Mendekripsi file dan email terenkripsi sisi klien yang diekspor

Jika organisasi Anda menggunakan Enkripsi sisi klien (CSE) Google Workspace, Anda dapat menggunakan utilitas pendekripsi untuk mendekripsi email dan file terenkripsi sisi klien yang Anda ekspor menggunakan alat Ekspor Data atau Google Vault. Anda dapat menjalankan pendekripsi dari command line.

Saat menjalankan pendekripsi, Anda harus menggunakan tanda command line untuk menentukan informasi autentikasi penyedia identitas (IdP), lokasi file yang dienkripsi, lokasi output untuk file yang didekripsi, dan opsi lainnya. Anda juga dapat membuat file konfigurasi untuk menyimpan tanda pendekripsi yang sering digunakan.

Sebelum memulai

  • Saat Anda mendekripsi file Google Dokumen, Spreadsheet, atau Slide, nama file diakhiri dengan .gdoczip atau yang serupa. Setelah didekripsi, Anda dapat mengonversi file ini ke format Microsoft Office menggunakan alat pengonversi file. Untuk mengetahui detailnya, buka Mengonversi file Google yang diekspor dan didekripsi menjadi file Microsoft Office.
  • Jika mengekspor pesan CSE Gmail dari Google Vault, Anda harus mengekspor dalam format MBOX. Pendekripsi tidak dapat memproses ekspor dalam format PST.
  • Utilitas pendekripsi dapat mendekripsi pesan apa pun yang dienkripsi dengan sertifikat S/MIME. Utilitas ini juga dapat mendekripsi pesan yang dienkripsi tanpa sertifikat S/MIME (yaitu, pesan yang menggunakan enkripsi end-to-end (E2EE) Gmail), jika pengguna Anda mengenkripsi pesan atau pesan asli dalam rangkaian pesan.
  • Utilitas pendekripsi tidak dapat mendekripsi pesan (termasuk semua pesan dalam rangkaian pesan) yang dienkripsi tanpa sertifikat S/MIME (E2EE Gmail) di organisasi lain.

Persyaratan sistem

  • Microsoft Windows versi 10 atau 11 64-bit
  • macOS 12 (Monterey) atau yang lebih baru. Prosesor Apple dan Intel didukung.
  • Linux x86_64.

Mendownload pendekripsi

Buka arsip atau volume, lalu ekstrak file yang dapat dieksekusi pendekripsi ke direktori atau folder lokal.

Mengonfigurasi akses layanan kunci enkripsi

Pendekripsi mengirimkan kueri ke layanan kunci enkripsi Anda, yang juga disebut layanan daftar kontrol akses kunci (KACLS), yang melindungi setiap file atau pesan terenkripsi dalam ekspor Anda. Minta kredensial yang akan diterima oleh KACLS kepada administrator penyedia identitas (IdP) dan administrator layanan kunci enkripsi Anda. Jika tidak, KACLS akan menolak upaya pendekripsi untuk mendekripsi konten yang diekspor.

Yang Anda perlukan

Untuk mengonfigurasi akses KACLS, pastikan Anda memiliki:

  • ID klien OAuth yang dapat digunakan oleh aplikasi terinstal. ID klien untuk pendekripsi harus berupa ID klien yang dapat digunakan oleh software desktop yang diinstal dan khusus untuk utilitas pendekripsi. ID klien ini harus berupa ID klien yang berbeda dari ID klien yang ditetapkan di konsol Google Admin untuk aplikasi web, desktop, dan seluler CSE.
  • Rahasia klien OAuth yang terkait dengan ID klien, jika IdP Anda adalah Google. Anda tidak memerlukan rahasia klien jika menggunakan IdP pihak ketiga.
  • Alamat email untuk akun pengguna yang melakukan autentikasi ke KACLS untuk dekripsi ekspor. Akun ini dapat berupa akun Anda sendiri, atau akun khusus yang telah dikonfigurasi oleh administrator Anda. Anda harus login sebagai pengguna ini saat menjalankan utilitas pendekripsi, jadi kemungkinan Anda akan memerlukan sandi akun.

