פענוח של קבצים ואימיילים שמוצפנים מצד הלקוח ויוצאו

אם בארגון שלכם משתמשים בהצפנה מצד הלקוח (CSE) ב-Google Workspace, אתם יכולים להשתמש בכלי לפענוח כדי לפענח קבצים והודעות אימייל שמוצפנים מצד הלקוח ויוצאו באמצעות הכלי לייצוא נתונים או Google Vault. אפשר להריץ את כלי ההצפנה משורת הפקודה.

כשמריצים את כלי הפענוח, משתמשים בדגלים של שורת הפקודה כדי לציין את פרטי האימות של ספק הזהויות (IdP), את המיקום של הקבצים המוצפנים, את מיקום הפלט של הקבצים המפוענחים ואפשרויות אחרות. אפשר גם ליצור קובץ הגדרות (config) כדי לשמור בו את הדגלים של כלי ההצפנה שבהם אתם משתמשים לעיתים קרובות.

לפני שמתחילים

כשמבטלים את ההצפנה של קובץ ב-Google Docs, ‏Sheets או Slides, שם הקובץ מסתיים ב-.gdoczip או בתווים דומים. אחרי הפענוח, אפשר להמיר את הקבצים האלה לפורמט של Microsoft Office באמצעות כלי להמרת קבצים. פרטים נוספים מופיעים במאמר המרת קבצים של Google שיוצאו ופוענחו לקובצי Microsoft Office.
אם מייצאים הודעות עם CSE מ-Gmail מ-Google Vault, צריך לייצא אותן בפורמט MBOX. הכלי לפענוח לא יכול לעבד ייצוא בפורמט PST.
כלי הפענוח יכול לפענח כל הודעה שהוצפנה באמצעות אישורי S/MIME. ההצפנה יכולה גם לפענח הודעות שהוצפנו בלי אישורי S/MIME (כלומר, הודעות שנעשה בהן שימוש בהצפנה מקצה לקצה (E2EE) ב-Gmail), אם המשתמשים שלכם הצפינו את ההודעות או את ההודעה המקורית בשרשורים.
כלי הפענוח לא יכול לפענח הודעות (כולל כל ההודעות בשרשור) שהוצפנו ללא אישורי S/MIME (הצפנה מקצה לקצה ב-Gmail) בארגון אחר.

דרישות מערכת

‫Microsoft Windows בגרסה 10 או 11 בגרסת 64 ביט
‫macOS 12 (Monterey) ואילך. יש תמיכה במעבדים של אפל ושל אינטל.
‫Linux x86_64.

הורדת כלי הפענוח

‫Windows (קובץ ‎.zip)
‫macOS (קובץ ‎.dmg)
‫Linux (קובץ ‎.tgz)

פותחים את הארכיון או את אמצעי האחסון ומחלצים את קובץ ההפעלה של כלי ההצפנה לספרייה או לתיקייה מקומית.

הגדרת גישה לשירות מפתחות

הכלי לפענוח שולח שאילתות לשירות מפתחות ההצפנה, שנקרא גם שירות רשימת מפתחות של בקרת גישה (KACLS), שמגן על כל קובץ או הודעה מוצפנים בייצוא. צריך לבקש מהאדמין של ספק הזהויות (IdP) ומהאדמין של השירות למפתחות הצפנה את פרטי הכניסה שה-KACL יקבל. אחרת, ה-KACL ידחה את הניסיונות של כלי הפענוח לפענח תוכן שיוצא.

מה צריך

כדי להגדיר גישה ל-KACLS, צריך לוודא שיש לכם:

מזהה לקוח OAuth שאפליקציות מותקנות יכולות להשתמש בו. מזהה הלקוח של כלי ההצפנה צריך להיות מזהה לקוח שאפשר להשתמש בו בתוכנה מותקנת למחשב, וספציפי לכלי ההצפנה. מזהה הלקוח הזה חייב להיות שונה ממזהי הלקוח שהוגדרו במסוף Google Admin עבור אפליקציות ה-CSE לאינטרנט, למחשב ולנייד.
הסוד של לקוח OAuth שמשויך למזהה הלקוח, אם ספק הזהויות שלכם הוא Google. אם אתם משתמשים ב-IdP של צד שלישי, אתם לא צריכים את סוד הלקוח.
כתובת האימייל של חשבון המשתמש שמבצע אימות ל-KACLS לצורך פענוח של ייצוא. זה יכול להיות החשבון שלכם, או חשבון מיוחד שהאדמינים הגדירו. כדי להריץ את כלי הפענוח, צריך להתחבר כמשתמש הזה, ולכן סביר להניח שתצטרכו את הסיסמה של החשבון.

