Implementando Criptografia AES com Go

O AES (Advanced Encryption Standard) representa um algoritmo de criptografia simétrica amplamente utilizado para proteger informações sensíveis. A linguagem Go oferece suporte nativo a essa funcionalidade através do pacote crypto/aes, que geralmente é utilizado em conjunto com o pacote crypto/cipher.

Criação da Chave de Criptografia

Para o algoritmo AES, a chave deve possuir exatamente 16, 24 ou 32 bytes, correspondendo respectivamente às versões AES-128, AES-192 e AES-256.

chave := []byte("32-bytes-minha-chave-segura-1234") // Chave AES-256

Criptografando Dados com CBC

O modo CBC (Cipher Block Chaining) requer o preenchimento (padding) dos dados e a utilização de um vetor de inicialização (IV) aleatório para cada operação de criptografia.

import (
    "crypto/aes"
    "crypto/cipher"
    "crypto/rand"
    "io"
    "bytes"
    "fmt"
)

func criptografar(dados []byte, chave []byte) ([]byte, error) {
    bloco, erro := aes.NewCipher(chave)
    if erro != nil {
        return nil, erro
    }

    // Aplicar preenchimento PKCS7
    dados = aplicarPadding(dados, aes.BlockSize)

    // Criar IV aleatório
    dadosCriptografados := make([]byte, aes.BlockSize+len(dados))
    vetorIV := dadosCriptografados[:aes.BlockSize]
    if _, erro := io.ReadFull(rand.Reader, vetorIV); erro != nil {
        return nil, erro
    }

    // Executar criptografia
    modoCBC := cipher.NewCBCEncrypter(bloco, vetorIV)
    modoCBC.CryptBlocks(dadosCriptografados[aes.BlockSize:], dados)

    return dadosCriptografados, nil
}

func aplicarPadding(dados []byte, tamanhoBloco int) []byte {
    espacamento := tamanhoBloco - len(dados)%tamanhoBloco
    textoPreenchido := bytes.Repeat([]byte{byte(espacamento)}, espacamento)
    return append(dados, textoPreenchido...)
}

Descriptografando Dados

O processo inverso exige a extração do vetor de inicialização e a remoção do preanchimento aplicado anteriormente.

func descriptografar(dadosCriptografados []byte, chave []byte) ([]byte, error) {
    bloco, erro := aes.NewCipher(chave)
    if erro != nil {
        return nil, erro
    }

    if len(dadosCriptografados) < aes.BlockSize {
        return nil, fmt.Errorf("dados criptografados muito curta")
    }

    vetorIV := dadosCriptografados[:aes.BlockSize]
    dadosCriptografados = dadosCriptografados[aes.BlockSize:]

    // Executar descriptografia
    modoCBC := cipher.NewCBCDecrypter(bloco, vetorIV)
    modoCBC.CryptBlocks(dadosCriptografados, dadosCriptografados)

    // Remover preenchimento
    dadosCriptografados = removerPadding(dadosCriptografados)
    return dadosCriptografados, nil
}

func removerPadding(dados []byte) []byte {
    tamanho := len(dados)
    removimento := int(dados[tamanho-1])
    return dados[:(tamanho - removimento)]
}

Utilizando o Modo GCM (Recomendado)

O modo GCM (Galois/Counter Mode) oferece criptografia autenticada, eliminando a necessidade de gerenciamento manual de preenchimento e proporcionando maior segurança.

func criptografarGCM(dados []byte, chave []byte) ([]byte, error) {
    bloco, erro := aes.NewCipher(chave)
    if erro != nil {
        return nil, erro
    }

    gcm, erro := cipher.NewGCM(bloco)
    if erro != nil {
        return nil, erro
    }

    nonce := make([]byte, gcm.NonceSize())
    if _, erro := io.ReadFull(rand.Reader, nonce); erro != nil {
        return nil, erro
    }

    return gcm.Seal(nonce, nonce, dados, nil), nil
}

func descriptografarGCM(dadosCriptografados []byte, chave []byte) ([]byte, error) {
    bloco, erro := aes.NewCipher(chave)
    if erro != nil {
        return nil, erro
    }

    gcm, erro := cipher.NewGCM(bloco)
    if erro != nil {
        return nil, erro
    }

    tamanhoNonce := gcm.NonceSize()
    if len(dadosCriptografados) < tamanhoNonce {
        return nil, fmt.Errorf("dados criptografados muito cortos")
    }

    nonce, dadosCriptografados := dadosCriptografados[:tamanhoNonce], dadosCriptografados[tamanhoNonce:]
    return gcm.Open(nil, nonce, dadosCriptografados, nil)
}

Recomendações de Segurança

  • Gerenciamento de Chaves: As chaves devem ser armazenadas de forma segura, nunca hardcoded no código fonte.
  • Vetor de Inicialização: Cada operação de criptografia deve gerar um IV ou nonce aleatório novo, sendo proibido reutilizar esses valores.
  • Desempenho: O modo GCM é recomendado para cenários que exigem alto desempenho, enquanto o modo CBC requer tratamento manual de preencihmento.

Essas implementações permitem adicionar funcionalidades de criptografia e descriptografia AES em aplicações Go, podendo escolher entre os modos CBC ou GCM conforme a necessidade específica do projeto.

Tags: go Golang AES criptografia Segurança

Publicado em 7-19 01:00