如何使用Python加密大文件？

我正在尝试加密大于 1GB 的文件。我不想把所有内容都读到记忆中。我选择 Fernet (cryptography.fernet) 来完成此任务，因为它是最受推荐的（比非对称解决方案更快）。

我生成了密钥。然后我创建了一个脚本来加密：

    key = Fernet(read_key())

    with open(source, "rb") as src, open(destination, "wb") as dest:
        for chunk in iter(lambda: src.read(4096), b""):
            encrypted = key.encrypt(chunk)
            dest.write(encrypted)

以及解密：

    key = Fernet(read_key())

    with open(source, "rb") as src, open(destination, "wb") as dest:
        for chunk in iter(lambda: src.read(4096), b""):
            decrypted = key.decrypt(chunk)
            dest.write(decrypted)

加密可以工作——这并不奇怪，但解密却不行。 首先我以为它可能有效，但事实并非如此。我猜想加密时块大小会增加，然后当我读取 4096 字节时，它不是一个完整的加密块。我尝试解密时遇到错误：

Traceback (most recent call last):
  File "/redacted/path/venv/lib/python3.7/site-packages/cryptography/fernet.py", line 119, in _verify_signature
    h.verify(data[-32:])
  File "/redacted/path/venv/lib/python3.7/site-packages/cryptography/hazmat/primitives/hmac.py", line 74, in verify
    ctx.verify(signature)
  File "/redacted/path/venv/lib/python3.7/site-packages/cryptography/hazmat/backends/openssl/hmac.py", line 75, in verify
    raise InvalidSignature("Signature did not match digest.")
cryptography.exceptions.InvalidSignature: Signature did not match digest.

During handling of the above exception, another exception occurred:

Traceback (most recent call last):
  File "/redacted/path/main.py", line 63, in <module>
    decrypted = key.decrypt(chunk)
  File "/redacted/path/venv/lib/python3.7/site-packages/cryptography/fernet.py", line 80, in decrypt
    return self._decrypt_data(data, timestamp, time_info)
  File "/redacted/path/venv/lib/python3.7/site-packages/cryptography/fernet.py", line 137, in _decrypt_data
    self._verify_signature(data)
  File "/redacted/path/venv/lib/python3.7/site-packages/cryptography/fernet.py", line 121, in _verify_signature
    raise InvalidToken
cryptography.fernet.InvalidToken

有办法解决这个问题吗？也许有比 fernet 更好（更简单）的方法和不同的解决方案？

我刚刚遇到了同样的问题 - 我感受到你的痛苦兄弟。

Fernet 存在一些问题，使其与您的方法不兼容：

1. Fernet 吐出 urlsafe_base64 编码的数据。这意味着每消耗 3 个字节的未加密数据，Fernet 就会吐出​​ 4 个字节的加密数据。

这可以防止您在加密和解密时使用相同的“块大小”，因为解密块大小必须更大。不幸的是，处理数据urlsafe_b64decode/urlsafe_b64encode也没有达到目的，因为：

2. Fernet 似乎在加密数据中的某处添加了某种摘要/校验和/元数据。

可能有一种简单的方法可以计算出这个摘要有多大，并调整解密块大小以适应这一点 - 但我想避免使用“魔法常量”做一些事情，因为这感觉很恶心。

我最终选择的解决方案实际上非常优雅。其工作原理如下：

加密：

1. Read n数据字节（raw_chunk)
2. Encrypt nbytes 用 Fernet 创建一个m字节块（enc_chunk).
3. Use len(enc_chunk).to_bytes(4, "big")将加密块的大小写入文件
4. 将加密块写入文件
5. 当我读到时中断b""

解密：

1. Read 4数据字节（size)
2. 如果数据是 a 则中断b""
3. 使用以下命令将这 4 个字节转换为整数int.from_bytes(size, "big") (num_bytes)
4. Read num_bytes加密数据的
5. 使用 Fernet 毫无问题地解密此数据