Часто задаваемые вопросы о шифровании на стороне клиента

Подробную информацию о стандартном шифровании Google можно найти на сайте Google Cloud .

Для получения дополнительной информации о стандартном шифровании в Gmail перейдите в раздел «Шифрование при передаче» в Справочном центре Gmail.

При сквозном шифровании (E2EE) шифрование и расшифровка всегда происходят на устройствах-источниках и устройствах-получателях (например, на мобильных телефонах для обмена мгновенными сообщениями). Ключи шифрования генерируются на стороне клиента, поэтому администратор не контролирует ключи на клиентских устройствах и не знает, кто может их использовать. Кроме того, у администратора нет информации о том, какой контент зашифровали пользователи.

При шифровании на стороне клиента (CSE) шифрование и дешифрование всегда происходят на исходном и целевом устройствах, которыми в данном случае являются браузеры клиентов. Однако при CSE клиенты используют ключи шифрования, которые генерируются и хранятся в облачной службе управления ключами, поэтому вы можете контролировать ключи и то, кто имеет к ним доступ. Например, вы можете отозвать доступ пользователя к ключам, даже если он их сгенерировал. Кроме того, с помощью CSE вы можете отслеживать зашифрованные файлы пользователей.

Пользователи могут выбрать опцию в поддерживаемых сервисах для включения CSE. Для получения дополнительной информации о том, как включить CSE в веб- и мобильных приложениях, перейдите в раздел «Обзор пользовательского опыта при использовании клиентского шифрования» .

Да, некоторые функции сервисов Google недоступны при включенном шифровании на стороне клиента (CSE). Для получения дополнительной информации перейдите в раздел «Обзор пользовательского опыта шифрования на стороне клиента» .

Ключ шифрования используется для преобразования данных в нечитаемый формат, благодаря чему они выглядят случайными. Это обеспечивает конфиденциальность данных для всех и всего, кому не разрешено их читать. Для чтения зашифрованных данных человеку или приложению необходим ключ для преобразования данных обратно в исходный формат.

Для использования ключей шифрования для добавления уровня шифрования к данным Google Workspace вашей организации вам необходимо использовать сервис управления ключами, сотрудничающий с Google, или создать собственный сервис ключей, используя API CSE от Google. В качестве альтернативы, только для Gmail, вы можете использовать аппаратное шифрование с ключами, при котором ключ шифрования пользователя хранится на смарт-карте.

Компания Google заключила партнерские соглашения с несколькими службами управления ключами для использования с CSE. Список служб можно найти в разделе «Настройка службы ключей для шифрования на стороне клиента» .

Нет, для настройки шифрования на стороне клиента в Google Workspace вам потребуется использовать внешний сервис управления ключами. При использовании CSE вы контролируете свои собственные ключи шифрования, и Google не сможет получить к ним доступ для расшифровки ваших данных.

Да, вы можете использовать несколько ключевых сервисов и выбирать, какой из них использовать для организационного подразделения или группы. Или же вы можете перенести зашифрованный контент из одного сервиса в другой.

Примечание : В консоли администратора можно настроить единый сервис ключей для шифрования на стороне клиента Gmail. Подробнее о других вариантах управления ключами см. в разделе Google Workspace Client-side Encryption API .

Да, если ваша организация использует смарт-карты для доступа к объектам и системам, вы можете настроить аппаратное шифрование ключей для Gmail CSE. Для этого требуется дополнение Assured Controls или Assured Controls Plus . Пользователи могут использовать свои смарт-карты, содержащие закрытый ключ шифрования, для шифрования своих электронных писем. Для получения подробной информации перейдите на страницу Gmail: Настройка и управление аппаратным шифрованием ключей для шифрования на стороне клиента .

Да, вы можете настроить как службу ключей, так и аппаратные ключи шифрования для Gmail CSE. Для этого требуется дополнение Assured Controls или Assured Controls Plus . Вы также можете назначить одну и ту же службу ключей и аппаратное шифрование одним и тем же пользователям. Однако пользователь может использовать только один тип шифрования для Gmail, который зависит от того, как вы настроили его закрытый ключ шифрования для Gmail. Для получения более подробной информации перейдите в раздел «Только для Gmail: Настройка сертификатов S/MIME для шифрования на стороне клиента» .

Да, вы можете переключиться на другую службу ключей. В этом случае рекомендуется перенести контент, зашифрованный с помощью вашей текущей службы ключей, на новую службу. Подробности см. в разделе «Если вы хотите переключиться на новую службу ключей» .

Управление списком контроля доступа (ACL) для ключей шифрования осуществляется через внешний сервис ключей. Ваш ACL должен включать всех пользователей, которым необходимо либо шифровать, либо расшифровывать (просматривать или редактировать) контент. Для получения дополнительной информации обратитесь к своему поставщику услуг шифрования.

