Decriptare i file e le email con crittografia lato client esportati (beta)

Se la tua organizzazione utilizza la crittografia lato client di Google Workspace puoi sfruttare l'utilità di decrittografia (beta) per decriptare i file e le email con crittografia lato client esportati mediante lo strumento Esportazione dei dati o Google Vault. Puoi eseguire l'utilità di decrittografia dalla riga di comando.

Quando esegui l'utilità di decriptazione, puoi utilizzare i flag della riga di comando per specificare le informazioni di autenticazione dell'IdP, la posizione dei file criptati, la posizione dei file decriptati di output e altre opzioni. Puoi anche creare un file di configurazione (config) per salvare i flag dell'utilità di decriptazione che utilizzi più spesso.

Nota: quando decripti un file di Documenti, Fogli o Presentazioni Google, il nome del file termina con .gdoc. La decriptazione non può ancora convertire questi file in DOCX, XLSX o PPTX.

Requisiti di sistema

Microsoft Windows versione 7, Vista, 8, 10 o 11 a 64 bit

Nota: l'utilità di decrittografia per Mac e Linux verrà resa disponibile in una versione futura.

Scaricare l'utilità di decriptazione

Scarica l'utilità di decriptazione lato client sul computer.

Creare innanzitutto un file di configurazione

Poiché la configurazione della crittografia lato client non cambia spesso, in primo luogo devi creare un file di configurazione per poter inserire più rapidamente i flag che utilizzi. Per maggiori dettagli sui flag dei file di configurazione, vai a Flag per la creazione della configurazione e Flag per l'aggiornamento della configurazione più avanti.

Esempio: crea un file di configurazione per l'IdP Google:

> decrypter.exe -action createconfig -config C:\gaia-oauth.conf -email io@example.com -client_id id-client-mio.apps.googleusercontent.com -issuer https://accounts.google.com

Successivamente, puoi aggiornare la configurazione aggiungendo il client secret OAuth al flusso di concessione del codice di autorizzazione:

> decrypter.exe -action updateconfig -config C:\gaia-oauth.conf -client_secret mio-client-secret

Decriptare i file e le email con crittografia lato client

Dopo aver creato un file di configurazione, puoi utilizzarlo per decriptare i file e le email esportati. Per farlo, esegui l'utilità di decrittografia su una directory di file con crittografia lato client decompressa, quindi salva i file decriptati in un'altra directory.

Esempio di Drive

> decrypter.exe -config C:\my_organization.conf -input C:\exported_files -output C:\decrypted_files

Esempio di Gmail

Per decriptare le esportazioni con crittografia lato client di Gmail, devi includere una credenziale a livello di dominio:

> decrypter.exe -config C:\my_organization.conf -input C:\exported_files -output C:\decrypted_files -credential serviceaccount.json

Flag dell'utilità di decrittografia

Un flag dell'utilità di decrittografia può includere 1 o 2 trattini iniziali: ad esempio, il flag per la visualizzazione delle informazioni di assistenza può essere uno dei seguenti:

-help

--help

Nota: puoi utilizzare solo i trattini per i flag, non le barre (/).

Per specificare un argomento in formato stringa è possibile includere nel flag un segno di uguale o uno spazio. Ad esempio, i seguenti flag sono equivalenti:

-action=decrypt

-action decrypt

Flag di assistenza

Flag	Descrizione
`-version`	Visualizza la stringa della versione. Se contatti l'assistenza, assicurati di fornire la versione dell'utilità di decriptazione che utilizzi.
`-help`	Visualizza una schermata in cui sono elencati tutti i flag come riferimento.
`-logfile`	Specifica il file di output in cui verranno scritti i log di esecuzione. Il testo [TIMESTAMP] nel nome del file verrà sostituito con l'ora di inizio dell'esecuzione.

