İstemci tarafı şifreleme için özel anahtar hizmeti oluşturma

Kuruluşunuzun verilerini şifrelemek için Google Workspace'in sağladığı şifrelemeyi kullanmak yerine kendi şifreleme anahtarlarınızı kullanabilirsiniz. Google Workspace İstemci Tarafı Şifreleme (İTŞ) ile dosya şifreleme, Drive'ın bulut tabanlı depolama alanında depolanmadan önce istemcinin tarayıcısında gerçekleştirilir. Bu şekilde, Google sunucuları şifreleme anahtarlarınıza erişemez ve bu nedenle verilerinizin şifresini çözemez. Daha fazla bilgi için İstemci tarafı şifreleme hakkında başlıklı makaleye bakın.

Bu API, verilerinizi özel bir harici anahtar hizmetiyle koruyan üst düzey şifreleme anahtarlarını kontrol etmenize olanak tanır. Bu API ile harici bir anahtar hizmeti oluşturduktan sonra, Google Workspace yöneticileri bu hizmete bağlanabilir ve kullanıcıları için İTŞ'yi etkinleştirebilir.

Önemli terminoloji

Aşağıda, Google Workspace Client-side Encryption API'de yaygın olarak kullanılan terimlerin listesi yer almaktadır:

İstemci tarafı şifreleme (İTŞ)
Bulut tabanlı depolama alanında depolanmadan önce istemcinin tarayıcısında işlenen şifreleme. Bu, dosyanın depolama alanı sağlayıcısı tarafından okunmasını engeller. Daha fazla bilgi
Anahtar Erişim Kontrol Listesi Hizmeti (KACLS)
Harici bir sistemde depolanan şifreleme anahtarlarına erişimi kontrol etmek için bu API'yi kullanan harici anahtar hizmetiniz.
Kimlik Sağlayıcı (IdP)
Kullanıcılar dosyaları şifrelemeden veya şifrelenmiş dosyalara erişmeden önce kullanıcıların kimliklerini doğrulayan hizmet.

Şifreleme ve şifre çözme

Veri Şifreleme Anahtarı (DEK)
Verilerin kendisini şifrelemek için Google Workspace tarafından tarayıcı istemcisinde kullanılan anahtar.
Anahtar Şifreleme Anahtarı (KEK)
Hizmetinizde bulunan ve Veri Şifreleme Anahtarı'nı (DEK) şifrelemek için kullanılan anahtardır.

Erişim denetimi

Erişim Kontrol Listesi (ACL)
Bir dosyayı açabilen veya okuyabilen kullanıcıların ya da grupların listesi.
Kimlik Doğrulama JSON Web Jetonu (JWT)
Kullanıcının kimliğini onaylamak için kimlik iş ortağı (IdP) tarafından yayınlanan hamiline ait jeton (JWT: RFC 7516).
Yetkilendirme JSON Web Jetonu (JWT)
Arayanın bir kaynağı şifreleme veya şifresini çözme yetkisi olduğunu doğrulamak için Google tarafından verilen hamiline ait jeton (JWT: RFC 7516).
JSON Web Anahtarı Kümesi (JWKS)
JSON Web Jetonlarını (JWT) doğrulamak için kullanılan ortak anahtarlar listesine yönlendiren, salt okunur bir uç nokta URL'si.
Çevre
Erişim kontrolü için KACLS'deki kimlik doğrulama ve yetkilendirme jetonlarında gerçekleştirilen ek kontroller.

İstemci tarafı şifreleme işlemi

Bir yönetici, kuruluşu için İTŞ'yi etkinleştirdikten sonra, İTŞ'nin etkinleştirildiği kullanıcılar Dokümanlar ve E-Tablolar gibi Google Workspace ortak içerik oluşturma araçlarını kullanarak şifrelenmiş dokümanlar oluşturmayı veya Google Drive'a yükledikleri dosyaları (ör. PDF) şifrelemeyi seçebilir.

Kullanıcı bir dokümanı veya dosyayı şifreledikten sonra:

  1. Google Workspace, içeriği şifrelemek için istemci tarayıcısında bir DEK oluşturur.

  2. Google Workspace, Google Workspace kuruluşunun yöneticisine sağladığınız bir URL'yi kullanarak şifreleme için DEK ve kimlik doğrulama jetonlarını üçüncü taraf KACLS'nize gönderir.

  3. KACLS'niz, DEK'yi şifrelemek için bu API'yi kullanır, ardından kodu karartılmış, şifrelenmiş DEK'yi Google Workspace'e geri gönderir.

  4. Google Workspace, kod karartma uygulanmış ve şifrelenmiş verileri bulutta depolar. Yalnızca KACLS'lerinize erişimi olan kullanıcılar verilere erişebilir.

Daha fazla bilgi için Dosyaları şifreleme ve dosyaların şifresini çözme başlıklı makaleyi inceleyin.

Sonraki adımlar