Кроме того, необходимо включить CSE для всех пользователей, которым требуется шифровать данные. Подробности см. в разделе «Включение или отключение клиентского шифрования для пользователей» .

Для Gmail, Google Drive и Google Calendar можно указать, что функция CSE включена по умолчанию для определенных подразделений организации. Требуется наличие надстройки Assured Controls или Assured Controls Plus .

Если вы укажете, что CSE включен по умолчанию, пользователи все равно смогут отключить CSE при необходимости.

Для получения более подробной информации перейдите в раздел «Включение или отключение шифрования на стороне клиента для пользователей» .

Нет необходимости настраивать CSE специально для общих дисков. Служба внешних ключей, которую вы настраиваете в консоли администратора, работает с файлами как на диске «Мой диск», так и на общих дисках.

Если у вас возникла проблема с настройкой CSE, перейдите в раздел «Просмотр сведений об оповещении» для получения дополнительной информации.

Да. Перейдите в раздел «Перенос сообщений в Gmail как зашифрованные на стороне клиента электронные письма» .

Да. Перейдите к разделу «Предоставление внешнего доступа к зашифрованному содержимому на стороне клиента» .

Вы можете перенести файлы, зашифрованные на стороне клиента, в новую службу ключей. Подробности см. в разделе «Если вы хотите перейти на новую службу ключей» .

Да, вы можете удалить шифрование на стороне клиента из документа, электронной таблицы или презентации Google. Подробности см. в разделе «Удаление шифрования из документа» .

Для расшифровки файлов CSE, экспортированных с помощью инструмента экспорта данных или Google Vault , можно использовать дешифратор — утилиту командной строки. Подробности см. в разделе «Расшифровка экспортированных файлов, зашифрованных на стороне клиента» .

Да, если в вашей версии Google Workspace есть Google Vault, вы можете сохранять, искать и экспортировать зашифрованные на стороне клиента файлы Google Drive и электронные письма Gmail в Vault.

Для получения более подробной информации перейдите в Справочный центр Google Vault .

• Для зашифрованного содержимого текста на стороне клиента в Google Docs и Slides модели машинного обучения, работающие непосредственно на устройстве, обеспечивают проверку орфографии, что гарантирует конфиденциальность данных документа.
• Для писем в Gmail и комментариев в документах Google Docs браузер предоставляет функцию проверки орфографии.

  Если ваша организация использует Google Chrome: убедитесь, что пользователи CSE не используют расширенную проверку орфографии Chrome — эта опция отправляет данные в Google. Вместо этого пользователи CSE могут использовать базовую проверку орфографии Chrome, которая не отправляет данные в Google . Для получения дополнительной информации перейдите в раздел «Включение или отключение проверки орфографии в Chrome» . Если вы используете управляемый браузер Chrome, вы можете создать политику для отключения проверки орфографии для пользователей CSE, которая отключает расширенную проверку орфографии , но не базовую . Для получения подробной информации перейдите в раздел «Настройка политик Chrome для пользователей или браузеров» .

Да, вы можете преобразовать экспортированные и расшифрованные файлы Google Sheets в файлы Microsoft Excel. Подробности см. в разделе «Преобразование экспортированных и расшифрованных файлов Google в файлы Microsoft Office» .

Файлы и электронные письма, зашифрованные на стороне клиента, не проверяются на фишинг и вредоносное ПО, поскольку серверы Google не имеют доступа к их содержимому.

Сканирование с использованием алгоритмов предотвращения потери данных (DLP) не может получить доступ к зашифрованному содержимому на стороне клиента в файлах или электронной почте. Однако вы можете создавать правила DLP для:

• Просканируйте незашифрованные метаданные файлов на Диске, такие как название файла и метки Диска, — это может помочь предотвратить утечку конфиденциальных данных.
• Просканируйте файлы на Google Диске, чтобы определить, зашифрованы ли они на стороне клиента, выбрав условие правила « Состояние шифрования файла» > « Зашифровано на стороне клиента » или «Не зашифровано на стороне клиента» .

Подробную информацию о создании правил DLP для Google Диска см. в разделе «Создание правил DLP для Google Диска и пользовательских детекторов контента».

Если вы переведете пользователей на лицензию Google Workspace, которая не включает CSE, они по-прежнему смогут получать доступ к зашифрованным на стороне клиента элементам и редактировать их, например, файлы и электронную почту. Однако они не смогут создавать новые зашифрованные на стороне клиента элементы.

Если вы хотите прекратить использование CSE и расшифровать такие элементы, как файлы и электронные письма, сначала необходимо экспортировать эти элементы с помощью инструмента «Экспорт данных» . Затем используйте утилиту расшифровки , чтобы удалить CSE.