Als uw organisatie gebruikmaakt van client-side versleuteling (CSE) in Google Workspace, kunt u het hulpprogramma voor het ontsleutelen gebruiken om client-side versleutelde bestanden en e-mailberichten te ontsleutelen die u exporteert met de tool Gegevensexport of Google Vault . U kunt het hulpprogramma voor het ontsleutelen uitvoeren via de opdrachtregel.
Wanneer u de decryptor uitvoert, gebruikt u opdrachtregelparameters om de authenticatiegegevens van uw identiteitsprovider (IdP), de locatie van de versleutelde bestanden, de uitvoerlocatie voor de onversleutelde bestanden en andere opties op te geven. U kunt ook een configuratiebestand (config) aanmaken om de meestgebruikte parameters van de decryptor op te slaan.
Voordat je begint
- Wanneer je een Google Docs-, Sheets- of Slides-bestand decodeert, eindigt de bestandsnaam op
.gdoczipof iets dergelijks. Na decodering kun je deze bestanden converteren naar het Microsoft Office-formaat met behulp van de bestandsconvertertool. Zie voor meer informatie: Geëxporteerde en gedecodeerde Google-bestanden converteren naar Microsoft Office-bestanden . - Als je Gmail CSE-berichten vanuit Google Vault exporteert, moet je exporteren in het MBOX-formaat. De decryptietool kan geen exports in het PST-formaat verwerken.
- Het decryptieprogramma kan alle berichten decoderen die zijn versleuteld met S/MIME-certificaten. Het kan ook berichten decoderen die niet zijn versleuteld met S/MIME-certificaten (dat wil zeggen, berichten die gebruikmaken van Gmail end-to-end-versleuteling (E2EE) ), als uw gebruikers de berichten of het oorspronkelijke bericht in gesprekken hebben versleuteld.
- Het decryptieprogramma kan geen berichten decoderen (inclusief alle berichten in een gesprek) die zonder S/MIME-certificaten (Gmail E2EE) bij een andere organisatie zijn versleuteld.
Systeemvereisten
- Microsoft Windows versie 10 of 11 64-bit
- macOS 12 (Monterey) of later. Zowel Apple- als Intel-processors worden ondersteund.
- Linux x86_64.
Download de decryptor
Open het archief of volume en pak het decryptieprogramma uit naar een lokale map.
Configureer de toegang tot de belangrijkste service
De decryptietool stuurt vragen naar uw encryptiesleutelservice, ook wel een Key Access Control List Service (KACLS) genoemd, die elk versleuteld bestand of bericht in uw export beschermt. Vraag de beheerder van uw identiteitsprovider (IdP) en de beheerder van uw encryptiesleutelservice om de referenties die de KACLS accepteert; anders zal de KACLS de pogingen van de decryptietool om de geëxporteerde inhoud te decoderen afwijzen.
Wat je nodig hebt
Om de toegang tot KACLS te configureren, moet u ervoor zorgen dat u beschikt over:
- Een OAuth-client-ID die geïnstalleerde applicaties kunnen gebruiken . De client-ID voor de decryptor moet een client-ID zijn die bruikbaar is voor geïnstalleerde desktopsoftware en specifiek is voor het decryptieprogramma. Deze client-ID moet verschillen van de client-ID's die zijn ingesteld in de Google Admin-console voor de CSE-web-, desktop- en mobiele applicaties.
- Het OAuth-clientgeheim dat is gekoppeld aan de client-ID , als uw identiteitsprovider Google is. U hebt het clientgeheim niet nodig als u een identiteitsprovider van een derde partij gebruikt.
- Het e-mailadres van het gebruikersaccount dat zich aanmeldt bij KACLS voor exportdecryptie. Dit kan uw eigen account zijn, of een speciaal account dat door uw beheerders is geconfigureerd. U moet als deze gebruiker inloggen wanneer u het decryptieprogramma uitvoert, dus u hebt waarschijnlijk het wachtwoord van het account nodig.
