หากองค์กรใช้การเข้ารหัสฝั่งไคลเอ็นต์ (CSE) ของ Google Workspace คุณสามารถใช้ยูทิลิตีสคริปต์ถอดรหัส (เบต้า) เพื่อถอดรหัสไฟล์และอีเมลที่มีการเข้ารหัสฝั่งไคลเอ็นต์ที่คุณส่งออกได้โดยใช้เครื่องมือส่งออกข้อมูลหรือ Google ห้องนิรภัย และเรียกใช้สคริปต์ถอดรหัสจากบรรทัดคำสั่งได้
เมื่อเรียกใช้สคริปต์ถอดรหัส คุณจะต้องใช้แฟล็กบรรทัดคำสั่งเพื่อระบุข้อมูลการตรวจสอบสิทธิ์ IdP, ตำแหน่งของไฟล์ที่เข้ารหัส, ตำแหน่งเอาต์พุตสำหรับไฟล์ที่ถอดรหัส และตัวเลือกอื่นๆ นอกจากนี้ คุณยังสร้างไฟล์การกำหนดค่า (config) เพื่อบันทึกแฟล็กสคริปต์ถอดรหัสที่ใช้บ่อยได้ด้วย
หมายเหตุ: เมื่อถอดรหัสไฟล์ Google เอกสาร ชีต หรือสไลด์ ชื่อไฟล์จะลงท้ายด้วย .gdoc โดยเครื่องมือการถอดรหัสยังไม่สามารถแปลงไฟล์เหล่านี้เป็น DOCX, XLSX หรือ PPTX ได้
ข้อกำหนดของระบบ
Microsoft Windows เวอร์ชัน 7, Vista, 8, 10 หรือ 11 แบบ 64 บิต
หมายเหตุ: สคริปต์ถอดรหัสจะใช้งานได้กับ Mac และ Linux ในรุ่นที่กำลังจะเปิดตัว
ดาวน์โหลดสคริปต์ถอดรหัส
ดาวน์โหลดยูทิลิตีสคริปต์ถอดรหัสฝั่งไคลเอ็นต์ไว้ในคอมพิวเตอร์ของคุณ
อันดับแรก สร้างไฟล์การกำหนดค่า
เนื่องจากการกำหนดค่า CSE จะเปลี่ยนแปลงไม่บ่อยครั้งนัก จึงขอแนะนำให้สร้างไฟล์การกำหนดค่าก่อนเพื่อให้ป้อนแฟล็กที่คุณใช้ได้เร็วขึ้น โปรดดูรายละเอียดเกี่ยวกับแฟล็กไฟล์การกำหนดค่าที่หัวข้อแฟล็กการสร้างการกำหนดค่าและแฟล็กการอัปเดตการกำหนดค่าด้านล่าง
ตัวอย่าง: สร้างการกำหนดค่าสำหรับ Google IdP โดยใช้คำสั่งต่อไปนี้
> decrypter.exe -action createconfig -config C:\gaia-oauth.conf -email me@example.com -client_id my-client-id.apps.googleusercontent.com -issuer https://accounts.google.com
จากนั้นคุณจะอัปเดตการกำหนดค่าเพื่อเพิ่มรหัสลับไคลเอ็นต์ OAuth ในขั้นตอนการให้สิทธิ์รหัสการให้สิทธิ์ได้ โดยใช้คำสั่งต่อไปนี้
> decrypter.exe -action updateconfig -config C:\gaia-oauth.conf -client_secret my-client-secret
ถอดรหัสไฟล์และอีเมล CSE
หลังจากสร้างไฟล์การกําหนดค่าแล้ว คุณจะใช้ไฟล์ดังกล่าวเพื่อถอดรหัสไฟล์และอีเมลที่ส่งออกได้ โดยให้เรียกใช้สคริปต์ถอดรหัสผ่านไดเรกทอรีของไฟล์ CSE ที่แตกไฟล์แล้ว จากนั้นบันทึกไฟล์ที่ถอดรหัสแล้วไปยังไดเรกทอรีอื่น
ตัวอย่างไดรฟ์
