שאלות נפוצות על הצפנה מצד הלקוח

פרטים על הצפנת ברירת המחדל של Google זמינים באתר Google Cloud.

פרטים נוספים על הצפנה רגילה ב-Gmail זמינים במאמר הצפנה בזמן ההעברה במרכז העזרה של Gmail.

בהצפנה מקצה לקצה (E2EE), ההצפנה והפענוח מתבצעים תמיד במכשירי המקור והיעד (למשל, בטלפונים ניידים בהודעות מיידיות). מפתחות ההצפנה נוצרים אצל הלקוח, ולכן לאדמינים אין שליטה במפתחות אצל הלקוחות ובמשתמשים שיכולים להשתמש בהם. בנוסף, אין לכם אפשרות לראות איזה תוכן המשתמשים הצפינו.

בהצפנה מצד הלקוח (CSE), ההצפנה והפענוח מתבצעים תמיד במכשירי המקור והיעד, שבמקרה הזה הם הדפדפנים של הלקוחות. עם זאת, עם CSE, הלקוחות משתמשים במפתחות הצפנה שנוצרים ונשמרים בשירות ניהול מפתחות מבוסס-ענן, כך שאתם יכולים לשלוט במפתחות ובמי שיש לו גישה אליהם. לדוגמה, אתם יכולים לבטל את הגישה של משתמש למפתחות, גם אם המשתמש הזה יצר אותם. בנוסף, באמצעות CSE תוכלו לעקוב אחרי קבצים מוצפנים של משתמשים.

משתמשים יכולים לבחור אפשרות בשירותים נתמכים כדי להפעיל את ה-CSE. מידע נוסף על האופן שבו משתמשים יכולים להפעיל את ה-CSE באפליקציות לנייד ובדפדפנים זמין במאמר סקירה כללית על חוויית המשתמש עם הצפנה מצד הלקוח.

כן, חלק מהתכונות בשירותי Google לא זמינות כש-CSE מופעל. מידע נוסף זמין במאמר סקירה כללית על חוויית המשתמש בהצפנה מצד הלקוח.

מפתח הצפנה משמש להמרת נתונים לפורמט לא קריא, כך שהם נראים אקראיים. כך הנתונים נשארים פרטיים ורק מי שאושר לקרוא אותם יכול לגשת אליהם. כדי לקרוא נתונים מוצפנים, אדם או אפליקציה צריכים מפתח להמרה של הנתונים בחזרה לפורמט המקורי שלהם.

כדי להשתמש במפתחות הצפנה כדי להוסיף שכבת הצפנה לנתוני Google Workspace של הארגון, צריך להשתמש בשירות לניהול מפתחות שמשתף פעולה עם Google או ליצור שירות מפתחות משלכם באמצעות CSE API של Google. לחלופין, רק ב-Gmail, אפשר להשתמש בהצפנה של מפתחות חומרה, שבה מפתח ההצפנה של המשתמש נמצא בכרטיס חכם.

‫Google משתפת פעולה עם כמה שירותים לניהול מפתחות כדי להשתמש בהם עם הצפנה מצד הלקוח. רשימת השירותים זמינה במאמר הגדרת שירות למפתחות הצפנה לצורך הצפנה מצד הלקוח.

לא, צריך להשתמש בשירות חיצוני לניהול מפתחות כדי להגדיר הצפנה מצד הלקוח ב-Google Workspace. באמצעות CSE, אתם שולטים במפתחות ההצפנה שלכם, ו-Google לא יכולה לגשת אליהם כדי לפענח את הנתונים שלכם.

כן, אפשר להשתמש ביותר משירות אחד למפתחות הצפנה ולבחור באיזה שירות להשתמש עבור יחידה ארגונית או קבוצה. אפשר גם להעביר תוכן מוצפן משירות אחד לשירות אחר.

הערה: במסוף Admin, אפשר להגדיר שירות מפתחות יחיד להצפנה מצד הלקוח ב-Gmail. מידע על אפשרויות אחרות לניהול מפתחות זמין במאמר בנושא Google Workspace Client-side Encryption API .

