Web Crypto API实现安全大文件上传：RSA与AES混合加密教程

在web应用中，直接使用rsa-oaep加密大文件会导致operationerror，因为rsa算法设计上不适合处理大容量数据。本文将详细介绍一种安全的混合加密方案：利用aes-gcm高效加密文件内容，再使用rsa-oaep加密aes密钥，最终实现大文件的安全上传。这种方法兼顾了加密效率与安全性，是处理客户端文件加密上传的推荐实践。

理解RSA加密的局限性

当尝试使用Web Crypto API的SubtleCrypto接口，通过RSA-OAEP算法直接加密一个文件（表现为ArrayBuffer）时，开发者可能会遇到OperationError: The operation failed for an operation-specific reason。然而，如果加密的是一个短字符串，相同的代码却能成功执行。这并非API的缺陷，而是RSA算法的固有特性所致。

RSA是一种非对称加密算法，其主要优势在于密钥交换和数字签名，而非大量数据加密。RSA-OAEP（Optimal Asymmetric Encryption Padding）填充方案在加密时会增加数据长度，并且加密的数据大小受到密钥模长（modulusLength）的严格限制。例如，对于一个4096位的RSA密钥，其可加密的最大明文长度远小于4096位，通常为密钥模长减去填充和哈希所需的字节数，即 modulusLength / 8 - 2 * hashSize - 2 字节。对于SHA-256哈希，这意味着最大加密长度约为 (4096/8) - 2*32 - 2 = 512 - 64 - 2 = 446 字节。显然，这个容量对于普通文件来说是远远不够的。

混合加密方案：RSA与AES的协同

为了安全且高效地加密大文件，业界普遍采用混合加密方案。其核心思想是：

1. 使用对称加密算法（如AES-GCM）加密文件内容： 对称加密算法（如AES）在处理大量数据时效率极高，且加密后的数据大小与原始数据相近。每次加密时，都会生成一个新的随机密钥。
2. 使用非对称加密算法（如RSA-OAEP）加密对称密钥： 对称密钥通常很短（如128位、256位），非常适合RSA加密。这样，只有拥有RSA私钥的接收方才能解密出对称密钥。
3. 传输加密文件、加密对称密钥和初始化向量（IV）： 接收方先用自己的RSA私钥解密得到对称密钥，再用对称密钥和IV解密文件内容。

这种方案结合了RSA的密钥交换安全性与AES的高效数据加密能力，是Web Crypto API中处理大文件加密上传的推荐方法。

客户端实现步骤与代码示例

以下是客户端实现混合加密并上传文件的详细步骤和相应的JavaScript代码：

1. 获取RSA公钥

首先，客户端需要从服务器获取用于加密AES密钥的RSA公钥。通常以JWK（JSON Web Key）格式传输。

Andi

智能搜索助手，可以帮助解决详细的问题

下载

async function importRSAPublicKey(jwkString) {
    try {
        const jwk = JSON.parse(atob(jwkString)); // 服务器可能将JWK进行Base64编码
        const importedKey = await window.crypto.subtle.importKey(
            "jwk",
            jwk,
            {
                name: "RSA-OAEP",
                hash: "SHA-256",
            },
            true, // extractable: true if you need to export it later, otherwise false
            ["encrypt"]
        );
        return importedKey;
    } catch (error) {
        console.error("Failed to import RSA public key:", error);
        throw error;
    }
}

2. 生成AES密钥和初始化向量（IV）

每次加密文件时，都应生成一个新的随机AES密钥和IV，以增强安全性。

async function generateAESKey() {
    return await window.crypto.subtle.generateKey(
        {
            name: "AES-GCM",
            length: 256, // 256-bit AES key
        },
        true, // extractable
        ["encrypt", "decrypt"]
    );
}

function generateIV() {
    return window.crypto.getRandomValues(new Uint8Array(12)); // AES-GCM recommended IV length is 12 bytes
}

3. 使用AES-GCM加密文件内容

将文件读取为ArrayBuffer，然后使用生成的AES密钥和IV进行加密。

async function encryptFileWithAES(fileBuffer, aesKey, iv) {
    try {
        const encryptedContent = await window.crypto.subtle.encrypt(
            {
                name: "AES-GCM",
                iv: iv,
            },
            aesKey,
            fileBuffer
        );
        return new Uint8Array(encryptedContent);
    } catch (error) {
        console.error("Failed to encrypt file with AES:", error);
        throw error;
    }
}

