Exportierte clientseitig verschlüsselte Dateien und E‑Mails entschlüsseln

Wenn in Ihrer Organisation die clientseitige Verschlüsselung (Client-side Encryption, CSE) von Google Workspace verwendet wird, können Sie mit dem Entschlüsselungstool clientseitig verschlüsselte Dateien und E‑Mail-Nachrichten entschlüsseln, die Sie mit dem Tool für den Datenexport oder mit Google Vault exportieren. Das Programm lässt sich über eine Befehlszeile ausführen.

Im Entschlüsselungsprogramm geben Sie die IdP-Authentifizierungsinformationen, den Speicherort der verschlüsselten Dateien, den gewünschten Speicherort für die entschlüsselten Dateien sowie andere Optionen mit Befehlszeilen-Flags an. Sie können auch eine Konfigurationsdatei (.config) erstellen, um häufig verwendete Flags zu speichern.

Hinweis

  • Wenn Sie Dateien aus Google Docs, Google Sheets oder Google Präsentationen entschlüsseln, endet der Dateiname mit .gdoczip oder ähnlich. Nach der Entschlüsselung können Sie diese Dateien mit dem Dateikonverter in das Microsoft Office-Format konvertieren. Weitere Informationen finden Sie unter Konvertieren von exportierten und entschlüsselten Google-Dateien in Microsoft Office-Dateien.
  • Wenn Sie clientseitig verschlüsselte Gmail-Nachrichten aus Google Vault exportieren, müssen Sie das MBOX-Format verwenden. Das Entschlüsselungstool kann keine Exporte im PST-Format verarbeiten.
  • Das Entschlüsselungstool kann alle Nachrichten entschlüsseln, die mit S/MIME-Zertifikaten verschlüsselt wurden. Es kann auch Nachrichten entschlüsseln, die ohne S/MIME-Zertifikate verschlüsselt wurden (d. h. Nachrichten, die die Ende-zu-Ende-Verschlüsselung (E2EE) von Gmail verwenden), wenn Ihre Nutzer die Nachrichten oder die ursprüngliche Nachricht in Threads verschlüsselt haben.
  • Das Entschlüsselungstool kann keine Nachrichten (einschließlich aller Nachrichten in einem Thread) entschlüsseln, die ohne S/MIME-Zertifikate (Gmail-E2EE) in einer anderen Organisation verschlüsselt wurden.

Systemanforderungen

  • Microsoft Windows 10 oder 11 (64‑Bit)
  • macOS 12 (Monterey) oder höher. Sowohl Apple- als auch Intel-Prozessoren werden unterstützt.
  • Linux x86_64

Entschlüsselungstool herunterladen

Öffnen Sie das Archiv oder Volume und extrahieren Sie die ausführbare Datei des Entschlüsselungstools in ein lokales Verzeichnis oder einen lokalen Ordner.

Zugriff auf den Schlüsseldienst konfigurieren

Das Entschlüsselungstool sendet Abfragen an Ihren Verschlüsselungsschlüsseldienst, auch Key Access Control List Service (KACLS) genannt, der jede verschlüsselte Datei oder Nachricht in Ihrem Export schützt. Bitten Sie den Administrator Ihres Identitätsanbieters (IdP) und den Administrator Ihres Verschlüsselungsschlüsseldienstes um Anmeldedaten, die vom KACLS akzeptiert werden. Andernfalls lehnt der KACLS die Versuche des Entschlüsselungstools ab, exportierte Inhalte zu entschlüsseln.

