Domande frequenti sulla crittografia lato client

Per informazioni dettagliate sulla crittografia predefinita di Google, visita il sito di Google Cloud.

Per ulteriori dettagli sulla crittografia standard per Gmail, consulta Crittografia delle email in transito nel Centro assistenza Gmail.

Con la crittografia end-to-end (E2EE), criptazione e decriptazione vengono sempre eseguite sui dispositivi di origine e di destinazione, ad esempio sui telefoni cellulari per la messaggistica immediata. Le chiavi di crittografia vengono generate sul client; pertanto, in quanto amministratore, non hai il controllo sulle chiavi dei client e su chi può utilizzarle. Inoltre, non hai visibilità su quali contenuti vengono criptati dagli utenti.

Anche con la crittografia lato client, la crittografia e la decrittografia vengono sempre eseguite sui dispositivi di origine e di destinazione, in questo caso i browser dei client. Tuttavia, con la crittografia lato client i client utilizzano chiavi di crittografia generate e archiviate in un servizio di gestione delle chiavi basato su cloud. Sei quindi tu a controllare le chiavi e chi può accedervi. Ad esempio, puoi revocare l'accesso di un utente alle chiavi, anche se è stato quell'utente a generarle. Inoltre, con la crittografia lato client puoi monitorare i file criptati degli utenti.

Gli utenti possono scegliere di attivare la crittografia lato client nei servizi supportati. Per saperne di più su come gli utenti possono attivare la crittografia lato client in app web e mobile, consulta Panoramica dell'esperienza utente della crittografia lato client.

Sì, alcune funzionalità dei servizi Google non sono disponibili quando la crittografia lato client è attiva. Per saperne di più, consulta Panoramica dell'esperienza utente della crittografia lato client.

Una chiave di crittografia viene utilizzata per trasformare i dati in un formato illeggibile in modo che risultino casuali. Ciò mantiene i dati privati in modo che non possano essere letti da qualunque persona o cosa non approvata per farlo. Per leggere i dati criptati, una persona o un'applicazione ha bisogno di una chiave per riconvertirli nel formato originale.

Per utilizzare le chiavi di crittografia per aggiungere un livello di crittografia ai dati di Google Workspace della tua organizzazione, devi ricorrere a un servizio di gestione delle chiavi fornito da un partner di Google oppure creare il tuo servizio chiavi utilizzando l'API CSE di Google. In alternativa, solo per Gmail, puoi utilizzare la crittografia della chiave hardware, in cui la chiave di crittografia di un utente si trova su una smart card.

Google ha stretto una partnership con diversi servizi di gestione delle chiavi che possono essere utilizzati con la crittografia lato client. Per un elenco dei servizi, consulta Configurare il servizio chiavi per la crittografia lato client.

No. Per configurare la crittografia lato client di Google Workspace, devi utilizzare un servizio di gestione delle chiavi esterno. Con la crittografia lato client sei tu a controllare le tue chiavi di crittografia e Google non può accedervi per decriptare i tuoi dati.

Sì, puoi utilizzare più di un servizio chiavi e scegliere quale servizio utilizzare per un'unità organizzativa o un gruppo. In alternativa, puoi migrare i contenuti criptati da un servizio a un altro.

Nota: nella Console di amministrazione puoi configurare un unico servizio chiavi per la crittografia lato client di Gmail. Scopri altre opzioni di gestione delle chiavi nell'API Google Workspace Client-side Encryption .

Sì, se la tua organizzazione utilizza smart card per accedere a strutture e sistemi, puoi configurare la crittografia della chiave hardware per la crittografia lato client di Gmail. È necessario disporre del componente aggiuntivo Assured Controls o Assured Controls Plus. Gli utenti possono utilizzare le smart card, che contengono la loro chiave di crittografia privata, per criptare i propri messaggi email. Per maggiori dettagli, consulta Solo Gmail: configurare e gestire la crittografia della chiave hardware per la crittografia lato client.

Sì, per la crittografia lato client di Gmail puoi configurare sia un servizio chiavi sia chiavi di crittografia hardware. È necessario disporre del componente aggiuntivo Assured Controls o Assured Controls Plus. Puoi anche assegnare sia il servizio chiavi sia la crittografia della chiave hardware agli stessi utenti. Tuttavia, un utente può utilizzare un solo tipo di crittografia per Gmail, che dipende da come hai configurato la sua chiave di crittografia privata per Gmail. Per maggiori dettagli, consulta Solo Gmail: configurare i certificati S/MIME per la crittografia lato client.

Sì, puoi passare a un servizio chiavi diverso. In questo caso ti consigliamo di migrare al nuovo servizio i contenuti criptati con il servizio chiavi attuale. Per maggiori dettagli, consulta Se vuoi passare a un nuovo servizio chiavi.

