Open-Format-Profil Verschlüsselung; Aes-256-Cbc-Verschlüsselung - Cisco 7800-Serie Administratorhandbuch

Open-Format-Profil Verschlüsselung
Ein Tutorial zur Komprimierung steht im Abschnitt
Verfügung.
Open-Format-Profil Verschlüsselung
Die symmetrische Verschlüsselung kann verwendet werden, um ein Open-Format-Konfigurationsprofil zu
verschlüsseln, unabhängig davon, ob die Datei komprimiert ist. Die Komprimierung muss, soweit sie
angewendet wird, vor der Verschlüsselung durchgeführt werden.
Der Bereitstellungsserver verwendet HTTPS, um die anfängliche Bereitstellung des Telefons nach der
Einrichtung abzuwickeln. Die Offline-Vorverschlüsselung von Konfigurationsprofilen ermöglicht die
anschließende Verwendung von HTTP für die Resynchronisierung von Profilen. Dadurch wird die Belastung
des HTTPS-Servers in großen Bereitstellungen reduziert.
Das Telefon unterstützt zwei Methoden zur Verschlüsselung für Konfigurationsdateien:
• AES-256-CBC-Verschlüsselung
• RFC-8188-basierte HTTP-Inhaltsverschlüsselung mit AES-128-GCM-Schlüssel
Der Schlüssel oder das Input Keying Material (IKM) muss zuvor für das Gerät bereitgestellt worden sein.
Bootstrapping des Geheimschlüssels kann über HTTPS sicher erfolgen.
Der Konfigurationsdateiname erfordert kein bestimmtes Format, aber ein Dateiname, der mit der Erweiterung
.cfg endet, gibt normalerweise ein Konfigurationsprofil an.
AES-256-CBC-Verschlüsselung
Das Telefon unterstützt die AES-256-CBC-Verschlüsselung für Konfigurationsdateien.
Das OpenSSL-Verschlüsselungstool kann von verschiedenen Internetseiten heruntergeladen und für die
Verschlüsselung verwendet werden. Zur Unterstützung der 256-Bit-AES-Verschlüsselung ist möglicherweise
eine erneute Kompilierung des Tools zur Aktivierung des AES-Codes erforderlich. Die Firmware wurde mit
Version openssl-1.1.1d getestet.
Ein Profil mit OpenSSL verschlüsseln, auf Seite 77
Bei einer verschlüsselten Datei erwartet das Profil, dass die Datei dasselbe Format aufweist wie bei der
Generierung mit dem folgenden Befehl:
# example encryption key = SecretPhrase1234
openssl enc –e –aes-256-cbc –k SecretPhrase1234 –in profile.xml –out profile.cfg
# analogous invocation for a compressed xml file
openssl enc –e –aes-256-cbc –k SecretPhrase1234 –in profile.xml.gz –out profile.cfg
Ein kleingeschriebenes -k steht vor dem Geheimschlüssel; dies kann eine beliebige Nur-Text-Phrase sein und
wird verwendet, um einen 64-Bit-Zufallssalt zu generieren. Mit dem durch das -k-Argument angegeben
Geheimnis leitet das Verschlüsselungstool einen zufälligen 128-Bit-Anfangsvektor und den tatsächlichen
256-Bit-Verschlüsselungscode ab.
Wenn diese Form der Verschlüsselung in einem Konfigurationsprofil verwendet wird, muss das Telefon den
geheimen Schlüsselwert erhalten, um die Datei entschlüsseln zu können. Dieser Wert wird als Qualifizierer
in der URL für das Profil angegeben. Die Syntax lautet unter Verwendung einer expliziten URL wie folgt:
Administratorhandbuch für Multiplattform-Telefone der Cisco IP-Telefon 7800-Serie Version 11.3(1) und höher
100
Offenes Profil mit Gzip komprimieren, auf Seite 76
bietet ein Tutorial zur Verschlüsselung.
Bereitstellung Cisco IP-Telefon
zur