Exportierte clientseitig verschlüsselte Dateien und E‑Mails entschlüsseln

Wenn in Ihrer Organisation die clientseitige Verschlüsselung von Google Workspace (CSE, Client-Side Encryption) verwendet wird, können Sie mit dem Entschlüsselungstool clientseitig verschlüsselte Dateien und E‑Mail-Nachrichten entschlüsseln, die Sie mit dem Tool für den Datenexport oder mit Google Vault exportieren. Das Programm lässt sich über eine Befehlszeile ausführen.

Im Entschlüsselungsprogramm geben Sie die IdP-Authentifizierungsinformationen, den Speicherort der verschlüsselten Dateien, den gewünschten Speicherort für die entschlüsselten Dateien sowie andere Optionen mit Befehlszeilen-Flags an. Sie können auch eine Konfigurationsdatei (.config) erstellen, um häufig verwendete Flags zu speichern.

Hinweis

  • Wenn Sie Dateien aus Google Docs, Google Sheets oder Google Präsentationen entschlüsseln, endet der Dateiname mit .gdoczip oder ähnlich. Nach der Entschlüsselung können Sie diese Dateien mit dem Dateikonverter-Tool in das Microsoft Office-Format konvertieren. Weitere Informationen finden Sie im Hilfeartikel Exportierte und entschlüsselte Google-Dateien in Microsoft Office-Dateien konvertieren.
  • Wenn Sie clientseitig verschlüsselte Gmail-Nachrichten aus Google Vault exportieren, müssen Sie das MBOX-Format verwenden. Das Entschlüsselungstool kann keine Exporte im PST-Format verarbeiten.
  • Das Entschlüsselungstool kann alle Nachrichten entschlüsseln, die mit S/MIME-Zertifikaten verschlüsselt wurden. Das Tool kann auch Nachrichten entschlüsseln, die ohne S/MIME-Zertifikate verschlüsselt wurden, also Nachrichten, die Ende-zu-Ende-Verschlüsselung (E2EE) in Gmail verwenden, wenn Ihre Nutzer die Nachrichten oder die ursprüngliche Nachricht in Threads verschlüsselt haben.
  • Das Entschlüsselungstool kann keine Nachrichten (einschließlich aller Nachrichten in einem Thread) entschlüsseln, die in einer anderen Organisation ohne S/MIME-Zertifikate (Gmail-E2EE) verschlüsselt wurden.

Systemanforderungen

  • Microsoft Windows 10 oder 11 (64-Bit)
  • macOS 12 (Monterey) oder höher Sowohl Apple- als auch Intel-Prozessoren werden unterstützt.
  • Linux x86_64

Entschlüsselungsprogramm herunterladen

Öffnen Sie das Archiv oder Volume und extrahieren Sie die ausführbare Datei des Entschlüsselungstools in ein lokales Verzeichnis oder einen lokalen Ordner.

Zugriff auf den Schlüsseldienst konfigurieren

Der Entschlüsseler sendet Anfragen an Ihren Verschlüsselungsschlüsseldienst, auch als Key Access Control List Service (KACLS) bezeichnet, der jede verschlüsselte Datei oder Nachricht in Ihrem Export schützt. Bitten Sie den Administrator Ihres Identitätsanbieters und den Administrator Ihres Verschlüsselungsschlüsseldienstes um Anmeldedaten, die von den KACLS akzeptiert werden. Andernfalls lehnen die KACLS die Versuche des Entschlüsselungsprogramms ab, exportierte Inhalte zu entschlüsseln.