Voraussetzungen

Für die Konfiguration des KACLS-Zugriffs benötigen Sie Folgendes:

  • Eine OAuth-Client-ID, die von installierten Anwendungen verwendet werden kann. Die Client-ID für das Entschlüsselungstool muss eine Client-ID sein, die von installierter Desktopsoftware verwendet werden kann und spezifisch für das Entschlüsselungstool ist. Diese Client-ID muss sich von den Client-IDs unterscheiden, die in der Google Admin-Konsole für die clientseitige Verschlüsselung von Web-, Desktop- und mobilen Anwendungen festgelegt sind.
  • Den OAuth-Clientschlüssel, der mit der Client-ID verknüpft ist, wenn Ihr IdP Google ist. Wenn Sie einen Drittanbieter-IdP verwenden, benötigen Sie den Clientschlüssel nicht.
  • Die E‑Mail-Adresse des Nutzerkontos, mit dem Sie sich beim KACLS authentifizieren , um den Export zu entschlüsseln. Das kann Ihr eigenes Konto oder ein spezielles Konto sein, das von Ihren Administratoren konfiguriert wurde. Sie müssen sich als dieser Nutzer anmelden, wenn Sie das Entschlüsselungstool ausführen. Daher benötigen Sie wahrscheinlich das Passwort des Kontos.

KACLS-Endpunkte

Die KACLS-Konfiguration muss dem Nutzerkonto und der Client-ID erlauben, Endpunkte aufzurufen, die für die Entschlüsselung von Exporten verwendet werden. Ihr KACLS-Administrator kann das in der Regel für Sie einrichten. Der KACLS-Endpunkt, der vom Entschlüsselungstool aufgerufen wird, hängt vom Typ der verschlüsselten Inhalte ab:

  • Clientseitige Verschlüsselung für Google Kalender: privilegedunwrap
  • Clientseitige Verschlüsselung für Google Docs, Google Sheets und Google Präsentationen: privilegedunwrap
  • Clientseitige Verschlüsselung für Google Drive: privilegedunwrap
  • Clientseitige Verschlüsselung für Gmail (mit S/MIME-Zertifikaten): privilegedprivatekeydecrypt
  • Clientseitige Verschlüsselung für Gmail (ohne S/MIME-Zertifikate): privilegedunwrap

S/MIME-Zugriff für Gmail konfigurieren (optional)

Wenn Sie clientseitig verschlüsselte Gmail-Nachrichten, die S/MIME verwenden, aus Google Vault entschlüsseln, muss das Entschlüsselungstool die öffentliche Gmail API aufrufen, um zusätzliche Daten herunterzuladen. Google Vault-Exporte enthalten nicht die S/MIME-Zertifikate der einzelnen Nutzer. Das Entschlüsselungstool ruft sie daher bei Bedarf automatisch aus Gmail ab.

Damit das Entschlüsselungstool die S/MIME-Zertifikate für jeden Nutzer in Ihrer Organisation anfordern kann, müssen Sie dem Entschlüsselungstool Anmeldedaten für das domainweite Dienstkonto übergeben. Weitere Informationen zum Einrichten dieses Dienstkontos und zum Erstellen einer JSON-Datei mit den privaten Anmeldedaten für das Dienstkonto finden Sie unter Nur Gmail: S/MIME für die clientseitige Verschlüsselung konfigurieren.

Hinweis: Diese Einrichtung ist nicht erforderlich, wenn Sie clientseitig verschlüsselte Nachrichten aus dem Tool für den Datenexport entschlüsseln oder verschlüsselte Nachrichten aus Vault entschlüsseln, die keine S/MIME-Zertifikate haben.

Das Entschlüsselungstool kann die S/MIME-Zertifikate eines Nutzers nicht abrufen und daher keine clientseitig verschlüsselten Nachrichten entschlüsseln, die S/MIME verwenden, wenn eine der folgenden Bedingungen zutrifft:

So können Sie die Entschlüsselung clientseitig verschlüsselter Nachrichten mit S/MIME-Zertifikaten sicherstellen:

  • Entschlüsseln Sie Nachrichten, die aus Vault exportiert wurden, sofort, solange die Zertifikate noch verfügbar sind.
  • Exportieren Sie Nachrichten mit dem Tool für den Datenexport. Diese Exporte enthalten die Zertifikate der einzelnen Nutzer.