נקודות הקצה של KACLS

ההגדרה של KACLS צריכה לאפשר לחשבון המשתמש ולמזהה הלקוח לקרוא לנקודות קצה שמשמשות לפענוח הייצוא. בדרך כלל האדמין של KACLS יכול להגדיר את זה בשבילכם. נקודת הקצה של KACLS שאליה מתבצעת הקריאה על ידי כלי הפענוח תלויה בסוג התוכן המוצפן:

הצפנה מצד הלקוח ביומן: privilegedunwrap
הצפנה מצד הלקוח ב-Docs, ב-Sheets וב-Slides: privilegedunwrap
Drive CSE: privilegedunwrap
הצפנה מצד הלקוח ב-Gmail (עם אישורי S/MIME): privilegedprivatekeydecrypt
הצפנה מצד הלקוח ב-Gmail (ללא אישורי S/MIME): privilegedunwrap

הגדרת גישה ל-S/MIME ב-Gmail (אופציונלי)

אם אתם מפענחים הודעות Gmail עם הצפנה מצד הלקוח שמשתמשות ב-S/MIME מ-Google Vault, כלי הפענוח צריך לקרוא ל-API הציבורי של Gmail כדי להוריד נתונים נוספים. ייצוא מ-Google Vault לא כולל את אישורי ה-S/MIME של כל משתמש, ולכן כלי הפענוח מאחזר אותם אוטומטית מ-Gmail לפי הצורך.

כדי לאפשר לכלי לפענוח לבקש את אישורי ה-S/MIME של כל משתמש בארגון, צריך להעביר לכלי לפענוח פרטי כניסה של חשבון שירות ברמת הדומיין. פרטים על הגדרת חשבון השירות הזה ויצירת קובץ JSON שמכיל את פרטי הכניסה הפרטיים לחשבון השירות זמינים במאמר Gmail בלבד: הגדרת S/MIME להצפנה בצד הלקוח.

הערה: אין צורך בהגדרה הזו אם אתם מפענחים הודעות עם הצפנה מצד הלקוח באמצעות הכלי לייצוא נתונים, או אם אתם מפענחים הודעות מוצפנות מ-Vault שאין להן אישורי S/MIME.

הכלי לפענוח לא יכול לאחזר את אישורי ה-S/MIME של המשתמש, ולכן הוא לא יכול לפענח הודעות שהוצפנו בצד הלקוח באמצעות S/MIME אם אחד מהתנאים הבאים מתקיים:

חשבון המשתמש הושבת או נמחק
אישורי S/MIME בחשבון הוסרו
הגישה ל-Gmail API מושבתת

כדי להבטיח את פענוח ההודעות עם הצפנה בצד הלקוח באמצעות אישורי S/MIME, אתם יכולים:

לפענח באופן מיידי הודעות שיוצאו מ-Vault בזמן שהאישורים עדיין זמינים.
אפשר להשתמש בכלי לייצוא נתונים כדי לייצא הודעות – הייצוא כולל את האישורים של כל משתמש.

קודם יוצרים קובץ תצורה

הכלי לפענוח משתמש ב-OAuth וב-IdP שלכם כדי לקבל פרטי כניסה לאימות, שהוא כולל בכל בקשה של privilegedunwrap ושל privilegedprivatekeydecrypt KACLS. ההגדרות של OAuth לא משתנות לעיתים קרובות, ולכן אפשר ליצור קובץ הגדרות (config) שמכיל את הגדרות ה-OAuth כדי שלא תצטרכו להגדיר אותן בכל פעם שמריצים את כלי הפענוח. פרטים על הדגלים של קובץ התצורה מופיעים בקטע דגלים ליצירת תצורה ודגלים לעדכון תצורה בהמשך.

הערה: השלב הזה אופציונלי, אבל מומלץ כדי לפשט את השימוש בכלי לפענוח. אם לא יוצרים קובץ הגדרות, אפשר להעביר את הדגלים של OAuth בשורת הפקודה לכל הפעלה של כלי ההצפנה. אם תעשו את שניהם, הערכים של הדגלים שיועברו בשורת הפקודה יבטלו את הערכים שנקראו מקובץ ההגדרות.

דוגמה: יצירת הגדרה לספק הזהויות של Google

ב-Windows

ב-macOS או ב-Linux

עכשיו אפשר לעדכן את ההגדרה כדי להוסיף את סוד הלקוח ב-OAuth לתהליך קבלת קוד ההרשאה.

