Zero-Trust Security iz Webexa obezbeđuje end-to-end šifrovanje i snažnu proveru identiteta u planiranim i ličnim sastancima u sobi.
Korisnici biraju tip sastanka kada zakaže sastanak. Prilikom prijema učesnika iz čekaonice, kao i tokom sastanka, organizator može da vidi status potvrde identiteta svakog učesnika. Postoji i kôd sastanka koji je zajednički za sve aktuelne učesnike sastanka, koji mogu da koriste da bi potvrdili jedni druge.
Podelite sledeće informacije sa organizatorima sastanka:
Pridružite Webex sastanku pomoću end-to-End šifrovanja
Potvrdi identitet
End-to-end šifrovanje sa potvrdom identiteta pruža dodatnu bezbednost za sastanak sa end-to-end šifrovanjem.
Kada se učesnici ili uređaji pridruže deljenoj MLS (razmena poruka sloju bezbednosti), oni izlažu svoje sertifikate drugim članovima grupe, koji potom potvrde potvrde protiv izdavanja autoriteta za izdavanje sertifikata (CA). Potvrdom da su sertifikati važeći, CA potvrđuje identitet učesnika, a sastanak prikazuje učesnike/uređaje kao verifikovane.
Webex aplikacije potvrđuju svoj identitet u Webex skladištu identiteta, koje im dodeljuju oznaku za pristup kada potvrda identiteta uspe. Ako im je potreban sertifikat da bi potvrdili svoj identitet na sastanku sa end-to-end šifrovanjem, Webex CA im izda sertifikat na osnovu njihovog tokena za pristup. Trenutno ne pružamo način korisnicima da Webex Meetings dobiju sertifikat izdat od strane treće strane/spoljnog CA.
Uređaji mogu da potvrde svoj identitet koristeći sertifikat izdat internim (Webex) CA ili sertifikatu izdatom preko spoljnog CA:
Interni CA – Webex interni sertifikat na osnovu tokena za pristup mašinskog naloga uređaja. Sertifikat je potpisao Webex CA. Uređaji nemaju korisničke ID-ove na isti način na koji korisnici to koriste, tako da Webex na domene vaše organizacije koristi (jedan od) domena vaše organizacije prilikom pisanja identiteta sertifikata uređaja (Zajedničko ime (CN)).
Spoljni CA – zatražite i kupite sertifikate uređaja direktno od izabranog izdavača. Morate da šifrovanjete, direktno otpremite i odobrite sertifikate koristeći tajnu koja vam je poznata.
Cisco da nije umešan, pa je to način da se garantuje potpuno šifrovanje i verifikovani identitet i sprečava teoretska mogućnost da Cisco mogao da prisluškuje vaš sastanak/dešifrovanje medija.
Interno izdati sertifikat uređaja
Webex se sertifikat na uređaj kada se registruje nakon pokretanja i obnavlja ga po potrebi. Za uređaje, sertifikat sadrži ID naloga i domen.
Ako vaša organizacija nema domen, administrator Webex CA izdaje sertifikat bez domena.
Ako vaša organizacija ima više domena, možete koristiti Control Hub da biste Webex domene koje uređaj koristi za njegov identitet. Takođe možete da koristite API xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com"
.
Ako imate više domena i ne postavljate željeni domen za uređaj, onda Webex jedan za vas.
Spoljno izdati sertifikat uređaja
Administrator može da dodeli privilegije za uređaj sa sopstvenim sertifikatu koji je potpisan jednim od javnih CA-ova.
Sertifikat mora da se zasniva na ECDSA P-256 ključu, iako ga može potpisati RSA ključ.
Vrednosti u sertifikatu su po diskreciji organizacije. Zajedničko ime (CN) i alternativno ime subjekta (SAN) će biti prikazani u Webex sastanak korisnički interfejs, kao što je opisano u End-to-end šifrovanju sa potvrdom identiteta za Webex Meetings.
Preporučujemo da koristite zaseban sertifikat po uređaju i da imate jedinstveni CN po uređaju. Na primer, "meeting-room-1.example.com" za organizaciju koja je vlasnik domena "example.com".
Da biste u potpunosti zaštitili eksterni sertifikat od nelazivanja, koristi se funkcija tajna klijenta za šifrovanje i potpisivanje različitih xcommanda.
Kada koristite tajnu klijenta, moguće je bezbedno upravljati spoljnim Webex identitetom putem xAPI-ja. Ovo je trenutno ograničeno na uređaje na mreži.
Webex trenutno obezbeđuje API komande za upravljanje ovim.
Uređaji
Sledeće serije soba registrovanih u Webex sobama i uređajima serije Webex Desk mogu da se pridruže sastancima sa end-to-end šifrovanjem:
Webex Board
Webex Desk Pro
Webex Desk
Webex Komplet soba
Webex Room Kit Mini
Sledeći uređaji ne mogu da se pridruže sastancima sa end-to-end šifrovanjem:
Webex C serije
Webex DX serija;
Webex EX serije
Webex MX serije
SIP uređaji nezavisnih proizvođača
Klijenti softvera
Počeći od verzije 41.6, Webex Meetings klijent za radnu površinu može da se pridruži sastancima sa end-to-end šifrovanjem.
