Bekannte Probleme für alle HSM Instanzen

Auswirkung: Es hat keine Auswirkungen, wenn Sie den Zeilenumbruch und das Entpacken mithilfe dieses internen Algorithmus durchführen. AWS CloudHSM Schlüssel, die mit eingeschlossen sind, können jedoch AWS CloudHSM nicht in einer anderen Software HSMs oder Software entpackt werden, die die Einhaltung der No-Padding-Spezifikation voraussetzt. Dies liegt daran, dass während des standardkonformen Entpackens am Ende Ihrer Schlüsseldaten acht Bytes Padding-Daten hinzugefügt werden können. Extern verpackte Schlüssel können nicht ordnungsgemäß in eine Instanz entpackt werden. AWS CloudHSM

Umgehung: Um einen Schlüssel, der mit Key Wrap with PKCS #5 Padding auf einer AWS HSM Cloud-Instanz umschlossen wurde, extern zu entpacken, entfernen Sie den zusätzlichen Abstand, bevor Sie versuchen, den AES Schlüssel zu verwenden. Zu diesem Zweck können Sie die zusätzlichen Bytes in einem Datei-Editor abtrimmen oder nur die Schlüsselbytes in einen neuen Puffer in Ihrem Code kopieren.

Status der Lösung: Mit der Client- und Softwareversion 3.1.0 stehen standardkonforme Optionen für das Umschließen von AWS CloudHSM Schlüsseln zur Verfügung. AES Weitere Informationen finden Sie unter Key-WrappingAES.

Auswirkung: Wenn Sie alle HSM in Ihrem Cluster löschen und dann eine weitere hinzufügenHSM, die eine neue IP-Adresse erhält, sucht der Client-Daemon weiterhin HSMs an ihren ursprünglichen IP-Adressen nach Ihnen.

Umgehung: Wenn Sie einen intermittierenden Workload ausführen, empfehlen wir, dass Sie das IpAddress Argument in der CreateHsmFunktion verwenden, um das elastic network interface (ENI) auf seinen ursprünglichen Wert zu setzen. Beachten Sie, dass an spezifisch für ENI eine Availability Zone (AZ) ist. Die Alternative besteht darin, die /opt/cloudhsm/daemon/1/cluster.info Datei zu löschen und dann die Client-Konfiguration auf die IP-Adresse Ihrer neuen Version zurückzusetzenHSM. Sie können den Befehl client -a <IP address> verwenden. Weitere Informationen finden Sie unter Installation und Konfiguration des AWS CloudHSM Clients (Linux) oder Installation und Konfiguration des AWS CloudHSM Clients (Windows).

Lösungsstatus: Daten mit einer Größe von weniger als 16 KB werden weiterhin zum Hashing an den HSM gesendet. Daten zwischen 16 KB und 64 KB können nun auch lokal in der Software mit einem Hash-Wert versehen werden. Client SDK 5 schlägt explizit fehl, wenn der Datenpuffer größer als 64 KB ist. Sie müssen Ihren Client und SDK (s) auf eine höhere Version als 5.0.0 oder höher aktualisieren, um von dem Fix zu profitieren.

Stand der Lösung: Dieses Problem wurde behoben. Ihrerseits sind keine Maßnahmen erforderlich, um die Korrektur nutzen zu können.

Lösung: Wenn Sie die unWrapKey Befehle wrapKey oder verwenden, müssen Sie die Option verwenden, um den -m Mechanismus anzugeben. Weitere Informationen finden Sie in den Beispielen in den unWrapKeyArtikeln wrapKeyoder.

Auswirkung: Wenn die einzelne HSM Instanz in Ihrem Cluster die Konnektivität verliert, stellt der Client keine erneute Verbindung mit ihr her, auch wenn die HSM Instanz später wiederhergestellt wird.

Problemumgehung: Wir empfehlen mindestens zwei HSM Instanzen in einem Produktionscluster. Wenn Sie diese Konfiguration verwenden, werden Sie nicht von diesem Problem betroffen sein. Führen Sie bei HSM Einzelclustern den Client-Daemon aus, um die Konnektivität wiederherzustellen.

Stand der Lösung: Dieses Problem wurde in AWS CloudHSM -Client Version 1.1.2 behoben. Sie müssen auf diesen Client upgraden, um das Problem zu beheben.

Auswirkung: Wenn der Client in den Status „Unbehandelter Fehler“ wechselt, hängt er sich auf und muss neu gestartet werden.

Problemumgehung: (Problemumgehung) Testen Sie Ihren Durchsatz, um sicherzustellen, dass Sitzungsschlüssel nicht mit einer Rate erstellt werden, die der Client nicht verarbeiten kann. Sie können Ihre Rate senken, indem Sie dem Cluster einen HSM hinzufügen oder die Erstellung von Sitzungsschlüsseln verlangsamen.

Stand der Lösung: Dieses Problem wurde in AWS CloudHSM -Client Version 1.1.2 behoben. Sie müssen auf diesen Client upgraden, um das Problem zu beheben.

Auswirkung: HMAC Schlüssel, die größer als 800 Byte sind, können auf dem generiert oder in den HSM importiert werden. Wenn Sie diesen größeren Schlüssel jedoch in einem Digest-Vorgang über JCE oder key_mgmt_util verwenden, schlägt der Vorgang fehl. Beachten Sie, dass HMAC Schlüssel bei Verwendung auf eine Größe von PKCS11 64 Byte begrenzt sind.

Umgehung: Wenn Sie HMAC Schlüssel für Digest-Operationen auf dem verwenden, stellen Sie sicherHSM, dass die Größe kleiner als 800 Byte ist.

Stand der Lösung: Keine Angabe.

Auswirkung: Alle vorhandenen Dateien und Unterverzeichnisse unter dem angegebenen Ausgabepfad können dauerhaft verloren gehen.

Problemumgehung: Verwenden Sie das optionale Argument -output path nicht, wenn Sie das client_info-Tool verwenden.

Lösungsstatus: Dieses Problem wurde in der SDKClient-Version 3.3.2 behoben. Sie müssen auf diesen Client upgraden, um das Problem zu beheben.

Auswirkung: Dieses Problem betrifft Benutzer, die das Konfigurationstool auf SDK Versionen 5.5.0 und höher in containerisierten Umgebungen ausführen und EC2 Instanz-Metadaten zur Bereitstellung von Anmeldeinformationen verwenden.

Umgehung: Legen Sie das PUT Response-Hop-Limit auf mindestens zwei fest. Eine Anleitung dazu finden Sie unter Konfigurieren der Optionen für Instance-Metadaten.

Auswirkung: SDK 5.11.0-Benutzer, die eine Neukonfiguration SSL mit einem Zertifikat und einem privaten Schlüssel durchführen, schlagen fehl, wenn ihre privaten Schlüssel nicht formatiert sind. PKCS8

Problemumgehung: Sie können den benutzerdefinierten SSL privaten Schlüssel mit dem Befehl openssl in ein PKCS8 Format konvertieren: openssl pkcs8 -topk8 -inform PEM -outform PEM -in ssl_private_key -out ssl_private_key_pkcs8

Lösungsstatus: Dieses Problem wurde in der Client-Version SDK 5.12.0 behoben. Sie müssen ein Upgrade auf diese Client-Version oder eine neuere Version durchführen, um von dem Update zu profitieren.