ב-Windows

> decrypter.exe -action updateconfig -config C:google-oauth.conf -client_secret my-client-secret

ב-macOS או ב-Linux

$ ./decrypter -action updateconfig -config ~/google-oauth.json -client_secret my-client-secret

אם ספק הזהויות שלכם הוא לא Google: אל תוסיפו את סוד הלקוח, שנדרש רק על ידי ספק הזהויות של Google. ספקי זהויות רבים אחרים ידחו בקשות אימות אם הסוד של הלקוח קיים.

פענוח של קבצים ואימיילים עם CSE

כלי הפענוח פועל על קובצי ייצוא לא מכווצים.

אחרי שיוצרים ייצוא בכלי לייצוא נתונים או ב-Google Vault, מורידים את קובצי ה-ZIP למחשב המקומי.
פותחים את הקובץ בתיקייה מקומית.
מריצים את כלי הפענוח על הקבצים שלא נפרסו ושומרים את קובצי הטקסט הפשוט המפוענחים בספרייה אחרת.

דוגמה: שימוש בקובץ תצורה מוכן ללא פרטי הכניסה של חשבון השירות

ב-Windows

> decrypter.exe -config C:google-oauth.json -input C:exported-files -output C:decrypted-files

ב-macOS או ב-Linux

$ ./decrypter -config ~/google-oauth.json -input ~/exported-files -output ~/decrypted-files

דוגמה: שימוש בקובץ הגדרה מוכן עם פרטי כניסה של חשבון שירות

ב-Windows

> decrypter.exe -config C:google-oauth.json -credential C:serviceaccount.json -input C:exported-files -output C:decrypted-files

ב-macOS או ב-Linux

$ ./decrypter -config google-oauth.json -credential serviceaccount.json -input exported-files -output decrypted-files

דוגמה: שימוש בלי קובץ תצורה ובלי פרטי כניסה של חשבון שירות

ב-Windows

> decrypter.exe -email me@example.com -client_id my-client-id.apps.googleusercontent.com -issuer https://accounts.google.com -client_secret my-client-secret -input C:exported-files -output C:decrypted-files

ב-macOS או ב-Linux

$ ./decrypter -email me@example.com -client_id my-client-id.apps.googleusercontent.com -issuer https://accounts.google.com -client_secret my-client-secret -input ~/exported-files -output ~/decrypted-files

דגלים של כלי ההצפנה

דגל של כלי לפענוח יכול לכלול מקף מוביל אחד או שניים – לדוגמה, הדגל להצגת מידע עזרה יכול להיות אחד מהערכים הבאים:

-help

--help

הערה: אפשר להשתמש רק במקפים לציון דגלים, ולא בלוכסנים (/).

דגלים של ארגומנטים מסוג מחרוזת יכולים לכלול סימן שווה או רווח כדי לציין את הארגומנט. לדוגמה, הדגלים הבאים שקולים:

-action=decrypt

-action decrypt

סימוני עזרה

דגל	תיאור
`-version`	הדפסת מחרוזת הגרסה. אם פונים לתמיכה, חשוב לציין את הגרסה של כלי ההצפנה שבה משתמשים.
`-help`	הדפסה של מסך עם כל הדגלים לצורך עיון.
`-logfile`	מציין את קובץ הפלט שבו ייכתבו יומני הביצוע. הטקסט [TIMESTAMP] בשם הקובץ יוחלף בשעת ההתחלה של ההרצה.