Voraussetzungen

So konfigurieren Sie den KACLS-Zugriff:

  • Eine OAuth-Client-ID, die von installierten Anwendungen verwendet werden kann. Die Client-ID für das Entschlüsselungstool muss eine Client-ID sein, die von installierter Desktopsoftware verwendet werden kann und für das Entschlüsselungstool spezifisch ist. Diese Client-ID muss sich von den Client-IDs unterscheiden, die in der Admin-Konsole für die Web-, Desktop- und mobilen Anwendungen von CSE festgelegt sind.
  • Der OAuth-Clientschlüssel, der mit der Client-ID verknüpft ist, wenn Ihr IdP Google ist. Wenn Sie einen Drittanbieter-IdP verwenden, benötigen Sie den Clientschlüssel nicht.
  • Die E-Mail-Adresse des Nutzerkontos, das sich beim KACLS für die Exportentschlüsselung authentifiziert. Das kann Ihr eigenes Konto oder ein spezielles Konto sein, das Ihre Administratoren konfiguriert haben. Sie müssen sich als dieser Nutzer anmelden, wenn Sie das Entschlüsselungstool ausführen. Daher benötigen Sie wahrscheinlich das Passwort des Kontos.

KACLS-Endpunkte

Die KACLS-Konfiguration muss es dem Nutzerkonto und der Client-ID ermöglichen, Endpunkte aufzurufen, die für die Exportentschlüsselung verwendet werden. Ihr KACLS-Administrator kann dies in der Regel für Sie einrichten. Der KACLS-Endpunkt, der vom Entschlüsselungstool aufgerufen wird, hängt vom Typ der verschlüsselten Inhalte ab:

  • Clientseitige Verschlüsselung in Google Kalender: privilegedunwrap
  • Clientseitige Verschlüsselung für Google Docs CSE, Google Sheets und Google Präsentationen CSE: privilegedunwrap
  • Clientseitige Verschlüsselung für Google Drive: privilegedunwrap
  • Clientseitige Verschlüsselung in Gmail (mit S/MIME-Zertifikaten): privilegedprivatekeydecrypt
  • Gmail-CSE (ohne S/MIME-Zertifikate): privilegedunwrap

Gmail-S/MIME-Zugriff konfigurieren (optional)

Wenn Sie clientseitig verschlüsselte Gmail-Nachrichten, die S/MIME verwenden, aus Google Vault entschlüsseln, muss das Entschlüsselungsprogramm die öffentliche API von Gmail aufrufen, um zusätzliche Daten herunterzuladen. Google Vault-Exporte enthalten nicht die S/MIME-Zertifikate der einzelnen Nutzer. Das Entschlüsselungstool ruft sie daher bei Bedarf automatisch aus Gmail ab.

Damit das Entschlüsselungstool die S/MIME-Zertifikate für jeden Nutzer in Ihrer Organisation anfordern kann, müssen Sie dem Entschlüsselungstool Anmeldedaten für das domainweite Dienstkonto übergeben. Weitere Informationen zum Einrichten dieses Dienstkontos und zum Erstellen einer JSON-Datei mit den privaten Anmeldedaten für das Dienstkonto finden Sie unter Nur Gmail: S/MIME für die clientseitige Verschlüsselung konfigurieren.

Hinweis:Diese Einrichtung ist nicht erforderlich, wenn Sie clientseitig verschlüsselte Nachrichten aus dem Tool für den Datenexport entschlüsseln oder verschlüsselte Nachrichten aus Vault entschlüsseln, die keine S/MIME-Zertifikate haben.

Das Entschlüsselungstool kann die S/MIME-Zertifikate eines Nutzers nicht abrufen und daher keine clientseitig verschlüsselten Nachrichten entschlüsseln, die S/MIME verwenden, wenn eine der folgenden Bedingungen zutrifft:

So können Sie dafür sorgen, dass clientseitig verschlüsselte Nachrichten mit S/MIME-Zertifikaten entschlüsselt werden:

  • Nachrichten, die aus Vault exportiert wurden, sofort entschlüsseln, solange Zertifikate verfügbar sind.
  • Verwenden Sie das Tool für den Datenexport, um Nachrichten zu exportieren. Diese Exporte enthalten die Zertifikate der einzelnen Nutzer.