Ako vaša organizacija omogućava Webex aplikacija se pridruži sastancima pokretanjem aplikacije za radnu površinu Meetings, tada možete da koristite tu opciju za pridruživanje sastancima sa end-to-end šifrovanjem.
Veb Webex može da se pridruži sastancima sa end-to-end šifrovanjem.
SIP softverski klijenti nezavisnih proizvođača ne mogu da se pridruže sastancima sa end-to-end šifrovanjem.
Identitet
Dizajnom, ne pružamo opcije platforme Control Hub za upravljanje identitetom uređaja sa spoljno potvrđenim identitetom uređaja. Za potpuno šifrovanje, samo vi treba da znate/pristupite tajnama i ključevima. Ako smo predstavili uslugu oblaka za upravljanje tim ključevima, postoji mogućnost da ih presretnete.
Trenutno vam pružamo "recep" za dizajn sopstvenih alatki, na osnovu industrijsko standardne tehnike šifrovanja, koja će vam pomoći pri zahtevu ili šifrovanju sertifikata identiteta uređaja i njihovih privatnih ključeva. Ne želimo da imamo stvaran ili perveržan pristup vašim tajnama ili ključevima.
Sastanci
Sastanci sa end-to-end šifrovanjem trenutno podržavaju najviše 200 učesnika.
Od tih 200 učesnika, može da se pridruži najviše 25 spoljno potvrđenih uređaja, i oni moraju da budu prvi učesnici koji su se pridružili sastanku.
Kada se veći broj uređaja pridruži sastanku, naši pozadinski medijski usluge pokušavaju da prešifre medijske strimove. Ako ne možemo da dešifrovanje, transkripte i ponovo šifrovanje medija (zato što nemamo i ne treba da imamo ključeve za šifrovanje uređaja), onda transkodiranje neće uspeti.
Da biste umanjili ovo ograničenje, preporučujemo manje sastanke za uređaje ili da smanjete pozive između uređaja i Meetings klijenata.
Interfejs za upravljanje
Preporučujemo vam da koristite Control Hub za upravljanje lokacijom sastanka, jer organizacije Control Hub centralizuju identitet za celu organizaciju, administracija lokacije identitet se kontroliše na osnovu lokacije na lokaciji.
Korisnici kojima se upravlja administracija lokacije ne mogu da imaju Cisco identitet potvrđen. Ti korisnici su izdati anonimni sertifikat za pridruživanje sastanku sa end-to-end šifrovanjem i mogu biti izuzeti sa sastanaka na kojima organizator želi da osigura potvrdu identiteta.
Srodne informacije
Bezbednost bez pouzdanosti za Webex (bezbednosni tehnički papir): https://www.cisco.com/c/en/us/solutions/collateral/collaboration/white-paper-c11-744553.html
Cisco prezentacija uživo 2021 (potrebna Cisco registracija uživo): https://www.ciscolive.com/2021/learn/session-catalog.html?tab.digitalbundle=Anytime21&search.sessiontype=BRK&search.learningmap=1614364767910003wzD6#/session/16106298425360015zrh
JSON veb šifrovanje (JWE) (nacrt IETF standardno): https://datatracker.ietf.org/doc/html/rfc7516
Dokumentacija okrenuta korisniku: https://help.webex.com/5h5d8ab
Webex Meetings je 41,7.
Uređaji serije Webex i Webex Desk serije u oblaku, rade
10.6.1-RoomOS_August_2021
.Administrativni pristup uređaju lokacija sastanka na platformi Control Hub, da biste omogućili novi tip sesije za korisnike.
Jedan ili više potvrđenih domena u vašoj Control Hub organizaciji (ako koristite datoteku Webex CA za izdavanje sertifikata uređaja za provereni identitet).
Collaboration Meeting Rooms mora biti uključena da bi učesnici mogli da se pridruže iz njihovog video sistema. Više informacija potražite u članak Dozvoli video sistemima da se pridružuju sastancima i događajima na Webex sajt.
Ovaj korak možete da preskočite ako vam nisu potrebni identiteti sa eksterno potvrđenim identitetima.
Za najviši nivo bezbednosti i za potvrdu identiteta, svaki uređaj treba da ima jedinstveni sertifikat izdat od strane pouzdanog javnog Certificate Authority (CA).
Morate da obavljate interakciju sa CA da biste zatražili, kupili i primili digitalne sertifikate i kreirali povezane privatne ključeve. Kada zahtevate sertifikat, koristite ove parametre:
Sertifikat mora da izda i potpiše poznati javni CA.
Jedinstveni: Preporučujemo da koristite jedinstveni sertifikat za svaki uređaj. Ako koristite jedan sertifikat za sve uređaje, oštetićete svoju bezbednost.
