Clientseitige Verschlüsselungs-API für Google Workspace

Sie können anstelle der von Google Workspace bereitgestellten Verschlüsselung Ihre eigenen Verschlüsselungsschlüssel verwenden. Mit der clientseitigen Verschlüsselung von Google Workspace wird die Dateiverschlüsselung im Browser des Clients verarbeitet, bevor sie im cloudbasierten Speicher von Drive gespeichert wird. So können Google-Server nicht auf Ihre Verschlüsselungsschlüssel zugreifen und Ihre Daten daher nicht entschlüsseln. Weitere Informationen finden Sie unter Clientseitige Verschlüsselung.

Mit dieser API können Sie die Verschlüsselungsschlüssel der obersten Ebene steuern, die Ihre Daten mit einem benutzerdefinierten externen Schlüsseldienst schützen. Nachdem Sie mit dieser API einen externen Schlüsseldienst erstellt haben, können Google Workspace-Administratoren eine Verbindung zu diesem Dienst herstellen und CSE für ihre Nutzer aktivieren.

Wichtige Terminologie

Im Folgenden finden Sie eine Liste gebräuchlicher Begriffe, die in der clientseitigen Verschlüsselung von Google Workspace verwendet werden:

Clientseitige Verschlüsselung
Verschlüsselung, die im Browser des Clients verarbeitet wird, bevor sie in einem cloudbasierten Speicher gespeichert wird Dadurch wird verhindert, dass die Datei vom Speicheranbieter gelesen wird. Weitere Informationen
Key Access Control List-Dienst (KACLS)
Ihr externer Schlüsseldienst, der diese API verwendet, um den Zugriff auf Verschlüsselungsschlüssel zu steuern, die in einem externen System gespeichert sind.
Identitätsanbieter (Identity Provider, IdP)
Der Dienst, der Nutzer authentifiziert, bevor sie Dateien verschlüsseln oder auf verschlüsselte Dateien zugreifen können.

Verschlüsselung und Entschlüsselung

DEK
Der Schlüssel, der von Google Workspace im Browserclient verwendet wird, um die Daten selbst zu verschlüsseln.
KEK
Ein Schlüssel aus Ihrem Dienst, der zum Verschlüsseln eines DEK verwendet wird.

Zugriffssteuerung

Zugriffssteuerungsliste (ACL)
Eine Liste der Nutzer oder Gruppen, die eine Datei öffnen oder lesen können.
Authentifizierung (JSON Web Token) (JWT)
Inhabertoken (JWT: RFC 7516), das vom Identitätspartner (IdP) ausgestellt wird, um die Identität eines Nutzers zu bestätigen.
Autorisierungs-JSON-Webtoken (JWT)
Inhabertoken (JWT: RFC 7516), das von Google ausgestellt wurde, um zu prüfen, ob der Aufrufer zum Verschlüsseln oder Entschlüsseln einer Ressource berechtigt ist.
JSON Web Key Set (JWKS)
Eine schreibgeschützte Endpunkt-URL, die auf eine Liste öffentlicher Schlüssel verweist, die zur Überprüfung von JSON Web Tokens (JWT) verwendet werden.
Perimeter
Zusätzliche Prüfungen der Authentifizierungs- und Autorisierungstokens im KACLS für die Zugriffssteuerung.

Clientseitiger Verschlüsselungsprozess

Nachdem ein Administrator die clientseitige Verschlüsselung für seine Organisation aktiviert hat, können Nutzer, für die die clientseitige Verschlüsselung aktiviert ist, verschlüsselte Dokumente mit Tools für die Zusammenarbeit in Google Workspace erstellen, z. B. Google Docs und Google Tabellen, oder Dateien verschlüsseln, die sie in Google Drive hochladen, z. B. PDFs.

Nachdem der Nutzer ein Dokument oder eine Datei verschlüsselt hat:

  1. Google Workspace generiert im Clientbrowser einen DEK, um den Inhalt zu verschlüsseln.

  2. Google Workspace sendet die DEK- und Authentifizierungstokens zur Verschlüsselung an Ihr Drittanbieter-KACLS. Dazu wird eine URL verwendet, die Sie an den Administrator der Google Workspace-Organisation senden.

  3. Ihr API verwendet diese API zum Verschlüsseln des Inhalts und sendet dann die verschleierten, verschlüsselten Daten an Google Workspace.

  4. Google Workspace speichert die verschleierten Daten in der Cloud. Nur Nutzer, die die clientseitige Verschlüsselung aktiviert haben und Zugriff auf Ihre KACLS haben, können auf die Daten zugreifen.

Weitere Informationen finden Sie unter Dateien verschlüsseln und entschlüsseln.

Nächste Schritte