedeni iste osnovne64url kodirane vrednosti kao što pokazujemo ovde, koristeći sopstvene alatke, spremni ste da ih koristite za obezbeđivanje E2E šifrovanja i proverenog identiteta vaših uređaja.

  12. Ovaj primer zapravo neće funkcionisati, ali u principu vaš sledeći korak bi bio da koristite JWE blob koji ste gore kreirali kao unos u xcommand na uređaju koji dodaje certifikat:

    xCommand bezbednosni sertifikati Dodajte eyJhbGciOiXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfWGXFFBeo928cfZ1Q

Tipovi sesija za sastanke sa nultim poverenjem dostupni su za sve lokacije sastanaka bez dodatnih troškova. Jedan od ovih tipova sesije se zove Pro-End to End Encryption_VOIPonly. Ovo je ime javnog servisa, koje možemo promeniti u budućnosti. Trenutna imena tipova sesija pogledajte odeljak ID-ova tipa sesije u odeljku "Referenca" ovog članka.

Ne morate ništa da uradite da biste dobili ovu mogućnost za vašu lokaciju; morate da odobrite novi tip sesije (takođe se naziva Privilegija za sastanak) korisnicima. To možete da uradite pojedinačno preko stranice za konfiguraciju korisnika ili na veliko sa CSV izvozom/uvozom.

Potvrdi novi tip sesije
1

Prijavite se na portal Control Hub, a zatim pristupite stavci Usluge > Sastanak.

2

Kliknite na dugme Lokacije, odaberite Webex lokaciju za koju želite da promenite podešavanja, a zatim izaberite stavku Podešavanja.

3

U okviru Uobičajene postavkeizaberite stavku Tipovi sesija.

4
Trebalo bi da vidite jedan ili više tipova sesija end-to-end šifrovanja. Pogledajte listu ID-ova tipa sesije u odeljku "Referenca" ovog članka. Na primer, možda ćete videti pro-End to End Encryption_VOIPonly.

Postoji stariji tip sesije sa veoma sličnim imenom: Pro-end šifrovanje. Ovaj tip sesije uključuje PSTN pristup sastancima koji nisu šifrovani. Uverite se da imate verziju _VOIPonly da biste osigurali end-to-end šifrovanje. Možete da proverite tako što ćete zadržati pokazivač iznad PRO veze u koloni koda sesije; za ovaj primer, cilj veze treba da bude javascript:ShowFeature(652).

U budućnosti možemo da promenimo Imena Javnih Usluga za ove tipove sesija.

5

Ako još uvek nemate novi tip sesije, obratite se predstavniku Webexa.

Šta dalje

Omogućite ovu privilegiju sesije / sastanka nekim ili svim korisnicima.

Omogući E2EE sastanke za pojedinačne korisnike
1

Prijavite se u Control Hub i idite do stavki Upravljanje > Korisnici.

2

Izaberite korisnički nalog za ažuriranje, a zatim izaberite Sastanci.

3

Iz odeljka Podešavanja se primenjuju na padajuću listu izaberite lokaciju sastanka za ažuriranje.

4

Potvrdite polje pored opcije Pro-End to End Encryption_VOIPonly.

5

Zatvorite korisničku tablu za konfiguraciju.

6

Ponovite to za druge korisnike ako je potrebno.

Da biste ovo dodelili mnogim korisnicima, koristite sledeću opciju, Omogući E2EE sastanke za više korisnika.

Omogući E2EE sastanke za više korisnika
1

Prijavite se na portal Control Hub, a zatim pristupite stavci Usluge > Sastanak.

2

Kliknite naLokacije, odaberite Webex lokaciju za koju želite da promenite podešavanja.

3

U odeljku Licence i korisnici kliknite na dugme Masovno upravljanje.

4

Kliknite na Generiši izveštaj i sačekajte dok ne pripremimo datoteku.

5

Kada datoteka bude spremna, kliknite na dugme Izvezi rezultate, a zatim preuzmi. (Morate ručno da zatvorite taj iskačući prozor nakon što kliknete na dugme Preuzmi.)

6

Otvorite preuzetu CSV datoteku za uređivanje.

Postoji red za svakog korisnika, a kolona MeetingPrivilege sadrži njihove ID-ove sesije kao listu razgraničenih zarezom.

