Se sua empresa usa a criptografia do lado do cliente (CSE) de Google Workspace, você pode usar o utilitário de descriptografia (beta) para descriptografar os e-mails e arquivos criptografados do lado do cliente exportados com a ferramenta de exportação de dados ou o Google Vault. Execute o utilitário em uma linha de comando.
Ao fazer isso, use as sinalizações de linha de comando para especificar as informações de autenticação do IdP, o local dos arquivos criptografados, o local de saída dos arquivos descriptografados e outras opções. Também é possível criar um arquivo de configuração para salvar as sinalizações do utilitário que você usa com frequência.
Observação: quando um arquivo do Documentos, Planilhas ou Apresentações Google é descriptografado, o nome dele termina com .gdoc
. A ferramenta de descriptografia não converte para os formatos DOCX, XLSX ou PPTX.
Requisitos do sistema
Microsoft Windows 7, Vista, 8, 10 ou 11 de 64 bits
Observação: o utilitário vai estar disponível para Mac e Linux em uma versão futura.
Fazer o download do utilitário
Faça o download do utilitário de descriptografia do lado do cliente no seu computador.
Criar um arquivo de configuração
Como a configuração da CSE não vai mudar com frequência, primeiro crie um arquivo de configuração para inserir mais rapidamente as sinalizações usadas. Para saber mais sobre as flags do arquivo de configuração, acesse Flags de criação de configuração e Flags de atualização de configuração abaixo.
Exemplo: crie um arquivo de configuração para o IdP do Google.
> decrypter.exe -action createconfig -config C:\gaia-oauth.conf -email me@example.com -client_id my-client-id.apps.googleusercontent.com -issuer https://accounts.google.com
Em seguida, atualize o arquivo de configuração para adicionar a chave secreta do cliente OAuth ao fluxo de concessão de código de autorização.
> decrypter.exe -action updateconfig -config C:\gaia-oauth.conf -client_secret my-client-secret
Descriptografar arquivos e e-mails com CSE
Depois de criar um arquivo de configuração, use-o para descriptografar arquivos e e-mails exportados. Para isso, execute o descriptografador em um diretório de arquivos com CSE que foi descompactado e salve os arquivos em outro diretório.
Exemplo do Drive
> decrypter.exe -config C:\my_organization.conf -input C:\exported_files -output C:\decrypted_files
Exemplo do Gmail
Para descriptografar as exportações com CSE do Gmail, inclua uma credencial em todo o domínio:
> decrypter.exe -config C:\my_organization.conf -input C:\exported_files -output C:\decrypted_files -credential serviceaccount.json
Sinalizações de descriptografia
A sinalização do utilitário pode incluir um ou dois hifens iniciais. Por exemplo, a sinalização para exibição de informações de ajuda pode ter dois formatos:
-help
--help
Observação: só é possível usar hifens para sinalizações, e não barras (/).
As sinalizações para argumentos de string podem incluir um sinal de igual ou um espaço para especificar o argumento. Por exemplo, estas sinalizações são equivalentes:
-action=decrypt
-action decrypt
Sinalizações de ajuda
Sinalização | Descrição |
---|---|
-version |
Mostra a string da versão. Se você entrar em contato com o suporte, informe a versão do utilitário que está usando. |
-help |
Mostra uma tela com todas as sinalizações para referência. |
-logfile |
Especifica o arquivo de saída em que os registros de execução serão gravados. O texto [TIMESTAMP] no nome do arquivo é substituído pelo horário de início da execução. |
Sinalizações de descriptografia
Sinalização | Descrição |
---|---|
-action decrypt |
Opcional. Especifica o modo do utilitário que descriptografa arquivos com a CSE. Esse é o modo padrão. |
-email <endereço_de_email> |
Opcional. O endereço de e-mail que pode ser preenchido automaticamente na tela de autenticação do IdP aberta no navegador. |
-issuer <uri> |
Obrigatório, a menos que esteja no arquivo de configuração. O URI de descoberta do emissor de OAuth do IdP, como https://accounts.google.com. Veja mais detalhes em Conectar-se ao provedor de identidade para usar a criptografia do lado do cliente. |
-client_id <oauth_client_id> |
Obrigatório, a menos que esteja no arquivo de configuração. Um ID do cliente OAuth do IdP especificado na sinalização -issuer .Saiba mais em Conectar-se ao provedor de identidade para usar a criptografia do lado do cliente. |
-client_secret <chave_secreta_cliente_oauth> |
Opcional, embora alguns IdPs possam exigir essa sinalização. A parte da chave secreta do cliente OAuth correspondente ao ID do cliente especificado na sinalização -client_id . |
