Versioni supportate per questa funzionalità: Enterprise Plus; Education Standard ed Education Plus. Confronta la tua versione
In questo articolo puoi trovare le risposte alle domande più comuni sulla crittografia lato client di Google Workspace.
Informazioni sulla crittografia
Dove posso trovare informazioni sulla crittografia predefinita di Google?
Per informazioni dettagliate sulla crittografia predefinita di Google, visita il sito di Google Cloud.
Per ulteriori dettagli sulla crittografia standard per Gmail, consulta Crittografia delle email in transito nel Centro assistenza Gmail.
In cosa si differenzia la crittografia lato client dalla crittografia end-to-end (e2e)?
Con la crittografia end-to-end (e2e), criptazione e decriptazione vengono sempre eseguite sui dispositivi di origine e di destinazione, ad esempio sui telefoni cellulari per la messaggistica immediata. Le chiavi di crittografia vengono generate sul client; pertanto, in quanto amministratore, non hai il controllo sulle chiavi dei client e su chi può utilizzarle. Inoltre, non hai visibilità su quali contenuti vengono criptati dagli utenti.
Anche con la crittografia lato client, la crittografia e la decrittografia vengono sempre eseguite sui dispositivi di origine e di destinazione, in questo caso i browser dei client. Tuttavia, con la crittografia lato client i client utilizzano chiavi di crittografia generate e archiviate in un servizio di gestione delle chiavi basato su cloud. Sei quindi tu a controllare le chiavi e chi può accedervi. Ad esempio, puoi revocare l'accesso di un utente alle chiavi, anche se è stato quell'utente a generarle. Inoltre, con la crittografia lato client puoi monitorare i file criptati degli utenti.
Informazioni sull'esperienza utente della crittografia lato client
In che modo gli utenti criptano i dati utilizzando la crittografia lato client?
Gli utenti possono scegliere di attivare la crittografia lato client nei servizi supportati. Per saperne di più su come gli utenti possono attivare la crittografia lato client in app web e mobile, consulta Panoramica dell'esperienza utente della crittografia lato client.
Esistono limitazioni per gli utenti quando utilizzano la crittografia lato client?
Sì, alcune funzionalità dei servizi Google non sono disponibili quando la crittografia lato client è attiva. Per saperne di più, consulta Panoramica dell'esperienza utente della crittografia lato client.
Configurare la crittografia lato client
Che cosa sono le chiavi di crittografia e come faccio a ottenerle?
Una chiave di crittografia viene utilizzata per trasformare i dati in un formato illeggibile in modo che risultino casuali. Ciò mantiene i dati privati in modo che non possano essere letti da qualunque persona o cosa non approvata per farlo. Per leggere i dati criptati, una persona o un'applicazione ha bisogno di una chiave per riconvertirli nel formato originale.
Per utilizzare le chiavi di crittografia per aggiungere un livello di crittografia ai dati di Google Workspace della tua organizzazione, devi ricorrere a un servizio di gestione delle chiavi fornito da un partner di Google oppure creare il tuo servizio chiavi utilizzando l'API CSE di Google. In alternativa, solo per Gmail, puoi utilizzare la crittografia della chiave hardware, in cui la chiave di crittografia di un utente si trova su una smart card.
Quali servizi di gestione delle chiavi forniti da partner posso utilizzare con la crittografia lato client?
Google ha stretto una partnership con diversi servizi di gestione delle chiavi che possono essere utilizzati con la crittografia lato client. Per un elenco dei servizi, consulta Configurare il servizio chiavi per la crittografia lato client.
Posso utilizzare Google come servizio di gestione delle chiavi?
No. Per configurare la crittografia lato client di Google Workspace, devi utilizzare un servizio di gestione delle chiavi esterno. Con la crittografia lato client sei tu a controllare le tue chiavi di crittografia e Google non può accedere a quelle chiavi per decriptare i tuoi dati.
Posso utilizzare più servizi chiavi?
Sì, puoi utilizzare più di un servizio chiavi e scegliere quale servizio utilizzare per un'unità organizzativa o un gruppo. In alternativa, puoi migrare i contenuti criptati da un servizio a un altro.
Nota: nella Console di amministrazione puoi configurare un unico servizio chiavi per la crittografia lato client di Gmail. Scopri altre opzioni di gestione delle chiavi nell'API Client-Side Encryption di Google Workspace.
Posso utilizzare le smart card con la crittografia lato client?
Sì, se la tua organizzazione utilizza smart card per accedere a strutture e sistemi, puoi configurare la crittografia della chiave hardware per la crittografia lato client di Gmail. Requires having the Assured Controls add-on. Gli utenti possono utilizzare le smart card, che contengono la loro chiave di crittografia privata, per criptare i propri messaggi email. Per maggiori dettagli, consulta Solo Gmail: configurare e gestire la crittografia della chiave hardware per la crittografia lato client.
Posso utilizzare sia un servizio chiavi sia chiavi di crittografia hardware per Gmail?
Sì, per la crittografia lato client di Gmail puoi configurare sia un servizio chiavi sia chiavi di crittografia hardware. Requires having the Assured Controls add-on. Puoi anche assegnare sia il servizio chiavi sia la crittografia della chiave hardware agli stessi utenti. Tuttavia, un utente può utilizzare un solo tipo di crittografia per Gmail, che dipende da come hai configurato la sua chiave di crittografia privata per Gmail. Per maggiori dettagli, consulta Solo Gmail: caricare le chiavi di crittografia per la crittografia lato client.
