Sie können eigene Verschlüsselungsschlüssel für die Daten Ihrer Organisation verwenden, anstatt die Verschlüsselung von Google Workspace zu nutzen. Bei der clientseitigen Verschlüsselung von Google Workspace (Client-side Encryption, CSE) erfolgt die Verschlüsselung von Dateien im Clientbrowser, bevor sie im cloudbasierten Speicher von Google Drive gespeichert werden. So können die Google-Server nicht auf Ihre Verschlüsselungsschlüssel zugreifen und Ihre Daten daher nicht entschlüsseln. Weitere Informationen finden Sie unter Clientseitige Verschlüsselung.
Mit dieser API können Sie die Verschlüsselungsschlüssel der obersten Ebene zum Schutz Ihrer Daten mit einem benutzerdefinierten externen Schlüsseldienst verwalten. Nachdem Sie mit dieser API einen externen Schlüsseldienst erstellt haben, können sich Google Workspace-Administratoren damit verbinden und die clientseitige Verschlüsselung für ihre Nutzer aktivieren.
Wichtige Begriffe
Im Folgenden finden Sie eine Liste der häufig verwendeten Begriffe in der Google Workspace Client-side Encryption API:
- Clientseitige Verschlüsselung (Client-side Encryption, CSE)
- Verschlüsselung, die im Clientbrowser erfolgt, bevor die Daten im cloudbasierten Speicher gespeichert werden. So wird verhindert, dass der Speicheranbieter die Datei lesen kann. Weitere Informationen
- Key Access Control List Service (KACLS)
- Ihr externer Schlüsseldienst, der diese API verwendet, um den Zugriff auf Verschlüsselungsschlüssel zu steuern, die in einem externen System gespeichert sind.
- Identitätsanbieter (Identity Provider, IdP)
- Der Dienst, der Nutzer authentifiziert, bevor sie Dateien verschlüsseln oder auf verschlüsselte Dateien zugreifen können.
Verschlüsselung und Entschlüsselung
- Datenverschlüsselungsschlüssel (Data Encryption Key, DEK)
- Der Schlüssel, der von Google Workspace im Browserclient verwendet wird, um die Daten selbst zu verschlüsseln.
- Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK)
- Ein Schlüssel aus Ihrem Dienst, der zum Verschlüsseln eines Datenverschlüsselungsschlüssels (DEK) verwendet wird.
Zugriffssteuerung
- Access Control List (ACL)
- Eine Liste von Nutzern oder Gruppen, die eine Datei öffnen oder lesen können.
- JSON Web Token (JWT) für die Authentifizierung
- Bearertoken (JWT: RFC 7519), das vom Identitätsanbieter (IdP) ausgestellt wird, um die Identität eines Nutzers zu bestätigen.
- JSON Web Token (JWT) für die Autorisierung
- Bearertoken (JWT: RFC 7519), das von Google ausgestellt wird, um zu bestätigen, dass der Aufrufer berechtigt ist, eine Ressource zu verschlüsseln oder zu entschlüsseln.
- JSON Web Key Set (JWKS)
- Eine schreibgeschützte Endpunkt-URL, die auf eine Liste öffentlicher Schlüssel verweist, die zum Prüfen von JSON Web Tokens (JWT) verwendet werden.
- Perimeter
- Zusätzliche Prüfungen, die für die Authentifizierungs- und Autorisierungstokens im KACLS zur Zugriffssteuerung durchgeführt werden.
Prozess der clientseitigen Verschlüsselung
Nachdem ein Administrator die clientseitige Verschlüsselung für seine Organisation aktiviert hat, können Nutzer, für die die clientseitige Verschlüsselung aktiviert ist, verschlüsselte Dokumente mit den Tools für die Zusammenarbeit in Google Workspace wie Google Docs und Google Sheets erstellen oder Dateien verschlüsseln, die sie in Google Drive hochladen, z. B. PDFs.
Nachdem der Nutzer ein Dokument oder eine Datei verschlüsselt hat, geschieht Folgendes:
Google Workspace generiert im Clientbrowser einen DEK, um die Inhalte zu verschlüsseln.
Google Workspace sendet den DEK und die Authentifizierungstokens zur Verschlüsselung an Ihren KACLS eines Drittanbieters. Dazu wird eine URL verwendet, die Sie dem Administrator der Google Workspace-Organisation zur Verfügung stellen.
Ihr KACLS verschlüsselt den DEK mit dieser API und sendet den verschleierten, verschlüsselten DEK zurück an Google Workspace.
Google Workspace speichert die verschleierten, verschlüsselten Daten in der Cloud. Nur Nutzer mit Zugriff auf Ihren KACLS können auf die Daten zugreifen.
Weitere Informationen finden Sie unter Dateien verschlüsseln und entschlüsseln.
Nächste Schritte
- Informationen zum Konfigurieren Ihres Dienstes.
- Informationen zum Verschlüsseln und Entschlüsseln von Daten