Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Downloads für das AWS CloudHSM Client-SDK
Downloads
Im März 2021 wurde die Client-SDK-Version 5.0.0 AWS CloudHSM veröffentlicht, die ein völlig neues Client-SDK mit unterschiedlichen Anforderungen, Funktionen und Plattformunterstützung einführt.
Client SDK 5 wird für Produktionsumgebungen vollständig unterstützt und bietet dieselben Komponenten und denselben Support wie Client SDK 3, mit Ausnahme der Unterstützung für CNG- und KSP-Anbieter. Weitere Informationen finden Sie unter Vergleich der Client-SDK-Komponenten.
Anmerkung
Informationen darüber, welche Plattformen von den einzelnen Client-SDKs unterstützt werden, finden Sie unter und. Client-SDK 5 unterstützte Plattformen Unterstützte Plattformen vom Client-SDK 3
Neuste Version
Dieser Abschnitt enthält die neueste Version des Client-SDK.
Version 5 des Client-SDK: Version 5.12.0
Das Client-SDK 5.12.0 bietet ARM-Unterstützung für mehrere Plattformen und Leistungsverbesserungen für alle SDKs. Der CloudHSM CLI und der JCE-Anbieter wurden um neue Funktionen erweitert.
Plattformunterstützung
Unterstützung für Amazon Linux 2023 auf der ARM64-Architektur für alle SDKs hinzugefügt.
Unterstützung für Red Hat Enterprise Linux 9 (9.2+) auf der ARM64-Architektur für alle SDKs hinzugefügt.
Unterstützung für Ubuntu 22.04 LTS auf der ARM64-Architektur für alle SDKs hinzugefügt.
CloudHSM-CLI
-
Der folgende Befehl wurde hinzugefügt:
-
Unterstützung für die Verbindung zu mehreren Clustern hinzugefügt. Weitere Informationen finden Sie unter Verbindung zu mehreren Clustern mit CloudHSM CLI herstellen.
JCE-Anbieter
Hinzugefügt
KeyReferenceSpec
für das Abrufen von Schlüsseln mitKeyStoreWithAttributes
.Hinzugefügt
getKeys
zum gleichzeitigen Abrufen mehrerer Schlüssel mithilfe von.KeyStoreWithAttributes
Leistungsverbesserungen
Leistungsverbesserungen für den NoPadding AES-CBC-Betrieb für alle SDKs.
Frühere Client-SDK-Versionen
In diesem Abschnitt werden frühere Client-SDK-Versionen aufgeführt.
Das Client-SDK 5.11.0 fügt neue Funktionen hinzu, verbessert die Stabilität und beinhaltet Bugfixes für alle SDKs.
Plattformunterstützung
Unterstützung für Amazon Linux 2023 und RHEL 9 (9.2+) für alle SDKs hinzugefügt.
Die Unterstützung für Ubuntu 18.04 LTS wurde aufgrund des kürzlichen Ablaufs der Laufzeit entfernt.
Die Unterstützung für Amazon Linux wurde aufgrund des kürzlichen Auslaufs entfernt.
CloudHSM-CLI
-
Die folgenden Befehle wurden hinzugefügt:
-
key generate-fileunterstützt jetzt den Export von öffentlichen Schlüsseln.
OpenSSL Dynamic Engine
Die AWS CloudHSM OpenSSL Dynamic Engine wird jetzt auf Plattformen unterstützt, auf denen eine OpenSSL-Bibliotheksversion 3.x installiert ist. Dazu gehören Amazon Linux 2023, RHEL 9 (9.2+) und Ubuntu 22.04.
JCE
Unterstützung für JDK 17 und JDK 21 hinzugefügt.
Unterstützung für AES-Schlüssel zur Verwendung für HMAC-Operationen hinzugefügt.
Das neue Schlüsselattribut
ID
wurde hinzugefügt.Eine neue
DataExceptionCause
Variante für die Erschöpfung von Schlüsseln wurde eingeführt:DataExceptionCause.KEY_EXHAUSTED
.
Fehlerbehebungen/Verbesserungen
Die maximale Länge für das
label
Attribut wurde von 126 auf 127 Zeichen erhöht.Es wurde ein Fehler behoben, der das Auspacken von EC-Schlüsseln mit dem RsaOaep Mechanismus verhinderte.
Ein bekanntes Problem für den GetKey-Vorgang im JCE-Anbieter wurde behoben. Weitere Einzelheiten finden Sie unter Problem: Speicherverlust im Client-SDK 5 bei GetKey-Vorgängen.
Die Protokollierung in allen SDKs für Triple DES-Schlüssel, die ihr maximales Blocklimit für die Verschlüsselung erreicht haben, wurde gemäß FIPS 140-2 verbessert.
Bekannte Probleme für die OpenSSL Dynamic Engine wurden hinzugefügt. Details dazu finden Sie unter Bekannte Probleme für die OpenSSL Dynamic Engine.
Das Client-SDK 5.10.0 verbessert die Stabilität und beinhaltet Bugfixes für alle SDKs.
CloudHSM-CLI
-
Es wurden neue Befehle hinzugefügt, mit denen Kunden Schlüssel mithilfe der CloudHSM-CLI verwalten können, darunter:
Symmetrische Schlüssel und asymmetrische Schlüsselpaare erstellen
Freigabe und Aufheben der Freigabe von Schlüsseln
Schlüssel mithilfe von Schlüsselattributen auflisten und filtern
Festlegen von Schlüsselattributen
Wichtige Referenzdateien generieren
Löschen von Schlüsseln
Verbesserte Fehlerprotokollierung.