KACLS-eindpunten
De KACLS-configuratie moet het gebruikersaccount en de client-ID toestaan om de eindpunten aan te roepen die worden gebruikt voor het ontsleutelen van exportgegevens. Uw KACLS-beheerder kan dit doorgaans voor u instellen. Het KACLS-eindpunt dat door de ontsleutelaar wordt aangeroepen, is afhankelijk van het type versleutelde inhoud:
- Kalender CSE:
privilegedunwrap - Docs CSE, Sheets CSE, Slides CSE:
privilegedunwrap - Drive CSE:
privilegedunwrap - Gmail CSE (met S/MIME-certificaten):
privilegedprivatekeydecrypt - Gmail CSE (zonder S/MIME-certificaten):
privilegedunwrap
Gmail S/MIME-toegang configureren (optioneel)
Als je client-side versleutelde Gmail-berichten die S/MIME gebruiken uit Google Vault decodeert, moet de decryptor de openbare API van Gmail aanroepen om aanvullende gegevens te downloaden. Google Vault-exports bevatten niet de S/MIME-certificaten van elke gebruiker, dus de decryptor haalt deze indien nodig automatisch op uit Gmail.
Om de decryptor in staat te stellen de S/MIME-certificaten voor elke gebruiker in uw organisatie op te vragen, moet u een domeinbrede serviceaccountreferentie aan de decryptor doorgeven. Zie voor meer informatie over het instellen van dit serviceaccount en het maken van een JSON-bestand met de privéreferentie voor het serviceaccount de pagina Gmail: S/MIME configureren voor client-side encryptie .
Opmerking: Deze configuratie is niet nodig als u client-side versleutelde berichten decodeert vanuit de tool voor gegevensexport, of als u versleutelde berichten decodeert vanuit Vault die geen S/MIME-certificaten hebben.
De decryptor kan de S/MIME-certificaten van een gebruiker niet ophalen en kan daarom geen client-side versleutelde berichten decoderen die gebruikmaken van S/MIME als aan een van de volgende voorwaarden is voldaan:
- Het gebruikersaccount is uitgeschakeld of verwijderd.
- De S/MIME-certificaten op het account zijn verwijderd.
- De toegang tot de Gmail API is uitgeschakeld.
Om ervoor te zorgen dat versleutelde berichten aan de clientzijde met S/MIME-certificaten worden ontsleuteld, kunt u het volgende doen:
- Decodeer direct berichten die vanuit Vault zijn geëxporteerd, zolang de certificaten nog beschikbaar zijn.
- Gebruik de tool voor gegevensexport om berichten te exporteren; deze exports bevatten de certificaten van elke gebruiker.
Maak eerst een configuratiebestand aan.
De decryptor gebruikt OAuth en uw IdP om een authenticatiereferentie te verkrijgen die wordt meegestuurd met elk KACLS privilegedunwrap en privilegedprivatekeydecrypt verzoek. Uw OAuth-configuratie zal niet vaak veranderen, dus u kunt een configuratiebestand (config) maken met uw OAuth-instellingen om te voorkomen dat u deze elke keer opnieuw moet instellen wanneer u de decryptor uitvoert. Zie de secties 'Config creation flags' en 'Config update flags' hieronder voor meer informatie over de vlaggen in het configuratiebestand.
Opmerking: Hoewel deze configuratiestap optioneel is, wordt het aanbevolen om het gebruik van het decryptieprogramma te vereenvoudigen. Als u geen configuratiebestand aanmaakt, kunt u in plaats daarvan de OAuth-vlaggen via de commandoregel doorgeven aan elke uitvoering van het decryptieprogramma. Als u beide doet, overschrijven de vlagwaarden die via de commandoregel worden doorgegeven de waarden die uit het configuratiebestand worden gelezen.
Voorbeeld: Een configuratiebestand maken voor de Google IdP.
Op Windows
Op macOS of Linux
Nu kunt u de configuratie bijwerken om het OAuth-clientgeheim toe te voegen aan de autorisatiecode-grantflow.
Op Windows
Op macOS of Linux
Als uw identiteitsprovider (IdP) niet Google is: voeg dan geen clientgeheim toe, dit is alleen nodig voor de Google IdP. Veel andere IdP's zullen authenticatieverzoeken afwijzen als het clientgeheim aanwezig is.
