Go语言AES-GCM加密实战详解

本文深入剖析了Go语言中AES-GCM加密的实战要点，强调其作为首选方案的核心优势——在单一原语中同时保障机密性与完整性，彻底规避AES-CBC+HMAC组合易出错、难验证的陷阱；通过标准库cipher.AEAD接口的强制约束（如必须传入nonce和附加数据），天然防御重复nonce等致命风险，并详解了nonce唯一性要求、密钥安全派生（推荐scrypt/PBKDF2而非MD5/SHA）、大文件流式处理的权衡策略（小文件可用ChaCha20-Poly1305，超大文件宜借助工具链预处理）、加密格式规范（12字节nonce+密文+16字节tag）及解密常见坑点（如nonce长度错位、binary.Write误加前缀导致静默失败），是一份兼顾原理深度与工程落地的Go加密实践指南。

为什么 AES-GCM 是首选，而不是 AES-CBC 或 crypto/aes 原始块加密

因为 AES-GCM 同时提供机密性与完整性校验，而 AES-CBC 本身不防篡改，必须额外加 HMAC；手写 CBC+HMAC 组合极易出错（比如先解密再验证），AES-GCM 把这事封装进一个 cipher.AEAD 接口里，一步到位。

Go 标准库的 crypto/cipher 包中，gcm.NewGCM 返回的就是符合 cipher.AEAD 接口的实例，它强制你传入 nonce 和附加数据（哪怕为空），天然规避“重复 nonce 导致密钥泄露”这类低级但致命的问题。

• nonce 必须唯一，但不必保密；常见做法是用 12 字节随机值（crypto/rand.Read），不要复用
• 密钥长度必须是 16（AES-128）、24（AES-192）或 32（AES-256）字节；用 sha256.Sum256 派生密钥时注意截取长度
• 加密后输出 = nonce + ciphertext + auth tag（16 字节），解密时要按顺序拆分

os.OpenFile 和 io.Copy 怎么配合 AES-GCM 加密大文件而不爆内存

不能把整个文件读进 []byte 再加密——几 GB 的文件直接 OOM。得用流式处理：开两个 io.Reader / io.Writer 管道，一边读原始文件，一边写加密后的内容。

关键点在于：AES-GCM 的 Seal 方法不支持流式加密，但你可以分块加密每一块（比如 64KB），每块用独立 nonce（需记录偏移或递增），或者更简单：只在开头生成一个 nonce，把整个文件当“单个明文”塞给 Seal ——前提是内存能扛住。对真正的大文件，推荐用 gobuffalo/packr/v2 或 google/wire 这类工具链预处理，而非硬刚流式 AEAD。

• 小文件（os.ReadFile → aead.Seal → os.WriteFile
• 中等文件（10MB–500MB）：用 bufio.NewReader 分块读，每块加密后 Write 到目标文件，nonce 放文件头
• 大文件（>500MB）：考虑改用 chacha20poly1305（标准库也支持），它对长流更友好；或引入外部工具如 age 命令行工具调用

解密失败时常见错误：不是密钥错，而是 nonce 长度不对或被截断

Go 的 aead.Open 如果返回 cipher.ErrInvalidLength 或静默失败（返回空数据），八成是 nonce 长度没对上。GCM 默认期望 12 字节 nonce，如果你存了 16 字节或只传了前 8 字节，就会失败。

另一个坑是：加密时用了 make([]byte, 12) 生成 nonce，但写文件时误用 binary.Write 写成了带长度前缀的格式，导致解密读出来的 nonce 多了 4 字节。

• 加密后文件结构建议固定为：[12-byte nonce][ciphertext][16-byte tag]
• 解密时用 io.ReadFull 读前 12 字节到 nonce 切片，别用 Read + len 判断
• 测试时故意改一个字节的 nonce，确认是否报 cipher.ErrAuth 而非 panic ——这是验证 AEAD 是否生效的关键信号

如何安全地从用户输入派生 AES 密钥：别直接用 md5(password)

md5、sha1、甚至裸 sha256 都不适合直接当密钥——它们太快，容易被暴力破解。必须用密钥派生函数（KDF），Go 标准库提供 golang.org/x/crypto/scrypt 和 pbkdf2。

scrypt 更抗 GPU 暴力，但需要更多内存；pbkdf2 更通用，适合兼容旧系统。无论选哪个，参数不能硬编码默认值：迭代次数至少 1（262144），salt 必须随机且存进加密文件头（比如紧跟在 nonce 后面）。

• 示例 salt 生成：salt := make([]byte, 16); rand.Read(salt)
• 派生密钥后务必检查长度：if len(key) != 32 { panic("bad key length") }
• 永远不要把 password 明文留在内存里；用 golang.org/x/crypto/ssh/terminal 读密码，读完立刻 bytes.Fill 清零

以上就是《Go语言AES-GCM加密实战详解》的详细内容，更多关于的资料请关注golang学习网公众号！