Decriptare i file e le email con crittografia lato client esportati

Se la tua organizzazione utilizza la crittografia lato client di Google Workspace, puoi sfruttare l'utilità di decrittografia per decriptare i file e le email con crittografia lato client esportati mediante lo strumento Esportazione dei dati o Google Vault. Puoi eseguire l'utilità di decrittografia dalla riga di comando.

Quando esegui l'utilità di decrittografia, puoi utilizzare i flag della riga di comando per specificare le informazioni di autenticazione del provider di identità (IdP), la posizione dei file criptati, la posizione dei file decriptati di output e altre opzioni. Puoi anche creare un file di configurazione (config) per salvare i flag dell'utilità di decrittografia che utilizzi più spesso.

Prima di iniziare

  • Quando decripti un file di Documenti, Fogli o Presentazioni Google, il nome del file termina con .gdoczip o un'estensione simile. Dopo la decrittografia, puoi convertire questi file nel formato di Microsoft Office utilizzando lo strumento di conversione dei file. Per maggiori dettagli, consulta Convertire i file Google esportati e decriptati in file di Microsoft Office file.
  • Se esporti i messaggi con crittografia lato client di Gmail da Google Vault, devi esportarli in formato MBOX. L'utilità di decrittografia non può elaborare le esportazioni in formato PST.
  • L'utilità di decrittografia può decriptare tutti i messaggi criptati con certificati S/MIME. Può anche decriptare i messaggi criptati senza certificati S/MIME (ovvero i messaggi che utilizzano la crittografia end-to-end (E2EE) di Gmail), se gli utenti hanno criptato i messaggi o il messaggio originale nei thread.
  • L'utilità di decrittografia non può decriptare i messaggi (inclusi tutti i messaggi in un thread) criptati senza certificati S/MIME (E2EE di Gmail) in un'altra organizzazione.

Requisiti di sistema

  • Microsoft Windows versione 10 o 11 a 64 bit
  • macOS 12 (Monterey) o versioni successive. Sono supportati sia i processori Apple sia Intel.
  • Linux x86_64.

Scaricare l'utilità di decrittografia

Apri l'archivio o il volume ed estrai l'eseguibile dell'utilità di decrittografia in una directory o cartella locale.

Configurare l'accesso al servizio chiavi

L'utilità di decrittografia invia query al servizio chiavi di crittografia, chiamato anche servizio dell'elenco di controllo dell'accesso per le chiavi (KACLS), che protegge ogni file o messaggio criptato nell'esportazione. Chiedi all'amministratore del provider di identità (IdP) e all'amministratore del servizio chiavi di crittografia le credenziali che il servizio KACLS accetterà; in caso contrario, il servizio KACLS rifiuterà i tentativi dell'utilità di decrittografia di decriptare i contenuti esportati.

Cosa serve

Per configurare l'accesso al servizio KACLS, assicurati di avere:

  • Un ID client OAuth che le applicazioni installate possono utilizzare. L'ID client per l'utilità di decrittografia deve essere un ID client utilizzabile dal software desktop installato e specifico per l'utilità di decrittografia. Questo ID client deve essere diverso dagli ID client impostati nella Console di amministrazione Google per le applicazioni web, desktop e mobile con crittografia lato client.
  • Il client secret OAuth associato all'ID client, se il tuo IdP è Google. Non hai bisogno del client secret se utilizzi un IdP di terze parti.
  • L'indirizzo email dell'account utente che esegue l'autenticazione al servizio KACLS per la decriptazione dell'esportazione. Può essere il tuo account o un account speciale configurato dagli amministratori. Devi accedere come questo utente quando esegui l'utilità di decrittografia, quindi è probabile che ti serva la password dell'account.

