CA5401: No usar CreateEncryptor con un vector de inicialización no predeterminado
| Propiedad | Value |
|---|---|
| Identificador de la regla | CA5401 |
| Título | No usar CreateEncryptor con un vector de inicialización no predeterminado |
| Categoría | Seguridad |
| La corrección interrumpe o no interrumpe | Poco problemático |
| Habilitado de forma predeterminada en .NET 8 | No |
Causa
Usar System.Security.Cryptography.SymmetricAlgorithm.CreateEncryptor con un rgbIV no predeterminado.
Descripción de la regla
La clave de cifrado simétrica debe usar siempre un vector de inicialización que no se repita para evitar los ataques por diccionario.
Esta regla es similar a CA5402, pero el análisis determina que el vector de inicialización es definitivamente el valor predeterminado.
Cómo corregir infracciones
Use el valor rgbIV predeterminado, es decir, use la sobrecarga de System.Security.Cryptography.SymmetricAlgorithm.CreateEncryptor que no tiene ningún parámetro.
Cuándo suprimir las advertencias
Se puede suprimir una advertencia de esta regla si:
- System.Security.Cryptography.SymmetricAlgorithm.GenerateIV generó el parámetro
rgbIV. - Está seguro de que
rgbIVes realmente aleatorio y no repetible.
Supresión de una advertencia
Si solo quiere suprimir una única infracción, agregue directivas de preprocesador al archivo de origen para deshabilitar y volver a habilitar la regla.
#pragma warning disable CA5401
// The code that's violating the rule is on this line.
#pragma warning restore CA5401
Para deshabilitar la regla de un archivo, una carpeta o un proyecto, establezca su gravedad en none del archivo de configuración.
[*.{cs,vb}]
dotnet_diagnostic.CA5401.severity = none
Para obtener más información, consulte Procedimiento para suprimir advertencias de análisis de código.
Ejemplos de pseudocódigo
using System.Security.Cryptography;
class ExampleClass
{
public void ExampleMethod(byte[] rgbIV)
{
AesCng aesCng = new AesCng();
aesCng.IV = rgbIV;
aesCng.CreateEncryptor();
}
}
Solución
using System.Security.Cryptography;
class ExampleClass
{
public void ExampleMethod()
{
AesCng aesCng = new AesCng();
aesCng.CreateEncryptor();
}
}
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de