این صفحه به‌وسیله ‏Cloud Translation API‏ ترجمه شده است.

رمزگشایی فایل‌ها و ایمیل‌های رمزگذاری‌شده‌ی سمت کلاینتِ خروجی گرفته‌شده

اگر سازمان شما از رمزگذاری سمت کلاینت (CSE) در فضای کاری گوگل استفاده می‌کند، می‌توانید از ابزار رمزگشایی برای رمزگشایی فایل‌ها و ایمیل‌های رمزگذاری شده سمت کلاینت که با استفاده از ابزار Data Export یا Google Vault صادر می‌کنید، استفاده کنید. می‌توانید رمزگشایی را از خط فرمان اجرا کنید.

وقتی رمزگشا را اجرا می‌کنید، از پرچم‌های خط فرمان برای مشخص کردن اطلاعات احراز هویت ارائه‌دهنده هویت (IdP)، محل فایل‌های رمزگذاری شده، محل خروجی فایل‌های رمزگشایی شده و سایر گزینه‌ها استفاده خواهید کرد. همچنین می‌توانید یک فایل پیکربندی (config) برای ذخیره پرچم‌های رمزگشا که مرتباً استفاده می‌کنید، ایجاد کنید.

قبل از اینکه شروع کنی

وقتی یک فایل Google Docs، Sheets یا Slides را رمزگشایی می‌کنید، نام فایل به .gdoczip یا مشابه آن ختم می‌شود. پس از رمزگشایی، می‌توانید این فایل‌ها را با استفاده از ابزار مبدل فایل به فرمت Microsoft Office تبدیل کنید. برای جزئیات بیشتر، به تبدیل فایل‌های Google صادر شده و رمزگشایی شده به فایل‌های Microsoft Office بروید.
اگر پیام‌های Gmail CSE را از Google Vault صادر می‌کنید، باید آنها را در قالب MBOX صادر کنید. رمزگشا نمی‌تواند صادرات با فرمت PST را پردازش کند.
ابزار رمزگشایی می‌تواند هر پیامی را که با گواهی‌های S/MIME رمزگذاری شده باشد، رمزگشایی کند. همچنین می‌تواند پیام‌هایی را که بدون گواهی‌های S/MIME رمزگذاری شده‌اند (یعنی پیام‌هایی که از رمزگذاری سرتاسری Gmail (E2EE) استفاده می‌کنند) رمزگشایی کند، البته اگر کاربران شما پیام‌ها یا پیام اصلی را در رشته‌ها رمزگذاری کرده باشند.
ابزار رمزگشایی نمی‌تواند پیام‌هایی (از جمله تمام پیام‌های موجود در یک رشته) را که بدون گواهی‌های S/MIME (Gmail E2EE) در سازمان دیگری رمزگذاری شده‌اند، رمزگشایی کند.

الزامات سیستم

مایکروسافت ویندوز نسخه ۱۰ یا ۱۱ ۶۴ بیتی
macOS 12 (مونتری) یا بالاتر. هر دو پردازنده اپل و اینتل پشتیبانی می‌شوند.
لینوکس x86_64.

رمزگشا را دانلود کنید

ویندوز (فایل زیپ)
macOS (فایل .dmg)
لینوکس (فایل ‎.tgz)

بایگانی یا ولوم را باز کنید و فایل اجرایی رمزگشا را در یک دایرکتوری یا پوشه محلی استخراج کنید.

پیکربندی دسترسی به سرویس کلید

رمزگشا، درخواست‌هایی را به سرویس کلید رمزگذاری شما، که سرویس لیست کنترل دسترسی کلید (KACLS) نیز نامیده می‌شود، ارسال می‌کند که از هر فایل یا پیام رمزگذاری شده در خروجی شما محافظت می‌کند. از مدیر ارائه دهنده هویت (IdP) و مدیر سرویس کلید رمزگذاری خود، اعتبارنامه‌هایی را که KACLS می‌پذیرد، درخواست کنید. در غیر این صورت، KACLS تلاش‌های رمزگشا برای رمزگشایی محتوای خروجی را رد خواهد کرد.