Unterstützung für mehrzeilige Unicode-Befehle im interaktiven Modus hinzugefügt.
Fehlerbehebungen/Verbesserungen
Verbesserte Leistung beim Importieren, Entpacken, Ableiten und Erstellen von Sitzungsschlüsseln für alle SDKs.
Es wurde ein Fehler im JCE-Anbieter behoben, der verhinderte, dass temporäre Dateien beim Beenden entfernt wurden.
Es wurde ein Fehler behoben, der unter bestimmten Bedingungen zu einem Verbindungsfehler führte, nachdem HSMs im Cluster ersetzt wurden.
Das JCE
getVersion
-Ausgabeformat wurde geändert, um große kleinere Versionsnummern zu verarbeiten und die Patch-Nummer einzubeziehen.
Plattformunterstützung
-
Unterstützung für Ubuntu 22.04 mit JCE, PKCS #11 und CloudHSM-CLI hinzugefügt (Unterstützung für OpenSSL Dynamic Engine ist noch nicht verfügbar).
Das Client-SDK 5.9.0 verbessert die Stabilität und beinhaltet Bugfixes für alle SDKs. Für alle SDKs wurde eine Optimierung vorgenommen, sodass Anwendungen sofort über Betriebsfehler informiert werden, wenn festgestellt wird, dass ein HSM nicht verfügbar ist. Diese Version enthält Leistungsverbesserungen für JCE.
JCE-Anbieter
-
Verbesserte Leistung
-
Ein bekanntes Problem mit der Erschöpfung des Sitzungspools wurde behoben
Um das Client SDK 3 auf Linux-Plattformen zu aktualisieren, müssen Sie einen Batch-Befehl verwenden, der den Client-Daemon und alle Bibliotheken gleichzeitig aktualisiert. Weitere Informationen finden Sie unter Client-SDK-3-Upgrade.
Anmerkung
Client SDK 3 und die zugehörigen Befehlszeilentools (Key Management Utility und CloudHSM Management Utility) sind nur im HSM-Typ hsm1.medium verfügbar. Details dazu finden Sie unter AWS CloudHSM Cluster-Modi und HSM-Typen.
Wählen Sie zum Herunterladen der Software die Registerkarte für das gewünschte Betriebssystem und wählen Sie dann den Link des betreffenden Softwarepakets.
Version 3.4.4 enthält Aktualisierungen für den JCE-Anbieter.
AWS CloudHSM Client-Software
-
Versionsnummer wurde aus Konsistenzgründen aktualisiert.
PKCS-#11-Bibliothek
-
Versionsnummer wurde aus Konsistenzgründen aktualisiert.
OpenSSL Dynamic Engine
-
Versionsnummer wurde aus Konsistenzgründen aktualisiert.
JCE-Anbieter
-
Aktualisieren Sie log4j auf Version 2.17.1.
Windows (CNG- und KSP-Anbieter)
-
Versionsnummer wurde aus Konsistenzgründen aktualisiert.
Veraltete Versionen
Versionen 5.8.0 und früher sind veraltet. Wir raten davon ab, veraltete Versionen in Produktionsumgebungen zu verwenden. Wir stellen keine abwärtskompatiblen Updates für veraltete Versionen bereit und stellen auch keine veralteten Versionen zum Herunterladen bereit. Wenn Sie bei der Verwendung veralteter Versionen Auswirkungen auf die Produktion feststellen, müssen Sie ein Upgrade durchführen, um Softwarekorrekturen zu erhalten.
Veraltete Versionen des Client SDK 5
In diesem Abschnitt werden veraltete Versionen des Client SDK 5 aufgeführt.
Version 5.8.0 bietet Quorum-Authentifizierung für CloudHSM CLI, SSL/TLS-Offload mit JSSE, Multi-Slot-Unterstützung für PKCS #11, Multi-Cluster-/Multi-Benutzer-Unterstützung für JCE, Schlüsselextraktion mit JCE, unterstütztes keyFactory für JCE, neue Wiederholungskonfigurationen für Rückgabecodes ohne Terminal und enthält verbesserte Stabilität und Bugfixes für alle SDKs.
PKCS-#11-Bibliothek
-
Unterstützung für die Konfiguration mit mehreren Steckplätzen wurde hinzugefügt.
JCE-Anbieter
-
Konfigurationsbasierte Schlüsselextraktion hinzugefügt.
-
Unterstützung für Konfigurationen mit mehreren Clustern und mehreren Benutzern hinzugefügt.
-
Unterstützung für SSL- und TLS-Offload mit JSSE hinzugefügt.
-
Unwrap-Unterstützung für AES/CBC/ hinzugefügt. NoPadding
-
Neue Typen von Schlüsselfabriken hinzugefügt: und. SecretKeyFactory KeyFactory
CloudHSM-CLI
-
Unterstützung für Quorum-Authentifizierung hinzugefügt
Version 5.7.0 führt die CloudHSM-CLI ein und enthält einen neuen verschlüsselten CMAC-Algorithmus (Message Authentication Code). Diese Version fügt die ARM-Architektur auf Amazon Linux 2 hinzu. Javadocs des JCE-Anbieters sind jetzt verfügbar für AWS CloudHSM.
PKCS-#11-Bibliothek
-
Verbesserte Stabilität und Fehlerbehebungen.
