CA5401: не используйте CreateEncryptor с не по умолчанию IV

  • Статья
Свойство Значение
Идентификатор правила CA5401
Заголовок не используйте CreateEncryptor с вектором инициализации, отличным от значения по умолчанию
Категория Безопасность
Исправление является критическим или не критическим Не критическое
Включен по умолчанию в .NET 8 No

Причина

Использование System.Security.Cryptography.SymmetricAlgorithm.CreateEncryptor с rgbIV, отличным от значения по умолчанию.

Описание правила

Для предотвращения атак перебором по словарю в симметричном шифровании всегда нужно использовать невоспроизводимый вектор инициализации.

Это правило похоже на правило CA5402, но анализ определяет, что вектор инициализации, несомненно, является значением по умолчанию.

Устранение нарушений

Используйте значение по умолчанию rgbIV, то есть используйте перегрузку, для System.Security.Cryptography.SymmetricAlgorithm.CreateEncryptor без параметров.

Когда лучше отключить предупреждения

Можно отключить вывод предупреждений для этого правила в следующих случаях:

Отключение предупреждений

Если вы просто хотите отключить одно нарушение, добавьте директивы препроцессора в исходный файл, чтобы отключить и повторно включить правило.

#pragma warning disable CA5401
// The code that's violating the rule is on this line.
#pragma warning restore CA5401

Чтобы отключить правило для файла, папки или проекта, задайте его серьезность none в файле конфигурации.

[*.{cs,vb}]
dotnet_diagnostic.CA5401.severity = none

Дополнительные сведения см. в разделе Практическое руководство. Скрытие предупреждений анализа кода.

Примеры псевдокода

using System.Security.Cryptography;

class ExampleClass
{
    public void ExampleMethod(byte[] rgbIV)
    {
        AesCng aesCng  = new AesCng();
        aesCng.IV = rgbIV;
        aesCng.CreateEncryptor();
    }
}

Решение

using System.Security.Cryptography;

class ExampleClass
{
    public void ExampleMethod()
    {
        AesCng aesCng  = new AesCng();
        aesCng.CreateEncryptor();
    }
}