CA5358: Güvenli Olmayan Şifreleme Modlarını Kullanmayın
| Özellik | Değer |
|---|---|
| Kural Kimliği | CA5358 |
| Başlık | Güvenli Olmayan Şifreleme Modlarını Kullanmayın |
| Kategori | Güvenlik |
| Hataya neden olan veya bozulmayan düzeltme | Hataya neden olmayan |
| .NET 9'da varsayılan olarak etkin | Hayır |
Neden
Onaylanmamış aşağıdaki güvenli olmayan şifreleme modlarından birinin kullanılması:
- System.Security.Cryptography.CipherMode.ECB
- System.Security.Cryptography.CipherMode.OFB
- System.Security.Cryptography.CipherMode.CFB
Kural açıklaması
Bu modlar saldırılara karşı savunmasızdır ve hassas bilgilerin açığa çıkmasına neden olabilir. Örneğin, bir düz metin bloğunu şifrelemek için kullanmak ECB her zaman aynı şifreleme metni oluşturur, böylece şifrelenmiş iki iletinin özdeş olup olmadığını kolayca anlayabilir. Onaylanan modların kullanılması bu gereksiz riskleri önleyebilir.
İhlalleri düzeltme
- Yalnızca onaylanan modları (System.Security.Cryptography.CipherMode.CBC, System.Security.Cryptography.CipherMode.CTS) kullanın.
Uyarıların ne zaman bastırılması gerekiyor?
Aşağıdakiler durumunda bu kuraldan gelen bir uyarıyı engellemek güvenlidir:
- Şifreleme uzmanları şifreleme modunun kullanımını gözden geçirdi ve onayladı.
- Başvuruda bulunan CipherMode şifreleme işlemi için kullanılmaz.
Uyarıyı gizleme
Yalnızca tek bir ihlali engellemek istiyorsanız, kuralı devre dışı bırakmak ve sonra yeniden etkinleştirmek için kaynak dosyanıza ön işlemci yönergeleri ekleyin.
#pragma warning disable CA5358
// The code that's violating the rule is on this line.
#pragma warning restore CA5358
Bir dosya, klasör veya projenin kuralını devre dışı bırakmak için, yapılandırma dosyasındaki önem derecesini none olarak ayarlayın.
[*.{cs,vb}]
dotnet_diagnostic.CA5358.severity = none
Daha fazla bilgi için bkz . Kod analizi uyarılarını gizleme.
Sahte kod örnekleri
ECB'yi Mode özelliğine atama
using System.Security.Cryptography;
class ExampleClass {
private static void ExampleMethod () {
RijndaelManaged rijn = new RijndaelManaged
{
Mode = CipherMode.ECB
};
}
}
ECB değerini kullanma
using System;
using System.Security.Cryptography;
class ExampleClass
{
private static void ExampleMethod()
{
Console.WriteLine(CipherMode.ECB);
}
}
Çözüm
using System.Security.Cryptography;
class ExampleClass {
private static void ExampleMethod () {
RijndaelManaged rijn = new RijndaelManaged
{
Mode = CipherMode.CBC
};
}
}
