Benutzerdefinierten Schlüsseldienst für clientseitige Verschlüsselung erstellen

Sie können Ihre eigenen Verschlüsselungsschlüssel verwenden, um die Daten Ihrer Organisation zu verschlüsseln. statt der Verschlüsselung von Google Workspace zu verwenden. Bei der clientseitigen Verschlüsselung (Client-side Encryption, CSE) von Google Workspace erfolgt die Dateiverschlüsselung in der bevor sie im cloudbasierten Speicher von Drive gespeichert werden. Auf diese Weise Google-Server haben keinen Zugriff auf Ihre Verschlüsselungsschlüssel und können sie daher nicht entschlüsseln Ihre Daten. Weitere Informationen finden Sie unter Clientseitige Verschlüsselung

Mit dieser API können Sie die Verschlüsselungsschlüssel der obersten Ebene steuern, die Ihre Daten schützen mit einem benutzerdefinierten externen Schlüsseldienst. Nachdem Sie einen externen Schlüsseldienst erstellt haben können Google Workspace-Administratoren eine Verbindung zu ihr herstellen und die clientseitige Verschlüsselung aktivieren. für ihre Nutzenden zu verbessern.

Wichtige Terminologie

Nachfolgend finden Sie eine Liste häufig verwendeter Begriffe in der Google Workspace Client-side Encryption API:

Clientseitige Verschlüsselung
Verschlüsselung, die im Clientbrowser vor der Speicherung in cloudbasierten Speichers nutzen. Dadurch wird die Datei vor dem Lesen durch den Speicher geschützt. Dienstanbieter. Weitere Informationen
Key Access Control List Service (KACLS)
Ihr externer Schlüsseldienst, der diese API verwendet, um den Zugriff auf die Verschlüsselung zu steuern Schlüssel, die in einem externen System gespeichert sind.
Identitätsanbieter (Identity Provider, IdP)
Der Dienst, der Nutzer authentifiziert, bevor sie Dateien verschlüsseln oder auf sie zugreifen können die verschlüsselten Dateien enthält.

Verschlüsselung und Entschlüsselung

Datenverschlüsselungsschlüssel (Data Encryption Key, DEK)
Der Schlüssel, der von Google Workspace im Browserclient zum Verschlüsseln der Daten verwendet wird selbst.
Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK)
Ein Schlüssel von Ihrem Dienst, der zum Verschlüsseln eines Datenverschlüsselungsschlüssels (Data Encryption Key, DEK) verwendet wird.

Zugriffssteuerung

Access Control List (ACL)
Eine Liste von Nutzern oder Gruppen, die eine Datei öffnen oder lesen können.
JSON-Webtoken (JWT) für die Authentifizierung
Inhabertoken (JWT: RFC 7516) ausgestellt werden, um die Identität eines Nutzers zu bestätigen.
Autorisierungs-JSON-Webtoken (JWT)
Inhabertoken (JWT: RFC 7516) wird von Google ausgestellt, um zu überprüfen, ob der Aufrufer autorisiert ist, eine Ressource zu verschlüsseln oder zu entschlüsseln.
JSON-Webschlüsselsatz (JWKS)
Eine schreibgeschützte Endpunkt-URL, die auf eine Liste öffentlicher Schlüssel für die Überprüfung verweist JSON-Webtokens (JWT).
Umfang
Zusätzliche Prüfungen der Authentifizierungs- und Autorisierungstokens im KACLS für die Zugriffssteuerung.

Clientseitiger Verschlüsselungsprozess

Nachdem ein Administrator die clientseitige Verschlüsselung für seine Organisation aktiviert hat, können Nutzer, für die die clientseitige Verschlüsselung aktiviert ist, können verschlüsselte Dokumente mit der Google Workspace-Version Tools für die gemeinsame Erstellung von Inhalten wie Google Docs und Google Tabellen oder das Verschlüsseln von Dateien die sie in Google Drive hochladen, z. B. PDF-Dateien.

Nachdem der Nutzer ein Dokument oder eine Datei verschlüsselt hat:

  1. Google Workspace generiert im Clientbrowser einen DEK, um den Inhalte.

  2. Google Workspace sendet den DEK und die Authentifizierungstokens an den Drittanbieter. KACLS zur Verschlüsselung mit einer URL, die Sie im Administrator der Google Workspace-Organisation.

  3. Ihr KACLS verwendet diese API, um den DEK zu verschlüsseln, und sendet dann den verschleierten verschlüsselten DEK zurück zu Google Workspace.

  4. Google Workspace speichert die verschleierten, verschlüsselten Daten in der Cloud. Nur Nutzer mit Zugriff auf Ihre KACLS können auf die Daten zugreifen.

Weitere Informationen finden Sie im Hilfeartikel Dateien verschlüsseln und entschlüsseln.

Nächste Schritte