İstemci tarafında şifrelenmiş dışa aktarılan dosyaların ve e-postaların şifresini çözme

Kuruluşunuzda Google Workspace istemci tarafı şifreleme (İTŞ) kullanılıyorsa Veri Dışa Aktarma Aracı veya Google Apps Kasası ile dışa aktardığınız, istemci tarafında şifrelenmiş dosyaların ve e-posta iletilerinin şifresini çözmek için şifre çözücü yardımcı programını kullanabilirsiniz. Şifre çözücüyü komut satırından çalıştırabilirsiniz.

Şifre çözücüyü çalıştırdığınızda kimlik sağlayıcı (IdP) kimlik doğrulama bilgilerinizi, şifrelenmiş dosyaların konumunu, şifresi çözülmüş dosyaların çıkış konumunu ve diğer seçenekleri belirtmek için komut satırı işaretlerini kullanırsınız. Sık kullandığınız şifre çözücü işaretlerini kaydetmek için bir yapılandırma (config) dosyası da oluşturabilirsiniz.

Başlamadan önce

  • Bir Google Dokümanlar, E-Tablolar veya Slaytlar dosyasının şifresini çözdüğünüzde dosya adı .gdoczip veya benzer bir uzantı ile biter. Şifre çözme işleminden sonra, dosya dönüştürücü aracını kullanarak bu dosyaları Microsoft Office biçimine dönüştürebilirsiniz. Ayrıntılar için Dışa aktarılan ve şifresi çözülen Google dosyalarını Microsoft Office dosyalarına dönüştürme başlıklı makaleyi inceleyin.
  • Gmail CSE iletilerini Google Apps Kasası'ndan dışa aktarıyorsanız MBOX biçiminde dışa aktarmanız gerekir. Şifre çözücü, PST biçimindeki dışa aktarımları işleyemez.
  • Şifre çözücü yardımcı programı, S/MIME sertifikalarıyla şifrelenmiş tüm iletilerin şifresini çözebilir. Ayrıca, kullanıcılarınız iletileri veya ileti dizilerindeki orijinal iletiyi şifrelediyse S/MIME sertifikaları olmadan şifrelenmiş iletilerin (yani Gmail uçtan uca şifreleme kullanılan iletiler) şifresini çözebilir.
  • Şifre çözücü yardımcı programı, başka bir kuruluşta S/MIME sertifikaları olmadan (Gmail E2EE) şifrelenen iletilerin (bir ileti dizisindeki tüm iletiler dahil) şifresini çözemez.

Sistem gereksinimleri

  • Microsoft Windows 10 veya 11 (64 bit)
  • macOS 12 (Monterey) veya sonraki bir sürüm. Hem Apple hem de Intel işlemciler desteklenir.
  • Linux x86_64.

Şifre çözücüyü indirin

Arşivi veya birimi açın ve şifre çözücü yürütülebilir dosyasını yerel bir dizine ya da klasöre çıkarın.

Anahtar hizmeti erişimini yapılandırma

Şifre çözücü, dışa aktarma işleminizdeki her şifrelenmiş dosyayı veya iletiyi koruyan, Anahtar Erişim Kontrol Listesi Hizmeti (KACLS) olarak da adlandırılan şifreleme anahtarı hizmetinize sorgular gönderir. Kimlik sağlayıcınızın (IdP) yöneticisinden ve şifreleme anahtarı hizmeti yöneticinizden KACLS'nin kabul edeceği kimlik bilgilerini isteyin. Aksi takdirde KACLS, şifre çözücünün dışa aktarılan içeriğin şifresini çözme girişimlerini reddeder.

