הצפנה ופענוח של נתונים

במדריך הזה מוסבר איך הצפנה ופענוח פועלים באמצעות Google Workspace Client-side Encryption API.

צריך להוסיף לרשימת ההיתרים את כל שירותי ספק הזהויות (IdP) שמשמשים משתמשים שמשתפים קבצים מוצפנים. בדרך כלל אפשר למצוא את הפרטים הנדרשים של ספק הזהויות בקובץ ה-‎.well-known שזמין לציבור. אם לא, צריך לפנות לאדמין של Google Workspace בארגון כדי לקבל את הפרטים של ספק הזהויות.

הצפנת נתונים

כשמשתמש ב-Google Workspace מבקש לשמור או לאחסן נתונים מוצפנים בצד הלקוח (CSE),‏ Google Workspace שולחת בקשת wrap להצפנה לכתובת ה-URL של נקודת הקצה של שירות רשימת בקרת הגישה למפתחות (KACLS). בנוסף לבדיקות אבטחה אופציונליות, כמו בדיקות היקפיות ובדיקות שמבוססות על טענות JWT, מערכת KACLS צריכה לבצע את השלבים הבאים:

  1. מאמתים את המשתמש ששולח את הבקשה.

    • מאמתים את טוקן האימות ואת טוקן ההרשאה.
    • כדי לוודא שאסימוני ההרשאה והאימות הם של אותו משתמש, צריך לבצע התאמה לא תלוית-רישיות לטענות לגבי כתובת האימייל.
    • אם אסימון האימות מכיל את טענת google_email האופציונלית, צריך להשוות אותה לטענת האימייל באסימון ההרשאה באמצעות גישה לא תלוית-רישיות. אל תשתמשו בתביעת הבעלות על כתובת האימייל בטוקן האימות לצורך ההשוואה הזו.
    • בתרחישים שבהם אסימון האימות לא כולל את טענת google_email האופציונלית, צריך להשוות בין טענת האימייל באסימון האימות לבין טענת האימייל באסימון ההרשאה, באמצעות שיטה שלא מבחינה בין אותיות רישיות לאותיות קטנות.
    • בתרחישים שבהם Google מנפיקה אסימון הרשאה לאימייל שלא משויך לחשבון Google, email_typeהתביעה חייבת להיות נוכחת. המידע הזה הוא חלק חשוב בתכונת הגישה לאורחים, והוא מספק ל-KACLS מידע חשוב כדי לאכוף אמצעי אבטחה נוספים על משתמשים חיצוניים.
      • דוגמאות לשימושים של KACLS במידע הזה:
      • להטיל דרישות נוספות בנוגע לרישום ביומן.
      • כדי להגביל את מנפיק טוקן האימות ל-IdP ייעודי לאורחים.
      • כדי לדרוש הצהרות נוספות בטוקן האימות.
      • אם לקוח לא הגדיר גישת אורח, יכול להיות שכל הבקשות שבהן email_type מוגדר כ-google-visitor או כ-customer-idp יידחו. צריך להמשיך לאשר בקשות עם email_type של google או עם email_type שלא הוגדר.
    • אם אסימון האימות מכיל את הטענה האופציונלית delegated_to, הוא צריך להכיל גם את הטענה resource_name, ויש להשוות בין שתי הטענות האלה לבין הטענות delegated_to ו-resource_name באסימון ההרשאה. צריך להשוות את ההצהרות delegated_to בלי להתחשב באותיות רישיות, והערך resource_name באסימונים צריך להיות זהה לערך resource_name של הפעולה.
    • בודקים שהערך של התביעה role באסימון ההרשאה הוא writer או upgrader.
    • בודקים שהצהרת kacls_url באסימון ההרשאה תואמת לכתובת ה-URL הנוכחית של KACLS. הבדיקה הזו מאפשרת לזהות שרתים פוטנציאליים של מתקפת 'אדם באמצע' שהוגדרו על ידי משתמשים פנימיים או אדמינים של דומיין סורר.
    • ביצוע בדיקה היקפית באמצעות טענות אימות והרשאה.

  2. הצפנה של החלקים הבאים באמצעות אלגוריתם הצפנה מאומת:

    • מפתח להצפנת נתונים (DEK)
    • הערכים resource_name ו-perimeter_id מאסימון ההרשאה
    • מידע אישי רגיש נוסף

  3. רישום הפעולה ביומן, כולל המשתמש שיזם אותה, resource_name והסיבה שהועברה בבקשה.