Vorab eine Konfigurationsdatei erstellen

Das Entschlüsselungstool verwendet OAuth und Ihren IdP, um einen Authentifizierungsnachweis zu erhalten, der in jede KACLS privilegedunwrap und privilegedprivatekeydecrypt Anfrage aufgenommen wird. Ihre OAuth-Konfiguration ändert sich nicht oft. Sie können daher eine Konfigurationsdatei (.config) mit Ihren OAuth-Einstellungen erstellen, damit Sie diese nicht jedes Mal festlegen müssen, wenn Sie das Entschlüsselungstool ausführen. Weitere Informationen zu den Flags für die Konfigurationsdatei finden Sie weiter unten unter Flags zum Erstellen einer Konfigurationsdatei und Flags zum Aktualisieren einer Konfigurationsdatei.

Hinweis: Dieser Einrichtungsschritt ist zwar optional, wird aber empfohlen, um die Verwendung des Entschlüsselungstools zu vereinfachen. Wenn Sie keine Konfigurationsdatei erstellen, können Sie die OAuth-Flags stattdessen bei jeder Ausführung des Entschlüsselungstools in der Befehlszeile übergeben. Wenn Sie beides tun, werden die in der Befehlszeile übergebenen Flag-Werte durch die Werte aus der Konfigurationsdatei überschrieben.

Beispiel: Konfigurationsdatei mit IdP-Informationen von Google

Unter Windows

Unter macOS oder Linux

Anschließend können Sie die Konfigurationsdatei so aktualisieren, dass der OAuth-Clientschlüssel in den Autorisierungscode-Zuweisungsvorgang aufgenommen wird:

Unter Windows

Unter macOS oder Linux

Wenn Ihr IdP nicht Google ist: Fügen Sie den Clientschlüssel nicht hinzu. Er wird nur vom Google-IdP benötigt. Viele andere IdPs lehnen Authentifizierungsanfragen ab, wenn der Clientschlüssel vorhanden ist.

Clientseitig verschlüsselte Dateien und E‑Mails entschlüsseln

Das Entschlüsselungstool funktioniert mit entpackten Exportdateien.

  1. Nachdem Sie einen Export im Tool für den Datenexport oder in Google Vault erstellt haben, laden Sie die ZIP-Dateien auf Ihren lokalen Computer herunter.
  2. Entpacken Sie die Dateien in ein lokales Verzeichnis oder einen lokalen Ordner.
  3. Führen Sie das Entschlüsselungstool für die entpackten Dateien aus und speichern Sie die entschlüsselten Klartextdateien in einem anderen Verzeichnis.

Beispiel: Verwenden einer vorbereiteten Konfigurationsdatei ohne Anmeldedaten für ein Dienstkonto

Unter Windows

Unter macOS oder Linux

Beispiel: Verwenden einer vorbereiteten Konfigurationsdatei mit Anmeldedaten für ein Dienstkonto

Unter Windows

Unter macOS oder Linux

Beispiel: Verwenden weder einer Konfigurationsdatei noch von Anmeldedaten für ein Dienstkonto

Unter Windows

Unter macOS oder Linux

Flags für das Entschlüsselungsprogramm

Ein Entschlüsselungs-Flag kann einen oder zwei führende Bindestriche enthalten, wie hier das Flag zur Anzeige von Hilfeinformationen:

-help

--help

Hinweis: Für Flags sind nur Bindestriche und keine Schrägstriche (/) zulässig.

Flags für String-Argumente können entweder ein Gleichheitszeichen oder ein Leerzeichen enthalten. Die folgenden Flags sind beispielsweise gleichwertig:

-action=decrypt

-action decrypt

Hilfe-Flags

Flag Beschreibung
-version Gibt den Versionsstring aus. Wenn Sie sich an den Support wenden, geben Sie die Version des Entschlüsselungstools an, die Sie verwenden.
-help Zeigt eine Liste aller Flags an.
-logfile Gibt die Ausgabedatei für die Ausführungsprotokolle an. Der Text [TIMESTAMP] im Dateinamen wird durch den Zeitstempel des Ausführungsbeginns ersetzt.