İhtiyacınız olanlar

KACLS erişimini yapılandırmak için aşağıdakilere sahip olmanız gerekir:

  • Yüklü uygulamaların kullanabileceği bir OAuth istemci kimliği. Şifre çözücü için istemci kimliği, yüklü masaüstü yazılımı tarafından kullanılabilen ve şifre çözücü yardımcı programına özel bir istemci kimliği olmalıdır. Bu istemci kimliği; CSE web, masaüstü ve mobil uygulamaları için Google Yönetici Konsolu'nda ayarlanan istemci kimliklerinden farklı bir istemci kimliği olmalıdır.
  • IdP'niz Google ise istemci kimliğiyle ilişkili OAuth istemci gizli anahtarı. Üçüncü taraf IdP kullanıyorsanız istemci gizli anahtarına ihtiyacınız yoktur.
  • Dışa aktarma şifre çözme işlemi için KACLS'de kimliği doğrulanan kullanıcı hesabının e-posta adresi. Bu, kendi hesabınız veya yöneticilerinizin yapılandırdığı özel bir hesap olabilir. Şifre çözme yardımcı programını çalıştırırken bu kullanıcı olarak giriş yapmanız gerekir. Bu nedenle, hesabın şifresine ihtiyacınız olabilir.

KACLS uç noktaları

KACLS yapılandırması, kullanıcı hesabının ve istemci kimliğinin dışa aktarma şifre çözme işlemi için kullanılan uç noktaları çağırmasına izin vermelidir. Bu ayarı genellikle KACLS yöneticiniz sizin için ayarlayabilir. Şifre çözücü tarafından çağrılan KACLS uç noktası, şifrelenmiş içeriğin türüne bağlıdır:

  • Takvim'de CSE: privilegedunwrap
  • Dokümanlar'da CSE, E-Tablolar'da CSE, Slaytlar'da CSE: privilegedunwrap
  • Drive'da CSE: privilegedunwrap
  • Gmail'de CSE (S/MIME sertifikalarıyla): privilegedprivatekeydecrypt
  • Gmail'de CSE (S/MIME sertifikaları olmadan): privilegedunwrap

Gmail S/MIME erişimini yapılandırma (isteğe bağlı)

S/MIME kullanan, istemci tarafında şifrelenmiş Gmail iletilerinin şifresini Google Apps Kasası'ndan çözüyorsanız şifre çözücünün ek verileri indirmek için Gmail'in genel API'sini çağırması gerekir. Google Apps Kasası dışa aktarma işlemlerinde her kullanıcının S/MIME sertifikaları yer almaz. Bu nedenle, şifre çözücü bunları gerektiğinde Gmail'den otomatik olarak getirir.

Şifre çözücünün kuruluşunuzdaki herhangi bir kullanıcının S/MIME sertifikalarını istemesine izin vermek için şifre çözücüye alan genelinde bir hizmet hesabı kimlik bilgisi iletmeniz gerekir. Bu hizmet hesabını ayarlama ve hizmet hesabının özel kimlik bilgisini içeren bir JSON dosyası oluşturma hakkında ayrıntılı bilgi için Yalnızca Gmail: İstemci tarafı şifreleme için S/MIME'yi yapılandırma başlıklı makaleyi inceleyin.

Not: İstemci tarafında şifrelenmiş iletilerin şifresini Veri Dışa Aktarma Aracı'ndan çözüyorsanız veya Apps Kasası'ndan S/MIME sertifikası olmayan şifrelenmiş iletilerin şifresini çözüyorsanız bu kurulum gerekli değildir.

Aşağıdaki durumlardan herhangi biri geçerliyse şifre çözücü, kullanıcının S/MIME sertifikalarını getiremez ve bu nedenle de S/MIME kullanan istemci tarafı şifreleme uygulanmış iletilerin şifresini çözemez:

S/MIME sertifikalarıyla istemci tarafı şifreleme uygulanmış iletilerin şifresinin çözülmesini sağlamak için:

  • Sertifikalar kullanılabilir durumdayken Apps Kasası'ndan dışa aktarılan iletilerin şifresini hemen çözebilirsiniz.
  • İletileri dışa aktarmak için Veri Dışa Aktarma Aracı'nı kullanabilirsiniz. Bu dışa aktarma işlemleri, her bir kullanıcının sertifikalarını içerir.

