CA5390:请勿编码加密密钥

项目
02/15/2024

属性	值
规则 ID	CA5390
标题	请勿编码加密密钥
类别	安全性
修复是中断修复还是非中断修复	非中断
在 .NET 8 中默认启用	否

原因

System.Security.Cryptography.AesCcm 或 System.Security.Cryptography.AesGcm 构造函数的 key 参数、System.Security.Cryptography.SymmetricAlgorithm.Key 属性，或者 System.Security.Cryptography.SymmetricAlgorithm.CreateEncryptor 或 System.Security.Cryptography.SymmetricAlgorithm.CreateDecryptor 方法的 rgbKey 参数由以下其中一项硬编码：

字节数组。
System.Convert.FromBase64String。
System.Text.Encoding.GetBytes 的所有重载。

默认情况下，此规则会分析整个代码库，但这是可配置的。

规则说明

要成功使用对称算法，密钥必须只有发送方和接收方知道。如果密钥是硬编码的，就容易被发现。即使使用编译的二进制文件，恶意用户也容易将其提取出来。私钥泄露后，密码文本可直接被解密并且不再受保护。

如何解决冲突

考虑重新设计应用程序，以使用安全的密钥管理系统，如 Azure Key Vault。
将凭据和密钥保留在安全位置，与源代码分开。

何时禁止显示警告

不禁止显示此规则发出的警告。

配置代码以进行分析

使用下面的选项来配置代码库的哪些部分要运行此规则。

排除特定符号
排除特定类型及其派生类型

可以仅为此规则、为适用的所有规则或为适用的此类别（安全性）中的所有规则配置这些选项。有关详细信息，请参阅代码质量规则配置选项。

排除特定符号

可以从分析中排除特定符号，如类型和方法。例如，若要指定规则不应针对名为 MyType 的类型中的任何代码运行，请将以下键值对添加到项目中的 .editorconfig 文件：

dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType

选项值中允许的符号名称格式（用 | 分隔）：

仅符号名称（包括具有相应名称的所有符号，不考虑包含的类型或命名空间）。
完全限定的名称，使用符号的文档 ID 格式。每个符号名称都需要带有一个符号类型前缀，例如表示方法的 M:、表示类型的 T:，以及表示命名空间的 N:。
.ctor 表示构造函数，.cctor 表示静态构造函数。

示例：

选项值	总结
`dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType`	匹配名为 `MyType` 的所有符号。
`dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType1\|MyType2`	匹配名为 `MyType1` 或 `MyType2` 的所有符号。
`dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS.MyType.MyMethod(ParamType)`	匹配带有指定的完全限定签名的特定方法 `MyMethod`。
`dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS1.MyType1.MyMethod1(ParamType)\|M:NS2.MyType2.MyMethod2(ParamType)`	匹配带有各自的完全限定签名的特定方法 `MyMethod1` 和 `MyMethod2`。

排除特定类型及其派生类型

可以从分析中排除特定类型及其派生类型。例如，若要指定规则不应针对名为 MyType 的类型及其派生类型中的任何代码运行，请将以下键值对添加到项目中的 .editorconfig 文件：

dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType

选项值中允许的符号名称格式（用 | 分隔）：

仅类型名称（包括具有相应名称的所有类型，不考虑包含的类型或命名空间）。
完全限定的名称，使用符号的文档 ID 格式，前缀为 T:（可选）。

示例：

选项值	总结
`dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType`	匹配名为 `MyType` 的所有类型及其所有派生类型。
`dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType1\|MyType2`	匹配名为 `MyType1` 或 `MyType2` 的所有类型及其所有派生类型。
`dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS.MyType`	匹配带有给定的完全限定名称的特定类型 `MyType` 及其所有派生类型。
`dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS1.MyType1\|M:NS2.MyType2`	匹配带有各自的完全限定名称的特定类型 `MyType1` 和 `MyType2` 及其所有派生类型。

伪代码示例

硬编码字节数组冲突

using System;
using System.Security.Cryptography;

class ExampleClass
{
    public void ExampleMethod(byte[] someOtherBytesForIV)
    {
        byte[] rgbKey = new byte[] {1, 2, 3};
        SymmetricAlgorithm rijn = SymmetricAlgorithm.Create();
        rijn.CreateEncryptor(rgbKey, someOtherBytesForIV);
    }
}

硬编码 Convert.FromBase64String 冲突

using System;
using System.Security.Cryptography;

class ExampleClass
{
    public void ExampleMethod(byte[] someOtherBytesForIV)
    {
        byte[] key = Convert.FromBase64String("AAAAAaazaoensuth");
        SymmetricAlgorithm rijn = SymmetricAlgorithm.Create();
        rijn.CreateEncryptor(key, someOtherBytesForIV);
    }
}

硬编码 Encoding.GetBytes 冲突

using System.Text;
using System.Security.Cryptography;

class ExampleClass
{
    public void ExampleMethod(byte[] someOtherBytesForIV)
    {
        byte[] key = Encoding.ASCII.GetBytes("AAAAAaazaoensuth");
        SymmetricAlgorithm rijn = SymmetricAlgorithm.Create();
        rijn.CreateEncryptor(key, someOtherBytesForIV);
    }
}

解决方案

using System.Text;
using System.Security.Cryptography;

class ExampleClass
{
    public void ExampleMethod(char[] chars, byte[] someOtherBytesForIV)
    {
        byte[] key = Encoding.ASCII.GetBytes(chars);
        SymmetricAlgorithm rijn = SymmetricAlgorithm.Create();
        rijn.CreateEncryptor(key, someOtherBytesForIV);
    }
}