Puoi gestire l'elenco di controllo dell'accesso per le chiavi di crittografia (ACL) tramite il servizio chiavi esterno. Il tuo elenco ACL deve includere tutti gli utenti che devono criptare o decriptare (visualizzare o modificare) i contenuti. Per saperne di più, contatta il tuo provider di crittografia.

Inoltre, è necessario attivare la crittografia lato client per tutti gli utenti che devono criptare i dati. Per maggiori dettagli, consulta Attivare o disattivare la crittografia lato client per gli utenti.

Per Gmail, Google Drive e Google Calendar, puoi specificare che la crittografia lato client sia attiva per impostazione predefinita per unità organizzative specifiche. È necessario disporre del componente aggiuntivo Assured Controls o Assured Controls Plus.

Se specifichi che la crittografia lato client sia attiva per impostazione predefinita, gli utenti possono comunque disattivarla, se necessario.

Per maggiori dettagli, consulta Attivare o disattivare la crittografia lato client per gli utenti.

Non è necessario configurare la crittografia lato client in modo specifico per i Drive condivisi. Il servizio chiavi esterno che hai configurato nella Console di amministrazione funziona per i file che si trovano sia su Il mio Drive sia sui Drive condivisi.

Se si verificano problemi con la configurazione della crittografia lato client, consulta Visualizzare i dettagli degli avvisi per saperne di più.

Sì. Consulta Eseguire la migrazione dei messaggi a Gmail come email con crittografia lato client.

Sì. Consulta Fornire accesso esterno ai contenuti con crittografia lato client.

Puoi migrare i file con crittografia lato client a un nuovo servizio chiavi. Per maggiori dettagli, consulta Se vuoi passare a un nuovo servizio chiavi.

Sì, puoi rimuovere la crittografia lato client da un documento, un foglio di lavoro o una presentazione Google. Per maggiori dettagli, consulta Rimuovere la crittografia da un documento.

Per decriptare i file con crittografia lato client esportati con lo strumento Esportazione dei dati o con Google Vault, puoi utilizzare l'utilità di decrittografia a riga di comando. Per maggiori dettagli, vedi Decriptare i file con crittografia lato client esportati.

Sì, se la tua versione di Google Workspace include Google Vault, puoi conservare, cercare ed esportare i file di Drive e le email di Gmail con crittografia lato client in Vault.

Per maggiori dettagli, visita il Centro assistenza Google Vault.

• Per i contenuti di corpo con crittografia lato client in Documenti Google e Presentazioni Google, i modelli di machine learning on-device offrono una funzionalità di controllo ortografico, che preserva la riservatezza dei dati dei documenti.
• Per Gmail e i commenti in Documenti Google, il browser fornisce funzionalità di controllo ortografico.

  Se la tua organizzazione utilizza Google Chrome: assicurati che gli utenti con crittografia lato client non utilizzino il controllo ortografico avanzato di Chrome, perché questa opzione invia dati a Google. Gli utenti con crittografia lato client possono utilizzare invece il controllo ortografico di base di Chrome, che non invia dati a Google. Per saperne di più, vedi Attivare o disattivare il controllo ortografico di Chrome. Se utilizzi il browser Chrome gestito, puoi creare un criterio per disattivare il controllo ortografico per gli utenti della crittografia lato client, disattivando in questo modo il Controllo ortografico avanzato, ma non il Controllo ortografico di base. Per maggiori dettagli, vedi Impostare i criteri di Chrome per utenti o browser.

Sì, puoi convertire i file Fogli Google esportati e decriptati in file Microsoft Excel. Per maggiori dettagli, vedi Converti i file Google esportati e decriptati in file Microsoft Office.

Le email e i file con crittografia lato client non vengono analizzati per rilevare attività di phishing e malware, in quanto i server di Google non hanno accesso ai contenuti.

Le analisi di Prevenzione della perdita di dati (DLP) non possono accedere ai contenuti con crittografia lato client di email e file. Tuttavia, puoi creare regole DLP per:

• Analizzare i metadati non criptati dei file di Drive, ad esempio il titolo e le etichette di Drive, per evitare fughe di dati sensibili.
• Analizzare i file di Drive per determinare se sono dotati di crittografia lato client o meno scegliendo la condizione della regola Stato della crittografia del file > È > Con crittografia lato client o Senza crittografia lato client.

Per maggiori dettagli sulla creazione di regole DLP per Drive, consulta Creare regole e rilevatori di contenuti personalizzati di DLP per Drive.

Se passi a una licenza Google Workspace che non include la crittografia lato client, gli utenti potranno comunque accedere a qualsiasi elemento con crittografia lato client, ad esempio file ed email, e modificarlo. Tuttavia, non potranno creare nuovi elementi con crittografia lato client.

Se non vuoi più utilizzare la crittografia lato client e decriptare elementi come file ed email, devi prima esportarli con lo strumento Esportazione dei dati. Poi, utilizza l'utilità di decrittografia per rimuovere la crittografia lato client.