Endpoint KACLS

Konfigurasi KACLS harus mengizinkan akun pengguna dan ID klien memanggil endpoint yang digunakan untuk dekripsi ekspor. Administrator KACLS Anda biasanya dapat menyiapkan hal ini untuk Anda. Endpoint KACLS yang dipanggil oleh pendekripter bergantung pada jenis konten terenkripsi:

  • CSE Kalender: privilegedunwrap
  • CSE Dokumen, CSE Spreadsheet, CSE Slide: privilegedunwrap
  • CSE Drive: privilegedunwrap
  • CSE Gmail (dengan sertifikat S/MIME): privilegedprivatekeydecrypt
  • CSE Gmail (tanpa sertifikat S/MIME): privilegedunwrap

Mengonfigurasi akses S/MIME Gmail (opsional)

Jika Anda mendekripsi pesan Gmail terenkripsi sisi klien yang menggunakan S/MIME dari Google Vault, pendekripsi perlu memanggil API publik Gmail untuk mendownload data tambahan. Ekspor Google Vault tidak menyertakan sertifikat S/MIME setiap pengguna, sehingga pendekripsi akan otomatis mengambilnya dari Gmail sesuai kebutuhan.

Untuk mengizinkan pendekripsi meminta sertifikat S/MIME untuk pengguna mana pun di organisasi Anda, Anda harus meneruskan kredensial akun layanan di seluruh domain ke pendekripsi. Untuk mengetahui detail tentang cara menyiapkan akun layanan ini dan membuat file JSON yang berisi kredensial pribadi untuk akun layanan, buka Khusus Gmail: Mengonfigurasi S/MIME untuk enkripsi sisi klien.

Catatan: Penyiapan ini tidak diperlukan jika Anda mendekripsi pesan terenkripsi sisi klien dari alat Ekspor Data, atau mendekripsi pesan terenkripsi dari Vault yang tidak memiliki sertifikat S/MIME.

Pendekripsi tidak dapat mengambil sertifikat S/MIME pengguna dan oleh karena itu tidak dapat mendekripsi pesan terenkripsi sisi klien yang menggunakan S/MIME jika salah satu hal berikut benar:

Untuk membantu memastikan dekripsi pesan terenkripsi sisi klien dengan sertifikat S/MIME, Anda dapat:

  • Segera dekripsi pesan yang diekspor dari Vault saat sertifikat masih tersedia.
  • Menggunakan alat Ekspor Data untuk mengekspor pesan—ekspor ini mencakup sertifikat setiap pengguna.

Buat file konfigurasi terlebih dahulu

Pendekripsi menggunakan OAuth dan IdP Anda untuk mendapatkan kredensial autentikasi yang disertakan pada setiap permintaan privilegedunwrap dan privilegedprivatekeydecrypt KACLS. Konfigurasi OAuth Anda tidak akan sering berubah, jadi Anda dapat membuat file konfigurasi yang berisi setelan OAuth untuk menghindari keharusan menyetelnya setiap kali Anda menjalankan pendekripsi. Untuk mengetahui detail tentang tanda file konfigurasi, buka Tanda pembuatan konfigurasi dan Tanda pembaruan konfigurasi di bawah.

Catatan: Meskipun langkah penyiapan ini bersifat opsional, sebaiknya lakukan langkah ini untuk menyederhanakan penggunaan utilitas pendekripsi. Jika tidak membuat file konfigurasi, Anda dapat meneruskan tanda OAuth di command line ke setiap eksekusi pendekripsi. Jika Anda melakukan keduanya, nilai tanda yang diteruskan di command line akan menggantikan nilai yang dibaca dari file konfigurasi.

Contoh: Membuat konfigurasi untuk IdP Google

Di Windows

Di macOS atau Linux

Sekarang Anda dapat memperbarui konfigurasi untuk menambahkan rahasia klien OAuth dalam alur pemberian kode otorisasi.

Di Windows

Di macOS atau Linux

Jika IdP Anda bukan Google: Jangan menambahkan rahasia klien, yang hanya diperlukan oleh IdP Google. Banyak IdP lain akan menolak permintaan autentikasi saat ada rahasia klien.

