Partage via


CA5373 : Ne pas utiliser la fonction de dérivation de clé obsolète

Propriété Value
Identificateur de la règle CA5373
Titre Ne pas utiliser la fonction de dérivation de clé obsolète
Catégorie Sécurité
Le correctif est cassant ou non cassant Sans rupture
Activé par défaut dans .NET 8 Non

Cause

Les méthodes de dérivation de clé faible par chiffrement System.Security.Cryptography.PasswordDeriveBytes et/ou Rfc2898DeriveBytes.CryptDeriveKey sont utilisées pour générer une clé.

Description de la règle

Cette règle détecte l’appel des méthodes System.Security.Cryptography.PasswordDeriveBytes et Rfc2898DeriveBytes.CryptDeriveKey de dérivation de clé faible. System.Security.Cryptography.PasswordDeriveBytes a utilisé un algorithme faible PBKDF1. Rfc2898DeriveBytes.CryptDeriveKey n’utilise pas le nombre d’itérations et le sel de l’objet Rfc2898DeriveBytes, ce qui le rend faible.

Comment corriger les violations

La dérivation de clé basée sur mot de passe doit utiliser l’algorithme PBKDF2 avec hachage SHA-2. Rfc2898DeriveBytes.GetBytes peut être utilisé pour y parvenir.

Quand supprimer les avertissements

Supprimez l’avertissement si le risque associé à l’utilisation de PBKDF1 est soigneusement examiné et accepté.

Supprimer un avertissement

Si vous voulez supprimer une seule violation, ajoutez des directives de préprocesseur à votre fichier source pour désactiver et réactiver la règle.

#pragma warning disable CA5373
// The code that's violating the rule is on this line.
#pragma warning restore CA5373

Pour désactiver la règle sur un fichier, un dossier ou un projet, définissez sa gravité sur none dans le fichier de configuration.

[*.{cs,vb}]
dotnet_diagnostic.CA5373.severity = none

Pour plus d’informations, consultez Comment supprimer les avertissements de l’analyse de code.

Exemples de pseudo-code

Violation

Au moment de l’écriture de cet article, l’exemple de pseudo-code suivant illustre le schéma détecté par cette règle.

using System;
using System.Security.Cryptography;
class TestClass
{
    public void TestMethod(Rfc2898DeriveBytes rfc2898DeriveBytes, string algname, string alghashname, int keySize, byte[] rgbIV)
    {
        rfc2898DeriveBytes.CryptDeriveKey(algname, alghashname, keySize, rgbIV);
    }
}

Solution

using System;
using System.Security.Cryptography;
class TestClass
{
    public void TestMethod(Rfc2898DeriveBytes rfc2898DeriveBytes)
    {
        rfc2898DeriveBytes.GetBytes(1);
    }
}