应使用 std::vector 而非 std::string 存储密钥、nonce、密文和 tag,因 std::string 易因 \0 截断且被误作 c 字符串;aes-gcm 中 nonce 必须每次随机生成且严禁复用;解密失败仅表示认证失败,需记录完整上下文定位原因。
为什么不用 std::string 直接存密钥和密文?
因为 AES-GCM 要求密钥、nonce、认证标签都必须是精确字节长度的二进制数据,std::string 容易隐式截断 \0 字节,读写文件时还可能被当成 C 风格字符串处理。一旦密文里有 \0,用 std::string::c_str() 传给 OpenSSL 或 Crypto++ 就会提前截断。
实操建议:
立即学习“C++免费学习笔记(深入)”;
- 统一用
std::vector<uint8_t></uint8_t>存密钥、nonce、密文、tag —— 它不关心内容,只管字节长度 - 配置项序列化前先转成 JSON 或 msgpack(不含 \0),再对整个二进制 blob 加密,别对每个字段单独加密
- 如果非要存成文本(比如写进 ini 文件),用 Base64 编码加密后的
std::vector<uint8_t></uint8_t>,解码后再送进 AES-GCM
AES_GCM_encrypt 必须手动管理 nonce 且不能复用
同一个密钥下,重复使用 nonce 会导致 GCM 完全失效:攻击者可直接恢复明文,甚至伪造合法密文。这不是“建议避免”,是“绝对禁止”。
实操建议:
立即学习“C++免费学习笔记(深入)”;
- 每次加密都生成全新随机 nonce,推荐用
RAND_bytes(OpenSSL)或CryptoPP::AutoSeededRandomPool - 把 nonce 和密文拼一起存储(例如:前 12 字节是 nonce,后面全是密文+tag),解密时先切出来
- 别用时间戳、计数器当 nonce —— 没有持久化或并发时极易撞车;更别硬编码
{0} - 如果你用的是
EVP_CIPHER_CTX,记得调EVP_EncryptInit_ex(ctx, nullptr, nullptr, key.data(), iv.data()),iv 就是 nonce
解密失败时,EVP_DecryptFinal_ex 返回 0 不代表“密码错”
它只表示认证失败(authentication failure),原因可能是:密钥错、nonce 错、密文被篡改、tag 被截断——但错误信息完全一样。你没法靠返回值区分是用户输错密码,还是配置文件损坏了。
实操建议:
立即学习“C++免费学习笔记(深入)”;
- 不要在日志里直接打 “decrypt failed”,而要记录完整上下文:
config_path、key_id、nonce 长度、密文长度、tag 长度 - 加一层封装函数,比如
bool try_decrypt_config(const std::vector<uint8_t>& input, std::vector<uint8_t>& out)</uint8_t></uint8_t>,内部只返回 true/false,不暴露底层错误码 - 调试阶段可临时启用
ERR_print_errors_fp(stderr),但上线必须关掉——它会泄露 OpenSSL 内部状态
静态链接 Crypto++ 时,CryptoPP::Exception 析构可能 crash
某些旧版 Crypto++(如 5.6.5)在静态链接 + 异常跨动态库边界时,CryptoPP::Exception 析构会 double-free。现象是解密失败后程序直接 abort,堆栈停在 ~Exception。
实操建议:
立即学习“C++免费学习笔记(深入)”;
- 优先换用 OpenSSL 1.1.1+(系统自带或自己编译),它的 EVP 接口稳定,异常由 C 错误码控制,无此问题
- 若必须用 Crypto++,升级到 8.2+,并确保所有代码(包括 config loader)都用同一份静态库编译,禁用
-fvisibility=hidden - 最稳妥做法:捕获
std::exception&而非CryptoPP::Exception&,避免类型切片
AES 就完事,nonce 管理、错误归因、二进制边界处理,任何一个点没卡准,都会让“安全存储”变成“假安全”。尤其注意密文落地时的编码方式和加载时的零字节处理——这两处出问题,连调试都难定位。 