Vorab eine Konfigurationsdatei erstellen

Das Entschlüsselungstool verwendet OAuth und Ihren IdP, um einen Authentifizierungsnachweis zu erhalten, der in jede KACLS-Anfrage vom Typ privilegedunwrap und privilegedprivatekeydecrypt aufgenommen wird. Ihre OAuth-Konfiguration ändert sich nicht oft. Sie können daher eine Konfigurationsdatei (.config) mit Ihren OAuth-Einstellungen erstellen, damit Sie diese nicht jedes Mal festlegen müssen, wenn Sie das Entschlüsselungstool ausführen. Weitere Informationen zu den Flags für die Konfigurationsdatei finden Sie weiter unten unter Flags zum Erstellen einer Konfigurationsdatei und Flags zum Aktualisieren einer Konfigurationsdatei.

Hinweis:Dieser Einrichtungsschritt ist zwar optional, wird aber empfohlen, um die Verwendung des Entschlüsselungstools zu vereinfachen. Wenn Sie keine Konfigurationsdatei erstellen, können Sie die OAuth-Flags stattdessen bei jeder Ausführung des Entschlüsselungstools in der Befehlszeile übergeben. Wenn Sie beides tun, werden die Flag-Werte, die in der Befehlszeile übergeben werden, durch die Werte aus der Konfigurationsdatei überschrieben.

Beispiel: Konfigurationsdatei mit IdP-Informationen von Google

Unter Windows

Unter macOS oder Linux

Anschließend können Sie die Konfigurationsdatei so aktualisieren, dass der OAuth-Clientschlüssel in den Autorisierungscode-Zuweisungsvorgang aufgenommen wird.

Unter Windows

Unter macOS oder Linux

Wenn Ihr IdP nicht Google ist:Fügen Sie den Clientschlüssel nicht hinzu. Er wird nur vom Google-IdP benötigt. Viele andere Identitätsanbieter lehnen Authentifizierungsanfragen ab, wenn der Clientschlüssel vorhanden ist.

Clientseitig verschlüsselte Dateien und E‑Mails entschlüsseln

Das Entschlüsselungstool funktioniert nur für entpackte Exportdateien.

  1. Nachdem Sie einen Export im Tool für den Datenexport oder in Google Vault erstellt haben, laden Sie die ZIP-Dateien auf Ihren lokalen Computer herunter.
  2. Entpacken Sie die Dateien in ein lokales Verzeichnis oder einen lokalen Ordner.
  3. Führen Sie das Entschlüsselungsprogramm für die entpackten Dateien aus und speichern Sie die entschlüsselten Klartextdateien in einem anderen Verzeichnis.

Beispiel: Verwenden einer vorbereiteten Konfigurationsdatei ohne Anmeldedaten für das Dienstkonto

Unter Windows

Unter macOS oder Linux

Beispiel: Verwenden einer vorbereiteten Konfigurationsdatei mit Anmeldedaten für ein Dienstkonto

Unter Windows

Unter macOS oder Linux

Beispiel: Verwenden weder einer Konfigurationsdatei noch von Anmeldedaten für ein Dienstkonto

Unter Windows

Unter macOS oder Linux

Flags für das Entschlüsselungsprogramm

Ein Entschlüsselungs-Flag kann einen oder zwei führende Bindestriche enthalten, wie hier das Flag zur Anzeige von Hilfeinformationen:

-help

--help

Hinweis:Für Flags sind nur Bindestriche und keine Schrägstriche (/) zulässig.

Flags für String-Argumente können entweder ein Gleichheitszeichen oder ein Leerzeichen enthalten. Die folgenden Flags sind beispielsweise gleichwertig:

-action=decrypt

-action decrypt

Hilfe-Flags

Flag Beschreibung
-version Gibt den Versionsstring aus. Wenn Sie sich an den Support wenden, geben Sie die Version des verwendeten Entschlüsselungsprogramms an.
-help Gibt einen Bildschirm mit allen Flags als Referenz aus.
-logfile Gibt die Ausgabedatei für die Ausführungsprotokolle an. Der Text [TIMESTAMP] im Dateinamen wird durch den Zeitstempel des Ausführungsbeginns ersetzt.

