Exportierte clientseitig verschlüsselte Dateien und E‑Mails entschlüsseln

Wenn in Ihrer Organisation die clientseitige Verschlüsselung (Client-side Encryption, CSE) Google Workspace verwendet wird, können Sie mit dem Entschlüsselungstool clientseitig verschlüsselte Dateien und E-Mail-Nachrichten entschlüsseln, die Sie mit dem Tool für den Datenexport oder mit Google Vault exportieren. Das Programm lässt sich über eine Befehlszeile ausführen.

Im Entschlüsselungsprogramm geben Sie die IdP-Authentifizierungsinformationen, den Speicherort der verschlüsselten Dateien, den gewünschten Speicherort für die entschlüsselten Dateien sowie andere Optionen mit Befehlszeilen-Flags an. Sie können auch eine Konfigurationsdatei (.config) erstellen, um häufig verwendete Flags zu speichern.

Hinweis

  • Wenn Sie Dateien aus Google Docs, Google Sheets oder Google Präsentationen entschlüsseln, endet der Dateiname mit .gdoczip oder ähnlich. Nach der Entschlüsselung können Sie diese Dateien mit dem Dateikonverter in das Microsoft Office-Format konvertieren. Weitere Informationen finden Sie im Hilfeartikel Exportierte und entschlüsselte Google-Dateien in Microsoft Office-Dateien konvertieren
  • Wenn Sie Gmail-Nachrichten mit clientseitiger Verschlüsselung aus Google Vault exportieren, müssen Sie im MBOX-Format exportieren. Das Entschlüsselungstool kann keine Exporte im PST-Format verarbeiten.
  • Mit dem Entschlüsselungstool können alle Nachrichten entschlüsselt werden, die mit S/MIME-Zertifikaten verschlüsselt wurden. Das Tool kann auch Nachrichten entschlüsseln, die ohne S/MIME-Zertifikate verschlüsselt wurden, also Nachrichten, die Gmail-Ende-zu-Ende-Verschlüsselung (E2EE) verwenden, wenn Ihre Nutzer die Nachrichten oder die ursprüngliche Nachricht in Threads verschlüsselt haben.
  • Das Entschlüsselungstool kann keine Nachrichten (einschließlich aller Nachrichten in einem Thread) entschlüsseln, die ohne S/MIME-Zertifikate (Gmail-E2EE)  in einer anderen Organisation verschlüsselt wurden.

Systemanforderungen

  • Microsoft Windows 10 oder 11 (64-Bit)
  • macOS 12 (Monterey) oder höher. Sowohl Apple- als auch Intel-Prozessoren werden unterstützt.
  • Linux x86_64

Entschlüsselungsprogramm herunterladen

Öffnen Sie das Archiv oder Volume und extrahieren Sie die ausführbare Datei des Entschlüsselungstools in ein lokales Verzeichnis oder einen lokalen Ordner.

Zugriff auf den Schlüsseldienst konfigurieren

Das Entschlüsselungsprogramm sendet Anfragen an Ihren Verschlüsselungsschlüsseldienst, auch Key Access Control List Service (KACLS) genannt, der jede verschlüsselte Datei oder Nachricht in Ihrem Export schützt. Bitten Sie den Administrator Ihres Identitätsanbieters (IdP) und den Administrator Ihres Verschlüsselungsschlüsseldienstes um Anmeldedaten, die von den KACLS akzeptiert werden. Andernfalls lehnen die KACLS die Versuche des Entschlüsselungsprogramms ab, exportierte Inhalte zu entschlüsseln.

Voraussetzungen

So konfigurieren Sie den KACLS-Zugriff:

  • Eine OAuth-Client-ID, die von installierten Anwendungen verwendet werden kann. Je nach IdP kann diese Client-ID mit der in der Admin-Konsole festgelegten Web-Client-ID für die benutzerdefinierte Suchmaschine identisch sein oder eine andere Client-ID sein, die speziell für installierte Anwendungen gilt. Wenn Ihr IdP Google ist, muss die Client-ID für das Entschlüsselungstool eine andere Client-ID sein, die für die installierte Software spezifisch ist.
  • Der mit der Client-ID verknüpfte OAuth-Clientschlüssel, wenn Ihr IdP Google ist. Wenn Sie einen externen Identitätsanbieter verwenden, benötigen Sie den Clientschlüssel nicht.
  • Die E-Mail-Adresse des Nutzerkontos, das sich zur Entschlüsselung des Exports beim KACLS authentifiziert. Das kann Ihr eigenes Konto oder ein spezielles Konto sein, das Ihre Administratoren konfiguriert haben. Sie müssen sich als dieser Nutzer anmelden, wenn Sie das Entschlüsselungstool ausführen. Daher benötigen Sie wahrscheinlich das Passwort des Kontos.

