Veelgestelde vragen over client-side encryptie

Ga naar de Google Cloud-website voor meer informatie over de standaardversleuteling van Google.

Voor meer informatie over standaardversleuteling voor Gmail ga je naar Versleuteling tijdens overdracht in het Gmail Helpcentrum.

Bij end-to-end-encryptie (E2EE) vinden encryptie en decryptie altijd plaats op de bron- en bestemmingsapparaten (zoals op mobiele telefoons voor instant messaging). Encryptiesleutels worden gegenereerd op de client, waardoor u als beheerder geen controle hebt over de sleutels op de clients en wie ze kan gebruiken. Bovendien hebt u geen inzicht in welke inhoud gebruikers hebben versleuteld.

Bij client-side encryptie (CSE) vinden encryptie en decryptie altijd plaats op de bron- en bestemmingsapparaten, in dit geval de browsers van de clients. Bij CSE gebruiken clients echter encryptiesleutels die worden gegenereerd en opgeslagen in een cloudgebaseerde sleutelbeheerservice. Hierdoor kunt u de sleutels en de toegang daartoe beheren. U kunt bijvoorbeeld de toegang van een gebruiker tot sleutels intrekken, zelfs als die gebruiker de sleutels zelf heeft gegenereerd. Bovendien kunt u met CSE de versleutelde bestanden van gebruikers monitoren.

Gebruikers kunnen in de ondersteunde services een optie selecteren om CSE in te schakelen. Ga naar het overzicht van de gebruikerservaring met client-side encryptie voor meer informatie over hoe gebruikers CSE kunnen inschakelen in web- en mobiele apps.

Ja, sommige functies in Google-services zijn niet beschikbaar wanneer CSE is ingeschakeld. Ga voor meer informatie naar het overzicht van de gebruikerservaring met client-side encryptie .

Een encryptiesleutel wordt gebruikt om gegevens om te zetten in een onleesbaar formaat, waardoor ze willekeurig lijken. Dit zorgt ervoor dat de gegevens privé blijven en niet gelezen kunnen worden door personen of applicaties die daar geen toestemming voor hebben. Om versleutelde gegevens te lezen, heeft een gebruiker of applicatie een sleutel nodig om de gegevens terug te converteren naar het oorspronkelijke formaat.

Om encryptiesleutels te gebruiken om een ​​extra beveiligingslaag toe te voegen aan de gegevens van uw Google Workspace-organisatie, moet u een sleutelbeheerservice gebruiken die samenwerkt met Google of uw eigen sleutelservice maken met behulp van de CSE API van Google. Als alternatief kunt u, alleen voor Gmail, hardwarematige sleutelversleuteling gebruiken, waarbij de encryptiesleutel van een gebruiker op een smartcard staat.

Google werkt samen met verschillende sleutelbeheerservices voor gebruik met CSE. Voor een lijst van services ga je naar Je sleutelservice instellen voor client-side encryptie .

Nee, je moet een externe sleutelbeheerservice gebruiken om client-side encryptie (CSE) in Google Workspace in te stellen. Met CSE beheer je je eigen encryptiesleutels en heeft Google er geen toegang toe om je gegevens te decoderen.

Ja, u kunt meerdere sleutelservices gebruiken en kiezen welke service u voor een organisatie-eenheid of groep wilt gebruiken. U kunt ook versleutelde inhoud van de ene service naar de andere migreren.

Opmerking : In de beheerdersconsole kunt u één sleutelservice instellen voor client-side versleuteling in Gmail. Lees meer over andere opties voor het beheren van sleutels in de Google Workspace Client-side Encryption API .

Ja, als uw organisatie smartcards gebruikt voor toegang tot faciliteiten en systemen, kunt u hardwarematige sleutelversleuteling instellen voor Gmail CSE. Hiervoor is de add-on Assured Controls of Assured Controls Plus vereist. Gebruikers kunnen hun smartcards, die hun privésleutel bevatten, gebruiken om hun e-mailberichten te versleutelen. Ga voor meer informatie naar Gmail: Hardwarematige sleutelversleuteling instellen en beheren voor client-side versleuteling .

Ja, u kunt zowel sleutelservice- als hardwarematige encryptiesleutels instellen voor Gmail CSE. Hiervoor is de add-on Assured Controls of Assured Controls Plus vereist. U kunt zowel de sleutelservice- als de hardwarematige encryptiesleutel aan dezelfde gebruikers toewijzen. Een gebruiker kan echter slechts één type encryptie voor Gmail gebruiken, afhankelijk van hoe u hun privé-encryptiesleutel voor Gmail hebt ingesteld. Zie voor meer informatie Gmail: S/MIME-certificaten configureren voor client-side encryptie .

Ja, u kunt overschakelen naar een andere sleutelservice. Als u dit doet, is het raadzaam om de inhoud die is versleuteld met uw huidige sleutelservice over te zetten naar de nieuwe service. Ga voor meer informatie naar ' Als u wilt overschakelen naar een nieuwe sleutelservice' .

U beheert de toegangsbeheerlijst (ACL) voor encryptiesleutels via uw externe sleutelservice. Uw ACL moet alle gebruikers bevatten die inhoud moeten kunnen versleutelen of ontsleutelen (bekijken of bewerken). Neem voor meer informatie contact op met uw encryptieprovider.

