必须明确加密算法、模式、IV及密钥派生方式,Go标准库不自动识别格式;Base64需先解码,IV常前置16字节,密钥须用scrypt/PBKDF2派生,AES-CBC需手动处理PKCS#7填充。
Go 本身不提供“自动识别加密格式”的能力,crypto/aes、crypto/cipher 等包只负责底层加解密运算。你必须明确知道:原始文件是用什么算法(AES-256-CBC?AES-GCM?RSA+AES 混合?)、什么模式(PKCS#7 填充?无填充?)、什么 IV(是否固定?是否随文件存储?)加密的。否则直接调 aes.NewCipher 会 panic 或解出乱码。
cipher.Decrypt → 需先用 base64.StdEncoding.DecodeString 解码iv := ciphertext[:16]; data := ciphertext[16:]
[]byte;若加密时用了 PKCS#5 或 scrypt 衍生密钥,解密时也必须用相同参数调 scrypt.Key 或 pbkdf2.Key
AES-CBC 是最常遇到的场景之一,但 Go 标准库不自带 PKCS#7 填充逻辑,需手动处理。注意:CBC 模式下,密文长度必须是块大小(16 字节)整数倍,否则 cipher.BlockMode 解密会 panic。
func decryptAESCBCToFile(ciphertextPath, plaintextPath, key, iv []byte) error {
data, err := os.ReadFile(ciphertextPath)
if err != nil {
return err
}
block, _ := aes.NewCipher(key)
mode := cipher.NewCBCDecrypter(block, iv)
mode.CryptBlocks(data, data) // 原地解密
// 去除 PKCS#7 填充
padding := int(data[len(data)-1])
if padding < 1 || padding > aes.BlockSize || len(data) < padding {
return fmt.Errorf("invalid pkcs7 padding")
}
for i := 0; i < padding; i++ {
if data[len(data)-1-i] != byte(padding) {
return fmt.Errorf("invalid pkcs7 padding bytes")
}
}
data = data[:len(data)-padding]
return os.WriteFile(plaintextPath, data, 0644)
}
AES-GCM 解密失败通常不是因为密钥错,而是因为认证失败——这意味着密文被篡改、或 nonce/IV 传错了。GCM 的 nonce 不需要保密但必须唯一,且长度通常为 12 字节(Go 默认)。如果加密端用了其他长度(如 OpenSSL 的 16 字节),必须显式指定 cipher.NewGCMWithNonceSize。
Open;要提前切分:ciphertextWithoutTag := data[:len(data)-16]; tag := data[len(data)-16:]
aesgcm.Open
第二个参数是 nonce,第三个是密文(不含 tag),第四个是附加数据(AAD,一般为空)nil 但结果为空 slice,大概率是 tag 验证失败,不是解密失败生产环境绝不能把密钥写死在代码里。更安全的做法是:从环境变量读密钥(os.Getenv("DECRYPT_KEY")),用 syscall.Mmap 锁内存防止被 dump;IV 应随文件存储(比如密文前 12/16 字节),或由服务端动态下发。另外,crypto/rand.Read 生成的 IV 必须和密文一起持久化,否则无法还原。
一个容易被忽略的点:os.ReadFile 读大文件会吃光内存。真正处理 GB 级文件时,要用 os.Open + io.Copy + 自定义 io.Reader 流式解密,而不是一次性加载全部密文。