Decriptare i file e le email con crittografia lato client esportati

Se la tua organizzazione utilizza la crittografia lato client di Google Workspace, puoi utilizzare l'utilità di decrittografia per decrittare i file e le email con crittografia lato client esportati mediante lo strumento Esportazione dei dati o Google Vault. Puoi eseguire l'utilità di decrittografia dalla riga di comando.

Quando esegui l'utilità di decriptazione, puoi utilizzare i flag della riga di comando per specificare le informazioni di autenticazione dell'IdP, la posizione dei file criptati, la posizione dei file decriptati di output e altre opzioni. Puoi anche creare un file di configurazione (config) per salvare i flag dell'utilità di decriptazione che utilizzi più spesso.

Prima di iniziare

  • Quando decripti un file di Documenti, Fogli o Presentazioni Google, il nome del file termina con .gdoczip o un'estensione simile. Dopo la decriptazione, puoi convertire questi file nel formato Microsoft Office utilizzando lo strumento di conversione dei file. Per maggiori dettagli, vedi Converti i file Google esportati e decriptati in file Microsoft Office.
  • Se esporti i messaggi di Gmail con crittografia lato client da Google Vault, devi esportarli in formato MBOX. L'utilità di decrittografia non può elaborare le esportazioni in formato PST.
  • L'utilità di decrittografia può decriptare qualsiasi messaggio criptato con certificati S/MIME. Può anche decriptare i messaggi criptati senza certificati S/MIME (ovvero i messaggi che utilizzano la crittografia end-to-end (E2EE) di Gmail), se i tuoi utenti hanno criptato i messaggi o il messaggio originale nei thread.
  • L'utilità di decrittografia non può decriptare i messaggi (inclusi tutti i messaggi di un thread) criptati senza certificati S/MIME (crittografia end-to-end di Gmail) in un'altra organizzazione.

Requisiti di sistema

  • Microsoft Windows versione 10 o 11 a 64 bit
  • macOS 12 (Monterey) o versioni successive. Sono supportati sia i processori Apple che quelli Intel.
  • Linux x86_64.

Scaricare l'utilità di decriptazione

Apri l'archivio o il volume ed estrai il file eseguibile di decrittografia in una directory o cartella locale.

Configura l'accesso al servizio di gestione delle chiavi

Il decrittatore invia query al servizio chiavi di crittografia, chiamato anche servizio dell'elenco di controllo dell'accesso per le chiavi (KACLS), che protegge ogni file o messaggio criptato nell'esportazione. Chiedi all'amministratore del provider di identità (IdP) e all'amministratore del servizio chiavi di crittografia le credenziali che gli elenchi di controllo dell'accesso per le chiavi (KACL) accetteranno; in caso contrario, gli elenchi di controllo dell'accesso per le chiavi (KACL) rifiuteranno i tentativi di decrittografia dei contenuti esportati.

Cosa serve

Per configurare l'accesso KACLS, assicurati di disporre di:

  • Un ID client OAuth che le applicazioni installate possono utilizzare. L'ID client per il decrittatore deve essere un ID client utilizzabile dal software per computer installato e specifico per l'utilità di decrittografia. Questo ID client deve essere diverso dagli ID client impostati nella Console di amministrazione Google per le applicazioni web, desktop e mobile della crittografia lato client.
  • Il client secret OAuth associato all'ID client, se il tuo IdP è Google. Non hai bisogno del client secret se utilizzi un IdP di terze parti.
  • L'indirizzo email dell'account utente che esegue l'autenticazione a KACLS per la decriptografia dell'esportazione. Può trattarsi del tuo account o di un account speciale configurato dagli amministratori. Per eseguire l'utilità di decrittografia, devi accedere come questo utente, quindi è probabile che ti serva la password dell'account.