Zajedničko ime (CN) i alternativno ime teme (SAN/s): Ove poruke nisu važne Webex, ali treba da budu vrednosti koje ljudi mogu da čitaju i povezuju sa uređajem. CN će se drugim učesnicima sastanka prikazati kao primarni potvrđen identitet uređaja, a ako korisnici provere sertifikat putem korisničkog korisničkog uputstva sastanka, videće SAN/s. Možda biste želeli da koristite imena kao što su
name.model@example.com
.Format datoteke: Sertifikati i ključevi moraju biti u
.pem
Format.Svrhu: Svrha sertifikata mora biti Webex identitetu.
Generisanje tastera: Sertifikati moraju da se zasniju na ECDSA P-256 ključnim parama (algoritam eliptičkog algoritma digitalnog potpisa zakrivenih pomoću P-256 krive).
Ovaj zahtev se ne prostire do ključa za potpisivanje. CA može da koristi RSA ključ za potpisivanje sertifikata.
Ovaj korak možete preskočiti ako ne želite da koristite eksterno potvrđen identitet sa uređajima.
Ako koristite nove uređaje, još uvek ih ne registrujte za Webex uređaje. Da biste osigurali, nemojte ih povezati sa mrežom u ovom trenutku.
Ako imate postojeće uređaje koje želite da nadogradite da biste koristili spoljno potvrđen identitet, morate da fabrički resetujete uređaje.
Sačuvajte postojeću konfiguraciju ako želite da je zadržite.
Zakažite prozor kada se uređaji ne koriste ili koristite fazni pristup. Obavestite korisnike o promenama koje mogu da očekuju.
Uverite se da je fizički pristup uređajima. Ako morate da pristupite uređajima preko mreže, imajte na umu da tajni putuju u formatu čistog teksta i da to unošite svoju bezbednost.
Kada dovršite ove korake, dozvolite video sistemima da se pridruže sastancima i događajima na Webex sajt.
Da biste osigurali da niko ne može da šifruje medije na uređaju, morate da šifrujete privatni ključ na uređaju. Dizajnirali smo API-je za uređaj koji će omogućiti upravljanje šifrovanim ključem i sertifikatu pomoću JSON veb šifrovanja (JWE).
Da bismo osigurali potpuno šifrovanje putem oblaka, ne možemo da budemo uključeni u šifrovanje i otpremanje sertifikata i ključa. Ako vam je potreban ovaj nivo bezbednosti, morate:
Zatražite svoje sertifikate.
Generišite ključne parove sertifikata.
Kreirajte (i zaštitite) početnu tajnu za svaki uređaj, da biste ušli u mogućnost šifrovanja uređaja.
Razvijte i održavajte svoj alat za šifrovanje datoteka pomoću JWE standarda.
Proces i (ne tajni) parametri koji su vam potrebni objašnjeni su u nastavku, kao i recept za praćenje alatki za razvoj izbora. Takođe obezbeđujemo neke podatke testiranja i rezultujuće JWE blobs, kao što očekujemo i koji će vam pomoći da potvrdite svoj proces.
Nepodržana implementacija reference pomoću funkcije Python3 i JWCrypto biblioteka je dostupna Cisco na zahtev.
Premestite i šifrujte sertifikat i ključ pomoću alatke i početne tajne uređaja.
Otpremite rezultujući JWE blob na uređaj.
Podesite svrhu šifrovanog sertifikata koji će se koristiti Webex identiteta i aktiviranje sertifikata.
(Preporučeno) Navedite interfejs za (ili distribuiraj) alatku kako biste omogućili korisnicima uređaja da promene početnu tajnu i zaštite svoje medije od vas.
Kako koristimo JWE format
Ovaj odeljak opisuje način na koji očekujemo da će JWE biti kreiran kao unos na uređaje, kako biste mogli da napravite sopstvenu alatku za kreiranje blobs iz sertifikata i ključeva.
Pogledajte JSON veb šifrovanje (JWE) https://datatracker.ietf.org/doc/html/rfc7516i JSON veb potpis (JWS) . https://datatracker.ietf.org/doc/html/rfc7515
Koristimo kompaktno serijsko povezivanje JSON dokumenta za kreiranje JWE blobs. Parametri koje treba da uključite prilikom kreiranja JWE blobs su:
HOZE zaglavlje (zaštićeno). U zaglavlje potpisivanja i šifrovanja JSON objekta morate da uključite sledeće parove vrednosti ključa:
"alg":"dir"
Direktni algoritam je jedini koji podržavamo za šifrovanje tovara i morate da koristite početnu tajnu klijenta uređaja.
"enc":"A128GCM"
ili"enc":"A256GCM"
Podržavamo ova dva algoritma šifrovanja.
