내보낸 클라이언트 측에서 암호화된 파일 및 이메일 복호화하기

조직에서 Google Workspace 클라이언트 측 암호화 (CSE)를 사용하는 경우, 복호화 유틸리티를 사용하여 데이터 내보내기 도구 또는 Google Vault로 내보낸 클라이언트 측 암호화 파일 및 이메일을 복호화할 수 있습니다. 명령줄에서 복호화를 실행할 수 있습니다.

복호화 유틸리티를 실행하는 경우 명령줄 플래그를 사용하여 ID 공급업체 (IdP) 인증 정보, 암호화된 파일의 위치, 복호화된 파일의 출력 위치, 기타 옵션을 지정합니다. 또한 자주 사용하는 복호화 플래그를 저장할 구성 파일을 만들 수도 있습니다.

시작하기 전에

  • Google Docs, Sheets 또는 Slides 파일을 복호화하면 파일 이름이 .gdoczip 등으로 끝납니다. 복호화 후 파일 변환기 도구를 사용하여 이러한 파일을 Microsoft Office 형식으로 변환할 수 있습니다. 자세한 내용은 내보내고 복호화한 Google 파일을 Microsoft Office 파일로 변환하기를 참고하세요.
  • Google Vault에서 Gmail CSE 메시지를 내보낼 때 MBOX 형식으로 내보내야 합니다. 복호화 유틸리티는 PST 형식의 내보내기를 처리할 수 없습니다.
  • 복호화 유틸리티는 S/MIME 인증서로 암호화된 메일을 복호화할 수 있습니다. 또한 사용자가 메일 또는 스레드의 원본 메일을 암호화한 경우 S/MIME 인증서 없이 암호화된 메일 (즉, Gmail 엔드 투 엔드 암호화 (E2EE)를 사용하는 메일)을 복호화할 수 있습니다.
  • 복호화 유틸리티는 다른 조직에서 S/MIME 인증서 (Gmail E2EE) 없이 암호화된 메일 (대화목록의 모든 메일 포함)을 복호화할 수 없습니다.

시스템 요구사항

  • Microsoft Windows 버전 10 또는 11 64비트
  • macOS 12 (Monterey) 이상 Apple 및 Intel 프로세서가 모두 지원됩니다.
  • Linux x86_64

복호화 유틸리티 다운로드

보관 파일 또는 볼륨을 열고 복호화 유틸리티 실행 파일을 로컬 디렉터리 또는 폴더에 추출합니다.

키 관리 서비스 액세스 구성

복호화 유틸리티는 내보내기에서 암호화된 각 파일 또는 메시지를 보호하는 암호화 키 관리 서비스에 쿼리를 전송합니다. 키 관리 서비스는 키 액세스 제어 목록 서비스 (KACLS)라고도 합니다. ID 공급업체 (IdP) 관리자와 암호화 키 관리 서비스 관리자에게 KACLS에서 허용하는 사용자 인증 정보를 요청하세요. 그렇지 않으면 KACLS에서 복호화 유틸리티가 내보낸 콘텐츠를 복호화하려는 시도를 거부합니다.

필요한 항목

KACLS 액세스를 구성하려면 다음이 갖추어졌는지 확인합니다.

  • 설치된 애플리케이션에서 사용할 수 있는 OAuth 클라이언트 ID. 복호화 유틸리티의 클라이언트 ID는 설치된 데스크톱 소프트웨어에서 사용할 수 있고 복호화 유틸리티에 특정한 클라이언트 ID여야 합니다. 이 클라이언트 ID는 CSE 웹, 데스크톱, 모바일 애플리케이션용으로 Google 관리 콘솔에 설정된 클라이언트 ID와 다른 클라이언트 ID여야 합니다.
  • IdP가 Google인 경우 클라이언트 ID와 연결된 OAuth 클라이언트 보안 비밀번호가 필요합니다. 서드 파티 IdP를 사용하는 경우 클라이언트 보안 비밀번호가 필요하지 않습니다.
  • 내보내기 복호화를 위해 KACLS에 인증하는 사용자 계정의 이메일 주소가 필요합니다. 이는 본인의 계정일 수도 있고, 관리자가 구성한 특수 계정일 수도 있습니다. 복호화 유틸리티를 실행할 때 해당 사용자로 로그인해야 하므로 계정의 비밀번호가 필요할 수 있습니다.

