Google客户管理加密密钥(CMEK)与普通的静态加密有何不同？

Question

我正试图与一个使用Google与客户管理加密密钥(CMEK)一起使用Google的供应商解决一个遵从性问题。

供应商将个人数据存储在Google中，并声称CMEK确保Google不能解密和访问存储的数据。这是真的吗？

从我所能读到的(从Google的模糊文档中)来看，CMEK让客户对密钥有更多的控制权，但是Google仍然可以访问密钥(因此也可以访问数据)，而且我不认为这与从法规(Schrems II)的角度来看普通的rest加密有什么不同。

请随意链接文档和答案。我看不出很多关于这个问题的文献。

(我在欧盟工作，是一家在向不安全的第三国传输数据时拥有“最坏情况”-mindset的公司。)我们不希望欧盟/欧盟以外的数据(未加密)

Answer 1

我同意你的评估，CMEK仍然提供谷歌访问的关键。尽管我认为谷歌需要特殊的环境才能访问这些数据，但它“可能”会发生。下面参考文献中列出的博客也是这样说的：

携带您自己的密钥(BYOK)允许企业对其数据进行加密，并保留对其加密密钥的控制和管理。然而，一些BYOK计划将加密密钥上传到云服务提供商基础设施。在这种情况下，该企业再次丧失了对其钥匙的控制权。

该博客指出，Google有一个名为(CEKM)的自己的密钥(HYOK)服务，它允许您在Google之外生成和使用密钥。

关于Schrems II我不是律师。Google提供了他们的GDPR遵从性的详细信息，以及与确保GDPR在云中的保护有关的指示。

我确实认为有人担心即使是加密的数据离开欧盟，

法院强调，保护性合同条款对第三方或当局没有约束力，因此很可能无效，而情报机构的密码分析和量子计算工作引起了对加密等保护性技术措施有效性的关切。

参考文献

云数据安全谁应该持有密钥

谷歌云探地雷达