Teilen über


CA5350: Keine schwachen Kryptografiealgorithmen verwenden.

Eigenschaft Wert
Regel-ID CA5350
Titel Keine schwachen Kryptografiealgorithmen verwenden.
Kategorie Security
Fix führt oder führt nicht zur Unterbrechung Nicht unterbrechend
Standardmäßig in .NET 9 aktiviert Nein

Hinweis

Diese Warnung wurde zuletzt im November 2015 aktualisiert.

Ursache

Verschlüsselungsalgorithmen, wie z. B. TripleDES , und Hashalgorithmen, wie z. B. SHA1 und RIPEMD160 , gelten als schwach.

Diese kryptografischen Algorithmen bieten nicht dieselbe Sicherheitsgarantie wie modernere Entsprechungen. Die kryptografischen Hashalgorithmen SHA1 und RIPEMD160 bieten weniger Resistenz gegenüber Konflikten als modernere Hashalgorithmen. Der Verschlüsselungsalgorithmus TripleDES bietet weniger Sicherheit als modernere Verschlüsselungsalgorithmen.

Regelbeschreibung

Unsichere Verschlüsselungsalgorithmen und Hashfunktionen werden heute aus verschiedenen Gründen verwendet, sollten jedoch nicht verwendet werden, um die Vertrauenswürdigkeit der Daten, die sie schützen, zu gewährleisten.

Die Regel wird beim Auffinden von 3DES-, SHA1- oder RIPEMD160-Algorithmen im Code ausgelöst und gibt eine Warnung für den Benutzer zurück.

Behandeln von Verstößen

Verwenden Sie kryptografisch sicherere Optionen:

  • Verwenden Sie für TripleDES-Verschlüsselung die Aes -Verschlüsselung.

  • Verwenden Sie für SHA1- oder RIPEMD160-Hashfunktionen diejenigen der SHA-2 -Produktfamilie (z. B. SHA512, SHA384, SHA256).

Wann sollten Warnungen unterdrückt werden?

Unterdrücken Sie eine Warnung dieser Regel, wenn der für die Daten benötigte Schutzgrad keine Sicherheitsgarantie erfordert.

Unterdrücken einer Warnung

Um nur eine einzelne Verletzung zu unterdrücken, fügen Sie der Quelldatei Präprozessoranweisungen hinzu, um die Regel zu deaktivieren und dann wieder zu aktivieren.

#pragma warning disable CA5350
// The code that's violating the rule is on this line.
#pragma warning restore CA5350

Um die Regel für eine Datei, einen Ordner oder ein Projekt zu deaktivieren, legen Sie den Schweregrad in der Konfigurationsdatei auf none fest.

[*.{cs,vb}]
dotnet_diagnostic.CA5350.severity = none

Weitere Informationen finden Sie unter Vorgehensweise: Unterdrücken von Codeanalyse-Warnungen.

Pseudocodebeispiele

Zum Zeitpunkt der Erstellung dieses Dokuments veranschaulicht das folgende Beispiel mit Pseudocode das von dieser Regel erkannte Muster.

Verstoß bei SHA-1-Hashfunktion

using System.Security.Cryptography;
...
var hashAlg = SHA1.Create();

Lösung:

using System.Security.Cryptography;
...
var hashAlg = SHA256.Create();

Verstoß bei RIPEMD160-Hashfunktion

using System.Security.Cryptography;
...
var hashAlg = RIPEMD160Managed.Create();

Lösung:

using System.Security.Cryptography;
...
var hashAlg = SHA256.Create();

Verstoß bei TripleDES-Verschlüsselung

using System.Security.Cryptography;
...
using (TripleDES encAlg = TripleDES.Create())
{
  ...
}

Lösung:

using System.Security.Cryptography;
...
using (AesManaged encAlg = new AesManaged())
{
  ...
}