Giải mã tệp và email được mã hoá phía máy khách đã xuất

Nếu tổ chức của bạn sử dụng tính năng Mã hoá phía máy khách (CSE) của Google Workspace, thì bạn có thể dùng tiện ích giải mã để giải mã các tệp và thư được mã hoá phía máy khách mà bạn xuất bằng Công cụ Xuất dữ liệu hoặc Google Vault. Bạn có thể chạy tiện ích giải mã từ dòng lệnh.

Khi chạy tiện ích giải mã, bạn sẽ dùng các cờ hiệu dòng lệnh để chỉ định thông tin xác thực của nhà cung cấp dịch vụ danh tính (IdP), vị trí của các tệp đã mã hoá, vị trí đầu ra cho các tệp đã giải mã và các lựa chọn khác. Bạn cũng có thể tạo tệp cấu hình (config) để lưu các cờ tiện ích giải mã mà bạn thường dùng.

Trước khi bắt đầu

  • Khi bạn giải mã một tệp Google Tài liệu, Trang tính hoặc Trang trình bày, tên tệp sẽ kết thúc bằng .gdoczip hoặc tương tự. Sau khi giải mã, bạn có thể chuyển đổi các tệp này sang định dạng Microsoft Office bằng công cụ chuyển đổi tệp. Để biết thông tin chi tiết, hãy tham khảo bài viết Chuyển đổi các tệp Google đã xuất và giải mã sang tệp Microsoft Office tệp.
  • Nếu xuất thư CSE của Gmail từ Google Vault, bạn cần xuất ở định dạng MBOX. Tiện ích giải mã không thể xử lý các tệp xuất ở định dạng PST.
  • Tiện ích giải mã có thể giải mã mọi thư được mã hoá bằng chứng chỉ S/MIME. Tiện ích này cũng có thể giải mã các thư được mã hoá mà không có chứng chỉ S/MIME (tức là các thư sử dụng tính năng mã hoá hai đầu (E2EE) của Gmail), nếu người dùng của bạn đã mã hoá các thư hoặc thư gốc trong chuỗi.
  • Tiện ích giải mã không thể giải mã các thư (bao gồm cả tất cả thư trong một chuỗi) được mã hoá mà không có chứng chỉ S/MIME (E2EE của Gmail) tại một tổ chức khác.

Yêu cầu về hệ thống

  • Microsoft Windows phiên bản 10 hoặc 11 64 bit
  • macOS 12 (Monterey) trở lên. Hỗ trợ cả bộ xử lý Apple và Intel.
  • Linux x86_64.

Tải tiện ích giải mã xuống

Mở tệp lưu trữ hoặc ổ đĩa rồi trích xuất tệp thực thi tiện ích giải mã vào một thư mục hoặc thư mục cục bộ.

Định cấu hình quyền truy cập vào dịch vụ mã khoá

Tiện ích giải mã gửi các truy vấn đến dịch vụ khoá mã hoá (còn gọi là dịch vụ danh sách kiểm soát quyền truy cập khoá (KACLS)), giúp bảo vệ từng tệp hoặc thư được mã hoá trong tệp xuất của bạn. Hãy yêu cầu quản trị viên của nhà cung cấp dịch vụ danh tính (IdP) và quản trị viên dịch vụ mã khoá cung cấp thông tin đăng nhập mà KACLS sẽ chấp nhận; nếu không, KACLS sẽ từ chối các nỗ lực của tiện ích giải mã để giải mã nội dung đã xuất.

Bạn cần có

Để định cấu hình quyền truy cập vào KACLS, hãy đảm bảo bạn có:

  • Mã ứng dụng OAuth mà các ứng dụng đã cài đặt có thể sử dụng. Mã ứng dụng cho tiện ích giải mã phải là mã ứng dụng mà phần mềm máy tính đã cài đặt có thể sử dụng và dành riêng cho tiện ích giải mã. Mã ứng dụng này phải là một mã ứng dụng khác so với các mã ứng dụng được đặt trong Bảng điều khiển dành cho quản trị viên của Google cho các ứng dụng CSE trên web, máy tính và thiết bị di động.
  • Khoá bí mật của ứng dụng khách OAuth được liên kết với mã ứng dụng khách, nếu IdP của bạn là Google. Bạn không cần khoá bí mật của ứng dụng khách nếu đang sử dụng IdP của bên thứ ba.
  • Địa chỉ email cho tài khoản người dùng xác thực với KACLS để giải mã tệp xuất. Đây có thể là tài khoản của riêng bạn hoặc một tài khoản đặc biệt mà quản trị viên của bạn đã định cấu hình. Bạn cần đăng nhập với tư cách người dùng này khi chạy tiện ích giải mã, vì vậy, có thể bạn sẽ cần mật khẩu của tài khoản.

