Die clientseitige Verschlüsselung von Google Workspace befindet sich derzeit in der eingeschränkten Betaversion. Zugriff beantragen

Clientseitige Verschlüsselungs-API für Google Workspace

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Sie können anstelle der Verschlüsselung von Google Workspace auch eigene Verschlüsselungsschlüssel für die Daten Ihrer Organisation verwenden. Bei der clientseitigen Verschlüsselung in Google Workspace erfolgt die Verschlüsselung im Client-Browser, bevor sie im cloudbasierten Speicher von Google Drive gespeichert wird. So können Google-Server nicht auf Ihre Verschlüsselungsschlüssel zugreifen und daher Ihre Daten nicht entschlüsseln. Weitere Informationen finden Sie unter Clientseitige Verschlüsselung.

Mit dieser API können Sie die Verschlüsselungsschlüssel der obersten Ebene zum Schutz Ihrer Daten mit einem benutzerdefinierten externen Schlüsseldienst steuern. Nachdem Sie einen externen Schlüsseldienst mit dieser API erstellt haben, können Google Workspace-Administratoren eine Verbindung zu ihm herstellen und die clientseitige Verschlüsselung für ihre Nutzer aktivieren.

Wichtige Begriffe

Im Folgenden finden Sie eine Liste gebräuchlicher Begriffe, die in der clientseitigen Verschlüsselungs-API von Google Workspace verwendet werden:

Clientseitige Verschlüsselung
Verschlüsselung, die im Client-Browser ausgeführt wird, bevor sie im cloudbasierten Speicher gespeichert wird. Dadurch wird die Datei vor dem Lesen durch den Speicheranbieter geschützt. Weitere Informationen
Key Access Control List-Dienst (KACLS)
Ihr externer Schlüsseldienst, der diese API verwendet, um den Zugriff auf Verschlüsselungsschlüssel zu steuern, die in einem externen System gespeichert sind.
IdP
Der Dienst, der Nutzer authentifiziert, bevor sie Dateien verschlüsseln oder auf verschlüsselte Dateien zugreifen können.

Verschlüsselung &Entschlüsselung

Datenverschlüsselungsschlüssel (Data Encryption Key, DEK)
Der Schlüssel, der von Google Workspace im Browserclient verwendet wird, um die Daten selbst zu verschlüsseln.
KEK
Ein Schlüssel Ihres Dienstes, der zum Verschlüsseln eines Datenverschlüsselungsschlüssels (Data Encryption Key, DEK) verwendet wird.

Zugriffssteuerung

Access Control List (ACL)
Eine Liste der Nutzer oder Gruppen, die eine Datei öffnen oder lesen können
JSON-Webtoken für die Authentifizierung (JWT)
Inhabertoken (JWT: RFC 7516), das vom Identitätspartner (IdP) ausgestellt wird, um die Identität eines Nutzers zu bestätigen.
JSON-Webtoken der Autorisierung (JWT)
Inhabertoken (JWT: RFC 7516), das von Google ausgestellt wurde, um zu prüfen, ob der Aufrufer zum Verschlüsseln oder Entschlüsseln einer Ressource berechtigt ist.
JSON Web Key Set (JWKS)
Eine schreibgeschützte Endpunkt-URL, die auf eine Liste öffentlicher Schlüssel verweist, die zur Überprüfung von JSON Web Tokens (JWT) verwendet werden.
Perimeter
Zusätzliche Prüfungen der Authentifizierungs- und Autorisierungstokens in KACLS zur Zugriffssteuerung.

Clientseitige Verschlüsselung

Nachdem ein Administrator die clientseitige Verschlüsselung für seine Organisation aktiviert hat, können Nutzer, für die die clientseitige Verschlüsselung aktiviert ist, verschlüsselte Dokumente mit den Tools für die Zusammenarbeit von Google Workspace wie Docs und Tabellen erstellen oder Dateien verschlüsseln, die sie in Google Drive hochladen, z. B. PDFs.

Nachdem der Nutzer ein Dokument oder eine Datei verschlüsselt hat, gilt Folgendes:

  1. Google Workspace generiert einen DEK im Clientbrowser, um den Inhalt zu verschlüsseln.

  2. Google Workspace sendet das DEK und die Authentifizierungstokens zur Verschlüsselung an das Drittanbieter-KACLS. Dabei wird eine URL verwendet, die Sie dem Administrator der Google Workspace-Organisation zur Verfügung stellen.

  3. Ihr KACLS verwendet diese API, um die Inhalte zu verschlüsseln. Anschließend werden die verschleierten, verschlüsselten Daten zurück an Google Workspace gesendet.

  4. Google Workspace speichert die verschleierten, verschlüsselten Daten in der Cloud. Nur Nutzer mit aktivierter clientseitiger Verschlüsselung und Zugriff auf Ihre KACLS können auf die Daten zugreifen.

Weitere Informationen finden Sie unter Dateien verschlüsseln und entschlüsseln.

Nächste Schritte