رمزگشایی فایل‌ها و ایمیل‌های رمزگذاری‌شده‌ی سمت کلاینتِ خروجی گرفته‌شده

If your organization uses Google Workspace Client-side encryption (CSE), you can use the decrypter utility to decrypt client-side encrypted files and email messages that you export using the Data Export tool or Google Vault . You can run the decrypter from a command line.

When you run the decrypter, you'll use command-line flags to specify your identity provider (IdP) authentication information, the location of encrypted files, the output location for decrypted files, and other options. You can also create a configuration (config) file to save decrypter flags you frequently use.

قبل از اینکه شروع کنی

  • When you decrypt a Google Docs, Sheets, or Slides file, the file name ends with .gdoczip or similar. After decryption, you can convert these files to Microsoft Office format using the file converter tool. For details, go to Convert exported and decrypted Google files to Microsoft Office files .
  • اگر پیام‌های Gmail CSE را از Google Vault صادر می‌کنید، باید آنها را در قالب MBOX صادر کنید. رمزگشا نمی‌تواند صادرات با فرمت PST را پردازش کند.
  • The decrypter utility can decrypt any messages encrypted with S/MIME certificates. It can also decrypt messages encrypted without S/MIME certificates (that is, messages using Gmail end-to-end encryption (E2EE) ), if your users encrypted the messages or the original message in threads.
  • ابزار رمزگشایی نمی‌تواند پیام‌هایی (از جمله تمام پیام‌های موجود در یک رشته پیام) را که بدون گواهی‌های S/MIME (Gmail E2EE) در سازمان دیگری رمزگذاری شده‌اند، رمزگشایی کند.

الزامات سیستم

  • مایکروسافت ویندوز نسخه ۱۰ یا ۱۱ ۶۴ بیتی
  • macOS 12 (مونتری) یا بالاتر. هر دو پردازنده اپل و اینتل پشتیبانی می‌شوند.
  • لینوکس x86_64.

رمزگشا را دانلود کنید

بایگانی یا ولوم را باز کنید و فایل اجرایی رمزگشا را در یک دایرکتوری یا پوشه محلی استخراج کنید.

پیکربندی دسترسی به سرویس کلید

The decrypter sends queries to your encryption key service, also called a key access control list service (KACLS), which protects each encrypted file or message in your export. Ask your identity provider's (IdP's) administrator and your encryption key service administrator for credentials the KACLS will accept; otherwise, the KACLS will reject the decrypter's attempts to decrypt exported content.

آنچه شما نیاز دارید

برای پیکربندی دسترسی KACLS، مطمئن شوید که موارد زیر را دارید:

  • An OAuth client ID that installed applications can use . The client ID for the decrypter must be a client ID usable by installed desktop software and specific to the decrypter utility. This client ID must be a different client ID from the client IDs set in the Google Admin console for the CSE web, desktop, and mobile applications.
  • رمز کلاینت OAuth مرتبط با شناسه کلاینت ، اگر IdP شما گوگل باشد. اگر از IdP شخص ثالث استفاده می‌کنید، به رمز کلاینت نیازی ندارید.
  • The email address for the user account that authenticates to the KACLS for export decryption. This can be your own account, or it can be a special account that your administrators have configured. You need to log in as this user when running the decrypter utility, so it's likely you'll need the account's password.

نقاط پایانی KACLS

The KACLS configuration must allow the user account and client ID to call endpoints used for export decryption. Your KACLS administrator can usually set this up for you. The KACLS endpoint that's called by the decrypter depends on the type of encrypted content:

  • تقویم CSE: privilegedunwrap
  • اسناد CSE، برگه‌های CSE، اسلایدهای CSE: privilegedunwrap
  • Drive CSE: privilegedunwrap
  • Gmail CSE (با گواهی‌های S/MIME): privilegedprivatekeydecrypt
  • Gmail CSE (بدون گواهی‌های S/MIME): privilegedunwrap

پیکربندی دسترسی Gmail S/MIME (اختیاری)

If you're decrypting client-side encrypted Gmail messages that use S/MIME from Google Vault, the decrypter needs to call Gmail's public API to download additional data. Google Vault exports don't include each user's S/MIME certificates, so the decrypter automatically fetches them as needed from Gmail.