התרעות לגבי פענוח

דגל	תיאור
`-action decrypt`	אופציונלי. מציין שהמצב של כלי השירות הוא פענוח של קבצי CSE. זהו מצב ברירת המחדל.
`-email <email_address>`	אופציונלי. כתובת האימייל שאולי תאוכלס מראש במסך האימות של ספק הזהויות שנפתח בדפדפן.
`-issuer <uri>`	חובה, אלא אם הוא מופיע בקובץ ההגדרות. ה-URI של גילוי מנפיק OAuth עבור ספק הזהויות, כמו https://accounts.google.com. פרטים נוספים זמינים במאמר התחברות לספק הזהויות לצורך הצפנה מצד הלקוח.
`-client_id <oauth_client_id>`	חובה, אלא אם הוא מופיע בקובץ ההגדרות. מזהה לקוח ב-OAuth מ-IdP שצוין בדגל `-issuer`. פרטים נוספים מופיעים במאמר בנושא התחברות לספק הזהויות לצורך הצפנה מצד הלקוח.
`-client_secret <oauth_client_secret>`	אופציונלי, אבל יכול להיות שספקי זהויות מסוימים ידרשו אותו. החלק בסוד הלקוח של OAuth שמתאים למזהה הלקוח שצוין בדגל `-client_id`.
`-pkce -nopkce`	הפעלה או השבתה של PKCE (מפתח הוכחה להחלפת קוד) בתהליך הענקת קוד ההרשאה. אם לא מציינים אף אחד מהדגלים, ההגדרה של ההצפנה תהיה מופעלת כברירת מחדל.
`-input <directory_or_file>`	חובה. ספריית הקלט או קובץ הייצוא. אם מציינים ספרייה, כלי ההצפנה יסרוק באופן רקורסיבי את כל עץ הספריות כדי למצוא את כל קובצי ה-CSE המיוצאים. אפשר להשתמש באפשרות הזו כדי לפענח בכמות גדולה את כל הקבצים שיוצאו מארכיון ייצוא מורחב. אם מציינים קובץ אחד של CSE לייצוא, הכלי לפענוח יפענח רק את הקובץ הזה. אם זה לא קובץ CSE, הכלי להסרת ההצפנה יבקש מכם לבצע אימות ב-IdP, אבל לא יסיר את ההצפנה של אף קובץ.
`-output <directory>`	חובה. הספרייה שבה יישמרו הקבצים המפוענחים.
`-overwrite -nooverwrite`	המתג מפעיל או משבית את האפשרות להחליף קבצים קיימים של פלט טקסט רגיל מפוענח. אם האפשרות מושבתת (ברירת המחדל), כלי הפענוח ידלג על פענוח של קבצים מוצפנים אם הקובץ הלא מוצפן כבר קיים.
`-workers <integer>`	אופציונלי. מספר העובדים שמבצעים פענוח מקביל. אם לא משתמשים בדגל הזה, ברירת המחדל של כלי הפענוח היא מספר ליבות המעבד וההליכי משנה הווירטואליים שדווחו על ידי מערכת ההפעלה. אם יש בעיות בביצועים של המחשב או שמוצגת שגיאה בעיבוד מרובה כשמפענחים קבצים, אפשר להגדיר את הדגל הזה ל-1 כדי להשבית את העיבוד המקביל.
`-config <file>`	אופציונלי. קובץ הגדרות שמכיל ערכים מאוחסנים של דגלים. כדי להימנע מהדבקה של אותם דגלים של שורת הפקודה בכל פעם שמפענחים קבצים, אפשר להשתמש בקובץ תצורה. מידע נוסף זמין בקטע דגלים ליצירת הגדרות ודגלים לעדכון הגדרות בהמשך המאמר. ערכים של דגלים שהגדרתם בשורת הפקודה מקבלים קדימות על פני ערכים בקובץ התצורה. הערה: אם מציינים קובץ בהגדרות והקובץ לא נמצא, מתרחשת שגיאה.
`-credential <file>`	אופציונלי. מציינים קובץ JSON שמכיל מפתח פרטי של חשבון שירות עם גישה ברמת הדומיין. אם מציינים זאת, כדי לפענח הודעות Gmail עם הצפנה מצד הלקוח, המערכת תבצע שאילתה ב-Gmail API לגבי אישורי S/MIME של כל משתמש ומטא-נתונים של שירות רשימת בקרת גישה למפתחות (KACLS).

דגלים ליצירת הגדרות

אפשר להשתמש בדגלים האלה כדי לשמור דגלים של שורת פקודה לפענוח שמשמשים לעיתים קרובות בקובץ הגדרה לשימוש חוזר. קובץ ההגדרות מעוצב ב-JSON, שמכיל טקסט קריא לאנשים.

דגל	תיאור
`-action createconfig`	חובה. המדיניות הזו מבטלת את מצב הביצוע שמוגדר כברירת מחדל, ומפעילה את מצב יצירת קובץ התצורה.
`-config file`	חובה. מציינים את שם קובץ הפלט שבו רוצים לשמור את ההגדרות. אם הקובץ כבר קיים, הוא יוחלף בלי אזהרה.
`-email <email_address> -discovery_uri <uri> -client_id <oauth_client_id> -client_secret <oauth_client_secret> -pkce -nopkce`	אופציונלי. כל ערכי הדגלים שצוינו יישמרו בקובץ ההגדרות לשימוש חוזר.

סימונים של עדכון ההגדרה

אפשר להשתמש בדגלים האלה כדי לעדכן ערכים של דגלים בקובץ תצורה.

