Если в вашей организации включено шифрование на стороне клиента в Google Workspace, вы можете использовать утилиту для расшифровки файлов и писем, зашифрованных на стороне клиента и экспортированных с помощью инструмента "Экспорт данных" или Google Сейфа. Этот инструмент запускается из командной строки.
При запуске инструмента расшифровки необходимо добавить параметры командной строки. Например, можно указать данные для аутентификации у поставщика идентификационной информации, каталог с зашифрованными файлами или расположение выходных расшифрованных файлов. Вы также можете создать файл конфигурации, включив в него параметры, которые часто используете.
Примечание. При расшифровке файлов Google Документов, Таблиц и Презентаций им присваивается имя с расширением GDOC. Инструмент расшифровки пока не может преобразовать эти файлы в формат DOCX, XLSX или PPTX.
Системные требования
Microsoft Windows 7, Vista, 8, 10 или 11 (64-разрядная версия).
Примечание. Инструмент расшифровки для Mac и Linux будет добавлен в одном из следующих выпусков.
Как скачать инструмент расшифровки
Скачайте на компьютер утилиту для расшифровки файлов, зашифрованных на стороне клиента.
Как создать файл конфигурации
Так как для расшифровки файлов, зашифрованных на стороне клиента, обычно используются одни и те же параметры, удобнее добавить их в специальный файл конфигурации. Подробные сведения можно найти в разделах Параметры для создания файла конфигурации и Параметры для обновления файла конфигурации ниже.
Пример. Создание конфигурации для поставщика идентификационной информации Google:
> decrypter.exe -action createconfig -config C:\gaia-oauth.conf -email me@example.com -client_id my-client-id.apps.googleusercontent.com -issuer https://accounts.google.com
Впоследствии эту конфигурацию можно обновить, добавив секретный код клиента OAuth для получения кода авторизации:
> decrypter.exe -action updateconfig -config C:\gaia-oauth.conf -client_secret my-client-secret
Как расшифровывать зашифрованные на стороне клиента файлы и письма
После создания файла конфигурации его можно использовать для расшифровки экспортированных файлов и писем. Для этого выберите в инструменте расшифровки каталог с зашифрованными клиентом файлами, которые вы извлекли из архива, а затем сохраните расшифрованные файлы в другом каталоге.
Пример для Диска
> decrypter.exe -config C:\my_organization.conf -input C:\exported_files -output C:\decrypted_files
Пример для Gmail
Чтобы расшифровать зашифрованные на стороне клиента письма Gmail, которые вы экспортировали, потребуется указать учетные данные для домена:
> decrypter.exe -config C:\my_organization.conf -input C:\exported_files -output C:\decrypted_files -credential serviceaccount.json
Параметры инструмента расшифровки
Параметр может начинаться с одного или двух дефисов. Например, чтобы показать справочную информацию, используйте любой из следующих вариантов:
-help
--help
Примечание. Можно использовать только дефисы. Косая черта (/) не применяется.
Параметры, которые требуют строковых значений, отделяются от них знаком равенства или пробелом. Например, можно использовать любой из следующих вариантов:
-action=decrypt
-action decrypt
| Параметр |
Описание |
-version |
Выводит строку с номером версии для используемой утилиты. Его необходимо указывать при обращении в службу поддержки. |
-help |
Выводит список всех параметров для справки. |
-logfile |
Указывает файл выходных данных, куда будут записываться журналы выполнения. Текст [TIMESTAMP] в имени файла будет заменен на время начала выполнения. |
| Параметр |
Описание |
-action decrypt |
Необязательный параметр. Показывает, что утилита запускается в режиме расшифровки файлов, зашифрованных на стороне клиента. Это значение по умолчанию. |
-email <адрес-электронной-почты> |
Необязательный параметр. Адрес электронной почты, который может быть автоматически указан на экране аутентификации у поставщика идентификационной информации в браузере. |
-issuer <URI> |
Обязательный параметр (если он не указан в файле конфигурации). URI обнаружения поставщика OAuth для поставщика идентификационной информации, например https://accounts.google.com. Подробнее о том, как установить подключение к поставщику идентификационной информации для шифрования на стороне клиента… |
-client_id <идентификатор-клиента-OAuth> |
Обязательный параметр (если он не указан в файле конфигурации). Идентификатор клиента OAuth для поставщика идентификационной информации, который указан с помощью параметра -issuer. Подробнее о том, как установить подключение к поставщику идентификационной информации для шифрования на стороне клиента… |
-client_secret <секретный-код-клиента-OAuth> |
Необязательный параметр (может требоваться для некоторых поставщиков идентификационной информации). Секретный код клиента OAuth. Этот код соответствует идентификатору клиента, указанному с помощью параметра -client_id. |
-pkce
-nopkce |
Включает или отключает механизм PKCE (Proof Key for Code Exchange) при получении кода авторизации. Если ни один из этих параметров не указан, по умолчанию механизм PKCE включен. |
-input <каталог-или-файл> |
Обязательный параметр. Каталог входных данных или файл экспорта.