KACLS-Endpunkte

Die KACLS-Konfiguration muss es dem Nutzerkonto und der Client-ID ermöglichen, Endpunkte aufzurufen, die für die Exportentschlüsselung verwendet werden. Ihr KACLS-Administrator kann dies in der Regel für Sie einrichten. Der KACLS-Endpunkt, der vom Entschlüsselungstool aufgerufen wird, hängt vom Typ der verschlüsselten Inhalte ab:

  • Kalender CSE: privilegedunwrap
  • Clientseitige Verschlüsselung für Docs, Sheets und Präsentationen: privilegedunwrap
  • Drive CSE: privilegedunwrap
  • Gmail CSE (mit S/MIME-Zertifikaten): privilegedprivatekeydecrypt
  • Gmail-CSE (ohne S/MIME-Zertifikate): privilegedunwrap

Gmail-S/MIME-Zugriff konfigurieren (optional)

Wenn Sie clientseitig verschlüsselte Gmail-Nachrichten, die S/MIME verwenden, aus Google Vault entschlüsseln, muss das Entschlüsselungstool die öffentliche API von Gmail aufrufen, um zusätzliche Daten herunterzuladen. Google Vault-Exporte enthalten nicht die S/MIME-Zertifikate der einzelnen Nutzer. Das Entschlüsselungstool ruft sie daher bei Bedarf automatisch aus Gmail ab.

Damit das Entschlüsselungstool die S/MIME-Zertifikate für jeden Nutzer in Ihrer Organisation anfordern kann, müssen Sie dem Entschlüsselungstool Anmeldedaten für das domainweite Dienstkonto übergeben. Weitere Informationen zum Einrichten dieses Dienstkontos und zum Erstellen einer JSON-Datei mit den privaten Anmeldedaten für das Dienstkonto finden Sie unter Nur Gmail: S/MIME für die clientseitige Verschlüsselung konfigurieren.

Hinweis: Diese Einrichtung ist nicht erforderlich, wenn Sie clientseitig verschlüsselte Nachrichten aus dem Tool für den Datenexport entschlüsseln oder verschlüsselte Nachrichten aus Vault entschlüsseln, die keine S/MIME-Zertifikate haben.

Das Entschlüsselungstool kann die S/MIME-Zertifikate eines Nutzers nicht abrufen und daher keine clientseitig verschlüsselten Nachrichten entschlüsseln, die S/MIME verwenden, wenn eine der folgenden Bedingungen zutrifft:

So können Sie dafür sorgen, dass clientseitig verschlüsselte Nachrichten mit S/MIME-Zertifikaten entschlüsselt werden:

  • Nachrichten, die aus Vault exportiert wurden, sofort entschlüsseln, solange Zertifikate verfügbar sind.
  • Verwenden Sie das Tool für den Datenexport, um Nachrichten zu exportieren. Diese Exporte enthalten die Zertifikate der einzelnen Nutzer.

Vorab eine Konfigurationsdatei erstellen

Das Entschlüsselungstool verwendet OAuth und Ihren IdP, um einen Authentifizierungsnachweis zu erhalten, der in jede KACLS-Anfrage vom Typ privilegedunwrap und privilegedprivatekeydecrypt aufgenommen wird. Ihre OAuth-Konfiguration ändert sich nicht oft. Sie können daher eine Konfigurationsdatei (.config) mit Ihren OAuth-Einstellungen erstellen, damit Sie diese nicht jedes Mal festlegen müssen, wenn Sie das Entschlüsselungstool ausführen. Weitere Informationen zu den Flags für die Konfigurationsdatei finden Sie weiter unten unter Flags zum Erstellen einer Konfigurationsdatei und Flags zum Aktualisieren einer Konfigurationsdatei.