דגל תיאור

-action updateconfig חובה. ההגדרה הזו מבטלת את מצב הביצוע שמוגדר כברירת מחדל ומפעילה את מצב העדכון של קובץ התצורה.

-config file חובה. קובץ ההגדרות שרוצים לעדכן. אם הקובץ לא קיים, מתרחשת שגיאה.

דגל	תיאור
`-action updateconfig`	חובה. ההגדרה הזו מבטלת את מצב הביצוע שמוגדר כברירת מחדל ומפעילה את מצב העדכון של קובץ התצורה.
`-config file`	חובה. קובץ ההגדרות שרוצים לעדכן. אם הקובץ לא קיים, מתרחשת שגיאה.
`-email <email_address> -discovery_uri <uri> -client_id <oauth_client_id> -client_secret <oauth_client_secret> -pkce -nopkce`	כל השדות אופציונליים. הערכים של הדגלים שאתם מציינים בשורת הפקודה נכתבים מחדש, וכל ערך אחר של דגל בתצורה נשמר. כדי לבטל את ההגדרה של דגל מאוחסן, מציינים ערך ריק. הערה: אם עריכה משחיתה את פורמט ה-JSON, סביר להניח שתתרחש שגיאה כשמשתמשים בהגדרה בכלי לפענוח.

-email <email_address>

            -discovery_uri <uri>

            -client_id <oauth_client_id>

            -client_secret <oauth_client_secret>

            -pkce

            -nopkce

כל השדות אופציונליים. הערכים של הדגלים שאתם מציינים בשורת הפקודה נכתבים מחדש, וכל ערך אחר של דגל בתצורה נשמר. כדי לבטל את ההגדרה של דגל מאוחסן, מציינים ערך ריק.

הערה: אם עריכה משחיתה את פורמט ה-JSON, סביר להניח שתתרחש שגיאה כשמשתמשים בהגדרה בכלי לפענוח.

התראות מידע

אפשר להשתמש בדגלים האלה כדי להדפיס מידע קריא על קובצי CSE.

דגל תיאור

-action info (חובה) מחליף את מצב ההפעלה שמוגדר כברירת מחדל כדי להפעיל את התוסף במצב מידע

דגל	תיאור
`-action info`	(חובה) מחליף את מצב ההפעלה שמוגדר כברירת מחדל כדי להפעיל את התוסף במצב מידע
`-input directory_or_file`	(חובה) מציין את ספריית הקלט או את קובץ הייצוא אם מציינים ספרייה, כלי השירות סורק באופן רקורסיבי את כל עץ הספריות בחיפוש אחר כל קובצי הייצוא של CSE. אם מציינים קובץ, כלי השירות מספק מידע רק לגבי הקובץ הזה. אפשר לחזור על האפשרות הזו כדי לציין עוד קבצים או תיקיות קלט. דוגמה: `$ decrypter -action=info -input=file1.gcse -input=file2.gcse -input=file3.gcse`

-input directory_or_file

(חובה) מציין את ספריית הקלט או את קובץ הייצוא

אם מציינים ספרייה, כלי השירות סורק באופן רקורסיבי את כל עץ הספריות בחיפוש אחר כל קובצי הייצוא של CSE. אם מציינים קובץ, כלי השירות מספק מידע רק לגבי הקובץ הזה.

אפשר לחזור על האפשרות הזו כדי לציין עוד קבצים או תיקיות קלט. דוגמה:

$ decrypter -action=info -input=file1.gcse -input=file2.gcse -input=file3.gcse

פענוח של קבצים ואימיילים שמוצפנים מצד הלקוח ויוצאו קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

לפני שמתחילים

דרישות מערכת

הורדת כלי הפענוח

הגדרת גישה לשירות מפתחות

מה צריך

נקודות הקצה של KACLS

הגדרת גישה ל-S/MIME ב-Gmail (אופציונלי)

קודם יוצרים קובץ תצורה

דוגמה: יצירת הגדרה לספק הזהויות של Google

פענוח של קבצים ואימיילים עם CSE

דוגמה: שימוש בקובץ תצורה מוכן ללא פרטי הכניסה של חשבון השירות

דוגמה: שימוש בקובץ הגדרה מוכן עם פרטי כניסה של חשבון שירות

דוגמה: שימוש בלי קובץ תצורה ובלי פרטי כניסה של חשבון שירות

דגלים של כלי ההצפנה

סימוני עזרה

התרעות לגבי פענוח

דגלים ליצירת הגדרות

סימונים של עדכון ההגדרה

התראות מידע

פענוח של קבצים ואימיילים שמוצפנים מצד הלקוח ויוצאו