Öncelikle yapılandırma dosyası oluşturun

Şifre çözücü, her KACLS privilegedunwrap ve privilegedprivatekeydecrypt isteğine dahil ettiği bir kimlik doğrulama kimlik bilgisi edinmek için OAuth'u ve IdP'nizi kullanır. OAuth yapılandırmanız sık sık değişmeyeceğinden, şifre çözücüyü her çalıştırdığınızda OAuth ayarlarını yapmanız gerekmemesi için OAuth ayarlarınızı içeren bir yapılandırma (config) dosyası oluşturabilirsiniz. Yapılandırma dosyası işaretleriyle ilgili ayrıntılı bilgi için aşağıdaki Yapılandırma oluşturma işaretleri ve Yapılandırma güncelleme işaretleri bölümlerine gidin.

Not: Bu kurulum adımı isteğe bağlı olsa da şifre çözücü yardımcı programının kullanımını kolaylaştırmak için önerilir. Yapılandırma dosyası oluşturmazsanız bunun yerine OAuth işaretlerini komut satırında şifre çözücünün yürütüldüğü her işleme iletebilirsiniz. İkisini de yaparsanız komut satırında iletilen işaret değerleri, yapılandırma dosyasından okunan değerleri geçersiz kılar.

Örnek: Google IdP için yapılandırma dosyası oluşturma

Windows'da

macOS veya Linux'ta

Şimdi OAuth istemci gizli anahtarını yetkilendirme kodu atama akışına ekleyerek yapılandırmayı güncelleyebilirsiniz.

Windows'da

macOS veya Linux'ta

IdP'niz Google değilse: Yalnızca Google IdP'si için gerekli olan istemci gizli anahtarını eklemeyin. Diğer birçok IdP, istemci gizli anahtarı mevcut olduğunda kimlik doğrulama isteklerini reddeder.

CSE dosyalarının ve e-postalarının şifresini çözme

Şifre çözücü yardımcı programı, sıkıştırılmamış durumdaki dışa aktarılan dosyalarla çalışır.

  1. Veri Dışa Aktarma Aracı'nda veya Google Apps Kasası'nda dışa aktarma işlemi oluşturduktan sonra ZIP dosyalarını yerel bilgisayarınıza indirin.
  2. Dosyaları yerel bir dizine veya klasöre çıkarın.
  3. Şifre çözücüyü, sıkıştırılmamış dosyalar üzerinde çalıştırın ve şifresi çözülmüş düz metin dosyalarını farklı bir dizine kaydedin.

Örnek: Hizmet hesabı kimlik bilgisi olmadan hazır bir yapılandırma dosyası kullanma

Windows'da

macOS veya Linux'ta

Örnek: Hizmet hesabı kimlik bilgisi ile hazır bir yapılandırma dosyası kullanma

Windows'da

macOS veya Linux'ta

Örnek: Yapılandırma dosyası veya hizmet hesabı kimlik bilgisi kullanmama

Windows'da

macOS veya Linux'ta

Şifre çözücü işaretleri

Şifre çözücü işaretinin başında 1 veya 2 kısa çizgi olabilir. Örneğin, yardım bilgilerini görüntülemek için kullanılan işaret aşağıdakilerden biri olabilir:

-help

--help

Not: İşaretler için yalnızca kısa çizgi kullanabilirsiniz, eğik çizgi (/) kullanamazsınız.

Dize biçimindeki bağımsız değişkenlerin işaretleri, bağımsız değişkeni belirtmek için eşittir işareti veya boşluk içerebilir. Örneğin, aşağıdaki işaretler eşdeğerdir:

-action=decrypt

-action decrypt

Yardım işaretleri

İşaret Açıklama
-version Sürüm dizesini yazdırır. Destek ekibiyle iletişime geçerseniz kullandığınız şifre çözücü sürümünü belirttiğinizden emin olun.
-help Referans olması için tüm işaretlerin ekranını yazdırır.
-logfile Yürütme günlüklerinin yazılacağı çıkış dosyasını belirtir. Dosya adındaki [TIMESTAMP] metni yürütme başlangıç zamanıyla değiştirilir.

