CA5402: Use CreateEncryptor com o IV padrão

Causa

O rgbIV pode ser não-padrão ao usar System.Security.Cryptography.SymmetricAlgorithm.CreateEncryptoro .

Descrição da regra

A criptografia simétrica deve sempre usar um vetor de inicialização não repetível para evitar ataques de dicionário.

Esta regra é semelhante à CA5401, mas a análise não pode determinar se o vetor de inicialização é definitivamente o padrão.

Como corrigir violações

Use o valor padrão rgbIV explicitamente, ou seja, use a sobrecarga do System.Security.Cryptography.SymmetricAlgorithm.CreateEncryptor que não tem nenhum parâmetro.

Quando suprimir avisos

É seguro suprimir um aviso desta regra se:

• O rgbIV parâmetro foi gerado por System.Security.Cryptography.SymmetricAlgorithm.GenerateIV.
• Você tem certeza de que o rgbIV parâmetro é realmente aleatório e não repetível.
• Você tem certeza de que o vetor de inicialização é usado.

Suprimir um aviso

Se você quiser apenas suprimir uma única violação, adicione diretivas de pré-processador ao seu arquivo de origem para desativar e, em seguida, reativar a regra.

#pragma warning disable CA5402
// The code that's violating the rule is on this line.
#pragma warning restore CA5402

Para desabilitar a regra de um arquivo, pasta ou projeto, defina sua gravidade como none no arquivo de configuração.

[*.{cs,vb}]
dotnet_diagnostic.CA5402.severity = none

Para obter mais informações, consulte Como suprimir avisos de análise de código.

Exemplos de pseudocódigo

using System;
using System.Security.Cryptography;

class ExampleClass
{
    public void ExampleMethod(byte[] rgbIV)
    {
        AesCng aesCng  = new AesCng();
        Random r = new Random();

        if (r.Next(6) == 4)
        {
            aesCng.IV = rgbIV;
        }

        aesCng.CreateEncryptor();
    }
}

Solução

using System.Security.Cryptography;

class ExampleClass
{
    public void ExampleMethod()
    {
        AesCng aesCng  = new AesCng();
        aesCng.CreateEncryptor();
    }
}