If your organization uses Google Workspace Client-side encryption (CSE), you can use the decrypter utility to decrypt client-side encrypted files and email messages that you export using the Data Export tool or Google Vault . You can run the decrypter from a command line.
När du kör dekrypteringsprogrammet använder du kommandoradsflaggor för att ange autentiseringsinformation för din identitetsleverantör (IdP), platsen för krypterade filer, utdataplatsen för dekrypterade filer och andra alternativ. Du kan också skapa en konfigurationsfil (config) för att spara dekrypteringsflaggor som du använder ofta.
Innan du börjar
- När du dekrypterar en Google Dokument-, Kalkylark- eller Presentationsfil slutar filnamnet med
.gdoczipeller liknande. Efter dekrypteringen kan du konvertera dessa filer till Microsoft Office-format med hjälp av filkonverteringsverktyget. Mer information finns i Konvertera exporterade och dekrypterade Google-filer till Microsoft Office-filer . - Om du exporterar Gmail CSE-meddelanden från Google Vault måste du exportera i MBOX-format. Dekrypteringsprogrammet kan inte behandla exporter i PST-format.
- Dekrypteringsverktyget kan dekryptera alla meddelanden som är krypterade med S/MIME-certifikat. Det kan också dekryptera meddelanden som är krypterade utan S/MIME-certifikat (det vill säga meddelanden som använder Gmail end-to-end-kryptering (E2EE) ), om dina användare krypterade meddelandena eller det ursprungliga meddelandet i trådar.
- Dekrypteringsverktyget kan inte dekryptera meddelanden (inklusive alla meddelanden i en tråd) som är krypterade utan S/MIME-certifikat (Gmail E2EE) hos en annan organisation.
Systemkrav
- Microsoft Windows version 10 eller 11 64-bitars
- macOS 12 (Monterey) eller senare. Både Apple- och Intel-processorer stöds.
- Linux x86_64.
Ladda ner dekrypteringsprogrammet
Öppna arkivet eller volymen och extrahera den körbara filen för dekryptering till en lokal katalog eller mapp.
Konfigurera åtkomst till nyckeltjänster
Dekrypteringsprogrammet skickar frågor till din krypteringsnyckeltjänst, även kallad en nyckelåtkomstkontrolllisttjänst (KACLS), som skyddar varje krypterad fil eller meddelande i din export. Fråga din identitetsleverantörs (IdP) administratör och din krypteringsnyckeltjänstadministratör om inloggningsuppgifter som KACLS accepterar; annars kommer KACLS att avvisa dekrypteringsprogrammets försök att dekryptera exporterat innehåll.
Vad du behöver
För att konfigurera KACLS-åtkomst, se till att du har:
- Ett OAuth-klient-ID som installerade program kan använda . Klient-ID:t för dekrypteringsverktyget måste vara ett klient-ID som kan användas av installerad skrivbordsprogramvara och är specifikt för dekrypteringsverktyget. Detta klient-ID måste vara ett annat klient-ID än de klient-ID:n som anges i Googles administratörskonsol för CSE-webb-, skrivbords- och mobilappar.
- OAuth-klienthemligheten som är kopplad till klient-ID :t, om din IdP är Google. Du behöver inte klienthemligheten om du använder en tredjeparts-IdP.
- E-postadressen för användarkontot som autentiserar sig mot KACLS för exportdekryptering. Detta kan vara ditt eget konto eller ett särskilt konto som dina administratörer har konfigurerat. Du måste logga in som den här användaren när du kör dekrypteringsverktyget, så det är troligt att du behöver kontots lösenord.
KACLS-slutpunkter
KACLS-konfigurationen måste tillåta att användarkontot och klient-ID:t anropar slutpunkter som används för exportdekryptering. Din KACLS-administratör kan vanligtvis konfigurera detta åt dig. Vilken KACLS-slutpunkt som anropas av dekrypteraren beror på typen av krypterat innehåll:
- Kalender-CSE:
privilegedunwrap - CSE för Dokument, CSE för Kalkylark, CSE för Presentationer:
privilegedunwrap - Drive CSE:
privilegedunwrap - Gmail CSE (med S/MIME-certifikat):
privilegedprivatekeydecrypt - Gmail CSE (utan S/MIME-certifikat):
privilegedunwrap
Konfigurera Gmail S/MIME-åtkomst (valfritt)
Om du dekrypterar klientsideskrypterade Gmail-meddelanden som använder S/MIME från Google Vault, måste dekrypteringsprogrammet anropa Gmails offentliga API för att ladda ner ytterligare data. Exporter från Google Vault inkluderar inte varje användares S/MIME-certifikat, så dekrypteringsprogrammet hämtar dem automatiskt från Gmail efter behov.
För att tillåta dekrypteraren att begära S/MIME-certifikat för alla användare i din organisation måste du skicka en domänomfattande servicekontoautentiseringsuppgifter till dekrypteraren. För information om hur du konfigurerar det här servicekontot och skapar en JSON-fil som innehåller de privata autentiseringsuppgifterna för servicekontot, gå till Endast Gmail: Konfigurera S/MIME för klientsideskryptering .
