CA5350: non usare algoritmi di crittografia vulnerabili
| Proprietà | valore |
|---|---|
| ID regola | CA5350 |
| Title | Non usare algoritmi di crittografia vulnerabili |
| Categoria | Sicurezza |
| La correzione causa un'interruzione o meno | Non causa un'interruzione |
| Abilitato per impostazione predefinita in .NET 9 | No |
Nota
Ultimo aggiornamento di questo avviso: novembre 2015.
Causa
Gli algoritmi di crittografia, ad esempio TripleDES e gli algoritmi di hash, ad esempio SHA1 e RIPEMD160 sono considerati vulnerabili.
Questi algoritmi di crittografia non assicurano la sicurezza tanto quanto le controparti più moderne. Gli algoritmi di hash crittografici SHA1 e RIPEMD160 forniscono meno resistenza ai conflitti rispetto agli algoritmi di hash più moderni. L'algoritmo di crittografia TripleDES fornisce un minor numero di bit di sicurezza rispetto ad algoritmi di crittografia più moderni.
Descrizione regola
Oggi si usano algoritmi di crittografia e funzioni hash deboli per diversi motivi, ma non dovrebbero essere usati per garantire la riservatezza dei dati che proteggono.
La regola viene attivata quando trova algoritmi 3DES, SHA1 o RIPEMD160 nel codice e genera un avviso all'utente.
Come correggere le violazioni
Usare opzioni di crittografia più avanzate:
Per la crittografia TripleDES, usare la crittografia Aes .
Per le funzioni di hashING SHA1 o RIPEMD160, usare quelle nella famiglia SHA-2 (ad esempio, SHA512, SHA384e SHA256).
Quando eliminare gli avvisi
Escludere un avviso da questa regola quando il livello di protezione necessario per i dati non richiede una garanzia di sicurezza.
Eliminare un avviso
Se si vuole eliminare una singola violazione, aggiungere direttive del preprocessore al file di origine per disabilitare e quindi riabilitare la regola.
#pragma warning disable CA5350
// The code that's violating the rule is on this line.
#pragma warning restore CA5350
Per disabilitare la regola per un file, una cartella o un progetto, impostarne la gravità none su nel file di configurazione.
[*.{cs,vb}]
dotnet_diagnostic.CA5350.severity = none
Per altre informazioni, vedere Come eliminare gli avvisi di analisi del codice.
Esempi di pseudo-codice
Al momento della stesura di questo articolo, l'esempio di pseudocodice seguente illustra il modello rilevato da questa regola.
Violazione di hash SHA-1
using System.Security.Cryptography;
...
var hashAlg = SHA1.Create();
Soluzione:
using System.Security.Cryptography;
...
var hashAlg = SHA256.Create();
Violazione di hash RIPEMD160
using System.Security.Cryptography;
...
var hashAlg = RIPEMD160Managed.Create();
Soluzione:
using System.Security.Cryptography;
...
var hashAlg = SHA256.Create();
Violazione di crittografia TripleDES
using System.Security.Cryptography;
...
using (TripleDES encAlg = TripleDES.Create())
{
...
}
Soluzione:
using System.Security.Cryptography;
...
using (AesManaged encAlg = new AesManaged())
{
...
}
