正如您已经从研究中发现的那样，对于 agen验证加密的优雅解决方案。

传统上有两种方法可以解决这个问题：

• 将文件分成块，单独加密每个块，让每个块都有自己的身份验证标签。AES-GCM将是最佳使用模式。此方法导致文件大小与文件大小成比例。您还需要一个独特的nonce。您还需要一种方法来指示块从哪里开始/结束。

• 使用带有缓冲区的AES-CTR加密，在HMAC上调用Hash.Write，以将其用于加密数据的每个缓冲区。这样做的好处是，加密可以在一次通过中进行。不利的一面是，解密需要一个通过来验证HMAC，然后再通过另一个通过才能真正解密。这里的好处是，文件大小保持不变，加上IV和HMAC结果的约48个左右的字节。

既不是理想的，但是对于非常大的文件(〜2GB或更多(，第二个选项可能是首选的。

我使用以下第二种方法包括了GO中加密的示例。在这种情况下，最后48个字节是IV(16个字节(和HMAC的结果(32个字节(。请注意IV的Hmacing。

const BUFFER_SIZE int = 4096
const IV_SIZE int = 16
func encrypt(filePathIn, filePathOut string, keyAes, keyHmac []byte) error {
    inFile, err := os.Open(filePathIn)
    if err != nil { return err }
    defer inFile.Close()
    outFile, err := os.Create(filePathOut)
    if err != nil { return err }
    defer outFile.Close()
    iv := make([]byte, IV_SIZE)
    _, err = rand.Read(iv)
    if err != nil { return err }
    aes, err := aes.NewCipher(keyAes)
    if err != nil { return err }
    ctr := cipher.NewCTR(aes, iv)
    hmac := hmac.New(sha256.New, keyHmac)
    buf := make([]byte, BUFFER_SIZE)
    for {
        n, err := inFile.Read(buf)
        if err != nil && err != io.EOF { return err }
        outBuf := make([]byte, n)
        ctr.XORKeyStream(outBuf, buf[:n])
        hmac.Write(outBuf)
        outFile.Write(outBuf)
        if err == io.EOF { break }
    }
    outFile.Write(iv)
    hmac.Write(iv)
    outFile.Write(hmac.Sum(nil))
    return nil
}

加密后使用HMAC是一种有效的方法。但是，HMAC可能非常慢，尤其是在使用SHA-2的情况下。实际上，您可以使用GMAC(GCM的基础Mac(做同样的事情。找到实现可能很棘手，但是GMAC超过了Ciphertext，因此，如果您真的需要，您可以单独执行它。还有其他方法，例如poly1305，其AE与TLS 1.2和1.3一起使用。

对于GCM(或CCM或EAX或任何其他身份验证的密码(，您需要对块的顺序进行身份验证。您可以通过创建一个单独的文件加密密钥，然后使用NONCE输入(12个字节IV(来执行此操作，以指示块的数量。这将解决IV 和的存储，请确保块井井有条。您可以使用KDF生成文件加密密钥(如果您有指示文件的唯一方法(或通过将随机密钥包装到主密钥中。