Descifrar archivos y correos cifrados del lado del cliente exportados

Si tu organización utiliza el cifrado del lado del cliente (CLC) de Google Workspace, puedes usar la utilidad de descifrado para descifrar los archivos y los correos cifrados por parte del cliente que exportes con la herramienta de exportación de datos o Google Vault. Puedes ejecutar la herramienta de descifrado desde una línea de comandos.

Cuando ejecutes la herramienta de descifrado, usarás marcas de línea de comandos para especificar la información de autenticación del proveedor de identidades (IdP), la ubicación de los archivos cifrados, la ubicación de salida de los archivos descifrados y otras opciones. También puedes crear un archivo de configuración (config) para guardar las marcas de la herramienta de descifrado que utilizas con frecuencia.

Antes de empezar

  • Al descifrar un archivo de Documentos, Hojas de cálculo o Presentaciones de Google, el nombre del archivo terminará en .gdoczip o similar. Una vez descifrados, puedes convertir estos archivos al formato de Microsoft Office con la herramienta de conversión de archivos. Para obtener más información, consulta Convertir archivos de Google exportados y descifrados en archivos de Microsoft Office
  • Si exportas mensajes de CLC de Gmail desde Google Vault, debes hacerlo en formato MBOX. La herramienta de descifrado no puede procesar exportaciones en formato PST.
  • La utilidad de descifrado puede descifrar cualquier mensaje cifrado con certificados S/MIME. También puede descifrar mensajes cifrados sin certificados S/MIME (es decir, mensajes que usen el cifrado de extremo a extremo, E2EE, de Gmail) si tus usuarios cifraron los mensajes o el mensaje original de las conversaciones.
  • La utilidad de descifrado no puede descifrar mensajes (incluidos todos los mensajes de una conversación) cifrados sin certificados S/MIME (cifrado de extremo a extremo de Gmail) en otra organización.

Requisitos del sistema

  • Microsoft Windows versión 10 u 11 de 64 bits.
  • macOS 12 (Monterey) o versiones posteriores. Se admiten procesadores Intel y Apple.
  • Linux x86_64.

Descargar la herramienta de descifrado

Abre el archivo o volumen y extrae el ejecutable de descifrado en un directorio o una carpeta local.

Configurar el acceso al servicio de claves

La herramienta de descifrado envía consultas a tu servicio de claves de cifrado, también llamado servicio de lista de control de acceso de claves (KACLS), que protege cada archivo o mensaje cifrado de tu exportación. Pide al administrador de tu proveedor de identidades y al administrador de tu servicio de claves de cifrado las credenciales que acepte KACLS. De lo contrario, KACLS rechazará los intentos de la herramienta de descifrado de descifrar el contenido exportado.

Qué necesitas

Para configurar el acceso a KACLS, asegúrate de que tienes lo siguiente:

  • Un ID de cliente de OAuth que puedan usar las aplicaciones instaladas. El ID de cliente de la herramienta de descifrado debe ser un ID de cliente que pueda usar el software de escritorio instalado y que sea específico de la utilidad de descifrado. Este ID de cliente debe ser diferente de los IDs de cliente definidos en la consola de administración de Google para las aplicaciones web, de escritorio y móviles de CLC.
  • El secreto de cliente de OAuth asociado al ID de cliente, si tu proveedor de identidades es Google. No necesitas el secreto de cliente si utilizas un proveedor de identidades de terceros.
  • La dirección de correo de la cuenta de usuario que se autentica en KACLS para descifrar la exportación. Puede ser tu propia cuenta o una cuenta especial que hayan configurado tus administradores. Debes iniciar sesión como este usuario al ejecutar la utilidad de descifrado, por lo que es probable que necesites la contraseña de la cuenta.

Endpoints de KACLS

La configuración de KACLS debe permitir que la cuenta de usuario y el ID de cliente llamen a los endpoints que se usan para el descifrado de exportaciones. Normalmente, el administrador de KACLS puede configurarlo por ti. El endpoint de KACLS al que llama la herramienta de descifrado depende del tipo de contenido cifrado:

  • CLC de Calendar: privilegedunwrap
  • CLC de Documentos, Hojas de cálculo y Presentaciones: privilegedunwrap
  • Cifrado del lado del cliente de Drive: privilegedunwrap
  • CLC de Gmail (con certificados S/MIME): privilegedprivatekeydecrypt
  • CLC de Gmail (sin certificados S/MIME): privilegedunwrap

Configurar el acceso a S/MIME de Gmail (opcional)

Si vas a descifrar mensajes de Gmail cifrados por parte del cliente que usan S/MIME desde Google Vault, la herramienta de descifrado debe llamar a la API pública de Gmail para descargar datos adicionales. Las exportaciones de Google Vault no incluyen los certificados S/MIME de cada usuario, por lo que la herramienta de descifrado los obtiene automáticamente de Gmail según sea necesario.

