Benutzerdefinierten Schlüsseldienst für clientseitige Verschlüsselung erstellen

Anstelle der Verschlüsselung von Google Workspace können Sie eigene Verschlüsselungsschlüssel für die Daten Ihrer Organisation verwenden. Mit der clientseitigen Verschlüsselung (Client-side Encryption, CSE) von Google Workspace erfolgt die Dateiverschlüsselung im Clientbrowser, bevor sie im cloudbasierten Speicher von Drive gespeichert wird. Auf diese Weise können Google-Server nicht auf Ihre Verschlüsselungsschlüssel zugreifen und Ihre Daten daher nicht entschlüsseln. Weitere Informationen finden Sie unter Clientseitige Verschlüsselung.

Mit dieser API können Sie die Verschlüsselungsschlüssel der obersten Ebene, die Ihre Daten schützen, mit einem benutzerdefinierten externen Schlüsseldienst steuern. Nachdem Sie einen externen Schlüsseldienst mit dieser API erstellt haben, können Google Workspace-Administratoren eine Verbindung zu diesem herstellen und die clientseitige Verschlüsselung für ihre Nutzer aktivieren.

Wichtige Terminologie

Im Folgenden finden Sie eine Liste häufig verwendeter Begriffe in der Google Workspace Client-side Encryption API:

Clientseitige Verschlüsselung (Client-side Encryption, CSE)
Verschlüsselung, die im Browser des Clients durchgeführt wird, bevor sie im cloudbasierten Speicher abgelegt wird. Dadurch wird verhindert, dass die Datei vom Speicheranbieter gelesen wird. Weitere Informationen
Key Access Control List Service (KACLS)
Ihr externer Schlüsseldienst, der diese API verwendet, um den Zugriff auf Verschlüsselungsschlüssel zu steuern, die in einem externen System gespeichert sind.
Identitätsanbieter (Identity Provider, IdP)
Der Dienst, der Nutzer authentifiziert, bevor sie Dateien verschlüsseln oder auf verschlüsselte Dateien zugreifen können.

Verschlüsselung und Entschlüsselung

Datenverschlüsselungsschlüssel (Data Encryption Key, DEK)
Der Schlüssel, der von Google Workspace im Browserclient verwendet wird, um die Daten selbst zu verschlüsseln.
Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK)
Ein Schlüssel aus Ihrem Dienst, der zum Verschlüsseln eines Datenverschlüsselungsschlüssels (Data Encryption Key, DEK) verwendet wird.

Zugriffssteuerung

Access Control List (ACL)
Eine Liste der Nutzer oder Gruppen, die eine Datei öffnen oder lesen können.
JSON-Webtoken für die Authentifizierung (JWT)
Inhabertoken (JWT: RFC 7516), das vom Identitätspartner ausgestellt wird, um die Identität eines Nutzers zu bestätigen.
JSON-Webtoken (JWT)
Inhabertoken (JWT: RFC 7516), das von Google ausgestellt wird, um zu bestätigen, dass der Aufrufer zum Verschlüsseln oder Entschlüsseln einer Ressource autorisiert ist.
JSON-Webschlüsselsatz (JWKS)
Eine schreibgeschützte Endpunkt-URL, die auf eine Liste öffentlicher Schlüssel verweist, mit denen JSON-Webtokens (JWT) verifiziert werden.
Umkreis
Zusätzliche Prüfungen der Authentifizierungs- und Autorisierungstokens innerhalb der KACLS für die Zugriffssteuerung.

Clientseitige Verschlüsselung

Nachdem ein Administrator die clientseitige Verschlüsselung für seine Organisation aktiviert hat, können Nutzer, für die die clientseitige Verschlüsselung aktiviert ist, auswählen, ob sie mit den Google Workspace-Tools für die gemeinsame Erstellung von Inhalten wie Docs und Tabellen verschlüsselte Dokumente erstellen oder Dateien verschlüsseln möchten, die sie in Google Drive hochgeladen haben (z. B. PDF-Dateien).

Nachdem der Nutzer ein Dokument oder eine Datei verschlüsselt hat:

  1. Google Workspace generiert im Clientbrowser einen DEK, um den Inhalt zu verschlüsseln.

  2. Google Workspace sendet den DEK und die Authentifizierungstokens zur Verschlüsselung an Ihre Drittanbieter-KACLs. Dazu wird eine URL verwendet, die Sie dem Administrator der Google Workspace-Organisation zur Verfügung stellen.

  3. Ihr KACLS verwendet diese API, um den DEK zu verschlüsseln, und sendet dann den verschleierten, verschlüsselten DEK zurück an Google Workspace.

  4. Google Workspace speichert die verschleierten, verschlüsselten Daten in der Cloud. Nur Nutzer mit Zugriff auf Ihre KACLS können auf die Daten zugreifen.

Weitere Informationen finden Sie unter Dateien verschlüsseln und entschlüsseln.

Nächste Schritte