7

Za svakog korisnika kom želite da dodelite novi tip sesije, dodajte 1561 kao novu vrednost na listi razgraničenih zarezom u MeetingPrivilege ćeliji.

Referenca u formatu CSV datoteke sadrži detalje o nameni i sadržaju CSV datoteke.

8

Otvorite tablu za konfiguraciju lokacije za sastanke u kontrolnom čvorištu.

Ako ste se već nalazili na stranici liste lokacija za sastanke, možda ćete morati da je osvežite.

9

U odeljku Licence i korisnici izaberite stavku Masovno upravljanje .

10

Kliknite na dugme Uvezi i izaberite uređeni CSV, a zatim kliknite na dugme Uvezi. Sačekajte dok se datoteka otpremi.

11

Kada se uvoz završi, možete kliknuti na dugme "Uvezi rezultate" da biste pregledali da li je bilo grešaka.

12

Idite na stranicu "Korisnici" i otvorite jednog od korisnika da biste proverili da li imaju novi tip sesije.

Dodajte audio vodeni žig zarad bezbednosti

Vodeni žig možete dodati snimcima sastanaka pomoću tipa sesije Webex Meetings Pro-End to End Encryption_VOIPonly , koja vam omogućava da identifikujete izvorni klijent ili uređaj neovlašćenih snimaka poverljivih sastanaka.

Kada je ova funkcija omogućena, audio snimak sastanka sadrži jedinstveni identifikator za svakog klijenta ili uređaj koji učestvuje. Možete da otpremite audio snimke u Control Hub, koji zatim analizira snimak i traži jedinstvene identifikatore. Možete da pogledate rezultate da biste videli koji izvor je klijent ili uređaj snimio sastanak.

  • Da bi se analizirao, snimak mora da bude AAC, MP3, M4A, WAV, MP4, AVI ili MOV datoteka ne veća od 500 MB.
  • Snimak mora da bude duži od 100 sekundi.
  • Snimke možete analizirati samo za sastanke koje organizuju osobe u vašoj organizaciji.
  • Informacije o vodenim žigovima se zadržavaju isto trajanje kao i informacije o sastanku organizacije.

Dodajte audio vodene žigove sastancima E2EE

  1. Prijavite se u Control Hub, a zatim u okviru stavke Upravljanje izaberite stavku Podešavanja organizacije.
  2. U odeljku Vodeni žigovi za sastanak uključite opciju Dodaj audio vodeni žig.

    Neko vreme nakon što je ovo uključeno, korisnici koji zakazuju sastanke pomoću Webex Meetings Pro-End to End Encryption_VOIPonly tipa sesije vide opciju Digitalni voip u odeljku „Bezbednost”.

Otpremite i analizirajte sastanak sa vodenim žigovima

  1. Na platformi Control Hub, u okviru odeljka Praćenje izaberite stavku Rešavanje problema.
  2. Kliknite na analizu vodenog žiga.
  3. Pretražite ili izaberite sastanak na listi, a zatim kliknite na Analiziraj.
  4. U prozoru Analiziraj audio vodeni žig unesite ime za analizu.
  5. (Opcionalno) Unesite napomenu za analizu.
  6. Prevucite i otpustite audio datoteku za analizu ili kliknite na Izaberi datoteku da biste pregledali audio datoteku.
  7. Kliknite na dugme Zatvori.

    Kada se analiza završi, ona će se prikazati na listi rezultata na stranici Analiza vodenog žiga .

  8. Izaberite sastanak na listi da biste videli rezultate analize. Kliknite Dugme "Preuzmi" da biste preuzeli rezultate.

Funkcije i ograničenja

Faktori koji su uključeni u uspešno dekodiranje snimljenog vodenog žiga uključuju razdaljinu između uređaja za snimanje i zvučnika koji ostavlja zvuk, jačinu tog zvuka, buku iz okoline itd. Naša tehnologija vodenih žigova ima dodatnu otpornost da bude kodirana više puta, kao što može da se desi kada se mediji dele.

Ova funkcija je dizajnirana da omogući uspešno dekodiranje identifikatora vodenog žiga u širokom ali razumnom skupu okolnosti. Naš cilj je da uređaj za snimanje, kao što je mobilni telefon, koji leži na stolu blizu lične krajnje tačke ili klijenta laptopa, uvek treba da kreira snimak koji rezultira uspešnom analizom. Pošto se uređaj za snimanje udaljava od izvora ili je prigušen slušanjem celog audio spektra, smanjiće se šanse za uspešnu analizu.

