CA5350：請勿使用弱式密碼編譯演算法

注意

上次於 2015 年 11 月更新此警告。

原因

例如 TripleDES 的加密演算法，和例如 SHA1 及 RIPEMD160 的雜湊演算法，被視為弱式。

這些密碼編譯演算法提供的安全性保證不像更新的同類型演算法那麼多。密碼編譯雜湊演算法 SHA1 和 RIPEMD160 提供的衝突防禦比更新的雜湊演算法少。加密演算法 TripleDES 提供比更新的加密演算法較少的安全性位元。

現今，弱式加密演算法和雜湊函式用於多種原因，但它們不應該用來保證所保護資料的機密性。

此規則會在它在程式碼中發現 3DES、SHA1 或 RIPEMD160 演算法時觸發，並擲回警告給使用者。

使用密碼編譯較強的選項：

當資料所需的保護層級不需要安全性保證時，隱藏此規則的警告。

如果您只想要隱藏單一違規，請將預處理器指示詞新增至原始程式檔以停用，然後重新啟用規則。

#pragma warning disable CA5350
// The code that's violating the rule is on this line.
#pragma warning restore CA5350

若要停用檔案、資料夾或項目的規則，請在組態檔中將其嚴重性設定為。none

[*.{cs,vb}]
dotnet_diagnostic.CA5350.severity = none

在本文撰寫之時，下列虛擬程式碼範例說明這個規則偵測到的模式。

using System.Security.Cryptography;
...
var hashAlg = SHA1.Create();

解決方案：

using System.Security.Cryptography;
...
var hashAlg = SHA256.Create();

using System.Security.Cryptography;
...
var hashAlg = RIPEMD160Managed.Create();

解決方案：

using System.Security.Cryptography;
...
var hashAlg = SHA256.Create();

using System.Security.Cryptography;
...
using (TripleDES encAlg = TripleDES.Create())
{
  ...
}

解決方案：

using System.Security.Cryptography;
...
using (AesManaged encAlg = new AesManaged())
{
  ...
}