Para permitir que la herramienta de descifrado solicite los certificados S/MIME de cualquier usuario de tu organización, debes transferir una credencial de cuenta de servicio de todo el dominio a la herramienta de descifrado. Para obtener más información sobre cómo configurar esta cuenta de servicio y crear un archivo JSON que contenga la credencial privada de la cuenta de servicio, consulta el artículo Solo Gmail: configurar S/MIME para el cifrado del lado del cliente.

Nota: Esta configuración no es necesaria si vas a descifrar mensajes cifrados por parte del cliente desde la herramienta de exportación de datos o mensajes cifrados de Vault que no tengan certificados S/MIME.

La herramienta de descifrado no puede obtener los certificados S/MIME de un usuario y, por lo tanto, no puede descifrar los mensajes cifrados del lado del cliente que utilizan S/MIME si se cumple alguna de las siguientes condiciones:

Para asegurarte de que los mensajes cifrados del lado del cliente se descifren con certificados S/MIME, puedes hacer lo siguiente:

  • Descifrar inmediatamente los mensajes exportados de Vault mientras los certificados sigan estando disponibles.
  • Usa la herramienta de exportación de datos para exportar mensajes. Estas exportaciones incluyen los certificados de cada usuario.

Crear un archivo de configuración

La herramienta de descifrado usa OAuth y tu proveedor de identidades para obtener una credencial de autenticación que incluye en cada solicitud privilegedunwrap y privilegedprivatekeydecrypt de KACLS. La configuración de OAuth no cambia a menudo, por lo que puedes crear un archivo de configuración (config) que contenga tus ajustes de OAuth para no tener que configurarlos cada vez que ejecutes la herramienta de descifrado. Para obtener más información sobre las marcas de los archivos de configuración, consulta las secciones Marcas para crear la configuración y Marcas para actualizar la configuración disponibles más abajo.

Nota: Aunque este paso de configuración es opcional, se recomienda para simplificar el uso de la utilidad de descifrado. Si no creas un archivo de configuración, puedes pasar las marcas de OAuth en la línea de comandos cada vez que ejecutes la herramienta de descifrado. Si lo haces, los valores de las marcas que se hayan pasado en la línea de comandos anularán los valores leídos del archivo de configuración.

Ejemplo: Crear una configuración para el proveedor de identidades de Google

En Windows

> decrypter.exe -action createconfig -config C:\google-oauth.conf -email me@example.com -client_id my-client-id.apps.googleusercontent.com -issuer https://accounts.google.com

En macOS o Linux

$ ./decrypter -action createconfig -config ~/google-oauth.json -email me@example.com -client_id my-client-id.apps.googleusercontent.com -issuer https://accounts.google.com

Ahora puedes actualizar la configuración para añadir el secreto de cliente de OAuth en el flujo de concesión del código de autorización:

En Windows

> decrypter.exe -action updateconfig -config C:\google-oauth.conf -client_secret my-client-secret

En macOS o Linux

$ ./decrypter -action updateconfig -config ~/google-oauth.json -client_secret my-client-secret

Si tu IdP no es Google: no añadas el secreto de cliente, que solo necesita el IdP de Google. Muchos otros proveedores de identidades rechazarán las solicitudes de autenticación cuando se proporcione el secreto de cliente.

Descifrar archivos y correos CLC

La utilidad de descifrado funciona con archivos de exportación descomprimidos.

  1. Una vez que hayas creado una exportación en la herramienta de exportación de datos o en Google Vault, descarga los archivos ZIP en tu ordenador local.
  2. Descomprime los archivos en un directorio o carpeta local.
  3. Ejecuta la herramienta de descifrado en los archivos descomprimidos y guarda los archivos de texto sin formato descifrados en otro directorio.