To allow the decrypter to request the S/MIME certificates for any user in your organization, you need to pass a domain-wide service account credential to the decrypter. For details on setting up this service account and creating a JSON file containing the private credential for the service account, go to Gmail only: Configure S/MIME for client-side encryption .

توجه: اگر پیام‌های رمزگذاری شده سمت کلاینت را از ابزار Data Export رمزگشایی می‌کنید، یا پیام‌های رمزگذاری شده از Vault که گواهی S/MIME ندارند را رمزگشایی می‌کنید، این تنظیمات لازم نیست.

اگر هر یک از موارد زیر درست باشد، رمزگشا نمی‌تواند گواهی‌های S/MIME کاربر را دریافت کند و بنابراین نمی‌تواند پیام‌های رمزگذاری شده سمت کلاینت که از S/MIME استفاده می‌کنند را رمزگشایی کند:

برای اطمینان از رمزگشایی پیام‌های رمزگذاری شده سمت کلاینت با گواهی‌های S/MIME، می‌توانید:

  • پیام‌های صادر شده از Vault را فوراً رمزگشایی کنید، در حالی که گواهی‌ها همچنان در دسترس هستند.
  • از ابزار Data Export برای خروجی گرفتن از پیام‌ها استفاده کنید—این خروجی‌ها شامل گواهی‌های هر کاربر نیز می‌شوند.

ابتدا یک فایل پیکربندی ایجاد کنید

رمزگشا از OAuth و IdP شما برای به دست آوردن یک اعتبارنامه احراز هویت استفاده می‌کند که در هر درخواست KACLS privilegedunwrap و privilegedprivatekeydecrypt لحاظ می‌شود. پیکربندی OAuth شما اغلب تغییر نمی‌کند، بنابراین می‌توانید یک فایل پیکربندی (config) حاوی تنظیمات OAuth خود ایجاد کنید تا از تنظیم آنها در هر بار اجرای رمزگشا جلوگیری کنید. برای جزئیات بیشتر در مورد پرچم‌های فایل پیکربندی، به پرچم‌های ایجاد پیکربندی و پرچم‌های به‌روزرسانی پیکربندی در زیر مراجعه کنید.

Note: Although this setup step is optional, it's recommended to simplify use of the decrypter utility. If you don't create a config file, you can instead pass the OAuth flags on the command line to every execution of the decrypter. If you do both, the flag values passed on the command line override values read from the configuration file.

مثال: یک پیکربندی برای Google IdP ایجاد کنید

در ویندوز

در macOS یا لینوکس

اکنون می‌توانید پیکربندی را به‌روزرسانی کنید تا رمز کلاینت OAuth را در جریان اعطای کد مجوز اضافه کنید.

در ویندوز

در macOS یا لینوکس

اگر IdP شما گوگل نیست: رمز کلاینت را اضافه نکنید، که فقط توسط IdP گوگل مورد نیاز است. بسیاری از IdP های دیگر در صورت وجود رمز کلاینت، درخواست های احراز هویت را رد می کنند.

رمزگشایی فایل‌ها و ایمیل‌های CSE

ابزار رمزگشایی روی فایل‌های اکسپورت از حالت فشرده خارج شده عمل می‌کند.

  1. پس از ایجاد خروجی در ابزار Data Export یا Google Vault، فایل‌های زیپ را در رایانه محلی خود دانلود کنید.
  2. فایل‌ها را در یک پوشه یا دایرکتوری محلی از حالت فشرده خارج کنید.
  3. رمزگشا را روی فایل‌های از حالت فشرده خارج شده اجرا کنید و فایل‌های متنی رمزگشایی شده را در یک پوشه‌ی دیگر ذخیره کنید.