Endpoint KACLS

La configurazione di KACLS deve consentire all'account utente e all'ID client di chiamare gli endpoint utilizzati per la decrittografia dell'esportazione. In genere, l'amministratore di KACLS può configurare questa impostazione per te. L'endpoint KACLS chiamato dal decrittatore dipende dal tipo di contenuti criptati:

  • Crittografia lato client di Calendar: privilegedunwrap
  • Crittografia lato client di Documenti, Fogli e Presentazioni: privilegedunwrap
  • Drive CSE: privilegedunwrap
  • Crittografia lato client di Gmail (con certificati S/MIME): privilegedprivatekeydecrypt
  • Crittografia lato client di Gmail (senza certificati S/MIME): privilegedunwrap

Configurare l'accesso a S/MIME di Gmail (facoltativo)

Se decripti i messaggi di Gmail con crittografia lato client che utilizzano S/MIME da Google Vault, il decrittatore deve chiamare l'API pubblica di Gmail per scaricare dati aggiuntivi. Le esportazioni di Google Vault non includono i certificati S/MIME di ogni utente, pertanto il decrittatore li recupera automaticamente da Gmail in base alle necessità.

Per consentire al decrittatore di richiedere i certificati S/MIME per qualsiasi utente della tua organizzazione, devi trasmettere al decrittatore una credenziale dell'account di servizio a livello di dominio. Per informazioni dettagliate sulla configurazione di questo account di servizio e sulla creazione di un file JSON contenente le credenziali private per l'account di servizio, vai a Solo Gmail: configura S/MIME per la crittografia lato client.

Nota:questa configurazione non è necessaria se decripti i messaggi con crittografia lato client dallo strumento Esportazione dei dati o i messaggi criptati da Vault che non hanno certificati S/MIME.

Il decrittatore non può recuperare i certificati S/MIME di un utente e pertanto non può decriptare i messaggi criptati lato client che utilizzano S/MIME se si verifica una delle seguenti condizioni:

Per garantire la decrittografia dei messaggi criptati lato client con i certificati S/MIME, puoi:

  • Decripta immediatamente i messaggi esportati da Vault mentre i certificati rimangono disponibili.
  • Utilizza lo strumento Esportazione dei dati per esportare i messaggi. Queste esportazioni includono i certificati di ciascun utente.

Creare innanzitutto un file di configurazione

Il decrittatore utilizza OAuth e il tuo IdP per acquisire una credenziale di autenticazione che include in ogni richiesta KACLS privilegedunwrap e privilegedprivatekeydecrypt. La configurazione OAuth non cambia spesso, quindi puoi creare un file di configurazione (config) contenente le impostazioni OAuth per evitare di doverle impostare ogni volta che esegui l'utilità di decriptazione. Per maggiori dettagli sui flag dei file di configurazione, vai a Flag per la creazione della configurazione e Flag per l'aggiornamento della configurazione più avanti.

Nota:sebbene questo passaggio di configurazione sia facoltativo, è consigliabile per semplificare l'utilizzo dell'utilità di decrittografia. Se non crei un file di configurazione, puoi passare i flag OAuth sulla riga di comando a ogni esecuzione dell'utilità di decrittografia. Se esegui entrambe le operazioni, i valori dei flag passati nella riga di comando sostituiscono i valori letti dal file di configurazione.

Esempio: crea un file di configurazione per l'IdP Google

Su Windows

Su macOS o Linux

Ora puoi aggiornare la configurazione aggiungendo il client secret OAuth al flusso di concessione del codice di autorizzazione.

Su Windows

Su macOS o Linux

Se il tuo IdP non è Google:non aggiungere il client secret, che è necessario solo per l'IdP Google. Molti altri IdP rifiutano le richieste di autenticazione quando è presente il client secret.

Decriptare i file e le email con crittografia lato client

L'utilità di decrittografia funziona con i file di esportazione decompressi.

  1. Dopo aver creato un'esportazione nello strumento Esportazione dei dati o in Google Vault, scarica i file zip sul tuo computer locale.
  2. Decomprimi i file in una directory o cartella locale.
  3. Esegui l'utilità di decrittografia sui file decompressi e salva i file di testo normale decriptati in un'altra directory.

