Câu hỏi thường gặp về tính năng mã hoá phía máy khách

Để biết thông tin chi tiết về chế độ mã hoá mặc định của Google, hãy truy cập vào trang web của Google Cloud.

Để biết thêm thông tin về tính năng mã hoá tiêu chuẩn cho Gmail, hãy xem phần Mã hoá khi truyền trong Trung tâm trợ giúp của Gmail.

Với tính năng mã hoá hai đầu (E2EE), quá trình mã hoá và giải mã luôn diễn ra trên thiết bị nguồn và thiết bị đích (chẳng hạn như trên điện thoại di động để nhắn tin tức thời). Khoá mã hoá được tạo trên máy khách, vì vậy, với tư cách là quản trị viên, bạn không có quyền kiểm soát các khoá trên máy khách và những người có thể sử dụng các khoá đó. Ngoài ra, bạn không thể biết người dùng đã mã hoá nội dung nào.

Với tính năng mã hoá phía máy khách (CSE), quá trình mã hoá và giải mã cũng luôn diễn ra trên thiết bị nguồn và thiết bị đích, trong trường hợp này là trình duyệt của khách hàng. Tuy nhiên, với CSE, các ứng dụng sẽ sử dụng khoá mã hoá được tạo và lưu trữ trong một dịch vụ quản lý khoá dựa trên đám mây, nhờ đó bạn có thể kiểm soát các khoá và những người có quyền truy cập vào các khoá đó. Ví dụ: bạn có thể thu hồi quyền truy cập của người dùng vào các khoá, ngay cả khi người dùng đó đã tạo khoá. Ngoài ra, với CSE, bạn có thể giám sát các tệp đã mã hoá của người dùng.

Người dùng có thể chọn một lựa chọn trong các dịch vụ được hỗ trợ để bật CSE. Để biết thêm thông tin về cách người dùng có thể bật tính năng mã hoá phía máy khách trong ứng dụng web và ứng dụng di động, hãy xem bài viết Tổng quan về trải nghiệm người dùng đối với tính năng mã hoá phía máy khách.

Có, một số tính năng trong các dịch vụ của Google sẽ không hoạt động khi CSE được bật. Để biết thêm thông tin, hãy xem bài viết Tổng quan về trải nghiệm người dùng của tính năng mã hoá phía máy khách.

Khoá mã hoá được dùng để chuyển đổi dữ liệu sang định dạng không đọc được để dữ liệu xuất hiện ngẫu nhiên. Điều này giúp dữ liệu không bị lộ cho bất kỳ ai hoặc bất kỳ thứ gì chưa được phê duyệt để đọc dữ liệu. Để đọc dữ liệu đã mã hoá, một cá nhân hoặc ứng dụng cần có khoá để chuyển đổi dữ liệu trở lại định dạng ban đầu.

Để sử dụng khoá mã hoá nhằm thêm một lớp mã hoá vào dữ liệu Google Workspace của tổ chức, bạn cần sử dụng một dịch vụ quản lý khoá hợp tác với Google hoặc tạo dịch vụ khoá của riêng mình bằng API CSE của Google. Ngoài ra, chỉ đối với Gmail, bạn có thể sử dụng chế độ mã hoá bằng khoá phần cứng. Trong chế độ này, khoá mã hoá của người dùng nằm trên thẻ thông minh.

Google đã hợp tác với một số dịch vụ quản lý khoá để sử dụng với tính năng CSE. Để xem danh sách các dịch vụ, hãy truy cập vào bài viết Thiết lập dịch vụ khoá cho tính năng mã hoá phía máy khách.

Không, bạn cần sử dụng một dịch vụ quản lý khoá bên ngoài để thiết lập tính năng Mã hoá phía máy khách của Google Workspace. Với CSE, bạn có quyền kiểm soát khoá mã hoá của riêng mình và Google không thể truy cập vào các khoá đó để giải mã dữ liệu của bạn.

Có, bạn có thể sử dụng nhiều dịch vụ mã khoá và chọn dịch vụ cần dùng cho một đơn vị tổ chức hoặc nhóm. Hoặc bạn có thể di chuyển nội dung đã mã hoá từ dịch vụ này sang dịch vụ khác.