KACLS 엔드포인트

KACLS 구성에서는 사용자 계정 및 클라이언트 ID가 내보내기 복호화에 사용되는 엔드포인트를 호출할 수 있어야 합니다. KACLS 관리자가 일반적으로 이를 설정해 줄 수 있습니다. 복호화 유틸리티에서 호출하는 KACLS 엔드포인트는 암호화된 콘텐츠의 유형에 따라 다릅니다.

  • Calendar CSE: privilegedunwrap
  • Docs CSE, Sheets CSE, Slides CSE: privilegedunwrap
  • Drive CSE: privilegedunwrap
  • Gmail CSE (S/MIME 인증서 사용): privilegedprivatekeydecrypt
  • Gmail CSE (S/MIME 인증서 사용 안함): privilegedunwrap

Gmail S/MIME 액세스 구성 (선택사항)

Google Vault에서 S/MIME을 사용하는 클라이언트 측 암호화된 Gmail 메일을 복호화하는 경우 복호화 유틸리티가 Gmail의 공개 API를 호출하여 추가 데이터를 다운로드해야 합니다. Google Vault 내보내기에는 각 사용자의 S/MIME 인증서가 포함되지 않으므로 복호화 유틸리티는 필요에 따라 Gmail에서 자동으로 가져옵니다.

복호화 유틸리티가 조직의 모든 사용자에 대해 S/MIME 인증서를 요청할 수 있도록 하려면 도메인 전체 서비스 계정 사용자 인증 정보를 복호화 유틸리티에 전달해야 합니다. 이 서비스 계정을 설정하고 서비스 계정의 비공개 사용자 인증 정보가 포함된 JSON 파일을 만드는 방법에 대한 자세한 내용은 Gmail만 해당: 클라이언트 측 암호화에 S/MIME 구성하기를 참고하세요.

참고: 데이터 내보내기 도구에서 클라이언트 측 암호화된 메일을 복호화하거나 S/MIME 인증서가 없는 Vault의 암호화된 메일을 복호화하는 경우 이 설정은 필요하지 않습니다.

다음 중 하나가 참인 경우 복호화 유틸리티가 사용자의 S/MIME 인증서를 가져올 수 없으므로 S/MIME를 사용하는 클라이언트 측 암호화 메시지를 복호화할 수 없습니다.

S/MIME 인증서로 클라이언트 측 암호화된 메일의 복호화하려면 다음 단계를 따르세요.

  • 인증서를 계속 사용할 수 있는 동안 Vault에서 내보낸 메일을 즉시 복호화합니다.
  • 데이터 내보내기 도구를 사용하여 메일을 내보냅니다. 이러한 내보내기에는 각 사용자의 인증서가 포함됩니다.

구성 파일 먼저 만들기

복호화 유틸리티는 OAuth와 IdP를 사용하여 모든 KACLS privilegedunwrapprivilegedprivatekeydecrypt 요청에 포함되는 사용자 인증 정보를 획득합니다. OAuth 구성은 자주 변경되지 않으므로 복호화 유틸리티를 실행할 때마다 OAuth 설정을 지정하지 않도록 OAuth 설정이 포함된 구성 파일을 만들 수 있습니다. 구성 파일 플래그에 대한 자세한 내용은 아래의 구성 생성 플래그구성 업데이트 플래그를 참고하세요.

참고: 이 설정 단계는 선택사항이지만 복호화 유틸리티의 사용을 간소화하는 것이 좋습니다. 구성 파일을 만들지 않는 경우, 대신 복호화 유틸리티를 실행할 때마다 명령줄에서 OAuth 플래그를 직접 전달할 수 있습니다. 두 가지 모두 설정하면 명령줄에서 전달된 플래그 값이 구성 파일에서 읽어온 값보다 우선합니다.

예: 다음과 같이 Google IdP에 대한 구성을 만듭니다.

Windows

macOS 또는 Linux

이제 구성을 업데이트하여 승인 코드 부여 과정에서 OAuth 클라이언트 보안 비밀번호를 추가할 수 있습니다.

Windows

macOS 또는 Linux

IdP가 Google이 아닌 경우: Google IdP에만 필요한 클라이언트 보안 비밀번호를 추가하지 마세요. 다른 많은 IdP는 클라이언트 보안 비밀번호가 있는 경우 인증 요청을 거부합니다.

