Chiffrement AES-256-CBC
• Chiffrement du contenu HTTP en fonction de RFC-8188 avec un chiffrement AES-128-GCM
La clé ou information de saisie de clé (IKM) doit être mise à disposition par avance dans l'unité à une heure
antérieure. Le démarrage de la clé secrète peut être réalisé en toute sécurité à l'aide de HTTPS.
Le nom de fichier final ne nécessite pas un format spécifique, mais un nom de fichier se terminant par l'extension
.cfg indique normalement un profil de configuration.
Chiffrement AES-256-CBC
Le téléphone prend en charge le chiffrement AES-256-CBC pour les fichiers de configuration.
L'outil de chiffrement OpenSSL, disponible en téléchargement à partir de différents sites Internet, peut effectuer
le chiffrement. La prise en charge pour le chiffrement AES 256 bits peut nécessiter la recompilation de l'outil
pour activer le code AES. Le micrologiciel a été testé par rapport à la version openssl-1.1.1d.
Chiffrer un profil avec OpenSSL, on page 86
Pour un fichier chiffré, le profil prévoit que le fichier aura le format généré par la commande suivante :
# example encryption key = SecretPhrase1234
openssl enc –e –aes-256-cbc –k SecretPhrase1234 –in profile.xml –out profile.cfg
# analogous invocation for a compressed xml file
openssl enc –e –aes-256-cbc –k SecretPhrase1234 –in profile.xml.gz –out profile.cfg
Un -k minuscule précède la clé secrète, qui peut être n'importe quelle phrase en texte non chiffré, et qui est
utilisée pour générer une racine 64 bits aléatoire. Avec le mot de passe spécifié par l'argument -k, l'outil de
chiffrement dérive un vecteur initial aléatoire 128 bits et la clé de chiffrement 256 bits réelle.
Lorsque cette forme de chiffrement est utilisée sur un profil de configuration, le téléphone doit connaître la
valeur de la clé secrète pour déchiffrer le fichier. Cette valeur est spécifiée comme un identificateur dans
l'URL du profil. La syntaxe est la suivante, à l'aide d'une URL explicite :
[--key "SecretPhrase1234"] http://prov.telco.com/path/profile.cfg
Cette valeur est programmée en appliquant l'un des paramètres Profile_Rule.
Extension macro
Plusieurs paramètres de mise à disposition font l'objet d'une expansion de macro interne avant d'être évalués.
Cette étape de pré-évaluation donne une plus grande souplesse de contrôle des activités de resynchronisation
et de mise à niveau du téléphone.
Ces groupes de paramètres font l'objet d'expansion de macro avant l'évaluation :
• Resync_Trigger_*
• Profile_Rule*
• Log_xxx_Msg
• Upgrade_Rule
Guide de l'administration du téléphone multiplateformes IP Cisco série 8800, relatif à la version 11.3(1) et ultérieures du micrologiciel
108
Mise à disposition du téléphone IP Cisco
propose un didacticiel sur le chiffrement.