-
Wird jetzt auf der ARM-Architektur mit Amazon Linux 2 unterstützt.
-
Algorithmen
-
CKM_AES_CMAC (signieren und verifizieren)
-
OpenSSL Dynamic Engine
-
Verbesserte Stabilität und Fehlerbehebungen.
-
Wird jetzt auf der ARM-Architektur mit Amazon Linux 2 unterstützt.
JCE-Anbieter
-
Verbesserte Stabilität und Fehlerbehebungen.
-
Algorithmen
-
AESCMAC
-
Version 5.6.0 beinhaltet die Unterstützung neuer Mechanismen für die PKCS-#11-Bibliothek und den JCE-Anbieter. Darüber hinaus unterstützt Version 5.6 Ubuntu 20.04.
PKCS-#11-Bibliothek
-
Verbesserte Stabilität und Fehlerbehebungen.
-
Mechanismen
-
CKM_RSA_X_509, für die Modi Verschlüsseln, Entschlüsseln, Signieren und Verifizieren
-
OpenSSL Dynamic Engine
-
Verbesserte Stabilität und Fehlerbehebungen.
JCE-Anbieter
-
Verbesserte Stabilität und Fehlerbehebungen.
-
Verschlüsselungen
-
RSA/ECB/, für Verschlüsselungs- und NoPadding Entschlüsselungsmodi
-
Unterstützte Schlüssel
-
EC mit den Kurven secp224r1 und secp521r1
Plattformunterstützung
-
Unterstützung für Ubuntu 20.04 hinzugefügt.
Version 5.5.0 bietet Unterstützung für OpenJDK 11, Keytool- und Jarsigner-Integration sowie zusätzliche Mechanismen für den JCE-Anbieter. Behebt ein bekanntes Problem, bei dem eine KeyGenerator Klasse den Schlüsselgrößenparameter fälschlicherweise als Anzahl von Bytes statt als Bits interpretiert.
PKCS-#11-Bibliothek
-
Verbesserte Stabilität und Fehlerbehebungen.
OpenSSL Dynamic Engine
-
Verbesserte Stabilität und Fehlerbehebungen.
JCE-Anbieter
-
Unterstützung für die Dienstprogramme Keytool und Jarsigner
-
Unterstützung für OpenJDK 11 auf allen Plattformen
-
Verschlüsselungen
-
AES/CBC/Verschlüsselungs- und NoPadding Entschlüsselungsmodus
-
Verschlüsselungs- und Entschlüsselungsmodus für AES/ECB/PKCS5Padding
-
NoPadding AES/CTR/Verschlüsselungs- und Entschlüsselungsmodus
-
AES/GCM/ Wrap- und Unwrap-Modus NoPadding
-
Verschlüsselungs- und Entschlüsselungsmodus für DESede/ECB/PKCS5Padding
-
DeSede/CBC/Verschlüsselungs- und Entschlüsselungsmodus NoPadding
-
NoPadding AESWrap/ECB/Wrap- und Unwrap-Modus
-
Entpack- und Einpack-Modus für AESWrap/ECB/PKCS5Padding
-
ZeroPadding AESWrap/ECB/Wrap- und Unwrap-Modus
-
Entpack- und Einpack-Modus für RSA/ECB/PKCS1Padding
-
Entpack- und Einpack-Modus für RSA/ECB/OAEPPadding
-
Entpack- und Einpack-Modus für RSA/ECB/OAEPWithSHA-1ANDMGF1Padding
-
Entpack- und Einpack-Modus für RSA/ECB/OAEPWithSHA-224ANDMGF1Padding
-
Entpack- und Einpack-Modus für RSA/ECB/OAEPWithSHA-256ANDMGF1Padding
-
Entpack- und Einpack-Modus für RSA/ECB/OAEPWithSHA-384ANDMGF1Padding
-
Entpack- und Einpack-Modus für RSA/ECB/OAEPWithSHA-512ANDMGF1Padding
-
Entpack- und Einpack-Modus für RSAAESWrap/ECB/OAEPPadding
-
Entpack- und Einpack-Modus für RSAAESWrap/ECB/OAEPWithSHA-1ANDMGF1Padding
-
Entpack- und Einpack-Modus für RSAAESWrap/ECB/OAEPWithSHA-224ANDMGF1Padding
-
Entpack- und Einpack-Modus für RSAAESWrap/ECB/OAEPWithSHA-256ANDMGF1Padding
-
Entpack- und Einpack-Modus für RSAAESWrap/ECB/OAEPWithSHA-384ANDMGF1Padding
-
Entpack- und Einpack-Modus für RSAAESWrap/ECB/OAEPWithSHA-512ANDMGF1Padding
-
-
KeyFactory und SecretKeyFactory
-
RSA – 2048-Bit- bis 4096-Bit-RSA-Schlüssel, in Schritten von je 256 Bit.
-
AES – 128-, 192- und 256-Bit-AES-Schlüssel
-
EC-Schlüsselpaare für die NIST secp256r1- (P-256), secp384r1- (P-384) und secp256k1-Kurven.
