Wenn in Ihrer Organisation die clientseitige Verschlüsselung (Client-side Encryption, CSE) Google Workspace verwendet wird, können Sie mit dem Tool für den Datenexport oder mit Google Vault clientseitig verschlüsselte Dateien und E-Mails entschlüsseln (Beta). Das Programm lässt sich über eine Befehlszeile ausführen.
Im Entschlüsselungsprogramm geben Sie die IdP-Authentifizierungsinformationen, den Speicherort der verschlüsselten Dateien, den gewünschten Speicherort für die entschlüsselten Dateien sowie andere Optionen mit Befehlszeilen-Flags an. Sie können auch eine Konfigurationsdatei (.config) erstellen, um häufig verwendete Flags zu speichern.
Hinweis : Wenn Sie eine Google Docs-, Google Tabellen- oder Google Präsentationen-Datei entschlüsseln, endet der Dateiname mit .gdoc
. Der Entschlüsselungsdienst kann diese Dateien noch nicht in DOCX, XLSX oder PPTX konvertieren.
Systemanforderungen
Microsoft Windows 7, Vista, 8, 10 oder 11 (64-Bit)
Hinweis: Das Entschlüsselungsprogramm wird in einer zukünftigen Version auch für Mac und Linux verfügbar sein.
Entschlüsselungsprogramm herunterladen
Laden Sie das Dienstprogramm zur clientseitigen Entschlüsselung auf den Computer herunter.
Vorab eine Konfigurationsdatei erstellen
Da sich die Konfiguration nicht häufig ändert, erstellen Sie am besten zuerst eine Konfigurationsdatei, damit Sie die verwendeten Flags schneller eingeben können. Weitere Informationen zu den Flags für die Konfigurationsdatei finden Sie weiter unten unter Flags zum Erstellen einer Konfigurationsdatei und Flags zum Aktualisieren einer Konfigurationsdatei.
Beispiel: Konfigurationsdatei mit IdP-Informationen von Google
> decrypter.exe -action createconfig -config C:\gaia-oauth.conf -email name@beispiel.de -client_id meine-client-id.apps.googleusercontent.com -issuer https://accounts.google.com
Anschließend können Sie die Konfigurationsdatei so aktualisieren, dass der OAuth-Clientschlüssel in den Autorisierungscode-Zuweisungsvorgang aufgenommen wird:
> decrypter.exe -action updateconfig -config C:\gaia-oauth.conf -client_secret mein-clientschlüssel
Clientseitig verschlüsselte Dateien und E-Mails entschlüsseln
Nachdem Sie eine Konfigurationsdatei erstellt haben, können Sie sie zum Entschlüsseln von exportierten Dateien und E-Mails verwenden. Führen Sie dazu ein Entschlüsselungsprogramm für entpackte CSE-Dateien aus und speichern Sie die entschlüsselten Dateien dann in einem anderen Verzeichnis.
Beispiel Drive
> decrypter.exe -config C:\my_organization.conf -input C:\exported_files -output C:\decrypted_files
Beispiel Gmail
Zum Entschlüsseln von clientseitig verschlüsselten Gmail-Exporten müssen Sie die domainweiten Anmeldedaten angeben:
> decrypter.exe -config C:\my_organization.conf -input C:\exported_files -output C:\decrypted_files -credential serviceaccount.json
Flags für das Entschlüsselungsprogramm
Ein Entschlüsselungs-Flag kann einen oder zwei führende Bindestriche enthalten, wie hier das Flag zur Anzeige von Hilfeinformationen:
-help
--help
Hinweis: Für Flags sind nur Bindestriche und keine Schrägstriche (/) zulässig.
Flags für String-Argumente können entweder ein Gleichheitszeichen oder ein Leerzeichen enthalten. Die folgenden Flags sind beispielsweise gleichwertig:
-action=decrypt
-action decrypt
Hilfe-Flags
Flag | Beschreibung |
---|---|
-version |
Gibt den Versionsstring aus. Wenn Sie sich an den Support wenden, geben Sie die Version des verwendeten Entschlüsselungsprogramms an. |
-help |
Gibt einen Bildschirm mit allen Flags als Referenz aus. |
-logfile |
Gibt die Ausgabedatei für die Ausführungsprotokolle an. Der Text [TIMESTAMP] im Dateinamen wird durch den Zeitstempel des Ausführungsbeginns ersetzt. |
Entschlüsselungs-Flags
Flag | Beschreibung |
---|---|
-action decrypt |
Optional. Gibt an, dass das Dienstprogramm zur Entschlüsselung von clientseitig verschlüsselten Dateien verwendet wird. Das ist der Standardmodus. |
-email <email_adresse> |
Optional. Die E-Mail-Adresse, die auf dem im Browser geöffneten Bildschirm zur IdP-Authentifizierung möglicherweise vorausgefüllt ist. |
-issuer <uri> |
Pflichtangabe, sofern nicht in der Konfigurationsdatei enthalten. Der Erkennungs-URI des OAuth-Ausstellers für den Identitätsanbieter, z. B. https://accounts.google.com. Weitere Informationen |
-client_id <oauth_client_id> |
Pflichtangabe, sofern nicht in der Konfigurationsdatei enthalten. Die OAuth-Client-ID des Identitätsanbieters, die im Flag -issuer angegeben ist. Weitere Informationen finden Sie im Hilfeartikel Für die clientseitige Verschlüsselung eine Verbindung zum Identitätsanbieter herstellen. |
-client_secret <oauth_clientschlüssel> |
Normalerweise optional, für einige IdPs aber möglicherweise eine Pflichtangabe. Der Teil des OAuth-Clientschlüssels, der der im Flag -client_id angegebenen Client-ID entspricht. |
