| 속성 | 값 |
|---|---|
| 규칙 ID | CA5350 |
| 제목 | 취약한 암호화 알고리즘을 사용하지 마세요. |
| 범주 | 보안 |
| 수정 사항이 호환성을 깨뜨리는지 여부 또는 무중단인지 여부 | 주요 변경 아님 |
| .NET 10에서 기본적으로 사용하도록 설정 | 아니요 |
| 적용 가능한 언어 | C# 및 Visual Basic |
주의
이 경고는 2015년 11월에 마지막으로 업데이트되었습니다.
원인
TripleDES 등의 암호화 알고리즘과 SHA1 및 RIPEMD160 등의 해시 알고리즘은 취약한 것으로 간주됩니다.
이러한 암호화 알고리즘은 최신 알고리즘만큼 강력하게 보안을 보장하지 않습니다. 암호화 해시 알고리즘 SHA1 및 RIPEMD160 은 최신 해시 알고리즘보다 충돌 방지 기능이 약합니다. 암호화 알고리즘 TripleDES 는 최신 암호화 알고리즘보다 더 적은 보안 비트를 제공합니다.
규칙 설명
오늘날 여러 가지 이유로 약한 암호화 알고리즘 및 해시 함수가 사용되지만 데이터의 기밀성을 보장하기 위해서는 이 방법을 사용하지 않아야 합니다.
이 규칙은 코드에 3DES, SHA1 또는 RIPEMD160 알고리즘이 있을 때 트리거되며 사용자에게 경고를 throw합니다.
위반 문제를 해결하는 방법
보다 강력한 암호화 옵션을 사용합니다.
TripleDES 암호화의 경우 Aes 암호화를 사용합니다.
SHA1 또는 RIPEMD160 해시 함수를 사용하는 대신, SHA-2 계열의 함수 (SHA512, SHA384, SHA256 등)를 사용하는 것이 좋습니다.
경고를 표시하지 않는 경우
데이터에 필요한 보호 수준이 보안 보장을 요구하지 않는 경우 이 규칙에서 실행되는 경고를 표시하지 않도록 설정합니다.
경고 표시 안 함
단일 위반을 억제하려면 원본 파일에 전처리기 지시문을 추가하여 규칙을 비활성화한 후 다시 활성화하십시오.
#pragma warning disable CA5350
// The code that's violating the rule is on this line.
#pragma warning restore CA5350
파일, 폴더 또는 프로젝트에 대한 규칙을 사용하지 않으려면 구성 파일에서 none의 심각도를 설정합니다.
[*.{cs,vb}]
dotnet_diagnostic.CA5350.severity = none
자세한 내용은 방법: 코드 분석 경고 표시 안 함을 참조하세요.
의사 코드 예제
이 글을 작성하는 시점에서, 다음의 의사코드 예시는 이 규칙에 의해 탐지되는 패턴을 보여줍니다.
SHA-1 해시 위반
using System.Security.Cryptography;
...
var hashAlg = SHA1.Create();
해결 방법:
using System.Security.Cryptography;
...
var hashAlg = SHA256.Create();
RIPEMD160 해시 위반
using System.Security.Cryptography;
...
var hashAlg = RIPEMD160Managed.Create();
해결 방법:
using System.Security.Cryptography;
...
var hashAlg = SHA256.Create();
TripleDES 암호화 위반
using System.Security.Cryptography;
...
using (TripleDES encAlg = TripleDES.Create())
{
...
}
해결 방법:
using System.Security.Cryptography;
...
using (AesManaged encAlg = new AesManaged())
{
...
}
GitHub에서 Microsoft와 공동 작업
이 콘텐츠의 원본은 GitHub에서 찾을 수 있으며, 여기서 문제와 끌어오기 요청을 만들고 검토할 수도 있습니다. 자세한 내용은 참여자 가이드를 참조하세요.
.NET