-
DESede (3DES)
-
GenericSecret
-
HMAC – mit SHA1-, SHA224-, SHA256-, SHA384- und SHA512-Hash-Unterstützung
-
-
Signieren/Überprüfen
-
RSASSA-PSS
-
SHA1withRSA/PSS
-
SHA224withRSA/PSS
-
SHA256withRSA/PSS
-
SHA384withRSA/PSS
-
SHA512withRSA/PSS
-
SHA1withRSAandMGF1
-
SHA224withRSAandMGF1
-
SHA256withRSAandMGF1
-
SHA384withRSAandMGF1
-
SHA512withRSAandMGF1
-
Version 5.4.2 enthält verbesserte Stabilität und Bugfixes für alle SDKs. Dies ist auch die letzte Version für die CentOS-8-Plattform. Weitere Informationen finden Sie auf der CentOS-Website
PKCS-#11-Bibliothek
-
Verbesserte Stabilität und Fehlerbehebungen.
OpenSSL Dynamic Engine
-
Verbesserte Stabilität und Fehlerbehebungen.
JCE-Anbieter
-
Verbesserte Stabilität und Fehlerbehebungen.
Version 5.4.1 behebt ein bekanntes Problem mit der PKCS-#11-Bibliothek. Dies ist auch die letzte Version für die CentOS-8-Plattform. Weitere Informationen finden Sie auf der CentOS-Website
PKCS-#11-Bibliothek
-
Verbesserte Stabilität und Fehlerbehebungen.
OpenSSL Dynamic Engine
-
Verbesserte Stabilität und Fehlerbehebungen.
JCE-Anbieter
-
Verbesserte Stabilität und Fehlerbehebungen.
Version 5.4.0 bietet anfängliche Unterstützung für den JCE-Anbieter für alle Plattformen. Der JCE-Anbieter ist mit OpenJDK 8 kompatibel.
PKCS-#11-Bibliothek
-
Verbesserte Stabilität und Fehlerbehebungen.
OpenSSL Dynamic Engine
-
Verbesserte Stabilität und Fehlerbehebungen.
JCE-Anbieter
-
Schlüsseltypen
-
RSA – 2048-Bit- bis 4096-Bit-RSA-Schlüssel, in Schritten von je 256 Bit.
-
AES – 128-, 192- und 256-Bit AES-Schlüssel.
-
ECC-Schlüsselpaare für die NIST secp256r1- (P-256), secp384r1- (P-384) und secp256k1-Kurven.
-
DESede (3DES)
-
HMAC – mit SHA1-, SHA224-, SHA256-, SHA384- und SHA512-Hash-Unterstützung
-
-
Chiffren (nur verschlüsseln und entschlüsseln)
AES/GCM/ NoPadding
-
AES/EZB/ NoPadding
-
AES/CBC/PKCS5Padding
-
Desede/EZB/ NoPadding
-
DESede/CBC/PKCS5Padding
-
AES/CTR/ NoPadding
-
RSA/ECB/PKCS1Padding
-
RSA/ECB/OAEPPadding
-
RSA/ECB/OAEPWithSHA-1ANDMGF1Padding
-
RSA/ECB/OAEPWithSHA-224ANDMGF1Padding
-
RSA/ECB/OAEPWithSHA-256ANDMGF1Padding
-
RSA/ECB/OAEPWithSHA-384ANDMGF1Padding
-
RSA/ECB/OAEPWithSHA-512ANDMGF1Padding
-
Digests
SHA-1
-
SHA-224
-
SHA-256
-
SHA-384
-
SHA-512
-
Signieren/Überprüfen
-
NONEwithRSA
-
SHA1withRSA
-
SHA224withRSA
-
SHA256withRSA
-
SHA384withRSA
-
SHA512withRSA
-
NONEwithECDSA
-
SHA1withECDSA
-
SHA224withECDSA
-
SHA256withECDSA
-
SHA384withECDSA
-
SHA512withECDSA
-
-
Integration mit Java KeyStore
PKCS-#11-Bibliothek
-
Verbesserte Stabilität und Fehlerbehebungen.
OpenSSL Dynamic Engine
-
Unterstützung für ECDSA-Signieren/Verifizieren mit den Kurven P-256, P-384 und secp256k1 hinzugefügt.
-
Unterstützung für folgende Plattformen hinzufügen: Amazon Linux, Amazon Linux 2, Centos 7.8+, RHEL 7 (7.8+).
-
Unterstützung für OpenSSL Version 1.0.2 hinzugefügt.
-
Verbesserte Stabilität und Fehlerbehebungen.
JCE-Anbieter
-
Schlüsseltypen
-
RSA – 2048-Bit- bis 4096-Bit-RSA-Schlüssel, in Schritten von je 256 Bit.
-
AES – 128-, 192- und 256-Bit AES-Schlüssel.
-
EC-Schlüsselpaare für die NIST secp256r1- (P-256), secp384r1- (P-384) und secp256k1-Kurven.
-
DESede (3DES)
-
HMAC – mit SHA1-, SHA224-, SHA256-, SHA384- und SHA512-Hash-Unterstützung
-
-
Chiffren (nur verschlüsseln und entschlüsseln)
AES/GCM/ NoPadding
-
AES/EZB/ NoPadding
-
AES/CBC/PKCS5Padding
-
Desede/EZB/ NoPadding
-
DESede/CBC/PKCS5Padding
-
AES/CTR/ NoPadding
-
RSA/ECB/PKCS1Padding
-
RSA/ECB/OAEPPadding
-
RSA/ECB/OAEPWithSHA-1ANDMGF1Padding
-
RSA/ECB/OAEPWithSHA-224ANDMGF1Padding
-
RSA/ECB/OAEPWithSHA-256ANDMGF1Padding
-
RSA/ECB/OAEPWithSHA-384ANDMGF1Padding
-
RSA/ECB/OAEPWithSHA-512ANDMGF1Padding
-
Digests
SHA-1
-
SHA-224
-
SHA-256
-
SHA-384
-
SHA-512
-
Signieren/Überprüfen
-
NONEwithRSA
-
SHA1withRSA
-
SHA224withRSA
-
SHA256withRSA
-
SHA384withRSA
-
SHA512withRSA
-
NONEwithECDSA
-
SHA1withECDSA
-
SHA224withECDSA
-
SHA256withECDSA
-
SHA384withECDSA
-
SHA512withECDSA
-
-
Integration mit Java KeyStore
PKCS-#11-Bibliothek
-
Verbesserte Stabilität und Fehlerbehebungen.
OpenSSL Dynamic Engine
-
Verbesserte Stabilität und Fehlerbehebungen.
Version 5.2.0 erweitert die PKCS-#11-Bibliothek um Unterstützung für zusätzliche Schlüsseltypen und Mechanismen.
PKCS-#11-Bibliothek
Schlüsseltypen
ECDSA – Kurven P-224, P-256, P-384, P-521 und secp256k1
Triple DES (3DES)
Mechanismen
CKM_EC_KEY_PAIR_GEN
CKM_DES3_KEY_GEN
CKM_DES3_CBC
CKM_DES3_CBC_PAD
CKM_DES3_ECB
CKM_ECDSA
CKM_ECDSA_SHA1
CKM_ECDSA_SHA224
CKM_ECDSA_SHA256
CKM_ECDSA_SHA384
CKM_ECDSA_SHA512
CKM_RSA_PKCS für Verschlüsseln/Entschlüsseln
OpenSSL Dynamic Engine
Verbesserte Stabilität und Fehlerbehebungen.
Mit Version 5.1.0 wird die PKCS-#11-Bibliothek um zusätzliche Mechanismen erweitert.
PKCS-#11-Bibliothek
Mechanismen
CKM_RSA_PKCS für einpacken/entpacken
CKM_RSA_PKCS_PSS
CKM_SHA1_RSA_PKCS_PSS
CKM_SHA224_RSA_PKCS_PSS
CKM_SHA256_RSA_PKCS_PSS
CKM_SHA384_RSA_PKCS_PSS
CKM_SHA512_RSA_PKCS_PSS
CKM_AES_ECB
CKM_AES_CTR
CKM_AES_CBC
CKM_AES_CBC_PAD
CKM_SP800_108_COUNTER_KDF
CKM_GENERIC_SECRET_KEY_GEN
CKM_SHA_1_HMAC
CKM_SHA224_HMAC
CKM_SHA256_HMAC
CKM_SHA384_HMAC
CKM_SHA512_HMAC
CKM_RSA_PKCS_OAEP nur einpacken/entpacken
CKM_RSA_AES_KEY_WRAP
CKM_CLOUDHSM_AES_KEY_WRAP_NO_PAD
CKM_CLOUDHSM_AES_KEY_WRAP_PKCS5_PAD
CKM_CLOUDHSM_AES_KEY_WRAP_ZERO_PAD
API-Operationen
C_ CreateObject
C_ DeriveKey
C_ WrapKey
C_ UnWrapKey
OpenSSL Dynamic Engine
Verbesserte Stabilität und Fehlerbehebungen.
Version 5.0.1 fügt anfängliche Unterstützung für OpenSSL Dynamic Engine hinzu.
PKCS-#11-Bibliothek
-
Verbesserte Stabilität und Fehlerbehebungen.
OpenSSL Dynamic Engine
-
Erste Version von OpenSSL Dynamic Engine.
-
Diese Version bietet Unterstützung für Einsteiger für Schlüsseltypen und OpenSSL-APIs:
-
RSA-Schlüsselgenerierung für 2048-, 3072- und 4096-Bit-Schlüssel
-
OpenSSL APIs:
-
RSA Sign
mit RSA PKCS mit SHA1/224/256/384/512 und RSA PSS
-
Weitere Informationen finden Sie unter OpenSSL Dynamic Engine.
-
-
Unterstützte Plattformen: CentOS 8.3+, Red Hat Enterprise Linux (RHEL) 8.3+ und Ubuntu 18.04 LTS
-
Benötigt: OpenSSL 1.1.1
Weitere Informationen finden Sie unter Unterstützte Plattformen.
-
-
Unterstützung für SSL/TLS Offload auf CentOS 8.3+, Red Hat Enterprise Linux (RHEL) 8.3 und Ubuntu 18.04 LTS, einschließlich NGINX 1.19 (für ausgewählte Cipher Suites).
Weitere Informationen erhalten Sie unter Verwendung der SSL-/TLS-Auslagerung unter Linux.
Version 5.0.0 ist die erste Version.
PKCS-#11-Bibliothek
-
Dies ist die Erstversion.
Unterstützung für Einsteiger der PKCS-#11-Bibliothek in Client SDK Version 5.0.0
Dieser Abschnitt beschreibt die Unterstützung für Schlüsseltypen, Mechanismen, API-Operationen und Attribute Client-SDK Version 5.0.0.
Schlüsseltypen:
-
AES – 128-, 192- und 256-Bit-AES-Schlüssel
-
RSA – 2048-Bit- bis 4096-Bit-RSA-Schlüssel, in Schritten von je 256 Bit.
