CA5402:将 CreateEncryptor 与默认 IV 结合使用

属性
规则 ID CA5402
标题 将 CreateEncryptor 与默认 IV 结合使用
类别 安全性
修复是中断修复还是非中断修复 非中断
在 .NET 9 中默认启用

原因

使用 System.Security.Cryptography.SymmetricAlgorithm.CreateEncryptor 时,rgbIV 可能为非默认值。

规则说明

对称加密应始终使用不可重复的初始化向量,以防止字典攻击。

此规则类似于 CA5401,但分析无法确定初始化向量是否一定为默认值。

如何解决冲突

显式使用默认 rgbIV 值,即,使用不带任何参数的 System.Security.Cryptography.SymmetricAlgorithm.CreateEncryptor 的重载。

何时禁止显示警告

在以下情况下,禁止显示此规则的警告是安全的:

抑制警告

如果只想抑制单个冲突,请将预处理器指令添加到源文件以禁用该规则,然后重新启用该规则。

#pragma warning disable CA5402
// The code that's violating the rule is on this line.
#pragma warning restore CA5402

若要对文件、文件夹或项目禁用该规则,请在配置文件中将其严重性设置为 none

[*.{cs,vb}]
dotnet_diagnostic.CA5402.severity = none

有关详细信息,请参阅如何禁止显示代码分析警告

伪代码示例

using System;
using System.Security.Cryptography;

class ExampleClass
{
    public void ExampleMethod(byte[] rgbIV)
    {
        AesCng aesCng  = new AesCng();
        Random r = new Random();

        if (r.Next(6) == 4)
        {
            aesCng.IV = rgbIV;
        }

        aesCng.CreateEncryptor();
    }
}

解决方案

using System.Security.Cryptography;

class ExampleClass
{
    public void ExampleMethod()
    {
        AesCng aesCng  = new AesCng();
        aesCng.CreateEncryptor();
    }
}