אסימוני הרשאה

אסימון Bearer (JWT: RFC 7519) שהונפק על ידי Google כדי לאמת שהמתקשר מורשה להצפין או לפענח משאב.

כדי למנוע שימוש לרעה, שירות רשימת בקרת הגישה למפתחות (KACLS) צריך לוודא שהמבצע מורשה להצפין את האובייקט (קובץ או מסמך) לפני עטיפת המפתח, ולפענח אותו לפני פתיחת העטיפה של ה-DEK.

אסימון הרשאה להצפנה מצד הלקוח (CSE) ב-Google Docs, ב-Google Drive, ביומן Google וב-Google Meet

ייצוג ב-JSON 
{
  "aud": string,
  "delegated_to": string,
  "email": string,
  "email_type": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string
}
שדות
aud

string

הקהל, כפי שזוהה על ידי Google. צריך לבדוק את ההגדרה המקומית.
delegated_to

string

(אופציונלי) כתובת האימייל של המשתמש שמורשה לגשת למשאב.
email

string (UTF-8)

כתובת האימייל של המשתמש.
email_type

string

הוא מכיל אחד מהערכים הבאים:

  • google: כתובת האימייל הזו שייכת לחשבון Google.
  • google-visitor: האימייל הזה לא משויך לחשבון Google, אבל הוא אומת על ידי Google באמצעות קוד אימות.
  • customer-idp: כתובת האימייל הזו לא שייכת לחשבון Google, אבל כתובת האימייל של המשתמש חולצה באמצעות IdP שהוגדר על ידי הלקוח.
  • אפשר לא להגדיר את הטענה. במקרה כזה, ערך ברירת המחדל הוא `google`.
exp

string

שעת התפוגה.
iat

string

זמן ההנפקה.
iss

string

הישות שהנפיקה את הטוקן. צריך לאמת את המזהה מול קבוצת המנפיקים המהימנים של אימותים.
kacls_url

string

כתובת ה-URL הבסיסית של KACLS שהוגדרה, שמשמשת למניעת התקפות אדם בתווך (PITM).
perimeter_id

string (UTF-8)

(אופציונלי) ערך שקשור למיקום המסמך שאפשר להשתמש בו כדי לבחור את ההיקף שייבדק כשמבטלים את העטיפה. הגודל המקסימלי: 128 בייטים.
resource_name

string (UTF-8)

מזהה של האובייקט שמוצפן באמצעות מפתח הצפנת הנתונים. הגודל המקסימלי: 128 בייטים.
role

string

הוא מכיל אחד מהערכים הבאים:

  • reader: מותר להתקשר רק אל unwrap.
  • writer: מותר להתקשר גם אל wrap וגם אל unwrap

טוקן הרשאה להצפנה מצד הלקוח ב-Gmail

ייצוג ב-JSON 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "message_id": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string,
  "spki_hash": string,
  "spki_hash_algorithm": string
}
שדות
aud

string

הקהל, כפי שזוהה על ידי Google. צריך לבדוק את ההגדרה המקומית.
email

string (UTF-8)

כתובת האימייל של המשתמש.
exp

string

שעת התפוגה.
iat

string

זמן ההנפקה.
message_id

string

מזהה של ההודעה שעליה מבוצעת הפענוח או החתימה. משמש כסיבה של הלקוח למטרות ביקורת.
iss

string

הישות שהנפיקה את הטוקן. צריך לאמת את המזהה מול קבוצת המנפיקים המהימנים של אימות.
kacls_url

string

כתובת ה-URL הבסיסית של KACLS שהוגדרה, שמשמשת למניעת התקפות אדם בתווך (PITM).
perimeter_id

string (UTF-8)

(אופציונלי) ערך שקשור למיקום המסמך שאפשר להשתמש בו כדי לבחור את ההיקף שייבדק כשמבטלים את העטיפה. הגודל המקסימלי: 128 בייטים.
resource_name

string (UTF-8)

מזהה של האובייקט שמוצפן באמצעות מפתח הצפנת הנתונים. הגודל המקסימלי: 512 בייטים.
role

string

הוא מכיל אחד מהערכים הבאים:

  • decrypter: אפשר לפענח.
  • signer: יכול לחתום.
spki_hash

string

תקציר בקידוד Base64 רגיל של SubjectPublicKeyInfo בקידוד DER של המפתח הפרטי שאליו מתבצעת גישה.
spki_hash_algorithm

string

האלגוריתם ששימש ליצירת spki_hash. יכול להיות SHA-256.

טוקן הרשאה לשירות ההעברה של KACLS

ייצוג ב-JSON 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string,
  "role": string
}
שדות
aud

string

הקהל, כפי שזוהה על ידי Google. צריך לבדוק את ההגדרה המקומית.
email

string (UTF-8)

כתובת האימייל של המשתמש.
exp

string

שעת התפוגה.
iat

string

זמן ההנפקה.
iss

string

הישות שהנפיקה את הטוקן. צריך לאמת את המזהה מול קבוצת המנפיקים המהימנים של אימותים.
kacls_url

string

כתובת ה-URL הבסיסית של KACLS שהוגדרה, שמשמשת למניעת התקפות אדם בתווך (PITM).
role

string

הוא מכיל אחד מהערכים הבאים:

  • migrator: מותר להתקשר רק אל rewrap.
  • verifier: מותר להתקשר רק אל digest.