CA5387:請勿使用反覆項目數不足的弱式金鑰衍生函數 (Key Derivation Function)
屬性 | 值 |
---|---|
規則識別碼 | CA5387 |
職稱 | 請勿使用反覆項目數不足的弱式金鑰衍生函數 (Key Derivation Function) |
類別 | 安全性 |
修正程式是中斷或非中斷 | 不中斷 |
預設在 .NET 9 中啟用 | No |
原因
搭配預設反覆運算計數使用 System.Security.Cryptography.Rfc2898DeriveBytes.GetBytes ,或指定小於100,000的反覆項目計數。
根據預設,此規則會分析整個程式代碼基底,但這是可設定的。
檔案描述
此規則會檢查密碼編譯金鑰是否由 Rfc2898DeriveBytes 產生,且反覆運算計數小於 100,000。 較高的反覆運算計數有助於減輕嘗試猜測所產生密碼編譯金鑰的字典攻擊。
此規則類似於 CA5388,但分析會判斷反覆項目計數小於 100,000。
如何修正違規
在呼叫 GetBytes之前,請先設定大於或等於100,000的反覆項目計數。
隱藏警告的時機
如果您需要使用較小的反覆專案計數來與現有數據相容,則隱藏警告是安全的。
隱藏警告
如果您只想要隱藏單一違規,請將預處理器指示詞新增至原始程式檔以停用,然後重新啟用規則。
#pragma warning disable CA5387
// The code that's violating the rule is on this line.
#pragma warning restore CA5387
若要停用檔案、資料夾或項目的規則,請在組態檔中將其嚴重性設定為 。none
[*.{cs,vb}]
dotnet_diagnostic.CA5387.severity = none
如需詳細資訊,請參閱 如何隱藏程式代碼分析警告。
設定程式代碼以分析
使用下列選項來設定程式代碼基底要執行此規則的部分。
您可以只針對此規則、它套用的所有規則,或針對套用至此類別的所有規則(安全性)設定這些選項。 如需詳細資訊,請參閱 程式代碼品質規則組態選項。
排除特定符號
您可以從分析中排除特定符號,例如類型和方法。 例如,若要指定規則不應該在名為 MyType
的任何程式代碼上執行,請將下列機碼/值組新增至 專案中的 .editorconfig 檔案:
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType
選項值中允許的符號名稱格式(以 |
分隔):
- 只包含符號名稱(包含名稱的所有符號,不論包含類型或命名空間為何)。
- 符號 檔案識別碼格式的完整名稱。 每個符號名稱都需要符號種類前置詞,例如
M:
方法、T:
類型和N:
命名空間。 .ctor
用於建構函式和.cctor
靜態建構函式。
範例:
選項值 | 摘要 |
---|---|
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType |
符合所有名為 MyType 的符號。 |
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType1|MyType2 |
比對名為 MyType1 或 MyType2 的所有符號。 |
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS.MyType.MyMethod(ParamType) |
比對特定方法 MyMethod 與指定的完整簽章。 |
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS1.MyType1.MyMethod1(ParamType)|M:NS2.MyType2.MyMethod2(ParamType) |
比對特定方法和MyMethod1 MyMethod2 個別的完整簽章。 |
排除特定類型及其衍生類型
您可以從分析中排除特定類型及其衍生類型。 例如,若要指定規則不應該在具名 MyType
類型及其衍生型別內的任何方法上執行,請將下列機碼/值組新增至 專案中的 .editorconfig 檔案:
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType
選項值中允許的符號名稱格式(以 |
分隔):
- 僅限類型名稱(包含名稱的所有類型,不論包含類型或命名空間為何)。
- 符號 文件識別碼格式的完整名稱,具有選擇性
T:
前置詞。
範例:
選項值 | 摘要 |
---|---|
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType |
比對所有具名 MyType 的類型及其所有衍生型別。 |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType1|MyType2 |
比對所有名為 MyType1 或 MyType2 的型別,以及其所有衍生型別。 |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS.MyType |
比對具有指定完整名稱的特定型 MyType 別及其所有衍生型別。 |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS1.MyType1|M:NS2.MyType2 |
比對特定類型和MyType1 MyType2 個別的完整名稱,以及其所有衍生型別。 |
虛擬程式代碼範例
默認反覆項目計數違規
using System.Security.Cryptography;
class ExampleClass
{
public void ExampleMethod(string password, byte[] salt, int cb)
{
var rfc2898DeriveBytes = new Rfc2898DeriveBytes(password, salt);
rfc2898DeriveBytes.GetBytes(cb);
}
}
在建構函式違規中指定反覆項目計數
using System.Security.Cryptography;
class ExampleClass
{
public void ExampleMethod(string password, byte[] salt, int cb)
{
var rfc2898DeriveBytes = new Rfc2898DeriveBytes(password, salt, 100);
rfc2898DeriveBytes.GetBytes(cb);
}
}
依屬性指派違規指定反覆項目計數
using System.Security.Cryptography;
class ExampleClass
{
public void ExampleMethod(string password, byte[] salt, int cb)
{
var rfc2898DeriveBytes = new Rfc2898DeriveBytes(password, salt);
rfc2898DeriveBytes.IterationCount = 100;
rfc2898DeriveBytes.GetBytes(cb);
}
}
解決方案
using System.Security.Cryptography;
class ExampleClass
{
public void ExampleMethod(string password, byte[] salt, int cb)
{
var rfc2898DeriveBytes = new Rfc2898DeriveBytes(password, salt);
rfc2898DeriveBytes.IterationCount = 100000;
rfc2898DeriveBytes.GetBytes(cb);
}
}