CSE-bestanden en e-mails decoderen.
Het decryptieprogramma werkt met uitgepakte exportbestanden.
- Nadat u een export hebt gemaakt in de tool voor gegevensexport of Google Vault, downloadt u de zipbestanden naar uw computer.
- Pak de bestanden uit naar een lokale map.
- Voer het decryptieprogramma uit op de uitgepakte bestanden en sla de onversleutelde platte tekstbestanden op in een andere map.
Voorbeeld: Een voorbereid configuratiebestand gebruiken zonder de serviceaccountgegevens.
Op Windows
Op macOS of Linux
Voorbeeld: Een voorbereid configuratiebestand gebruiken met de inloggegevens van een serviceaccount.
Op Windows
Op macOS of Linux
Voorbeeld: Geen gebruik maken van een configuratiebestand of serviceaccountreferenties.
Op Windows
Op macOS of Linux
Decryptievlaggen
Een decryptievlag kan één of twee koppeltekens aan het begin bevatten. De vlag voor het weergeven van helpinformatie kan bijvoorbeeld een van de volgende zijn:
-help
--help
Let op: je mag alleen koppeltekens gebruiken voor vlaggen, geen schuine strepen (/).
Vlaggen voor tekenreeksargumenten kunnen een gelijkheidsteken of een spatie bevatten om het argument te specificeren. De volgende vlaggen zijn bijvoorbeeld equivalent:
-action=decrypt
-action decrypt
Help-vlaggen
| Vlag | Beschrijving |
|---|---|
-version | Geeft de versie weer. Als u contact opneemt met de supportafdeling, vermeld dan de versie van de decryptiesoftware die u gebruikt. |
-help | Toont een schermafbeelding van alle vlaggen ter referentie. |
-logfile | Hiermee wordt het uitvoerbestand opgegeven waar de uitvoeringslogboeken worden opgeslagen. De tekst [TIMESTAMP] in de bestandsnaam wordt vervangen door de starttijd van de uitvoering. |
Ontsleutelingsvlaggen
| Vlag | Beschrijving |
|---|---|
-action decrypt | Optioneel. Specificeert dat de modus van het hulpprogramma is om CSE-bestanden te decoderen. Dit is de standaardmodus. |
-email <email_address> | Optioneel. Het e-mailadres dat mogelijk al is ingevuld in het authenticatiescherm van de identiteitsprovider dat in de browser wordt geopend. |
-issuer <uri> | Vereist, tenzij het in het configuratiebestand staat. De OAuth-uitgever-ontdekkings-URI voor de identiteitsprovider, bijvoorbeeld https://accounts.google.com. Zie Verbinding maken met een identiteitsprovider voor client-side versleuteling voor meer informatie. |
-client_id <oauth_client_id> | Vereist, tenzij het in het configuratiebestand staat. Een OAuth-client-ID van de identiteitsprovider die is opgegeven in de -issuer vlag. Zie Verbinding maken met een identiteitsprovider voor client-side versleuteling voor meer informatie. |
-client_secret <oauth_client_secret> | Optioneel, hoewel sommige identiteitsproviders dit mogelijk vereisen. Het OAuth-clientgeheim dat overeenkomt met de client-ID die is opgegeven in de vlag -client_id . |
-pkce | Schakel PKCE (Proof Key for Code Exchange) in of uit in het autorisatiecode-verleningsproces. Als geen van beide vlaggen is opgegeven, is de decryptor standaard ingeschakeld. |
-input <directory_or_file> | Vereist. De invoermap of het exportbestand. Als u een map opgeeft, doorloopt de decryptor recursief de hele mappenstructuur om alle geëxporteerde CSE-bestanden te vinden. Gebruik deze optie om alle geëxporteerde bestanden uit een uitgepakt exportarchief in één keer te decoderen. Als u één geëxporteerd CSE-bestand opgeeft, zal de decryptor alleen dat bestand decoderen. Als het geen CSE-bestand is, zal de decryptor u vragen om te authenticeren bij de IdP, maar geen bestanden decoderen. |
-output <directory> | Vereist. De map waarin de onversleutelde bestanden worden opgeslagen. |