Ejemplo: Usar un archivo de configuración preparado sin la credencial de la cuenta de servicio

En Windows

> decrypter.exe -config C:\google-oauth.json -input C:\exported-files -output C:\decrypted-files

En macOS o Linux

$ ./decrypter -config ~/google-oauth.json -input ~/exported-files -output ~/decrypted-files

Ejemplo: Usar un archivo de configuración preparado con una credencial de cuenta de servicio

En Windows

> decrypter.exe -config C:\google-oauth.json -credential C:\serviceaccount.json -input C:\exported-files -output C:\decrypted-files

En macOS o Linux

$ ./decrypter -config google-oauth.json -credential serviceaccount.json -input exported-files -output decrypted-files

Ejemplo: No usar ni un archivo de configuración ni una credencial de cuenta de servicio

En Windows

> decrypter.exe -email me@example.com -client_id my-client-id.apps.googleusercontent.com -issuer https://accounts.google.com -client_secret my-client-secret -input C:\exported-files -output C:\decrypted-files

En macOS o Linux

$ ./decrypter -email me@example.com -client_id my-client-id.apps.googleusercontent.com -issuer https://accounts.google.com -client_secret my-client-secret -input ~/exported-files -output ~/decrypted-files

Marcas de la herramienta de descifrado

Una marca de la herramienta de descifrado puede incluir uno o dos guiones delante. Por ejemplo, la marca para mostrar información de ayuda puede ser cualquiera de estas dos:

-help

--help

Nota: Con las marcas solo puedes utilizar guiones, no barras inclinadas (/).

Las marcas de los argumentos de cadena pueden incluir un signo de igual o un espacio para especificar el argumento. Por ejemplo, las siguientes marcas son equivalentes:

-action=decrypt 

-action decrypt

Marcas de ayuda

Marca Descripción
-version Muestra la cadena de versión. Si te pones en contacto con el equipo de asistencia, asegúrate de proporcionar la versión de la herramienta de descifrado que estás utilizando.
-help Muestra una pantalla con todas las marcas para que sirva de referencia.
-logfile Especifica el archivo de salida en el que se escribirán los registros de ejecución. El texto [TIMESTAMP] del nombre de archivo se reemplazará con la hora de inicio de la ejecución.

Marcas de descifrado

Marca Descripción
-action decrypt Opcional. Especifica que el modo de funcionamiento de la utilidad es descifrar los archivos CPC. Este es el modo predeterminado.
-email <dirección_correo> Opcional. La dirección de correo electrónico que puede introducirse automáticamente en la pantalla de autenticación del proveedor de identidades que se abre en el navegador.
-issuer <uri> Es obligatoria a menos que se haya incluido en el archivo de configuración. URI de descubrimiento del emisor de OAuth del proveedor de identidades, como https://accounts.google.com. Para obtener más información, consulta el artículo Conectarse al proveedor de identidades para la encriptación por parte del cliente.
-client_id <ID_cliente_oauth> Es obligatoria a menos que se haya incluido en el archivo de configuración. Un ID de cliente de OAuth del proveedor de identidades especificado en la marca -issuer.Para obtener más información, consulta el artículo Conectarse al proveedor de identidades para la encriptación por parte del cliente.
-client_secret <secreto_cliente_oauth> Opcional, aunque es posible que algunos proveedores de identidades la requieran. Parte del secreto de cliente de OAuth correspondiente al ID de cliente especificado en la marca -client_id.
-pkce
-nopkce		 Habilitar o inhabilitar la clave de prueba para el intercambio de código (PKCE) en el flujo de concesión del código de autorización. Si no se especifica ninguna marca, la herramienta de descifrado elige habilitarla de forma predeterminada. 
-input <directorio_o_archivo>

Obligatoria. El directorio de entrada o el archivo de exportación.

Si especificas un directorio, la herramienta de descifrado recorrerá todo el árbol del directorio de forma repetida para encontrar todos los archivos CPC exportados. Con esta opción, puedes descifrar en bloque todos los archivos individuales exportados de un archivo de exportación descomprimido.

Si especificas un archivo CPC exportado, la herramienta de descifrado solo descifrará ese archivo. Si no es un archivo CPC, la herramienta de descifrado te pedirá que te autentiques en el proveedor de identidades, pero no descifrará ningún archivo.
-output <directorio> Obligatoria. El directorio en el que se guardarán los archivos descifrados.
-overwrite
-nooverwrite		 Habilita o inhabilita la sobreescritura de los archivos de salida de texto no cifrado descifrados. Si se inhabilita (el valor predeterminado), la herramienta de descifrado se saltará el descifrado de los archivos de texto encriptado si el archivo de texto no cifrado ya existe.
-workers <número_entero>

Opcional. Número de trabajadores de descifrado en paralelo. Si no utilizas esta marca, el valor predeterminado de la herramienta de descifrado es el número de núcleos de procesador y de hiperhilos registrados por el sistema operativo. 