Flag per la decriptazione

Flag	Descrizione
`-action decrypt`	Facoltativo. Specifica che la modalità dell'utilità è la decriptazione dei file con crittografia lato client. Si tratta della modalità predefinita.
`-email <indirizzo_email>`	Facoltativo. L'indirizzo email che potrebbe essere precompilato nella schermata di autenticazione dell'IdP che si apre nel browser.
`-issuer <uri>`	Obbligatorio, a meno che non sia incluso nel file di configurazione. L'URI di rilevamento dell'emittente OAuth per l'IdP, ad esempio https://accounts.google.com. Per informazioni dettagliate, consulta Stabilire la connessione a un provider di identità per la crittografia lato client.
`-client_id <id_client_oauth>`	Obbligatorio, a meno che non sia incluso nel file di configurazione. Un ID client OAuth indicato dall'IdP specificato nel flag `-issuer`. Per informazioni dettagliate, vedi Stabilire la connessione a un provider di identità per la crittografia lato client.
`-client_secret <client_secret_oauth>`	Facoltativo, anche se alcuni IdP potrebbero richiederlo. La parte del client secret OAuth corrispondente all'ID client specificato nel flag `-client_id`.
`-pkce -nopkce`	Attiva o disattiva l'estensione PKCE (Proof Key for Code Exchange) nel flusso di concessione del codice di autorizzazione. Se non viene specificato nessuno dei due flag, per impostazione predefinita l'utilità di decriptazione attiverà l'estensione.
`-input <directory_o_file>`	Obbligatorio. La directory di input o il file esportato. Se specifichi una directory, l'utilità di decriptazione attraversa in modo ricorsivo l'intero albero della directory per trovare tutti i file con crittografia lato client esportati. Utilizza questa opzione per decriptare collettivamente tutti i file esportati presenti in un archivio di esportazione decompresso. Se specifichi un file con crittografia lato client esportato, la decriptazione interesserà solo quel file. Se non si tratta di un file con crittografia lato client, l'utilità di decriptazione ti chiederà di eseguire l'autenticazione presso l'IdP, ma non decripterà alcun file.
`-output <directory>`	Obbligatorio. La directory in cui verranno salvati i file decriptati.
`-overwrite -nooverwrite`	Attiva o disattiva la sovrascrittura dei file di output decriptati con testo in chiaro già esistenti. Se la sovrascrittura è disattivata (impostazione predefinita) e il file con testo in chiaro esiste già, l'utilità di decriptazione ignorerà la decriptazione dei file con testo crittografato.
`-workers <intero>`	Facoltativo. Il numero di worker di decriptazione da eseguire in parallelo. Se non utilizzi questo flag, per impostazione predefinita l'utilità di decriptazione utilizzerà il numero di core e di hyperthread del processore segnalati dal sistema operativo. Se, durante la decriptazione dei file, sul computer si verificano problemi di prestazioni o se riscontri un errore di esecuzione di processi in parallelo, puoi impostare il flag su 1 per disattivare l'elaborazione in parallelo.
`-config <file>`	Facoltativo. Un file di configurazione contenente i valori dei flag archiviati. Puoi utilizzare un file di configurazione per evitare di incollare gli stessi flag della riga di comando ogni volta che esegui la decriptazione di file. Per saperne di più, vedi Flag per la creazione della configurazione e Flag per l'aggiornamento della configurazione di seguito. I valori dei flag che imposti nella riga di comando hanno la precedenza sui valori specificati nel file di configurazione. Nota: se nel file di configurazione specifichi un file che non può essere trovato, si verifica un errore.
`-credential <file>`	Facoltativo. Specifica un file JSON contenente una chiave privata dell'account di servizio a livello di dominio. Dopodiché, la decrittografia dei messaggi con crittografia lato client di Gmail esegue una query nell'API Gmail per rilevare i certificati S/MIME di ciascun utente e i metadati del servizio dell'elenco di controllo dell'accesso per le chiavi (KACLS).

Flag per la creazione della configurazione

Utilizza questi flag per salvare i flag della riga di comando usati di frequente per la decriptazione in un file di configurazione che può essere riutilizzato. Un file di configurazione è in formato JSON, che contiene testo leggibile.

Flag	Descrizione
`-action createconfig`	Obbligatorio. Esegue l'override della modalità di esecuzione predefinita per eseguire la modalità di creazione del file di configurazione.
`-config file`	Obbligatorio. Specifica il nome del file di output in cui vuoi salvare la configurazione. Se il file esiste già, verrà sovrascritto senza avviso.
`-email <indirizzo_email> -discovery_uri <uri> -client_id <id_client_oauth> -client_secret <client_secret_oauth> -pkce -nopkce`	Facoltativo. I valori dei flag specificati verranno salvati nel file di configurazione per essere riutilizzati.

Flag per l'aggiornamento della configurazione

Utilizza questi flag per aggiornare i valori dei flag specificati in un file di configurazione.

Flag Descrizione

-action updateconfig Obbligatorio. Esegue l'override della modalità di esecuzione predefinita per eseguire la modalità di aggiornamento del file di configurazione.

-config file Obbligatorio. Il file di configurazione che vuoi aggiornare. Se il file non esiste, si verifica un errore.

Flag	Descrizione
`-action updateconfig`	Obbligatorio. Esegue l'override della modalità di esecuzione predefinita per eseguire la modalità di aggiornamento del file di configurazione.
`-config file`	Obbligatorio. Il file di configurazione che vuoi aggiornare. Se il file non esiste, si verifica un errore.
`-email <indirizzo_email> -discovery_uri <uri> -client_id <id_client_oauth> -client_secret <client_secret_oauth> -pkce -nopkce`	Tutti facoltativi. I valori dei flag specificati nella riga di comando vengono sovrascritti; i valori di tutti gli altri flag specificati nella configurazione vengono preservati. Per disattivare un flag già archiviato, non specificare alcun valore. Nota: se una modifica danneggia il formato JSON, è probabile che si verifichi un errore quando utilizzi il file di configurazione con l'utilità di decriptazione.

-email <indirizzo_email>

            -discovery_uri <uri>

            -client_id <id_client_oauth>

            -client_secret <client_secret_oauth>

            -pkce

            -nopkce

Tutti facoltativi. I valori dei flag specificati nella riga di comando vengono sovrascritti; i valori di tutti gli altri flag specificati nella configurazione vengono preservati. Per disattivare un flag già archiviato, non specificare alcun valore.

Nota: se una modifica danneggia il formato JSON, è probabile che si verifichi un errore quando utilizzi il file di configurazione con l'utilità di decriptazione.

Flag informativi

Utilizza questi flag per visualizzare informazioni leggibili sui file con crittografia lato client.

Flag Descrizione

-action info (Obbligatorio) Sostituisce la modalità di esecuzione predefinita e utilizza la modalità informativa.

-input directory_or_file

(Obbligatorio) Specifica la directory di input o il file esportato

Se specifichi una directory, l'utilità esegue una scansione in modo ricorsivo dell'intero albero della directory per cercare tutti i file esportati con crittografia lato client. Se specifichi un file, l'utilità fornisce informazioni solo per quel file.

Puoi ripetere questo flag per specificare directory o file di input aggiuntivi. Esempio:

$ decrypter -action=info -input=file1.gcse -input=file2.gcse -input=file3.gcse

È stato utile?

Come possiamo migliorare l'articolo?