> decrypter.exe -config C:\my_organization.conf -input C:\exported_files -output C:\decrypted_files
ตัวอย่าง Gmail
หากต้องการถอดรหัสข้อมูล CSE ที่ส่งออกของ Gmail คุณต้องมีข้อมูลเข้าสู่ระบบของทั้งโดเมน ดังนี้
> decrypter.exe -config C:\my_organization.conf -input C:\exported_files -output C:\decrypted_files -credential serviceaccount.json
แฟล็กสคริปต์ถอดรหัส
แฟล็กสคริปต์ถอดรหัสอาจมีขีดกลางนำหน้า 1 หรือ 2 ขีดก็ได้ เช่น แฟล็กสำหรับแสดงข้อมูลความช่วยเหลืออาจมีรูปแบบอย่างใดอย่างหนึ่งต่อไปนี้ก็ได้
-help
--help
หมายเหตุ: คุณสามารถใช้ได้เฉพาะขีดกลางกับแฟล็กเท่านั้น และจะใช้เครื่องหมายทับ (/) ไม่ได้
แฟล็กสำหรับอาร์กิวเมนต์ที่เป็นสตริงอาจมีเครื่องหมายเท่ากับหรือเว้นวรรคเพื่อระบุอาร์กิวเมนต์ ตัวอย่างการใช้แฟล็กด้านล่างนี้มีความหมายเหมือนกัน
-action=decrypt
-action decrypt
| แฟล็ก |
คำอธิบาย |
-version |
พิมพ์เวอร์ชันเป็นสตริง หากคุณติดต่อทีมสนับสนุน โปรดระบุเวอร์ชันของสคริปต์ถอดรหัสที่ใช้อยู่ |
-help |
พิมพ์แฟล็กทั้งหมดในหน้าจอสำหรับใช้อ้างอิง |
-logfile |
ระบุไฟล์เอาต์พุตที่ระบบจะเขียนบันทึกการดำเนินการ [TIMESTAMP] ในชื่อไฟล์จะแทนที่ด้วยเวลาที่เริ่มดำเนินการ |
| แฟล็ก |
คำอธิบาย |
-action decrypt |
ไม่บังคับ ระบุว่าโหมดของยูทิลิตีคือการถอดรหัสไฟล์ CSE ซึ่งเป็นโหมดเริ่มต้น |
-email <email_address> |
ไม่บังคับ อีเมลที่อาจป้อนข้อมูลไว้ล่วงหน้าแล้วในหน้าจอการตรวจสอบสิทธิ์ IdP ที่เปิดในเบราว์เซอร์ |
-issuer <uri> |
ต้องระบุ เว้นแต่จะระบุไว้แล้วในไฟล์การกำหนดค่า โดยจะเป็น Discovery URI ของผู้ออก OAuth สำหรับ IdP เช่น https://accounts.google.com โปรดดูรายละเอียดที่หัวข้อเชื่อมต่อกับผู้ให้บริการข้อมูลประจำตัวสำหรับการเข้ารหัสฝั่งไคลเอ็นต์ |
-client_id <oauth_client_id> |
ต้องระบุ เว้นแต่จะระบุไว้แล้วในไฟล์การกำหนดค่า โดยจะเป็นรหัสไคลเอ็นต์ OAuth จาก IdP ที่ระบุในแฟล็ก -issuer โปรดดูรายละเอียดที่หัวข้อเชื่อมต่อกับผู้ให้บริการข้อมูลประจำตัวสำหรับการเข้ารหัสฝั่งไคลเอ็นต์ |
-client_secret <oauth_client_secret> |
ไม่บังคับ แม้ว่าอาจจำเป็นสำหรับ IdP บางราย โดยจะเป็นส่วนรหัสลับไคลเอ็นต์ OAuth ที่ตรงกับรหัสไคลเอ็นต์ที่ระบุในแฟล็ก -client_id |
-pkce
-nopkce |
