É possível usar suas próprias chaves para criptografar os dados da sua organização, em vez de usar a criptografia fornecida pelo Google Workspace. Com a criptografia do lado do cliente (CSE) do Google Workspace, a criptografia de arquivos é processada no navegador do cliente antes de ser armazenada no armazenamento baseado na nuvem do Drive. Dessa forma, os servidores do Google não podem acessar suas chaves de criptografia e, portanto, não podem descriptografar seus dados. Para mais detalhes, consulte Sobre a criptografia do lado do cliente.
Essa API permite controlar as chaves de criptografia de nível superior que protegem seus dados com um serviço de chaves externo personalizado. Depois que você cria um serviço de chaves externo com essa API, os administradores do Google Workspace podem se conectar a ele e ativar a CSE para os usuários.
Terminologia importante
Veja abaixo uma lista de termos comuns usados na API Google Workspace Client-side Encryption:
- Criptografia do lado do cliente (CSE)
- A criptografia que é processada no navegador do cliente antes de ser armazenada no armazenamento baseado em nuvem. Isso protege o arquivo de ser lido pelo provedor de armazenamento. Saiba mais
- Serviço de lista de controle de acesso a chaves (KACLS, na sigla em inglês)
- O serviço de chaves externo que usa essa API para controlar o acesso às chaves de criptografia armazenadas em um sistema externo.
- Provedor de identidade (IdP)
- O serviço que autentica usuários antes que eles possam criptografar arquivos ou acessar arquivos criptografados.
Criptografia e descriptografia
- Chave de criptografia de dados (DEK, na sigla em inglês)
- A chave usada pelo Google Workspace no cliente do navegador para criptografar os dados.
- Chave de criptografia de chaves (KEK)
- Uma chave do serviço usada para criptografar uma chave de criptografia de dados (DEK, na sigla em inglês).
Controle de acesso
- Access Control List (ACL)
- Uma lista de usuários ou grupos que podem abrir ou ler um arquivo.
- JSON Web Token de autenticação (JWT)
- Token do portador (JWT: RFC 7516) emitido pelo parceiro de identidade (IdP, na sigla em inglês) para atestar a identidade de um usuário.
- Autorização JSON Web Token (JWT)
- Token do portador (JWT: RFC 7516) emitido pelo Google para verificar se o autor da chamada está autorizado a criptografar ou descriptografar um recurso.
- Conjunto de chaves da Web JSON (JWKS, na sigla em inglês)
- Um URL de endpoint somente leitura que aponta para uma lista de chaves públicas usadas para verificar JSON Web Tokens (JWT).
- Perímetro
- Verificações adicionais realizadas nos tokens de autenticação e autorização dentro do KACLS para controle de acesso.
Processo de criptografia do lado do cliente
Depois que um administrador ativa a CSE na organização, os usuários com a CSE ativada podem criar documentos criptografados usando as ferramentas de colaboração de conteúdo do Google Workspace, como Documentos e Planilhas, ou criptografar os arquivos enviados no Google Drive, como PDFs.
Depois que o usuário criptografar um documento ou arquivo:
O Google Workspace gera uma DEK no navegador do cliente para criptografar o conteúdo.
O Google Workspace envia a DEK e os tokens de autenticação ao KACLS de terceiros para criptografia, usando um URL fornecido ao administrador da organização do Google Workspace.
O KACLS usa essa API para criptografar a DEK, que por sua vez é enviada de volta para o Google Workspace, que é ofuscada e criptografada.
O Google Workspace armazena os dados criptografados e ofuscados na nuvem. Somente usuários com acesso ao seu KACLS podem acessar os dados.
Veja mais detalhes em Criptografar e descriptografar arquivos.
Próximas etapas
- Saiba como configurar o serviço.
- Saiba como criptografar e descriptografar dados.