Hinweis: Dieser Einrichtungsschritt ist zwar optional, wird aber empfohlen, um die Verwendung des Entschlüsselungstools zu vereinfachen. Wenn Sie keine Konfigurationsdatei erstellen, können Sie die OAuth-Flags stattdessen bei jeder Ausführung des Entschlüsselungstools in der Befehlszeile übergeben. Wenn Sie beides tun, werden die Flag-Werte, die in der Befehlszeile übergeben werden, durch die Werte aus der Konfigurationsdatei überschrieben.

Beispiel: Konfigurationsdatei mit IdP-Informationen von Google

Unter Windows:

> decrypter.exe -action createconfig -config C:\google-oauth.conf -email name@beispiel.de -client_id meine-client-id.apps.googleusercontent.com -issuer https://accounts.google.com

Unter macOS oder Linux

$ ./decrypter -action createconfig -config ~/google-oauth.json -email me@example.com -client_id my-client-id.apps.googleusercontent.com -issuer https://accounts.google.com

Anschließend können Sie die Konfigurationsdatei so aktualisieren, dass der OAuth-Clientschlüssel in den Autorisierungscode-Zuweisungsvorgang aufgenommen wird:

Unter Windows:

> decrypter.exe -action updateconfig -config C:\google-oauth.conf -client_secret my-client-secret

Unter macOS oder Linux

$ ./decrypter -action updateconfig -config ~/google-oauth.json -client_secret my-client-secret

Wenn Ihr IdP nicht Google ist: Fügen Sie den Clientschlüssel nicht hinzu. Er wird nur vom Google-IdP benötigt. Viele andere IdPs lehnen Authentifizierungsanfragen ab, wenn der Clientschlüssel vorhanden ist.

Clientseitig verschlüsselte Dateien und E‑Mails entschlüsseln

Das Entschlüsselungsprogramm wird für entpackte Exportdateien ausgeführt.

  1. Nachdem Sie einen Export im Tool zum Datenexport oder in Google Vault erstellt haben, laden Sie die ZIP-Dateien auf Ihren lokalen Computer herunter.
  2. Entpacken Sie die Dateien in ein lokales Verzeichnis oder einen lokalen Ordner.
  3. Führen Sie das Entschlüsselungsprogramm für die entpackten Dateien aus und speichern Sie die entschlüsselten Dateien in einem anderen Verzeichnis.

Beispiel: Verwenden einer vorbereiteten Konfigurationsdatei ohne Dienstkontoanmeldedaten

Unter Windows:

> decrypter.exe -config C:\google-oauth.json -input C:\exported-files -output C:\decrypted-files

Unter macOS oder Linux

$ ./decrypter -config ~/google-oauth.json -input ~/exported-files -output ~/decrypted-files

Beispiel: Verwenden einer vorbereiteten Konfigurationsdatei mit Anmeldedaten für ein Dienstkonto

Unter Windows:

> decrypter.exe -config C:\google-oauth.json -credential C:\serviceaccount.json -input C:\exported-files -output C:\decrypted-files

Unter macOS oder Linux

$ ./decrypter -config google-oauth.json -credential serviceaccount.json -input exported-files -output decrypted-files

Beispiel: Keine Konfigurationsdatei und keine Dienstkonto-Anmeldedaten verwenden

Unter Windows:

> decrypter.exe -email me@example.com -client_id my-client-id.apps.googleusercontent.com -issuer https://accounts.google.com -client_secret my-client-secret -input C:\exported-files -output C:\decrypted-files

Unter macOS oder Linux

$ ./decrypter -email me@example.com -client_id my-client-id.apps.googleusercontent.com -issuer https://accounts.google.com -client_secret my-client-secret -input ~/exported-files -output ~/decrypted-files

Flags für das Entschlüsselungsprogramm

Ein Entschlüsselungs-Flag kann einen oder zwei führende Bindestriche enthalten, wie hier das Flag zur Anzeige von Hilfeinformationen:

-help

--help

Hinweis: Für Flags sind nur Bindestriche und keine Schrägstriche (/) zulässig.

Flags für String-Argumente können entweder ein Gleichheitszeichen oder ein Leerzeichen enthalten. Die folgenden Flags sind beispielsweise gleichwertig:

-action=decrypt 

-action decrypt

Hilfe-Flags

Flag Beschreibung
-version Gibt den Versionsstring aus. Wenn Sie sich an den Support wenden, geben Sie die Version des verwendeten Entschlüsselungsprogramms an.
-help Gibt einen Bildschirm mit allen Flags als Referenz aus.
-logfile Gibt die Ausgabedatei für die Ausführungsprotokolle an. Der Text [TIMESTAMP] im Dateinamen wird durch den Zeitstempel des Ausführungsbeginns ersetzt.