"cisco-action": "add"
ili"cisco-action": "populate"
ili"cisco-action": "activate"
ili"cisco-action": "deactivate"
Ovo je ključ za preuzimanje i četiri vrednosti koje može da preuzme. Uveli smo ovaj ključ da bismo signalizirali svrhu šifrovanih podataka na ciljni uređaj. Vrednosti se imenuju po xAPI komandama na uređaju na kom koristite šifrovane podatke.
Nazvali smo ga
cisco-action
da biste umanjeli potencijalne sukobe sa budućim JWE proširenjima."cisco-kdf": { "version": "1", "salt": "base64URLEncodedRandom4+Bytes" }
Još jedan ključ vlasnika. Koristimo vrednosti koje pružate kao unose za derivaciju ključa na uređaju. /
version
mora biti1
(verzija naše funkcije za deriaktivaciju ključa). Vrednost zasalt
mora biti base64 URL-kodirani niz od najmanje 4 bajta, koji morate da izaberete nasumično.
JWE šifrovani ključ. Ovo polje je prazno. Uređaj ga deriљe iz početnog
ClientSecret
.Vektor JWE pokretanja. Morate da navedite base64url kodizovanog vektora za pokretanje radi dešifrovanje opterećenja. IV MORA biti nasumična vrednost od 12 bajta (koristimo AES-GCM porodicu za šifer, koja zahteva da IV dužine 12 bajta).
JWE AAD (dodatni podaci potvrđenog identiteta). Ovo polje morate da izostavite zato što nije podržano u kompaktno serijskom pokretanju.
JWE Ciphertext: Ovo je šifrovani korisni teret koji želite da zadržite u tajnosti.
Korisni teret MOŽE biti prazan. Na primer, da biste resetovati tajnu klijenta, potrebno je da je zamenite praznom vrednošću.
Postoje različite vrste korisnih podataka, u zavisnosti od toga šta pokušavate da uradite na uređaju. Različite xAPI komande očekuju različita korisna tereta i morate navesti svrhu tovara sa
cisco-action
ključ, na sledeći korak:Sa
"cisco-action":"populate"
cifrekst je noviClientSecret
.Sa "
"cisco-action":"add"
šifrovanje je PEM blob koji nosi sertifikat i njegov privatni ključ (uporedan).Sa "
"cisco-action":"activate"
šifertekst je otisak prsta (heksadecimalni prikaz sha-1) sertifikata koji aktiviramo za potvrdu identiteta uređaja.Sa "
"cisco-action":"deactivate"
šifertekst je otisak prsta (heksadecimalni prikaz sha-1) sertifikata koji deaktivirate iz upotrebe za potvrdu identiteta uređaja.
JWE oznaka za potvrdu identiteta: Ovo polje sadrži oznaku za potvrdu identiteta kako bi se utvrdio integritet čitavog JWE kompaktno serijskog blob-a
Kako odlažemo ključ za šifrovanje na ClientSecret
Nakon prvog stanovniљtva tajnog, ne prihvatamo ili ne izlaћemo tajnu kao obiиan tekst. Ovo sprečava potencijalne napade rečnika od strane nekoga ko može da pristupi uređaju.
Softver uređaja koristi tajnu klijenta kao unos funkcije derivacije ključa (kdf) i zatim koristi izvedeni ključ za dešifrovanje/šifrovanje sadržaja na uređaju.
Ono što ovo znači za vas je da vaša alatka za izradu JWE blobs-a mora da prati istu proceduru da biste odredili isti ključ za šifrovanje/dešifrovanje od tajne klijenta.
Uređaji koriste skript za derivaciju ključa (pogledajte https://en.wikipedia.org/wiki/Scrypt), sa sledećim parametrima:
CostFactor (N) je 32768
BlockSizeFactor (r) je 8
ParalelnostFactor (p) je 1
Salt je nasumični niz od najmanje 4 bajta; morate dostavljati isto
salt
prilikom navođenjacisco-kdf
Parametar.Dužine ključa su ili 16 bajta (ako izaberete AES-GCM 128 algoritam) ili 32 bajta (ako izaberete AES-GCM 256 algoritam)
Maksimalna memorijska kapa je 64 MB
Ovaj skup parametara je jedina konfiguracija skripte koja je kompatibilna sa funkcijom derivacije ključa na uređajima. Ovaj kdf na uređajima se naziva "version":"1"
, koja je jedina verzija koju trenutno uzima cisco-kdf
Parametar.
Primer 2016. je
Evo primera koji možete da sledite da biste proverili da li vaš JWE proces šifrovanja radi isto kao i proces koji smo kreirali na uređajima.
Primer scenarija je dodavanje PEM blob uređaju (imitiraju dodavanje sertifikata sa vrlo kratkom niskom umesto potpunog sertifikata + ključ). Tajna klijenta je, na primer, ossifrage
.
