Odszyfrowywanie wyeksportowanych plików i e-maili zaszyfrowanych po stronie klienta

Jeśli Twoja organizacja korzysta z szyfrowania po stronie klienta Google Workspace, możesz użyć narzędzia do odszyfrowywania, aby odszyfrować pliki i e-maile zaszyfrowane po stronie klienta, które eksportujesz za pomocą narzędzia do eksportowania danych lub Google Vault. Odszyfrowywanie możesz uruchomić z poziomu wiersza poleceń.

Po uruchomieniu odszyfrowywania możesz użyć flag wiersza poleceń do określenia informacji dotyczących uwierzytelniania dostawcy tożsamości, lokalizacji zaszyfrowanych plików i lokalizacji wyjściowej odszyfrowanych plików, a także innych opcji. Możesz też utworzyć plik konfiguracyjny (config), aby zapisywać często używane flagi odszyfrowywania.

Zanim zaczniesz

  • Gdy odszyfrowujesz plik Dokumentów, Arkuszy lub Prezentacji Google, jego nazwa będzie kończyć się na .gdoczip lub podobnie. Po odszyfrowaniu możesz przekonwertować te pliki na pliki pakietu Microsoft Office za pomocą narzędzia do konwersji plików. Więcej informacji znajdziesz w artykule o konwertowaniu wyeksportowanych i odszyfrowanych plików Google na pliki pakietu Microsoft Office.
  • Jeśli eksportujesz z Google Vault wiadomości z Gmaila zaszyfrowane po stronie klienta, musisz to zrobić w formacie MBOX. Narzędzie do odszyfrowywania nie może przetwarzać eksportowanych plików w formacie PST.
  • Narzędzie do odszyfrowywania może odszyfrować wszystkie wiadomości zaszyfrowane za pomocą certyfikatów S/MIME. Może też odszyfrowywać wiadomości zaszyfrowane bez certyfikatów S/MIME (czyli wiadomości korzystające z pełnego szyfrowania w Gmailu), jeśli użytkownicy zaszyfrowali wiadomości lub oryginalną wiadomość w wątkach.
  • Narzędzie do odszyfrowywania nie może odszyfrować wiadomości (w tym żadnych wiadomości w wątku) zaszyfrowanych bez certyfikatów S/MIME (pełne szyfrowanie w Gmailu) w innej organizacji.

Wymagania systemowe

  • Microsoft Windows 10 lub 11 w wersji 64-bitowej.
  • macOS 12 (Monterey) lub nowszy. Obsługiwane są zarówno procesory Apple, jak i firmy Intel.
  • Linux x86_64.

Pobieranie narzędzia do odszyfrowywania

Otwórz archiwum lub wolumin i wyodrębnij plik wykonywalny narzędzia do odszyfrowywania do lokalnego katalogu lub folderu.

Konfigurowanie dostępu do usługi kluczy

Narzędzie do odszyfrowywania wysyła zapytania do usługi kluczy szyfrowania, zwanej też usługą listy kontroli dostępu do kluczy (KACLS), która chroni każdy eksportowany zaszyfrowany plik lub wiadomość. Poproś administratora dostawcy tożsamości i administratora usługi kluczy szyfrowania o podanie danych logowania, które będą akceptowane przez KACL. W przeciwnym razie KACL odrzuci próby odszyfrowania wyeksportowanych treści podejmowane przez narzędzie do odszyfrowywania.

Wymagania

Aby skonfigurować dostęp do KACLS, musisz mieć:

  • Identyfikator klienta OAuth, którego mogą używać zainstalowane aplikacje. Identyfikator klienta narzędzia do odszyfrowywania musi nadawać się do używania w zainstalowanym oprogramowaniu na komputery i być używany tylko w przypadku narzędzia do odszyfrowywania. Ten identyfikator klienta musi być inny niż identyfikatory klienta ustawione w konsoli administracyjnej Google dla aplikacji internetowych, komputerowych i mobilnych do szyfrowania po stronie klienta.
  • Tajny klucz klienta OAuth powiązany z identyfikatorem klienta, jeśli dostawcą tożsamości jest Google. Jeśli korzystasz z zewnętrznego dostawcy tożsamości, klucz klienta nie jest potrzebny.
  • Adres e-mail konta użytkownika, które uwierzytelnia się w KACLS na potrzeby odszyfrowywania eksportu. Może to być Twoje konto lub specjalne konto skonfigurowane przez administratorów. Podczas uruchamiania narzędzia do odszyfrowywania musisz zalogować się jako ten użytkownik, więc prawdopodobnie będziesz potrzebować hasła do konta.