مثال: استفاده از یک فایل پیکربندی آماده بدون اعتبارنامه حساب سرویس

در ویندوز

در macOS یا لینوکس

مثال: استفاده از یک فایل پیکربندی آماده با اعتبارنامه حساب سرویس

در ویندوز

در macOS یا لینوکس

مثال: بدون استفاده از فایل پیکربندی و نه اعتبارنامه حساب سرویس

در ویندوز

در macOS یا لینوکس

پرچم‌های رمزگشایی

یک پرچم رمزگشا می‌تواند شامل ۱ یا ۲ خط تیره باشد - برای مثال، پرچم نمایش اطلاعات راهنما می‌تواند یکی از موارد زیر باشد:

-help

--help

نکته: برای پرچم‌ها فقط می‌توانید از خط فاصله استفاده کنید، نه اسلش (/).

پرچم‌های مربوط به آرگومان‌های رشته‌ای می‌توانند شامل علامت مساوی یا فاصله برای مشخص کردن آرگومان باشند - برای مثال، پرچم‌های زیر معادل هستند:

-action=decrypt

-action decrypt

پرچم‌های راهنما

پرچم توضیحات
-version رشته‌ی نسخه را چاپ می‌کند. اگر با پشتیبانی تماس می‌گیرید، مطمئن شوید که نسخه‌ی رمزگشای مورد استفاده‌تان را ارائه می‌دهید.
-help صفحه‌ای از تمام پرچم‌ها را برای مرجع چاپ می‌کند.
-logfile فایل خروجی را که گزارش‌های اجرا در آن نوشته خواهد شد، مشخص می‌کند. متن [TIMESTAMP] در نام فایل با زمان شروع اجرا جایگزین می‌شود.

پرچم‌های رمزگشایی

پرچم توضیحات
-action decrypt اختیاری. مشخص می‌کند که حالت ابزار رمزگشایی فایل‌های CSE است. این حالت پیش‌فرض است.
-email <email_address> اختیاری. آدرس ایمیلی که ممکن است در صفحه احراز هویت IdP که در مرورگر باز می‌شود، از قبل وارد شود.
-issuer <uri> Required unless it's in the config file. The OAuth issuer discovery URI for the IdP, such as https://accounts.google.com. For details, go to Connect to identity provider for client-side encryption .
-client_id <oauth_client_id> الزامی است، مگر اینکه در فایل پیکربندی باشد. یک شناسه کلاینت OAuth از IdP مشخص شده در پرچم -issuer . برای جزئیات بیشتر، به «اتصال به ارائه‌دهنده هویت برای رمزگذاری سمت کلاینت» مراجعه کنید.
-client_secret <oauth_client_secret> اختیاری، اگرچه ممکن است برخی از IdPها به آن نیاز داشته باشند. بخش مخفی کلاینت OAuth مربوط به شناسه کلاینت مشخص شده در پرچم -client_id .
-pkce
-nopkce		 فعال یا غیرفعال کردن PKCE (کلید اثبات برای تبادل کد) در جریان اعطای کد مجوز. اگر هیچ یک از پرچم‌ها مشخص نشده باشد، رمزگشا به طور پیش‌فرض روی فعال تنظیم می‌شود.
-input <directory_or_file>

الزامی. دایرکتوری ورودی یا فایل خروجی.

If you specify a directory, the decrypter will recursively traverse the entire directory tree to find all exported CSE files. Use this option to bulk decrypt all exported files from an expanded export archive.

اگر ۱ فایل CSE صادر شده را مشخص کنید، رمزگشا فقط همان فایل را رمزگشایی می‌کند. اگر فایل CSE نباشد، رمزگشا از شما درخواست احراز هویت در IdP را می‌کند اما هیچ فایلی را رمزگشایی نمی‌کند.

-output <directory> الزامی. دایرکتوری که فایل‌های رمزگشایی شده در آن ذخیره خواهند شد.
-overwrite
-nooverwrite		 Enables or disables overwriting of existing decrypted cleartext output files. If disabled (the default), the decrypter will skip decryption of ciphertext files if the cleartext file already exists.
-workers <integer>

اختیاری. تعداد کارگران رمزگشایی موازی. اگر از این پرچم استفاده نکنید، رمزگشایی‌کننده به طور پیش‌فرض تعداد هسته‌های پردازنده و ابررشته‌های گزارش شده توسط سیستم عامل را در نظر می‌گیرد.