Mechanismen:
-
CKM_AES_GCM
-
CKM_AES_KEY_GEN
-
CKM_CLOUDHSM_AES_GCM
-
CKM_RSA_PKCS
-
CKM_RSA_X9_31_KEY_PAIR_GEN
-
CKM_SHA1
-
CKM_SHA1_RSA_PKCS
-
CKM_SHA224
-
CKM_SHA224_RSA_PKCS
-
CKM_SHA256
-
CKM_SHA256_RSA_PKCS
-
CKM_SHA384
-
CKM_SHA384_RSA_PKCS
-
CKM_SHA512
-
CKM_SHA512_RSA_PKCS
API-Operationen:
-
C_ CloseAllSessions
-
C_ CloseSession
-
C_Decrypt
-
C_ DecryptFinal
-
C_ DecryptInit
-
C_ DecryptUpdate
-
C_ DestroyObject
-
C_Digest
-
C_ DigestFinal
-
C_ DigestInit
-
C_ DigestUpdate
-
C_Encrypt
-
C_ EncryptFinal
-
C_ EncryptInit
-
C_ EncryptUpdate
-
C_Finalize
-
C_ FindObjects
-
C_ FindObjectsFinal
-
C_ FindObjectsInit
-
C_ GenerateKey
-
C_ GenerateKeyPair
-
C_ GenerateRandom
-
C_ GetAttributeValue
-
C_ GetFunctionList
-
C_ GetInfo
-
C_ GetMechanismInfo
-
C_ GetMechanismList
-
C_ GetSessionInfo
-
C_ GetSlotInfo
-
C_ GetSlotList
-
C_ GetTokenInfo
-
C_Initialize
-
C_Login
-
C_Logout
-
C_ OpenSession
-
C_Sign
-
C_ SignFinal
-
C_ SignInit
-
C_ SignUpdate
-
C_Verify
-
C_ VerifyFinal
-
C_ VerifyInit
-
C_ VerifyUpdate
Attribute:
-
GenerateKeyPair
-
Alle RSA-Schlüsselattribute
-
-
GenerateKey
-
Alle AES-Schlüsselattribute
-
-
GetAttributeValue
-
Alle RSA-Schlüsselattribute
-
Alle AES-Schlüsselattribute
-
Beispiele:
Veraltete Versionen des Client SDK 3
In diesem Abschnitt werden veraltete Client SDK 3-Versionen aufgeführt.
Version 3.4.3 enthält Aktualisierungen für den JCE-Anbieter.
AWS CloudHSM Client-Software
-
Versionsnummer wurde aus Konsistenzgründen aktualisiert.
PKCS-#11-Bibliothek
-
Versionsnummer wurde aus Konsistenzgründen aktualisiert.
OpenSSL Dynamic Engine
-
Versionsnummer wurde aus Konsistenzgründen aktualisiert.
JCE-Anbieter
-
Aktualisieren Sie log4j auf Version 2.17.0.
Windows (CNG- und KSP-Anbieter)
-
Versionsnummer wurde aus Konsistenzgründen aktualisiert.
Version 3.4.2 enthält Aktualisierungen für den JCE-Anbieter.
AWS CloudHSM Software für Kunden
-
Versionsnummer wurde aus Konsistenzgründen aktualisiert.
PKCS-#11-Bibliothek
-
Versionsnummer wurde aus Konsistenzgründen aktualisiert.
OpenSSL Dynamic Engine
-
Versionsnummer wurde aus Konsistenzgründen aktualisiert.
JCE-Anbieter
-
Aktualisieren Sie log4j auf Version 2.16.0.
Windows (CNG- und KSP-Anbieter)
-
Versionsnummer wurde aus Konsistenzgründen aktualisiert.
Version 3.4.1 enthält Aktualisierungen für den JCE-Anbieter.
AWS CloudHSM Software für Kunden
-
Versionsnummer wurde aus Konsistenzgründen aktualisiert.
PKCS-#11-Bibliothek
-
Versionsnummer wurde aus Konsistenzgründen aktualisiert.
OpenSSL Dynamic Engine
-
Versionsnummer wurde aus Konsistenzgründen aktualisiert.
JCE-Anbieter
-
Aktualisieren Sie log4j auf Version 2.15.0.
Windows (CNG- und KSP-Anbieter)
-
Versionsnummer wurde aus Konsistenzgründen aktualisiert.
Version 3.4.0 enthält Aktualisierungen für alle Komponenten.
AWS CloudHSM Software für Kunden
-
Verbesserte Stabilität und Fehlerbehebungen.
PKCS-#11-Bibliothek
-
Verbesserte Stabilität und Fehlerbehebungen.
OpenSSL Dynamic Engine
-
Verbesserte Stabilität und Fehlerbehebungen.
JCE-Anbieter
-
Verbesserte Stabilität und Fehlerbehebungen.
Windows (CNG- und KSP-Anbieter)
-
Verbesserte Stabilität und Fehlerbehebungen.
Version 3.3.2 behebt ein Problem mit dem Skript client_info.
AWS CloudHSM Software für Kunden
-
Versionsnummer wurde aus Konsistenzgründen aktualisiert.
PKCS-#11-Bibliothek
-
Versionsnummer wurde aus Konsistenzgründen aktualisiert.
OpenSSL Dynamic Engine
-
Versionsnummer wurde aus Konsistenzgründen aktualisiert.
JCE-Anbieter
-
Versionsnummer wurde aus Konsistenzgründen aktualisiert.