Punkty końcowe KACLS

Konfiguracja KACLS musi zezwalać kontu użytkownika i identyfikatorowi klienta na wywoływanie punktów końcowych używanych do odszyfrowywania eksportu. Administrator KACLS może zwykle skonfigurować to ustawienie. Punkt końcowy KACLS wywoływany przez narzędzie do odszyfrowywania zależy od typu zaszyfrowanych treści:

  • Szyfrowanie po stronie klienta w Kalendarzu: privilegedunwrap
  • szyfrowanie po stronie klienta w Dokumentach, Arkuszach i Prezentacjach: privilegedunwrap;
  • Szyfrowanie po stronie klienta na Dysku: privilegedunwrap
  • szyfrowanie po stronie klienta w Gmailu (z certyfikatami S/MIME): privilegedprivatekeydecrypt;
  • szyfrowanie po stronie klienta w Gmailu (bez certyfikatów S/MIME): privilegedunwrap

Konfigurowanie dostępu do S/MIME w Gmailu (opcjonalnie)

Jeśli odszyfrowujesz z Google Vault zaszyfrowane po stronie klienta wiadomości z Gmaila, które używają protokołu S/MIME, narzędzie do odszyfrowywania musi wywołać publiczny interfejs API Gmaila, aby pobrać dodatkowe dane. Pliki eksportowane z Google Vault nie zawierają certyfikatów S/MIME poszczególnych użytkowników, więc narzędzie do odszyfrowywania automatycznie pobiera je w razie potrzeby z Gmaila.

Aby umożliwić narzędziu do odszyfrowywania żądanie certyfikatów S/MIME dla dowolnego użytkownika w organizacji, musisz przekazać mu dane logowania do konta usługi obejmującego całą domenę. Szczegółowe informacje o konfigurowaniu tego konta usługi i tworzeniu pliku JSON zawierającego prywatne dane logowania do konta usługi znajdziesz w artykule Tylko Gmail: konfigurowanie S/MIME na potrzeby szyfrowania po stronie klienta.

Uwaga: ta konfiguracja nie jest wymagana, jeśli odszyfrowujesz wiadomości zaszyfrowane po stronie klienta za pomocą narzędzia do eksportowania danych lub odszyfrowujesz zaszyfrowane wiadomości z Vault, które nie mają certyfikatów S/MIME.

Narzędzie do odszyfrowywania nie może pobrać certyfikatów S/MIME użytkownika, a tym samym nie może odszyfrować wiadomości zaszyfrowanych po stronie klienta, które korzystają z S/MIME, jeśli spełniony jest któryś z tych warunków:

Aby mieć pewność, że wiadomości zaszyfrowane po stronie klienta za pomocą certyfikatów S/MIME zostaną odszyfrowane, możesz:

  • Od razu odszyfrowywać wiadomości wyeksportowane z Vault, dopóki certyfikaty są dostępne.
  • Używać narzędzia do eksportowania danych, aby eksportować wiadomości. Te eksportowane dane obejmują certyfikaty każdego użytkownika.

Tworzenie pliku konfiguracyjnego

Narzędzie do odszyfrowywania używa protokołu OAuth i dostawcy tożsamości do uzyskiwania uwierzytelniających danych logowania, które są dołączane do każdego żądania privilegedunwrap i privilegedprivatekeydecrypt wysyłanego do KACLS. Konfiguracja OAuth nie zmienia się często, więc możesz utworzyć plik konfiguracyjny (config) zawierający ustawienia protokołu OAuth, aby nie trzeba było ich konfigurować za każdym razem, gdy uruchamiasz narzędzie do odszyfrowywania. Szczegółowe informacje o flagach plików konfiguracji znajdziesz w sekcjach Flagi tworzenia konfiguracji i Flagi aktualizacji konfiguracji poniżej.

Uwaga: ten krok konfiguracji jest opcjonalny, ale zalecamy jego wykonanie, ponieważ uprości to korzystanie z narzędzia do odszyfrowywania. Jeśli nie utworzysz pliku konfiguracyjnego, możesz zamiast tego przekazywać flagi OAuth w wierszu poleceń przy każdym uruchomieniu narzędzia do odszyfrowywania. Jeśli to zrobisz, wartości flag przekazane w wierszu poleceń zastąpią wartości odczytane z pliku konfiguracyjnego.

Przykład: tworzenie konfiguracji dostawcy tożsamości Google

W systemie Windows

W systemie macOS lub Linux

Teraz możesz zaktualizować konfigurację, aby dodać klucz klienta OAuth w procesie przyznawania kodu autoryzacji.

W systemie Windows

W systemie macOS lub Linux

Jeśli dostawcą tożsamości nie jest Google: nie dodawaj klucza klienta, który jest potrzebny tylko dostawcy tożsamości Google. Wielu innych dostawców tożsamości odrzuca żądania uwierzytelniania, gdy klucz klienta jest obecny.