เปิดหรือปิดใช้ PKCE (Proof Key for Code Exchange) ในขั้นตอนการให้สิทธิ์รหัสการให้สิทธิ์ หากไม่ได้ระบุแฟล็กทั้งสองนี้ ค่าเริ่มต้นของสคริปต์ถอดรหัสจะเป็นเปิดใช้ |
-input <directory_or_file> |
ต้องระบุ โดยจะเป็นไดเรกทอรีอินพุตหรือไฟล์ส่งออก
หากคุณระบุไดเรกทอรี สคริปต์ถอดรหัสจะข้ามผ่านโครงสร้างไดเรกทอรีทั้งหมดซ้ำเพื่อค้นหาไฟล์ CSE ที่ส่งออกทั้งหมด ให้ใช้ตัวเลือกนี้เพื่อถอดรหัสไฟล์ที่ส่งออกทั้งหมดพร้อมกันจากที่เก็บถาวรการส่งออกแบบขยาย
หากคุณระบุไฟล์ CSE ที่ส่งออก 1 ไฟล์ สคริปต์ถอดรหัสจะถอดรหัสเฉพาะไฟล์นั้น หากไม่ใช่ไฟล์ CSE สคริปต์ถอดรหัสจะขอให้คุณตรวจสอบสิทธิ์กับ IdP แต่จะไม่ถอดรหัสไฟล์ใดๆ
|
-output <directory> |
ต้องระบุ โดยจะเป็นไดเรกทอรีที่จะบันทึกไฟล์ที่ถอดรหัส |
-overwrite
-nooverwrite |
เปิดหรือปิดใช้การเขียนทับไฟล์เอาต์พุตที่เป็นข้อความที่โอนหรือจัดเก็บได้โดยไม่ต้องเข้ารหัสที่ได้รับการถอดรหัสและมีอยู่เดิม หากปิดใช้ (ค่าเริ่มต้น) สคริปต์ถอดรหัสจะข้ามการถอดรหัสไฟล์ข้อความเข้ารหัส หากมีไฟล์ข้อความที่โอนหรือจัดเก็บได้โดยไม่ต้องเข้ารหัสอยู่แล้ว |
-workers <integer> |
ไม่บังคับ โดยจะเป็นจำนวนตัวถอดรหัสที่ทำงานพร้อมกัน หากไม่ได้ใช้แฟล็กนี้ สคริปต์ถอดรหัสจะมีค่าเริ่มต้นเป็นจำนวนโปรเซสเซอร์ของคอร์และไฮเปอร์เทรดที่ระบบปฏิบัติการรายงาน
หากคอมพิวเตอร์มีปัญหาด้านประสิทธิภาพหรือคุณได้รับข้อผิดพลาดในการประมวลผลข้อมูลหลายรายการเมื่อถอดรหัสไฟล์ ให้ตั้งค่าแฟล็กนี้เป็น 1 เพื่อปิดใช้การประมวลผลข้อมูลพร้อมกัน
|
-config <file> |
ไม่บังคับ โดยจะเป็นไฟล์การกำหนดค่าที่จัดเก็บค่าแฟล็ก ให้ใช้ไฟล์การกำหนดค่าเพื่อหลีกเลี่ยงการวางแฟล็กบรรทัดคำสั่งเดียวกันเมื่อถอดรหัสไฟล์ โปรดดูข้อมูลเพิ่มเติมที่หัวข้อแฟล็กการสร้างการกำหนดค่าและแฟล็กการอัปเดตการกำหนดค่าด้านล่าง
ค่าแฟล็กที่กำหนดไว้ในบรรทัดคำสั่งจะมีความสำคัญเหนือกว่าค่าในการกำหนดค่า
หมายเหตุ: หากคุณระบุไฟล์ในการกำหนดค่าแล้วระบบไม่พบไฟล์ดังกล่าว แสดงว่ามีข้อผิดพลาดเกิดขึ้น
|
-credential <file> |
ไม่บังคับ ระบุไฟล์ JSON ที่มีคีย์ส่วนตัวของบัญชีบริการทั่วทั้งโดเมน เมื่อระบุ การถอดรหัสข้อความ CSE ของ Gmail จะค้นหาใบรับรอง S/MIME และข้อมูลเมตาของบริการรายการควบคุมการเข้าถึงคีย์ (KACLS) ของผู้ใช้แต่ละรายผ่าน Gmail API |