Şifre çözme işaretleri

İşaret Açıklama
-action decrypt İsteğe bağlı. Yardımcı program modunun CSE dosyalarının şifresini çözmek için ayarlandığını belirtir. Bu, varsayılan moddur.
-email <email_address> İsteğe bağlı. Tarayıcıda açılan IdP kimlik doğrulama ekranında önceden doldurulmuş olabilecek e-posta adresi.
-issuer <uri> Yapılandırma dosyasında mevcut olmadığı sürece gereklidir. IdP için OAuth'u veren kuruluşa ait keşif URI'si (ör. https://accounts.google.com). Ayrıntılar için İstemci tarafı şifreleme için kimlik sağlayıcıya bağlanma bölümüne bakın.
-client_id <oauth_client_id> Yapılandırma dosyasında mevcut olmadığı sürece gereklidir. -issuer işaretinde belirtilen IdP'den alınmış bir OAuth istemci kimliği. Ayrıntılı bilgi için İstemci tarafı şifreleme için kimlik sağlayıcıya bağlanma başlıklı makaleyi inceleyin.
-client_secret <oauth_client_secret> İsteğe bağlıdır, ancak bazı IdP'ler zorunlu tutmaktadır. -client_id işaretinde belirtilen istemci kimliğine karşılık gelen OAuth istemci sırrı bölümü.
-pkce
-nopkce		 Yetkilendirme kodu verme akışında PKCE'yi (Proof Key for Code Exchange - Kod Değişimi için Kanıt Anahtarı) etkinleştirin veya devre dışı bırakın. Hiçbir işaret belirtilmezse şifre çözücü varsayılan olarak etkindir.
-input <directory_or_file>

Zorunlu. Giriş dizini veya dışa aktarma dosyası.

Bir dizin belirtirseniz şifre çözücü, dışa aktarılan tüm CSE dosyalarını bulmak için dizin ağacının tamamını tekrarlı olarak aktarır. Dışa aktarılan bir arşivin tamamında, dışa aktarılan tüm dosyaların şifresini toplu olarak çözmek için bu seçeneği kullanın.

Dışa aktarılmış 1 İTŞ dosyası belirtirseniz şifre çözücü yalnızca söz konusu dosyanın şifresini çözer. Bu bir CSE dosyası değilse şifre çözücü, IdP'de kimlik doğrulamanızı ister ancak hiçbir dosyanın şifresini çözmez.
-output <directory> Zorunlu. Şifresi çözülmüş dosyaların kaydedileceği dizin.
-overwrite
-nooverwrite		 Şifresiz metin içeren, şifresi çözülmüş çıkış dosyalarının üzerine yazmayı etkinleştirir veya devre dışı bırakır. Devre dışı bırakılırsa (varsayılan), şifresiz metin dosyasının zaten mevcut olması halinde şifre çözücü, şifrelenmiş metin dosyalarının şifre çözme işlemini atlar.
-workers <integer>

İsteğe bağlı. Paralel şifre çözme çalışanlarının sayısı. Bu işareti kullanmazsanız şifre çözücü, varsayılan olarak işletim sistemi tarafından bildirilen işlemci çekirdeği ve hiper iş parçacıklarının sayısını temel alır.

Bilgisayarınızda performans sorunları varsa veya dosyaların şifresini çözerken çoklu işleme hatası alıyorsanız paralel işlemeyi devre dışı bırakmak için bu işareti 1 olarak ayarlayabilirsiniz.
-config <file>

İsteğe bağlı. Depolanan işaret değerlerini içeren bir yapılandırma dosyası. Dosyaların şifresini çözdüğünüzde aynı komut satırı işaretlerini yapıştırmaktan kaçınmak için bir yapılandırma dosyası kullanın. Daha fazla bilgi için aşağıdaki Yapılandırma oluşturma işaretleri ve Yapılandırma güncelleme işaretleri bölümlerine bakın.