Odszyfrowywanie plików i e-maili zaszyfrowanych po stronie klienta

Narzędzie do odszyfrowywania działa na rozpakowanych eksportowanych plikach.

  1. Po utworzeniu eksportu w narzędziu do eksportowania danych lub w Google Vault pobierz pliki ZIP na komputer lokalny.
  2. Rozpakuj pliki do lokalnego katalogu lub folderu.
  3. Odszyfruj rozpakowane pliki przy użyciu narzędzia do odszyfrowywania i zapisz odszyfrowane pliki w innym katalogu.

Przykład: używanie przygotowanego pliku konfiguracyjnego bez danych logowania do konta usługi

W systemie Windows

W systemie macOS lub Linux

Przykład: używanie przygotowanego pliku konfiguracyjnego z danymi logowania do konta usługi

W systemie Windows

W systemie macOS lub Linux

Przykład: bez używania pliku konfiguracyjnego ani danych logowania konta usługi

W systemie Windows

W systemie macOS lub Linux

Flagi odszyfrowywania

Flaga odszyfrowywania może mieć na początku 1 lub 2 łączniki. Na przykład flaga umożliwiająca wyświetlanie informacji pomocy może mieć taką formę:

-help

--help

Uwaga: flagi mogą zawierać tylko łączniki, a nie ukośniki (/).

Flagi argumentów w postaci ciągów mogą zawierać znak równości lub spację, aby określać argument. Na przykład te flagi są równoważne:

-action=decrypt

-action decrypt

Flagi pomocy

Flaga Opis
-version Generuje ciąg znaków wersji. W przypadku kontaktu z zespołem pomocy podaj wersję używanego narzędzia do odszyfrowywania.
-help Wyświetla ekran z informacjami o wszystkich flagach.
-logfile Plik wyjściowy, w którym będą zapisywane dzienniki wykonywania. Tekst [TIMESTAMP] w nazwie pliku zostanie zastąpiony godziną rozpoczęcia wykonywania.

Flagi odszyfrowywania

Flaga Opis
-action decrypt Opcjonalnie. Określa, że tryb narzędzia służy do odszyfrowywania plików zaszyfrowanych po stronie klienta. Jest to tryb domyślny.
-email <email_address> Opcjonalnie. Adres e-mail, który może być wstępnie wpisany na ekranie uwierzytelniania dostawcy tożsamości, jaki otworzy się w przeglądarce.
-issuer <uri> Flaga wymagana, chyba że znajduje się w pliku konfiguracyjnym. Identyfikator URI usługi wykrywania dostawcy protokołu OAuth dla dostawcy tożsamości (np. https://accounts.google.com). Więcej informacji znajdziesz w artykule Łączenie z dostawcą tożsamości na potrzeby szyfrowania po stronie klienta.
-client_id <oauth_client_id> Flaga wymagana, chyba że znajduje się w pliku konfiguracyjnym. Identyfikator klienta OAuth od dostawcy tożsamości określony we fladze -issuer. Więcej informacji znajdziesz w artykule Łączenie z dostawcą tożsamości na potrzeby szyfrowania po stronie klienta.
-client_secret <oauth_client_secret> Flaga opcjonalna, ale niektórzy dostawcy tożsamości mogą jej wymagać. Część klucza klienta OAuth odpowiadająca identyfikatorowi klienta określonemu we fladze -client_id.
-pkce
-nopkce		 Włącz lub wyłącz PKCE (Proof Key for Code Exchange) w procesie przyznawania kodu autoryzacji. Jeśli nie jest określona żadna z tych flag, narzędzie odszyfrowujące domyślnie włącza PKCE.
-input <directory_or_file>

Wymagane. Katalog wejściowy lub plik eksportu.

Jeśli określisz katalog, narzędzie odszyfrowujące będzie cyklicznie przeszukiwać całe drzewo katalogu, aby znaleźć wszystkie wyeksportowane pliki zaszyfrowane po stronie klienta. Użyj tej opcji, aby zbiorczo odszyfrować wszystkie wyeksportowane pliki z rozpakowanego archiwum eksportu.

Jeśli określisz 1 wyeksportowany plik zaszyfrowany po stronie klienta, narzędzie odszyfruje tylko ten plik. Jeśli nie jest to plik zaszyfrowany po stronie klienta, narzędzie do odszyfrowywania poprosi o uwierzytelnienie u dostawcy tożsamości, ale nie odszyfruje żadnych plików.
-output <directory> Wymagane. Katalog, w którym zostaną zapisane odszyfrowane pliki.
-overwrite
-nooverwrite		 Włącza lub wyłącza zastępowanie istniejących odszyfrowanych plików wyjściowych. Jeśli ta opcja jest wyłączona (ustawienie domyślne), narzędzie do odszyfrowywania pominie odszyfrowywanie zaszyfrowanych plików, jeśli istnieje już plik odszyfrowany.
-workers <integer>

Opcjonalnie. Liczba instancji roboczych do odszyfrowania równoległego. Jeśli nie użyjesz tej flagi, narzędzie odszyfrowujące domyślnie ograniczy się do liczby rdzeni procesora i wątków zgłoszonych przez system operacyjny.