Da bi se uspešno analizirao snimak, potrebno je razumno snimanje zvuka sastanka. Ako se zvuk sastanka snima na istom računaru koji hostuje klijent, ograničenja ne bi trebalo da se primenjuju.

Priključeni uređaji (interni CA)

Ako su uređaji već priključeni u vašu Control Hub organizaciju i želite da koristite Webex CA za automatsko generisanje njihovih identifikacionih sertifikata, ne morate da fabrički resetujete uređaje.

Ova procedura bira koji domen uređaj koristi za identifikaciju i potreban je samo ako imate više domena u organizaciji kontrolnog čvorišta. Ako imate više domena, preporučujemo da to uradite za sve uređaje koji će imati "Cisco-verified" identitet. Ako ne kažete Webexu koji domen identifikuje uređaj, on se automatski bira i možda će izgledati pogrešno prema drugim učesnicima sastanka.

Pre nego što počnete

Ako vaši uređaji još nisu ulazno migrirani, pratite opciju Registrujte uređaj za Cisco Webex pomoću API-ja ili lokalnog veb-interfejsa ili Priključivanja u oblaku za seriju Board, Desk i Room. Takođe bi trebalo da proverite domen/e koje želite da koristite za identifikaciju uređaja u odeljku Upravljanje domenima.

1

Prijavite se u Control Hub, a u okviru stavke Upravljanje izaberite stavku Uređaji.

2

Izaberite uređaj da biste otvorili njegovu tablu za konfiguraciju.

3

Izaberite domen koji želite da koristite za identifikaciju ovog uređaja.

4

Ponovite ovo za druge uređaje.

Priključeni uređaji (spoljni CA)

Pre nego što počnete

  • Nabavite CA certifikat i privatni ključ, u formatu .pem , za svaki uređaj.

  • U okviru kartice Priprema pročitajte temu Razumevanje procesa spoljnog identiteta za uređaje,

  • Pripremite alat za JWE šifrovanje u odnosu na informacije koje postoje.

  • Uverite se da imate alatku za generisanje nasumičnih bajtova po datim dužinama.

  • Uverite se da imate alatku za osnova bajtova ili teksta za URL šifrovanje.

  • Uverite se da imate implementaciju šifrovanja .

  • Uverite se da imate tajnu reč ili frazu za svaki uređaj.

1

Popunite uređaj ClientSecret tajnom za običan tekst:

Kada prvi put popunite tajnu, dostavljate je u običnom tekstu. Zato preporučujemo da ovo radite na konzoli fizičkog uređaja.

  1. Base64url kodira tajnu frazu za ovaj uređaj.

  2. Otvorite TShell na uređaju.

  3. Pokreni xcommand Security ClientSecret Populate Secret: "MDEyMzQ1Njc4OWFiY2RlZg"

    Gorenavedeni primer komanda popunjava tajnu frazom 0123456789abcdef. Moraš sam da izabereš.

Uređaj ima početnu tajnu. Ne zaboravite ovo; ne možete ga obnoviti i morate fabrički resetovati uređaj da biste ponovo pokrenuli.
2

Spajanje certifikata i privatnog ključa:

  1. Pomoću uređivača teksta otvorite .pem datoteke, nalepite grudvicu certifikata i sačuvajte je kao novu .pem datoteku.

    Ovo je tekst za korisni teret koji ćete šifrovati i staviti u JWE blok.

3

Kreirajte JWE blob koji ćete koristiti kao unos u komandu za dodavanje certifikata:

  1. Kreirajte nasumičnu sekvencu od najmanje 4 bajta. Ovo je tvoja so.

  2. Proizvedi ključ za šifrovanje sadržaja pomoću alatke za šifrovanje.

    Za to vam je potrebna tajna, so i ključna dužina koja odgovara vašoj odabranoj šifriji šifrovanja. Postoje još neke fiksne vrednosti za nabavku (N=32768, r=8, p=1). Uređaj koristi isti proces i vrednosti da bi proizveo isti ključ za šifrovanje sadržaja.

  3. Kreirajte nasumičnu sekvencu od tačno 12 bajtova. Ovo je vektor za pokretanje.

  4. Kreirajte JOSE zaglavlje, podešavanje alg, enc i cisco-kdf tastera kao što je opisano u odeljku Razumevanje procesa spoljnog identiteta za uređaje. Podesite radnju „dodaj“ pomoću ključa:vrednost „cisco-action”: „add“ u svom JOSE zaglavlju (jer dodajemo sertifikat uređaju).

