Cifrado de perfil abierto
Cifrado de perfil abierto
Puede utilizarse el cifrado de claves simétricas para cifrar un perfil de configuración abierto, independientemente
de si el archivo está comprimido. Compresión, si se aplica, se debe aplicar antes del cifrado.
El servidor de aprovisionamiento utiliza HTTPS para gestionar el aprovisionamiento inicial del teléfono tras
la implementación. El cifrado previo de los perfiles de configuración fuera de línea permite el uso de HTTP
para resincronizar perfiles. Esto reduce la carga en el servidor HTTPS en las implementaciones a gran escala.
El teléfono admite dos métodos de cifrado de archivos de configuración:
• Cifrado AES-256-CBC
• Cifrado de contenido HTTP basado en RFC 8188 con cifrado AES-128-GCM
La clave o Input Keying Material (IKM) se debe aprovisionar previamente en la unidad. La secuencia de
inicio de la clave puede lograrse de forma segura mediante HTTPS.
El nombre de archivo final no necesita un formato específico, pero un nombre de archivo que termina con la
extensión .cfg suele indicar un perfil de configuración.
Cifrado AES-256-CBC
El teléfono admite el cifrado AES-256-CBC de archivos de configuración.
La herramienta de cifrado OpenSSL disponible para su descarga en varios sitios de Internet, puede realizar
el cifrado. La compatibilidad con cifrado AES de 256 bits puede requerir la recopilación de la herramienta
para habilitar el código AES. El firmware se ha probado con la versión openssl-1.1.1d.
Cifrado de un perfil con OpenSSL, en la página 79
Para un archivo cifrado, el perfil espera que el archivo tenga el mismo formato que el generado por el comando
siguiente:
# example encryption key = SecretPhrase1234
openssl enc –e –aes-256-cbc –k SecretPhrase1234 –in profile.xml –out profile.cfg
# analogous invocation for a compressed xml file
openssl enc –e –aes-256-cbc –k SecretPhrase1234 –in profile.xml.gz –out profile.cfg
-k en minúsculas precede la clave secreta, que puede ser cualquier frase de texto sin formato y que se utiliza
para generar una sal aleatoria de 64 bits. Con el secreto especificado por el argumento -k, la herramienta de
cifrado obtiene un vector inicial de 128 bits aleatorio y la clave de cifrado de 256 bits real.
Cuando se usa este método de cifrado de un perfil de configuración, se debe informar al teléfono del valor de
la clave secreta para descifrar el archivo. Este valor se especifica como calificador en la URL de perfil. La
sintaxis es la siguiente, mediante una dirección URL explícita:
[--key "SecretPhrase1234"] http://prov.telco.com/path/profile.cfg
Este valor se programa con uno de los parámetros de Profile_Rule.
Guía de administración de los teléfonos IP multiplataforma de la serie 7800 de Cisco para la versión de firmware 11.3(1) y posteriores
102
Aprovisionamiento del teléfono IP de Cisco
proporciona un tutorial sobre el cifrado.