Câu hỏi thường gặp về tính năng mã hoá phía máy khách

Để biết thông tin chi tiết về tính năng mã hoá mặc định của Google, hãy truy cập vào trang web Google Cloud.

Để biết thêm thông tin chi tiết về tính năng mã hoá tiêu chuẩn cho Gmail, hãy truy cập vào bài viết Mã hoá trong quá trình truyền tải trong Trung tâm trợ giúp Gmail.

Với tính năng mã hoá hai đầu (E2EE), quá trình mã hoá và giải mã luôn diễn ra trên thiết bị nguồn và thiết bị đích (chẳng hạn như trên điện thoại di động để nhắn tin tức thời). Khoá mã hoá được tạo trên máy khách, vì vậy, với vai trò là quản trị viên, bạn không có quyền kiểm soát các khoá trên máy khách và những người có thể sử dụng các khoá đó. Ngoài ra, bạn không thể biết người dùng đã mã hoá nội dung nào.

Với tính năng mã hoá phía máy khách (CSE), quá trình mã hoá và giải mã cũng luôn diễn ra trên thiết bị nguồn và thiết bị đích, trong trường hợp này là trình duyệt của máy khách. Tuy nhiên, với tính năng CSE, máy khách sử dụng các khoá mã hoá được tạo và lưu trữ trong một dịch vụ quản lý khoá dựa trên đám mây, vì vậy, bạn có thể kiểm soát các khoá và những người có quyền truy cập vào các khoá đó. Ví dụ: bạn có thể thu hồi quyền truy cập vào khoá của một người dùng, ngay cả khi người dùng đó đã tạo khoá. Ngoài ra, với tính năng CSE, bạn có thể theo dõi các tệp được mã hoá của người dùng.

Người dùng có thể chọn một lựa chọn trong các dịch vụ được hỗ trợ để bật tính năng CSE. Để biết thêm thông tin về cách người dùng có thể bật tính năng CSE trong các ứng dụng web và ứng dụng di động, hãy truy cập vào bài viết Tổng quan về trải nghiệm người dùng tính năng mã hoá phía máy khách.

Có, một số tính năng trong các dịch vụ của Google không dùng được khi bạn bật tính năng CSE. Để biết thêm thông tin, hãy truy cập vào bài viết Tổng quan về trải nghiệm người dùng tính năng mã hoá phía máy khách.

Khoá mã hoá được dùng để chuyển đổi dữ liệu thành một định dạng không đọc được để dữ liệu xuất hiện ở dạng ngẫu nhiên. Điều này giúp giữ cho dữ liệu ở chế độ riêng tư đối với bất kỳ ai hoặc bất kỳ điều gì không được phê duyệt để đọc dữ liệu đó. Để đọc dữ liệu đã mã hoá, một cá nhân hoặc ứng dụng cần có một khoá để chuyển đổi dữ liệu trở lại định dạng ban đầu.

Để sử dụng khoá mã hoá nhằm thêm một lớp mã hoá vào dữ liệu Google Workspace của tổ chức, bạn cần sử dụng một dịch vụ quản lý khoá hợp tác với Google hoặc tạo dịch vụ mã khoá của riêng bạn bằng API CSE của Google. Ngoài ra, chỉ đối với Gmail, bạn có thể sử dụng tính năng mã hoá khoá vật lý, trong đó khoá mã hoá của người dùng nằm trên thẻ thông minh.

Google đã hợp tác với một số dịch vụ quản lý khoá để sử dụng với tính năng CSE. Để xem danh sách các dịch vụ, hãy truy cập vào bài viết Thiết lập dịch vụ mã khoá cho tính năng mã hoá phía máy khách.

Không, bạn cần sử dụng một dịch vụ quản lý khoá bên ngoài để thiết lập tính năng mã hoá phía máy khách của Google Workspace. Với tính năng CSE, bạn kiểm soát các khoá mã hoá của riêng mình và Google không thể truy cập vào các khoá đó để giải mã dữ liệu của bạn.

Có, bạn có thể sử dụng nhiều dịch vụ mã khoá và chọn dịch vụ cần sử dụng cho một đơn vị tổ chức hoặc nhóm. Hoặc bạn có thể di chuyển nội dung được mã hoá từ một dịch vụ sang dịch vụ khác.

Lưu ý: Trong Bảng điều khiển dành cho quản trị viên, bạn có thể thiết lập một dịch vụ mã khoá cho tính năng mã hoá phía máy khách của Gmail. Tìm hiểu về các lựa chọn khác để quản lý khoá tại Google Workspace Client-side Encryption API .