Windows (CNG- und KSP-Anbieter)
-
Versionsnummer wurde aus Konsistenzgründen aktualisiert.
Version 3.3.1 enthält Aktualisierungen für alle Komponenten.
AWS CloudHSM Software für Kunden
-
Verbesserte Stabilität und Fehlerbehebungen.
PKCS-#11-Bibliothek
-
Verbesserte Stabilität und Fehlerbehebungen.
OpenSSL Dynamic Engine
-
Verbesserte Stabilität und Fehlerbehebungen.
JCE-Anbieter
-
Verbesserte Stabilität und Fehlerbehebungen.
Windows (CNG- und KSP-Anbieter)
-
Verbesserte Stabilität und Fehlerbehebungen.
Version 3.3.0 fügt die Zwei-Faktor-Authentifizierung (2FA) und weitere Verbesserungen hinzu.
AWS CloudHSM Software für Kunden
-
2FA-Authentifizierung für Crypto Officer (CO) hinzugefügt. Weitere Informationen finden Sie unter Verwalten der Zwei-Faktor-Authentifizierung für Crypto Officer.
-
Die Plattformunterstützung für RedHat Enterprise Linux 6 und CentOS 6 wurde entfernt. Weitere Informationen finden Sie unter Linux-Support.
-
Es wurde eine eigenständige Version von CMU zur Verwendung mit Client-SDK 5 oder Client-SDK 3 hinzugefügt. Dies ist dieselbe CMU-Version, die im Client-Daemon der Version 3.3.0 enthalten ist. Jetzt können Sie CMU herunterladen, ohne den Client-Daemon herunterzuladen.
PKCS-#11-Bibliothek
-
Verbesserte Stabilität und Fehlerbehebungen.
-
Die Plattformunterstützung für RedHat Enterprise Linux 6 und CentOS 6 wurde entfernt. Weitere Informationen finden Sie unter Linux-Support.
OpenSSL Dynamic Engine
-
Versionsnummer wurde aus Konsistenzgründen aktualisiert.
-
Die Plattformunterstützung für RedHat Enterprise Linux 6 und CentOS 6 wurde entfernt. Weitere Informationen finden Sie unter Linux-Support.
JCE-Anbieter
-
Verbesserte Stabilität und Fehlerbehebungen.
-
Die Plattformunterstützung für RedHat Enterprise Linux 6 und CentOS 6 wurde entfernt. Weitere Informationen finden Sie unter Linux-Support.
Windows (CNG- und KSP-Anbieter)
-
Versionsnummer wurde aus Konsistenzgründen aktualisiert.
Version 3.2.1 fügt eine Konformitätsanalyse zwischen der AWS CloudHSM Implementierung der PKCS #11 -Bibliothek und des PKCS #11 -Standards, neuen Plattformen und anderen Verbesserungen hinzu.
AWS CloudHSM Software für den Kunden
-
Plattformunterstützung für CentOS 8, RHEL 8 und Ubuntu 18.04 LTS hinzugefügt. Weitere Informationen finden Sie unter Client-SDK 5 unterstützte Plattformen.
PKCS-#11-Bibliothek
-
Bericht zur Einhaltung der PKCS-#11-Bibliothek für das Client-SDK 3.2.1
-
Plattformunterstützung für CentOS 8, RHEL 8 und Ubuntu 18.04 LTS hinzugefügt. Weitere Informationen finden Sie unter Client-SDK 5 unterstützte Plattformen.
OpenSSL Dynamic Engine
-
Keine Unterstützung für CentOS 8, RHEL 8 und Ubuntu 18.04 LTS. Weitere Informationen finden Sie unter Bekannte Probleme für die OpenSSL Dynamic Engine.
JCE-Anbieter
-
Plattformunterstützung für CentOS 8, RHEL 8 und Ubuntu 18.04 LTS hinzugefügt. Weitere Informationen finden Sie unter Client-SDK 5 unterstützte Plattformen.
Windows (CNG- und KSP-Anbieter)
-
Verbesserte Stabilität und Fehlerbehebungen.
Version 3.2.0 bietet Unterstützung für das Maskieren von Passwörtern und andere Verbesserungen.
AWS CloudHSM Software für Kunden
-
Fügt Unterstützung für das Verbergen Ihres Passworts hinzu, wenn Sie Befehlszeilentools verwenden. Weitere Informationen finden Sie unter loginHSM und logoutHSM (cloudhsm_mgmt_util) und loginHSM und logoutHSM (key_mgmt_util).
PKCS-#11-Bibliothek
-
Integriert die Unterstützung für das Hashing großer Datenmengen in Software für einige PKCS-#11-Mechanismen, die zuvor nicht unterstützt wurden. Weitere Informationen finden Sie unter unterstütze Mechanismen.
OpenSSL Dynamic Engine
-
Verbesserte Stabilität und Fehlerbehebungen.
JCE-Anbieter
-
Versionsnummer wurde aus Konsistenzgründen aktualisiert.
Windows (CNG- und KSP-Anbieter)
-
Verbesserte Stabilität und Fehlerbehebungen.
Version 3.1.2 enthält Aktualisierungen für den JCE-Anbieter.
AWS CloudHSM Software für Kunden
-
Versionsnummer wurde aus Konsistenzgründen aktualisiert.
PKCS-#11-Bibliothek
-
Versionsnummer wurde aus Konsistenzgründen aktualisiert.