آنچه شما نیاز دارید

برای پیکربندی دسترسی KACLS، مطمئن شوید که موارد زیر را دارید:

یک شناسه کلاینت OAuth که برنامه‌های نصب‌شده می‌توانند از آن استفاده کنند . شناسه کلاینت برای رمزگشایی باید یک شناسه کلاینت قابل استفاده توسط نرم‌افزار دسکتاپ نصب‌شده و مختص ابزار رمزگشایی باشد. این شناسه کلاینت باید یک شناسه کلاینت متفاوت از شناسه‌های کلاینت تنظیم‌شده در کنسول گوگل ادمین برای برنامه‌های وب، دسکتاپ و موبایل CSE باشد .
رمز کلاینت OAuth مرتبط با شناسه کلاینت ، اگر IdP شما گوگل باشد. اگر از IdP شخص ثالث استفاده می‌کنید، به رمز کلاینت نیازی ندارید.
آدرس ایمیل حساب کاربری که برای رمزگشایی خروجی به KACLS احراز هویت می‌شود . این می‌تواند حساب کاربری خودتان باشد، یا می‌تواند یک حساب کاربری ویژه باشد که مدیران شما پیکربندی کرده‌اند. هنگام اجرای ابزار رمزگشایی باید با این کاربر وارد سیستم شوید، بنابراین احتمالاً به رمز عبور حساب نیاز خواهید داشت.

نقاط پایانی KACLS

پیکربندی KACLS باید به حساب کاربری و شناسه کلاینت اجازه دهد تا نقاط پایانی مورد استفاده برای رمزگشایی خروجی را فراخوانی کنند. مدیر KACLS شما معمولاً می‌تواند این کار را برای شما تنظیم کند. نقطه پایانی KACLS که توسط رمزگشا فراخوانی می‌شود به نوع محتوای رمزگذاری شده بستگی دارد:

تقویم CSE: privilegedunwrap
اسناد CSE، برگه‌های CSE، اسلایدهای CSE: privilegedunwrap
درایو CSE: privilegedunwrap
Gmail CSE (با گواهی‌های S/MIME): privilegedprivatekeydecrypt
Gmail CSE (بدون گواهی‌های S/MIME): privilegedunwrap

پیکربندی دسترسی Gmail S/MIME (اختیاری)

اگر پیام‌های رمزگذاری‌شده‌ی جیمیل سمت کلاینت که از S/MIME استفاده می‌کنند را از Google Vault رمزگشایی می‌کنید، رمزگشا باید API عمومی جیمیل را برای دانلود داده‌های اضافی فراخوانی کند. خروجی‌های Google Vault شامل گواهی‌های S/MIME هر کاربر نمی‌شوند، بنابراین رمزگشا به‌طور خودکار آن‌ها را در صورت نیاز از جیمیل دریافت می‌کند.

برای اینکه رمزگشا بتواند گواهی‌های S/MIME را برای هر کاربری در سازمان شما درخواست کند، باید یک اعتبارنامه حساب سرویس در سطح دامنه را به رمزگشا ارسال کنید. برای جزئیات بیشتر در مورد راه‌اندازی این حساب سرویس و ایجاد یک فایل JSON حاوی اعتبارنامه خصوصی برای حساب سرویس، به بخش «فقط Gmail: پیکربندی S/MIME برای رمزگذاری سمت کلاینت » مراجعه کنید.

توجه: اگر پیام‌های رمزگذاری شده سمت کلاینت را از ابزار Data Export رمزگشایی می‌کنید، یا پیام‌های رمزگذاری شده از Vault که گواهی S/MIME ندارند را رمزگشایی می‌کنید، این تنظیمات لازم نیست.

اگر هر یک از موارد زیر درست باشد، رمزگشا نمی‌تواند گواهی‌های S/MIME کاربر را دریافت کند و بنابراین نمی‌تواند پیام‌های رمزگذاری شده سمت کلاینت که از S/MIME استفاده می‌کنند را رمزگشایی کند:

حساب کاربری غیرفعال یا حذف شده است
گواهی‌های S/MIME روی حساب کاربری حذف شدند
دسترسی به API جیمیل غیرفعال است

برای اطمینان از رمزگشایی پیام‌های رمزگذاری شده سمت کلاینت با گواهی‌های S/MIME، می‌توانید:

پیام‌های صادر شده از Vault را فوراً رمزگشایی کنید، در حالی که گواهی‌ها همچنان در دسترس هستند.
از ابزار Data Export برای خروجی گرفتن از پیام‌ها استفاده کنید—این خروجی‌ها شامل گواهی‌های هر کاربر نیز می‌شوند.

