Créer un service de clés personnalisé pour le chiffrement côté client

Vous pouvez chiffrer les données de votre organisation à l'aide de vos propres clés de chiffrement, au lieu du chiffrement fourni par Google Workspace. Avec le chiffrement côté client Google Workspace (CSE), le chiffrement des fichiers est géré dans le navigateur du client avant d'être stockés dans l'espace de stockage cloud de Drive. De cette façon, les serveurs Google ne peuvent pas accéder à vos clés de chiffrement et, par conséquent, ne peuvent pas déchiffrer vos données. Pour en savoir plus, consultez À propos du chiffrement côté client.

Cette API vous permet de contrôler les clés de chiffrement de premier niveau qui protègent vos données à l'aide d'un service de clés externe personnalisé. Une fois que vous avez créé un service de clés externe avec cette API, les administrateurs Google Workspace peuvent s'y connecter et activer le CSE pour leurs utilisateurs.

Terminologie importante

Voici une liste des termes couramment employés dans l'API Google Workspace Client-side Encryption:

Chiffrement côté client (CSE)
Chiffrement géré dans le navigateur du client avant d'être stocké dans un espace de stockage cloud. Cela empêche le fournisseur de stockage de lire le fichier. En savoir plus
Service de liste de contrôle d'accès aux clés (KACLS)
Votre service de clés externe qui utilise cette API pour contrôler l'accès aux clés de chiffrement stockées dans un système externe.
Fournisseur d'identité (IdP)
Service qui authentifie les utilisateurs avant qu'ils ne puissent chiffrer des fichiers ou accéder aux fichiers chiffrés.

Chiffrement et déchiffrement

Clé de chiffrement des données (DEK)
Clé utilisée par Google Workspace dans le client de navigateur pour chiffrer les données elles-mêmes.
Clé de chiffrement de clé (KEK)
Clé de votre service utilisée pour chiffrer une clé de chiffrement des données (DEK).

Contrôle des accès

Liste de contrôle d'accès (LCA)
Liste des utilisateurs ou des groupes autorisés à ouvrir ou à lire un fichier.
Jeton Web JSON (JWT) d'authentification
Jeton de support (JWT: RFC 7516) émis par le partenaire d'identité (IdP) pour attester de l'identité d'un utilisateur.
Jeton Web JSON (JWT) d'autorisation
Jeton de support (JWT: RFC 7516) émis par Google pour vérifier que l'appelant est autorisé à chiffrer ou à déchiffrer une ressource.
Ensemble de clés Web JSON (JWKS)
URL de point de terminaison en lecture seule qui pointe vers une liste de clés publiques utilisées pour valider les jetons Web JSON (JWT).
Périmètre
Vérifications supplémentaires effectuées sur les jetons d'authentification et d'autorisation au sein du KACLS pour le contrôle des accès.

Processus de chiffrement côté client

Une fois qu'un administrateur a activé le CSE pour son organisation, les utilisateurs pour lesquels il est activé peuvent choisir de créer des documents chiffrés à l'aide des outils collaboratifs de création de contenu Google Workspace, tels que Docs et Sheets, ou de chiffrer les fichiers qu'ils importent dans Google Drive (par exemple, des PDF).

Une fois que l'utilisateur a chiffré un document ou un fichier:

  1. Google Workspace génère une DEK dans le navigateur client pour chiffrer le contenu.

  2. Google Workspace envoie la DEK et les jetons d'authentification à votre serveur KACLS tiers pour chiffrement, à l'aide d'une URL que vous fournissez à l'administrateur de l'organisation Google Workspace.

  3. Votre KACLS utilise cette API pour chiffrer la DEK, puis renvoie la DEK obscurcie et chiffrée à Google Workspace.

  4. Google Workspace stocke les données chiffrées et obscurcies dans le cloud. Seuls les utilisateurs ayant accès à votre liste KACLS peuvent accéder aux données.

Pour en savoir plus, consultez Chiffrer et déchiffrer des fichiers.

Étapes suivantes