Có, nếu tổ chức của bạn sử dụng thẻ thông minh để truy cập vào các cơ sở và hệ thống, thì bạn có thể thiết lập tính năng mã hoá khoá vật lý cho tính năng Mã hoá phía máy khách (CSE) của Gmail. Yêu cầu phải có tiện ích bổ sung Quyền kiểm soát có đảm bảo hoặc Assured Controls Plus. Người dùng có thể sử dụng thẻ thông minh chứa khoá mã hoá riêng tư của họ để mã hoá thư. Để biết thông tin chi tiết, hãy truy cập vào bài viết Chỉ Gmail: Thiết lập và quản lý tính năng mã hoá khoá vật lý cho tính năng mã hoá phía máy khách.

Có, bạn có thể thiết lập cả dịch vụ mã khoá và khoá mã hoá phần cứng cho tính năng Mã hoá phía máy khách (CSE) của Gmail. Yêu cầu phải có tiện ích bổ sung Quyền kiểm soát có đảm bảo hoặc Assured Controls Plus. Bạn cũng chỉ định cả dịch vụ mã khoá và tính năng mã hoá khoá vật lý cho cùng một người dùng. Tuy nhiên, người dùng chỉ có thể sử dụng một loại mã hoá cho Gmail, tuỳ thuộc vào cách bạn thiết lập khoá mã hoá riêng tư của họ cho Gmail. Để biết thông tin chi tiết, hãy truy cập vào bài viết Chỉ dành cho Gmail: Định cấu hình chứng chỉ S/MIME cho tính năng mã hoá phía máy khách.

Có, bạn có thể chuyển sang một dịch vụ mã khoá khác. Nếu bạn làm như vậy, thì bạn nên di chuyển nội dung được mã hoá bằng dịch vụ mã khoá hiện tại sang dịch vụ mới. Để biết thông tin chi tiết, hãy truy cập vào bài viết Nếu bạn muốn chuyển sang một dịch vụ mã khoá mới.

Bạn quản lý danh sách kiểm soát quyền truy cập khoá (ACL) cho các khoá mã hoá thông qua dịch vụ mã khoá bên ngoài. ACL của bạn cần bao gồm tất cả những người dùng cần mã hoá hoặc giải mã (xem hoặc chỉnh sửa) nội dung. Hãy liên hệ với nhà cung cấp dịch vụ mã hoá để biết thêm thông tin.

Ngoài ra, bạn cần bật tính năng CSE cho bất kỳ người dùng nào cần mã hoá dữ liệu. Để biết thông tin chi tiết, hãy truy cập vào bài viết Bật hoặc tắt tính năng mã hoá phía máy khách cho người dùng.

Đối với Gmail, Google Drive và Lịch Google, bạn có thể chỉ định rằng tính năng Mã hoá phía máy khách (CSE) được bật theo mặc định cho một số đơn vị tổ chức. Yêu cầu phải có tiện ích bổ sung Quyền kiểm soát có đảm bảo hoặc Assured Controls Plus.

Nếu bạn chỉ định rằng tính năng CSE được bật theo mặc định, thì người dùng vẫn có thể tắt tính năng CSE nếu cần.

Để biết thông tin chi tiết, hãy truy cập vào bài viết Bật hoặc tắt tính năng mã hoá phía máy khách cho người dùng.

Bạn không cần thiết lập tính năng CSE riêng cho bộ nhớ dùng chung. Dịch vụ mã khoá bên ngoài mà bạn thiết lập trong Bảng điều khiển dành cho quản trị viên hoạt động cho cả tệp trong Drive của tôi và bộ nhớ dùng chung.

Nếu bạn gặp vấn đề khi thiết lập tính năng CSE, hãy truy cập vào bài viết Xem thông tin chi tiết về cảnh báo để biết thêm thông tin.

Có. Truy cập vào bài viết Di chuyển thư sang Gmail dưới dạng email được mã hoá phía máy khách.

Có. Truy cập vào bài viết Cấp quyền truy cập bên ngoài vào nội dung được mã hoá phía máy khách.

Bạn có thể di chuyển các tệp được mã hoá phía máy khách sang một dịch vụ mã khoá mới. Để biết thông tin chi tiết, hãy truy cập vào bài viết Nếu bạn muốn chuyển sang một dịch vụ mã khoá mới.