כן, אם בארגון שלכם משתמשים בכרטיסים חכמים כדי לגשת למתקנים ולמערכות, אתם יכולים להגדיר הצפנה של מפתחות חומרה עבור הצפנה מצד הלקוח ב-Gmail. נדרש התוסף Assured Controls או Assured Controls Plus. המשתמשים יכולים להשתמש בכרטיסים החכמים שלהם, שמכילים את מפתח ההצפנה הפרטי שלהם, כדי להצפין את הודעות האימייל שלהם. פרטים נוספים מופיעים במאמר בנושא Gmail בלבד: הגדרה וניהול של הצפנה באמצעות מפתחות חומרה להצפנה מצד הלקוח.

כן, אפשר להגדיר גם שירות למפתחות הצפנה וגם מפתחות הצפנה לחומרה עבור CSE ב-Gmail. נדרש התוסף Assured Controls או Assured Controls Plus. בנוסף, מקצים את שירות המפתחות ואת הצפנת מפתחות החומרה לאותם משתמשים. עם זאת, משתמש יכול להשתמש רק בסוג אחד של הצפנה ב-Gmail, בהתאם לאופן שבו הגדרתם את מפתח ההצפנה הפרטי שלו ב-Gmail. פרטים נוספים מופיעים במאמר בנושא Gmail בלבד: הגדרת אישורי S/MIME להצפנה מצד הלקוח.

כן, אפשר לעבור לשירות אחר למפתחות הצפנה. אם עושים את זה, מומלץ להעביר את התוכן שהוצפן באמצעות השירות הנוכחי למפתחות הצפנה לשירות החדש. פרטים נוספים זמינים במאמר אם רוצים לעבור לשירות חדש לניהול מפתחות.

אתם מנהלים את רשימת המפתחות של בקרת הגישה (ACL) למפתחות הצפנה דרך השירות החיצוני למפתחות הצפנה. רשימת בקרת הגישה צריכה לכלול את כל המשתמשים שצריכים להצפין או לפענח (לצפות או לערוך) תוכן. למידע נוסף, אפשר לפנות לספק ההצפנה.

בנוסף, צריך להפעיל את CSE לכל המשתמשים שצריכים להצפין נתונים. פרטים נוספים מופיעים במאמר בנושא הפעלה או השבתה של הצפנה מצד הלקוח למשתמשים.

ב-Gmail, ב-Google Drive וביומן Google, אתם יכולים לציין שיחידות ארגוניות ספציפיות יפעילו את ה-CSE כברירת מחדל. נדרש התוסף Assured Controls או Assured Controls Plus.

אם מציינים ש-CSE מופעל כברירת מחדל, המשתמשים עדיין יכולים להשבית את ה-CSE אם צריך.

פרטים נוספים מופיעים במאמר בנושא הפעלה או השבתה של הצפנה מצד הלקוח למשתמשים.

אין צורך להגדיר הצפנה בצד הלקוח במיוחד לתיקיות אחסון שיתופי. שירות חיצוני למפתחות הצפנה שהגדרתם במסוף Admin פועל עבור קבצים בתיקייה 'האחסון שלי' ובתיקיות אחסון שיתופי.

אם יש לכם בעיה בהגדרת ה-CSE, תוכלו לעבור אל הצגת פרטי ההתראה לקבלת מידע נוסף.

כן. עוברים אל העברת הודעות ל-Gmail כאימייל מוצפן מצד הלקוח.

כן. עוברים אל מתן גישה חיצונית לתוכן מוצפן בצד הלקוח.

אתם יכולים להעביר קבצים שהוצפנו בצד הלקוח לשירות מפתחות חדש. פרטים נוספים זמינים במאמר אם רוצים לעבור לשירות חדש לניהול מפתחות.

כן, אפשר להסיר הצפנה מצד הלקוח ממסמך, מגיליון אלקטרוני או ממצגת ב-Google. פרטים נוספים זמינים במאמר בנושא הסרת הצפנה ממסמך.

