CA5402: Use CreateEncryptor com o IV padrão
Property | valor |
---|---|
ID da regra | CA5402 |
Título | Use CreateEncryptor com o IV padrão |
Categoria | Segurança |
A correção está quebrando ou não quebrando | Sem quebra |
Habilitado por padrão no .NET 9 | Não |
Motivo
O rgbIV
pode ser não-padrão ao usar System.Security.Cryptography.SymmetricAlgorithm.CreateEncryptoro .
Descrição da regra
A criptografia simétrica deve sempre usar um vetor de inicialização não repetível para evitar ataques de dicionário.
Esta regra é semelhante à CA5401, mas a análise não pode determinar se o vetor de inicialização é definitivamente o padrão.
Como corrigir violações
Use o valor padrão rgbIV
explicitamente, ou seja, use a sobrecarga do System.Security.Cryptography.SymmetricAlgorithm.CreateEncryptor que não tem nenhum parâmetro.
Quando suprimir avisos
É seguro suprimir um aviso desta regra se:
- O
rgbIV
parâmetro foi gerado por System.Security.Cryptography.SymmetricAlgorithm.GenerateIV. - Você tem certeza de que o
rgbIV
parâmetro é realmente aleatório e não repetível. - Você tem certeza de que o vetor de inicialização é usado.
Suprimir um aviso
Se você quiser apenas suprimir uma única violação, adicione diretivas de pré-processador ao seu arquivo de origem para desativar e, em seguida, reativar a regra.
#pragma warning disable CA5402
// The code that's violating the rule is on this line.
#pragma warning restore CA5402
Para desabilitar a regra de um arquivo, pasta ou projeto, defina sua gravidade como none
no arquivo de configuração.
[*.{cs,vb}]
dotnet_diagnostic.CA5402.severity = none
Para obter mais informações, consulte Como suprimir avisos de análise de código.
Exemplos de pseudocódigo
using System;
using System.Security.Cryptography;
class ExampleClass
{
public void ExampleMethod(byte[] rgbIV)
{
AesCng aesCng = new AesCng();
Random r = new Random();
if (r.Next(6) == 4)
{
aesCng.IV = rgbIV;
}
aesCng.CreateEncryptor();
}
}
Solução
using System.Security.Cryptography;
class ExampleClass
{
public void ExampleMethod()
{
AesCng aesCng = new AesCng();
aesCng.CreateEncryptor();
}
}