共用方式為


CA5373:不使用已過時的金鑰衍生函式

屬性
規則識別碼 CA5373
標題 不使用已過時的金鑰衍生函式
類別 安全性
修正程式是中斷或非中斷 不中斷
預設在 .NET 8 中啟用 No

原因

密碼編譯弱式密鑰衍生方法和 System.Security.Cryptography.PasswordDeriveBytes /或 Rfc2898DeriveBytes.CryptDeriveKey 用來產生金鑰。

檔案描述

此規則會偵測弱式金鑰衍生方法和 System.Security.Cryptography.PasswordDeriveBytesRfc2898DeriveBytes.CryptDeriveKey 的叫用。 System.Security.Cryptography.PasswordDeriveBytes 使用弱式演算法 PBKDF1。 Rfc2898DeriveBytes.CryptDeriveKey 不會使用 物件中的 Rfc2898DeriveBytes 反覆項目計數和 salt,這會使它變得很弱。

如何修正違規

密碼型密鑰衍生應該使用 PBKDF2 演算法搭配 SHA-2 哈希。 Rfc2898DeriveBytes.GetBytes 可以用來達成此目的。

隱藏警告的時機

如果仔細檢閱並接受與使用 PBKDF1 相關聯的風險,請隱藏警告。

隱藏警告

如果您只想要隱藏單一違規,請將預處理器指示詞新增至原始程式檔以停用,然後重新啟用規則。

#pragma warning disable CA5373
// The code that's violating the rule is on this line.
#pragma warning restore CA5373

若要停用檔案、資料夾或項目的規則,請在組態檔中將其嚴重性設定為 。none

[*.{cs,vb}]
dotnet_diagnostic.CA5373.severity = none

如需詳細資訊,請參閱 如何隱藏程式代碼分析警告

虛擬程式代碼範例

違規

在本文撰寫之時,下列虛擬程式碼範例說明這個規則偵測到的模式。

using System;
using System.Security.Cryptography;
class TestClass
{
    public void TestMethod(Rfc2898DeriveBytes rfc2898DeriveBytes, string algname, string alghashname, int keySize, byte[] rgbIV)
    {
        rfc2898DeriveBytes.CryptDeriveKey(algname, alghashname, keySize, rgbIV);
    }
}

解決方案

using System;
using System.Security.Cryptography;
class TestClass
{
    public void TestMethod(Rfc2898DeriveBytes rfc2898DeriveBytes)
    {
        rfc2898DeriveBytes.GetBytes(1);
    }
}