Endpoint del servizio KACLS

La configurazione del servizio KACLS deve consentire all'account utente e all'ID client di chiamare gli endpoint utilizzati per la decriptazione dell'esportazione. In genere, l'amministratore del servizio KACLS può configurare questa impostazione per te. L'endpoint del servizio KACLS chiamato dall'utilità di decrittografia dipende dal tipo di contenuti criptati:

  • Crittografia lato client di Calendar: privilegedunwrap
  • Crittografia lato client di Documenti, Fogli e Presentazioni: privilegedunwrap
  • Crittografia lato client di Drive: privilegedunwrap
  • Crittografia lato client di Gmail (con certificati S/MIME): privilegedprivatekeydecrypt
  • Crittografia lato client di Gmail (senza certificati S/MIME): privilegedunwrap

Configurare l'accesso S/MIME di Gmail (facoltativo)

Se decripti i messaggi con crittografia lato client di Gmail che utilizzano S/MIME da Google Vault, l'utilità di decrittografia deve chiamare l'API pubblica di Gmail per scaricare dati aggiuntivi. Le esportazioni di Google Vault non includono i certificati S/MIME di ogni utente, quindi l'utilità di decrittografia li recupera automaticamente da Gmail in base alle esigenze.

Per consentire all'utilità di decrittografia di richiedere i certificati S/MIME per qualsiasi utente della tua organizzazione, devi trasmettere all'utilità di decrittografia una credenziale dell'account di servizio a livello di dominio. Per maggiori dettagli sulla configurazione di questo account di servizio e sulla creazione di un file JSON contenente la credenziale privata per l'account di servizio, consulta Solo Gmail: configurare S/MIME per la crittografia lato client.

Nota: questa configurazione non è necessaria se decripti i messaggi con crittografia lato client dallo strumento Esportazione dei dati o se decripti i messaggi criptati da Vault che non hanno certificati S/MIME.

L'utilità di decrittografia non può recuperare i certificati S/MIME di un utente e quindi non può decriptare i messaggi con crittografia lato client che utilizzano S/MIME se si verifica una delle seguenti condizioni:

Per garantire la decriptazione dei messaggi con crittografia lato client con certificati S/MIME, puoi:

  • Decriptare immediatamente i messaggi esportati da Vault mentre i certificati sono ancora disponibili.
  • Utilizzare lo strumento Esportazione dei dati per esportare i messaggi. Queste esportazioni includono i certificati di ogni utente.

Creare prima un file di configurazione

L'utilità di decrittografia utilizza OAuth e il tuo IdP per acquisire una credenziale di autenticazione che include in ogni richiesta privilegedunwrap e privilegedprivatekeydecrypt del servizio KACLS. La configurazione OAuth non cambia spesso, quindi puoi creare un file di configurazione (config) contenente le impostazioni OAuth per evitare di doverle impostare ogni volta che esegui l'utilità di decrittografia. Per maggiori dettagli sui flag dei file di configurazione, vai a Flag per la creazione della configurazione e Flag per l'aggiornamento della configurazione più avanti.

Nota: anche se questo passaggio di configurazione è facoltativo, è consigliabile per semplificare l'utilizzo dell'utilità di decrittografia. Se non crei un file di configurazione, puoi invece trasmettere i flag OAuth nella riga di comando a ogni esecuzione dell'utilità di decrittografia. Se esegui entrambe le operazioni, i valori dei flag trasmessi nella riga di comando sostituiscono i valori letti dal file di configurazione.

Esempio: creare una configurazione per l'IdP Google

Su Windows

Su macOS o Linux

Ora puoi aggiornare la configurazione aggiungendo il client secret OAuth al flusso di concessione del codice di autorizzazione.

Su Windows

Su macOS o Linux

Se il tuo IdP non è Google: non aggiungere il client secret, che è necessario solo per l'IdP Google. Molti altri IdP rifiuteranno le richieste di autenticazione quando è presente il client secret.

Decriptare i file e le email con crittografia lato client

L'utilità di decrittografia funziona con i file esportati decompressi.

  1. Dopo aver creato un'esportazione nello strumento Esportazione dei dati o in Google Vault, scarica i file ZIP sul computer locale.
  2. Decomprimi i file in una directory o cartella locale.
  3. Esegui l'utilità di decrittografia sui file decompressi e salva i file di testo non crittografato decriptati in una directory diversa.

Esempio: utilizzare un file di configurazione preparato senza la credenziale dell'account di servizio

Su Windows

Su macOS o Linux

Esempio: utilizzare un file di configurazione preparato con una credenziale dell'account di servizio

Su Windows

Su macOS o Linux

Esempio: non utilizzare né un file di configurazione né una credenziale dell'account di servizio

Su Windows

Su macOS o Linux

Flag dell'utilità di decrittografia

Un flag dell'utilità di decrittografia può includere 1 o 2 trattini iniziali: ad esempio, il flag per la visualizzazione delle informazioni di assistenza può essere uno dei seguenti:

-help

--help

Nota: puoi utilizzare solo i trattini per i flag, non le barre (/).

Per specificare un argomento in formato stringa è possibile includere nel flag un segno di uguale o uno spazio. Ad esempio, i seguenti flag sono equivalenti:

-action=decrypt

-action decrypt

Flag di assistenza

Flag Descrizione
-version Visualizza la stringa della versione. Se contatti l'assistenza, assicurati di fornire la versione dell'utilità di decrittografia che utilizzi.
-help Visualizza una schermata di tutti i flag per riferimento.
-logfile Specifica il file di output in cui verranno scritti i log di esecuzione. Il testo [TIMESTAMP] nel nome del file verrà sostituito con l'ora di inizio dell'esecuzione.

Flag per la decriptazione

Flag Descrizione
-action decrypt Facoltativo. Specifica che la modalità dell'utilità è la decriptazione dei file con crittografia lato client. Si tratta della modalità predefinita.
-email <email_address> Facoltativo. L'indirizzo email che potrebbe essere precompilato nella schermata di autenticazione dell'IdP che si apre nel browser.
-issuer <uri> Obbligatorio, a meno che non sia incluso nel file di configurazione. L'URI di rilevamento dell'emittente OAuth per l'IdP, ad esempio https://accounts.google.com. Per informazioni dettagliate, consulta Stabilire la connessione a un provider di identità per la crittografia lato client.
-client_id <oauth_client_id> Obbligatorio, a meno che non sia incluso nel file di configurazione. Un ID client OAuth indicato dall'IdP specificato nel flag -issuer. Per informazioni dettagliate, vedi Stabilire la connessione a un provider di identità per la crittografia lato client.
-client_secret <oauth_client_secret> Facoltativo, anche se alcuni IdP potrebbero richiederlo. La parte del client secret OAuth corrispondente all'ID client specificato nel flag -client_id.
-pkce
-nopkce		 Attiva o disattiva l'estensione PKCE (Proof Key for Code Exchange) nel flusso di concessione del codice di autorizzazione. Se non viene specificato alcun flag, l'utilità di decrittografia è attivata per impostazione predefinita.
-input <directory_or_file>

Obbligatorio. La directory di input o il file esportato.

Se specifichi una directory, l'utilità di decrittografia attraversa in modo ricorsivo l'intero albero della directory per trovare tutti i file con crittografia lato client esportati. Utilizza questa opzione per decriptare collettivamente tutti i file esportati presenti in un archivio di esportazione decompresso.

Se specifichi un file con crittografia lato client esportato, la decriptazione interesserà solo quel file. Se non si tratta di un file con crittografia lato client, l'utilità di decrittografia ti chiederà di eseguire l'autenticazione all'IdP, ma non decripterà alcun file.
-output <directory> Obbligatorio. La directory in cui verranno salvati i file decriptati.
-overwrite
-nooverwrite		 Attiva o disattiva la sovrascrittura dei file di output decriptati con testo in chiaro già esistenti. Se disattivata (impostazione predefinita), l'utilità di decrittografia ignorerà la decrittografia dei file con testo crittografato se il file con testo in chiaro esiste già.
-workers <integer>

Facoltativo. Il numero di worker di decriptazione da eseguire in parallelo. Se non utilizzi questo flag, per impostazione predefinita l'utilità di decrittografia utilizzerà il numero di core e di hyperthread del processore segnalati dal sistema operativo.

