CA5350: Não usar algoritmos de criptografia fracos
Property | Valor |
---|---|
ID da regra | CA5350 |
Título | Não usar algoritmos de criptografia fracos |
Categoria | Segurança |
Correção interruptiva ou sem interrupção | Sem interrupção |
Habilitado por padrão no .NET 9 | Não |
Observação
Este aviso foi atualizado pela última vez em novembro de 2015.
Causa
Algoritmos de criptografia, como TripleDES e algoritmos de hash, como SHA1 e RIPEMD160, são considerados fracos.
Esses algoritmos de criptografia não fornecem tanta garantia de segurança quanto equivalentes mais modernos. Os algoritmos de hash criptográfico SHA1 e RIPEMD160 fornecem menos resistência à colisão do que algoritmos de hash mais modernos. O algoritmo de criptografia TripleDES fornece menos bits de segurança do que algoritmos de criptografia mais modernos.
Descrição da regra
Algoritmos de criptografia fracos e funções de hash são usados hoje por vários motivos, mas não devem ser usados para garantir a confidencialidade dos dados protegidos.
A regra dispara quando localiza algoritmos 3DES, SHA1 ou RIPEMD160 no código e gera um aviso ao usuário.
Como corrigir violações
Use opções criptograficamente mais fortes:
Para criptografia TripleDES, use criptografia Aes.
Para funções de hash SHA1 ou RIPEMD160, use as da família SHA-2 (por exemplo, SHA512, SHA384 e SHA256).
Quando suprimir avisos
Suprima um aviso dessa regra quando o nível de proteção necessário para os dados não exigir uma garantia de segurança.
Suprimir um aviso
Para suprimir apenas uma violação, adicione diretivas de pré-processador ao arquivo de origem a fim de desabilitar e, em seguida, reabilitar a regra.
#pragma warning disable CA5350
// The code that's violating the rule is on this line.
#pragma warning restore CA5350
Para desabilitar a regra em um arquivo, uma pasta ou um projeto, defina a severidade como none
no arquivo de configuração.
[*.{cs,vb}]
dotnet_diagnostic.CA5350.severity = none
Para obter mais informações, confira Como suprimir avisos de análise de código.
Exemplos de pseudocódigo
No momento em que este material foi produzido, o exemplo de pseudocódigo a seguir ilustrava o padrão detectado por essa regra.
Violação de hash SHA-1
using System.Security.Cryptography;
...
var hashAlg = SHA1.Create();
Solução:
using System.Security.Cryptography;
...
var hashAlg = SHA256.Create();
Violação de hash RIPEMD160
using System.Security.Cryptography;
...
var hashAlg = RIPEMD160Managed.Create();
Solução:
using System.Security.Cryptography;
...
var hashAlg = SHA256.Create();
Violação da criptografia TripleDES
using System.Security.Cryptography;
...
using (TripleDES encAlg = TripleDES.Create())
{
...
}
Solução:
using System.Security.Cryptography;
...
using (AesManaged encAlg = new AesManaged())
{
...
}