Lưu ý: Trong Bảng điều khiển dành cho quản trị viên, bạn có thể thiết lập một dịch vụ khoá duy nhất cho tính năng mã hoá phía máy khách của Gmail. Tìm hiểu về các lựa chọn khác để quản lý khoá tại Google Workspace Client-side Encryption API .

Có, nếu tổ chức của bạn sử dụng thẻ thông minh để truy cập vào các cơ sở và hệ thống, thì bạn có thể thiết lập tính năng mã hoá bằng khoá phần cứng cho tính năng CSE của Gmail. Bạn phải có tiện ích bổ sung Quyền kiểm soát có đảm bảo hoặc Quyền kiểm soát có đảm bảo Plus. Người dùng có thể sử dụng thẻ thông minh (chứa khoá mã hoá riêng tư) để mã hoá thư email. Để biết thông tin chi tiết, hãy xem bài viết Chỉ dành cho Gmail: Thiết lập và quản lý chế độ mã hoá bằng khoá phần cứng cho tính năng mã hoá phía máy khách.

Có, bạn có thể thiết lập cả dịch vụ khoá và khoá mã hoá phần cứng cho tính năng CSE của Gmail. Bạn phải có tiện ích bổ sung Quyền kiểm soát có đảm bảo hoặc Quyền kiểm soát có đảm bảo Plus. Bạn cũng chỉ định cả dịch vụ khoá và chế độ mã hoá khoá phần cứng cho cùng một người dùng. Tuy nhiên, người dùng chỉ có thể sử dụng một loại mã hoá cho Gmail, tuỳ thuộc vào cách bạn thiết lập khoá mã hoá riêng tư cho Gmail. Để biết thông tin chi tiết, hãy xem bài viết Chỉ Gmail: Định cấu hình chứng chỉ S/MIME cho tính năng mã hoá phía máy khách.

Có, bạn có thể chuyển sang một dịch vụ khoá khác. Nếu bạn làm như vậy, thì bạn nên di chuyển nội dung được mã hoá bằng dịch vụ khoá hiện tại sang dịch vụ mới. Để biết thông tin chi tiết, hãy xem bài viết Nếu bạn muốn chuyển sang một dịch vụ khoá mới.

Bạn quản lý danh sách kiểm soát quyền truy cập (ACL) khoá cho các khoá mã hoá thông qua dịch vụ khoá bên ngoài. ACL của bạn cần có tất cả những người dùng cần mã hoá hoặc giải mã (xem hoặc chỉnh sửa) nội dung. Hãy liên hệ với nhà cung cấp dịch vụ mã hoá của bạn để biết thêm thông tin.

Ngoài ra, bạn cần bật CSE cho những người dùng cần mã hoá dữ liệu. Để biết thông tin chi tiết, hãy xem bài viết Bật hoặc tắt tính năng mã hoá phía máy khách cho người dùng.

Đối với Gmail, Google Drive và Lịch Google, bạn có thể chỉ định rằng CSE được bật theo mặc định cho một số đơn vị tổ chức cụ thể. Bạn phải có tiện ích bổ sung Quyền kiểm soát có đảm bảo hoặc Quyền kiểm soát có đảm bảo Plus.

Nếu bạn chỉ định rằng CSE được bật theo mặc định, thì người dùng vẫn có thể tắt CSE nếu cần.

Để biết thông tin chi tiết, hãy xem bài viết Bật hoặc tắt tính năng mã hoá phía máy khách cho người dùng.

Bạn không cần thiết lập CSE riêng cho bộ nhớ dùng chung. Dịch vụ khoá bên ngoài mà bạn thiết lập trong Bảng điều khiển dành cho quản trị viên sẽ hoạt động cho cả tệp trong Drive của tôi và bộ nhớ dùng chung.

Nếu bạn gặp vấn đề khi thiết lập CSE, hãy chuyển đến phần Xem thông tin chi tiết về cảnh báo để biết thêm thông tin.

Có. Chuyển đến phần Di chuyển thư sang Gmail dưới dạng email được mã hoá phía máy khách.

Có. Chuyển đến phần cấp quyền truy cập bên ngoài vào nội dung được mã hoá phía máy khách.

Bạn có thể di chuyển các tệp được mã hoá phía máy khách sang một dịch vụ khoá mới. Để biết thông tin chi tiết, hãy xem bài viết Nếu bạn muốn chuyển sang một dịch vụ khoá mới.