Se, durante la decriptazione dei file, sul computer si verificano problemi di prestazioni o se riscontri un errore di esecuzione di processi in parallelo, puoi impostare il flag su 1 per disattivare l'elaborazione in parallelo.
-config <file>

Facoltativo. Un file di configurazione contenente i valori dei flag archiviati. Puoi utilizzare un file di configurazione per evitare di incollare gli stessi flag della riga di comando ogni volta che esegui la decriptazione di file. Per maggiori dettagli, vedi Flag per la creazione della configurazione e Flag per l'aggiornamento della configurazione più avanti.

I valori dei flag che imposti nella riga di comando hanno la precedenza sui valori specificati nel file di configurazione.

Nota: se specifichi un file nella configurazione e non lo trovi, si verifica un errore.
-credential <file> Facoltativo. Specifica un file JSON contenente una chiave privata dell'account di servizio a livello di dominio. Dopodiché, la decrittografia dei messaggi con crittografia lato client di Gmail esegue una query nell'API Gmail per rilevare i certificati S/MIME di ciascun utente e i metadati del servizio dell'elenco di controllo dell'accesso per le chiavi (KACLS).

Flag per la creazione della configurazione

Utilizza questi flag per salvare i flag della riga di comando usati di frequente per la decriptazione in un file di configurazione che può essere riutilizzato. Un file di configurazione è in formato JSON, che contiene testo leggibile.

Flag Descrizione
-action createconfig Obbligatorio. Esegue l'override della modalità di esecuzione predefinita per eseguire la modalità di creazione del file di configurazione.
-config file Obbligatorio. Specifica il nome del file di output in cui vuoi salvare la configurazione. Se il file esiste già, verrà sovrascritto senza avviso.
-email <email_address>
-discovery_uri <uri>
-client_id <oauth_client_id>
-client_secret <oauth_client_secret>
-pkce
-nopkce		 Facoltativo. I valori dei flag specificati verranno salvati nel file di configurazione per essere riutilizzati.

Flag per l'aggiornamento della configurazione

Utilizza questi flag per aggiornare i valori dei flag specificati in un file di configurazione.

Flag Descrizione
-action updateconfig Obbligatorio. Esegue l'override della modalità di esecuzione predefinita per eseguire la modalità di aggiornamento del file di configurazione.
-config file Obbligatorio. Il file di configurazione che vuoi aggiornare. Se il file non esiste, si verifica un errore.
-email <email_address>
-discovery_uri <uri>
-client_id <oauth_client_id>
-client_secret <oauth_client_secret>
-pkce
-nopkce

Tutti facoltativi. I valori dei flag specificati nella riga di comando vengono sovrascritti; i valori di tutti gli altri flag specificati nella configurazione vengono preservati. Per disattivare un flag già archiviato, non specificare alcun valore.

Nota: se una modifica danneggia il formato JSON, è probabile che si verifichi un errore quando utilizzi il file di configurazione con l'utilità di decrittografia.

Flag informativi

Utilizza questi flag per visualizzare informazioni leggibili sui file con crittografia lato client.

Flag Descrizione
-action info (Obbligatorio) Sostituisce la modalità di esecuzione predefinita e utilizza la modalità informativa.
-input directory_or_file

(Obbligatorio) Specifica la directory di input o il file esportato.

Se specifichi una directory, l'utilità esegue una scansione in modo ricorsivo dell'intero albero della directory per cercare tutti i file esportati con crittografia lato client. Se specifichi un file, l'utilità fornisce informazioni solo per quel file.

Puoi ripetere questo flag per specificare directory o file di input aggiuntivi. Esempio:

$ decrypter -action=info -input=file1.gcse -input=file2.gcse -input=file3.gcse