Izaberite šifrovanje. Ovaj primer koristi
A128GCM
(AES sa 128-bitnim tasterima u režimu Galoas kontrasta). Vaša alatka može da koristiA256GCM
ako vam se više sviđa.Izaberite soli (mora biti nasumičan niz od najmanje 4 bajta). Ovaj primer koristi (hex B)
E5 E6 53 08 03 F8 33 F6
. Base64url kodiranje sekvence da biste dobili5eZTCAP4M_Y
(uklonite baz64 posudu).Evo primera
scrypt
pozovite da biste kreirali sadržaj ključ za šifrovanje (cek):cek=scrypt(password="ossifrage", salt=4-byte-sequence, N=32768, r=8, p=1, keylength=16)
Izvedeni ključ treba da bude 16 bajta (hex) i to na sledeći naиen:
95 9e ba 6d d1 22 01 05 78 fe 6a 9d 22 78 ff ac
koji base64url šifruje nalZ66bdEiAQV4_mqdInj_rA
.Izaberite nasumični niz od 12 bajta koji će se koristiti kao vektor za pokretanje. Ovaj primer koristi (hex)
34 b3 5d dd 5f 53 7b af 2d 92 95 83
koji base64url šifruje naNLNd3V9Te68tkpWD
.Kreirajte zaglavlje HOE sa kompaktno serijskim prikazom (sledite isti redosled parametara koje ovde koristimo) a zatim ga base64url kodirajte:
{"alg":"dir","cisco-action":"add","cisco-kdf":{"salt":"5eZTCAP4M_Y","version":"1"},"enc":"A128GCM"}
Base64url kodirano HOE zaglavlje je
eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ9
Ovo će biti prvi element JWE blob.
Drugi element JWE blob je prazan, jer ne snabdevamo JWE ključ za šifrovanje.
Treći element JWE blob je vektor za pokretanje
NLNd3V9Te68tkpWD
.- Koristite JWE alatku za šifrovanje za izradu šifrovanog korisnog tereta i oznake. Na primer, nešifrovani korisni teret će biti lažni PEM blob
this is a PEM file
Parametri šifrovanja koje treba da koristite su:
Korisni teret je
this is a PEM file
Šifrovanje šifrovanja je AES 128 GCM
Base64url je kodirao HOE zaglavlje kao dodatne podatke sa potvrdom identiteta (AAD)
Base64url kodira šifrovano korisno opterećenje, što bi trebalo da rezultira
f5lLVuWNfKfmzYCo1YJfODhQ
Ovo je četvrti element (JWE Ciphertext) u JWE blob.
Base64url kodira oznaku koju ste proizveli u koraku 8, što bi trebalo da rezultira
PE-wDFWGXFFBeo928cfZ1Q
Ovo je peti element u JWE blob- u.
Uklonite pet elemenata JWE blob tačkama (JOSEheader.). IV.Ciphertext.Tag) da biste dobili:
eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q
Ako ste izneli iste osnovne 64url kodirane vrednosti koje ovde prikazujemo, koristeći sopstvene alatke, spremni ste da ih koristite za obezbeđivanje E2E šifrovanja i proverene identitete uređaja.
Ovaj primer zapravo neće funkcionisati, ali u principu vaš sledeći korak bi bio da koristite JWE blob koji ste kreirali iznad kao unos u xcommand na uređaju koji dodaje sertifikat:
xCommand Security Certificates Add
eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q
Tipovi sesija za sastanke sa nultim poverenjem dostupni su svim lokacijama za sastanke bez dodatnih troškova. Jedan od ovih tipova sesija se zove Pro-End to End Encryption_VOIPonly
. Ovo je ime javnog servisa koje možemo promeniti u budućnosti. Za trenutna imena tipova sesije pogledajte ID tipa sesije u odeljku Reference ovog članka.
Ne morate ništa da uradite da biste dobili ovu mogućnost za svoju lokaciju; potrebno je da dodelite novi tip sesije (takođe pod nazivom Privilegija sastanka) korisnicima. To možete da uradite pojedinačno putem korisničkog strana za konfigurisanje ili grupno pomoću CSV izvoza/uvoza.
1 | Prijavite se na portal Control Hub, a zatim pristupite stavci . | ||
2 | Kliknite na dugme Lokacije, odaberite Webex lokaciju za koju želite da promenite podešavanja, a zatim izaberite stavku Podešavanja. | ||
3 | U okviru Uobičajene postavke izaberite stavku Tipovi sesije. | ||
4 | Trebalo bi da vidite jedan ili više tipova sesije end-to-end šifrovanja. Pogledajte listu ID-ova tipa sesije u odeljku Reference ovog članka. Na primer, možete videti Pro-End to End Encryption_VOIPonly.
| ||
5 | Ako još uvek nemate novi tip sesije, obratite se svom Webex predstavniku. |
Šta je sledeće
Omogućite ovaj tip sesije / privilegiju sastanka nekim ili svim svojim korisnicima.