Điểm cuối KACLS

Cấu hình KACLS phải cho phép tài khoản người dùng và mã ứng dụng gọi các điểm cuối dùng để giải mã tệp xuất. Quản trị viên KACLS thường có thể thiết lập cấu hình này cho bạn. Điểm cuối KACLS được tiện ích giải mã gọi tuỳ thuộc vào loại nội dung được mã hoá:

  • CSE của Lịch: privilegedunwrap
  • CSE của Tài liệu, Trang tính, Trang trình bày: privilegedunwrap
  • CSE của Drive: privilegedunwrap
  • CSE của Gmail (có chứng chỉ S/MIME): privilegedprivatekeydecrypt
  • CSE của Gmail (không có chứng chỉ S/MIME): privilegedunwrap

Định cấu hình quyền truy cập vào S/MIME của Gmail (không bắt buộc)

Nếu bạn đang giải mã các thư Gmail được mã hoá phía máy khách sử dụng S/MIME từ Google Vault, thì tiện ích giải mã cần gọi API công khai của Gmail để tải thêm dữ liệu xuống. Các tệp xuất của Google Vault không bao gồm chứng chỉ S/MIME của từng người dùng, vì vậy, tiện ích giải mã sẽ tự động tìm nạp các chứng chỉ này khi cần từ Gmail.

Để cho phép tiện ích giải mã yêu cầu chứng chỉ S/MIME cho bất kỳ người dùng nào trong tổ chức của bạn, bạn cần truyền thông tin đăng nhập tài khoản dịch vụ trên toàn miền cho tiện ích giải mã. Để biết thông tin chi tiết về cách thiết lập tài khoản dịch vụ này và tạo tệp JSON chứa thông tin đăng nhập riêng tư cho tài khoản dịch vụ, hãy tham khảo bài viết Chỉ Gmail: Định cấu hình S/MIME cho tính năng mã hoá phía máy khách.

Lưu ý: Bạn không cần thiết lập cấu hình này nếu đang giải mã các thư đã mã hoá phía máy khách từ Công cụ Xuất dữ liệu hoặc giải mã các thư đã mã hoá từ Vault không có chứng chỉ S/MIME.

Tiện ích giải mã không thể tìm nạp chứng chỉ S/MIME của người dùng và do đó không thể giải mã các thư được mã hoá phía máy khách sử dụng S/MIME nếu có bất kỳ điều nào sau đây là đúng:

Để giúp đảm bảo giải mã các thư được mã hoá phía máy khách bằng chứng chỉ S/MIME, bạn có thể:

  • Giải mã ngay các thư được xuất từ Vault trong khi chứng chỉ vẫn còn.
  • Sử dụng công cụ Xuất dữ liệu để xuất thư – các tệp xuất này bao gồm chứng chỉ của từng người dùng.

Tạo tệp cấu hình trước

Tiện ích giải mã sử dụng OAuth và IdP của bạn để lấy thông tin đăng nhập xác thực mà tiện ích này đưa vào mọi yêu cầu privilegedunwrapprivilegedprivatekeydecrypt của KACLS. Cấu hình OAuth của bạn sẽ không thay đổi thường xuyên, vì vậy, bạn có thể tạo tệp cấu hình (config) chứa các chế độ cài đặt OAuth để tránh phải đặt các chế độ cài đặt này mỗi khi chạy tiện ích giải mã. Để biết thông tin chi tiết về các cờ tệp cấu hình, hãy tham khảo phần Cờ tạo cấu hìnhCờ cập nhật cấu hình bên dưới.

Lưu ý: Mặc dù bước thiết lập này là không bắt buộc, nhưng bạn nên thực hiện để đơn giản hoá việc sử dụng tiện ích giải mã. Nếu không tạo tệp cấu hình, bạn có thể truyền các cờ OAuth trên dòng lệnh cho mỗi lần thực thi tiện ích giải mã. Nếu bạn thực hiện cả hai, thì các giá trị cờ được truyền trên dòng lệnh sẽ ghi đè các giá trị được đọc từ tệp cấu hình.

Ví dụ: Tạo cấu hình cho IdP của Google

Trên Windows

Trên macOS hoặc Linux

Giờ đây, bạn có thể cập nhật cấu hình để thêm khoá bí mật của ứng dụng khách OAuth vào quy trình cấp mã uỷ quyền.

Trên Windows

Trên macOS hoặc Linux

Nếu IdP của bạn không phải là Google: Đừng thêm khoá bí mật của ứng dụng. Khoá này chỉ cần thiết cho IdP của Google. Nhiều IdP khác sẽ từ chối các yêu cầu xác thực khi có khoá bí mật của ứng dụng khách.

Giải mã tệp và email CSE

Tiện ích giải mã hoạt động trên các tệp xuất đã giải nén.