Obs! Den här konfigurationen krävs inte om du dekrypterar klientsideskrypterade meddelanden från dataexportverktyget eller dekrypterar krypterade meddelanden från Vault som inte har S/MIME-certifikat.
Dekrypteringsprogrammet kan inte hämta en användares S/MIME-certifikat och kan därför inte dekryptera klientsideskrypterade meddelanden som använder S/MIME om något av följande är sant:
- Användarkontot har inaktiverats eller raderats
- S/MIME-certifikat på kontot har tagits bort
- Gmail API-åtkomst är avstängd
För att säkerställa dekryptering av klientsideskrypterade meddelanden med S/MIME-certifikat kan du:
- Dekryptera omedelbart meddelanden som exporterats från Vault medan certifikaten fortfarande är tillgängliga.
- Använd verktyget Dataexport för att exportera meddelanden – dessa exporter inkluderar varje användares certifikat.
Skapa först en konfigurationsfil
Dekrypteraren använder OAuth och din IdP för att hämta en autentiseringsuppgift som den inkluderar på varje KACLS privilegedunwrap och privilegedprivatekeydecrypt förfrågan. Din OAuth-konfiguration ändras inte ofta, så du kan skapa en konfigurationsfil (config-fil) som innehåller dina OAuth-inställningar för att undvika att behöva ställa in dem varje gång du kör dekrypteraren. För mer information om konfigurationsfilsflaggor, gå till Flaggor för att skapa konfiguration och Flaggor för att uppdatera konfiguration nedan.
Obs! Även om detta installationssteg är valfritt rekommenderas det för att förenkla användningen av dekrypteringsverktyget. Om du inte skapar en konfigurationsfil kan du istället skicka OAuth-flaggorna på kommandoraden till varje körning av dekrypteringsverktyget. Om du gör båda åsidosätter flaggvärdena som skickas på kommandoraden värden som läses från konfigurationsfilen.
Exempel: Skapa en konfiguration för Google IdP
På Windows
På macOS eller Linux
Nu kan du uppdatera konfigurationen för att lägga till OAuth-klienthemligheten i flödet för beviljande av auktoriseringskod.
På Windows
På macOS eller Linux
Om din IdP inte är Google: Lägg inte till klienthemligheten, som bara behövs av Googles IdP. Många andra IdP:er kommer att avvisa autentiseringsförfrågningar när klienthemligheten finns.
Dekryptera CSE-filer och e-post
Dekrypteringsverktyget fungerar över uppackade exportfiler.
- När du har skapat en export i verktyget Dataexport eller Google Vault laddar du ner zip-filerna till din lokala dator.
- Packa upp filerna till en lokal katalog eller mapp.
- Kör dekrypteringsprogrammet över de uppackade filerna och spara de dekrypterade klartextfilerna i en annan katalog.
Exempel: Använda en förberedd konfigurationsfil utan autentiseringsuppgifter för servicekontot
På Windows
På macOS eller Linux
Exempel: Använda en förberedd konfigurationsfil med en autentiseringsuppgift för ett tjänstkonto
På Windows
På macOS eller Linux
Exempel: Användning av varken en konfigurationsfil eller en autentiseringsuppgift för ett tjänstkonto
På Windows
På macOS eller Linux
Dekrypteringsflaggor
En dekrypteringsflagga kan innehålla antingen 1 eller 2 inledande bindestreck – till exempel kan flaggan för att visa hjälpinformation vara något av följande:
-help
--help
Obs: Du kan bara använda bindestreck för flaggor, inte snedstreck (/).