ابتدا یک فایل پیکربندی ایجاد کنید

رمزگشا از OAuth و IdP شما برای به دست آوردن یک اعتبارنامه احراز هویت استفاده می‌کند که در هر درخواست KACLS privilegedunwrap و privilegedprivatekeydecrypt لحاظ می‌شود. پیکربندی OAuth شما اغلب تغییر نمی‌کند، بنابراین می‌توانید یک فایل پیکربندی (config) حاوی تنظیمات OAuth خود ایجاد کنید تا از تنظیم آنها در هر بار اجرای رمزگشا جلوگیری کنید. برای جزئیات بیشتر در مورد پرچم‌های فایل پیکربندی، به پرچم‌های ایجاد پیکربندی و پرچم‌های به‌روزرسانی پیکربندی در زیر مراجعه کنید.

توجه: اگرچه این مرحله راه‌اندازی اختیاری است، اما برای ساده‌سازی استفاده از ابزار رمزگشایی توصیه می‌شود. اگر فایل پیکربندی ایجاد نمی‌کنید، می‌توانید پرچم‌های OAuth را در خط فرمان به هر اجرای رمزگشایی ارسال کنید. اگر هر دو کار را انجام دهید، مقادیر پرچم ارسالی در خط فرمان، مقادیر خوانده شده از فایل پیکربندی را نادیده می‌گیرند.

مثال: یک پیکربندی برای Google IdP ایجاد کنید

در ویندوز

در macOS یا لینوکس

اکنون می‌توانید پیکربندی را به‌روزرسانی کنید تا رمز کلاینت OAuth را در جریان اعطای کد مجوز اضافه کنید.

در ویندوز

> decrypter.exe -action updateconfig -config C:google-oauth.conf -client_secret my-client-secret

در macOS یا لینوکس

$ ./decrypter -action updateconfig -config ~/google-oauth.json -client_secret my-client-secret

اگر IdP شما گوگل نیست: رمز کلاینت را اضافه نکنید، که فقط توسط IdP گوگل مورد نیاز است. بسیاری از IdP های دیگر در صورت وجود رمز کلاینت، درخواست های احراز هویت را رد می کنند.

رمزگشایی فایل‌ها و ایمیل‌های CSE

ابزار رمزگشایی روی فایل‌های اکسپورت از حالت فشرده خارج شده عمل می‌کند.

پس از اینکه در ابزار Data Export یا Google Vault فایل خروجی را ایجاد کردید، فایل‌های فشرده (zip) را در رایانه محلی خود دانلود کنید.
فایل‌ها را در یک پوشه یا دایرکتوری محلی از حالت فشرده خارج کنید.
رمزگشا را روی فایل‌های از حالت فشرده خارج شده اجرا کنید و فایل‌های متنی رمزگشایی شده را در یک پوشه‌ی دیگر ذخیره کنید.

مثال: استفاده از یک فایل پیکربندی آماده بدون اعتبارنامه حساب سرویس

در ویندوز

> decrypter.exe -config C:google-oauth.json -input C:exported-files -output C:decrypted-files

در macOS یا لینوکس

$ ./decrypter -config ~/google-oauth.json -input ~/exported-files -output ~/decrypted-files

مثال: استفاده از یک فایل پیکربندی آماده با اعتبارنامه حساب سرویس

در ویندوز

> decrypter.exe -config C:google-oauth.json -credential C:serviceaccount.json -input C:exported-files -output C:decrypted-files

در macOS یا لینوکس

$ ./decrypter -config google-oauth.json -credential serviceaccount.json -input exported-files -output decrypted-files

مثال: بدون استفاده از فایل پیکربندی و نه اعتبارنامه حساب سرویس

در ویندوز

> decrypter.exe -email me@example.com -client_id my-client-id.apps.googleusercontent.com -issuer https://accounts.google.com -client_secret my-client-secret -input C:exported-files -output C:decrypted-files

در macOS یا لینوکس

$ ./decrypter -email me@example.com -client_id my-client-id.apps.googleusercontent.com -issuer https://accounts.google.com -client_secret my-client-secret -input ~/exported-files -output ~/decrypted-files

پرچم‌های رمزگشایی

یک پرچم رمزگشا می‌تواند شامل ۱ یا ۲ خط تیره باشد - برای مثال، پرچم نمایش اطلاعات راهنما می‌تواند یکی از موارد زیر باشد:

-help

--help

نکته: برای پرچم‌ها فقط می‌توانید از خط فاصله استفاده کنید، نه اسلش (/).