  1. Sau khi tạo tệp xuất trong công cụ Xuất dữ liệu hoặc Google Vault, hãy tải các tệp zip xuống máy tính cục bộ.
  2. Giải nén các tệp vào một thư mục hoặc thư mục cục bộ.
  3. Chạy tiện ích giải mã trên các tệp đã giải nén và lưu các tệp văn bản thuần tuý đã giải mã vào một thư mục khác.

Ví dụ: Sử dụng tệp cấu hình đã chuẩn bị mà không có thông tin đăng nhập tài khoản dịch vụ

Trên Windows

Trên macOS hoặc Linux

Ví dụ: Sử dụng tệp cấu hình đã chuẩn bị có thông tin đăng nhập tài khoản dịch vụ

Trên Windows

Trên macOS hoặc Linux

Ví dụ: Không sử dụng tệp cấu hình cũng như thông tin đăng nhập tài khoản dịch vụ

Trên Windows

Trên macOS hoặc Linux

Cờ tiện ích giải mã

Cờ tiện ích giải mã có thể bao gồm 1 hoặc 2 dấu gạch ngang ở đầu – ví dụ: cờ để hiển thị thông tin trợ giúp có thể là một trong những cờ sau:

-help

--help

Lưu ý: Bạn chỉ có thể sử dụng dấu gạch ngang cho cờ, không được dùng dấu gạch chéo (/).

Cờ cho các đối số chuỗi có thể bao gồm dấu bằng hoặc dấu cách để chỉ định đối số – ví dụ: các cờ sau đây là tương đương:

-action=decrypt

-action decrypt

Cờ trợ giúp

Cờ Mô tả
-version In chuỗi phiên bản. Nếu bạn liên hệ với bộ phận hỗ trợ, hãy nhớ cung cấp phiên bản tiện ích giải mã mà bạn đang sử dụng.
-help In một màn hình chứa tất cả các cờ để tham khảo.
-logfile Chỉ định tệp đầu ra nơi nhật ký thực thi sẽ được ghi. Văn bản [TIMESTAMP] trong tên tệp sẽ được thay thế bằng thời gian bắt đầu thực thi.

Cờ giải mã

Cờ Mô tả
-action decrypt Không bắt buộc. Chỉ định rằng chế độ của tiện ích là giải mã các tệp CSE. Đây là chế độ mặc định.
-email <email_address> Không bắt buộc. Địa chỉ email có thể được điền sẵn trong màn hình xác thực IdP mở trong trình duyệt.
-issuer <uri> Bắt buộc, trừ phi cờ này nằm trong tệp cấu hình. URI phát hiện nhà phát hành OAuth cho nhà cung cấp dịch vụ danh tính, chẳng hạn như https://accounts.google.com. Để biết thông tin chi tiết, hãy tham khảo bài viết Kết nối với nhà cung cấp danh tính để dùng tính năng mã hoá phía máy khách.
-client_id <oauth_client_id> Bắt buộc, trừ phi cờ này nằm trong tệp cấu hình. Mã ứng dụng OAuth từ IdP được chỉ định trong cờ -issuer. Để biết thông tin chi tiết, hãy tham khảo bài viết Kết nối với nhà cung cấp dịch vụ danh tính để dùng tính năng mã hoá phía máy khách.
-client_secret <oauth_client_secret> Không bắt buộc, mặc dù một số IdP có thể yêu cầu. Phần khoá bí mật của ứng dụng khách OAuth tương ứng với mã ứng dụng khách được chỉ định trong cờ -client_id.
-pkce
-nopkce		 Bật hoặc tắt PKCE (Khoá bằng chứng để trao đổi mã) trong quy trình cấp mã uỷ quyền. Nếu không có cờ nào được chỉ định, thì tiện ích giải mã sẽ bật theo mặc định.
-input <directory_or_file>

Bắt buộc. Thư mục đầu vào hoặc tệp xuất.

Nếu bạn chỉ định một thư mục, thì tiện ích giải mã sẽ đệ quy duyệt qua toàn bộ cây thư mục để tìm tất cả các tệp CSE đã xuất. Sử dụng tuỳ chọn này để giải mã hàng loạt tất cả các tệp đã xuất từ tệp lưu trữ xuất đã mở rộng.

Nếu bạn chỉ định 1 tệp CSE đã xuất, thì tiện ích giải mã sẽ chỉ giải mã tệp đó. Nếu đó không phải là tệp CSE, thì tiện ích giải mã sẽ yêu cầu bạn xác thực với IdP nhưng sẽ không giải mã bất kỳ tệp nào.
-output <directory> Bắt buộc. Thư mục nơi các tệp đã giải mã sẽ được lưu.
-overwrite
-nooverwrite		 Cho phép hoặc không cho phép ghi đè các tệp đầu ra văn bản thuần tuý đã giải mã hiện có. Nếu bị vô hiệu hoá (mặc định), thì tiện ích giải mã sẽ bỏ qua việc giải mã các tệp văn bản mã hoá nếu tệp văn bản thuần tuý đã tồn tại.
-workers <integer>

Không bắt buộc. Số lượng trình xử lý giải mã song song. Nếu bạn không sử dụng cờ này, thì tiện ích giải mã sẽ mặc định là số lượng lõi bộ xử lý và siêu luồng do hệ điều hành báo cáo.