ใช้แฟล็กเหล่านี้เพื่อบันทึกแฟล็กบรรทัดคำสั่งการถอดรหัสที่ใช้บ่อยลงในไฟล์การกำหนดค่าเพื่อใช้ซ้ำ โดยไฟล์การกำหนดค่าจะอยู่ในรูปแบบ JSON ซึ่งมีข้อความที่ผู้ใช้เข้าใจได้
| แฟล็ก |
คำอธิบาย |
-action createconfig |
ต้องระบุ โดยจะลบล้างโหมดเริ่มต้นของการดำเนินการเพื่อเรียกใช้โหมดการสร้างไฟล์การกำหนดค่า |
-config file |
ต้องระบุ โดยจะระบุชื่อไฟล์เอาต์พุตที่ต้องการบันทึกการกำหนดค่าไว้ หากมีไฟล์อยู่แล้ว ระบบจะเขียนทับไฟล์โดยไม่แสดงคำเตือน |
-email <email_address>
-discovery_uri <uri>
-client_id <oauth_client_id>
-client_secret <oauth_client_secret>
-pkce
-nopkce |
ไม่บังคับ โดยระบบจะบันทึกค่าแฟล็กที่ระบุลงในไฟล์การกำหนดค่าเพื่อใช้ซ้ำ |
แฟล็กการอัปเดตการกำหนดค่า
ใช้แฟล็กเหล่านี้เพื่ออัปเดตค่าแฟล็กใดก็ตามในไฟล์การกำหนดค่า
| แฟล็ก |
คำอธิบาย |
-action updateconfig |
ต้องระบุ โดยจะลบล้างโหมดเริ่มต้นของการดำเนินการเพื่อเรียกใช้โหมดการอัปเดตไฟล์การกำหนดค่า |
-config file |
ต้องระบุ โดยจะเป็นไฟล์การกำหนดค่าที่ต้องการอัปเดต หากไม่มีไฟล์ดังกล่าว แสดงว่ามีข้อผิดพลาดเกิดขึ้น |
-email <email_address>
-discovery_uri <uri>
-client_id <oauth_client_id>
-client_secret <oauth_client_secret>
-pkce
-nopkce |
ไม่บังคับทั้งหมด ระบบจะเขียนทับค่าแฟล็กที่คุณระบุในบรรทัดคำสั่ง โดยที่ค่าแฟล็กอื่นๆ ในการกำหนดค่าจะยังคงอยู่ หากต้องการยกเลิกการกำหนดค่าแฟล็กที่เก็บไว้ ให้เว้นค่าว่างไว้
หมายเหตุ: หากการแก้ไขทำให้รูปแบบ JSON เสียหาย แสดงว่าอาจมีข้อผิดพลาดเกิดขึ้นเมื่อคุณใช้การกำหนดค่าในสคริปต์ถอดรหัส
|
ใช้แฟล็กเหล่านี้เพื่อพิมพ์ข้อมูลที่อ่านได้เกี่ยวกับไฟล์ CSE
| แฟล็ก |
คำอธิบาย |
-action info |
(จำเป็น) ลบล้างโหมดการดำเนินการเริ่มต้นเพื่อเรียกใช้ในโหมดข้อมูล |
-input directory_or_file |
(จำเป็น) ระบุไดเรกทอรีอินพุตหรือไฟล์ส่งออก
หากคุณระบุไดเรกทอรี ยูทิลิตีจะสแกนโครงสร้างไดเรกทอรีทั้งหมดซ้ำเพื่อค้นหาไฟล์ส่งออก CSE ทั้งหมด หากคุณระบุไฟล์ ยูทิลิตีจะแสดงข้อมูลเฉพาะไฟล์นั้น
คุณสามารถใช้แฟล็กนี้ซ้ำเพื่อระบุไดเรกทอรีอินพุตหรือไฟล์เพิ่มเติม ตัวอย่างเช่น
$ decrypter -action=info -input=file1.gcse -input=file2.gcse -input=file3.gcse
|