क्लाइंट-साइड एन्क्रिप्शन के लिए, पसंद के मुताबिक कुंजी मैनेज करने वाली सेवा बनाएं

Google Workspace की ओर से उपलब्ध कराए गए एन्क्रिप्शन (सुरक्षित रखने का तरीका) का इस्तेमाल करने के बजाय, अपने संगठन के डेटा को एन्क्रिप्ट करने के लिए, एन्क्रिप्ट करने वाली अपनी कुंजियों का इस्तेमाल किया जा सकता है. Google Workspace की क्लाइंट-साइड एन्क्रिप्शन (सीएसई) सुविधा के तहत, फ़ाइल को क्लाइंट के ब्राउज़र में एन्क्रिप्ट (सुरक्षित) किया जाता है. इसके बाद, उसे Drive के क्लाउड-आधारित स्टोरेज में सेव किया जाता है. इस तरह, Google के सर्वर आपकी एन्क्रिप्शन कुंजियों को ऐक्सेस नहीं कर सकते. इसलिए, वे आपके डेटा को डिक्रिप्ट नहीं कर सकते. ज़्यादा जानकारी के लिए, क्लाइंट-साइड एन्क्रिप्शन के बारे में जानकारी लेख पढ़ें.

इस एपीआई की मदद से, टॉप-लेवल की उन एन्क्रिप्शन कुंजियों को कंट्रोल किया जा सकता है जो आपके डेटा को सुरक्षित रखती हैं. इसके लिए, आपको कुंजी मैनेज करने वाली बाहरी सेवा का इस्तेमाल करना होगा. इस एपीआई की मदद से, कुंजी मैनेज करने वाली बाहरी सेवा बनाने के बाद, Google Workspace एडमिन इससे कनेक्ट कर सकते हैं. साथ ही, अपने उपयोगकर्ताओं के लिए सीएसई (क्लाइंट-साइड एन्क्रिप्शन) की सुविधा चालू कर सकते हैं.

अहम शब्दावली

Google Workspace Client-side Encryption API में इस्तेमाल होने वाले सामान्य शब्दों की सूची यहां दी गई है:

क्लाइंट-साइड एन्क्रिप्शन (सीएसई)
क्लाइंट के ब्राउज़र में एन्क्रिप्शन की प्रोसेस पूरी होने के बाद ही, डेटा को क्लाउड-आधारित स्टोरेज में सेव किया जाता है. इससे फ़ाइल को स्टोरेज प्रोवाइडर से सुरक्षित रखने में मदद मिलती है. ज़्यादा जानें
कुंजी के ऐक्सेस को कंट्रोल करने वाली सेवा (केएसीएलएस)
कुंजी मैनेज करने वाली बाहरी सेवा, जो इस एपीआई का इस्तेमाल करके बाहरी सिस्टम में सेव की गई एन्क्रिप्शन कुंजियों के ऐक्सेस को कंट्रोल करती है.
आइडेंटिटी प्रोवाइडर (आईडीपी)
यह सेवा, उपयोगकर्ताओं की पुष्टि करती है. इसके बाद ही, वे फ़ाइलों को एन्क्रिप्ट (सुरक्षित) कर पाते हैं या एन्क्रिप्ट की गई फ़ाइलों को ऐक्सेस कर पाते हैं.

एन्क्रिप्शन और डिक्रिप्शन

डेटा एन्क्रिप्शन की (डीईके)
Google Workspace, ब्राउज़र क्लाइंट में इस कुकी का इस्तेमाल डेटा को एन्क्रिप्ट (सुरक्षित) करने के लिए करता है.
की एन्क्रिप्शन की (केईके)
आपकी सेवा की ऐसी कुंजी जिसका इस्तेमाल, डेटा एन्क्रिप्शन की (डीईके) को एन्क्रिप्ट यानी सुरक्षित करने के लिए किया जाता है.

ऐक्सेस कंट्रोल

ऐक्सेस कंट्रोल लिस्ट (एसीएल)
उन उपयोगकर्ताओं या ग्रुप की सूची जिनके पास किसी फ़ाइल को खोलने या पढ़ने की अनुमति है.
Authentication JSON Web Token (JWT)
बियरर टोकन (JWT: RFC 7516) यह टोकन, आइडेंटिटी पार्टनर (आईडीपी) जारी करता है. इससे उपयोगकर्ता की पहचान की पुष्टि की जाती है.
Authorization JSON Web Token (JWT)
बेयरर टोकन (JWT: RFC 7516) Google इसे जारी करता है. इससे यह पुष्टि की जाती है कि कॉलर के पास किसी संसाधन को एन्क्रिप्ट (सुरक्षित) या डिक्रिप्ट (सुरक्षित नहीं) करने का अधिकार है.
JSON वेब कुंजी सेट (जेडब्ल्यूकेएस)
यह सिर्फ़ पढ़ने के लिए उपलब्ध एंडपॉइंट यूआरएल है. यह सार्वजनिक कुंजियों की सूची की ओर इशारा करता है. इन कुंजियों का इस्तेमाल, JSON वेब टोकन (JWT) की पुष्टि करने के लिए किया जाता है.
परिमाप
ऐक्सेस कंट्रोल के लिए, KACLS में पुष्टि करने और अनुमति देने वाले टोकन की अतिरिक्त जांच की जाती है.

क्लाइंट-साइड एन्क्रिप्शन की प्रोसेस

जब कोई एडमिन अपने संगठन के लिए सीएसई की सुविधा चालू करता है, तब जिन उपयोगकर्ताओं के लिए सीएसई की सुविधा चालू की गई है वे एन्क्रिप्ट (सुरक्षित) किए गए दस्तावेज़ बना सकते हैं. इसके लिए, Google Workspace के कॉन्टेंट बनाने से जुड़े टूल इस्तेमाल किए जा सकते हैं. जैसे, Docs और Sheets. इसके अलावा, वे Google Drive पर अपलोड की गई फ़ाइलों को भी एन्क्रिप्ट (सुरक्षित) कर सकते हैं. जैसे, PDF.

किसी दस्तावेज़ या फ़ाइल को एन्क्रिप्ट (सुरक्षित) करने के बाद:

  1. Google Workspace, क्लाइंट के ब्राउज़र में एक DEK जनरेट करता है, ताकि कॉन्टेंट को एन्क्रिप्ट (सुरक्षित) किया जा सके.

  2. Google Workspace, एन्क्रिप्शन के लिए डीईके और पुष्टि करने वाले टोकन को आपके तीसरे पक्ष के KACLS को भेजता है. इसके लिए, वह उस यूआरएल का इस्तेमाल करता है जिसे आपने Google Workspace संगठन के एडमिन को दिया है.

  3. आपका KACLS इस एपीआई का इस्तेमाल करके, डीईके को एन्क्रिप्ट (सुरक्षित) करता है. इसके बाद, वह Google Workspace को धुंधला किया गया और एन्क्रिप्ट (सुरक्षित) किया गया डीईके वापस भेजता है.

  4. Google Workspace, क्लाउड में धुंधला किया गया और एन्क्रिप्ट (सुरक्षित) किया गया डेटा सेव करता है. सिर्फ़ वे उपयोगकर्ता डेटा ऐक्सेस कर सकते हैं जिनके पास आपके KACLS का ऐक्सेस है.

ज़्यादा जानकारी के लिए, फ़ाइलों को एन्क्रिप्ट (सुरक्षित) और डिक्रिप्ट (सुरक्षा हटाना) करना लेख पढ़ें.

अगले चरण