rsa.GenerateKey 必须显式传入 *rand.Rand,否则 panic;密钥长度建议2048位;私钥用 x509.MarshalPKCS1PrivateKey("RSA PRIVATE KEY"),公钥用 x509.MarshalPKIXPublicKey("PUBLIC KEY");OAEP 加解密需严格匹配 hash 和 label;Sign/Verify PKCS#1 v1.5 需使用相同 hash 算法且哈希值独立计算。
rsa.GenerateKey 生成密钥对时必须传入 *rand.Rand
不传或传 nil 会导致 panic: panic: crypto/rsa: key generation requires a cryptographically secure random source。Go 的 rsa.GenerateKey 不会自动 fallback 到默认随机源,必须显式提供。
实操建议:
立即学习“go语言免费学习笔记(深入)”;
- 用
crypto/rand.Reader(真随机)——适合生产环境,但注意它可能阻塞(极少见) - 测试时可用
rand.New(rand.NewSource(time.Now().UnixNano())),但必须包装成io.Reader接口,推荐用io.MultiReader或临时 buffer,不过更稳妥的是直接用crypto/rand避免混淆 - 密钥长度建议至少
2048;1024已不安全,4096带来明显性能下降,尤其签名验签
私钥序列化要用 x509.MarshalPKCS1PrivateKey,公钥用 x509.MarshalPKIXPublicKey
很多人误以为两者都用 MarshalPKCS1PrivateKey,结果公钥解析失败——rsa.PublicKey 是标准结构,但 PEM 封装格式不同:私钥走 PKCS#1,公钥走 PKIX(即 PKCS#8 的子集)。混用会导致 x509.ParsePKIXPublicKey 解析时 panic 或返回 nil。
实操建议:
立即学习“go语言免费学习笔记(深入)”;
- 私钥序列化:先
x509.MarshalPKCS1PrivateKey,再套pem.Encode,type 写"RSA PRIVATE KEY" - 公钥序列化:用
x509.MarshalPKIXPublicKey(不是MarshalPKCS1PublicKey!),type 写"PUBLIC KEY" - 反序列化时严格对应:私钥用
x509.ParsePKCS1PrivateKey,公钥用x509.ParsePKIXPublicKey
rsa.EncryptOAEP 和 rsa.DecryptOAEP 必须共用同一个 hash 和 label
加密解密不匹配 hash(如加密用 sha256,解密用 sha512)或 label(哪怕空字符串和 nil 都不等价),会导致 crypto/rsa: decryption error ——这个错误信息毫无提示性,实际是 OAEP 填充校验失败。
实操建议:
立即学习“go语言免费学习笔记(深入)”;
- 固定用
crypto/sha256.New(),别用sha512除非有明确兼容需求(旧系统) -
label参数建议统一设为nil;若需自定义,确保加解密两端字节完全一致(包括 nil vs []byte{}) - 明文长度受限:OAEP 模式下最大可加密字节数 =
keySize - 2*hash.Size() - 2,例如 2048 位密钥 + sha256 → 最多加密2048/8 - 2*32 - 2 = 190字节;超长需分块或换混合加密
rsa.SignPKCS1v15 签名后必须用对应公钥和相同 hash 验签
常见错误是签名时用 crypto.SHA256,验签时却用 crypto.SHA512,或哈希对象没重置(比如复用同一个 hash.Hash 实例多次 Write 但没 Sum(nil)),导致 crypto/rsa: verification error。
实操建议:
立即学习“go语言免费学习笔记(深入)”;
- 签名前:用
h := sha256.Sum256(); h.Write(data); sig, err := rsa.SignPKCS1v15(rand.Reader, priv, crypto.SHA256, h[:]) - 验签前:同样计算
h := sha256.Sum256(); h.Write(data); err := rsa.VerifyPKCS1v15(&pub, crypto.SHA256, h[:], sig) - 注意
VerifyPKCS1v15第四个参数是原始签名字节,不是 base64 或 hex 编码后的
密钥导出路径、PEM type 字符串大小写、hash 实例复用、label 的 nil/empty 区分——这些点不报编译错,运行时才崩,且错误信息模糊。盯住它们比调算法逻辑更省时间。
