Compartilhar via

CA5402: Usar CreateEncryptor com o IV padrão

  • Artigo
Property Valor
ID da regra CA5402
Título Usar CreateEncryptor com o IV padrão
Categoria Segurança
Correção interruptiva ou sem interrupção Sem interrupção
Habilitado por padrão no .NET 8 Não

Causa

O rgbIV pode não ser padrão ao usar System.Security.Cryptography.SymmetricAlgorithm.CreateEncryptor.

Descrição da regra

A criptografia simétrica sempre deve usar um vetor de inicialização que não possa ser repetido para evitar ataques de dicionário.

Essa regra é semelhante a CA5401, mas a análise não pode determinar se o vetor de inicialização é definitivamente o padrão.

Como corrigir violações

Use o valor padrão rgbIV explicitamente, ou seja, use a sobrecarga do System.Security.Cryptography.SymmetricAlgorithm.CreateEncryptor qual não tem nenhum parâmetro.

Quando suprimir avisos

É seguro suprimir um aviso dessa regra se:

Suprimir um aviso

Para suprimir apenas uma violação, adicione diretivas de pré-processador ao arquivo de origem a fim de desabilitar e, em seguida, reabilitar a regra.

#pragma warning disable CA5402
// The code that's violating the rule is on this line.
#pragma warning restore CA5402

Para desabilitar a regra em um arquivo, uma pasta ou um projeto, defina a severidade como none no arquivo de configuração.

[*.{cs,vb}]
dotnet_diagnostic.CA5402.severity = none

Para obter mais informações, confira Como suprimir avisos de análise de código.

Exemplos de pseudocódigo

using System;
using System.Security.Cryptography;

class ExampleClass
{
    public void ExampleMethod(byte[] rgbIV)
    {
        AesCng aesCng  = new AesCng();
        Random r = new Random();

        if (r.Next(6) == 4)
        {
            aesCng.IV = rgbIV;
        }

        aesCng.CreateEncryptor();
    }
}

Solução

using System.Security.Cryptography;

class ExampleClass
{
    public void ExampleMethod()
    {
        AesCng aesCng  = new AesCng();
        aesCng.CreateEncryptor();
    }
}