Mendekripsi file dan email CSE

Utilitas pendekripsi beroperasi pada file ekspor yang belum diekstrak.

  1. Setelah Anda membuat ekspor di alat Ekspor Data atau Google Vault, download file ZIP ke komputer lokal.
  2. Ekstrak file ke direktori atau folder lokal.
  3. Jalankan pendekripsi pada file yang diekstrak dan simpan file teks biasa yang didekripsi ke direktori yang berbeda.

Contoh: Menggunakan file konfigurasi yang sudah disiapkan tanpa kredensial akun layanan

Di Windows

Di macOS atau Linux

Contoh: Menggunakan file konfigurasi yang telah disiapkan dengan kredensial akun layanan

Di Windows

Di macOS atau Linux

Contoh: Tidak menggunakan file konfigurasi maupun kredensial akun layanan

Di Windows

Di macOS atau Linux

Tanda pendekripsi

Tanda pendekripsi dapat menyertakan 1 atau 2 tanda hubung di depan—misalnya, tanda untuk menampilkan informasi bantuan dapat berupa salah satu dari tanda berikut:

-help

--help

Catatan: Anda hanya dapat menggunakan tanda hubung, bukan garis miring (/), untuk tanda.

Tanda untuk argumen string dapat menyertakan tanda sama dengan atau spasi untuk menentukan argumen—misalnya, tanda berikut memiliki fungsi yang sama:

-action=decrypt

-action decrypt

Tanda bantuan

Bendera Deskripsi
-version Output string versi. Jika menghubungi dukungan, pastikan Anda memberikan versi pendekripsi yang Anda gunakan.
-help Output layar semua tanda untuk referensi.
-logfile Menentukan file output tempat log eksekusi akan ditulis. Teks [TIMESTAMP] pada nama file akan diganti dengan waktu mulai eksekusi.

Tanda dekripsi

Bendera Deskripsi
-action decrypt Opsional. Menentukan bahwa dekripsi file CSE akan dilakukan dalam mode utilitas. Ini adalah mode defaultnya.
-email <email_address> Opsional. Alamat email yang mungkin diisi otomatis pada layar autentikasi IdP yang dibuka di browser.
-issuer <uri> Wajib, kecuali jika sudah ada di file konfigurasi. URI penemuan penerbit OAuth untuk IdP, seperti https://accounts.google.com. Untuk mengetahui detailnya, buka Menghubungkan ke penyedia identitas untuk enkripsi sisi klien.
-client_id <oauth_client_id> Wajib, kecuali jika sudah ada di file konfigurasi. Client ID OAuth dari IdP yang ditentukan dalam tanda -issuer. Untuk mengetahui detailnya, buka Menghubungkan ke penyedia identitas untuk enkripsi sisi klien.
-client_secret <oauth_client_secret> Opsional, meskipun beberapa IdP mungkin mewajibkannya. Bagian rahasia klien OAuth sesuai dengan client ID yang ditentukan dalam tanda -client_id.
-pkce
-nopkce		 Mengaktifkan atau menonaktifkan PKCE (Proof Key for Code Exchange) di alur pemberian kode otorisasi. Jika tidak ada tanda yang ditentukan, pendekripsi akan mengaktifkan PKCE secara default.
-input <directory_or_file>

Wajib. Direktori input atau file ekspor.

Jika Anda menentukan direktori, pendekripsi akan melintasi seluruh hierarki direktori secara berulang untuk menemukan semua file CSE yang diekspor. Gunakan opsi ini untuk mendekripsi semua file yang diekspor secara massal dari arsip ekspor yang telah diekstrak.

Jika Anda menentukan 1 file CSE yang diekspor, pendekripsi hanya akan mendekripsi file tersebut. Jika file tersebut bukan file CSE, pendekripsi akan meminta Anda melakukan autentikasi ke IdP, tetapi tidak akan mendekripsi file apa pun.
-output <directory> Wajib. Direktori tempat file yang didekripsi akan disimpan.
-overwrite
-nooverwrite		 Mengaktifkan atau menonaktifkan penimpaan file output cleartext yang didekripsi. Jika dinonaktifkan (default), pendekripsi akan melewati dekripsi file ciphertext jika file cleartext sudah ada.
-workers <integer>

Opsional. Jumlah perangkat dekripsi paralel. Jika Anda tidak menggunakan tanda ini, pendekripsi secara default akan menggunakan jumlah inti prosesor dan hyperthread yang dilaporkan oleh sistem operasi.

