Cifrado de perfil abierto
Cifrado de perfil abierto
El cifrado de clave simétrica se puede utilizar para cifrar un perfil de configuración abierto, independientemente
de que el archivo esté comprimido o no. La compresión, si se aplica, debe aplicarse antes del cifrado.
El servidor de aprovisionamiento utiliza HTTPS para gestionar el aprovisionamiento inicial del teléfono
después de la implementación. El cifrado previo de los perfiles de configuración sin conexión permite el uso
de HTTP para resincronizar los perfiles posteriormente. Esto reduce la carga en el servidor HTTPS en
implementaciones a gran escala.
El teléfono admite dos métodos de cifrado para los archivos de configuración:
• Cifrado AES-256-CBC
• Cifrado de contenido HTTP basado en RFC 8188 con cifrado AES-128-GCM
La clave o Input Keying Material (IKM) (Material de Claves de Entrada) debe suministrarse previamente en
la unidad. El Bootstrap de la clave secreta se puede llevar a cabo de manera segura mediante HTTPS.
El nombre del archivo de configuración no requiere un formato específico, pero un nombre de archivo que
finaliza con la extensión .cfg en general indica un perfil de configuración.
AES-256-CBC Encryption (Cifrado AES-256-CBC)
El teléfono es compatible con el cifrado AES-256-CBC para los archivos de configuración.
La herramienta de cifrado OpenSSL, disponible para su descarga desde varios sitios de Internet, puede realizar
el cifrado. Es posible que el cifrado AES de 256 bits requiera la recopilación de la herramienta para activar
el código AES. El firmware se ha probado en la versión openssl-0.9.7 c.
Cifrado de un perfil con OpenSSL, en la página 68
Para un archivo cifrado, el perfil espera que el archivo tenga el mismo formato que el que genera el siguiente
comando:
# example encryption key = SecretPhrase1234
openssl enc –e –aes-256-cbc –k SecretPhrase1234 –in profile.xml –out profile.cfg
# analogous invocation for a compressed xml file
openssl enc –e –aes-256-cbc –k SecretPhrase1234 –in profile.xml.gz –out profile.cfg
Una -k minúscula precede a la clave secreta, que puede ser cualquier frase de texto normal y que se utiliza
para generar un valor salt aleatorio de 64 bits. Con la clave secreta especificada por el argumento -k, la
herramienta de cifrado deriva un vector inicial aleatorio de 128 bits y la clave de cifrado real de 256 bits.
Cuando se utiliza esta forma de cifrado en un perfil de configuración, se debe informar al teléfono del valor
de la clave secreta para descifrar el archivo. Este valor se especifica como calificador en la URL del perfil.
Si se utiliza una URL explícita, la sintaxis es la siguiente:
[--key "SecretPhrase1234"] http://prov.telco.com/path/profile.cfg
Este valor se programa mediante uno de los parámetros de Profile_Rule (Regla_Perfil).
Guía de administración de los teléfonos IP multiplataforma de la serie 7800 de Cisco para la versión 11.3(1) y versiones posteriores
88
Aprovisionamiento del Teléfono IP de Cisco
proporciona un tutorial sobre el cifrado.