Entschlüsselungs-Flags

Flag Beschreibung
-action decrypt Optional. Gibt an, dass das Dienstprogramm zur Entschlüsselung von clientseitig verschlüsselten Dateien verwendet wird. Dies ist der Standardmodus.
-email <email_address> Optional. Die E-Mail-Adresse, die auf dem im Browser geöffneten Bildschirm zur IdP-Authentifizierung möglicherweise vorausgefüllt ist.
-issuer <uri> Pflichtangabe, sofern nicht in der Konfigurationsdatei enthalten. Der Erkennungs-URI des OAuth-Ausstellers für den Identitätsanbieter, z. B. https://accounts.google.com. Weitere Informationen
-client_id <oauth_client_id> Pflichtangabe, sofern nicht in der Konfigurationsdatei enthalten. Die OAuth-Client-ID des Identitätsanbieters, die im Flag -issuer angegeben ist. Weitere Informationen finden Sie im Hilfeartikel Für die clientseitige Verschlüsselung eine Verbindung zum Identitätsanbieter herstellen.
-client_secret <oauth_client_secret> Normalerweise optional, für einige IdPs aber möglicherweise eine Pflichtangabe. Der Teil des OAuth-Clientschlüssels, der der im Flag -client_id angegebenen Client-ID entspricht.
-pkce
-nopkce		 Flag zum Aktivieren oder Deaktivieren des PKCE (Proof Key for Code Exchange) beim Vorgang zur Genehmigung des Autorisierungscodes. Wenn keines der beiden Flags angegeben ist, wird der PKCE standardmäßig aktiviert.
-input <directory_or_file>

Erforderlich. Das Eingabeverzeichnis oder die Exportdatei.

Wenn Sie ein Verzeichnis angeben, durchsucht das Programm die gesamte Verzeichnisstruktur wiederkehrend nach exportierten clientseitig verschlüsselten Dateien. Verwenden Sie diese Option, um alle exportierten Dateien aus einem erweiterten Exportarchiv per Bulk-Aktion zu entschlüsseln.

Wenn Sie eine exportierte clientseitig verschlüsselte Datei angeben, wird nur diese Datei entschlüsselt. Falls es sich nicht um eine solche Datei handelt, werden Sie aufgefordert, sich beim IdP zu authentifizieren. Es werden jedoch keine Dateien entschlüsselt.
-output <directory> Erforderlich. Das Verzeichnis, in dem die entschlüsselten Dateien gespeichert werden.
-overwrite
-nooverwrite		 Hiermit können Sie festlegen, ob vorhandene entschlüsselte Klartextdateien überschrieben werden sollen. Wenn diese Option deaktiviert ist (Standardeinstellung), überspringt das Entschlüsselungsprogramm die Geheimtextdateien, sofern die zugehörige Klartextdatei bereits vorhanden ist.
-workers <integer>

Optional. Die Anzahl der parallelen Entschlüsselungsvorgänge. Wenn Sie dieses Flag nicht angeben, wird standardmäßig die Anzahl der vom Betriebssystem gemeldeten Prozessorkerne und Hyperthreads verwendet.

Wenn beim Entschlüsseln von Dateien Leistungsprobleme oder Fehler im Zusammenhang mit der Mehrfachverarbeitung („multi-processing“) auftreten, können Sie dieses Flag auf 1 setzen, um die parallele Verarbeitung zu deaktivieren.
-config <file>

Optional. Eine Konfigurationsdatei mit gespeicherten Flag-Werten. Es empfiehlt sich, eine solche Datei zu verwenden, um nicht für jeden Entschlüsselungsvorgang dieselben Befehlszeilen-Flags kopieren zu müssen. Weitere Informationen finden Sie weiter unten unter Flags zum Erstellen einer Konfigurationsdatei und Flags zum Aktualisieren einer Konfigurationsdatei.

