Mengenkripsi & mendekripsi data

Panduan ini menjelaskan cara kerja enkripsi dan dekripsi menggunakan Client-side Encryption API Google Workspace.

Anda harus mengizinkan layanan Penyedia Identitas (IdP) apa pun yang digunakan oleh pengguna yang berbagi file terenkripsi. Anda biasanya dapat menemukan detail IdP yang diperlukan di file .well-known yang tersedia secara publik. Jika tidak, hubungi administrator Google Workspace organisasi untuk mengetahui detail IdP-nya.

Mengenkripsi data

Saat pengguna Google Workspace meminta untuk menyimpan atau menyimpan data terenkripsi sisi klien (CSE), Google Workspace akan mengirimkan permintaan wrap ke URL endpoint KACLS Anda untuk dienkripsi. Selain pemeriksaan keamanan opsional, seperti pemeriksaan perimeter dan berbasis klaim JWT, KACLS Anda harus melakukan langkah-langkah berikut:

  1. Validasi pengguna yang meminta.

    • Validasi token autentikasi dan token otorisasi.
    • Pastikan token otorisasi dan autentikasi ditujukan untuk pengguna yang sama dengan melakukan pencocokan yang tidak peka huruf besar/kecil pada klaim email.
    • Jika token autentikasi berisi klaim google_email opsional, token tersebut harus dibandingkan dengan klaim email dalam token otorisasi menggunakan pendekatan yang tidak peka huruf besar/kecil. Jangan gunakan klaim email dalam token autentikasi untuk perbandingan ini.
    • Dalam skenario saat token autentikasi tidak memiliki klaim google_email opsional, klaim email dalam token autentikasi harus dibandingkan dengan klaim email dalam token otorisasi, menggunakan metode yang tidak peka huruf besar/kecil.
    • Dalam skenario saat Google menerbitkan token otorisasi untuk email yang tidak terkait dengan Akun Google, klaim email_type harus ada. Hal ini membentuk bagian penting dari fitur Akses Tamu, yang memberikan informasi berharga bagi KACLS untuk menerapkan langkah-langkah keamanan tambahan pada pengguna eksternal.
      • Beberapa contoh cara KACLS menggunakan informasi ini meliputi:
      • Untuk menerapkan persyaratan logging tambahan.
      • Untuk membatasi penerbit token autentikasi ke IdP Tamu khusus.
      • Untuk mewajibkan klaim tambahan pada token autentikasi.
      • Jika pelanggan belum mengonfigurasi Akses Tamu, semua permintaan dengan email_type disetel ke google-visitor atau customer-idp dapat ditolak. Permintaan dengan email_type google atau dengan email_type yang tidak ditetapkan harus terus disetujui.
    • Pastikan klaim role dalam token otorisasi adalah "penulis" atau "pengupgrade".
    • Pastikan klaim kacls_url dalam token otorisasi cocok dengan URL KACLS saat ini. Pemeriksaan ini memungkinkan deteksi potensi server man-in-the-middle yang dikonfigurasi oleh orang dalam atau administrator domain yang tidak sah.
    • Lakukan pemeriksaan perimeter menggunakan klaim autentikasi dan otorisasi.
  2. Enkripsi bagian berikut menggunakan algoritma enkripsi yang diautentikasi:

    • Kunci Enkripsi Data (DEK)
    • Nilai resource_name dan perimeter_id dari token otorisasi
    • Data sensitif tambahan
  3. Catat operasi, termasuk pengguna yang memulainya, resource_name, dan alasan yang diteruskan dalam permintaan.

  4. Menampilkan objek biner buram yang akan disimpan oleh Google Workspace bersama objek terenkripsi dan dikirim apa adanya dalam operasi penguraian kunci berikutnya. Atau, tayangkan balasan error terstruktur.

    • Objek biner harus berisi satu-satunya salinan DEK terenkripsi, data khusus implementasi dapat disimpan di dalamnya.

Mendekripsi data

Saat pengguna Google Workspace meminta untuk membuka data terenkripsi sisi klien (CSE), Google Workspace akan mengirimkan permintaan unwrap ke URL endpoint KACLS Anda untuk dekripsi. Selain pemeriksaan keamanan opsional, seperti pemeriksaan perimeter dan berbasis klaim JWT, KACLS Anda harus melakukan langkah-langkah berikut:

  1. Validasi pengguna yang meminta.

    • Validasi token autentikasi dan token otorisasi.
    • Pastikan token otorisasi dan autentikasi ditujukan untuk pengguna yang sama dengan melakukan pencocokan yang tidak peka huruf besar/kecil pada klaim email.
    • Jika token autentikasi berisi klaim google_email opsional, token tersebut harus dibandingkan dengan klaim email dalam token otorisasi menggunakan pendekatan yang tidak peka huruf besar/kecil. Jangan gunakan klaim email dalam token autentikasi untuk perbandingan ini.
    • Dalam skenario saat token autentikasi tidak memiliki klaim google_email opsional, klaim email dalam token autentikasi harus dibandingkan dengan klaim email dalam token otorisasi, menggunakan metode yang tidak peka huruf besar/kecil.
    • Dalam skenario saat Google menerbitkan token otorisasi untuk email yang tidak terkait dengan Akun Google, klaim email_type harus ada. Hal ini membentuk bagian penting dari fitur Akses Tamu, yang memberikan informasi berharga bagi KACLS untuk menerapkan langkah-langkah keamanan tambahan pada pengguna eksternal.
      • Beberapa contoh cara KACLS menggunakan informasi ini meliputi:
      • Untuk menerapkan persyaratan logging tambahan.
      • Untuk membatasi penerbit token autentikasi ke IdP Tamu khusus.
      • Untuk mewajibkan klaim tambahan pada token autentikasi.
      • Jika pelanggan belum mengonfigurasi Akses Tamu, semua permintaan dengan email_type disetel ke google-visitor atau customer-idp dapat ditolak. Permintaan dengan email_type google atau dengan email_type yang tidak ditetapkan harus terus disetujui.
    • Pastikan klaim role dalam token otorisasi adalah "pembaca" atau "penulis".
    • Pastikan klaim kacls_url dalam token otorisasi cocok dengan URL KACLS saat ini. Hal ini memungkinkan deteksi server man-in-the-middle potensial yang dikonfigurasi oleh orang dalam atau administrator domain nakal.
  2. Dekripsi bagian berikut menggunakan algoritma enkripsi yang diautentikasi:

    • Kunci Enkripsi Data (DEK)
    • Nilai resource_name dan perimeter_id dari token otorisasi
    • Data sensitif tambahan
  3. Pastikan resource_name dalam token otorisasi dan blob yang didekripsi cocok.

  4. Lakukan pemeriksaan perimeter menggunakan klaim autentikasi dan otorisasi.

  5. Catat operasi, termasuk pengguna yang memulainya, resource_name, dan alasan yang diteruskan dalam permintaan.

  6. Tampilkan DEK yang telah dibuka atau balasan error terstruktur.