OpenSSL Dynamic Engine
-
Versionsnummer wurde aus Konsistenzgründen aktualisiert.
JCE-Anbieter
-
Aktualisieren Sie log4j auf Version 2.13.3.
Windows (CNG- und KSP-Anbieter)
-
Versionsnummer wurde aus Konsistenzgründen aktualisiert.
AWS CloudHSM Software für Kunden
-
Versionsnummer wurde aus Konsistenzgründen aktualisiert.
PKCS-#11-Bibliothek
-
Versionsnummer wurde aus Konsistenzgründen aktualisiert.
OpenSSL Dynamic Engine
-
Versionsnummer wurde aus Konsistenzgründen aktualisiert.
JCE-Anbieter
-
Fehlerbehebungen und Leistungsverbesserungen.
Windows (CNG, KSP)
-
Versionsnummer wurde aus Konsistenzgründen aktualisiert.
Version 3.1.0 fügt das standardkonforme AES Key Wrapping hinzu.
AWS CloudHSM Software für Kunden
-
Eine neue Upgrade-Anforderung: Die Version Ihres Clients muss mit der Version aller von Ihnen verwendeten Softwarebibliotheken übereinstimmen. Für ein Upgrade müssen Sie einen Stapelbefehl verwenden, der gleichzeitig den Client und alle Bibliotheken aktualisiert. Weitere Informationen finden Sie unter Client-SDK-3-Upgrade.
-
Key_mgmt_util (KMU) enthält folgende Aktualisierungen:
Es wurden zwei neue AES-Verschlüsselungsmethoden hinzugefügt: standardkonforme AES-Verschlüsselung mit Zero Padding und AES-Verschlüsselung ohne Padding. Weitere Informationen finden Sie unter wrapKey oder unwrapKey.
Deaktivierte Funktion, einen benutzerdefinierten IV anzugeben, wenn ein Schlüssel mithilfe von AES_KEY_WRAP_PAD_PKCS5 verpackt wird. Weitere Informationen finden Sie unter AES Key Wrapping.
PKCS-#11-Bibliothek
-
Es wurden zwei neue AES-Verschlüsselungsmethoden hinzugefügt: standardkonforme AES-Verschlüsselung mit Zero Padding und AES-Verschlüsselung ohne Padding. Weitere Informationen finden Sie unter AES Key Wrapping.
-
Sie können die Salt-Länge für RSA-PSS-Signaturen konfigurieren. Informationen zur Verwendung dieser Funktion finden Sie unter Konfigurierbare Salzlänge für RSA-PSS-Signaturen
auf. GitHub
OpenSSL Dynamic Engine
-
ABWÄRTSKOMPATIBLE ÄNDERUNG: TLS 1.0 und 1.2 Cipher Suites mit SHA1 sind in OpenSSL Engine 3.1.0 nicht verfügbar. Dieses Problem wird in Kürze behoben.
-
Wenn Sie beabsichtigen, die OpenSSL Dynamic Engine-Bibliothek auf RHEL 6 oder CentOS 6 zu installieren, informieren Sie sich über ein bekanntes Problem bezüglich der OpenSSL-Standardversion, die auf diesen Betriebssystemen installiert ist.
-
Stabilitätsverbesserungen und Fehlerbehebungen
JCE-Anbieter
-
ABWÄRTSKOMPATIBLE ÄNDERUNG: Um ein Problem mit der Java Cryptography Extension (JCE)-Konformität zu beheben, verwenden die AES-Verschlüsselung und -Entschlüsselung jetzt anstelle des AES-Algorithmus den AESWrap-Algorithmus korrekt. Dies bedeutet, dass
Cipher.WRAP_MODE
undCipher.UNWRAP_MODE
nicht mehr mit den AES/EZB- und AES/CBC-Mechanismen funktionieren.Um ein Upgrade auf die Client-Version 3.1.0 durchzuführen, müssen Sie Ihren Code aktualisieren. Wenn Sie bereits verpackte Schlüssel haben, müssen Sie besonders auf den Mechanismus zum Entpacken achten und darauf, wie sich die IV-Standardwerte geändert haben. Wenn Sie mit der Client-Version 3.0.0 oder früher verpackte Schlüssel haben, müssen Sie in 3.1.1 AesWrap/ECB/PKCS5Padding verwenden, um die vorhandenen Schlüssel zu entpacken. Weitere Informationen finden Sie unter AES Key Wrapping.
-
Sie können mehrere Schlüssel mit demselben Label aus der JCE-Anbieter auflisten. Informationen zur Iteration aller verfügbaren Schlüssel finden Sie unter Suchen Sie
nach allen Schlüsseln auf. GitHub -
Sie können bei der Schlüsselerstellung restriktivere Werte für Attribute festlegen, einschließlich der Angabe unterschiedlicher Labels für öffentliche und private Schlüssel. Weitere Informationen finden Sie unter Unterstützte Java-Attribute.
Windows (CNG, KSP)
-
Verbesserte Stabilität und Fehlerbehebungen.
E-Veröffentlichungen nd-of-life
AWS CloudHSM kündigt das Ende der Lebensdauer von Versionen an, die nicht mehr mit dem Service kompatibel sind. Um die Sicherheit Ihrer Anwendung zu gewährleisten, behalten wir uns das Recht vor, Verbindungen zu end-of-life Releases aktiv abzulehnen.
Derzeit sind keine Versionen des Client-SDK end-of-life Releases.