  5. Base64url kodira JOSE zaglavlje.

  6. Koristite alatku za šifrovanje JWE sa odabranom šifrom i base64url kodiranim JOSE zaglavljem da biste šifrovali tekst iz sjetane pem datoteke.

  7. Base64url kodira vektor pokretanja, šifrovani PEM tovar i oznaku za potvrdu identiteta.

  8. Konstruiši JWE blob na sledeći način (sve vrednosti su kodirane u bazi64url):

    JOSEHeader..InitVector.EncryptedPEM.AuthTag

4

Otvorite TShell na uređaju i pokrenite komandu (multiline) add: 

xcommand Security Certificates Add IsŠifrovano: True your..JWE.str.ing\n .\n
5

Proverite da li je sertifikat dodat pokretanjem xcommand Services Security Certificates Show

Kopirajte otisak prsta novog certifikata.

6

Aktivirajte sertifikat za WebexIdentity svrhe:

  1. Pročitajte otisak prsta sertifikata, bilo iz samog sertifikata ili iz izlaza xcommand Security Certificates Service Show.

  2. Kreirajte nasumičnu sekvencu od najmanje 4 bajta i base64url kodirajte taj niz. Ovo je tvoja so.

  3. Proizvedi ključ za šifrovanje sadržaja pomoću alatke za šifrovanje.

    Za to vam je potrebna tajna, so i ključna dužina koja odgovara vašoj odabranoj šifriji šifrovanja. Postoje još neke fiksne vrednosti za nabavku (N=32768, r=8, p=1). Uređaj koristi isti proces i vrednosti da bi proizveo isti ključ za šifrovanje sadržaja.

  4. Kreirajte nasumičnu sekvencu od tačno 12 bajtova i base64url kodirajte taj niz. Ovo je vektor za pokretanje.

  5. Kreirajte JOSE zaglavlje, podešavanje alg, enc i cisco-kdf tastera kao što je opisano u odeljku Razumevanje procesa spoljnog identiteta za uređaje. Podesite radnju „aktiviraj” pomoću ključa:vrednost „cisco-radnja”: „aktiviraj” u vašem JOSE zaglavlju (jer aktiviramo sertifikat na uređaju).

  6. Base64url kodira JOSE zaglavlje.

  7. Koristite alatku za šifrovanje JWE sa odabranom šifrom i base64url kodiranim JOSE zaglavljem da biste šifrovali otisak prsta certifikata.

    Alatka bi trebalo da uvodi sekvencu od 16 ili 32 bajta, u zavisnosti od toga da li ste odabrali 128 ili 256 bita AES-GCM i oznaku za potvrdu identiteta.

  8. Base64urlencode šifrovani otisak prsta i oznaka za potvrdu identiteta.

  9. Konstruiši JWE blob na sledeći način (sve vrednosti su kodirane u bazi64url):

    JOSEHeader..InitVector.ŠifrovaniFingerprint.AuthTag

  10. Otvorite TShell na uređaju i pokrenite sledeću komandu za aktiviranje:

     xcommand Security Certificates Aktiviraju Svrhu: WebexIdentity Fingerprint: „Vaš..JWE.encrypted.fingerprint“

Uređaj ima šifrovani, aktivni certifikat koji izdaje CA, spreman da se koristi za njegovu identifikaciju na end-to-end šifrovanim Webex sastancima.
7

Ukrcajte se na uređaj u organizaciju "Kontrolno čvorište".

Testirajte potpuno šifrovanje sa potvrdom identiteta
1

Zakažite sastanak ispravnog tipa(Webex Meetings Pro-End to End Encryption_VOIPonly).

Pogledajte schedule a Webex Meeting with End-to-End Encryption.

2

Pridružite se sastanku kao domaćin, od klijenta Webex sastanaka.

Pogledajte pridruživanje Webex sastanku pomoću end-to-end šifrovanja.

3

Pridružite se sastanku sa uređaja koji ima svoj identitet verifikovan od strane Webex CA.

4

Kao domaćin, proverite da li se ovaj uređaj pojavljuje u holu sa ispravnom ikonom identiteta.

Pogledajte pridruživanje Webex sastanku pomoću end-to-end šifrovanja.