כדי לפענח קבצים שמוצפנים מצד הלקוח ומיוצאים באמצעות הכלי לייצוא נתונים או Google Vault, אפשר להשתמש בכלי לפענוח, שהוא כלי לשורת הפקודה. פרטים נוספים מופיעים במאמר בנושא פענוח קבצים שיוצאו ומוצפנים מצד הלקוח.

כן, אם מהדורת Google Workspace שלכם כוללת את Google Vault, אתם יכולים לשמור, לחפש ולייצא ב-Vault קבצים ב-Drive ואימיילים ב-Gmail עם הצפנה מצד הלקוח.

פרטים נוספים מופיעים במרכז העזרה של Google Vault.

• ב-Google Docs וב-Slides, מודלים של למידת מכונה במכשיר מספקים פונקציונליות של בדיקת איות לתוכן גוף מוצפן מצד הלקוח, וכך שומרים על סודיות הנתונים במסמך.
• בדפדפן יש פונקציה לבדיקת איות ב-Gmail ובתגובות ב-Google Docs.

  אם הארגון משתמש ב-Google Chrome: צריך לוודא שמשתמשי CSE לא משתמשים בבדיקת האיות המשופרת של Chrome – האפשרות הזו שולחת נתונים ל-Google. במקום זאת, משתמשי CSE יכולים להשתמש בבדיקת האיות הבסיסית של Chrome, שלא שולחת נתונים ל-Google. מידע נוסף זמין במאמר בנושא הפעלה או השבתה של בדיקת האיות ב-Chrome. אם אתם משתמשים בדפדפן Chrome מנוהל, אתם יכולים ליצור מדיניות להשבתת בדיקת האיות למשתמשי CSE, וכך להשבית את בדיקת האיות המשופרת אבל לא את בדיקת האיות הבסיסית. פרטים נוספים זמינים במאמר הגדרת מדיניות Chrome למשתמשים או לדפדפנים.

כן, אפשר להמיר קבצים של Google Sheets שיוצאו ופוענחו לקבצים של Microsoft Excel. פרטים נוספים מופיעים במאמר המרת קבצים של Google שיוצאו ופוענחו לקובצי Microsoft Office.

לא מתבצעת סריקה של קבצים ואימיילים מוצפנים מצד הלקוח כדי לאתר פישינג ותוכנות זדוניות, כי לשרתים של Google אין גישה לתוכן.

סריקות למניעת אובדן נתונים (DLP) לא יכולות לגשת לתוכן מוצפן מצד הלקוח בקבצים או באימייל. עם זאת, אתם יכולים ליצור כללי DLP כדי:

• סריקה של מטא-נתונים לא מוצפנים של קבצים ב-Drive, כמו כותרת הקובץ ותוויות Drive – יכולה לעזור למנוע דליפות של מידע אישי רגיש.
• כדי לסרוק קבצים ב-Drive ולקבוע אם הם מוצפנים מצד הלקוח, בוחרים את תנאי הכלל סטטוס ההצפנה של הקובץ > הוא > מוצפן מצד הלקוח או לא מוצפן מצד הלקוח.

פרטים על יצירת כללי DLP ל-Drive מופיעים במאמר יצירת כללי DLP ל-Drive ומזהי תוכן בהתאמה אישית.

אם מעבירים משתמשים לרישיון Google Workspace שלא כולל CSE, הם עדיין יכולים לגשת לפריטים מוצפנים מצד הלקוח ולערוך אותם, כמו קבצים ואימיילים. עם זאת, הם לא יכולים ליצור פריטים חדשים שמוצפנים בצד הלקוח.

אם רוצים להפסיק להשתמש בהצפנה מצד הלקוח ולפענח פריטים כמו קבצים ואימיילים, צריך קודם לייצא את הפריטים האלה באמצעות הכלי לייצוא נתונים. לאחר מכן, משתמשים בכלי הפענוח כדי להסיר את ה-CSE.