Posso passare a un servizio chiavi diverso?
Sì, puoi passare a un servizio chiavi diverso. In questo caso ti consigliamo di migrare al nuovo servizio i contenuti criptati con il servizio chiavi attuale. Per maggiori dettagli, consulta Se si vuole passare a un nuovo servizio chiavi.
Come faccio a limitare gli utenti o i gruppi che possono accedere al servizio chiavi esterno?
Puoi gestire l'elenco di controllo dell'accesso per le chiavi di crittografia (KACL) tramite il servizio chiavi esterno. Il tuo elenco KACL deve includere tutti gli utenti che devono criptare o decriptare (visualizzare o modificare) i contenuti. Per saperne di più, contatta il tuo provider di crittografia.
Inoltre, è necessario attivare la crittografia lato client per tutti gli utenti che devono criptare i dati. Per maggiori dettagli, consulta Attivare o disattivare la crittografia lato client per gli utenti.
Posso imporre l'utilizzo della crittografia lato client a utenti specifici?
Per Gmail, Google Drive e Google Calendar, puoi specificare che la crittografia lato client sia attiva per impostazione predefinita per unità organizzative specifiche. Requires having the Assured Controls add-on.
Se specifichi che la crittografia lato client sia attiva per impostazione predefinita, gli utenti possono comunque disattivarla, se necessario.
Per maggiori dettagli, consulta Attivare o disattivare la crittografia lato client per gli utenti.
Come faccio a configurare la crittografia lato client per i Drive condivisi?
Non è necessario configurare la crittografia lato client in modo specifico per i Drive condivisi. Il servizio chiavi esterno che hai configurato nella Console di amministrazione funziona per i file che si trovano sia su Il mio Drive sia sui Drive condivisi.
Cosa succede se ricevo un avviso durante la configurazione della crittografia lato client?
Se si verificano problemi con la configurazione della crittografia lato client, consulta Visualizzare i dettagli degli avvisi per saperne di più.
Posso consentire a utenti esterni di accedere ai contenuti con crittografia lato client della mia organizzazione?
Utilizzare contenuti con crittografia lato client
Posso criptare nuovamente i file esistenti con una chiave di crittografia diversa?
Puoi migrare i file con crittografia lato client a un nuovo servizio chiavi. Per maggiori dettagli, consulta Se si vuole passare a un nuovo servizio chiavi.
Posso passare alla crittografia predefinita di Google per un file già criptato?
Sì, puoi rimuovere la crittografia lato client da un documento, un foglio di lavoro o una presentazione Google. Per maggiori dettagli, consulta Rimuovere la crittografia da un documento.
Come faccio a decriptare le email e i file di Drive esportati?
Per decriptare i file con crittografia lato client esportati con lo strumento Esportazione dei dati o con Google Vault, puoi utilizzare l'utilità di decrittografia a riga di comando. Per maggiori dettagli, consulta Decriptare i file con crittografia lato client esportati.
Posso conservare, cercare ed esportare email e file criptati in Google Vault?
Sì, se la tua versione di Google Workspace comprende Google Vault, puoi conservare, cercare ed esportare i file di Drive e le email di Gmail con crittografia lato client in Vault.
Puoi cercare i file con crittografia lato client in base ai relativi metadati, ad esempio titolo e proprietario. Tuttavia, non puoi cercare i loro contenuti, eseguire ricerche per tipo di file, visualizzare l'anteprima dei contenuti o scaricarli dalla visualizzazione di anteprima.
Per maggiori dettagli, visita il Centro assistenza Google Vault.
Analizzare email e file con crittografia lato client
Drive e Gmail analizzano automaticamente i contenuti con crittografia lato client per rilevare eventuali minacce alla sicurezza?
Le email e i file con crittografia lato client non vengono analizzati per rilevare attività di phishing e malware, in quanto i server di Google non hanno accesso ai contenuti.
Posso eseguire analisi DLP per rilevare i contenuti delle email o dei file con crittografia lato client?
Le analisi di Prevenzione della perdita di dati (DLP) non possono accedere ai contenuti con crittografia lato client di email e file. Tuttavia, devi creare regole DLP per:
- Analizzare i metadati non criptati dei file di Drive, ad esempio il titolo e le etichette di Drive, per evitare fughe di dati sensibili.
- Analizzare i file di Drive per determinare se sono dotati di crittografia lato client o meno scegliendo la condizione della regola Stato della crittografia del file > È > Con crittografia lato client o Senza crittografia lato client.
Per maggiori dettagli sulla creazione di regole DLP per Drive, consulta Creare regole e rilevatori di contenuti personalizzati di DLP per Drive.
Passaggio a una versione di Google Workspace che non supporta la crittografia lato client
Che cosa succede ai contenuti criptati se le licenze degli utenti non prevedono più la crittografia lato client?
Se passi a una licenza Google Workspace che non include la crittografia lato client, gli utenti potranno comunque accedere a qualsiasi elemento con crittografia lato client, ad esempio file ed email, e modificarlo. Tuttavia, non potranno creare nuovi elementi con crittografia lato client.
Posso rimuovere la crittografia dai contenuti se non vogliamo più utilizzare la crittografia lato client?
Se non vuoi più utilizzare la crittografia lato client e vuoi decriptare elementi come file e email, devi prima esportarli con lo strumento Esportazione dei dati. Poi, utilizza l'utilità di decrittografia per rimuovere la crittografia lato client.
