CA5350:請勿使用弱式密碼編譯演算法
| 屬性 | 值 |
|---|---|
| 規則識別碼 | CA5350 |
| 職稱 | 請勿使用弱式密碼編譯演算法 |
| 類別 | 安全性 |
| 修正程式是中斷或非中斷 | 不中斷 |
| 預設在 .NET 9 中啟用 | No |
注意
上次於 2015 年 11 月更新此警告。
原因
例如 TripleDES 的加密演算法,和例如 SHA1 及 RIPEMD160 的雜湊演算法,被視為弱式。
這些密碼編譯演算法提供的安全性保證不像更新的同類型演算法那麼多。 密碼編譯雜湊演算法 SHA1 和 RIPEMD160 提供的衝突防禦比更新的雜湊演算法少。 加密演算法 TripleDES 提供比更新的加密演算法較少的安全性位元。
檔案描述
現今,弱式加密演算法和雜湊函式用於多種原因,但它們不應該用來保證所保護資料的機密性。
此規則會在它在程式碼中發現 3DES、SHA1 或 RIPEMD160 演算法時觸發,並擲回警告給使用者。
如何修正違規
使用密碼編譯較強的選項:
隱藏警告的時機
當資料所需的保護層級不需要安全性保證時,隱藏此規則的警告。
隱藏警告
如果您只想要隱藏單一違規,請將預處理器指示詞新增至原始程式檔以停用,然後重新啟用規則。
#pragma warning disable CA5350
// The code that's violating the rule is on this line.
#pragma warning restore CA5350
若要停用檔案、資料夾或項目的規則,請在組態檔中將其嚴重性設定為 。none
[*.{cs,vb}]
dotnet_diagnostic.CA5350.severity = none
如需詳細資訊,請參閱 如何隱藏程式代碼分析警告。
虛擬程式代碼範例
在本文撰寫之時,下列虛擬程式碼範例說明這個規則偵測到的模式。
SHA-1 雜湊違規
using System.Security.Cryptography;
...
var hashAlg = SHA1.Create();
解決方案:
using System.Security.Cryptography;
...
var hashAlg = SHA256.Create();
RIPEMD160 雜湊違規
using System.Security.Cryptography;
...
var hashAlg = RIPEMD160Managed.Create();
解決方案:
using System.Security.Cryptography;
...
var hashAlg = SHA256.Create();
TripleDES 加密違規
using System.Security.Cryptography;
...
using (TripleDES encAlg = TripleDES.Create())
{
...
}
解決方案:
using System.Security.Cryptography;
...
using (AesManaged encAlg = new AesManaged())
{
...
}
