如果貴機構使用 Google Workspace 用戶端加密功能 (CSE),您可以使用解密工具公用程式 (Beta 版),解密透過資料匯出工具或 Google 保管箱匯出的用戶端加密檔案和電子郵件。您可以透過指令列執行解密工具。
執行解密工具時,您必須使用指令列旗標來指定 IdP 驗證資訊、加密檔案的位置、已解密檔案的輸出位置以及其他選項。您也可以建立設定檔,儲存常用的解密工具旗標。
注意:您在解密 Google 文件、試算表或簡報檔案時,檔案名稱會以 .gdoc 結尾。解密工具尚無法將這些檔案轉換成 DOCX、XLSX 或 PPTX。
系統需求
Microsoft Windows 7、Vista、8、10 或 11 (64 位元版本)
備註:我們將在日後推出適用於 Mac 和 Linux 的解密工具版本。
下載解密工具
將用戶端解密工具公用程式下載到您的電腦。
先建立設定檔
由於 CSE 設定不會經常變更,因此請先建立設定檔,以便快速輸入要使用的旗標。如要進一步瞭解設定檔旗標,請參閱下方的「設定檔建立旗標」和「設定檔更新旗標」。
範例:建立 Google IdP 的設定檔:
> decrypter.exe -action createconfig -config C:\gaia-oauth.conf -email me@example.com -client_id my-client-id.apps.googleusercontent.com -issuer https://accounts.google.com
接下來,您可以更新設定檔,在授權碼授權流程中新增 OAuth 用戶端密鑰:
> decrypter.exe -action updateconfig -config C:\gaia-oauth.conf -client_secret my-client-secret將 CSE 檔案和電子郵件解密
建立設定檔後,您可以使用該設定檔解密匯出的檔案和電子郵件。方法是在已解壓縮的 CSE 檔案目錄上執行解密工具,然後將已解密的檔案儲存至其他目錄。
雲端硬碟範例
> decrypter.exe -config C:\my_organization.conf -input C:\exported_files -output C:\decrypted_filesGmail 範例
如要解密 Gmail CSE 匯出內容,您必須加入全網域憑證:
> decrypter.exe -config C:\my_organization.conf -input C:\exported_files -output C:\decrypted_files -credential serviceaccount.json解密工具旗標
解密工具旗標可包含 1 或 2 個開頭的連字號,例如顯示說明資訊的旗標可以是下列任一項目:
-help
--help
注意:只可在旗標中使用連字號,不可使用斜線 (/)。
為了要指定引數,字串引數的旗標可以包含等號或空格,例如以下旗標 (兩者作用相同):
-action=decrypt
-action decrypt
說明旗標
| 旗標 | 說明 |
|---|---|
-version |
用於列印版本字串。與支援團隊聯絡時,請務必提供您所使用的解密工具版本。 |
-help |
列印包含所有旗標的畫面以供參考。 |
-logfile |
指定會寫入執行記錄的輸出檔案。檔案名稱中的 [TIMESTAMP] 文字將改為執行作業的開始時間。 |
解密旗標
| 旗標 | 說明 |
|---|---|
-action decrypt |
選用。可將公用程式的模式指定為替 CSE 檔案解密。此為預設模式。 |
-email <email_address> |
選用。在瀏覽器中開啟的 IdP 驗證畫面上,可能會預先填入的電子郵件地址。 |
-issuer <uri> |
除非設定檔中已有,否則這是必要項目。這是 IdP 的 OAuth 核發機構探索服務 URI,例如 https://accounts.google.com。詳情請參閱「連線至識別資訊提供者以進行用戶端加密」。 |
-client_id <oauth_client_id> |
除非設定檔中已有,否則這是必要項目。這個 OAuth 用戶端 ID 是透過 -issuer 旗標中指定的 IdP 提供。詳情請參閱「連線至識別資訊提供者以進行用戶端加密」。 |
-client_secret <oauth_client_secret> |
選用,但有些 IdP 可能會要求提供這項資訊。這是 OAuth 的用戶端密鑰部分,與 -client_id 旗標中指定的用戶端 ID 相對應。 |
-pkce |
表示在授權碼授權流程中啟用或停用 PKCE (用於程式碼交換的金鑰證明)。如果未指定任何旗標,解密工具會預設為啟用。 |
-input <directory_or_file> |
這是必要旗標,也就是輸入目錄或匯出檔案。 如果您指定目錄,解密工具會以遞迴方式掃遍整個目錄樹狀結構,尋找所有匯出的 CSE 檔案。如果是展開的匯出封存檔中的匯出檔案,您可以使用這個選項執行大量解密作業。 如果您指定 1 個匯出的 CSE 檔案,解密工具只會解密該檔案。如果不是 CSE 檔案,解密工具會要求您向 IdP 驗證,但不會解密任何檔案。 |
-output <directory> |
這是必要旗標,也就是儲存已解密檔案的目錄。 |
-overwrite |
用於啟用或停用現有解密明文輸出檔案的覆寫功能。根據預設,系統會停用這項設定,如果明文檔案已存在,解密工具會略過密文檔案的解密作業。 |
-workers <integer> |
選用。平行解密工作站的數量。如果不使用這個旗標,解密工具會預設採用作業系統回報的處理器核心和超執行緒數量。 如果您的電腦存在效能問題,或在解密檔案時收到多重處理錯誤,可以將這個旗標設為 1,藉此停用平行處理。 |
-config <file> |
選用。這是包含已儲存旗標值的設定檔。您可以使用設定檔,以免每次解密檔案時都須貼上相同的指令列旗標。詳情請參閱下方的「設定檔建立旗標」和「設定檔更新旗標」。 您在指令列上設定的旗標值優先於設定檔中的值。 注意:如果您在設定檔中找不到指定的檔案,就會發生錯誤。 |
-credential <file> |
選用。指定含有全網域服務帳戶私密金鑰的 JSON 檔案。指定後,Gmail CSE 郵件的解密作業就會向 Gmail API 查詢每位使用者的 S/MIME 憑證,以及金鑰存取控制清單 (KACLS) 中繼資料。 |
設定檔建立旗標
| 旗標 | 說明 |
|---|---|
-action createconfig |
這是必要旗標,用於覆寫執行作業的預設模式,以便執行設定檔建立模式。 |
-config file |
這是必要旗標,指定您要儲存設定檔的輸出檔案名稱。如果檔案已存在,系統會在不發出警告的情況下覆寫該檔案。 |
-email <email_address> |
選用。任何指定的旗標值都會儲存在設定檔中,以便重複使用。 |
設定檔更新旗標
您可以使用這些旗標來更新設定檔中的任何旗標值。
| 旗標 | 說明 |
|---|---|
-action updateconfig |
這是必要旗標,用於覆寫執行作業的預設模式,以便執行設定檔更新模式。 |
-config file |
這是必要旗標,也就是要更新的設定檔。如果檔案不存在,則會發生錯誤。 |
-email <email_address> |
所有項目皆為選用。您在指令列中指定的旗標值會遭到覆寫;系統會保留設定檔中旗標的任何其他值。如要取消設定已儲存的旗標,請指定空白值。 注意:如果編輯作業導致 JSON 格式毀損,您在解密工具中使用該設定檔時可能會發生錯誤。 |