1 | Prijavite se na Control Hub i idite na " . |
2 | Izaberite opciju korisnički nalog ažurirate, a zatim izaberite stavku Sastanci. |
3 | U okviru stavke Postavke se primenjuju na padajući meni, izaberite lokacija sastanka ažurirati. |
4 | Označite polje pored " Pro-End to End Encryption_VOIPonly". |
5 | Zatvorite korisnička konfiguracija panel. |
6 | Ponovite za druge korisnike ako je potrebno. Da biste ovo dodelili mnogim korisnicima, koristite sledeću opciju, Omogućite E2E sastanke za više korisnika. |
1 | Prijavite se na portal Control Hub, a zatim pristupite stavci . | ||
2 | Izaberite stavku Lokacije, odaberite Webex sajt za koju želite da promenite podešavanja. | ||
3 | U odeljku Licence i korisnici kliknite na "Grupno upravljanje". | ||
4 | Kliknite na "Generiši izveštaj" i sačekajte dok pripremimo datoteku. | ||
5 | Kada datoteka bude spremna, kliknite na izvezi rezultate, a zatim preuzmite. (Morate ručno da zatvorite taj iskačući prozor nakon što kliknete Preuzmi.) | ||
6 | Otvorite preuzete CSV datoteka za uređivanje. Postoji red za svakog korisnika i | ||
7 | Za svakog korisnika koji želite da dodelite novi tip sesije, dodajte Referenca Webex CSV formatu datoteke sadrži detalje o svrhi i sadržaju CSV datoteka. | ||
8 | Otvorite tablu za konfiguraciju lokacije sastanka na platformi Control Hub.
| ||
9 | U odeljku Licence i korisnici kliknite na "Grupno upravljanje". | ||
10 | Kliknite na uvezi i izaberite uređeni CSV, a zatim kliknite na Uvezi. Sačekajte dok se datoteka otpremi. | ||
11 | Kada se uvoz završi, možete da kliknete na "Uvoz rezultati " da biste pregledali ako je bilo grešaka. | ||
12 | Idite na stranicu Korisnici i otvorite jednog od korisnika da biste potvrdili da imaju novi tip sesije. |
Vodeni žig možete dodati snimcima sastanka pomoću Webex Meetings Pro-End to End Encryption_VOIPonly
tip sesije, koji vam omogućava da identifikujete izvorni klijent ili uređaj neovlašćenih snimaka poverljivih sastanaka.
Kada je ova funkcija omogućena, zvuk sastanka sadrži jedinstveni identifikator za svakog klijenta ili uređaja koji učestvuje. Možete da otpremite audio snimke na Control Hub, koji zatim analiziraju snimak i traži jedinstvene identifikatore. Možete pogledati rezultate da biste videli koji izvorni klijent ili uređaj su snimili sastanak.
- Da bi se analizirala, snimak mora da bude AAC, MP3, M4A, WAV, MP4, AVI ili MOV datoteka ne veća od 500 MB.
- Snimak mora da bude duži od 100 sekundi.
- Možete samo da analizirate snimke za sastanke koje organizatori organizatori u vašoj organizaciji.
- Informacije o vodenom žigu se zadržavaju iste dužine trajanja kao i informacije o sastanku organizacije.
Dodaj audio vodene žigove na E2EE sastanke
- Prijavite se u Control Hub, a zatim u okviru odeljka Upravljanje izaberite Podešavanja organizacije.
- U odeljku Vodeni žigovi sastanka uključite opciju Dodaj audio vodeni žig.
Neko vreme nakon što se ovo uključi, korisnici zakazuju sastanke sa
Webex Meetings Pro-End to End Encryption_VOIPonly
tip sesije pogledajte opciju digitalnog vodenog žiga u odeljku "Bezbednost".
Otpremite i analizirajte vodeni sastanak
- U kontrolnom čvorištu, u okviru "Nadgledanje" izaberite stavku Rešavanje problema.
- Kliknite na analizu vodenih žigova.
- Pretražite sastanak ili izaberite sastanak na listi, a zatim kliknite na " Analiziraj".
- U prozoru "Analiziraj audio vodeni žig" unesite ime za analizu.
- (Opcionalno) Unesite namenu za analizu.
- Prevucite i otpustite audio datoteku da biste je analizirali ili kliknite na " Izaberi datoteku" za pregledanje audio datoteke.
- Kliknite na dugme Zatvori.
Kada se analiza završi, ona će se prikazati na listi rezultata na stranici Analyze watermark .
- Izaberite sastanak na listi da biste videli rezultate analize. Kliknite nada biste preuzeli rezultate.
Funkcije i ograničenja
Faktori uključeni u uspešno dekodiranje snimljenog vodenog žiga uključuju razdaljinu između uređaja za snimanje i zvučnika koji emituje zvuk, jačine zvuka, buke u okruženju itd. Naša tehnologija vodenog žiga ima dodatnu otpornost na šifrovanje više puta, kao što se može desiti kada se mediji dele.