پرچم‌های مربوط به آرگومان‌های رشته‌ای می‌توانند شامل علامت مساوی یا فاصله برای مشخص کردن آرگومان باشند - برای مثال، پرچم‌های زیر معادل هستند:

-action=decrypt

-action decrypt

پرچم‌های راهنما

پرچم	توضیحات
`-version`	رشته‌ی نسخه را چاپ می‌کند. اگر با پشتیبانی تماس می‌گیرید، مطمئن شوید که نسخه‌ی رمزگشای مورد استفاده‌تان را ارائه می‌دهید.
`-help`	صفحه‌ای از تمام پرچم‌ها را برای مرجع چاپ می‌کند.
`-logfile`	فایل خروجی را مشخص می‌کند که گزارش‌های اجرا در آن نوشته خواهند شد. متن [TIMESTAMP] در نام فایل با زمان شروع اجرا جایگزین می‌شود.

پرچم‌های رمزگشایی

پرچم	توضیحات
`-action decrypt`	اختیاری. مشخص می‌کند که حالت ابزار رمزگشایی فایل‌های CSE است. این حالت پیش‌فرض است.
`-email <email_address>`	اختیاری. آدرس ایمیلی که ممکن است در صفحه احراز هویت IdP که در مرورگر باز می‌شود، از قبل نمایش داده شود.
`-issuer <uri>`	الزامی است، مگر اینکه در فایل پیکربندی باشد. آدرس اینترنتی (URI) کشف صادرکننده‌ی OAuth برای IdP، مانند https://accounts.google.com. برای جزئیات بیشتر، به بخش «اتصال به ارائه‌دهنده‌ی هویت برای رمزگذاری سمت کلاینت » مراجعه کنید.
`-client_id <oauth_client_id>`	الزامی است، مگر اینکه در فایل پیکربندی باشد. یک شناسه کلاینت OAuth از IdP مشخص شده در پرچم `-issuer` . برای جزئیات بیشتر، به «اتصال به ارائه‌دهنده هویت برای رمزگذاری سمت کلاینت» مراجعه کنید.
`-client_secret <oauth_client_secret>`	اختیاری، اگرچه ممکن است برخی از IdPها به آن نیاز داشته باشند. بخش مخفی کلاینت OAuth مربوط به شناسه کلاینت مشخص شده در پرچم `-client_id` .
`-pkce -nopkce`	فعال یا غیرفعال کردن PKCE (کلید اثبات برای تبادل کد) در جریان اعطای کد مجوز. اگر هیچ یک از پرچم‌ها مشخص نشده باشد، رمزگشا به طور پیش‌فرض روی فعال تنظیم می‌شود.
`-input <directory_or_file>`	الزامی. دایرکتوری ورودی یا فایل خروجی. اگر یک دایرکتوری مشخص کنید، رمزگشا به صورت بازگشتی کل درخت دایرکتوری را پیمایش می‌کند تا تمام فایل‌های CSE صادر شده را پیدا کند. از این گزینه برای رمزگشایی گروهی تمام فایل‌های صادر شده از یک آرشیو صادرات گسترده استفاده کنید. اگر ۱ فایل CSE صادر شده را مشخص کنید، رمزگشا فقط همان فایل را رمزگشایی می‌کند. اگر فایل CSE نباشد، رمزگشا از شما درخواست احراز هویت در IdP را می‌کند اما هیچ فایلی را رمزگشایی نمی‌کند.
`-output <directory>`	الزامی. دایرکتوری که فایل‌های رمزگشایی شده در آن ذخیره خواهند شد.
`-overwrite -nooverwrite`	فعال یا غیرفعال کردن رونویسی فایل‌های خروجی متن شفاف رمزگشایی‌شده‌ی موجود. در صورت غیرفعال بودن (پیش‌فرض)، اگر فایل متن شفاف از قبل وجود داشته باشد، رمزگشا از رمزگشایی فایل‌های متن رمز شده صرف نظر می‌کند.
`-workers <integer>`	اختیاری. تعداد کارگران رمزگشایی موازی. اگر از این پرچم استفاده نکنید، رمزگشایی‌کننده به طور پیش‌فرض تعداد هسته‌های پردازنده و ابررشته‌های گزارش شده توسط سیستم عامل را در نظر می‌گیرد. اگر رایانه شما مشکلات عملکردی دارد یا هنگام رمزگشایی فایل‌ها خطای پردازش چندگانه دریافت می‌کنید، می‌توانید این پرچم را روی ۱ تنظیم کنید تا پردازش موازی غیرفعال شود.
`-config <file>`	اختیاری. یک فایل پیکربندی حاوی مقادیر پرچم ذخیره شده. از یک فایل پیکربندی استفاده کنید تا از چسباندن پرچم‌های خط فرمان مشابه هنگام رمزگشایی فایل‌ها جلوگیری شود. برای اطلاعات بیشتر، به پرچم‌های ایجاد پیکربندی و پرچم‌های به‌روزرسانی پیکربندی در زیر مراجعه کنید. مقادیر پرچمی که در خط فرمان تنظیم می‌کنید، نسبت به مقادیر موجود در پیکربندی اولویت دارند. توجه: اگر فایلی را در پیکربندی مشخص کنید و پیدا نشود، خطایی رخ می‌دهد.
`-credential <file>`	اختیاری. یک فایل JSON حاوی کلید خصوصی حساب سرویس در سطح دامنه مشخص کنید. در صورت مشخص شدن، رمزگشایی پیام‌های Gmail CSE از API Gmail برای گواهی‌های S/MIME هر کاربر و فراداده‌های سرویس لیست کنترل دسترسی کلید (KACLS) پرس‌وجو می‌کند.