Entschlüsselungs-Flags

Flag Beschreibung
-action decrypt Optional. Gibt an, dass das Dienstprogramm zur Entschlüsselung von clientseitig verschlüsselten Dateien verwendet wird. Dies ist der Standardmodus.
-email <email_address> Optional. Die E‑Mail-Adresse, die auf dem im Browser geöffneten Bildschirm zur IdP-Authentifizierung möglicherweise vorausgefüllt ist.
-issuer <uri> Pflichtangabe, sofern nicht in der Konfigurationsdatei enthalten. Der Erkennungs-URI des OAuth-Ausstellers für den Identitätsanbieter, z. B. https://accounts.google.com. Weitere Informationen finden Sie unter Mit Identitätsanbieter für clientseitige Verschlüsselung verbinden.
-client_id <oauth_client_id> Pflichtangabe, sofern nicht in der Konfigurationsdatei enthalten. Die OAuth-Client-ID des Identitätsanbieters, die im Flag -issuer angegeben ist. Weitere Informationen finden Sie unter Verbindung mit dem Identitätsanbieter für die clientseitige Verschlüsselung.
-client_secret <oauth_client_secret> Optional, obwohl einige IdPs es möglicherweise erfordern. Der Teil des OAuth-Clientschlüssels, der der im Flag -client_id angegebenen Client-ID entspricht.
-pkce
-nopkce		 Flag zum Aktivieren oder Deaktivieren des PKCE (Proof Key for Code Exchange) beim Vorgang zur Genehmigung des Autorisierungscodes. Wenn keines der beiden Flags angegeben ist, ist das PKCE standardmäßig aktiviert.
-input <directory_or_file>

Erforderlich. Das Eingabeverzeichnis oder die Exportdatei.

Wenn Sie ein Verzeichnis angeben, durchsucht das Programm die gesamte Verzeichnisstruktur wiederkehrend nach exportierten clientseitig verschlüsselten Dateien. Verwenden Sie diese Option, um alle exportierten Dateien aus einem erweiterten Exportarchiv per Bulk-Aktion zu entschlüsseln.

Wenn Sie eine exportierte clientseitig verschlüsselte Datei angeben, wird nur diese Datei entschlüsselt. Falls es sich nicht um eine solche Datei handelt, werden Sie aufgefordert, sich beim IdP zu authentifizieren. Es werden jedoch keine Dateien entschlüsselt.
-output <directory> Erforderlich. Das Verzeichnis, in dem die entschlüsselten Dateien gespeichert werden.
-overwrite
-nooverwrite		 Hiermit können Sie festlegen, ob vorhandene entschlüsselte Klartextdateien überschrieben werden sollen. Wenn diese Option deaktiviert ist (Standardeinstellung), überspringt das Entschlüsselungsprogramm die Geheimtextdateien, sofern die zugehörige Klartextdatei bereits vorhanden ist.
-workers <integer>

Optional. Die Anzahl der parallelen Entschlüsselungsvorgänge. Wenn Sie dieses Flag nicht angeben, wird standardmäßig die Anzahl der vom Betriebssystem gemeldeten Prozessorkerne und Hyperthreads verwendet.

Wenn beim Entschlüsseln von Dateien Leistungsprobleme oder Fehler im Zusammenhang mit der Mehrfachverarbeitung ("multi-processing") auftreten, können Sie dieses Flag auf 1 setzen, um die parallele Verarbeitung zu deaktivieren.
-config <file>

Optional. Eine Konfigurationsdatei mit gespeicherten Flag-Werten. Es empfiehlt sich, eine solche Datei zu verwenden, um nicht für jeden Entschlüsselungsvorgang dieselben Befehlszeilen-Flags kopieren zu müssen. Weitere Informationen finden Sie weiter unten unter Flags zum Erstellen einer Konfigurationsdatei und Flags zum Aktualisieren einer Konfigurationsdatei.

