Vanliga frågor om klientsideskryptering

För mer information om Googles standardkryptering, gå till Google Cloud-webbplatsen .

För mer information om standardkryptering för Gmail, gå till Kryptering under överföring i Gmails hjälpcenter.

Med end-to-end-kryptering (E2EE) sker kryptering och dekryptering alltid på käll- och destinationsenheterna (t.ex. på mobiltelefoner för snabbmeddelanden). Krypteringsnycklar genereras på klienten, så som administratör har du inte kontroll över nycklarna på klienterna och vem som kan använda dem. Dessutom har du inte insyn i vilket innehåll användare har krypterat.

Med klientsideskryptering (CSE) sker kryptering och dekryptering alltid på käll- och destinationsenheterna, vilket i det här fallet är klienternas webbläsare. Med CSE använder klienterna dock krypteringsnycklar som genereras och lagras i en molnbaserad nyckelhanteringstjänst, så att du kan kontrollera nycklarna och vem som har åtkomst till dem. Du kan till exempel återkalla en användares åtkomst till nycklar, även om den användaren genererade dem. Med CSE kan du också övervaka användarnas krypterade filer.

Användare kan välja ett alternativ i tjänster som stöds för att aktivera CSE. För mer information om hur användare kan aktivera CSE i webb- och mobilappar, gå till Översikt över användarupplevelsen för klientsideskryptering .

Ja, vissa funktioner i Googles tjänster är inte tillgängliga när CSE är aktiverat. För mer information, gå till Översikt över användarupplevelsen för klientsidans kryptering .

En krypteringsnyckel används för att omvandla data till ett oläsligt format så att det visas slumpmässigt. Detta håller informationen privat från alla eller allt som inte är godkänt att läsa den. För att läsa krypterad data behöver en individ eller ett program en nyckel för att konvertera informationen tillbaka till sitt ursprungliga format.

Om du vill använda krypteringsnycklar för att lägga till ett krypteringslager i organisationens Google Workspace-data måste du använda en nyckelhanteringstjänst som samarbetar med Google eller skapa din egen nyckeltjänst med Googles CSE API. Alternativt kan du, endast för Gmail, använda hårdvarunyckelkryptering, där en användares krypteringsnyckel finns på ett smartkort.

Google har samarbetat med flera nyckelhanteringstjänster för användning med CSE. För en lista över tjänster, gå till Konfigurera din nyckeltjänst för klientsideskryptering .

Nej, du måste använda en extern nyckelhanteringstjänst för att konfigurera klientsideskryptering i Google Workspace. Med CSE kontrollerar du dina egna krypteringsnycklar, och Google kan inte komma åt dem för att dekryptera dina data.

Ja, du kan använda mer än en nyckeltjänst och välja vilken tjänst som ska användas för en organisationsenhet eller grupp. Eller så kan du migrera krypterat innehåll från en tjänst till en annan.

Obs ! I administratörskonsolen kan du konfigurera en enda nyckeltjänst för Gmail-kryptering på klientsidan. Läs mer om andra alternativ för att hantera nycklar på Google Workspace Client-side Encryption API .

Ja, om din organisation använder smartkort för att komma åt anläggningar och system kan du konfigurera hårdvarunyckelkryptering för Gmail CSE. Kräver att du har tillägget Assured Controls eller Assured Controls Plus . Användare kan använda sina smartkort, som innehåller deras privata krypteringsnyckel, för att kryptera sina e-postmeddelanden. För mer information, gå till Endast Gmail: Konfigurera och hantera hårdvarunyckelkryptering för klientsideskryptering .

Ja, du kan konfigurera både en nyckeltjänst och hårdvarukrypteringsnycklar för Gmail CSE. Kräver att du har tillägget Assured Controls eller Assured Controls Plus . Du tilldelar också både nyckeltjänsten och hårdvarukrypteringen till samma användare. En användare kan dock bara använda en typ av kryptering för Gmail, vilket beror på hur du konfigurerar deras privata krypteringsnyckel för Gmail. För mer information, gå till Endast Gmail: Konfigurera S/MIME-certifikat för klientsideskryptering .

Ja, du kan byta till en annan nyckeltjänst. Om du gör detta är det bäst att migrera innehåll som är krypterat med din nuvarande nyckeltjänst till den nya tjänsten. Mer information finns i Om du vill byta till en ny nyckeltjänst .

Du hanterar åtkomstkontrollistan (ACL) för krypteringsnycklar via din externa nyckeltjänst. Din ACL måste inkludera alla användare som behöver antingen kryptera eller dekryptera (visa eller redigera) innehåll. Kontakta din krypteringsleverantör för mer information.