Jika komputer Anda mengalami masalah performa atau Anda menerima error multipemrosesan saat mendekripsi file, Anda dapat menetapkan nilai tanda ini ke 1 untuk menonaktifkan pemrosesan paralel.
-config <file>

Opsional. File konfigurasi yang berisi nilai tanda yang disimpan. Gunakan file konfigurasi agar Anda tidak perlu menempelkan tanda command line yang sama setiap kali Anda mendekripsi file. Untuk mengetahui informasi selengkapnya, buka Tanda pembuatan konfigurasi dan Tanda pembaruan konfigurasi di bawah.

Nilai tanda yang Anda tetapkan pada command line lebih diutamakan daripada nilai dalam konfigurasi.

Catatan: Error akan terjadi jika Anda menentukan file dalam konfigurasi, tetapi file tersebut tidak ditemukan.
-credential <file> Opsional. Menentukan file JSON yang berisi kunci pribadi akun layanan seluruh domain. Jika ditentukan, dekripsi pesan CSE Gmail akan membuat kueri pada Gmail API untuk setiap sertifikat S/MIME dan metadata layanan daftar kontrol akses kunci (KACLS) pengguna.

Tanda pembuatan konfigurasi

Gunakan tanda ini agar tanda command line dekripsi yang sering digunakan disimpan ke file konfigurasi untuk digunakan kembali. File konfigurasi diformat dalam JSON yang berisi teks yang dapat dibaca manusia.

Bendera Deskripsi
-action createconfig Wajib. Mengganti mode default eksekusi untuk menjalankan mode pembuatan file konfigurasi.
-config file Wajib. Menentukan nama file output tempat Anda ingin menyimpan konfigurasi. Jika sudah ada, file tersebut akan ditimpa tanpa peringatan.
-email <email_address>
-discovery_uri <uri>
-client_id <oauth_client_id>
-client_secret <oauth_client_secret>
-pkce
-nopkce		 Opsional. Setiap nilai tanda yang ditentukan akan disimpan ke file konfigurasi untuk digunakan kembali.

Tanda pembaruan konfigurasi

Gunakan tanda ini untuk memperbarui nilai tanda apa pun di file konfigurasi.

Bendera Deskripsi
-action updateconfig Wajib. Mengganti mode default eksekusi untuk menjalankan mode pembaruan file konfigurasi.
-config file Wajib. File konfigurasi yang ingin Anda perbarui. Jika file tidak ada, akan terjadi error.
-email <email_address>
-discovery_uri <uri>
-client_id <oauth_client_id>
-client_secret <oauth_client_secret>
-pkce
-nopkce

Semua bersifat opsional. Nilai untuk tanda yang Anda tentukan pada command line akan ditimpa; nilai lainnya untuk tanda dalam konfigurasi akan dipertahankan. Untuk membatalkan penetapan tanda yang disimpan, tentukan nilai kosong.

Catatan: Jika hasil edit merusak format JSON, error kemungkinan akan terjadi saat Anda menggunakan konfigurasi di pendekripsi.

Tanda informasi

Gunakan tanda ini untuk mencetak informasi tentang file CSE yang dapat dibaca.

Bendera Deskripsi
-action info (Wajib) Mengganti mode eksekusi default yang akan dijalankan dalam mode informasi
-input directory_or_file

(Wajib) Menentukan direktori input atau file ekspor

Jika Anda menentukan direktori, utilitas ini akan memindai seluruh direktori secara berulang untuk mencari semua file yang diekspor CSE. Jika Anda menentukan file, utilitas akan memberikan informasi hanya untuk file tersebut.

Anda dapat mengulangi tanda ini untuk menentukan file atau direktori input tambahan. Contoh:

$ decrypter -action=info -input=file1.gcse -input=file2.gcse -input=file3.gcse