שאלות נפוצות על הצפנה מצד הלקוח

פרטים על הצפנת ברירת המחדל של Google זמינים באתר Google Cloud.

פרטים נוספים על הצפנה רגילה ב-Gmail זמינים במאמר הצפנה בזמן ההעברה במרכז העזרה של Gmail.

בהצפנה מקצה לקצה (E2EE), ההצפנה והפענוח מתבצעים תמיד במכשירי המקור והיעד (למשל בטלפונים ניידים בהודעות מיידיות). מפתחות ההצפנה נוצרים אצל הלקוח, ולכן לאדמינים אין שליטה במפתחות אצל הלקוחות ובמשתמשים שיכולים להשתמש בהם. בנוסף, אין לכם אפשרות לראות איזה תוכן המשתמשים הצפינו.

עם הצפנה מצד הלקוח (CSE), ההצפנה והפענוח תמיד מתבצעים במכשירי המקור והיעד, שבמקרה הזה הם הדפדפנים של הלקוחות. אבל עם CSE, הלקוחות משתמשים במפתחות הצפנה שנוצרים ונשמרים בשירות ניהול מפתחות מבוסס-ענן, כך שאתם יכולים לשלוט במפתחות ובמי שיש לו גישה אליהם. לדוגמה, אתם יכולים לבטל את הגישה של משתמש למפתחות, גם אם המשתמש הזה יצר אותם. בנוסף, באמצעות CSE תוכלו לעקוב אחרי קבצים מוצפנים של משתמשים.

בממשק של שירותים נתמכים, המשתמשים יכולים לבחור באפשרות להפעיל את ה-CSE. מידע נוסף על האופן שבו משתמשים יכולים להפעיל CSE באפליקציות לנייד ובדפדפנים זמין במאמר סקירה כללית על חוויית המשתמש בהצפנה מצד הלקוח.

כן, חלק מהתכונות בשירותי Google לא זמינות כשמפעילים את CSE. מידע נוסף זמין במאמר סקירה כללית על חוויית המשתמש בהצפנה מצד הלקוח.

מפתח הצפנה משמש להמרת נתונים לפורמט לא קריא, כך שהם נראים אקראיים. כך הנתונים נשארים פרטיים ורק מי שאושר לו לקרוא אותם יכול לעשות זאת. כדי לקרוא נתונים מוצפנים, אדם או אפליקציה צריכים מפתח להמרה של הנתונים בחזרה לפורמט המקורי שלהם.

כדי להשתמש במפתחות הצפנה כדי להוסיף שכבת הצפנה לנתוני Google Workspace של הארגון, צריך להשתמש בשירות לניהול מפתחות שמשתף פעולה עם Google או ליצור שירות מפתחות משלכם באמצעות ה-API של Google להצפנה מצד הלקוח. לחלופין, רק ב-Gmail, אפשר להשתמש בהצפנה של מפתחות פיזיים, שבה מפתח ההצפנה של המשתמש נמצא בכרטיס חכם.

‫Google משתפת פעולה עם כמה שירותים לניהול מפתחות כדי להשתמש בהם עם הצפנה מצד הלקוח. רשימת השירותים זמינה במאמר הגדרת שירות למפתחות הצפנה לצורך הצפנה מצד הלקוח.

לא, צריך להשתמש בשירות חיצוני לניהול מפתחות כדי להגדיר הצפנה מצד הלקוח ב-Google Workspace. בעזרת CSE, אתם שולטים במפתחות ההצפנה שלכם, ו-Google לא יכולה לגשת אליהם כדי לפענח את הנתונים שלכם.

כן, אפשר להשתמש ביותר משירות מפתחות הצפנה אחד ולבחור באיזה שירות להשתמש עבור יחידה ארגונית או קבוצה. לחלופין, אפשר להעביר תוכן מוצפן משירות אחד לשירות אחר.

הערה: במסוף Admin, אפשר להגדיר שירות למפתחות הצפנה יחיד להצפנה מצד הלקוח ב-Gmail. מידע על אפשרויות אחרות לניהול מפתחות זמין במאמר בנושא Google Workspace Client-side Encryption API .