Komut satırında ayarladığınız işaret değerleri, yapılandırmadaki değerlere göre öncelikli olur.

Not: Yapılandırmada bir dosya belirtirseniz ve dosya bulunmazsa bir hata oluşur.
-credential <file> İsteğe bağlı. Alan genelinde hizmet hesabı özel anahtarı içeren bir JSON dosyası belirtin. Bu dosyayı belirtirseniz Gmail CSE iletilerinin şifresi çözüldüğünde her kullanıcının S/MIME sertifikaları ve anahtar erişim kontrol listesi hizmetinin (KACLS) meta verileri için Gmail API sorgulanır.

Yapılandırma oluşturma işaretleri

Sık kullanılan şifre çözme komut satırı işaretlerini, yeniden kullanılabilecek bir yapılandırma dosyasına kaydetmek için bu işaretleri kullanın. Yapılandırma dosyası, okunabilir metin içeren JSON biçimindedir.

İşaret Açıklama
-action createconfig Zorunlu. Yapılandırma dosyası oluşturma modunu çalıştırmak için varsayılan yürütme modunu geçersiz kılar.
-config file Zorunlu. Yapılandırmayı kaydetmek istediğiniz çıkış dosya adını belirtin. Dosya zaten mevcutsa uyarı olmadan üzerine yazılır.
-email <email_address>
-discovery_uri <uri>
-client_id <oauth_client_id>
-client_secret <oauth_client_secret>
-pkce
-nopkce		 İsteğe bağlı. Belirtilen tüm işaret değerleri, yeniden kullanım için yapılandırma dosyasına kaydedilir.

Yapılandırma güncelleme işaretleri

Yapılandırma dosyasındaki işaret değerlerini güncellemek için bu işaretleri kullanın.

İşaret Açıklama
-action updateconfig Zorunlu. Yapılandırma dosyası güncelleme modunu çalıştırmak için varsayılan yürütme modunu geçersiz kılar.
-config file Zorunlu. Güncellemek istediğiniz yapılandırma dosyası. Dosya mevcut değilse bir hata oluşur.
-email <email_address>
-discovery_uri <uri>
-client_id <oauth_client_id>
-client_secret <oauth_client_secret>
-pkce
-nopkce

Tümü isteğe bağlıdır. Komut satırında belirttiğiniz işaret değerlerinin üzerine yazılır; yapılandırmadaki işaretlere ait diğer tüm değerler korunur. Kayıtlı bir işaretin ayarını iptal etmek için boş değer belirtin.

Not: Bir düzenleme JSON biçimini bozuyorsa şifre çözücüdeki yapılandırmayı kullandığınızda büyük olasılıkla bir hata oluşur.

Bilgilendirme amaçlı işaretler

CSE dosyalarıyla ilgili okunabilir bilgileri yazdırmak için bu işaretleri kullanın.

İşaret Açıklama
-action info (Zorunlu) Bilgilendirme modunda çalışmak için varsayılan yürütme modunu geçersiz kılar.
-input directory_or_file

(Zorunlu) Giriş dizinini veya dışa aktarma dosyasını belirtir.

Bir dizin belirtirseniz yardımcı program, tüm CSE dışa aktarma dosyalarını bulmak için dizin ağacının tamamını tekrar tekrar tarar. Bir dosya belirtirseniz yardımcı program yalnızca söz konusu dosya için bilgi sağlar.

Ek giriş dizinleri veya dosyalar belirtmek için bu işareti tekrarlayabilirsiniz. Örnek:

$ decrypter -action=info -input=file1.gcse -input=file2.gcse -input=file3.gcse