CA5373:不使用已過時的金鑰衍生函式
| 屬性 | 值 |
|---|---|
| 規則識別碼 | CA5373 |
| 標題 | 不使用已過時的金鑰衍生函式 |
| 類別 | 安全性 |
| 修正程式是中斷或非中斷 | 不中斷 |
| 預設在 .NET 8 中啟用 | No |
原因
密碼編譯弱式密鑰衍生方法和 System.Security.Cryptography.PasswordDeriveBytes /或 Rfc2898DeriveBytes.CryptDeriveKey 用來產生金鑰。
檔案描述
此規則會偵測弱式金鑰衍生方法和 System.Security.Cryptography.PasswordDeriveBytesRfc2898DeriveBytes.CryptDeriveKey 的叫用。
System.Security.Cryptography.PasswordDeriveBytes 使用弱式演算法 PBKDF1。 Rfc2898DeriveBytes.CryptDeriveKey 不會使用 物件中的 Rfc2898DeriveBytes 反覆項目計數和 salt,這會使它變得很弱。
如何修正違規
密碼型密鑰衍生應該使用 PBKDF2 演算法搭配 SHA-2 哈希。 Rfc2898DeriveBytes.GetBytes 可以用來達成此目的。
隱藏警告的時機
如果仔細檢閱並接受與使用 PBKDF1 相關聯的風險,請隱藏警告。
隱藏警告
如果您只想要隱藏單一違規,請將預處理器指示詞新增至原始程式檔以停用,然後重新啟用規則。
#pragma warning disable CA5373
// The code that's violating the rule is on this line.
#pragma warning restore CA5373
若要停用檔案、資料夾或項目的規則,請在組態檔中將其嚴重性設定為 。none
[*.{cs,vb}]
dotnet_diagnostic.CA5373.severity = none
如需詳細資訊,請參閱 如何隱藏程式代碼分析警告。
虛擬程式代碼範例
違規
在本文撰寫之時,下列虛擬程式碼範例說明這個規則偵測到的模式。
using System;
using System.Security.Cryptography;
class TestClass
{
public void TestMethod(Rfc2898DeriveBytes rfc2898DeriveBytes, string algname, string alghashname, int keySize, byte[] rgbIV)
{
rfc2898DeriveBytes.CryptDeriveKey(algname, alghashname, keySize, rgbIV);
}
}
解決方案
using System;
using System.Security.Cryptography;
class TestClass
{
public void TestMethod(Rfc2898DeriveBytes rfc2898DeriveBytes)
{
rfc2898DeriveBytes.GetBytes(1);
}
}