Esempio: utilizzo di un file di configurazione preparato senza le credenziali del service account

Su Windows

Su macOS o Linux

Esempio: utilizzo di un file di configurazione preparato con una credenziale del service account

Su Windows

Su macOS o Linux

Esempio: utilizzo di un file di configurazione o di una credenziale del service account

Su Windows

Su macOS o Linux

Flag dell'utilità di decrittografia

Un flag dell'utilità di decrittografia può includere 1 o 2 trattini iniziali: ad esempio, il flag per la visualizzazione delle informazioni di assistenza può essere uno dei seguenti:

-help

--help

Nota:puoi utilizzare solo i trattini per i flag, non le barre (/).

Per specificare un argomento in formato stringa è possibile includere nel flag un segno di uguale o uno spazio. Ad esempio, i seguenti flag sono equivalenti:

-action=decrypt

-action decrypt

Flag di assistenza

Flag Descrizione
-version Visualizza la stringa della versione. Se contatti l'assistenza, assicurati di fornire la versione dell'utilità di decriptazione che utilizzi.
-help Visualizza una schermata in cui sono elencati tutti i flag come riferimento.
-logfile Specifica il file di output in cui verranno scritti i log di esecuzione. Il testo [TIMESTAMP] nel nome del file verrà sostituito con l'ora di inizio dell'esecuzione.

Flag di decriptazione

Flag Descrizione
-action decrypt Facoltativo. Specifica che la modalità dell'utilità è la decriptazione dei file con crittografia lato client. Si tratta della modalità predefinita.
-email <email_address> Facoltativo. L'indirizzo email che potrebbe essere precompilato nella schermata di autenticazione dell'IdP che si apre nel browser.
-issuer <uri> Obbligatorio, a meno che non sia incluso nel file di configurazione. L'URI di rilevamento dell'emittente OAuth per l'IdP, ad esempio https://accounts.google.com. Per informazioni dettagliate, consulta Stabilire la connessione a un provider di identità per la crittografia lato client.
-client_id <oauth_client_id> Obbligatorio, a meno che non sia incluso nel file di configurazione. Un ID client OAuth indicato dall'IdP specificato nel flag -issuer. Per informazioni dettagliate, vedi Stabilire la connessione a un provider di identità per la crittografia lato client.
-client_secret <oauth_client_secret> Facoltativo, anche se alcuni IdP potrebbero richiederlo. La parte del client secret OAuth corrispondente all'ID client specificato nel flag -client_id.
-pkce
-nopkce		 Attiva o disattiva PKCE (Proof Key for Code Exchange) nel flusso di concessione del codice di autorizzazione. Se non viene specificato nessuno dei due flag, per impostazione predefinita l'utilità di decriptazione attiverà l'estensione.
-input <directory_or_file>

Obbligatorio. La directory di input o il file esportato.

Se specifichi una directory, l'utilità di decriptazione attraversa in modo ricorsivo l'intero albero della directory per trovare tutti i file con crittografia lato client esportati. Utilizza questa opzione per decriptare collettivamente tutti i file esportati presenti in un archivio di esportazione decompresso.

Se specifichi un file con crittografia lato client esportato, la decriptazione interesserà solo quel file. Se non si tratta di un file con crittografia lato client, l'utilità di decriptazione ti chiederà di eseguire l'autenticazione presso l'IdP, ma non decripterà alcun file.
-output <directory> Obbligatorio. La directory in cui verranno salvati i file decriptati.
-overwrite
-nooverwrite		 Attiva o disattiva la sovrascrittura dei file di output decriptati con testo in chiaro già esistenti. Se la sovrascrittura è disattivata (impostazione predefinita) e il file con testo in chiaro esiste già, l'utilità di decriptazione ignorerà la decriptazione dei file con testo crittografato.
-workers <integer>

Facoltativo. Il numero di worker di decriptazione da eseguire in parallelo. Se non utilizzi questo flag, per impostazione predefinita l'utilità di decriptazione utilizzerà il numero di core e di hyperthread del processore segnalati dal sistema operativo.

