CS.RCA

危険な暗号化アルゴリズムが使用されています

プログラムが機密データにより操作される場合、または通信チャネルを保護する場合、攻撃者がこれらを読み取ることができないよう暗号化を使うことができます。攻撃に対する脆弱性をもたらすことが証明されているいくつかの廃止された暗号化アルゴリズムがあります。

CS.RCA チェッカーは、プログラムで既知の破られた、または危険な暗号化アルゴリズムが使用されていないかを検出する専用のチェッカーです。

脆弱性とリスク

プログラムがデータ処理に破られた、または危険なアルゴリズムを使用している場合、プログラムがセキュリティ上脆弱となる可能性があります。CWE-327 は MD4、MD5、SHA1、DES などを、破られた、または使用するのは危険なアルゴリズムとしてリストしています。.Net Framework の名前空間System.Security.Cryptography にはいくつかのアルゴリズムがありますが、使用しないようにしてください。

例 1

危険なアルゴリズムを表すクラスのインスタンスは、新しい演算子により作成されます。

1
2
3
4
5
6
7
8
9
10
11
12
  using System.Security.Cryptography;
  
  namespace Program
  {
      class Program
      {
          public static void Main()
          {
              var desEncryptor = new DESCryptoServiceProvider(); // CS.RCA reported
         }
     }
 }

例 2

危険なアルゴリズムが呼び出されるクラスのメソッドを作成します。

1
2
3
4
5
6
7
8
9
10
11
12
  using System.Security.Cryptography;
  
  namespace Program
  {
      class Program
      {
          public static void Main()
          {
              var desEncryptor = DES.Create(); // CS.RCA reported
         }
     }
 }

例 3

カスタムクラスが、危険なアルゴリズムを表すクラスから継承されています。

1
2
3
4
5
6
7
8
9
  using System.Security.Cryptography;
 
  namespace Program
  {
      class MyDESEcryptWrapper : DES // CS.RCA reported
      {
          ...
      }
  }

関連チェッカー

• RCA
• SV.WEAK_CRYPTO.WEAK_HASH
• SV.WEAK.CRYPT

外部参考資料

• CWE-327: 破られたまたは危険な暗号化アルゴリズムの使用
• OWASP A3:2017 機密データの漏えい
• OWASP A2:2021 暗号化の失敗

セキュリティトレーニング

Secure Code Warrior が提供しているアプリケーションセキュリティトレーニング教材。

• 「Weak Crypto Algorithm (脆弱な暗号化アルゴリズム)」トレーニングビデオ - トレーニングサンプルを使用して自分のスキルをテストできます