CSE 파일 및 이메일 복호화

복호화 유틸리티는 압축이 해제된 내보내기 파일에서 작동합니다.

  1. 데이터 내보내기 도구 또는 Google Vault에서 내보내기를 만든 후 zip 파일을 로컬 컴퓨터에 다운로드합니다.
  2. 파일을 로컬 디렉터리 또는 폴더에 압축 해제합니다.
  3. 압축이 해제된 파일에서 복호화 유틸리티를 실행하고 복호화된 일반 텍스트 파일을 다른 디렉터리에 저장합니다.

예: 서비스 계정 사용자 인증 정보 없이 준비된 구성 파일 사용

Windows

macOS 또는 Linux

예: 서비스 계정 사용자 인증 정보가 포함된 준비된 구성 파일 사용

Windows

macOS 또는 Linux

예: 구성 파일과 서비스 계정 사용자 인증 정보 모두 사용하지 않음

Windows

macOS 또는 Linux

복호화 플래그

복호화 플래그는 1~2개의 하이픈으로 시작할 수 있습니다. 예를 들어 도움말 정보를 표시하는 플래그는 다음 중 하나일 수 있습니다.

-help

--help

참고: 플래그에는 슬래시 (/)가 아닌 하이픈만 사용할 수 있습니다.

문자열 인수의 플래그에는 등호 또는 인수를 지정할 수 있는 공백이 포함될 수 있습니다. 예를 들어 다음은 동일한 플래그입니다.

-action=decrypt

-action decrypt

도움말 플래그

플래그 설명
-version 버전 문자열을 인쇄합니다. 지원팀에 문의하는 경우 사용 중인 복호화 유틸리티 버전을 제공해야 합니다.
-help 참조를 위해 모든 플래그가 표시된 화면을 인쇄합니다.
-logfile 실행 로그가 기록되는 출력 파일을 지정합니다. 파일 이름의 텍스트 [TIMESTAMP] 는 실행 시작 시간으로 대체됩니다.

복호화 플래그

플래그 설명
-action decrypt 선택사항입니다. 유틸리티 모드에서 CSE 파일을 복호화하도록 지정합니다. 이는 기본값입니다.
-email <email_address> 선택사항입니다. 브라우저에서 열리는 IdP 인증 화면에 자동 입력되어 있을 수 있는 이메일 주소입니다.
-issuer <uri> 구성 파일에 없는 경우 필요하며 https://accounts.google.com과 같은 IdP의 OAuth 발급기관 검색 URI입니다. 자세한 내용은 클라이언트 측 암호화를 위한 ID 공급업체에 연결하기를 참고하세요.
-client_id <oauth_client_id> 구성 파일에 없는 경우 필요하며 -issuer 플래그에 지정된 IdP의 OAuth 클라이언트 ID입니다. 자세한 내용은 클라이언트 측 암호화를 위한 ID 공급업체에 연결하기를 참고하세요.
-client_secret <oauth_client_secret> 선택사항이지만 일부 IdP에서는 필요할 수 있습니다. -client_id 플래그에 지정된 클라이언트 ID에 해당하는 OAuth 클라이언트 보안 비밀번호의 일부입니다.
-pkce
-nopkce		 승인 코드 부여 플로우에서 PKCE (코드 교환에 필요한 증명 키)를 사용 설정 또는 사용 중지합니다. 두 플래그를 모두 지정하지 않으면 복호화가 기본적으로 사용 설정됩니다.
-input <directory_or_file>

필수 항목입니다. 입력 디렉터리 또는 내보내기 파일입니다.

디렉터리를 지정하면 복호화 시 전체 디렉터리 트리를 반복적으로 탐색하여 내보낸 모든 CSE 파일을 찾습니다. 확장된 내보내기 보관 파일에서 내보낸 모든 파일을 일괄 복호화하려면 이 옵션을 사용하세요.

