Linux Golang如何实现数据加密与解密

在Linux环境下使用Go语言实现数据加密与解密

想在Linux环境下用Go语言搞定数据加密和解密？这事儿其实没想象中那么复杂。Go标准库里的crypto包已经为我们准备好了不少趁手的工具。今天，咱们就以最常用的对称加密算法AES（高级加密标准）为例，手把手走一遍完整的加密解密流程。下面的示例代码可以直接拿来用，但有几个关键点需要特别注意。

AES加密与解密示例

package main

import (
    "crypto/aes"
    "crypto/cipher"
    "crypto/rand"
    "encoding/base64"
    "fmt"
    "io"
)

// 加密函数
func encrypt(plainText string, key []byte) (cipherText string, err error) {
    // 创建一个AES块
    block, err := aes.NewCipher(key)
    if err != nil {
        return "", err
    }

    // 生成随机IV
    iv := make([]byte, aes.BlockSize)
    if _, err := io.ReadFull(rand.Reader, iv); err != nil {
        return "", err
    }

    // 创建一个cipher.BlockMode实例
    mode := cipher.NewCBCEncrypter(block, iv)

    // 填充明文
    plainTextBytes := []byte(plainText)
    padding := aes.BlockSize - len(plainTextBytes)%aes.BlockSize
    padText := bytes.Repeat([]byte{byte(padding)}, padding)
    plainTextBytes = append(plainTextBytes, padText...)

    // 加密数据
    cipherTextBytes := make([]byte, len(plainTextBytes))
    mode.CryptBlocks(cipherTextBytes, plainTextBytes)

    // 返回Base64编码的密文和IV
    cipherText = base64.StdEncoding.EncodeToString(cipherTextBytes)
    return cipherText, nil
}

// 解密函数
func decrypt(cipherText string, key []byte) (plainText string, err error) {
    // 解码Base64密文
    cipherTextBytes, err := base64.StdEncoding.DecodeString(cipherText)
    if err != nil {
        return "", err
    }

    // 创建一个AES块
    block, err := aes.NewCipher(key)
    if err != nil {
        return "", err
    }

    // 创建一个cipher.BlockMode实例
    iv := cipherTextBytes[:aes.BlockSize]
    mode := cipher.NewCBCDecrypter(block, iv)

    // 解密数据
    plainTextBytes := make([]byte, len(cipherTextBytes)-aes.BlockSize)
    mode.CryptBlocks(plainTextBytes, cipherTextBytes[aes.BlockSize:])

    // 去除填充
    padding := plainTextBytes[len(plainTextBytes)-1]
    plainTextBytes = plainTextBytes[:len(plainTextBytes)-int(padding)]

    // 返回明文
    plainText = string(plainTextBytes)
    return plainText, nil
}

func main() {
    key := []byte("1234567890123456") // 16字节密钥
    plainText := "Hello, World!"

    // 加密
    cipherText, err := encrypt(plainText, key)
    if err != nil {
        fmt.Println("加密失败:", err)
        return
    }
    fmt.Println("加密后的密文:", cipherText)

    // 解密
    decryptedText, err := decrypt(cipherText, key)
    if err != nil {
        fmt.Println("解密失败:", err)
        return
    }
    fmt.Println("解密后的明文:", decryptedText)
}

代码说明

上面的代码虽然不长，但每一步都至关重要。我们来拆解一下：

1. 加密函数 encrypt：

   • 首先，得用密钥创建一个AES密码块，这是所有操作的基础。
   • 接着，生成一个随机的初始化向量（IV）。这一步千万别用固定值，否则会大大降低安全性。
   • 然后，选用CBC模式来构造加密器。为什么是CBC？因为它比基础的ECB模式更安全，能有效防止模式分析攻击。
   • 接下来是个关键步骤：填充明文。AES是块加密算法，要求数据长度必须是块大小的整数倍，所以不够的部分得补上。这里用的是PKCS#7填充方式。
   • 最后，执行加密操作，并把结果转换成Base64编码的字符串返回，这样便于存储和传输。

2. 解密函数 decrypt：

   • 解密是加密的逆过程。第一步，先把Base64格式的密文解码回字节数组。
   • 同样，需要用相同的密钥创建AES密码块。
   • 密文的前16个字节（AES块大小）就是之前加密时用的IV，把它提取出来。
   • 用密钥和IV构造出CBC模式的解密器。
   • 执行解密操作后，得到的是带填充的明文字节，需要根据最后一个字节的值，把填充的部分去掉，才能得到原始数据。

注意事项

代码跑起来不难，但要真正用在生产环境，有几个安全要点必须牢记：

• 密钥长度：AES可不是随便一串字符就能当密钥的。它严格支持三种长度：128位（16字节）、192位（24字节）和256位（32字节）。示例里用了16字节，如果你需要更高强度，记得对应调整。
• IV（初始化向量）：IV的作用是确保即使加密相同的明文，每次产生的密文也不同。所以，它必须是随机生成的，并且每次加密都要换新的。好消息是，IV不需要保密，可以和密文一起存、一起传，但必须保证其唯一性。
• 填充：只要用到块加密模式（如CBC），填充就绕不开。PKCS#7是行业内的标准做法，兼容性也最好，通常直接用它就行。

总的来说，在Linux上用Go实现AES加密解密，核心就是理解块加密的原理、选对模式、并妥善处理密钥与IV。把上面这套流程搞明白，大部分对称加密的需求都能应对自如了。