Megosztás a következőn keresztül:

CA5401: Ne használja a CreateEncryptort nem alapértelmezett IV-es verzióval

  • Cikk
Tulajdonság Érték
Szabályazonosító CA5401
Cím Ne használja a CreateEncryptort nem alapértelmezett IV-vel
Kategória Biztonság
A javítás kompatibilitástörő vagy nem törik Nem törés
Alapértelmezés szerint engedélyezve a .NET 8-ban Nem

Ok

Nem alapértelmezett rgbIVbeállítással történő használatSystem.Security.Cryptography.SymmetricAlgorithm.CreateEncryptor.

Szabály leírása

A szimmetrikus titkosításnak mindig nem ismételhető inicializálási vektort kell használnia a szótártámadások megelőzése érdekében.

Ez a szabály hasonló a CA5402-hez, de az elemzés megállapítja, hogy az inicializálási vektor az alapértelmezett.

Szabálysértések kijavítása

Használja az alapértelmezett rgbIV értéket, azaz használja annak System.Security.Cryptography.SymmetricAlgorithm.CreateEncryptor túlterhelését, amelynek nincs paramétere.

Mikor kell letiltani a figyelmeztetéseket?

A szabály figyelmeztetését nyugodtan letilthatja, ha:

Figyelmeztetés mellőzése

Ha csak egyetlen szabálysértést szeretne letiltani, adjon hozzá előfeldolgozási irányelveket a forrásfájlhoz a szabály letiltásához és újbóli engedélyezéséhez.

#pragma warning disable CA5401
// The code that's violating the rule is on this line.
#pragma warning restore CA5401

Ha le szeretné tiltani egy fájl, mappa vagy projekt szabályát, állítsa annak súlyosságát none a konfigurációs fájlban.

[*.{cs,vb}]
dotnet_diagnostic.CA5401.severity = none

További információ: Kódelemzési figyelmeztetések letiltása.

Példák pszeudokódokra

using System.Security.Cryptography;

class ExampleClass
{
    public void ExampleMethod(byte[] rgbIV)
    {
        AesCng aesCng  = new AesCng();
        aesCng.IV = rgbIV;
        aesCng.CreateEncryptor();
    }
}

Megoldás

using System.Security.Cryptography;

class ExampleClass
{
    public void ExampleMethod()
    {
        AesCng aesCng  = new AesCng();
        aesCng.CreateEncryptor();
    }
}