-pkce |
Ative ou desative a chave de prova para troca de código (PKCE) no fluxo de concessão de código de autorização. Quando nenhuma sinalização é especificada, o utilitário é ativado por padrão. |
-input <diretório_ou_arquivo> |
Obrigatório. O diretório de entrada ou o arquivo de exportação. Se você especificar um diretório, o utilitário vai verificar toda a árvore do diretório de maneira recorrente para encontrar os arquivos com CSE exportados. Use esta opção para descriptografar todos os arquivos exportados em massa de um arquivo expandido. Se você especificar um arquivo com CSE exportado, o utilitário vai descriptografar apenas esse arquivo. Se não for um arquivo com CSE, o descriptografador vai pedir para você autenticar no IdP, mas não vai descriptografar nenhum arquivo. |
-output <directory> |
Obrigatório. O diretório onde os arquivos descriptografados vão ser salvos. |
-overwrite |
Ativa ou desativa a substituição dos arquivos de saída de texto descriptografados. Quando a sinalização está desativada (por padrão), o decodificador pula a descriptografia de arquivos de texto criptografado se já houver um texto não criptografado. |
-workers <número inteiro> |
Opcional. O número de workers de descriptografia paralelos. Se você não usar essa sinalização, o utilitário vai usar como padrão o número de núcleos de processador e os hyperthreads informados pelo sistema operacional. Se o computador tiver problemas de desempenho ou ocorrer um erro de multiprocessamento durante a descriptografia dos arquivos, defina essa sinalização como "1" para desativar o processamento paralelo. |
-config <arquivo> |
Opcional. Um arquivo de configuração que contém valores de sinalização armazenados. Use um arquivo de configuração para não colar as mesmas sinalizações de linha de comando sempre que descriptografar arquivos. Para mais informações, acesse Flags de criação de configuração e Flags de atualização de configuração abaixo. Os valores das sinalizações definidos na linha de comando têm prioridade em relação aos do arquivo de configuração. Observação: se você especificar um arquivo na configuração e ele não for encontrado, uma mensagem de erro vai ser exibida. |
-credential <file> |
Opcional. Especifique um arquivo JSON com uma chave privada de conta de serviço. Quando especificada, a descriptografia das mensagens com CSE do Gmail consulta a API Gmail para acessar os certificados S/MIME e metadados do serviço da lista de controle de chaves (KACLS, na sigla em inglês) de cada usuário. |
Sinalizações de criação do arquivo de configuração
Sinalização | Descrição |
---|---|
-action createconfig |
Obrigatório. Modifica o modo de execução padrão para executar o modo de criação do arquivo de configuração. |
-config file |
Obrigatório. Especifique o nome do arquivo de saída em que você quer salvar a configuração. Se o arquivo já existir, ele vai ser substituído sem aviso. |
-email <endereço_de_e-mail> |
Opcional. Todos os valores de sinalização especificados são salvos no arquivo de configuração para reutilização. |
Sinalizações de atualização do arquivo de configuração
Use estas sinalizações para atualizar os valores de sinalização em um arquivo de configuração.
Sinalização | Descrição |
---|---|
-action updateconfig |
Obrigatório. Modifica o modo de execução padrão para executar o modo de atualização do arquivo de configuração. |
-config file |
Obrigatório. O arquivo de configuração que você quer atualizar. Se o arquivo não existir, uma mensagem de erro vai ser exibida. |
-email <endereço_de_e-mail> |
Tudo é opcional. Os valores dos sinalizadores especificados na linha de comando são substituídos, e todos os outros valores de sinalizações na configuração são preservados. Para desativar uma sinalização armazenada, especifique um valor em branco. Observação: se uma edição corromper o formato JSON, provavelmente vai ocorrer um erro se você usar o arquivo de configuração no utilitário de descriptografia. |
Sinalizações informativas
Bandeira | Descrição |
-action info |
(Obrigatório) Modifica o modo de execução padrão para ser executado no modo informativo |
-input diretório_ou_arquivo |
(Obrigatório) Especifica o diretório de entrada ou o arquivo de exportação Se você especificar um diretório, o utilitário verificará a árvore de diretórios de modo recursivo, procurando todos os arquivos de exportação do CSE. Se você especificar um arquivo, o utilitário fornecerá informações apenas para esse arquivo. Repita essa sinalização para especificar arquivos ou diretórios de entrada adicionais. Exemplo:
|