  4. החזרת אובייקט בינארי אטום לאחסון על ידי Google Workspace לצד האובייקט המוצפן, ושליחתו כמו שהוא בכל פעולת ביטול עטיפה של מפתח בהמשך. או להציג תשובה עם שגיאה מובנית.

    • האובייקט הבינארי צריך להכיל את העותק היחיד של ה-DEK המוצפן. אפשר לאחסן בו נתונים ספציפיים להטמעה.

פענוח נתונים

כשמשתמש ב-Google Workspace מבקש לפתוח נתונים מוצפנים בצד הלקוח (CSE),‏ Google Workspace שולחת בקשת unwrap לכתובת ה-URL של נקודת הקצה של KACLS לצורך פענוח. בנוסף לבדיקות אבטחה אופציונליות, כמו בדיקות היקפיות ובדיקות שמבוססות על טענות JWT, מערכת KACLS חייבת לבצע את השלבים הבאים:

  1. מאמתים את המשתמש ששולח את הבקשה.

    • מאמתים את טוקן האימות ואת טוקן ההרשאה.
    • כדי לוודא שאסימוני ההרשאה והאימות הם של אותו משתמש, צריך לבצע התאמה לא תלוית-רישיות לטענות לגבי כתובת האימייל.
    • אם אסימון האימות מכיל את טענת google_email האופציונלית, צריך להשוות אותה לטענת האימייל באסימון ההרשאה באמצעות גישה לא תלוית-רישיות. אל תשתמשו בתביעת הבעלות על כתובת האימייל בטוקן האימות לצורך ההשוואה הזו.
    • בתרחישים שבהם אסימון האימות לא כולל את טענת google_email האופציונלית, צריך להשוות בין טענת האימייל באסימון האימות לבין טענת האימייל באסימון ההרשאה, באמצעות שיטה שלא מבחינה בין אותיות רישיות לאותיות קטנות.
    • בתרחישים שבהם Google מנפיקה אסימון הרשאה לאימייל שלא משויך לחשבון Google, email_typeהתביעה חייבת להיות נוכחת. המידע הזה הוא חלק חשוב בתכונת הגישה לאורחים, והוא מספק ל-KACLS מידע חשוב כדי לאכוף אמצעי אבטחה נוספים על משתמשים חיצוניים.
      • דוגמאות לשימושים של KACLS במידע הזה:
      • להטיל דרישות נוספות בנוגע לרישום ביומן.
      • כדי להגביל את מנפיק טוקן האימות ל-IdP ייעודי לאורחים.
      • כדי לדרוש הצהרות נוספות בטוקן האימות.
      • אם לקוח לא הגדיר גישת אורח, יכול להיות שכל הבקשות שבהן email_type מוגדר כ-google-visitor או כ-customer-idp יידחו. צריך להמשיך לאשר בקשות עם email_type של google או עם email_type שלא הוגדר.
    • אם אסימון האימות מכיל את הטענה האופציונלית delegated_to, הוא צריך להכיל גם את הטענה resource_name, ויש להשוות בין שתי הטענות האלה לבין הטענות delegated_to ו-resource_name באסימון ההרשאה. צריך להשוות את ההצהרות delegated_to בלי להתחשב באותיות רישיות, והערך resource_name באסימונים צריך להיות זהה לערך resource_name של הפעולה.
    • בודקים שהערך של התביעה role באסימון ההרשאה הוא reader או writer.
    • בודקים שהצהרת kacls_url באסימון ההרשאה תואמת לכתובת ה-URL הנוכחית של KACLS. כך אפשר לזהות שרתי פוטנציאליים של מתקפת 'אדם באמצע' שהוגדרו על ידי משתמשים פנימיים או מנהלי דומיין לא מורשים.

  2. מפענחים את החלקים הבאים באמצעות אלגוריתם הצפנה מאומת:

    • מפתח להצפנת נתונים (DEK)
    • הערכים resource_name ו-perimeter_id מאסימון ההרשאה
    • מידע אישי רגיש נוסף

  3. בודקים שהערך resource_name בטוקן ההרשאה וב-blob המפוענח זהה.

  4. מבצעים בדיקה היקפית באמצעות טענות אימות והרשאה.

  5. רישום הפעולה ביומן, כולל המשתמש שיזם אותה, resource_name והסיבה שהועברה בבקשה.

  6. מחזירה את ה-DEK שהאריזה שלו נפתחה או תשובה עם שגיאה מובנית.