Si tu ordenador tiene problemas de rendimiento o se produce un error de procesamiento múltiple al descifrar archivos, puedes darle a esta marca el valor 1 para inhabilitar el procesamiento en paralelo.
-config <archivo>

Opcional. Un archivo de configuración que contiene valores de marca almacenados. Con un archivo de configuración, evitas tener que introducir manualmente las mismas marcas de línea de comandos cada vez que desencriptas archivos. Para obtener más información, consulta las secciones Marcas para crear la configuración y Marcas para actualizar la configuración disponibles más abajo.

Los valores de marca que especifiques en la línea de comandos tienen prioridad sobre los valores de la configuración.

Nota: Si especificas un archivo en la configuración y no se encuentra, se produce un error.
-credential <archivo> Opcional. Especifica un archivo JSON que contenga una clave privada de la cuenta de servicio que abarque todo el dominio. Si lo haces, el descifrado de los mensajes CPC de Gmail consultará la API de Gmail para obtener los certificados S/MIME y los metadatos del servicio de Lista de control de acceso correspondientes a cada usuario.

Marcas para crear la configuración

Con estas marcas, puedes guardar las marcas de línea de comandos de descifrado que utilizas con frecuencia en un archivo de configuración para reutilizarlas. Un archivo de configuración tiene formato JSON, que contiene texto legible por humanos.
Marca Descripción
-action createconfig Obligatoria. Anula el modo predeterminado de ejecución para ejecutar el modo de creación de archivos de configuración.
-config file Obligatoria. Especifica el nombre de archivo de salida en el que quieres guardar la configuración. Si el archivo ya existe, se sobrescribirá sin previo aviso.
-email <dirección_correo>
-discovery_uri <uri>
-client_id <ID_cliente_oauth>
-client_secret <secreto_cliente_oauth>
-pkce
-nopkce		 Opcional. Los valores de marcas que especifiques se guardarán en el archivo de configuración para que se puedan reutilizar.

Marcas para actualizar la configuración

Con estas marcas, puedes actualizar los valores de las marcas incluidas en un archivo de configuración.

Marca Descripción
-action updateconfig Obligatoria. Anula el modo predeterminado de ejecución para ejecutar el modo de actualización de archivos de configuración.
-config file Obligatoria. El archivo de configuración que quieres actualizar. Si el archivo no existe, se producirá un error.
-email <dirección_correo>
-discovery_uri <uri>
-client_id <ID_cliente_oauth>
-client_secret <secreto_cliente_oauth>
-pkce
-nopkce

Todas opcionales. Los valores de las marcas que especifiques en la línea de comandos se sobrescriben. Los demás valores de las marcas incluidas en la configuración se conservan. Para desactivar una marca almacenada, especifica un valor en blanco.

Nota: Si una modificación daña el formato JSON, es probable que se produzca un error al usar la configuración en la herramienta de descifrado.

Marcas informativas

Utiliza estas marcas para imprimir información legible sobre archivos CLC.
Marca Descripción
-action info (Obligatorio) Anula el modo de ejecución predeterminado para ejecutarse en modo informativo.
-input directory_or_file

(Obligatorio) Especifica el directorio de entrada o el archivo de exportación.

Si especificas un directorio, la herramienta analiza de forma recursiva todo el árbol del directorio en busca de todos los archivos CLC de exportación. Si especificas un archivo, la herramienta solo proporciona información sobre ese archivo. 

Puedes repetir esta marca para especificar directorios o archivos de entrada adicionales. Ejemplo: 

$ decrypter -action=info -input=file1.gcse                -input=file2.gcse -input=file3.gcse

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?

¿Necesitas más ayuda?

Prueba estos pasos:

Publicar en la comunidad de ayuda Obtener respuestas de los miembros de la comunidad
Ponte en contacto con nosotros Danos más información para que podamos ayudarte
true
Empieza hoy mismo con la prueba gratuita de 14 días

Correo electrónico profesional, almacenamiento online, calendarios compartidos, videoconferencias, etc. Empieza a probar gratis G Suite hoy

Búsqueda
Borrar búsqueda
Cerrar búsqueda
Aplicaciones de Google
Menú principal
7050757519661210235
true
Buscar en el Centro de ayuda
false
true
true
true
true
true
73010
false
false
false
false