Ova funkcija je dizajnirana da omogući uspešno dekodiranje identifikatora vodenog žiga u širokom ali razumnom skupu okolnosti. Naš cilj je da uređaj za snimanje, na primer mobilni telefon, koji leži na stolu u blizini lične krajnje tačke ili klijenta laptopa, uvek treba da kreira snimak koji za rezultat ima uspešnu analizu. Kako je uređaj sa snimkom uklonjen iz izvora ili je zaklonjen sluhom celog audio spektra, šanse za uspešnu analizu se smanjuju.
Da biste uspešno analizirali snimak, potreban je razuman snimak zvuka sastanka. Ako se zvuk sastanka snima na istom računaru koji hostuje klijent, ograničenja ne bi trebalo da se primenjuju.
Ako su vaši uređaji već priključeni u vašu organizaciju Control Hub i želite da koristite Webex CA za automatsko generisanje njihovih sertifikata za identifikovanje, ne morate da fabričko resetovanje uređaje.
Ova procedura bira koji domen uređaj koristi za identifikaciju i on je potreban samo ako imate više domena u svojoj Control Hub organizaciji. Ako imate više domena, preporučujemo da to uradite za sve uređaje koji imaju identitet "Cisco-verifikovan". Ako ne kažete Webex koji domen identifikuje uređaj, on se automatski bira i možda izgleda pogrešno na druge učesnike sastanka.
Pre nego što počnete
Ako vaši uređaji još uvek nisu priključeni, sledite registrujte uređaj da biste Cisco Webex koristite API ili lokalni veb Interfejs ili Oblak za priključivanje za board, Desk i Room Series. Takođe bi trebalo da potvrdite domen/s koji želite da koristite za identifikaciju uređaja u upravljanju domenima.
1 | Prijavite se na Control Hub i u okviru Upravljanje izaberite stavku Uređaji. |
2 | Izaberite uređaj da biste otvorili njegovu tablu za konfiguraciju. |
3 | Izaberite domen koji želite da koristite za identifikaciju ovog uređaja. |
4 | Ponovite za druge uređaje. |
Pre nego što počnete
Ti trebaš:
Da biste dobili CA potpisani sertifikat i privatni ključ, u
.pem
formatiranje, za svaki uređaj.Da biste pročitali temu "Proces razumevanja spoljnog identiteta za uređaje", u pripremite deo ovog članka.
Da biste pripremili JWE alatku za šifrovanje u vezi sa tamošnje informacijama.
Alatka za generisanje nasumičnih bajt sekvenci datih dužina.
Alatka za base64url kodiranje bajta ili teksta.
Jedan
scrypt
Implementaciju.Tajna reč ili fraza za svaki uređaj.
1 | Popunjavaj broj uređaja Prvi put kada popunjavate Uređaj ima svoju početnu tajnu. Ne zaboravi ovo, ja ću samo da ih pustim da prošetaju. ne možete ga povratiti i morate fabrički resetovati uređaj da biste počeli ponovo.
|
2 | Pridružite sertifikat i privatni ključ: |
3 | Kreirajte JWE blob da biste je koristili kao unos u komandu za dodavanje sertifikata: |
4 | Otvorite TShell na uređaju i pokrenite (više linija) i dodajte komandu:
|
5 | Proveri da li je sertifikat dodat pokretanjem Kopirajte otisak prsta novog sertifikata. |
6 | Aktivirajte sertifikat u svrhu Uređaj ima šifrovani, aktivan sertifikat izdat od CA-a, spreman da se koristi za identifikaciju sa end-to-end šifrovanjem Webex sastancima.
|
7 | Priključite uređaj svojoj control Hub organizaciji. |
1 | Zakažite sastanak ispravnog tipa (Webex Meetings "Pro-End to End Encryption_VOIPonly"). |
2 | Pridružite se sastanku kao organizator, od Webex Meetings klijenta. Pogledajte opciju Webex sastanku sa end-to-End šifrovanjem. |
3 | Pridružite se sastanku sa uređaja na kojem je potvrđen identitet Webex CA. |
4 | Kao organizator, potvrdite da se ovaj uređaj pojavljuje u čekaonici sa pravilnom ikonošcu identiteta. Pogledajte opciju Webex sastanku sa end-to-End šifrovanjem. |
5 | Pridružite se sastanku sa uređaja na kojima je spoljni CA potvrdio identitet. |
6 | Kao organizator, potvrdite da se ovaj uređaj pojavljuje u čekaonici sa pravilnom ikonošcu identiteta. Saznajte više o ikonama identiteta. |
7 | Pridružite se sastanku kao učesnik sastanka bez potvrđenog identiteta. |
8 | Kao organizator, potvrdite da se ovaj učesnik pojavljuje u čekaonici sa pravilnom ikonošcu identiteta. |
9 | Kao organizator, primite ili odbijte osobe /uređaje. |
10 | Potvrdite identitete učesnika/uređaja gde je to moguće proverom sertifikata. |
11 | Proverite da li svi na sastanku vide isti bezbednosni kôd sastanka. |
12 | Pridružite se sastanku sa novim učesnikom. |
13 | Proverite da li svi vide isti, novi bezbednosni kôd za sastanak. |
Učinićete sastanke sa end-to-end šifrovanjem kao podrazumevanu opciju sastanka ili ćete ga omogućiti samo za neke korisnike ili dozvoliti svim organizatorima da odluče? Kada odlučite kako ćete koristiti ovu funkciju, pripremite korisnike koji će je koristiti, naročito u pogledu ograničenja i onoga što očekujete na sastanku.