Daarnaast moet u CSE inschakelen voor alle gebruikers die gegevens moeten versleutelen. Zie Client-side versleuteling in- of uitschakelen voor gebruikers voor meer informatie.

Voor Gmail, Google Drive en Google Agenda kunt u instellen dat CSE standaard is ingeschakeld voor specifieke organisatie-eenheden. Hiervoor is de add-on Assured Controls of Assured Controls Plus vereist.

Als u aangeeft dat CSE standaard is ingeschakeld, kunnen gebruikers CSE indien nodig nog steeds uitschakelen.

Zie Clientversleuteling voor gebruikers in- of uitschakelen voor meer informatie.

Je hoeft CSE niet specifiek in te stellen voor gedeelde schijven. De externe sleutelservice die je instelt in de beheerdersconsole werkt voor bestanden op zowel Mijn schijf als gedeelde schijven.

Als je een probleem hebt met de CSE-configuratie, ga dan naar 'Waarschuwingsdetails bekijken' voor meer informatie.

Ja. Ga naar Berichten migreren naar Gmail als client-side versleutelde e-mail .

Ja. Ga naar deze optie om externe toegang te verlenen tot client-side versleutelde inhoud .

U kunt client-side versleutelde bestanden migreren naar een nieuwe sleutelservice. Zie voor meer informatie: Overstappen naar een nieuwe sleutelservice .

Ja, u kunt client-side versleuteling verwijderen uit een Google-document, -spreadsheet of -presentatie. Ga naar Versleuteling verwijderen uit een document voor meer informatie.

Om CSE-bestanden te decoderen die u exporteert met de tool voor gegevensexport of Google Vault , kunt u de decryptor gebruiken, een opdrachtregelprogramma. Zie voor meer informatie over het decoderen van geëxporteerde client-side versleutelde bestanden .

Ja, als uw Google Workspace-editie Google Vault bevat, kunt u versleutelde Drive-bestanden en Gmail-e-mails die aan de clientzijde zijn opgeslagen, bewaren, doorzoeken en exporteren in Vault.

Je kunt naar client-side versleutelde bestanden zoeken op basis van metadata, zoals titel en eigenaar. Je kunt echter niet zoeken in de inhoud, op bestandstype, de inhoud bekijken of bestanden downloaden vanuit de voorbeeldweergave.

Ga voor meer informatie naar het Helpcentrum van Google Vault .

• Voor client-side versleutelde tekst in Google Docs en Slides bieden machine learning-modellen op het apparaat zelf een spellingscontrolefunctie, waardoor de vertrouwelijkheid van de documentgegevens gewaarborgd blijft.
• Voor Gmail en opmerkingen in Google Docs biedt de browser een spellingscontrolefunctie.

  Als uw organisatie Google Chrome gebruikt: zorg ervoor dat CSE-gebruikers de uitgebreide spellingcontrole van Chrome niet gebruiken, want deze optie verzendt gegevens naar Google. CSE-gebruikers kunnen in plaats daarvan de standaard spellingcontrole van Chrome gebruiken, die geen gegevens naar Google verzendt . Ga voor meer informatie naar Spellingcontrole in- of uitschakelen in Chrome . Als u een beheerde Chrome-browser gebruikt, kunt u een beleid maken om de spellingcontrole voor CSE-gebruikers uit te schakelen. Dit schakelt de uitgebreide spellingcontrole uit, maar niet de standaard spellingcontrole . Ga voor meer informatie naar Chrome-beleid instellen voor gebruikers of browsers .

Ja, u kunt geëxporteerde en onversleutelde Google Sheets-bestanden converteren naar Microsoft Excel-bestanden. Zie voor meer informatie: Geëxporteerde en onversleutelde Google-bestanden converteren naar Microsoft Office-bestanden .

Client-side versleutelde bestanden en e-mails worden niet gescand op phishing en malware, omdat de servers van Google geen toegang hebben tot de inhoud.

Data Loss Prevention (DLP)-scans hebben geen toegang tot client-side versleutelde inhoud in bestanden of e-mails. U kunt echter DLP-regels maken om:

• Scan de niet-versleutelde metadata van bestanden op Drive, zoals de bestandsnaam en Drive-labels. Dit kan helpen om het lekken van gevoelige gegevens te voorkomen.
• Scan de bestanden op Drive om te bepalen of ze aan de clientzijde zijn versleuteld, door de regelvoorwaarde 'Bestandsversleutelingsstatus > Is > Clientzijde versleuteld' of 'Niet clientzijde versleuteld' te selecteren.

Voor meer informatie over het maken van DLP-regels voor Drive, ga naar DLP-regels maken voor Drive en aangepaste inhoudsdetectoren.

Als u gebruikers overzet naar een Google Workspace-licentie zonder CSE, kunnen ze nog steeds client-side versleutelde items, zoals bestanden en e-mail, openen en bewerken. Ze kunnen echter geen nieuwe client-side versleutelde items aanmaken.

Als u wilt stoppen met het gebruik van CSE en items zoals bestanden en e-mails wilt decoderen, moet u deze items eerst exporteren met de tool voor gegevensexport . Gebruik vervolgens het decoderingsprogramma om CSE te verwijderen.