Sie können die Daten Ihrer Organisation mit eigenen Verschlüsselungsschlüsseln verschlüsseln, anstatt die Verschlüsselung von Google Workspace zu verwenden. Bei der clientseitigen Verschlüsselung (client-side encryption, CSE) von Google Workspace erfolgt die Dateiverschlüsselung im Browser des Clients, bevor die Datei im cloudbasierten Speicher von Google Drive gespeichert wird. So können die Google-Server nicht auf Ihre Verschlüsselungsschlüssel zugreifen und Ihre Daten daher nicht entschlüsseln. Weitere Informationen finden Sie unter Clientseitige Verschlüsselung.
Mit dieser API können Sie die Verschlüsselungsschlüssel der obersten Ebene, die Ihre Daten schützen, mit einem benutzerdefinierten externen Schlüsseldienst verwalten. Nachdem Sie mit dieser API einen externen Schlüsseldienst erstellt haben, können Google Workspace-Administratoren eine Verbindung dazu herstellen und die clientseitige Verschlüsselung für ihre Nutzer aktivieren.
Wichtige Begriffe
Im Folgenden finden Sie eine Liste gängiger Begriffe, die in der Clientseitigen Verschlüsselungs-API für Google Workspace verwendet werden:
- Clientseitige Verschlüsselung (CSE)
- Verschlüsselung, die im Browser des Clients erfolgt, bevor die Daten im cloudbasierten Speicher gespeichert werden. So wird verhindert, dass die Datei vom Speicheranbieter gelesen wird. Weitere Informationen
- Key Access Control List Service (KACLS)
- Ihr externer Schlüsseldienst, der mit dieser API den Zugriff auf in einem externen System gespeicherte Verschlüsselungsschlüssel steuert.
- Identitätsanbieter (Identity Provider, IdP)
- Der Dienst, der Nutzer authentifiziert, bevor sie Dateien verschlüsseln oder auf verschlüsselte Dateien zugreifen können.
Verschlüsselung und Entschlüsselung
- Datenverschlüsselungsschlüssel (Data Encryption Key, DEK)
- Der Schlüssel, der von Google Workspace im Browserclient zum Verschlüsseln der Daten selbst verwendet wird.
- Schlüsselverschlüsselungsschlüssel (KEK)
- Ein Schlüssel aus Ihrem Dienst, der zum Verschlüsseln eines Datenverschlüsselungsschlüssels (Data Encryption Key, DEK) verwendet wird.
Zugriffssteuerung
- Access Control List (ACL)
- Eine Liste von Nutzern oder Gruppen, die eine Datei öffnen oder lesen können.
- JSON Web Token (JWT) für die Authentifizierung
- Inhabertoken (JWT: RFC 7516), das vom Identitätspartner (Identity Provider, IdP) ausgestellt wird, um die Identität eines Nutzers zu bestätigen.
- Autorisierungs-JSON-Webtoken (JWT)
- Von Google ausgestelltes Bearer-Token (JWT: RFC 7516), um zu prüfen, ob der Aufrufer zum Verschlüsseln oder Entschlüsseln einer Ressource berechtigt ist.
- JSON-Webschlüsselsatz (JWKS)
- Eine schreibgeschützte Endpunkt-URL, die auf eine Liste öffentlicher Schlüssel verweist, die zum Verifizieren von JSON Web Tokens (JWT) verwendet werden.
- Perimeter
- Zusätzliche Prüfungen der Authentifizierungs- und Autorisierungstokens in den KACLS für die Zugriffssteuerung.
Clientseitige Verschlüsselung
Nachdem ein Administrator die clientseitige Verschlüsselung für seine Organisation aktiviert hat, können Nutzer, für die die clientseitige Verschlüsselung aktiviert ist, verschlüsselte Dokumente mit den Tools zur Erstellung gemeinsamer Inhalte in Google Workspace wie Google Docs und Google Tabellen erstellen oder Dateien verschlüsseln, die sie in Google Drive hochladen, z. B. PDFs.
Nachdem der Nutzer ein Dokument oder eine Datei verschlüsselt hat:
Google Workspace generiert einen DEK im Clientbrowser, um den Inhalt zu verschlüsseln.
Google Workspace sendet den DEK und die Authentifizierungstokens zur Verschlüsselung an die KACLS Ihres Drittanbieters. Dazu wird eine URL verwendet, die Sie dem Administrator der Google Workspace-Organisation mitteilen.
Ihre KACLS verwendet diese API, um den DEK zu verschlüsseln, und sendet den verschleierten, verschlüsselten DEK dann an Google Workspace zurück.
Google Workspace speichert die verschleierten, verschlüsselten Daten in der Cloud. Nur Nutzer mit Zugriff auf Ihre KACLS können auf die Daten zugreifen.
Weitere Informationen finden Sie unter Dateien verschlüsseln und entschlüsseln.