CA5402: A CreateEncryptor használata az alapértelmezett IV-vel
| Tulajdonság | Érték |
|---|---|
| Szabályazonosító | CA5402 |
| Cím | A CreateEncryptor használata az alapértelmezett IV-vel |
| Kategória | Biztonság |
| A javítás kompatibilitástörő vagy nem törik | Nem törés |
| Alapértelmezés szerint engedélyezve a .NET 8-ban | Nem |
Ok
A rgbIV beállítás nem alapértelmezett lehet a használat során System.Security.Cryptography.SymmetricAlgorithm.CreateEncryptor.
Szabály leírása
A szimmetrikus titkosításnak mindig nem ismételhető inicializálási vektort kell használnia a szótártámadások megelőzése érdekében.
Ez a szabály hasonló a CA5401-hez, de az elemzés nem tudja megállapítani, hogy az inicializálási vektor az alapértelmezett.
Szabálysértések kijavítása
Használja explicit módon az alapértelmezett rgbIV értéket, azaz használja annak System.Security.Cryptography.SymmetricAlgorithm.CreateEncryptor túlterhelését, amelynek nincs paramétere.
Mikor kell letiltani a figyelmeztetéseket?
A szabály figyelmeztetését nyugodtan letilthatja, ha:
- A
rgbIVparamétert a System.Security.Cryptography.SymmetricAlgorithm.GenerateIVkövetkező hozta létre: . - Biztos benne, hogy a
rgbIVparaméter valóban véletlenszerű és nem megismételhető. - Biztos benne, hogy az inicializálási vektort használja.
Figyelmeztetés mellőzése
Ha csak egyetlen szabálysértést szeretne letiltani, adjon hozzá előfeldolgozási irányelveket a forrásfájlhoz a szabály letiltásához és újbóli engedélyezéséhez.
#pragma warning disable CA5402
// The code that's violating the rule is on this line.
#pragma warning restore CA5402
Ha le szeretné tiltani egy fájl, mappa vagy projekt szabályát, állítsa annak súlyosságát none a konfigurációs fájlban.
[*.{cs,vb}]
dotnet_diagnostic.CA5402.severity = none
További információ: Kódelemzési figyelmeztetések letiltása.
Példák pszeudokódokra
using System;
using System.Security.Cryptography;
class ExampleClass
{
public void ExampleMethod(byte[] rgbIV)
{
AesCng aesCng = new AesCng();
Random r = new Random();
if (r.Next(6) == 4)
{
aesCng.IV = rgbIV;
}
aesCng.CreateEncryptor();
}
}
Megoldás
using System.Security.Cryptography;
class ExampleClass
{
public void ExampleMethod()
{
AesCng aesCng = new AesCng();
aesCng.CreateEncryptor();
}
}
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: