CA5401: CreateEncryptor'ı varsayılan olmayan IV ile kullanmayın
| Özellik | Değer |
|---|---|
| Kural Kimliği | CA5401 |
| Başlık | Varsayılan olmayan IV için CreateEncryptor kullanma |
| Kategori | Güvenlik |
| Hataya neden olan veya bozulmayan düzeltme | Hataya neden olmayan |
| .NET 9'da varsayılan olarak etkin | Hayır |
Neden
Varsayılan rgbIVolmayan ile kullanmaSystem.Security.Cryptography.SymmetricAlgorithm.CreateEncryptor.
Kural açıklaması
Simetrik şifreleme, sözlük saldırılarını önlemek için her zaman tekrarlanamayan bir başlatma vektöru kullanmalıdır.
Bu kural CA5402'ye benzer, ancak analiz, başlatma vektörlerinin kesinlikle varsayılan olduğunu belirler.
İhlalleri düzeltme
Varsayılan rgbIV değeri kullanın, yani parametresi olmayan öğesinin aşırı yüklemesini System.Security.Cryptography.SymmetricAlgorithm.CreateEncryptor kullanın.
Uyarıların ne zaman bastırılması gerekiyor?
Aşağıdakiler durumunda bu kuraldan gelen bir uyarıyı engellemek güvenlidir:
rgbIVparametresi tarafından System.Security.Cryptography.SymmetricAlgorithm.GenerateIVoluşturuldu.- öğesinin
rgbIVgerçekten rastgele ve tekrarlanamayan olduğundan eminsiniz.
Uyarıyı gizleme
Yalnızca tek bir ihlali engellemek istiyorsanız, kuralı devre dışı bırakmak ve sonra yeniden etkinleştirmek için kaynak dosyanıza ön işlemci yönergeleri ekleyin.
#pragma warning disable CA5401
// The code that's violating the rule is on this line.
#pragma warning restore CA5401
Bir dosya, klasör veya projenin kuralını devre dışı bırakmak için, yapılandırma dosyasındaki önem derecesini none olarak ayarlayın.
[*.{cs,vb}]
dotnet_diagnostic.CA5401.severity = none
Daha fazla bilgi için bkz . Kod analizi uyarılarını gizleme.
Sahte kod örnekleri
using System.Security.Cryptography;
class ExampleClass
{
public void ExampleMethod(byte[] rgbIV)
{
AesCng aesCng = new AesCng();
aesCng.IV = rgbIV;
aesCng.CreateEncryptor();
}
}
Çözüm
using System.Security.Cryptography;
class ExampleClass
{
public void ExampleMethod()
{
AesCng aesCng = new AesCng();
aesCng.CreateEncryptor();
}
}