Dessutom måste du aktivera CSE för alla användare som behöver kryptera data. Mer information finns i Aktivera eller inaktivera klientsideskryptering för användare .

För Gmail, Google Drive och Google Kalender kan du ange att CSE är aktiverat som standard för specifika organisationsenheter. Kräver att du har tillägget Assured Controls eller Assured Controls Plus .

Om du anger att CSE är aktiverat som standard kan användare fortfarande stänga av CSE om det behövs.

För mer information, gå till Aktivera eller inaktivera klientsideskryptering för användare .

Du behöver inte konfigurera CSE specifikt för delade enheter. Den externa nyckeltjänsten som du konfigurerar i administratörskonsolen fungerar för filer på både Min enhet och delade enheter.

Om du har problem med konfigurationen av ASM kan du gå till Visa aviseringsinformation för mer information.

Ja. Gå till Migrera meddelanden till Gmail som krypterad e-post på klientsidan .

Ja. Gå för att ge extern åtkomst till krypterat innehåll på klientsidan .

Du kan migrera krypterade filer på klientsidan till en ny nyckeltjänst. Mer information finns i Om du vill byta till en ny nyckeltjänst .

Ja, du kan ta bort klientsideskryptering från ett Google-dokument, kalkylblad eller en presentation. Mer information finns i Ta bort kryptering från ett dokument .

För att dekryptera CSE-filer som du exporterar med hjälp av verktyget Dataexport eller Google Vault kan du använda dekrypteraren, ett kommandoradsverktyg. Mer information finns i Dekryptera exporterade klientsideskrypterade filer .

Ja, om din Google Workspace-utgåva har Google Vault kan du behålla, söka efter och exportera Drive-filer och Gmail-e-post som är krypterade på klientsidan i Vault.

Du kan söka efter filer som krypteras på klientsidan efter deras metadata, till exempel titel och ägare. Du kan dock inte söka i deras innehåll, söka efter filtyp, förhandsgranska innehållet eller ladda ner från förhandsgranskningsvyn.

För mer information, gå till hjälpcentret för Google Arkiv .

• För klientsidans krypterade brödtextinnehåll i Google Dokument och Presentationer tillhandahåller maskininlärningsmodeller på enheten stavningskontrollfunktioner, vilket bevarar dokumentdatas sekretess.
• För Gmail och kommentarer i Google Dokument tillhandahåller webbläsaren stavningskontrollfunktion.

  Om din organisation använder Google Chrome: Se till att CSE-användare inte använder Chromes utökade stavningskontroll – det här alternativet skickar data till Google. Istället kan CSE-användare använda Chromes grundläggande stavningskontroll , som inte skickar data till Google . För mer information, gå till Aktivera eller inaktivera Chromes stavningskontroll . Om du använder en hanterad Chrome-webbläsare kan du skapa en policy för att inaktivera stavningskontroll för CSE-användare, vilket inaktiverar den utökade stavningskontrollen men inte den grundläggande stavningskontrollen . För mer information, gå till Ange Chrome-policyer för användare eller webbläsare .

Ja, du kan konvertera exporterade och dekrypterade Google Sheets-filer till Microsoft Excel-filer. Mer information finns i Konvertera exporterade och dekrypterade Google-filer till Microsoft Office-filer .

Klientkrypterade filer och e-post genomsöks inte efter nätfiske och skadlig programvara eftersom Googles servrar inte har åtkomst till innehållet.

DLP-skanningar (Data Loss Prevention) kan inte komma åt krypterat innehåll på klientsidan i filer eller e-post. Du kan dock skapa DLP-regler för att:

• Skanna Drive-filers okrypterade metadata, som filtitel och Drive-etiketter – detta kan bidra till att förhindra läckage av känslig data.
• Skanna Drive-filer för att avgöra om de är krypterade på klientsidan genom att välja regelvillkoret Filkrypteringsstatus > Är > Krypterad på klientsidan eller Inte krypterad på klientsidan .

För mer information om hur du skapar DLP-regler för Drive, gå till Skapa DLP för Drive-regler och anpassade innehållsdetektorer.

Om du byter användare till en Google Workspace-licens som inte inkluderar CSE kan de fortfarande komma åt och redigera alla klientsideskrypterade objekt, till exempel filer och e-post. De kan dock inte skapa några nya klientsideskrypterade objekt.

Om du vill sluta använda CSE och dekryptera objekt som filer och e-post måste du först exportera dessa objekt med hjälp av verktyget Data Export . Använd sedan dekrypteringsverktyget för att ta bort CSE.