CA5402: 既定の IV で CreateEncryptor を使用します

原因

System.Security.Cryptography.SymmetricAlgorithm.CreateEncryptor を使用するときに、rgbIV が既定値ではない可能性があります。

規則の説明

対称暗号化では、辞書攻撃を防ぐために、反復不能な初期化ベクトルを常に使用する必要があります。

この規則は CA5401 に似ていますが、分析では初期化ベクトルが確実に既定値であると断定できません。

違反の修正方法

既定の rgbIV 値を明示的に使用します。つまり、パラメーターを持たない System.Security.Cryptography.SymmetricAlgorithm.CreateEncryptor のオーバーロードを使用します。

どのようなときに警告を抑制するか

次の場合は、このルールの警告を抑制できます。

• rgbIV パラメーターが System.Security.Cryptography.SymmetricAlgorithm.GenerateIV によって生成された。
• rgbIV パラメーターが実際にはランダムで反復不可能であることがわかっている。
• 初期化ベクターが使用されていることがわかっている。

警告を抑制する

単一の違反を抑制するだけの場合は、ソース ファイルにプリプロセッサ ディレクティブを追加して無効にしてから、規則をもう一度有効にします。

#pragma warning disable CA5402
// The code that's violating the rule is on this line.
#pragma warning restore CA5402

ファイル、フォルダー、またはプロジェクトの規則を無効にするには、構成ファイルでその重要度を none に設定します。

[*.{cs,vb}]
dotnet_diagnostic.CA5402.severity = none

詳細については、「コード分析の警告を抑制する方法」を参照してください。

疑似コードの例

using System;
using System.Security.Cryptography;

class ExampleClass
{
    public void ExampleMethod(byte[] rgbIV)
    {
        AesCng aesCng  = new AesCng();
        Random r = new Random();

        if (r.Next(6) == 4)
        {
            aesCng.IV = rgbIV;
        }

        aesCng.CreateEncryptor();
    }
}

解決策

using System.Security.Cryptography;

class ExampleClass
{
    public void ExampleMethod()
    {
        AesCng aesCng  = new AesCng();
        aesCng.CreateEncryptor();
    }
}