Nếu máy tính của bạn gặp vấn đề về hiệu suất hoặc bạn nhận được lỗi xử lý đa tiến trình khi giải mã tệp, thì bạn có thể đặt cờ này thành 1 để vô hiệu hoá tính năng xử lý song song.
-config <file>

Không bắt buộc. Tệp cấu hình chứa các giá trị cờ đã lưu trữ. Sử dụng tệp cấu hình để tránh dán cùng một cờ dòng lệnh mỗi khi bạn giải mã tệp. Để biết thêm thông tin, hãy tham khảo phần Cờ tạo cấu hìnhCờ cập nhật cấu hình bên dưới.

Các giá trị cờ mà bạn đặt trên dòng lệnh sẽ được ưu tiên hơn các giá trị trong cấu hình.

Lưu ý: Nếu bạn chỉ định một tệp trong cấu hình và không tìm thấy tệp đó, thì sẽ xảy ra lỗi.
-credential <file> Không bắt buộc. Chỉ định tệp JSON chứa khoá riêng tư của tài khoản dịch vụ trên toàn miền. Khi được chỉ định, quá trình giải mã thư CSE của Gmail sẽ truy vấn Gmail API để lấy chứng chỉ S/MIME và siêu dữ liệu dịch vụ danh sách kiểm soát quyền truy cập khoá (KACLS) của từng người dùng.

Cờ tạo cấu hình

Sử dụng các cờ này để lưu các cờ dòng lệnh giải mã thường dùng vào tệp cấu hình để sử dụng lại. Tệp cấu hình được định dạng ở JSON, chứa văn bản mà con người có thể đọc được.

Cờ Mô tả
-action createconfig Bắt buộc. Ghi đè chế độ thực thi mặc định để chạy chế độ tạo tệp cấu hình.
-config file Bắt buộc. Chỉ định tên tệp đầu ra nơi bạn muốn lưu cấu hình. Nếu tệp đã tồn tại, thì tệp đó sẽ bị ghi đè mà không có cảnh báo.
-email <email_address>
-discovery_uri <uri>
-client_id <oauth_client_id>
-client_secret <oauth_client_secret>
-pkce
-nopkce		 Không bắt buộc. Mọi giá trị cờ được chỉ định sẽ được lưu vào tệp cấu hình để sử dụng lại.

Cờ cập nhật cấu hình

Sử dụng các cờ này để cập nhật mọi giá trị cờ trong tệp cấu hình.

Cờ Mô tả
-action updateconfig Bắt buộc. Ghi đè chế độ thực thi mặc định để chạy chế độ cập nhật tệp cấu hình.
-config file Bắt buộc. Tệp cấu hình mà bạn muốn cập nhật. Nếu tệp không tồn tại, thì sẽ xảy ra lỗi.
-email <email_address>
-discovery_uri <uri>
-client_id <oauth_client_id>
-client_secret <oauth_client_secret>
-pkce
-nopkce

Tất cả đều không bắt buộc. Các giá trị cho cờ mà bạn chỉ định trên dòng lệnh sẽ bị ghi đè; mọi giá trị khác cho cờ trong cấu hình sẽ được giữ nguyên. Để huỷ đặt cờ đã lưu trữ, hãy chỉ định giá trị trống.

Lưu ý: Nếu thao tác chỉnh sửa làm hỏng định dạng JSON, thì có thể xảy ra lỗi khi bạn sử dụng cấu hình trong tiện ích giải mã.

Cờ thông tin

Sử dụng các cờ này để in thông tin dễ đọc về các tệp CSE.

Cờ Mô tả
-action info (Bắt buộc) Ghi đè chế độ thực thi mặc định để chạy ở chế độ thông tin
-input directory_or_file

(Bắt buộc) Chỉ định thư mục đầu vào hoặc tệp xuất

Nếu bạn chỉ định một thư mục, thì tiện ích sẽ đệ quy quét toàn bộ cây thư mục để tìm tất cả các tệp xuất CSE. Nếu bạn chỉ định một tệp, thì tiện ích sẽ cung cấp thông tin chỉ cho tệp đó.

Bạn có thể lặp lại cờ này để chỉ định các thư mục hoặc tệp đầu vào bổ sung. Ví dụ:

$ decrypter -action=info -input=file1.gcse -input=file2.gcse -input=file3.gcse