4. 使用RSA-OAEP加密AES密钥

将AES密钥导出为可传输的格式（如JWK），然后使用RSA公钥对其进行加密。

async function encryptAESKeyWithRSA(aesKey, rsaPublicKey) {
    try {
        const exportedAesKey = await window.crypto.subtle.exportKey("jwk", aesKey);
        const aesKeyBuffer = new TextEncoder().encode(JSON.stringify(exportedAesKey));

        const encryptedAesKey = await window.crypto.subtle.encrypt(
            { name: "RSA-OAEP" },
            rsaPublicKey,
            aesKeyBuffer
        );
        return new Uint8Array(encryptedAesKey);
    } catch (error) {
        console.error("Failed to encrypt AES key with RSA:", error);
        throw error;
    }
}

5. 组合并上传加密数据

将加密后的文件内容、加密后的AES密钥以及IV打包发送到服务器。为了方便传输，这些二进制数据通常会被Base64编码。

document.getElementById("input").addEventListener('change', async event => {
    if (event.target.files[0]) {
        const file = event.target.files[0];

        try {
            // 1. 读取文件内容
            const fileBuffer = await file.arrayBuffer();

            // 2. 获取RSA公钥
            const res = await fetch("/key");
            const exportedRsaJwk = await res.text(); // 假设服务器返回Base64编码的JWK
            const rsaPublicKey = await importRSAPublicKey(exportedRsaJwk);

            // 3. 生成AES密钥和IV
            const aesKey = await generateAESKey();
            const iv = generateIV();

            // 4. 使用AES加密文件内容
            const encryptedFileContent = await encryptFileWithAES(fileBuffer, aesKey, iv);

            // 5. 使用RSA加密AES密钥
            const encryptedAesKey = await encryptAESKeyWithRSA(aesKey, rsaPublicKey);

            // 6. 准备上传数据
            // 将二进制数据转换为Base64字符串以便传输
            const ivBase64 = btoa(String.fromCharCode.apply(null, iv));
            const encryptedAesKeyBase64 = btoa(String.fromCharCode.apply(null, encryptedAesKey));
            const encryptedFileContentBase64 = btoa(String.fromCharCode.apply(null, encryptedFileContent));

            const uploadPayload = {
                encryptedAesKey: encryptedAesKeyBase64,
                iv: ivBase64,
                encryptedFileContent: encryptedFileContentBase64,
                fileName: file.name,
                fileType: file.type
            };

            // 7. 上传到服务器
            await fetch(`/upload`, {
                method: "POST",
                headers: {
                    "Content-Type": "application/json"
                },
                body: JSON.stringify(uploadPayload)
            });

            console.log("File uploaded successfully with hybrid encryption!");

        } catch (error) {
            console.error("File upload failed:", error);
            alert("文件上传失败：" + error.message);
        }
    }
});

注意事项与最佳实践

• IV（初始化向量）的传输： IV不是秘密，但必须是随机的，且每次加密都不同。它与密文一起传输，用于解密。确保IV是唯一的，并且在传输过程中与密文关联。
• 数据编码： 当通过HTTP请求体传输二进制数据时，通常需要将其编码为Base64字符串。在服务器端接收后，需要解码回ArrayBuffer或Uint8Array进行处理。
• 服务器端解密： 服务器接收到数据后，需要：
  1. 使用其RSA私钥解密encryptedAesKey，获取AES密钥的JWK字符串。
  2. 导入AES密钥JWK，得到CryptoKey对象。
  3. 使用该AES密钥和传输过来的IV解密encryptedFileContent。
• 错误处理： 在实际应用中，应包含健壮的错误处理机制，例如网络请求失败、密钥导入失败、加密失败等。
• 安全性考量： 确保RSA公钥是通过安全通道获取的，防止中间人攻击。同时，服务器端的RSA私钥应妥善保管。
• 文件大小限制： 尽管AES可以处理大文件，但浏览器和服务器对上传文件的大小仍有其自身的限制。

总结

通过结合RSA-OAEP和AES-GCM，我们能够克服RSA算法在处理大文件时的局限性，实现高效且安全的客户端文件加密上传。这种混合加密方案是Web Crypto API在实际应用中处理敏感大文件时的标准做法，确保了数据在传输过程中的机密性。理解并正确实施这一模式，对于构建安全的Web应用程序至关重要。