پرچم‌های ایجاد پیکربندی

از این پرچم‌ها برای ذخیره پرچم‌های خط فرمان رمزگشایی که اغلب استفاده می‌شوند در یک فایل پیکربندی برای استفاده مجدد استفاده کنید. یک فایل پیکربندی با فرمت JSON است که حاوی متن قابل خواندن توسط انسان است.

پرچم	توضیحات
`-action createconfig`	الزامی. حالت پیش‌فرض اجرا را برای اجرای حالت ایجاد فایل پیکربندی لغو می‌کند.
`-config file`	الزامی. نام فایل خروجی که می‌خواهید پیکربندی در آن ذخیره شود را مشخص کنید. اگر فایل از قبل وجود داشته باشد، بدون هشدار رونویسی خواهد شد.
`-email <email_address> -discovery_uri <uri> -client_id <oauth_client_id> -client_secret <oauth_client_secret> -pkce -nopkce`	اختیاری. هر مقدار پرچم مشخص شده برای استفاده مجدد در فایل پیکربندی ذخیره می‌شود.

پرچم‌های به‌روزرسانی پیکربندی

از این پرچم‌ها برای به‌روزرسانی مقادیر پرچم در یک فایل پیکربندی استفاده کنید.

پرچم توضیحات

-action updateconfig الزامی. حالت پیش‌فرض اجرا را برای اجرای حالت به‌روزرسانی فایل پیکربندی لغو می‌کند.

-config file الزامی. فایل پیکربندی که می‌خواهید به‌روزرسانی کنید. اگر فایل وجود نداشته باشد، خطایی رخ می‌دهد.

پرچم	توضیحات
`-action updateconfig`	الزامی. حالت پیش‌فرض اجرا را برای اجرای حالت به‌روزرسانی فایل پیکربندی لغو می‌کند.
`-config file`	الزامی. فایل پیکربندی که می‌خواهید به‌روزرسانی کنید. اگر فایل وجود نداشته باشد، خطایی رخ می‌دهد.
`-email <email_address> -discovery_uri <uri> -client_id <oauth_client_id> -client_secret <oauth_client_secret> -pkce -nopkce`	همه اختیاری هستند. مقادیر مربوط به پرچم‌هایی که در خط فرمان مشخص می‌کنید، بازنویسی می‌شوند؛ سایر مقادیر مربوط به پرچم‌ها در پیکربندی حفظ می‌شوند. برای لغو تنظیم یک پرچم ذخیره شده، یک مقدار خالی مشخص کنید. توجه: اگر ویرایشی فرمت JSON را خراب کند، احتمالاً هنگام استفاده از پیکربندی در رمزگشا، خطایی رخ خواهد داد.