Die Flag-Werte, die Sie in der Befehlszeile angeben, haben Vorrang vor denen in der Konfigurationsdatei.

Hinweis:Wenn Sie in der Konfiguration eine Datei angeben und diese nicht gefunden wird, tritt ein Fehler auf.
-credential <file> Optional. Geben Sie eine JSON-Datei mit einem privaten Schlüssel für das domainweite Dienstkonto an. Wenn angegeben, wird während der Entschlüsselung clientseitig verschlüsselter Nachrichten in Gmail die Gmail API nach den S/MIME-Zertifikaten und den KACLS-Metadaten (Key Access Control Service) der einzelnen Nutzer abgefragt.

Flags zum Erstellen einer Konfigurationsdatei

Mit diesen Flags können Sie häufig verwendete Befehlszeilen-Flags für das Entschlüsselungsprogramm in einer Konfigurationsdatei speichern. Eine Konfigurationsdatei ist im JSON-Format in Textform formatiert.

Flag Beschreibung
-action createconfig Erforderlich. Gibt an, dass statt des standardmäßigen Ausführungsmodus der Modus zum Erstellen der Konfigurationsdatei verwendet wird.
-config file Erforderlich. Der Name der Ausgabedatei, in der die Konfiguration gespeichert wird. Wenn die Datei bereits vorhanden ist, wird sie ohne Warnung überschrieben.
-email <email_address>
-discovery_uri <uri>
-client_id <oauth_client_id>
-client_secret <oauth_client_secret>
-pkce
-nopkce		 Optional. Alle angegebenen Flag-Werte werden zur Wiederverwendung in der Konfigurationsdatei gespeichert.

Flags zum Aktualisieren einer Konfigurationsdatei

Mit diesen Flags können Sie die Flag-Werte in einer Konfigurationsdatei aktualisieren.

Flag Beschreibung
-action updateconfig Erforderlich. Gibt an, dass statt des standardmäßigen Ausführungsmodus der Modus zum Aktualisieren der Konfigurationsdatei verwendet wird.
-config file Erforderlich. Die Konfigurationsdatei, die Sie aktualisieren möchten. Wenn die Datei nicht vorhanden ist, tritt ein Fehler auf.
-email <email_address>
-discovery_uri <uri>
-client_id <oauth_client_id>
-client_secret <oauth_client_secret>
-pkce
-nopkce

Alle optional. Die Werte der Flags, die Sie in der Befehlszeile angeben, werden überschrieben. Alle anderen Flag-Werte in der Konfigurationsdatei bleiben unverändert. Wenn Sie ein gespeichertes Flag entfernen möchten, geben Sie einen leeren Wert an.

Hinweis:Wird das JSON-Format durch eine Änderung beschädigt, tritt ein Fehler auf, wenn Sie die Konfigurationsdatei im Entschlüsselungsprogramm verwenden.

Informationsflags

Mit diesen Flags können Sie lesbare Informationen zu clientseitig verschlüsselten Dateien ausgeben.

Flag Beschreibung
-action info (Erforderlich) Überschreibt den Standardausführungsmodus, sodass der Informationsmodus verwendet wird.
-input directory_or_file

(Erforderlich) Gibt das Eingabeverzeichnis oder die Exportdatei an

Wenn Sie ein Verzeichnis angeben, scannt das Dienstprogramm den gesamten Verzeichnisbaum rekursiv und sucht nach clientseitig verschlüsselten Exportdateien. Wenn Sie eine Datei angeben, liefert das Dienstprogramm nur Informationen zu dieser Datei.

Sie können dieses Flag wiederholen, um zusätzliche Eingabeverzeichnisse oder ‑dateien anzugeben. Beispiel:

$ decrypter -action=info -input=file1.gcse -input=file2.gcse -input=file3.gcse