Entschlüsselungs-Flags

Flag Beschreibung
-action decrypt Optional. Gibt an, dass das Dienstprogramm zur Entschlüsselung von clientseitig verschlüsselten Dateien verwendet wird. Das ist der Standardmodus.
-email <email_adresse> Optional. Die E-Mail-Adresse, die auf dem im Browser geöffneten Bildschirm zur IdP-Authentifizierung möglicherweise vorausgefüllt ist.
-issuer <uri> Pflichtangabe, sofern nicht in der Konfigurationsdatei enthalten. Der Erkennungs-URI des OAuth-Ausstellers für den Identitätsanbieter, z. B. https://accounts.google.com. Weitere Informationen
-client_id <oauth_client_id> Pflichtangabe, sofern nicht in der Konfigurationsdatei enthalten. Die OAuth-Client-ID des Identitätsanbieters, die im Flag -issuer angegeben ist. Weitere Informationen finden Sie im Hilfeartikel Für die clientseitige Verschlüsselung eine Verbindung zum Identitätsanbieter herstellen
-client_secret <oauth_clientschlüssel> Normalerweise optional, für einige IdPs aber möglicherweise eine Pflichtangabe. Der Teil des OAuth-Clientschlüssels, der der im Flag -client_id angegebenen Client-ID entspricht.
-pkce
-nopkce		 Flag zum Aktivieren oder Deaktivieren des PKCE (Proof Key for Code Exchange) beim Vorgang zur Genehmigung des Autorisierungscodes. Wenn keines der beiden Flags angegeben ist, wird der PKCE standardmäßig aktiviert.
-input <verzeichnis_oder_datei>

Pflichtangabe. Das Eingabeverzeichnis oder die Exportdatei.

Wenn Sie ein Verzeichnis angeben, durchsucht das Programm die gesamte Verzeichnisstruktur wiederkehrend nach exportierten clientseitig verschlüsselten Dateien. Verwenden Sie diese Option, um alle exportierten Dateien aus einem erweiterten Exportarchiv per Bulk-Aktion zu entschlüsseln.

Wenn Sie eine exportierte clientseitig verschlüsselte Datei angeben, wird nur diese Datei entschlüsselt. Falls es sich nicht um eine solche Datei handelt, werden Sie aufgefordert, sich beim IdP zu authentifizieren. Es werden jedoch keine Dateien entschlüsselt.
-output <verzeichnis> Pflichtangabe. Das Verzeichnis, in dem die entschlüsselten Dateien gespeichert werden.
-overwrite
-nooverwrite		 Hiermit können Sie festlegen, ob vorhandene entschlüsselte Klartextdateien überschrieben werden sollen. Wenn diese Option deaktiviert ist (Standardeinstellung), überspringt das Entschlüsselungsprogramm die Geheimtextdateien, sofern die zugehörige Klartextdatei bereits vorhanden ist.
-workers <ganzzahl>

Optional. Die Anzahl der parallelen Entschlüsselungsvorgänge. Wenn Sie dieses Flag nicht angeben, wird standardmäßig die Anzahl der vom Betriebssystem gemeldeten Prozessorkerne und Hyperthreads verwendet.

Wenn beim Entschlüsseln von Dateien Leistungsprobleme oder Fehler im Zusammenhang mit der Mehrfachverarbeitung ("multi-processing") auftreten, können Sie dieses Flag auf 1 setzen, um die parallele Verarbeitung zu deaktivieren.
-config <datei>

Optional. Eine Konfigurationsdatei mit gespeicherten Flag-Werten. Es empfiehlt sich, eine solche Datei zu verwenden, um nicht für jeden Entschlüsselungsvorgang dieselben Befehlszeilen-Flags kopieren zu müssen. Weitere Informationen finden Sie weiter unten unter Flags zum Erstellen einer Konfigurationsdatei und Flags zum Aktualisieren einer Konfigurationsdatei.

Die Flag-Werte, die Sie in der Befehlszeile angeben, haben Vorrang vor denen in der Konfigurationsdatei.

