Benutzerdefinierten Schlüsseldienst für clientseitige Verschlüsselung erstellen
Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
Sie können Ihre eigenen Verschlüsselungsschlüssel verwenden, um die Daten Ihrer Organisation zu verschlüsseln, anstatt die Verschlüsselung von Google Workspace zu nutzen. Mit der clientseitigen Verschlüsselung (Client-side Encryption, CSE) von Google Workspace erfolgt die Dateiverschlüsselung im Browser des Clients, bevor die Datei im cloudbasierten Speicher von Google Drive gespeichert wird. So können die Google-Server nicht auf Ihre Verschlüsselungsschlüssel zugreifen und Ihre Daten nicht entschlüsseln. Weitere Informationen finden Sie unter Clientseitige Verschlüsselung.
Mit dieser API können Sie die Verschlüsselungsschlüssel der obersten Ebene zum Schutz Ihrer Daten mit einem benutzerdefinierten externen Schlüsseldienst verwalten. Nachdem Sie mit dieser API einen externen Schlüsseldienst erstellt haben, können Google Workspace-Administratoren eine Verbindung zu ihm herstellen und die clientseitige Verschlüsselung für ihre Nutzer aktivieren.
Wichtige Terminologie
Im Folgenden finden Sie eine Liste der häufig verwendeten Begriffe in der Google Workspace Client-side Encryption API:
Clientseitige Verschlüsselung (CSE)
Verschlüsselung, die im Browser des Clients erfolgt, bevor die Daten im cloudbasierten Speicher abgelegt werden. Dadurch wird verhindert, dass die Datei vom Speicheranbieter gelesen wird. Weitere Informationen
Key Access Control List Service (KACLS)
Ihr externer Schlüsseldienst, der diese API verwendet, um den Zugriff auf Verschlüsselungsschlüssel zu steuern, die in einem externen System gespeichert sind.
Identitätsanbieter (Identity Provider, IdP)
Der Dienst, der Nutzer authentifiziert, bevor sie Dateien verschlüsseln oder auf verschlüsselte Dateien zugreifen können.
Ein Schlüssel aus Ihrem Dienst, der zum Verschlüsseln eines Datenverschlüsselungsschlüssels (Data Encryption Key, DEK) verwendet wird.
Zugriffssteuerung
Access Control List (ACL)
Eine Liste von Nutzern oder Gruppen, die eine Datei öffnen oder lesen können.
JSON Web Token (JWT) für die Authentifizierung
Inhabertoken (JWT: RFC 7516), das vom Identitätspartner (IdP) ausgestellt wird, um die Identität eines Nutzers zu bestätigen.
Autorisierungs-JSON-Webtoken (JWT)
Bearer-Token (JWT: RFC 7516), das von Google ausgestellt wird, um zu prüfen, ob der Aufrufer berechtigt ist, eine Ressource zu verschlüsseln oder zu entschlüsseln.
JSON-Webschlüsselsatz (JWKS)
Eine schreibgeschützte Endpunkt-URL, die auf eine Liste von öffentlichen Schlüsseln verweist, die zum Überprüfen von JSON-Webtokens (JWTs) verwendet werden.
Perimeter
Zusätzliche Prüfungen, die an den Authentifizierungs- und Autorisierungstokens innerhalb des KACLS zur Zugriffssteuerung durchgeführt werden.
Prozess der clientseitigen Verschlüsselung
Nachdem ein Administrator die clientseitige Verschlüsselung für seine Organisation aktiviert hat, können Nutzer, für die die clientseitige Verschlüsselung aktiviert ist, verschlüsselte Dokumente mit den Google Workspace-Tools für die gemeinsame Inhaltserstellung wie Google Docs und Google Tabellen erstellen oder Dateien verschlüsseln, die sie in Google Drive hochladen, z. B. PDFs.
Nachdem der Nutzer ein Dokument oder eine Datei verschlüsselt hat, gilt Folgendes:
Google Workspace generiert einen DEK im Clientbrowser, um den Inhalt zu verschlüsseln.
Google Workspace sendet den DEK und die Authentifizierungstokens zur Verschlüsselung an Ihren Drittanbieter-KACLS. Dazu wird eine URL verwendet, die Sie dem Administrator der Google Workspace-Organisation zur Verfügung stellen.
Ihr KACLS verwendet diese API, um den DEK zu verschlüsseln, und sendet den verschleierten, verschlüsselten DEK dann zurück an Google Workspace.