כן, אם בארגון שלכם משתמשים בכרטיסים חכמים כדי לגשת למתקנים ולמערכות, אתם יכולים להגדיר הצפנה של מפתחות חומרה עבור הצפנה מצד הלקוח ב-Gmail. כדי לעשות את זה צריך את התוסף Assured Controls או Assured Controls Plus. המשתמשים יכולים להשתמש בכרטיסים החכמים שלהם, שמכילים את מפתח ההצפנה הפרטי שלהם, כדי להצפין את הודעות האימייל שלהם. פרטים נוספים מופיעים במאמר בנושא רישיון רק ל-Gmail: הגדרה וניהול של הצפנה באמצעות מפתח פיזי להצפנה מצד הלקוח.

כן, אפשר להגדיר גם שירות למפתחות הצפנה וגם מפתחות הצפנה של חומרה עבור CSE ב-Gmail. כדי לעשות את זה צריך את התוסף Assured Controls או Assured Controls Plus. בנוסף, מקצים את שירות למפתחות הצפנה ואת הצפנת מפתחות פיזיים לאותם משתמשים. עם זאת, משתמש יכול להשתמש רק בסוג אחד של הצפנה ב-Gmail, בהתאם לאופן שבו הגדרתם את מפתח ההצפנה הפרטי שלו ב-Gmail. פרטים נוספים מופיעים במאמר בנושא Gmail בלבד: הגדרת אישורי S/MIME להצפנה מצד הלקוח.

כן, אפשר לעבור לשירות אחר למפתחות הצפנה. אם עושים את זה, מומלץ להעביר את התוכן שהוצפן באמצעות שירות המפתחות הנוכחי לשירות החדש. פרטים נוספים זמינים במאמר אם רוצים לעבור לשירות חדש לניהול מפתחות הצפנה.

אתם מנהלים את רשימת המפתחות של בקרת הגישה (ACL) למפתחות הצפנה באמצעות השירות החיצוני למפתחות הצפנה. רשימת בקרת הגישה צריכה לכלול את כל המשתמשים שצריכים להצפין או לפענח (לצפות או לערוך) תוכן. למידע נוסף, אפשר לפנות לספק ההצפנה.

בנוסף, צריך להפעיל את CSE לכל המשתמשים שצריכים להצפין נתונים. פרטים נוספים מופיעים במאמר בנושא הפעלה או השבתה של הצפנה מצד הלקוח למשתמשים.

ב-Gmail, ב-Google Drive וביומן Google, אתם יכולים לציין שההצפנה בצד הלקוח תופעל כברירת מחדל ביחידות ארגוניות ספציפיות. כדי לעשות את זה צריך את התוסף Assured Controls או Assured Controls Plus.

אם מציינים ש-CSE מופעל כברירת מחדל, המשתמשים עדיין יכולים להשבית את ה-CSE אם צריך.

פרטים נוספים מופיעים במאמר בנושא הפעלה או השבתה של הצפנה מצד הלקוח למשתמשים.

אין צורך להגדיר הצפנה בצד הלקוח במיוחד לתיקיות אחסון שיתופי. שירות חיצוני למפתחות הצפנה שהגדרתם במסוף Admin פועל עבור קבצים בתיקייה 'האחסון שלי' ובתיקיות אחסון שיתופי.

אם יש לכם בעיה בהגדרת ה-CSE, תוכלו לעבור אל הצגת פרטי ההתראה לקבלת מידע נוסף.

כן. עוברים אל העברת הודעות ל-Gmail כאימייל עם הצפנה מצד הלקוח.

כן. עוברים אל מתן גישה חיצונית לתוכן מוצפן בצד הלקוח.

אתם יכולים להעביר קבצים שהוצפנו בהצפנה מצד הלקוח לשירות למפתחות הצפנה חדש. פרטים נוספים זמינים במאמר אם רוצים לעבור לשירות חדש לניהול מפתחות הצפנה.