Hinweis: Wenn Sie in der Konfiguration eine Datei angeben und diese nicht gefunden wird, tritt ein Fehler auf.
-credential <file> Optional. Geben Sie eine JSON-Datei mit einem privaten Schlüssel für das domainweite Dienstkonto an. Wenn angegeben, wird während der Entschlüsselung clientseitig verschlüsselter Nachrichten in Gmail die Gmail API nach den S/MIME-Zertifikaten und den KACLS-Metadaten (Key Access Control Service) der einzelnen Nutzer abgefragt.

Flags zum Erstellen einer Konfigurationsdatei

Mit diesen Flags können Sie häufig verwendete Befehlszeilen-Flags für das Entschlüsselungsprogramm in einer Konfigurationsdatei speichern. Eine Konfigurationsdatei ist im JSON-Format in Textform formatiert.
Flag Beschreibung
-action createconfig Pflichtangabe. Gibt an, dass statt des standardmäßigen Ausführungsmodus der Modus zum Erstellen der Konfigurationsdatei verwendet wird.
-config file Pflichtangabe. Der Name der Ausgabedatei, in der die Konfiguration gespeichert wird. Wenn die Datei bereits vorhanden ist, wird sie ohne Warnung überschrieben.
-email <email_adresse>
-discovery_uri <uri>
-client_id <oauth_client_id>
-client_secret <oauth_clientschlüssel>
-pkce
-nopkce		 Optional. Alle angegebenen Flag-Werte werden zur Wiederverwendung in der Konfigurationsdatei gespeichert.

Flags zum Aktualisieren einer Konfigurationsdatei

Mit diesen Flags können Sie die Flag-Werte in einer Konfigurationsdatei aktualisieren.

Flag Beschreibung
-action updateconfig Pflichtangabe. Gibt an, dass statt des standardmäßigen Ausführungsmodus der Modus zum Aktualisieren der Konfigurationsdatei verwendet wird.
-config file Pflichtangabe. Die Konfigurationsdatei, die Sie aktualisieren möchten. Wenn die Datei nicht vorhanden ist, tritt ein Fehler auf.
-email <email_adresse>
-discovery_uri <uri>
-client_id <oauth_client_id>
-client_secret <oauth_clientschlüssel>
-pkce
-nopkce

Optional. Die Werte der Flags, die Sie in der Befehlszeile angeben, werden überschrieben. Alle anderen Flag-Werte in der Konfigurationsdatei bleiben unverändert. Wenn Sie ein gespeichertes Flag entfernen möchten, geben Sie einen leeren Wert an.

Hinweis: Wird das JSON-Format durch eine Änderung beschädigt, tritt ein Fehler auf, wenn Sie die Konfigurationsdatei im Entschlüsselungsprogramm verwenden.

Informationsflags

Mit diesen Flags können Sie lesbare Informationen zu clientseitig verschlüsselten Dateien ausgeben.
Flag Beschreibung
-action info (Erforderlich) Überschreibt den Standardausführungsmodus, um den Informationsmodus zu verwenden.
-input directory_or_file

(Erforderlich) Gibt das Eingabeverzeichnis oder die Exportdatei an 

Wenn Sie ein Verzeichnis angeben, scannt das Dienstprogramm den gesamten Verzeichnisbaum rekursiv und sucht nach clientseitig verschlüsselten Exportdateien. Wenn Sie eine Datei angeben, werden nur Informationen zu dieser Datei ausgegeben. 

Sie können dieses Flag wiederholen, um zusätzliche Eingabeverzeichnisse oder ‑dateien anzugeben. Beispiel: 

$ decrypter -action=info -input=file1.gcse                -input=file2.gcse -input=file3.gcse

War das hilfreich?

Wie können wir die Seite verbessern?

Benötigen Sie weitere Hilfe?

Mögliche weitere Schritte:

Im Hilfeforum posten Antworten von Forenmitgliedern erhalten
Kontakt Weitere Informationen angeben und Hilfe erhalten
true
Starten Sie noch heute mit Ihrer kostenlosen Testversion für 14 Tage.

Berufliche E-Mail-Konten, Online-Speicherplatz, Kalender mit Freigabefunktion, Videobesprechungen und vieles mehr. Starten Sie noch heute mit Ihrer kostenlosen Testversion von G Suite.

Suche
Suche löschen
Suche schließen
Google-Apps
Hauptmenü
12479550446594935961
true
Suchen in der Hilfe
false
true
true
true
true
true
73010
false
false
false
false