Nota
L'accés a aquesta pàgina requereix autorització. Podeu provar d'iniciar la sessió o de canviar els directoris.
L'accés a aquesta pàgina requereix autorització. Podeu provar de canviar els directoris.
| Propiedad | Valor |
|---|---|
| Identificador de la regla | CA5402 |
| Título | Usar el CreateEncryptor con el vector de inicialización predeterminado |
| Categoría | Seguridad |
| El arreglo es problemático o no problemático | Sin interrupción |
| Habilitado de forma predeterminada en .NET 10 | No |
| Idiomas aplicables | C# y Visual Basic |
Causa
rgbIV podría ser distinto del valor predeterminado al usar System.Security.Cryptography.SymmetricAlgorithm.CreateEncryptor.
Descripción de la regla
La clave de cifrado simétrica debe usar siempre un vector de inicialización que no se repita para evitar los ataques por diccionario.
Esta regla es similar a CA5401, pero el análisis no puede determinar que el vector de inicialización es definitivamente el valor predeterminado.
Cómo corregir infracciones
Use el valor predeterminado rgbIV explícitamente, es decir, utilice la versión sobrecargada de System.Security.Cryptography.SymmetricAlgorithm.CreateEncryptor sin ningún parámetro.
Cuándo suprimir las advertencias
Se puede suprimir una advertencia de esta regla si:
- El parámetro
rgbIVfue generado por System.Security.Cryptography.SymmetricAlgorithm.GenerateIV. - Está seguro de que el parámetro
rgbIVes realmente aleatorio y no repetible. - Está seguro de que se utiliza el vector de inicialización.
Supresión de una advertencia
Si solo quiere suprimir una única infracción, agregue directivas de preprocesador al archivo de origen para deshabilitar y volver a habilitar la regla.
#pragma warning disable CA5402
// The code that's violating the rule is on this line.
#pragma warning restore CA5402
Para deshabilitar la regla de un archivo, una carpeta o un proyecto, establezca su gravedad en none del archivo de configuración.
[*.{cs,vb}]
dotnet_diagnostic.CA5402.severity = none
Para obtener más información, consulte Procedimiento para suprimir advertencias de análisis de código.
Ejemplos de pseudocódigo
using System;
using System.Security.Cryptography;
class ExampleClass
{
public void ExampleMethod(byte[] rgbIV)
{
AesCng aesCng = new AesCng();
Random r = new Random();
if (r.Next(6) == 4)
{
aesCng.IV = rgbIV;
}
aesCng.CreateEncryptor();
}
}
Solución
using System.Security.Cryptography;
class ExampleClass
{
public void ExampleMethod()
{
AesCng aesCng = new AesCng();
aesCng.CreateEncryptor();
}
}
Col·laboreu amb nosaltres a GitHub
La font d'aquest contingut es pot trobar al GitHub, on també podeu crear i revisar problemes i sol·licituds d'extracció. Per obtenir més informació, consulteu la nostra guia per a col·laboradors.