내보낸 CSE 파일 1개를 지정하면 복호화 유틸리티에서 해당 파일만 복호화합니다. CSE 파일이 아닌 경우 복호화 유틸리티에서 IdP에 대한 인증은 요청하지만 파일은 복호화하지 않습니다.
-output <directory> 필수 항목입니다. 복호화된 파일이 저장될 디렉터리입니다.
-overwrite
-nooverwrite		 기존의 복호화된 일반 텍스트 출력 파일 덮어쓰기를 사용 설정 또는 사용 중지합니다. 일반 텍스트 파일이 이미 있는 경우 사용 중지하면 (기본값) 복호화 시 암호문 파일의 복호화를 건너뜁니다.
-workers <integer>

선택사항입니다. 병렬 복호화 작업자 수입니다. 이 플래그를 사용하지 않으면 복호화 시 운영체제에서 보고된 프로세서 코어 및 하이퍼 스레드 수로 기본 설정됩니다.

컴퓨터에 성능 문제가 있거나 파일 복호화 시 다중 처리 오류가 발생하는 경우 이 플래그를 1로 설정하여 병렬 처리를 사용 중지할 수 있습니다.
-config <file>

선택사항입니다. 저장된 플래그 값이 포함된 구성 파일입니다. 파일을 복호화할 때마다 동일한 명령줄 플래그를 붙여넣지 않으려면 구성 파일을 사용하세요. 자세한 내용은 아래의 구성 생성 플래그구성 업데이트 플래그를 참고하세요.

명령줄에서 설정한 플래그 값은 구성 값보다 우선 적용됩니다.

참고: 구성에 파일을 지정했지만 찾을 수 없는 경우 오류가 발생합니다.
-credential <file> 선택사항입니다. 도메인 전체 서비스 계정 비공개 키가 포함된 JSON 파일을 지정합니다. 지정된 경우 Gmail CSE 메일의 복호화 시 Gmail API에서 각 사용자의 S/MIME 인증서 및 키 액세스 제어 목록 서비스 (KACLS) 메타데이터를 쿼리합니다.

구성 생성 플래그

이러한 플래그를 사용하면 자주 사용되는 복호화 명령줄 플래그는 재사용이 가능하도록 구성 파일에 저장됩니다. 구성 파일은 사람이 인식할 수 있는 텍스트가 포함된 JSON 형식으로 되어 있습니다.

플래그 설명
-action createconfig 필수 항목입니다. 구성 파일 생성 모드를 실행하도록 기본 실행 모드를 재정의합니다.
-config file 필수 항목입니다. 구성을 저장하려는 출력 파일 이름을 지정합니다. 파일이 이미 있는 경우 경고 없이 덮어씁니다.
-email <email_address>
-discovery_uri <uri>
-client_id <oauth_client_id>
-client_secret <oauth_client_secret>
-pkce
-nopkce		 선택사항입니다. 지정된 플래그 값은 재사용이 가능하도록 구성 파일에 저장됩니다.

구성 업데이트 플래그

이 플래그를 사용하여 구성 파일의 플래그 값을 업데이트하세요.

플래그 설명
-action updateconfig 필수 항목입니다. 구성 파일 업데이트 모드를 실행하도록 기본 실행 모드를 재정의합니다.
-config file 필수 항목입니다. 업데이트할 구성 파일입니다. 파일이 없으면 오류가 발생합니다.
-email <email_address>
-discovery_uri <uri>
-client_id <oauth_client_id>
-client_secret <oauth_client_secret>
-pkce
-nopkce

모두 선택사항입니다. 명령줄에서 지정한 플래그 값을 덮어쓰지만 구성에서 플래그의 다른 모든 값은 유지됩니다. 저장된 플래그를 설정 해제하려면 빈 값을 지정하세요.

참고: 수정사항으로 인해 JSON 형식이 손상되면 복호화에서 구성 사용 시 오류가 발생할 수 있습니다.

정보 플래그

CSE 파일에 대한 읽기 가능한 정보를 인쇄하려면 다음 플래그를 사용하세요.

플래그 설명
-action info (필수) 정보 모드에서 실행되도록 기본 실행 모드 재정의
-input directory_or_file

(필수) 입력 디렉터리 또는 내보내기 파일 지정

디렉터리를 지정하면 유틸리티에서 전체 디렉터리 트리를 재귀적으로 검사하여 모든 CSE 내보내기 파일을 찾습니다. 파일을 지정하면 유틸리티는 해당 파일에 대한 정보만 제공합니다.

이 플래그를 반복하여 추가 입력 디렉터리 또는 파일을 지정할 수 있습니다. 예:

$ decrypter -action=info -input=file1.gcse -input=file2.gcse -input=file3.gcse