如何在 Go 中读写 GPG、SSH 和 OpenSSL 格式的 RSA 密钥

本文介绍如何使用 go 标准库及官方扩展包（如 `golang.org/x/crypto/ssh` 和 `crypto/x509`）直接解析、生成和序列化 rsa 公私钥，支持 openssh、pem（openssl）等主流格式，无需外部工具或 c 依赖。

在 Go 生态中，原生支持多种密钥格式的互操作能力已相当成熟，但需明确各包职责边界：

• crypto/rsa 仅定义 *rsa.PrivateKey 和 *rsa.PublicKey 类型，不处理序列化；
• crypto/x509 负责 PEM 编码的 PKCS#1（BEGIN RSA PRIVATE KEY）和 X.509 公钥（BEGIN PUBLIC KEY）格式的编解码；
• golang.org/x/crypto/ssh 专用于 OpenSSH 格式（BEGIN OPENSSH PRIVATE KEY 及 ssh-rsa AAAA... 公钥字符串），并提供 ssh.ParseRawPrivateKey、ssh.MarshalPrivateKey 等核心函数。

✅ 读取 OpenSSH 私钥（推荐方式）

import (
    "io/ioutil"
    "golang.org/x/crypto/ssh"
)

data, _ := ioutil.ReadFile("id_rsa")
priv, err := ssh.ParseRawPrivateKey(data)
if err != nil {
    panic(err)
}
// priv 是 *rsa.PrivateKey（若为 RSA 类型）

✅ 生成并保存 PEM（OpenSSL）格式私钥

import (
    "crypto/rand"
    "crypto/rsa"
    "encoding/pem"
    "os"
)

key, _ := rsa.GenerateKey(rand.Reader, 2048)
block := &pem.Block{
    Type:  "RSA PRIVATE KEY",
    Bytes: x509.MarshalPKCS1PrivateKey(key),
}
pem.Encode(os.Stdout, block) // 或写入文件

✅ 解析 PEM 公钥并转为 SSH 字符串

data, _ := ioutil.ReadFile("pubkey.pem")
pubInterface, _ := x509.ParsePKIXPublicKey(data) // 支持 PKCS#8
pubKey, ok := pubInterface.(*rsa.PublicKey)
if !ok { panic("not RSA") }
sshPubKey, _ := ssh.NewPublicKey(pubKey)
fmt.Println(ssh.MarshalAuthorizedKey(sshPubKey)) // 输出 "ssh-rsa AAAA..."

⚠️ 注意事项：

• GnuPG（GPG）私钥格式（-----BEGIN PGP PRIVATE KEY BLOCK-----）不被 Go 官方库原生支持，因其采用 OpenPGP 协议（RFC 4880），需借助第三方库如 github.com/ProtonMail/go-crypto/openpgp；
• x509 默认只处理 PKCS#1 和 PKCS#8，不支持 OpenSSH 的新格式（BEGIN OPENSSH PRIVATE KEY），必须用 x/crypto/ssh；
• 密钥导出时务必设置合理权限（如 0600），避免私钥泄露；
• 生产环境建议使用 ssh.ParsePrivateKeyWithPassphrase 处理带密码的私钥。

综上，Go 已具备完备的密钥格式互操作能力——优先选用 x/crypto/ssh 处理 SSH 场景，crypto/x509 处理证书与 PEM 流程，二者结合即可覆盖绝大多数密钥管理需求。