Da li treba da osigurate da ni Cisco niti bilo ko drugi ne može da dešifruju vaš sadržaj ili da se predstavlja kao vaši uređaji? U ukoliko je to potrebno, potrebni su vam sertifikati iz javnog CA. Možda imate samo 25 uređaja u bezbednom sastanku. Ako vam je potreban ovaj nivo bezbednosti, ne bi trebalo da dozvoljavate klijentima sastanaka da se pridruže.
Za korisnike koji se pridružuju bezbednim uređajima, dozvolite uređajima da se prvo pridruže i podesite korisnička očekivanja da oni možda neće moći da se pridruže ako se pridruže kasnije.
Ako imate različite nivoe potvrde identiteta, podstiču korisnike da se potvrde identitetom putem sertifikata i bezbednosnim kodom za sastanak. Iako postoje okolnosti u kojima se učesnici mogu pojaviti kao Nepotvrđeni, a učesnici bi trebalo da znaju kako da provere, nepotvrđeni ljudi možda neće biti impostori.
Ako koristite spoljni CA za izdavanje certifikata uređaja, onus je na vama da nadgledate, osvežavate i ponovo prijavite sertifikate.
Ako ste kreirali početnu tajnu, shvatite da korisnici možda žele da promene tajnu svog uređaja. Možda ćete morati da kreirate interfejs/distribuirate alatku da biste im omogućili to.
ID tipa sesije | Ime javne usluge |
---|---|
638 | Samo E2E šifrovanje+VoIP samo |
652 | Pro-End to End Encryption_VOIPonly |
660 | Pro 3 free-End to End Encryption_VOIPonly E2E šifrovanje + identitet |
672 | Pro 3 Free50-End to End Encryption_VOIPonly |
673 | Instruktor obrazovanja E2E Encryption_VOIPonly |
676 | Broadworks standardni plus end to end šifrovanje |
677 | Broadworks premijum plus end to end šifrovanje |
681 | Besplatna škola i završenje šifrovanja |
Ove tabele opisuju Webex API komande uređaja koje smo dodali za sastanke sa end-to-end šifrovanjem i potvrđen identitet. Za više informacija o tome kako da koristite API, pogledajte pristup API-u za Webex Room i Desk Uređaje i Webex boards.
Ove xAPI komande su dostupne samo na uređajima koji su:
Registrovano za Webex
Registrovani u objektu i povezani Webex sa Webex Edge za uređaje
API poziv | Opis |
---|---|
| Ova konfiguracija se napravljena kada administrator postavi željeni domen uređaja iz Control Hub. Neophodno je samo ako organizacija ima više od jednog domena. Uređaj koristi ovaj domen kada zahteva sertifikat sa liste Webex CA. Domen zatim identifikuje uređaj. Ova konfiguracija nije primenljiva kada uređaj ima aktivan, eksterno izdat sertifikat za identifikaciju. |
| Označava da li uređaj može da se pridruži sastanku sa end-to-end šifrovanjem. API na oblaku ga poziva tako da uparena aplikacija zna da li može da koristi uređaj za pridruživanje. |
| Označava da li uređaj koristi |
| Identitet uređaja koji je pročitan iz zajedničkog imena sertifikata spoljnog izdavanja. |
| Čita određene informacije sa eksterno izdatog sertifikata. U prikazanoj komandi zameni
|
| Status spoljnog identiteta uređaja (npr. |
| Označava da li uređaj ima važeći sertifikat izdat od strane Webex CA. |
| Identitet uređaja koji je pročitan iz zajedničkog imena Webex izdatog sertifikata. Sadrži naziv domena li organizacija ima domen. Je prazno ako organizacija nema domen. Ako se uređaj nalazi u organizaciji koja ima više domena, ovo je vrednost iz |
| Čita određene informacije sa Webex izdatog sertifikata. U prikazanoj komandi zameni
|
API poziv | Opis |
---|---|
| Ova tri događaja sada obuhvataju |
API poziv | Opis |
---|---|
ili
| Prihvata base64url kodovanu vrednost čistog teksta za označavanje tajne klijenta na uređaju po prvi put. Da biste ažurirali tajnu nakon toga prvog puta, morate da dostavite JWE blob koja sadrži novu tajnu šifrovanu starom tajnom. |
| Dodaje sertifikat (sa privatnim ključem). Produžili smo ovu komandu da prihvatimo JWE blob koji sadrži šifrovane PEM podatke. |
| Aktivira određeni sertifikat za WebexIdentity. Za ovo |
| Deaktivirate određeni sertifikat za WebexIdentity. Za ovo |