Google Workspace speichert die verschleierten, verschlüsselten Daten in der Cloud. Nur Nutzer mit Zugriff auf Ihre KACLS können auf die Daten zugreifen.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Benötigte Informationen nicht gefunden","missingTheInformationINeed","thumb-down"],["Zu umständlich/zu viele Schritte","tooComplicatedTooManySteps","thumb-down"],["Nicht mehr aktuell","outOfDate","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Problem mit Beispielen/Code","samplesCodeIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-08-04 (UTC)."],[[["\u003cp\u003eGoogle Workspace Client-side Encryption (CSE) allows you to encrypt your organization's data with your own keys, preventing Google servers from accessing or decrypting it.\u003c/p\u003e\n"],["\u003cp\u003eThis API enables you to manage the encryption keys via an external key service, giving you control over data access.\u003c/p\u003e\n"],["\u003cp\u003eCSE encrypts files in the user's browser before they are stored in Google Drive, ensuring only authorized users with access to your external key service can decrypt them.\u003c/p\u003e\n"],["\u003cp\u003eWhen a file is encrypted, Google Workspace generates a Data Encryption Key (DEK), which is then encrypted by your external key service and stored with the encrypted data.\u003c/p\u003e\n"],["\u003cp\u003eTo get started, you can configure your external key service and learn how to encrypt and decrypt data using the provided guides.\u003c/p\u003e\n"]]],["Google Workspace Client-side Encryption (CSE) allows users to encrypt data in their browser before cloud storage. This is achieved by using your own external Key Access Control List Service (KACLS). Google Workspace generates a Data Encryption Key (DEK) and sends it to your KACLS for encryption with a Key Encryption Key (KEK). Your service then returns the encrypted DEK to Google Workspace. This ensures that only users with KACLS access can decrypt the stored data.\n"],null,["You can use your own encryption keys to encrypt your organization's data,\ninstead of using the encryption that Google Workspace provides. With Google Workspace Client-side Encryption (CSE), file encryption is handled in the\nclient's browser before it's stored in Drive's cloud-based storage. That way,\nGoogle servers can't access your encryption keys and, therefore, can't decrypt\nyour data. For more details, see\n[About client-side encryption](https://support.google.com/a/answer/10741897#zippy=%2Cbasic-setup-steps-for-cse).\n\nThis API lets you control the top-level encryption keys that protect your data\nwith a custom external key service. After you create an external key service\nwith this API, Google Workspace administrators can connect to it and enable CSE\nfor their users.\n\nImportant terminology\n\nBelow is a list of common terms used in the Google Workspace Client-side Encryption API:\n\n*Client-side encryption (CSE)*\n: Encryption that's handled in the client's browser before it's stored in\n cloud-based storage. This protects the file from being read by the storage\n provider. [Learn more](https://support.google.com/a/answer/10741897#zippy=%2Chow-is-cse-different-from-end-to-end-ee-encryption)\n\n*Key Access Control List Service (KACLS)*\n: Your external key service that uses this API to control access to encryption\n keys stored in an external system.\n\n*Identity Provider (IdP)*\n: The service that authenticates users before they can encrypt files or access\n encrypted files.\n\nEncryption \\& decryption\n\n*Data Encryption Key (DEK)*\n: The key used by Google Workspace in the browser client to encrypt the data\n itself.\n\n*Key Encryption Key (KEK)*\n: A key from your service used to encrypt a Data Encryption Key (DEK).\n\nAccess control\n\n*Access Control List (ACL)*\n: A list of users or groups that can open or read a file.\n\n*Authentication JSON Web Token (JWT)*\n: Bearer token ([JWT: RFC 7516](https://tools.ietf.org/html/rfc7516))\n issued by the identity partner (IdP) to attest a user's identity.\n\n*Authorization JSON Web Token (JWT)*\n: Bearer token ([JWT: RFC 7516](https://tools.ietf.org/html/rfc7516))\n issued by Google to verify that the caller is authorized to encrypt or decrypt a resource.\n\n*JSON Web Key Set (JWKS)*\n: A read-only endpoint URL that points to a list of public keys used to verify\n JSON Web Tokens (JWT).\n\n*Perimeter*\n: Additional checks performed on the authentication and authorization tokens\n within the KACLS for access control.\n\nClient-side encryption process\n\nAfter an administrator enables CSE for their organization, users for whom CSE is\nenabled can choose to create encrypted documents using the Google Workspace\ncollaborative content creation tools, like Docs and Sheets, or encrypt files\nthey upload to Google Drive, such as PDFs.\n\nAfter the user encrypts a document or file:\n\n1. Google Workspace generates a DEK in the client browser to encrypt the\n content.\n\n2. Google Workspace sends the DEK and authentication tokens to your third-party\n KACLS for encryption, using a URL you provide to the\n Google Workspace organization's administrator.\n\n3. Your KACLS uses this API to encrypt the DEK, then sends the obfuscated,\n encrypted DEK back to Google Workspace.\n\n4. Google Workspace stores the obfuscated, encrypted data in the cloud.\n Only users with access to your KACLS are able to access the data.\n\nFor more details, see [Encrypt and decrypt files](/workspace/cse/guides/encrypt-and-decrypt-data).\n\nNext steps\n\n- Learn how to [configure your service](/workspace/cse/guides/configure-service).\n- Learn how to [encrypt \\& decrypt data](/workspace/cse/guides/encrypt-and-decrypt-data)."]]
