CA5350 : N’utilisez pas d’algorithmes de chiffrement faibles
Propriété | Value |
---|---|
Identificateur de la règle | CA5350 |
Titre | N’utilisez pas d’algorithmes de chiffrement faibles |
Catégorie | Sécurité |
Le correctif est cassant ou non cassant | Sans rupture |
Activée par défaut dans .NET 9 | Non |
Notes
Cet avertissement a été mis à jour pour la dernière fois en novembre 2015.
Cause
Les algorithmes de chiffrement, tels que TripleDES , et les algorithmes de hachage, tels que SHA1 et RIPEMD160 , sont considérés comme faibles.
Ces algorithmes de chiffrement n’offrent pas autant de sécurité que leurs équivalents plus modernes. Les algorithmes de chiffrement et de hachage SHA1 et RIPEMD160 offrent moins de résistance aux collisions que les algorithmes de hachage plus modernes. L’algorithme de chiffrement TripleDES fournit moins de bits de sécurité que les algorithmes de chiffrement plus modernes.
Description de la règle
Des algorithmes de chiffrement et des fonctions de hachage faibles sont utilisés aujourd’hui pour plusieurs raisons, mais ils ne doivent pas servir à garantir la confidentialité des données qu’ils protègent.
La règle se déclenche et lève un avertissement quand elle trouve des algorithmes 3DES, SHA1 ou RIPEMD160 dans le code.
Comment corriger les violations
Utilisez des options de chiffrement plus fortes :
Pour le chiffrement TripleDES, utilisez le chiffrement Aes .
Pour les algorithmes de hachage SHA1 et RIPEMD160, utilisez des algorithmes de la famille SHA-2 (par exemple, SHA512, SHA384, SHA256).
Quand supprimer les avertissements
Supprimez un avertissement de cette règle quand le niveau de protection nécessaire pour les données ne nécessite pas une garantie de sécurité.
Supprimer un avertissement
Si vous voulez supprimer une seule violation, ajoutez des directives de préprocesseur à votre fichier source pour désactiver et réactiver la règle.
#pragma warning disable CA5350
// The code that's violating the rule is on this line.
#pragma warning restore CA5350
Pour désactiver la règle sur un fichier, un dossier ou un projet, définissez sa gravité sur none
dans le fichier de configuration.
[*.{cs,vb}]
dotnet_diagnostic.CA5350.severity = none
Pour plus d’informations, consultez Comment supprimer les avertissements de l’analyse de code.
Exemples de pseudo-code
Au moment de l’écriture de cet article, l’exemple de pseudo-code suivant illustre le schéma détecté par cette règle.
Violation de hachage SHA-1
using System.Security.Cryptography;
...
var hashAlg = SHA1.Create();
Solution :
using System.Security.Cryptography;
...
var hashAlg = SHA256.Create();
Violation de hachage RIPEMD160
using System.Security.Cryptography;
...
var hashAlg = RIPEMD160Managed.Create();
Solution :
using System.Security.Cryptography;
...
var hashAlg = SHA256.Create();
Violation de chiffrement TripleDES
using System.Security.Cryptography;
...
using (TripleDES encAlg = TripleDES.Create())
{
...
}
Solution :
using System.Security.Cryptography;
...
using (AesManaged encAlg = new AesManaged())
{
...
}