-pkce |
Flag zum Aktivieren oder Deaktivieren des PKCE (Proof Key for Code Exchange) beim Vorgang zur Genehmigung des Autorisierungscodes. Wenn keines der beiden Flags angegeben ist, wird der PKCE standardmäßig aktiviert. |
-input <verzeichnis_oder_datei> |
Pflichtangabe. Das Eingabeverzeichnis oder die Exportdatei. Wenn Sie ein Verzeichnis angeben, durchsucht das Programm die gesamte Verzeichnisstruktur wiederkehrend nach exportierten clientseitig verschlüsselten Dateien. Verwenden Sie diese Option, um alle exportierten Dateien aus einem erweiterten Exportarchiv per Bulk-Aktion zu entschlüsseln. Wenn Sie eine exportierte clientseitig verschlüsselte Datei angeben, wird nur diese Datei entschlüsselt. Falls es sich nicht um eine solche Datei handelt, werden Sie aufgefordert, sich beim IdP zu authentifizieren. Es werden jedoch keine Dateien entschlüsselt. |
-output <verzeichnis> |
Pflichtangabe. Das Verzeichnis, in dem die entschlüsselten Dateien gespeichert werden. |
-overwrite |
Hiermit können Sie festlegen, ob vorhandene entschlüsselte Klartextdateien überschrieben werden sollen. Wenn diese Option deaktiviert ist (Standardeinstellung), überspringt das Entschlüsselungsprogramm die Geheimtextdateien, sofern die zugehörige Klartextdatei bereits vorhanden ist. |
-workers <ganzzahl> |
Optional. Die Anzahl der parallelen Entschlüsselungsvorgänge. Wenn Sie dieses Flag nicht angeben, wird standardmäßig die Anzahl der vom Betriebssystem gemeldeten Prozessorkerne und Hyperthreads verwendet. Wenn beim Entschlüsseln von Dateien Leistungsprobleme oder Fehler im Zusammenhang mit der Mehrfachverarbeitung ("multi-processing") auftreten, können Sie dieses Flag auf 1 setzen, um die parallele Verarbeitung zu deaktivieren. |
-config <datei> |
Optional. Eine Konfigurationsdatei mit gespeicherten Flag-Werten. Es empfiehlt sich, eine solche Datei zu verwenden, um nicht für jeden Entschlüsselungsvorgang dieselben Befehlszeilen-Flags kopieren zu müssen. Weitere Informationen finden Sie unten unter Flags zum Erstellen einer Konfigurationsdatei und Flags zum Aktualisieren einer Konfigurationsdatei. Die Flag-Werte, die Sie in der Befehlszeile angeben, haben Vorrang vor denen in der Konfigurationsdatei. Hinweis: Wenn Sie in der Konfiguration eine Datei angeben und diese nicht gefunden wird, tritt ein Fehler auf. |
-credential <file> |
Optional. Geben Sie eine JSON-Datei mit einem privaten Schlüssel für das domainweite Dienstkonto an. Wenn angegeben, wird während der Entschlüsselung clientseitig verschlüsselter Nachrichten in Gmail die Gmail API nach den S/MIME-Zertifikaten und den KACLS-Metadaten (Key Access Control Service) der einzelnen Nutzer abgefragt. |
Flags zum Erstellen einer Konfigurationsdatei
Flag | Beschreibung |
---|---|
-action createconfig |
Pflichtangabe. Gibt an, dass statt des standardmäßigen Ausführungsmodus der Modus zum Erstellen der Konfigurationsdatei verwendet wird. |
-config file |
Pflichtangabe. Der Name der Ausgabedatei, in der die Konfiguration gespeichert wird. Wenn die Datei bereits vorhanden ist, wird sie ohne Warnung überschrieben. |
-email <email_adresse> |
Optional. Alle angegebenen Flag-Werte werden zur Wiederverwendung in der Konfigurationsdatei gespeichert. |
Flags zum Aktualisieren einer Konfigurationsdatei
Mit diesen Flags können Sie die Flag-Werte in einer Konfigurationsdatei aktualisieren.
Flag | Beschreibung |
---|---|
-action updateconfig |
Pflichtangabe. Gibt an, dass statt des standardmäßigen Ausführungsmodus der Modus zum Aktualisieren der Konfigurationsdatei verwendet wird. |
-config file |
Pflichtangabe. Die Konfigurationsdatei, die Sie aktualisieren möchten. Wenn die Datei nicht vorhanden ist, tritt ein Fehler auf. |
-email <email_adresse> |
Optional. Die Werte der Flags, die Sie in der Befehlszeile angeben, werden überschrieben. Alle anderen Flag-Werte in der Konfigurationsdatei bleiben unverändert. Wenn Sie ein gespeichertes Flag entfernen möchten, geben Sie einen leeren Wert an. Hinweis: Wird das JSON-Format durch eine Änderung beschädigt, tritt ein Fehler auf, wenn Sie die Konfigurationsdatei im Entschlüsselungsprogramm verwenden. |
Informationsflags
Flag | Beschreibung |
-action info |
(Erforderlich) Überschreibt den standardmäßigen Ausführungsmodus auf die Ausführung im Informationsmodus |
-input directory_or_file |
(Erforderlich) Gibt das Eingabeverzeichnis oder die Exportdatei an Wenn Sie ein Verzeichnis angeben, scannt das Dienstprogramm den gesamten Verzeichnisbaum rekursiv und sucht nach clientseitig verschlüsselten Exportdateien. Wenn Sie eine Datei angeben, liefert das Dienstprogramm nur Informationen zu dieser Datei. Sie können dieses Flag wiederholen, um weitere Eingabeverzeichnisse oder -dateien anzugeben. Beispiel:
|