CA5402: Użyj polecenia CreateEncryptor z domyślnym iv

Przyczyna

Wartość może być nie domyślna rgbIV w przypadku używania polecenia System.Security.Cryptography.SymmetricAlgorithm.CreateEncryptor.

Opis reguły

Szyfrowanie symetryczne powinno zawsze używać nie powtarzalnego wektora inicjalizacji, aby zapobiec atakom słownikowym.

Ta reguła jest podobna do CA5401, ale analiza nie może określić, że wektor inicjowania jest zdecydowanie domyślny.

Jak naprawić naruszenia

Użyj jawnie wartości domyślnej rgbIV , czyli użyj przeciążenia System.Security.Cryptography.SymmetricAlgorithm.CreateEncryptor , które nie ma żadnego parametru.

Kiedy pomijać ostrzeżenia

Można bezpiecznie pominąć ostrzeżenie z tej reguły, jeśli:

• Parametr rgbIV został wygenerowany przez element System.Security.Cryptography.SymmetricAlgorithm.GenerateIV.
• Na pewno rgbIV parametr jest naprawdę losowy i nie powtarzalny.
• Upewnij się, że jest używany wektor inicjowania.

Pomijanie ostrzeżenia

Jeśli chcesz po prostu pominąć pojedyncze naruszenie, dodaj dyrektywy preprocesora do pliku źródłowego, aby wyłączyć, a następnie ponownie włączyć regułę.

#pragma warning disable CA5402
// The code that's violating the rule is on this line.
#pragma warning restore CA5402

Aby wyłączyć regułę dla pliku, folderu lub projektu, ustaw jego ważność na none w pliku konfiguracji.

[*.{cs,vb}]
dotnet_diagnostic.CA5402.severity = none

Aby uzyskać więcej informacji, zobacz Jak pominąć ostrzeżenia dotyczące analizy kodu.

Przykłady przykładów kodu przykładowego

using System;
using System.Security.Cryptography;

class ExampleClass
{
    public void ExampleMethod(byte[] rgbIV)
    {
        AesCng aesCng  = new AesCng();
        Random r = new Random();

        if (r.Next(6) == 4)
        {
            aesCng.IV = rgbIV;
        }

        aesCng.CreateEncryptor();
    }
}

Rozwiązanie

using System.Security.Cryptography;

class ExampleClass
{
    public void ExampleMethod()
    {
        AesCng aesCng  = new AesCng();
        aesCng.CreateEncryptor();
    }
}