CA5388：使用弱式金鑰衍生函數 (Key Derivation Function) 時，請確保反覆項目數足夠

屬性	值
規則識別碼	CA5388
職稱	使用弱式金鑰衍生函數 (Key Derivation Function) 時，請確保反覆項目數足夠
類別	安全性
修正是造成中斷還是不中斷	不中斷
在 .NET 10 中預設啟用	否
適用語言	C# 與 Visual Basic

原因

在衍生 System.Security.Cryptography.Rfc2898DeriveBytes.GetBytes 密碼學的密鑰時，反覆次數可能小於 100,000。

根據預設，此規則會分析整個程式碼，但它是可配置的。

規則描述

此規則會檢查密碼編譯金鑰是否由 Rfc2898DeriveBytes 產生，且反覆運算計數可能小於 100,000。 較高的迭代次數有助於降低嘗試猜測生成加密金鑰的字典攻擊風險。

此規則類似於 CA5387，但分析無法判斷反覆運算計數是否小於 100,000。

如何修正違規

在明確呼叫 GetBytes 之前，設定大於或等於 100k 的反覆項目計數。

隱藏警告的時機

如果下列狀況，可以安全地隱藏來自此規則的警告：

• 您必須使用較小的反覆項目計數來與現有數據相容。
• 您確定迭代次數已設定在100,000以上。

隱藏警告

如果您只想要隱藏單一違規，請將預處理器指示詞新增至原始程式檔以停用，然後重新啟用規則。

#pragma warning disable CA5388
// The code that's violating the rule is on this line.
#pragma warning restore CA5388

若要停用檔案、資料夾或專案的規則，請在組態檔中將其嚴重性設為 none。

[*.{cs,vb}]
dotnet_diagnostic.CA5388.severity = none

如需詳細資訊，請參閱 如何隱藏程式代碼分析警告。

設定程式代碼以分析

使用下列選項來設定程式代碼基底要執行此規則的部分。

• 排除特定符號
• 排除特定類型及其衍生類型

您可以只針對此規則、套用至的所有規則，或套用至此類別的所有規則（安全性）設定這些選項。 如需詳細資訊，請參閱 程式代碼品質規則組態選項。

排除特定符號

您可以藉由設定 [excluded_symbol_names] 選項，從分析中排除特定符號，例如類型和方法。 例如，若要指定規則不應該在名為 MyType的任何程式代碼上執行，請將下列機碼/值組新增至 專案中的 .editorconfig 檔案：

dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType

注意

以適用規則的標識碼取代 XXXX 的 CAXXXX 部分。

選項值中允許的符號名稱格式（以 |分隔）：

• 只含符號名稱（包括名稱的所有符號，不論其所屬類型或命名空間）。
• 符號的 文件識別碼格式中的完整名稱。 每個符號名稱都需要符號種類前置詞，例如 M: 方法、 T: 類型和 N: 命名空間。
• .ctor 用於建構函式和 .cctor 靜態建構函式。

範例：

選項值	摘要
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType	符合所有名為 MyType的符號。
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType1|MyType2	比對名為 MyType1 或 MyType2的所有符號。
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS.MyType.MyMethod(ParamType)	比對特定方法 MyMethod 與指定的完整簽章。
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS1.MyType1.MyMethod1(ParamType)|M:NS2.MyType2.MyMethod2(ParamType)	比對特定方法 MyMethod1 和 MyMethod2，及其各自的完整簽章。

排除特定類型及其衍生類型

您可以藉由設定 [excluded_type_names_with_derived_types] 選項，從分析中排除特定類型及其衍生類型。 例如，若要指定規則不應該在具名 MyType 類型及其衍生型別內的任何方法上執行，請將下列機碼/值組新增至 專案中的 .editorconfig 檔案：

dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType

注意

以適用規則的標識碼取代 XXXX 的 CAXXXX 部分。

選項值中允許的符號名稱格式（以 |分隔）：

• 僅輸入類型名稱（包含該名稱的所有類型，不論包含類型或命名空間為何）。
• 符號的 文件識別碼格式中的完整限定名稱，具有可選的 T: 前置字首。

範例：

選項值	摘要
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType	比對所有具名 MyType 的類型及其所有衍生型別。
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType1|MyType2	比對所有名為 MyType1 或 MyType2 的型別，以及其所有衍生型別。
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS.MyType	比對指定完整名稱的特定類型 MyType 及其所有衍生類型。
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS1.MyType1|M:NS2.MyType2	比對特定類型 MyType1 和 MyType2 及其所有衍生類型的完整名稱。

虛擬程式代碼範例

違規

using System;
using System.Security.Cryptography;

class ExampleClass
{
    public void ExampleMethod(string password, byte[] salt, int cb)
    {
        var iterations = 100;
        Random r = new Random();

        if (r.Next(6) == 4)
        {
            iterations = 100000;
        }

        var rfc2898DeriveBytes = new Rfc2898DeriveBytes(password, salt, iterations);
        rfc2898DeriveBytes.GetBytes(cb);
    }
}

解決方案

using System.Security.Cryptography;

class ExampleClass
{
    public void ExampleMethod(string password, byte[] salt, int cb)
    {
        var rfc2898DeriveBytes = new Rfc2898DeriveBytes(password, salt);
        rfc2898DeriveBytes.IterationCount = 100000;
        rfc2898DeriveBytes.GetBytes(cb);
    }
}