Se, durante la decriptazione dei file, sul computer si verificano problemi di prestazioni o se riscontri un errore di esecuzione di processi in parallelo, puoi impostare il flag su 1 per disattivare l'elaborazione in parallelo.
-config <file>

Facoltativo. Un file di configurazione contenente i valori dei flag archiviati. Utilizza un file di configurazione per evitare di incollare gli stessi flag della riga di comando ogni volta che esegui la decriptazione di file. Per maggiori informazioni, vai a Flag per la creazione della configurazione e Flag per l'aggiornamento della configurazione più avanti.

I valori dei flag che imposti nella riga di comando hanno la precedenza sui valori specificati nel file di configurazione.

Nota:se nel file di configurazione specifichi un file che non può essere trovato, si verifica un errore.
-credential <file> Facoltativo. Specifica un file JSON contenente una chiave privata dell'account di servizio a livello di dominio. Dopodiché, la decrittografia dei messaggi con crittografia lato client di Gmail esegue una query nell'API Gmail per rilevare i certificati S/MIME di ciascun utente e i metadati del servizio dell'elenco di controllo dell'accesso per le chiavi (KACLS).

Flag per la creazione della configurazione

Utilizza questi flag per salvare i flag della riga di comando usati di frequente per la decriptazione in un file di configurazione che può essere riutilizzato. Un file di configurazione è in formato JSON, che contiene testo leggibile.

Flag Descrizione
-action createconfig Obbligatorio. Esegue l'override della modalità di esecuzione predefinita per eseguire la modalità di creazione del file di configurazione.
-config file Obbligatorio. Specifica il nome del file di output in cui vuoi salvare la configurazione. Se il file esiste già, verrà sovrascritto senza avviso.
-email <email_address>
-discovery_uri <uri>
-client_id <oauth_client_id>
-client_secret <oauth_client_secret>
-pkce
-nopkce		 Facoltativo. I valori dei flag specificati verranno salvati nel file di configurazione per essere riutilizzati.

Flag per l'aggiornamento della configurazione

Utilizza questi flag per aggiornare i valori dei flag specificati in un file di configurazione.

Flag Descrizione
-action updateconfig Obbligatorio. Esegue l'override della modalità di esecuzione predefinita per eseguire la modalità di aggiornamento del file di configurazione.
-config file Obbligatorio. Il file di configurazione che vuoi aggiornare. Se il file non esiste, si verifica un errore.
-email <email_address>
-discovery_uri <uri>
-client_id <oauth_client_id>
-client_secret <oauth_client_secret>
-pkce
-nopkce

Tutti facoltativi. I valori dei flag specificati nella riga di comando vengono sovrascritti; i valori di tutti gli altri flag specificati nella configurazione vengono preservati. Per disattivare un flag già archiviato, non specificare alcun valore.

Nota:se una modifica danneggia il formato JSON, è probabile che si verifichi un errore quando utilizzi il file di configurazione con l'utilità di decriptazione.

Flag informativi

Utilizza questi flag per visualizzare informazioni leggibili sui file con crittografia lato client.

Flag Descrizione
-action info (Obbligatorio) Sostituisce la modalità di esecuzione predefinita e utilizza la modalità informativa.
-input directory_or_file

(Obbligatorio) Specifica la directory di input o il file esportato

Se specifichi una directory, l'utilità esegue una scansione in modo ricorsivo dell'intero albero della directory per cercare tutti i file esportati con crittografia lato client. Se specifichi un file, l'utilità fornisce informazioni solo per quel file.

Puoi ripetere questo flag per specificare directory o file di input aggiuntivi. Esempio:

$ decrypter -action=info -input=file1.gcse -input=file2.gcse -input=file3.gcse