CA5402: 既定の IV で CreateEncryptor を使用します
| プロパティ | 値 |
|---|---|
| ルール ID | CA5402 |
| Title | 既定の IV で CreateEncryptor を使用します |
| [カテゴリ] | Security |
| 修正が中断か中断なしであるか | なし |
| .NET 8 では既定で有効 | いいえ |
原因
System.Security.Cryptography.SymmetricAlgorithm.CreateEncryptor を使用するときに、rgbIV が既定値ではない可能性があります。
規則の説明
対称暗号化では、辞書攻撃を防ぐために、反復不能な初期化ベクトルを常に使用する必要があります。
この規則は CA5401 に似ていますが、分析では初期化ベクトルが確実に既定値であると断定できません。
違反の修正方法
既定の rgbIV 値を明示的に使用します。つまり、パラメーターを持たない System.Security.Cryptography.SymmetricAlgorithm.CreateEncryptor のオーバーロードを使用します。
どのようなときに警告を抑制するか
次の場合は、このルールの警告を抑制できます。
rgbIVパラメーターが System.Security.Cryptography.SymmetricAlgorithm.GenerateIV によって生成された。rgbIVパラメーターが実際にはランダムで反復不可能であることがわかっている。- 初期化ベクターが使用されていることがわかっている。
警告を抑制する
単一の違反を抑制するだけの場合は、ソース ファイルにプリプロセッサ ディレクティブを追加して無効にしてから、規則をもう一度有効にします。
#pragma warning disable CA5402
// The code that's violating the rule is on this line.
#pragma warning restore CA5402
ファイル、フォルダー、またはプロジェクトの規則を無効にするには、構成ファイルでその重要度を none に設定します。
[*.{cs,vb}]
dotnet_diagnostic.CA5402.severity = none
詳細については、「コード分析の警告を抑制する方法」を参照してください。
疑似コードの例
using System;
using System.Security.Cryptography;
class ExampleClass
{
public void ExampleMethod(byte[] rgbIV)
{
AesCng aesCng = new AesCng();
Random r = new Random();
if (r.Next(6) == 4)
{
aesCng.IV = rgbIV;
}
aesCng.CreateEncryptor();
}
}
解決策
using System.Security.Cryptography;
class ExampleClass
{
public void ExampleMethod()
{
AesCng aesCng = new AesCng();
aesCng.CreateEncryptor();
}
}
GitHub で Microsoft と共同作業する
このコンテンツのソースは GitHub にあります。そこで、issue や pull request を作成および確認することもできます。 詳細については、共同作成者ガイドを参照してください。
.NET
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示