Có, bạn có thể xoá lớp mã hoá phía máy khách khỏi tài liệu, bảng tính hoặc bản trình bày trên Google. Để biết thông tin chi tiết, hãy xem bài viết Xoá lớp mã hoá khỏi tài liệu.

Để giải mã các tệp được mã hoá phía máy khách mà bạn xuất bằng công cụ Xuất dữ liệu hoặc Google Vault, bạn có thể sử dụng trình giải mã (một tiện ích dòng lệnh). Để biết thông tin chi tiết, hãy xem bài viết Giải mã các tệp đã mã hoá phía máy khách được xuất.

Có. Nếu phiên bản Google Workspace của bạn có Google Vault, bạn có thể lưu giữ, tìm kiếm và xuất tệp trên Drive và email trên Gmail được mã hoá phía máy khách trong Vault.

Để biết thông tin chi tiết, hãy truy cập Trung tâm trợ giúp của Google Vault.

• Đối với nội dung văn bản được mã hoá phía máy khách trong Google Tài liệu và Trang trình bày, các mô hình học máy trên thiết bị cung cấp chức năng kiểm tra chính tả, giúp duy trì tính bảo mật của dữ liệu trong tài liệu.
• Đối với Gmail và nhận xét trong Google Tài liệu, trình duyệt cung cấp chức năng kiểm tra chính tả.

  Nếu tổ chức của bạn sử dụng Google Chrome: Đảm bảo rằng người dùng CSE không sử dụng tính năng Kiểm tra chính tả nâng cao của Chrome. Lựa chọn này sẽ gửi dữ liệu đến Google. Thay vào đó, người dùng CSE có thể sử dụng tính năng Kiểm tra chính tả cơ bản của Chrome. Tính năng này không gửi dữ liệu đến Google. Để biết thêm thông tin, hãy xem bài viết Bật hoặc tắt tính năng kiểm tra chính tả của Chrome. Nếu sử dụng trình duyệt Chrome được quản lý, bạn có thể tạo một chính sách để tắt tính năng kiểm tra chính tả cho người dùng CSE. Chính sách này sẽ tắt tính năng Kiểm tra chính tả nâng cao nhưng không tắt tính năng Kiểm tra chính tả cơ bản. Để biết thông tin chi tiết, hãy xem bài viết Đặt các chính sách của Chrome cho người dùng hoặc trình duyệt.

Có, bạn có thể chuyển đổi các tệp Google Trang tính đã xuất và giải mã thành tệp Microsoft Excel. Để biết thông tin chi tiết, hãy xem bài viết Chuyển đổi tệp Google đã xuất và giải mã thành tệp Microsoft Office.

Các tệp và email được mã hoá phía máy khách sẽ không được quét để tìm hành vi tấn công giả mạo và phần mềm độc hại, vì máy chủ của Google không có quyền truy cập vào nội dung.

Tính năng quét ngăn chặn mất dữ liệu (DLP) không thể truy cập vào nội dung được mã hoá phía máy khách trong tệp hoặc email. Tuy nhiên, bạn có thể tạo các quy tắc DLP để:

• Quét siêu dữ liệu chưa mã hoá của tệp trên Drive, chẳng hạn như tiêu đề tệp và nhãn trên Drive. Việc này có thể giúp ngăn chặn tình trạng rò rỉ dữ liệu nhạy cảm.
• Quét các tệp trên Drive để xác định xem các tệp đó có được mã hoá phía máy khách hay không bằng cách chọn điều kiện quy tắc Trạng thái mã hoá tệp > Là > Được mã hoá phía máy khách hoặc Không được mã hoá phía máy khách.

Để biết thông tin chi tiết về cách tạo quy tắc DLP cho Drive, hãy xem bài viết Tạo quy tắc DLP cho Drive và trình phát hiện nội dung tuỳ chỉnh.

Nếu chuyển người dùng sang giấy phép Google Workspace không có CSE, họ vẫn có thể truy cập và chỉnh sửa mọi mục được mã hoá phía máy khách, chẳng hạn như tệp và email. Tuy nhiên, họ không thể tạo bất kỳ mục nào mới được mã hoá phía máy khách.

Nếu muốn ngừng sử dụng CSE và giải mã các mục như tệp và email, trước tiên, bạn cần xuất các mục đó bằng công cụ Xuất dữ liệu. Sau đó, hãy dùng tiện ích giải mã để xoá CSE.