正如您已经从您的研究中发现的那样，对于大文件的authenticated加密来说，没有多少优雅的解决方案.

传统上有两种方法来解决这个问题:

• 将文件拆分为块，分别加密每个块，并让每个块都有自己的身份验证标签.AES-GCM将是实现这一点的最佳模式.此方法会导致文件大小与文件大小成比例inflating .对于每个块，还需要一个唯一的nonce.您还需要一种方法来指示块的开始/结束位置.

• 使用带缓冲区的AES-CTR进行加密，在HMAC上 for each 加密数据缓冲区调用Hash.Write.这样做的好处是加密可以在一次通过中完成.缺点是解密需要一次通过验证HMAC，然后需要另一次通过才能实际解密.这里的优点是文件大小保持不变，加上IV和HMAC结果的大约48个字节.

这两种方法都不理想，但是对于非常大的文件(大约2 GB或更大)，第二种可能是首选的.

我使用下面的第二种方法在Go中提供了一个加密示例.在这个场景中，最后48个字节是IV(16个字节)和HMAC的结果(32个字节).还要注意静脉注射的速度.

const BUFFER_SIZE int = 4096
const IV_SIZE int = 16

func encrypt(filePathIn, filePathOut string, keyAes, keyHmac []byte) error {
    inFile, err := os.Open(filePathIn)
    if err != nil { return err }
    defer inFile.Close()

    outFile, err := os.Create(filePathOut)
    if err != nil { return err }
    defer outFile.Close()

    iv := make([]byte, IV_SIZE)
    _, err = rand.Read(iv)
    if err != nil { return err }

    aes, err := aes.NewCipher(keyAes)
    if err != nil { return err }

    ctr := cipher.NewCTR(aes, iv)
    hmac := hmac.New(sha256.New, keyHmac)

    buf := make([]byte, BUFFER_SIZE)
    for {
        n, err := inFile.Read(buf)
        if err != nil && err != io.EOF { return err }

        outBuf := make([]byte, n)
        ctr.XORKeyStream(outBuf, buf[:n])
        hmac.Write(outBuf)
        outFile.Write(outBuf)

        if err == io.EOF { break }
    }

    outFile.Write(iv)
    hmac.Write(iv)
    outFile.Write(hmac.Sum(nil))

    return nil
}