如果贵组织使用 Google Workspace 客户端加密功能 (CSE),您就可以使用解密工具实用程序(Beta 版)来解密通过数据导出工具或 Google 保险柜导出的客户端加密文件和电子邮件。您可以通过命令行运行解密工具。
运行解密工具时,您可以使用命令行 flag 指定 IdP 身份验证信息、加密文件的位置、解密文件的输出位置以及其他选项。您还可以创建一个配置 (config) 文件来保存您常用的解密工具 flag。
注意 :当您解密 Google 文档、表格或幻灯片文件时,文件名会以 .gdoc 结尾。解密程序尚无法将这些文件转换为 DOCX、XLSX 或 PPTX 格式。
系统要求
Microsoft Windows 7、Vista、8、10 或 11(64 位)
注意:即将发布的新版解密工具将支持 Mac 和 Linux。
下载解密工具
将客户端解密工具实用程序下载到您的计算机。
请先创建配置文件
CSE 配置不会经常更改,因此请先创建一个配置文件,以便更快速地输入要使用的 flag。如要详细了解配置文件 flag,请参阅下文中的创建配置文件 flag 和更新配置文件 flag。
示例:为 Google IdP 创建配置文件:
> decrypter.exe -action createconfig -config C:\gaia-oauth.conf -email me@example.com -client_id my-client-id.apps.googleusercontent.com -issuer https://accounts.google.com
然后,您可以更新配置文件,将 OAuth 客户端密钥添加到授权代码授予流程中:
> decrypter.exe -action updateconfig -config C:\gaia-oauth.conf -client_secret my-client-secret解密 CSE 文件和电子邮件
创建配置文件后,就可以使用它来解密导出的文件和电子邮件。为此,请对已解压缩的 CSE 文件目录运行解密工具,然后将解密后的文件保存到其他目录中。
云端硬盘示例
> decrypter.exe -config C:\my_organization.conf -input C:\exported_files -output C:\decrypted_filesGmail 示例
如要解密 Gmail CSE 导出内容,您需要添加全网域凭据:
> decrypter.exe -config C:\my_organization.conf -input C:\exported_files -output C:\decrypted_files -credential serviceaccount.json解密工具 flag
解密工具 flag 可以包含 1 个或 2 个前导连字符,例如,用于显示帮助信息的 flag 可以是以下任何一种:
-help
--help
注意:flag 中只能出现连字符,而不能存在斜杠 (/)。
字符串参数的 flag 可以包含等号或空格,用于指定参数。例如,以下 flag 的效果相同:
-action=decrypt
-action decrypt
帮助 flag
| Flag | 说明 |
|---|---|
-version |
输出版本字符串。如要与支持团队联系,请确保提供您所使用的解密工具的版本。 |
-help |
在屏幕上输出所有 flag 以供参考。 |
-logfile |
指定输出文件,在其中写入执行日志。系统会将文件名中的文本 [TIMESTAMP] 替换为执行的开始时间。 |
解密 flag
| Flag | 说明 |
|---|---|
-action decrypt |
可选。将实用程序的模式指定为解密 CSE 文件模式。此为默认模式。 |
-email <email_address> |
可选。当在浏览器中打开 IdP 身份验证页面时,已在其中预填充的电子邮件地址。 |
-issuer <uri> |
必需(除非配置文件中已包含)。IdP 的 OAuth 颁发者发现服务 URI,例如 https://accounts.google.com。有关详情,请参阅连接到身份提供方以使用客户端加密功能。 |
-client_id <oauth_client_id> |
必需(除非配置文件中已包含)。由 -issuer flag 中指定的 IdP 提供的 OAuth 客户端 ID。有关详情,请参阅连接到身份提供方以使用客户端加密功能。 |
-client_secret <oauth_client_secret> |
可选,但某些 IdP 可能需要此 flag。与 -client_id flag 中指定的客户端 ID 对应的 OAuth 客户端密钥部分。 |
-pkce |
在授权代码授予流程中启用或停用 PKCE(用于代码交换的证明密钥)。如果这两个 flag 均未指定,则解密工具默认启用 PKCE。 |
-input <directory_or_file> |
必需。输入目录或导出文件。 如果您指定一个目录,解密工具会以递归方式遍历整个目录树,以便找到所有导出的 CSE 文件。使用此选项可对已展开的导出归档中的所有导出文件执行批量解密。 如果您指定了 1 个已导出的 CSE 文件,解密工具只会解密这一个文件。如果该文件不是 CSE 文件,解密工具会要求您通过 IdP 的身份验证,并且不会解密任何文件。 |
-output <directory> |
必需。保存解密文件的目录。 |
-overwrite |
选择是否要覆盖现有的已解密明文输出文件。选择不覆盖(默认设置)时,如果明文文件已存在,解密工具将不再对相应的密文文件进行解密。 |
-workers <integer> |
可选。并行解密工作器的数量。如果不指定此 flag,则解密工具默认会将此数量设为操作系统报告的处理器核心和超线程的数量。 如果计算机出现性能问题,或者在解密文件时收到多线程处理错误,您可将此 flag 设为 1,以停用并行处理。 |
-config <file> |
可选。包含存储的 flag 值的配置文件。使用配置文件可避免每次解密文件时粘贴相同的命令行 flag。如需了解详情,请参阅下文中的创建配置文件 flag 和更新配置文件 flag。 您在命令行中设置的 flag 值优先于配置文件中的 flag 值。 注意:如果您在配置文件中指定了某个文件,但系统找不到该文件,则会发生错误。 |
-credential <file> |
可选。指定包含全网域服务账号私钥的 JSON 文件。指定后,对 Gmail CSE 邮件进行解密时,会查询 Gmail API 以获取每位用户的 S/MIME 证书和密钥访问控制列表服务 (KACLS) 元数据。 |
创建配置文件 flag
| Flag | 说明 |
|---|---|
-action createconfig |
必需。覆盖默认的执行模式,以运行配置文件创建模式。 |
-config file |
必需。指定您要用于保存配置文件的输出文件名。如果该文件已存在,系统将在不作出警告的情况下覆盖该文件。 |
-email <email_address> |
可选。系统会将所有指定的 flag 值保存到配置文件中,以供重复使用。 |
更新配置文件 flag
使用以下 flag 来更新配置文件中的任何 flag 值。
| Flag | 说明 |
|---|---|
-action updateconfig |
必需。覆盖默认的执行模式,以运行配置文件更新模式。 |
-config file |
必需。要更新的配置文件。如果目标文件不存在,则会出现错误。 |
-email <email_address> |
全部为可选。系统会覆盖您在命令行中指定的 flag 值;配置文件中的任何其他 flag 值将保留不变。如要取消设置已存储的 flag,请指定空白值。 注意:如果某项修改破坏了 JSON 格式,那么当您在解密工具中使用该配置文件时很可能会出现错误。 |