El comando openssl enc -aes-256-gcm está roto, porque no puede descifrar su propia salida, de lo contrario lo vería como un formato.
Para descifrar un archivo, el código debe poder separar el IV, la etiqueta de autenticación y los datos autenticados adicionales del texto cifrado.
¿Hay herramientas de línea de comandos que se usan generalmente y que usan un formato conocido que puedo usar como modelo?
Esto está relacionado con esta pregunta , pero es específica para el almacenamiento de archivos.