Flaggor för strängargument kan innehålla antingen ett likhetstecken eller ett mellanslag för att ange argumentet – till exempel är följande flaggor likvärdiga:
-action=decrypt
-action decrypt
Hjälpflaggor
| Flagga | Beskrivning |
|---|---|
-version | Skriver ut versionssträngen. Om du kontaktar supporten, se till att du anger vilken version av dekrypteringsprogrammet du använder. |
-help | Skriver ut en skärmbild med alla flaggor som referens. |
-logfile | Anger utdatafilen där körningsloggar ska skrivas. Texten [TIDSTAMP] i filnamnet kommer att ersättas med körningens starttid. |
Dekrypteringsflaggor
| Flagga | Beskrivning |
|---|---|
-action decrypt | Valfritt. Anger att verktygets läge är att dekryptera CSE-filer. Detta är standardläget. |
-email <email_address> | Valfritt. Den e-postadress som kan vara förifylld på IdP-autentiseringsskärmen som öppnas i webbläsaren. |
-issuer <uri> | Obligatoriskt om det inte finns i konfigurationsfilen. OAuth-utfärdarens identifierings-URI för IdP:n, till exempel https://accounts.google.com. Mer information finns i Anslut till identitetsleverantör för klientsideskryptering . |
-client_id <oauth_client_id> | Obligatoriskt om det inte finns i konfigurationsfilen. Ett OAuth-klient-ID från den IdP som anges i flaggan -issuer . För mer information, gå till Anslut till identitetsleverantör för klientsideskryptering . |
-client_secret <oauth_client_secret> | Valfritt, även om vissa IdP:er kan kräva det. OAuth-klientens hemliga del som motsvarar klient-ID:t som anges i flaggan -client_id . |
-pkce | Aktivera eller inaktivera PKCE (Proof Key for Code Exchange) i flödet för beviljande av auktoriseringskod. Om ingen av flaggorna anges är standardvärdet aktiverat för dekrypteraren. |
-input <directory_or_file> | Obligatoriskt. Inmatningskatalogen eller exportfilen. Om du anger en katalog kommer dekrypteraren rekursivt att gå igenom hela katalogträdet för att hitta alla exporterade CSE-filer. Använd det här alternativet för att massdekryptera alla exporterade filer från ett utökat exportarkiv. Om du anger en exporterad CSE-fil kommer dekrypteringsprogrammet att dekryptera bara den filen. Om det inte är en CSE-fil kommer dekrypteringsprogrammet att begära att du autentiserar dig mot IdP:n men dekrypterar inga filer. |
-output <directory> | Obligatoriskt. Katalogen där dekrypterade filer kommer att sparas. |
-overwrite | Aktiverar eller inaktiverar överskrivning av befintliga dekrypterade klartextfiler. Om inaktiverat (standard) hoppar dekrypteringsprogrammet över dekryptering av chiffertextfiler om klartextfilen redan finns. |
-workers <integer> | Valfritt. Antalet parallella dekrypteringsarbetare. Om du inte använder den här flaggan använder dekrypteringsverktyget standardvärdet för antalet processorkärnor och hypertrådar som rapporteras av operativsystemet. Om din dator har prestandaproblem eller om du får ett felmeddelande om multibearbetning när du dekrypterar filer kan du ställa in den här flaggan på 1 för att inaktivera parallell bearbetning. |
-config <file> | Valfritt. En konfigurationsfil som innehåller lagrade flaggvärden. Använd en konfigurationsfil för att undvika att klistra in samma kommandoradsflaggor varje gång du dekrypterar filer. För mer information, gå till Flaggor för att skapa konfigurationer och Flaggor för att uppdatera konfigurationer nedan. Flaggvärden som du anger på kommandoraden har företräde framför värden i konfigurationsfilen. Obs: Om du anger en fil i konfigurationsfilen och den inte hittas uppstår ett fel. |
-credential <file> | Valfritt. Ange en JSON-fil som innehåller en privat nyckel för ett domänomfattande tjänstkonto. När detta anges kommer dekryptering av Gmail CSE-meddelanden att fråga Gmail API efter varje användares S/MIME-certifikat och metadata för Key Access Control List Service (KACLS). |
Flaggor för skapande av konfiguration
Använd dessa flaggor för att spara ofta använda kommandoradsflaggor för dekryptering i en konfigurationsfil för återanvändning. En konfigurationsfil är formaterad i JSON, som innehåller läsbar text.
| Flagga | Beskrivning |
|---|---|
-action createconfig | Obligatoriskt. Åsidosätter standardkörningsläget för att köra läget för att skapa konfigurationsfilen. |
-config file | Obligatoriskt. Ange namnet på utdatafilen där du vill spara konfigurationen. Om filen redan finns kommer den att skrivas över utan varning. |
-email <email_address> | Valfritt. Alla angivna flaggvärden sparas i konfigurationsfilen för återanvändning. |
Flaggor för konfigurationsuppdatering
Använd dessa flaggor för att uppdatera flaggvärden i en konfigurationsfil.
| Flagga | Beskrivning |
|---|---|
-action updateconfig | Obligatoriskt. Åsidosätter standardkörningsläget för att köra uppdateringsläget för konfigurationsfilen. |
-config file | Obligatoriskt. Konfigurationsfilen som du vill uppdatera. Om filen inte finns uppstår ett fel. |
-email <email_address> | Alla är valfria. Värden för flaggor som du anger på kommandoraden skrivs över; alla andra värden för flaggor i konfigurationen bevaras. För att avaktivera en lagrad flagga, ange ett tomt värde. Obs: Om en redigering skadar JSON-formatet kommer sannolikt ett fel att uppstå när du använder konfigurationen i dekrypteraren. |
Informationsflaggor
Använd dessa flaggor för att skriva ut läsbar information om CSE-filer.
| Flagga | Beskrivning |
|---|---|
-action info | (Obligatoriskt) Åsidosätter standardkörningsläget för att köras i informationsläge |
-input directory_or_file | (Obligatoriskt) Anger inmatningskatalog eller exportfil Om du anger en katalog skannar verktyget rekursivt hela katalogträdet och letar efter alla CSE-exportfiler. Om du anger en fil ger verktyget information om bara den filen. Du kan upprepa den här flaggan för att ange ytterligare inmatningskataloger eller filer. Exempel: |