כן, אפשר להסיר הצפנה מצד הלקוח ממסמך, מגיליון אלקטרוני או ממצגת ב-Google. פרטים נוספים מופיעים במאמר בנושא הסרת הצפנה ממסמך.

כדי לפענח קבצים שמוצפנים מצד הלקוח ומיוצאים באמצעות הכלי לייצוא נתונים או Google Vault, אפשר להשתמש בכלי לפענוח, שהוא כלי שירות של שורת הפקודה. פרטים נוספים מופיעים במאמר בנושא פענוח קבצים שיוצאו והוצפנו מצד הלקוח.

כן, אם מהדורת Google Workspace שלכם כוללת את Google Vault, אתם יכולים לשמור, לחפש ולייצא ב-Vault קבצים ב-Drive ואימיילים ב-Gmail עם הצפנה מצד הלקוח.

פרטים נוספים מופיעים במרכז העזרה של Google Vault.

• ב-Google Docs וב-Slides, מודלים של למידת מכונה במכשיר מספקים פונקציונליות של בדיקת איות לתוכן גוף מוצפן מצד הלקוח, וכך שומרים על סודיות הנתונים במסמך.
• בדפדפן יש פונקציונליות של בדיקת איות ב-Gmail ובתגובות ב-Google Docs.

  אם הארגון משתמש ב-Google Chrome: צריך לוודא שמשתמשי CSE לא משתמשים בבדיקת האיות המשופרת של Chrome – האפשרות הזו שולחת נתונים ל-Google. במקום זאת, משתמשי CSE יכולים להשתמש בבדיקת האיות הבסיסית של Chrome, שלא שולחת נתונים ל-Google. מידע נוסף זמין במאמר בנושא הפעלה או השבתה של בדיקת האיות ב-Chrome. אם אתם משתמשים בדפדפן Chrome מנוהל, אתם יכולים ליצור מדיניות להשבתת בדיקת האיות למשתמשי CSE, וכך להשבית את בדיקת האיות המשופרת אבל לא את בדיקת האיות הבסיסית. פרטים נוספים זמינים במאמר הגדרת מדיניות Chrome למשתמשים או לדפדפנים.

כן, אפשר להמיר קבצים של Google Sheets שיוצאו ופוענחו לקבצים של Microsoft Excel. פרטים נוספים מופיעים במאמר המרת קבצים מ-Google שיוצאו ופוענחו לקובצי Microsoft Office.

לא מתבצעת סריקה של קבצים ואימיילים מוצפנים מצד הלקוח כדי לאתר פישינג ותוכנות זדוניות, כי לשרתים של Google אין גישה לתוכן.

סריקות למניעת אובדן נתונים (DLP) לא יכולות לגשת לתוכן שמוצפן מצד הלקוח בקבצים או באימייל. עם זאת, אתם יכולים ליצור כללי DLP כדי:

• סריקה של מטא-נתונים לא מוצפנים של קבצים ב-Drive, כמו כותרת הקובץ ותוויות Drive – יכולה לעזור למנוע דליפות של מידע אישי רגיש.
• כדי לסרוק קבצים ב-Drive ולקבוע אם הם מוצפנים מצד הלקוח, בוחרים את תנאי הכלל סטטוס ההצפנה של הקובץ > הוא > מוצפן מצד הלקוח או לא מוצפן מצד הלקוח.

פרטים על יצירת כללי DLP ל-Drive מופיעים במאמר יצירת כללי DLP ל-Drive ומזהי תוכן בהתאמה אישית.

אם מעבירים משתמשים לרישיון Google Workspace שלא כולל CSE, הם עדיין יכולים לגשת לפריטים מוצפנים מצד הלקוח ולערוך אותם, כמו קבצים ואימיילים. עם זאת, הם לא יכולים ליצור פריטים חדשים שמוצפנים בצד הלקוח.

אם רוצים להפסיק להשתמש בהצפנה מצד הלקוח ולפענח פריטים כמו קבצים ואימיילים, צריך קודם לייצא את הפריטים האלה באמצעות הכלי לייצוא נתונים. לאחר מכן משתמשים בכלי הפענוח כדי להסיר את ה-CSE.