-overwrite | Hiermee kunt u het overschrijven van bestaande onversleutelde uitvoerbestanden in platte tekst in- of uitschakelen. Indien uitgeschakeld (standaard), slaat het programma het onversleutelen van bestanden over als het bestand in platte tekst al bestaat. |
-workers <integer> | Optioneel. Het aantal parallelle decryptieprocessen. Als u deze vlag niet gebruikt, gebruikt de decryptietool standaard het aantal processorkernen en hyperthreads dat door het besturingssysteem wordt gerapporteerd. Als uw computer prestatieproblemen ondervindt of als u een foutmelding krijgt over meerdere processen tijdens het decoderen van bestanden, kunt u deze vlag op 1 zetten om parallelle verwerking uit te schakelen. |
-config <file> | Optioneel. Een configuratiebestand met opgeslagen vlagwaarden. Gebruik een configuratiebestand om te voorkomen dat u dezelfde opdrachtregelvlaggen telkens opnieuw moet plakken bij het decoderen van bestanden. Zie 'Vlaggen voor het aanmaken van configuratiebestanden' en 'Vlaggen voor het bijwerken van configuratiebestanden' hieronder voor meer informatie. Vlagwaarden die u via de commandoregel instelt, hebben voorrang op waarden in het configuratiebestand. Let op: als u een bestand in de configuratie opgeeft en dit niet wordt gevonden, treedt er een fout op. |
-credential <file> | Optioneel. Geef een JSON-bestand op met de privésleutel van een serviceaccount voor het hele domein. Indien opgegeven, zal het decoderen van Gmail CSE-berichten de Gmail API raadplegen voor de S/MIME-certificaten en KACLS-metadata van elke gebruiker. |
Vlaggen voor het aanmaken van configuraties
Gebruik deze vlaggen om veelgebruikte decryptie-opdrachtregelvlaggen op te slaan in een configuratiebestand voor hergebruik. Een configuratiebestand is opgemaakt in JSON-formaat, dat leesbare tekst bevat.
| Vlag | Beschrijving |
|---|---|
-action createconfig | Vereist. Overschrijft de standaard uitvoeringsmodus naar de modus voor het aanmaken van configuratiebestanden. |
-config file | Verplicht. Geef de naam op van het uitvoerbestand waar u de configuratie wilt opslaan. Als het bestand al bestaat, wordt het zonder waarschuwing overschreven. |
-email <email_address> | Optioneel. Alle opgegeven vlagwaarden worden opgeslagen in het configuratiebestand voor hergebruik. |
Configuratie-updatevlaggen
Gebruik deze vlaggen om de waarden van vlaggen in een configuratiebestand bij te werken.
| Vlag | Beschrijving |
|---|---|
-action updateconfig | Vereist. Overschrijft de standaard uitvoeringsmodus naar de modus voor het bijwerken van het configuratiebestand. |
-config file | Vereist. Het configuratiebestand dat u wilt bijwerken. Als het bestand niet bestaat, treedt er een fout op. |
-email <email_address> | Alles is optioneel. Waarden voor vlaggen die u op de commandoregel opgeeft, worden overschreven; andere waarden voor vlaggen in het configuratiebestand blijven behouden. Om een opgeslagen vlag te verwijderen, geeft u een lege waarde op. Let op: als een bewerking het JSON-formaat beschadigt, zal er waarschijnlijk een fout optreden wanneer u de configuratie in de decryptor gebruikt. |
Informatievlaggen
Gebruik deze vlaggen om leesbare informatie over CSE-bestanden af te drukken.
| Vlag | Beschrijving |
|---|---|
-action info | (Vereist) Overschrijft de standaard uitvoeringsmodus om in informatiemodus te draaien. |
-input directory_or_file | (Vereist) Specificeert de invoermap of het exportbestand Als u een map opgeeft, scant het programma recursief de hele mappenstructuur op zoek naar alle CSE-exportbestanden. Als u een bestand opgeeft, geeft het programma alleen informatie over dat bestand. U kunt deze vlag herhalen om extra invoermappen of -bestanden op te geven. Voorbeeld: |