Có, bạn có thể xoá tính năng mã hoá phía máy khách khỏi tài liệu, bảng tính hoặc bản trình bày trên Google. Để biết thông tin chi tiết, hãy truy cập vào bài viết Xoá tính năng mã hoá khỏi tài liệu.

Để giải mã các tệp Mã hoá phía máy khách (CSE) mà bạn xuất bằng Công cụ Xuất dữ liệu hoặc Google Vault , bạn có thể sử dụng tiện ích giải mã, một phần mềm tiện ích dòng lệnh. Để biết thông tin chi tiết, hãy truy cập vào bài viết Giải mã các tệp được mã hoá phía máy khách đã xuất.

Có, nếu phiên bản Google Workspace của bạn có Google Vault, thì bạn có thể giữ lại, tìm kiếm và xuất các tệp trên Drive và email trong Gmail được mã hoá phía máy khách trong Vault.

Để biết thông tin chi tiết, hãy truy cập vào Trung tâm trợ giúp Google Vault.

• Đối với nội dung được mã hoá phía máy khách trong Google Tài liệu và Trang trình bày, các mô hình học máy trên thiết bị cung cấp chức năng kiểm tra chính tả, giúp duy trì tính bảo mật của dữ liệu tài liệu.
• Đối với Gmail và nhận xét trong Google Tài liệu, trình duyệt cung cấp chức năng kiểm tra chính tả.

  Nếu tổ chức của bạn sử dụng Google Chrome: Hãy đảm bảo người dùng CSE không sử dụng tính năng Kiểm tra chính tả nâng cao của Chrome – lựa chọn này sẽ gửi dữ liệu đến Google. Thay vào đó, người dùng CSE có thể sử dụng tính năng Kiểm tra chính tả cơ bản của Chrome, tính năng này không gửi dữ liệu đến Google. Để biết thêm thông tin, hãy truy cập vào bài viết Bật hoặc tắt tính năng kiểm tra chính tả của Chrome. Nếu sử dụng trình duyệt Chrome được quản lý, bạn có thể tạo một chính sách để tắt tính năng kiểm tra chính tả cho người dùng CSE. Chính sách này sẽ tắt tính năng Kiểm tra chính tả nâng cao nhưng không tắt tính năng Kiểm tra chính tả cơ bản. Để biết thông tin chi tiết, hãy truy cập vào bài viết Đặt chính sách Chrome cho người dùng hoặc trình duyệt.

Có, bạn có thể chuyển đổi các tệp Google Trang tính đã xuất và giải mã sang tệp Microsoft Excel. Để biết thông tin chi tiết, hãy truy cập vào bài viết Chuyển đổi các tệp Google đã xuất và giải mã sang tệp Microsoft Office.

Các tệp và email được mã hoá phía máy khách không được quét để tìm nội dung lừa đảo và phần mềm độc hại vì máy chủ của Google không có quyền truy cập vào nội dung đó.

Quy trình quét ngăn chặn mất dữ liệu (DLP) không thể truy cập vào nội dung được mã hoá phía máy khách trong tệp hoặc email. Tuy nhiên, bạn có thể tạo quy tắc DLP để:

• Quét siêu dữ liệu không được mã hoá của tệp trên Drive, chẳng hạn như tiêu đề tệp và nhãn Drive – điều này có thể giúp ngăn chặn tình trạng rò rỉ dữ liệu nhạy cảm.
• Quét các tệp trên Drive để xác định xem các tệp đó có được mã hoá phía máy khách hay không, bằng cách chọn điều kiện quy tắc Trạng thái mã hoá tệp > Là > Được mã hoá phía máy khách hoặc Không được mã hoá phía máy khách.

Để biết thông tin chi tiết về cách tạo quy tắc DLP cho Drive, hãy truy cập vào bài viết Tạo quy tắc DLP cho Drive và trình phát hiện nội dung tuỳ chỉnh.

Nếu bạn chuyển người dùng sang giấy phép Google Workspace không có tính năng CSE, thì họ vẫn có thể truy cập và chỉnh sửa mọi mục được mã hoá phía máy khách, chẳng hạn như tệp và email. Tuy nhiên, họ không thể tạo bất kỳ mục mới nào được mã hoá phía máy khách.

Nếu muốn ngừng sử dụng Mã hoá phía máy khách (CSE) và giải mã các mục như tệp và email, trước tiên, bạn cần xuất các mục đó bằng công cụ Xuất dữ liệu. Sau đó, hãy sử dụng tiện ích trình giải mã để xoá tính năng CSE.