Если указан каталог, то инструмент будет рекурсивно обходить дерево папок, чтобы найти все экспортированные файлы, зашифрованные на стороне клиента. Этот параметр позволяет выполнять массовую расшифровку всех файлов из развернутого архива экспорта.
Если указан один экспортированный файл, зашифрованный на стороне клиента, то будет расшифрован только этот файл. Если указан файл другого типа, то инструмент предложит вам пройти аутентификацию у поставщика идентификационной информации, но не будет выполнять расшифровку.
|
-output <каталог> |
Обязательный параметр. Каталог, где будут сохраняться расшифрованные файлы. |
-overwrite
-nooverwrite |
Включает или отключает перезапись существующих расшифрованных выходных файлов с открытым текстом. Когда перезапись отключена (это значение по умолчанию), утилита не будет расшифровывать файлы с зашифрованным текстом, если файл с открытым текстом уже существует. |
-workers <целое-число> |
Необязательный параметр. Число параллельных процессов расшифровки. Если этот параметр не задан, инструмент по умолчанию использует число ядер процессора и гиперпотоков, указанное операционной системой.
Если при расшифровке файлов возникают проблемы с производительностью компьютера или ошибки, связанные с мультипроцессорной обработкой данных, можно задать для этого параметра значение 1 (не использовать параллельную обработку).
|
-config <файл> |
Необязательный параметр. Файл конфигурации с сохраненными значениями аргументов. Используйте его, чтобы не указывать одни и те же параметры командной строки каждый раз при запуске утилиты для расшифровки файлов. Подробные сведения можно найти в разделах Параметры для создания файла конфигурации и Параметры для обновления файла конфигурации.
Значения параметров, заданные в командной строке, имеют приоритет над значениями из файла конфигурации.
Примечание. Если в параметре config указан файл, который не удалось найти, будет показано сообщение об ошибке.
|
-credential <file> |
Необязательный параметр. Укажите JSON-файл, содержащий закрытый ключ сервисного аккаунта в вашем домене. В этом случае при расшифровке писем Gmail, зашифрованных на стороне клиента, в Gmail API будет направлен запрос на предоставление сертификата S/MIME и метаданных списка контроля доступа к ключам сервиса для каждого из пользователей. |
Параметры для создания файла конфигурации
Эти параметры позволяют сохранить аргументы командной строки утилиты в файле конфигурации для повторного использования. Такой файл создается в формате JSON (с удобочитаемым текстом).
| Параметр |
Описание |
-action createconfig |
Обязательный параметр. Вместо режима выполнения (который используется по умолчанию) будет включен режим создания файла конфигурации. |
-config file |
Обязательный параметр. Укажите имя выходного файла с конфигурацией. Если файл с таким именем уже существует, он будет перезаписан без предварительного уведомления. |
-email <адрес-электронной-почты>
-discovery_uri <URI>
-client_id <идентификатор-клиента-OAuth>
-client_secret <секретный-код-клиента-OAuth>
-pkce
-nopkce |
Необязательные параметры. Все указанные значения аргументов будут записаны в файл конфигурации для повторного использования. |
Параметры для обновления файла конфигурации
Эти параметры позволяют обновить любые значения аргументов в файле конфигурации.
| Параметр |
Описание |
-action updateconfig |
Это обязательное поле. Вместо режима выполнения (который используется по умолчанию) будет включен режим изменения файла конфигурации. |
-config file |
Обязательный параметр. Файл конфигурации, который необходимо обновить. Если такого файла не существует, появится сообщение об ошибке. |
-email <адрес-электронной-почты>
-discovery_uri <URI>
-client_id <идентификатор-клиента-OAuth>
-client_secret <секретный-код-клиента-OAuth>
-pkce
-nopkce |
Все параметры необязательные. Значения аргументов, указанных в командной строке, будут перезаписаны, а все остальные значения в файле конфигурации останутся как есть. Чтобы отменить сохраненный параметр, укажите для него пустое значение.
Примечание. Если при обновлении JSON-файла возникает ошибка, скорее всего, она возникнет и при попытке использовать эту конфигурацию при расшифровке.
|
Используйте эти флаги, когда нужно распечатать понятные сведения о файле, зашифрованном на стороне клиента.
| Параметр |
Описание |
-action info |
(Обязательный) Переопределяет стандартный режим выполнения, чтобы оно осуществлялось в информационном режиме. |
-input каталог_или_файл |
(Обязательный) Определяет входной каталог или файл экспорта.
Если указать каталог, утилита рекурсивно просканирует все дерево каталога в поиске всех файлов экспорта, зашифрованных на стороне клиента. Если же указать файл, утилита выдаст информацию только об этом файле.
Этот параметр можно повторять, указывая дополнительные входные каталоги и файлы. Пример:
$ decrypter -action=info -input=файл1.gcse -input=файл2.gcse -input=файл3.gcse
|