CA5402: Użyj polecenia CreateEncryptor z domyślnym iv
| Właściwości | Wartość |
|---|---|
| Identyfikator reguły | CA5402 |
| Stanowisko | Użyj metody CreateEncryptor z domyślnym wektorem inicjowania |
| Kategoria | Bezpieczeństwo |
| Poprawka powodująca niezgodność lub niezgodność | Niezgodność |
| Domyślnie włączone na platformie .NET 8 | Nie. |
Przyczyna
Wartość może być nie domyślna rgbIV w przypadku używania polecenia System.Security.Cryptography.SymmetricAlgorithm.CreateEncryptor.
Opis reguły
Szyfrowanie symetryczne powinno zawsze używać nie powtarzalnego wektora inicjalizacji, aby zapobiec atakom słownikowym.
Ta reguła jest podobna do CA5401, ale analiza nie może określić, że wektor inicjowania jest zdecydowanie domyślny.
Jak naprawić naruszenia
Użyj jawnie wartości domyślnej rgbIV , czyli użyj przeciążenia System.Security.Cryptography.SymmetricAlgorithm.CreateEncryptor , które nie ma żadnego parametru.
Kiedy pomijać ostrzeżenia
Można bezpiecznie pominąć ostrzeżenie z tej reguły, jeśli:
- Parametr
rgbIVzostał wygenerowany przez element System.Security.Cryptography.SymmetricAlgorithm.GenerateIV. - Na pewno
rgbIVparametr jest naprawdę losowy i nie powtarzalny. - Upewnij się, że jest używany wektor inicjowania.
Pomijanie ostrzeżenia
Jeśli chcesz po prostu pominąć pojedyncze naruszenie, dodaj dyrektywy preprocesora do pliku źródłowego, aby wyłączyć, a następnie ponownie włączyć regułę.
#pragma warning disable CA5402
// The code that's violating the rule is on this line.
#pragma warning restore CA5402
Aby wyłączyć regułę dla pliku, folderu lub projektu, ustaw jego ważność na none w pliku konfiguracji.
[*.{cs,vb}]
dotnet_diagnostic.CA5402.severity = none
Aby uzyskać więcej informacji, zobacz Jak pominąć ostrzeżenia dotyczące analizy kodu.
Przykłady przykładów kodu przykładowego
using System;
using System.Security.Cryptography;
class ExampleClass
{
public void ExampleMethod(byte[] rgbIV)
{
AesCng aesCng = new AesCng();
Random r = new Random();
if (r.Next(6) == 4)
{
aesCng.IV = rgbIV;
}
aesCng.CreateEncryptor();
}
}
Rozwiązanie
using System.Security.Cryptography;
class ExampleClass
{
public void ExampleMethod()
{
AesCng aesCng = new AesCng();
aesCng.CreateEncryptor();
}
}
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla