Esta página foi traduzida pela API Cloud Translation.

Criar um serviço de chaves personalizado para usar a criptografia do lado do cliente

Você pode usar suas próprias chaves para criptografar os dados da organização. em vez de usar a criptografia do Google Workspace. Com a criptografia do lado do cliente (CSE) Google Workspace, a criptografia de arquivos é processada no navegador do cliente antes de serem armazenados no armazenamento baseado em nuvem do Drive. Dessa forma, Os servidores do Google não podem acessar suas chaves de criptografia e, portanto, não podem descriptografar seus dados. Para mais detalhes, consulte Sobre a criptografia do lado do cliente.

Essa API permite controlar as chaves de criptografia de nível superior que protegem seus dados com um serviço de chaves externo personalizado. Depois de criar um serviço de chaves externo Com essa API, os administradores do Google Workspace podem se conectar a ela e ativar a CSE para os usuários.

Terminologia importante

Confira abaixo uma lista de termos comuns usados na API Google Workspace Client-side Encryption:

Criptografia do lado do cliente (CSE): A criptografia é processada no navegador do cliente antes de ser armazenada armazenamento baseado na nuvem. Isso evita que o arquivo seja lido pelo armazenamento de nuvem. Saiba mais
Serviço de lista de controle de acesso a chaves (KACLS, na sigla em inglês): Seu serviço de chaves externo que usa essa API para controlar o acesso à criptografia chaves armazenadas em um sistema externo.
Provedor de identidade (IdP): O serviço que autentica os usuários antes que eles possam criptografar arquivos ou acessar arquivos criptografados.

Criptografia e descriptografia

Chave de criptografia de dados (DEK): A chave usada pelo Google Workspace no cliente do navegador para criptografar os dados por conta própria.
Chave de criptografia de chaves (KEK): Uma chave do serviço usada para criptografar uma chave de criptografia de dados (DEK).

Controle de acesso

Lista de controle de acesso (ACL): Uma lista de usuários ou grupos que podem abrir ou ler um arquivo.
Token da Web JSON (JWT) de autenticação: Token do portador (JWT: RFC 7516) emitido pelo parceiro de identidade (IdP) para atestar a identidade de um usuário.
Token da Web JSON de autorização (JWT): Token do portador (JWT: RFC 7516) emitido pelo Google para verificar se o autor da chamada está autorizado a criptografar ou descriptografar um recurso.
Conjunto de chaves da Web JSON (JWKS): Um URL de endpoint somente leitura que aponta para uma lista de chaves públicas usadas para verificação JSON Web Tokens (JWT).
Perímetro: Verificações adicionais realizadas nos tokens de autenticação e autorização no KACLS para controle de acesso.

Processo de criptografia do lado do cliente

Depois que um administrador ativar a CSE na organização, os usuários para quem ela é você poderá criar documentos criptografados usando o ferramentas de criação de conteúdo colaborativo, como Documentos e Planilhas, ou criptografar arquivos enviados para o Google Drive, como PDFs.

Depois que o usuário criptografar um documento ou arquivo:

O Google Workspace gera uma DEK no navegador do cliente para criptografar conteúdo.
O Google Workspace envia a DEK e os tokens de autenticação a terceiros KACLS para criptografia, usando um URL fornecido por você ao administrador da organização do Google Workspace.
O KACLS usa essa API para criptografar a DEK e depois enviar os arquivos de uma DEK criptografada ao Google Workspace.
O Google Workspace armazena os dados criptografados e ofuscados na nuvem. Somente usuários com acesso ao seu KACLS podem acessar os dados.

Veja mais detalhes em Criptografar e descriptografar arquivos.

Próximas etapas

Saiba como configurar seu serviço.
Saiba como criptografar e descriptografar dados.