אסימוני הרשאה

אסימון למוכ"ז (JWT: RFC 7516) שהונפקו על ידי Google כדי לאמת שהמתקשר מורשה להצפין או לפענח את ההודעה. משאב.

כדי למנוע ניצול לרעה, שירות Key Access List (KACLS) צריך לאמת מבצע הקריאה החוזרת מורשה להצפין את האובייקט (קובץ או מסמך) לפני אריזת המפתח ולפענח אותו לפני פתיחת ה-DEK.

אסימון הרשאה ל-Docs & הצפנה מצד הלקוח (CSE) ב-Drive, ביומן Google וב-Meet

ייצוג JSON
{
  "aud": string,
  "email": string,
  "email_type": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string
}
שדות
aud

string

הקהל, כפי ש-Google זיהתה. יש לבדוק מול התצורה המקומית.

email

string (UTF-8)

כתובת האימייל של המשתמש.

email_type

string

מכיל אחד מהערכים הבאים:

  • google: כתובת האימייל הזו שייכת לחשבון Google.
  • google-visitor: כתובת האימייל הזו לא שייכת לחשבון Google, אבל קוד האימות אומת על ידי Google.
  • customer-idp: כתובת האימייל הזו לא שייכת לחשבון Google, אבל כתובת האימייל של המשתמש נשלפה באמצעות IdP שהוגדר על ידי הלקוח.
  • אפשר לבטל את ההגדרה של התלונה. במקרה הזה, ערך ברירת המחדל הוא 'google'.
exp

string

מועד תפוגה.

iat

string

זמן הנפקה.

iss

string

מנפיק האסימון. צריך לבצע אימות מול קבוצה מהימנה של מנפיקי אימות.

kacls_url

string

כתובת ה-URL של KACLS הבסיסית שהוגדרה, משמשת למניעת התקפות אדם בתווך (PITM).

perimeter_id

string (UTF-8)

(אופציונלי) ערך הקשור למיקום המסמך, שיכול לשמש כדי לבחור את ההיקף שייבדק במהלך פתיחת האריזה. גודל מקסימלי: 128 בייטים.

resource_name

string (UTF-8)

מזהה של האובייקט שהוצפן על ידי ה-DEK. גודל מקסימלי: 128 בייטים.

role

string

מכיל אחד מהערכים הבאים:

  • reader: מורשה לבצע קריאה אל unwrap בלבד.
  • writer: מורשה לקרוא גם ל-wrap וגם ל-unwrap

אסימון הרשאה ל-CSE של Gmail

ייצוג JSON
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "message_id": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string,
  "spki_hash": string,
  "spki_hash_algorithm": string
}
שדות
aud

string

הקהל, כפי ש-Google זיהתה. יש לבדוק מול התצורה המקומית.

email

string (UTF-8)

כתובת האימייל של המשתמש.

exp

string

מועד תפוגה.

iat

string

זמן הנפקה.

message_id

string

מזהה של ההודעה שבה הפענוח או החתימה לביצוע. משמש כסיבת הלקוח למטרות ביקורת.

iss

string

מנפיק האסימון. צריך לבצע אימות מול קבוצה מהימנה של מנפיקי אימות.

kacls_url

string

כתובת ה-URL של KACLS הבסיסית שהוגדרה, משמשת למניעת התקפות אדם בתווך (PITM).

perimeter_id

string (UTF-8)

(אופציונלי) ערך הקשור למיקום המסמך, שיכול לשמש כדי לבחור את ההיקף שייבדק במהלך פתיחת האריזה. גודל מקסימלי: 128 בייטים.

resource_name

string (UTF-8)

מזהה של האובייקט שהוצפן על ידי ה-DEK. גודל מקסימלי: 512 בייטים.

role

string

מכיל אחד מהערכים הבאים:

  • decrypter: ניתן לפענח.
  • signer: ניתן לחתום.
spki_hash

string

תקציר סטנדרטי בקידוד base64 של SubjectPublicKeyInfo בקידוד DER של המפתח הפרטי שאליו מתבצעת גישה.

spki_hash_algorithm

string

האלגוריתם ששימש להפקת spki_hash. יכול להיות SHA-256.

אסימון הרשאה לשירות ההעברה של KACLS

ייצוג JSON
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string,
  "role": string
}
שדות
aud

string

הקהל, כפי ש-Google זיהתה. יש לבדוק מול התצורה המקומית.

email

string (UTF-8)

כתובת האימייל של המשתמש.

exp

string

מועד תפוגה.

iat

string

זמן הנפקה.

iss

string

מנפיק האסימון. צריך לבצע אימות מול קבוצה מהימנה של מנפיקי אימות.

kacls_url

string

כתובת ה-URL של KACLS הבסיסית שהוגדרה, משמשת למניעת התקפות אדם בתווך (PITM).

role

string

מכיל אחד מהערכים הבאים:

  • migrator: מורשה לבצע קריאה אל rewrap בלבד.
  • verifier: מורשה לבצע קריאה אל digest בלבד.