Google vil lade kunder selv kryptere dokumenter på klienten

1 kommentar.  Hop til debatten
Google vil lade kunder selv kryptere dokumenter på klienten
Illustration: faithiecannoise/Bigstock.
I første omgang kan nøgler placeres hos tredjepart. Senere kan kunder selv stå for krypteringen.
16. juni 2021 kl. 09:00
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Google Workspace, som omfatter tjenesterne Google Docs, Slides og Sheets, vil nu give mulighed for kryptering på klientsiden, så Google ikke kan læse indholdet.

Det skriver Techcrunch.

Virksomheder, der benytter Googles tjenester, kan placere deres krypteringsnøgler hos en af indtil videre fire partnere. Det er firmaerne Flowcrypt, Futurex, Thales og Virtru, hvoraf to er europæiske.

Muligheden er rettet imod virksomheder, som er omfattet af regulativer.

Artiklen fortsætter efter annoncen

De fleste metadata, herunder filnavne, labels og lister over adgangskontrol, er fortsat tilgængelige for Google, hvilket er nødvendigt for at drifte tjenesten, skrives der i firmaets dokumentation.

Senere på året vil Google offentliggøre et api, der giver en kunde mulighed for at drifte sin egen nøgletjeneste, og dermed få direkte kontrol over egne krypteringsnøgler.

I den ovenfor nævnte dokumentation gennemgår Google, hvordan krypteringsfunktionen på klientsiden fungerer. Muligheden vil blive rullet ud i en beta-version i de kommende uger.

1 kommentar.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
1
16. juni 2021 kl. 15:00

Grundlæggende har Google gjort det rigtige. De tillader at client side kryptering og at man selv kan vælge key management.

Problemet opstår fordi den kode der laver kryptering kører i min browser og er downloaded fra Google. På den måde vil nogen kunne tvinge google til at svække sikkerheden for kode for udvalgte brugere. De brugere vil i praksis ikke have nogen mulighed for at opdage det.

I praksis kan man ikke lave web applicationer med kryptering hvor man ikke stoler på dem der udbyder webapplicationen. Det er det samme problem vi ser omkring alle dem der ønsker en rigtig digital signatur i stedet for NemID's authentikeringsmekanisme. Hvis kryptering skal give mening så skal jeg som bruger kontrollere den maskine det kører på, hvor nøgler gemmes, hvilket program der kører og hvad det er der krypteres/signeres. Ellers må man stole på dem der kontrollerer hver af de 4 komponenter.

Derfor vil en digital signatur løsning også kræve software der rent faktisk skal installeres hos brugeren. Software som er lavet af nogen man stoler på. Det samme med googles løsning her.

Så vi er tilbage ved start ... blot uden at indkassere 4000 kr.