Se la tua organizzazione utilizza la crittografia lato client di Google Workspace puoi sfruttare l'utilità di decrittografia (beta) per decriptare i file e le email con crittografia lato client esportati mediante lo strumento Esportazione dei dati o Google Vault. Puoi eseguire l'utilità di decrittografia dalla riga di comando.
Quando esegui l'utilità di decriptazione, puoi utilizzare i flag della riga di comando per specificare le informazioni di autenticazione dell'IdP, la posizione dei file criptati, la posizione dei file decriptati di output e altre opzioni. Puoi anche creare un file di configurazione (config) per salvare i flag dell'utilità di decriptazione che utilizzi più spesso.
Nota: quando decripti un file di Documenti, Fogli o Presentazioni Google, il nome del file termina con .gdoc
. La decriptazione non può ancora convertire questi file in DOCX, XLSX o PPTX.
Requisiti di sistema
Microsoft Windows versione 7, Vista, 8, 10 o 11 a 64 bit
Nota: l'utilità di decrittografia per Mac e Linux verrà resa disponibile in una versione futura.
Scaricare l'utilità di decriptazione
Scarica l'utilità di decriptazione lato client sul computer.
Creare innanzitutto un file di configurazione
Poiché la configurazione della crittografia lato client non cambia spesso, in primo luogo devi creare un file di configurazione per poter inserire più rapidamente i flag che utilizzi. Per maggiori dettagli sui flag dei file di configurazione, vai a Flag per la creazione della configurazione e Flag per l'aggiornamento della configurazione più avanti.
Esempio: crea un file di configurazione per l'IdP Google:
> decrypter.exe -action createconfig -config C:\gaia-oauth.conf -email io@example.com -client_id id-client-mio.apps.googleusercontent.com -issuer https://accounts.google.com
Successivamente, puoi aggiornare la configurazione aggiungendo il client secret OAuth al flusso di concessione del codice di autorizzazione:
> decrypter.exe -action updateconfig -config C:\gaia-oauth.conf -client_secret mio-client-secret
Decriptare i file e le email con crittografia lato client
Dopo aver creato un file di configurazione, puoi utilizzarlo per decriptare i file e le email esportati. Per farlo, esegui l'utilità di decrittografia su una directory di file con crittografia lato client decompressa, quindi salva i file decriptati in un'altra directory.
Esempio di Drive
> decrypter.exe -config C:\my_organization.conf -input C:\exported_files -output C:\decrypted_files
Esempio di Gmail
Per decriptare le esportazioni con crittografia lato client di Gmail, devi includere una credenziale a livello di dominio:
> decrypter.exe -config C:\my_organization.conf -input C:\exported_files -output C:\decrypted_files -credential serviceaccount.json
Flag dell'utilità di decrittografia
Un flag dell'utilità di decrittografia può includere 1 o 2 trattini iniziali: ad esempio, il flag per la visualizzazione delle informazioni di assistenza può essere uno dei seguenti:
-help
--help
Nota: puoi utilizzare solo i trattini per i flag, non le barre (/).
Per specificare un argomento in formato stringa è possibile includere nel flag un segno di uguale o uno spazio. Ad esempio, i seguenti flag sono equivalenti:
-action=decrypt
-action decrypt
Flag di assistenza
Flag | Descrizione |
---|---|
-version |
Visualizza la stringa della versione. Se contatti l'assistenza, assicurati di fornire la versione dell'utilità di decriptazione che utilizzi. |
-help |
Visualizza una schermata in cui sono elencati tutti i flag come riferimento. |
-logfile |
Specifica il file di output in cui verranno scritti i log di esecuzione. Il testo [TIMESTAMP] nel nome del file verrà sostituito con l'ora di inizio dell'esecuzione. |
Flag per la decriptazione
Flag | Descrizione |
---|---|
-action decrypt |
Facoltativo. Specifica che la modalità dell'utilità è la decriptazione dei file con crittografia lato client. Si tratta della modalità predefinita. |
-email <indirizzo_email> |
Facoltativo. L'indirizzo email che potrebbe essere precompilato nella schermata di autenticazione dell'IdP che si apre nel browser. |
-issuer <uri> |
Obbligatorio, a meno che non sia incluso nel file di configurazione. L'URI di rilevamento dell'emittente OAuth per l'IdP, ad esempio https://accounts.google.com. Per informazioni dettagliate, consulta Stabilire la connessione a un provider di identità per la crittografia lato client. |
-client_id <id_client_oauth> |
Obbligatorio, a meno che non sia incluso nel file di configurazione. Un ID client OAuth indicato dall'IdP specificato nel flag -issuer . Per informazioni dettagliate, vedi Stabilire la connessione a un provider di identità per la crittografia lato client. |
-client_secret <client_secret_oauth> |
Facoltativo, anche se alcuni IdP potrebbero richiederlo. La parte del client secret OAuth corrispondente all'ID client specificato nel flag -client_id . |
-pkce |
Attiva o disattiva l'estensione PKCE (Proof Key for Code Exchange) nel flusso di concessione del codice di autorizzazione. Se non viene specificato nessuno dei due flag, per impostazione predefinita l'utilità di decriptazione attiverà l'estensione. |
-input <directory_o_file> |
Obbligatorio. La directory di input o il file esportato. Se specifichi una directory, l'utilità di decriptazione attraversa in modo ricorsivo l'intero albero della directory per trovare tutti i file con crittografia lato client esportati. Utilizza questa opzione per decriptare collettivamente tutti i file esportati presenti in un archivio di esportazione decompresso. Se specifichi un file con crittografia lato client esportato, la decriptazione interesserà solo quel file. Se non si tratta di un file con crittografia lato client, l'utilità di decriptazione ti chiederà di eseguire l'autenticazione presso l'IdP, ma non decripterà alcun file. |
-output <directory> |
Obbligatorio. La directory in cui verranno salvati i file decriptati. |
-overwrite |
Attiva o disattiva la sovrascrittura dei file di output decriptati con testo in chiaro già esistenti. Se la sovrascrittura è disattivata (impostazione predefinita) e il file con testo in chiaro esiste già, l'utilità di decriptazione ignorerà la decriptazione dei file con testo crittografato. |
-workers <intero> |
Facoltativo. Il numero di worker di decriptazione da eseguire in parallelo. Se non utilizzi questo flag, per impostazione predefinita l'utilità di decriptazione utilizzerà il numero di core e di hyperthread del processore segnalati dal sistema operativo. Se, durante la decriptazione dei file, sul computer si verificano problemi di prestazioni o se riscontri un errore di esecuzione di processi in parallelo, puoi impostare il flag su 1 per disattivare l'elaborazione in parallelo. |
-config <file> |
Facoltativo. Un file di configurazione contenente i valori dei flag archiviati. Puoi utilizzare un file di configurazione per evitare di incollare gli stessi flag della riga di comando ogni volta che esegui la decriptazione di file. Per saperne di più, vedi Flag per la creazione della configurazione e Flag per l'aggiornamento della configurazione di seguito. I valori dei flag che imposti nella riga di comando hanno la precedenza sui valori specificati nel file di configurazione. Nota: se nel file di configurazione specifichi un file che non può essere trovato, si verifica un errore. |
-credential <file> |
Facoltativo. Specifica un file JSON contenente una chiave privata dell'account di servizio a livello di dominio. Dopodiché, la decrittografia dei messaggi con crittografia lato client di Gmail esegue una query nell'API Gmail per rilevare i certificati S/MIME di ciascun utente e i metadati del servizio dell'elenco di controllo dell'accesso per le chiavi (KACLS). |
Flag per la creazione della configurazione
Flag | Descrizione |
---|---|
-action createconfig |
Obbligatorio. Esegue l'override della modalità di esecuzione predefinita per eseguire la modalità di creazione del file di configurazione. |
-config file |
Obbligatorio. Specifica il nome del file di output in cui vuoi salvare la configurazione. Se il file esiste già, verrà sovrascritto senza avviso. |
-email <indirizzo_email> |
Facoltativo. I valori dei flag specificati verranno salvati nel file di configurazione per essere riutilizzati. |
Flag per l'aggiornamento della configurazione
Utilizza questi flag per aggiornare i valori dei flag specificati in un file di configurazione.
Flag | Descrizione |
---|---|
-action updateconfig |
Obbligatorio. Esegue l'override della modalità di esecuzione predefinita per eseguire la modalità di aggiornamento del file di configurazione. |
-config file |
Obbligatorio. Il file di configurazione che vuoi aggiornare. Se il file non esiste, si verifica un errore. |
-email <indirizzo_email> |
Tutti facoltativi. I valori dei flag specificati nella riga di comando vengono sovrascritti; i valori di tutti gli altri flag specificati nella configurazione vengono preservati. Per disattivare un flag già archiviato, non specificare alcun valore. Nota: se una modifica danneggia il formato JSON, è probabile che si verifichi un errore quando utilizzi il file di configurazione con l'utilità di decriptazione. |
Flag informativi
Flag | Descrizione |
-action info |
(Obbligatorio) Sostituisce la modalità di esecuzione predefinita e utilizza la modalità informativa. |
-input directory_or_file |
(Obbligatorio) Specifica la directory di input o il file esportato Se specifichi una directory, l'utilità esegue una scansione in modo ricorsivo dell'intero albero della directory per cercare tutti i file esportati con crittografia lato client. Se specifichi un file, l'utilità fornisce informazioni solo per quel file. Puoi ripetere questo flag per specificare directory o file di input aggiuntivi. Esempio:
|