-email <email_address>
 -discovery_uri <uri>
 -client_id <oauth_client_id>
 -client_secret <oauth_client_secret>
 -pkce
 -nopkce

همه اختیاری هستند. مقادیر مربوط به پرچم‌هایی که در خط فرمان مشخص می‌کنید، بازنویسی می‌شوند؛ سایر مقادیر مربوط به پرچم‌ها در پیکربندی حفظ می‌شوند. برای لغو تنظیم یک پرچم ذخیره شده، یک مقدار خالی مشخص کنید.

توجه: اگر ویرایشی فرمت JSON را خراب کند، احتمالاً هنگام استفاده از پیکربندی در رمزگشا، خطایی رخ خواهد داد.

پرچم‌های اطلاعاتی

از این پرچم‌ها برای چاپ اطلاعات قابل خواندن در مورد فایل‌های CSE استفاده کنید.

پرچم توضیحات

-action info (الزامی) حالت اجرای پیش‌فرض را لغو می‌کند تا در حالت اطلاعاتی اجرا شود

پرچم	توضیحات
`-action info`	(الزامی) حالت اجرای پیش‌فرض را لغو می‌کند تا در حالت اطلاعاتی اجرا شود
`-input directory_or_file`	(الزامی) دایرکتوری ورودی یا فایل خروجی را مشخص می‌کند اگر یک دایرکتوری مشخص کنید، این ابزار به صورت بازگشتی کل درخت دایرکتوری را به دنبال تمام فایل‌های خروجی CSE اسکن می‌کند. اگر یک فایل مشخص کنید، این ابزار فقط اطلاعات مربوط به همان فایل را ارائه می‌دهد. می‌توانید این علامت را برای مشخص کردن دایرکتوری‌ها یا فایل‌های ورودی اضافی تکرار کنید. مثال: `$ decrypter -action=info -input=file1.gcse -input=file2.gcse -input=file3.gcse`

-input directory_or_file

(الزامی) دایرکتوری ورودی یا فایل خروجی را مشخص می‌کند

اگر یک دایرکتوری مشخص کنید، این ابزار به صورت بازگشتی کل درخت دایرکتوری را به دنبال تمام فایل‌های خروجی CSE اسکن می‌کند. اگر یک فایل مشخص کنید، این ابزار فقط اطلاعات مربوط به همان فایل را ارائه می‌دهد.

می‌توانید این علامت را برای مشخص کردن دایرکتوری‌ها یا فایل‌های ورودی اضافی تکرار کنید. مثال:

$ decrypter -action=info -input=file1.gcse -input=file2.gcse -input=file3.gcse

رمزگشایی فایل‌ها و ایمیل‌های رمزگذاری‌شده‌ی سمت کلاینتِ خروجی گرفته‌شده با مجموعه‌ها، منظم بمانید ذخیره و طبقه‌بندی محتوا براساس اولویت‌های شما.

قبل از اینکه شروع کنی

الزامات سیستم

رمزگشا را دانلود کنید

پیکربندی دسترسی به سرویس کلید

آنچه شما نیاز دارید

نقاط پایانی KACLS

پیکربندی دسترسی Gmail S/MIME (اختیاری)

ابتدا یک فایل پیکربندی ایجاد کنید

مثال: یک پیکربندی برای Google IdP ایجاد کنید

رمزگشایی فایل‌ها و ایمیل‌های CSE

مثال: استفاده از یک فایل پیکربندی آماده بدون اعتبارنامه حساب سرویس

مثال: استفاده از یک فایل پیکربندی آماده با اعتبارنامه حساب سرویس

مثال: بدون استفاده از فایل پیکربندی و نه اعتبارنامه حساب سرویس

پرچم‌های رمزگشایی

پرچم‌های راهنما

پرچم‌های رمزگشایی

پرچم‌های ایجاد پیکربندی

پرچم‌های به‌روزرسانی پیکربندی

پرچم‌های اطلاعاتی

رمزگشایی فایل‌ها و ایمیل‌های رمزگذاری‌شده‌ی سمت کلاینتِ خروجی گرفته‌شده