Die Flag-Werte, die Sie in der Befehlszeile angeben, haben Vorrang vor denen in der Konfigurationsdatei.

Hinweis: Wenn Sie in der Konfiguration eine Datei angeben und diese nicht gefunden wird, tritt ein Fehler auf.
-credential <file> Optional. Geben Sie eine JSON-Datei mit einem privaten Schlüssel für das domainweite Dienstkonto an. Wenn angegeben, wird während der Entschlüsselung clientseitig verschlüsselter Nachrichten in Gmail die Gmail API nach den S/MIME-Zertifikaten und den KACLS-Metadaten (Key Access Control Service) der einzelnen Nutzer abgefragt.

Flags zum Erstellen einer Konfigurationsdatei

Mit diesen Flags können Sie häufig verwendete Befehlszeilen-Flags für das Entschlüsselungsprogramm in einer Konfigurationsdatei speichern. Eine Konfigurationsdatei ist im JSON-Format in Textform formatiert.

Flag Beschreibung
-action createconfig Erforderlich. Gibt an, dass statt des standardmäßigen Ausführungsmodus der Modus zum Erstellen der Konfigurationsdatei verwendet wird.
-config file Erforderlich. Der Name der Ausgabedatei, in der die Konfiguration gespeichert wird. Wenn die Datei bereits vorhanden ist, wird sie ohne Warnung überschrieben.
-email <email_address>
-discovery_uri <uri>
-client_id <oauth_client_id>
-client_secret <oauth_client_secret>
-pkce
-nopkce		 Optional. Alle angegebenen Flag-Werte werden zur Wiederverwendung in der Konfigurationsdatei gespeichert.

Flags zum Aktualisieren einer Konfigurationsdatei

Mit diesen Flags können Sie die Flag-Werte in einer Konfigurationsdatei aktualisieren.

Flag Beschreibung
-action updateconfig Erforderlich. Gibt an, dass statt des standardmäßigen Ausführungsmodus der Modus zum Aktualisieren der Konfigurationsdatei verwendet wird.
-config file Erforderlich. Die Konfigurationsdatei, die Sie aktualisieren möchten. Wenn die Datei nicht vorhanden ist, tritt ein Fehler auf.
-email <email_address>
-discovery_uri <uri>
-client_id <oauth_client_id>
-client_secret <oauth_client_secret>
-pkce
-nopkce

Alle optional. Die Werte der Flags, die Sie in der Befehlszeile angeben, werden überschrieben. Alle anderen Flag-Werte in der Konfigurationsdatei bleiben unverändert. Wenn Sie ein gespeichertes Flag entfernen möchten, geben Sie einen leeren Wert an.

Hinweis: Wird das JSON-Format durch eine Änderung beschädigt, tritt ein Fehler auf, wenn Sie die Konfigurationsdatei im Entschlüsselungsprogramm verwenden.

Informationsflags

Mit diesen Flags können Sie lesbare Informationen zu clientseitig verschlüsselten Dateien ausgeben.

Flag Beschreibung
-action info (Erforderlich) Überschreibt den Standardausführungsmodus, um im Informationsmodus auszuführen
-input directory_or_file

(Erforderlich) Gibt das Eingabeverzeichnis oder die Exportdatei an

Wenn Sie ein Verzeichnis angeben, scannt das Dienstprogramm den gesamten Verzeichnisbaum rekursiv und sucht nach clientseitig verschlüsselten Exportdateien. Wenn Sie eine Datei angeben, gibt das Dienstprogramm nur Informationen zu dieser Datei aus.

Sie können dieses Flag wiederholen, um zusätzliche Eingabeverzeichnisse oder ‑dateien anzugeben. Beispiel:

$ decrypter -action=info -input=file1.gcse -input=file2.gcse -input=file3.gcse