Jeśli na Twoim komputerze występują problemy z wydajnością lub podczas odszyfrowywania plików pojawia się błąd dotyczący wieloprocesorowości, możesz ustawić tę flagę na 1, aby wyłączyć przetwarzanie równoległe.
-config <file>

Opcjonalnie. Plik konfiguracyjny zawierający wartości zapisanych flag. Użyj go, aby podczas odszyfrowywania plików uniknąć wklejania tych samych flag wiersza poleceń. Więcej informacji znajdziesz w sekcjach Flagi tworzenia konfiguracji i Flagi aktualizacji konfiguracji poniżej.

Wartości flag ustawione w wierszu poleceń mają pierwszeństwo przed wartościami z konfiguracji.

Uwaga: jeśli określisz plik w konfiguracji i nie zostanie on znaleziony, wystąpi błąd.
-credential <file> Opcjonalnie. Podaj plik w formacie JSON zawierający klucz prywatny konta usługi dla całej domeny. Gdy to zrobisz, odszyfrowywanie wiadomości zaszyfrowanych po stronie klienta w Gmailu wyśle zapytanie do interfejsu Gmail API w celu uzyskania certyfikatów S/MIME każdego użytkownika i metadanych usługi listy kontroli dostępu do kluczy (KACLS).

Flagi tworzenia konfiguracji

Te flagi pozwalają zapisać często używane flagi odszyfrowywania w pliku konfiguracji, aby można ich było ponownie używać. Plik konfiguracyjny jest w formacie JSON, który zawiera tekst w postaci zrozumiałej dla człowieka.

Flaga Opis
-action createconfig Wymagane. Zastępuje domyślny tryb wykonywania, aby uruchomić tryb tworzenia pliku konfiguracyjnego.
-config file Wymagane. Podaj nazwę pliku wyjściowego, w którym chcesz zapisać konfigurację. Jeśli plik już istnieje, zostanie zastąpiony bez ostrzeżenia.
-email <email_address>
-discovery_uri <uri>
-client_id <oauth_client_id>
-client_secret <oauth_client_secret>
-pkce
-nopkce		 Opcjonalnie. Wszystkie określone wartości flag zostaną zapisane w pliku konfiguracyjnym do ponownego wykorzystania.

Flagi aktualizacji konfiguracji

Za pomocą tych flag możesz zaktualizować wszelkie wartości flag w pliku konfiguracyjnym.

Flaga Opis
-action updateconfig Wymagane. Zastępuje domyślny tryb wykonywania, aby uruchomić tryb aktualizacji pliku konfiguracyjnego.
-config file Wymagane. Plik konfiguracyjny, który chcesz zaktualizować. Jeśli plik nie istnieje, wystąpi błąd.
-email <email_address>
-discovery_uri <uri>
-client_id <oauth_client_id>
-client_secret <oauth_client_secret>
-pkce
-nopkce

Wszystkie są opcjonalne. Wartości flag określonych w wierszu poleceń zostaną zastąpione. Wszystkie pozostałe wartości flag w konfiguracji są zachowywane. Aby cofnąć ustawienie zapisanej flagi, podaj pustą wartość.

Uwaga: jeśli zmiana spowoduje uszkodzenie formatu JSON, podczas korzystania z konfiguracji w narzędziu do odszyfrowywania prawdopodobnie wystąpi błąd.

Flagi informacyjne

Za pomocą tych flag możesz wydrukować czytelne informacje o plikach zaszyfrowanych po stronie klienta.

Flaga Opis
-action info (Wymagane) Zastępuje domyślny tryb wykonywania trybem informacyjnym
-input directory_or_file

(Wymagane) Określa katalog wejściowy lub plik eksportu

Jeśli określisz katalog, narzędzie będzie cyklicznie przeszukiwać całe drzewo katalogu, aby znaleźć wszystkie wyeksportowane pliki zaszyfrowane po stronie klienta. Jeśli określisz plik, narzędzie pokaże tylko informacje na jego temat.

Możesz powtórzyć tę flagę, aby określić dodatkowe katalogi lub pliki wejściowe. Przykład:

$ decrypter -action=info -input=file1.gcse -input=file2.gcse -input=file3.gcse