اگر رایانه شما مشکلات عملکردی دارد یا هنگام رمزگشایی فایل‌ها خطای پردازش چندگانه دریافت می‌کنید، می‌توانید این پرچم را روی ۱ تنظیم کنید تا پردازش موازی غیرفعال شود.

-config <file>

Optional. A configuration file containing stored flag values. Use a config file to avoid pasting the same command-line flags whenever you decrypt files. For more information, go to Config creation flags and Config update flags below.

مقادیر پرچمی که در خط فرمان تنظیم می‌کنید، نسبت به مقادیر موجود در پیکربندی اولویت دارند.

توجه: اگر فایلی را در پیکربندی مشخص کنید و پیدا نشود، خطایی رخ می‌دهد.

-credential <file> Optional. Specify a JSON file containing a domain-wide service account private key. When specified, decryption of Gmail CSE messages will query the Gmail API for each user's S/MIME certificates and key access control list service (KACLS) metadata.

پرچم‌های ایجاد پیکربندی

از این پرچم‌ها برای ذخیره پرچم‌های خط فرمان رمزگشایی که اغلب استفاده می‌شوند در یک فایل پیکربندی برای استفاده مجدد استفاده کنید. یک فایل پیکربندی با فرمت JSON است که حاوی متن قابل خواندن توسط انسان است.

پرچم توضیحات
-action createconfig الزامی. حالت پیش‌فرض اجرا را برای اجرای حالت ایجاد فایل پیکربندی لغو می‌کند.
-config file الزامی. نام فایل خروجی که می‌خواهید پیکربندی در آن ذخیره شود را مشخص کنید. اگر فایل از قبل وجود داشته باشد، بدون هشدار رونویسی خواهد شد.
-email <email_address>
-discovery_uri <uri>
-client_id <oauth_client_id>
-client_secret <oauth_client_secret>
-pkce
-nopkce		 اختیاری. هر مقدار پرچم مشخص شده برای استفاده مجدد در فایل پیکربندی ذخیره می‌شود.

Config update flags

از این پرچم‌ها برای به‌روزرسانی مقادیر پرچم در یک فایل پیکربندی استفاده کنید.

پرچم توضیحات
-action updateconfig الزامی. حالت پیش‌فرض اجرا را برای اجرای حالت به‌روزرسانی فایل پیکربندی لغو می‌کند.
-config file الزامی. فایل پیکربندی که می‌خواهید به‌روزرسانی کنید. اگر فایل وجود نداشته باشد، خطایی رخ می‌دهد.
-email <email_address>
-discovery_uri <uri>
-client_id <oauth_client_id>
-client_secret <oauth_client_secret>
-pkce
-nopkce

همه اختیاری هستند. مقادیر مربوط به پرچم‌هایی که در خط فرمان مشخص می‌کنید، بازنویسی می‌شوند؛ سایر مقادیر پرچم‌ها در پیکربندی حفظ می‌شوند. برای لغو تنظیم یک پرچم ذخیره شده، یک مقدار خالی مشخص کنید.

توجه: اگر ویرایشی فرمت JSON را خراب کند، احتمالاً هنگام استفاده از پیکربندی در رمزگشا، خطایی رخ خواهد داد.

پرچم‌های اطلاعاتی

از این پرچم‌ها برای چاپ اطلاعات قابل خواندن در مورد فایل‌های CSE استفاده کنید.

پرچم توضیحات
-action info (الزامی) حالت اجرای پیش‌فرض را لغو می‌کند تا در حالت اطلاعاتی اجرا شود
-input directory_or_file

(الزامی) دایرکتوری ورودی یا فایل خروجی را مشخص می‌کند

اگر یک دایرکتوری مشخص کنید، این ابزار به صورت بازگشتی کل درخت دایرکتوری را به دنبال تمام فایل‌های خروجی CSE اسکن می‌کند. اگر یک فایل مشخص کنید، این ابزار فقط اطلاعات مربوط به همان فایل را ارائه می‌دهد.

شما می‌توانید این علامت را برای مشخص کردن دایرکتوری‌ها یا فایل‌های ورودی اضافی تکرار کنید. مثال:

$ decrypter -action=info -input=file1.gcse -input=file2.gcse -input=file3.gcse