CA5402:将 CreateEncryptor 与默认 IV 结合使用

项目
09/07/2023

属性	值
规则 ID	CA5402
标题	将 CreateEncryptor 与默认 IV 结合使用
类别	安全性
修复是中断修复还是非中断修复	非中断
在 .NET 8 中默认启用	否

原因

使用 System.Security.Cryptography.SymmetricAlgorithm.CreateEncryptor 时，rgbIV 可能为非默认值。

规则说明

对称加密应始终使用不可重复的初始化向量，以防止字典攻击。

此规则类似于 CA5401，但分析无法确定初始化向量是否一定为默认值。

如何解决冲突

显式使用默认 rgbIV 值，即，使用不带任何参数的 System.Security.Cryptography.SymmetricAlgorithm.CreateEncryptor 的重载。

何时禁止显示警告

在以下情况下，禁止显示此规则的警告是安全的：

rgbIV 参数由 System.Security.Cryptography.SymmetricAlgorithm.GenerateIV 生成。
确定 rgbIV 参数确实是随机且不可重复的参数。
确定使用了初始化向量。

抑制警告

如果只想抑制单个冲突，请将预处理器指令添加到源文件以禁用该规则，然后重新启用该规则。

#pragma warning disable CA5402
// The code that's violating the rule is on this line.
#pragma warning restore CA5402

若要对文件、文件夹或项目禁用该规则，请在配置文件中将其严重性设置为 none。

[*.{cs,vb}]
dotnet_diagnostic.CA5402.severity = none

有关详细信息，请参阅如何禁止显示代码分析警告。

伪代码示例

using System;
using System.Security.Cryptography;

class ExampleClass
{
    public void ExampleMethod(byte[] rgbIV)
    {
        AesCng aesCng  = new AesCng();
        Random r = new Random();

        if (r.Next(6) == 4)
        {
            aesCng.IV = rgbIV;
        }

        aesCng.CreateEncryptor();
    }
}

解决方案

using System.Security.Cryptography;

class ExampleClass
{
    public void ExampleMethod()
    {
        AesCng aesCng  = new AesCng();
        aesCng.CreateEncryptor();
    }
}