5

Pridružite se sastanku sa uređaja koji ima svoj identitet verifikovan od strane spoljnog CA.

6

Kao domaćin, proverite da li se ovaj uređaj pojavljuje u holu sa ispravnom ikonom identiteta. Saznajte više o ikonama identiteta.

7

Pridružite se sastanku kao neautorizovani učesnik sastanaka.

8

Kao domaćin, proverite da li se ovaj učesnik pojavljuje u holu sa ispravnom ikonom identiteta.

9

Kao domaćin, priznajte ili odbacite ljude / uređaje.

10

Potvrdite identitete učesnika/uređaja gde je to moguće proverom sertifikata.

11

Proverite da li svi na sastanku vide isti bezbednosni kôd sastanka.

12

Pridružite se sastanku sa novim učesnikom.

13

Proverite da li svi vide isti, novi bezbednosni kod za sastanak.

Postavi opseg i očekivanja

  • Da li ćete end-to-end šifrovane sastanke učiniti podrazumevanom opcijom sastanka ili ćete je omogućiti samo nekim korisnicima ili ćete dozvoliti svim domaćinima da odluče? Kada odlučite kako ćete koristiti ovu funkciju, pripremite one korisnike koji će je koristiti, posebno u pogledu ograničenja i šta da očekujete na sastanku.

  • Da li je potrebno da se uverite da ni Cisco ni bilo ko drugi ne može da dešifruje vaš sadržaj ili da se predstavlja kao vaš uređaj? Ako je tako, potrebni su vam certifikati javnog CA.

  • Ako imate različite nivoe potvrde identiteta, osnažite korisnike da se međusobno potvrđuju identitetom podržanim sertifikatom. Iako postoje okolnosti u kojima učesnici mogu da se pojave kao nepotvrđeni, a učesnici bi trebalo da znaju kako da provere, nepotvrđeni ljudi možda nisu varalice.

Upravljanje identitetom

Ako koristite eksterni CA za izdavanje certifikata uređaja, onus je na vama da nadgledate, osvežavate i ponovo primenite certifikate.

Ako ste kreirali početnu tajnu, shvatite da će korisnici možda želeti da promene tajnu svog uređaja. Možda će biti potrebno da kreirate interfejs/distribuirate alatku da biste im to omogućili.

ID-ove tipa sesije
Tabela 1. ID-ove tipa sesije za end-to-end šifrovane sastanke

ID tipa sesije

Ime javnog servisa

638

Samo E2E šifrovanje+VoIP

652

Pro-End to End EVOIPonlyncryption_

660

Pro 3 Free-End to End EVOIPonlyncryption_

E2E šifrovanje + identitet

672

Pro 3 Free50-End to End EVOIPonlyncryption_

673

Instruktor obrazovanja E2E EVOIPonlyncryption_

676

Broadworks Standard plus kraj šifrovanja

677

Broadworks Premium plus kraj enkripcije

681

Schoology Free plus kraj enkripcije

Srodne xAPI komande

Ove tabele opisuju API komande Webex uređaja koje smo dodali za end-to-end šifrovane sastanke i provereni identitet. Više informacija o korišćenju API-ja potražite u članku Pristup API-u za Webex Room i Desk Devices i Webex Boards.

Ove xAPI komande su dostupne samo na uređajima koji su:

  • Registrovan na Webex

  • Registrovan u prostorijama i povezan sa Webex-om sa Webex Edge za uređaje

Sto 2. API-je na nivou sistema za end-to-end šifrovane sastanke i provereni identitet

API poziv

Opis

EndToEndŠifrovanje PreferredDomain identiteta: „example.com“

Ova konfiguracija se pravi kada administrator postavi željeni domen uređaja iz kontrolnog čvorišta. Neophodno samo ako organizacija ima više domena.

Uređaj koristi ovaj domen kada zahteva certifikat od Webex CA. Domen zatim identifikuje uređaj.

Ova konfiguracija nije primenljiva kada uređaj ima aktivan certifikat koji se izdaje spolja da bi se identifikovao.

Dostupnost šifrovanja za endToEndŠifrovanje konferencije xStatus

Označava da li uređaj može da se pridruži end-to-end šifrovanom sastanku. API u oblaku ga zove tako da uparena aplikacija zna da li može da koristi uređaj za pridruživanje.

xStatus EndToEndŠifrovanje ExternalIdentity Verification

Označava da li uređaj koristi spoljnu potvrdu (ima eksterno izdat sertifikat).

xStatus EndToEndŠifrovanje konferencije ExternalIdentity Identity

Identitet uređaja koji je pročitan iz zajedničkog imena certifikata koji izdaje spolja izdato.

xStatus Conference EndToEndŠifrovanje ExternalIdentity CertificateChain Certificate # specificinfo

Čita određene informacije iz certifikata koji je izdat spolja izdat.

U prikazanoj komandi zamenite # brojem sertifikata. Zamenite specifikacije nekim od:

  • Otisak prsta

  • Datum završetka Nije posle važenja

  • Datum početka nije valjanosti

  • PrimarnoName

  • PublicKeyAlgorithm

  • Serijski broj

  • Algoritam za potpis

  • Predmet # Ime Lista subjekata za sertifikat (npr. e-adresa ili ime domena)

  • Potvrda Pruža status potvrde identiteta ovog sertifikata (npr. važeći ili je istekao)

Status EndToEndŠifrovanje konferencije ExternalIdentity Status

Status spoljašnjeg identiteta uređaja (npr. važeći ili greška).

xStatus EndToEndŠifrovanje Interna potvrda identiteta za xStatus konferencije

Označava da li uređaj ima važeći certifikat koji izdaje Webex CA.

xStatus EndToEndŠifrovanje InternalIdentity Identity

Identitet uređaja koji je pročitan iz zajedničkog imena certifikata koji izdaje Webex.

Sadrži ime domena ako organizacija ima domen.

Prazna je ako organizacija nema domen.

Ako je uređaj u organizaciji koja ima više domena, ovo je vrednost sa ŽeljeniDomen.

xStatus Conference EndToEndŠifrovanje InternalIdentity CertificateChain Certificate # specificinfo

Čita određene informacije iz certifikata koji izdaje Webex.

U prikazanoj komandi zamenite # brojem sertifikata. Zamenite specifikacije nekim od:

  • Otisak prsta

  • Datum završetka Nije posle važenja

  • Datum početka nije valjanosti

  • PrimarnoName

  • PublicKeyAlgorithm

  • Serijski broj

  • Algoritam za potpis

  • Predmet # Ime Lista subjekata za sertifikat (npr. e-adresa ili ime domena)

  • Potvrda Pruža status potvrde identiteta ovog sertifikata (npr. važeći ili je istekao)

Sto 3. Pozivanje API-ja za end-to-end šifrovane sastanke i provereni identitet

API poziv

Opis

Lista učesnika konferencije xEventUčesnik konferencijeDodata

Lista učesnika konferencije xEventUčesnik listeAžurirana

Lista učesnika konferencije xEventUčesnik konferencijeIzbrisana

U ova tri događaja sada spadaju EndToEndEncryptionStatus, EndToEndEncryptionIdentity i EndToEndEncryptionCertInfo za pogođenog učesnika.

Sto 4. ClientSecret srodni API-jevi za end-to-end šifrovane sastanke i provereni identitet

API poziv

Opis

xCommand Security ClientSecret Populate Secret: "baza URL-kodiran"

ili

xCommand Security ClientSecret popunjava tajnu: ЈПОблуб

Prihvata osnovnu 64url kodiranu vrednost čistog teksta za zasejavanje tajne klijenta na uređaju po prvi put.

Da biste ažurirali tajnu nakon tog prvog puta, morate da obezbedite JWE grudvicu koja sadrži novu tajnu šifrovanu starom tajnom.

xCommand usluge bezbednosnih sertifikata Dodaj JWEblob

Dodaje certifikat (sa privatnim ključem).

Proširili smo ovu komandu da bismo prihvatili JWE blob koji sadrži šifrovane PEM podatke.

xCommand Security Certificates Aktiviraju Svrhu:WebexIdentity FingerPrint: ЈПОблуб

Aktivira određeni certifikat za WebexIdentity. U tu Svrhu, komanda zahteva da se identifikacioni otisak prsta šifruje i serijalizuje u JWE bloku.

xCommand Security Certificates Deaktiviraju Svrhu:WebexIdentity FingerPrint: ЈПОблуб

Deaktivira određeni certifikat za WebexIdentity. U tu Svrhu, komanda zahteva da se identifikacioni otisak prsta šifruje i serijalizuje u JWE bloku.