Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Bekannte Probleme mit der Open SSL Dynamic Engine für AWS CloudHSM
Dies sind die bekannten Probleme für Open SSL Dynamic Engine for AWS CloudHSM.
Themen
- Problem: Sie können AWS CloudHSM Open SSL Dynamic Engine nicht auf RHEL 6 und Cent installieren OS6
- Problem: Standardmäßig wird nur das RSA Offload auf die unterstützt HSM
- Problem: RSA Verschlüsselung und Entschlüsselung mit Auffüllen OAEP mithilfe eines Schlüssels auf der HSM werden nicht unterstützt
- Problem: Nur die Generierung von privaten Schlüsseln von RSA ECC UND-Schlüsseln wird auf die HSM
- Problem: Sie können Open SSL Dynamic Engine für Client SDK 3 nicht auf RHEL 8, CentOS 8 oder Ubuntu 18.04 installieren LTS
- Problem: SHA -1 Veraltete Version auf Version RHEL 9 signieren und verifizieren (Version 9.2+)
- Problem: AWS CloudHSM Open SSL Dynamic Engine ist nicht mit dem Anbieter für Open v3.x kompatibel FIPS SSL
Problem: Sie können AWS CloudHSM Open SSL Dynamic Engine nicht auf RHEL 6 und Cent installieren OS6
-
Auswirkung: Die Open SSL Dynamic Engine unterstützt nur Open SSL 1.0.2 [f+]. Standardmäßig werden RHEL 6 und CentOS 6 mit Open SSL 1.0.1 geliefert.
-
Umgehung: Aktualisieren Sie die SSL Open-Bibliothek auf RHEL 6 und CentOS 6 auf Version 1.0.2 [f+].
Problem: Standardmäßig wird nur das RSA Offload auf die unterstützt HSM
-
Auswirkung: Um die Leistung zu maximieren, SDK ist der nicht so konfiguriert, dass er zusätzliche Funktionen wie die Generierung von Zufallszahlen oder EC-DH-Operationen auslagert.
-
Problemumgehung: Bitte kontaktieren Sie uns mittels eines Supportfalls, wenn Sie zusätzliche Operationen auslagern möchten.
-
Status der Lösung: Wir fügen Unterstützung für die SDK Konfiguration von Offload-Optionen über eine Konfigurationsdatei hinzu. Die Aktualisierung wird auf der Seite des Versionsverlaufs bekanntgegeben, sobald sie verfügbar ist.
Problem: RSA Verschlüsselung und Entschlüsselung mit Auffüllen OAEP mithilfe eines Schlüssels auf der HSM werden nicht unterstützt
-
Auswirkung: Jeder Aufruf zur RSA Verschlüsselung und OAEP Entschlüsselung mit Auffüllen schlägt mit einem Fehler fehl. divide-by-zero Dies liegt daran, dass die Open SSL Dynamic Engine den Vorgang lokal aufruft und dabei die gefälschte PEM Datei verwendet, anstatt den Vorgang auf die auszulagern. HSM
-
Problemumgehung: Sie können diesen Vorgang in der PKCS#11 -Bibliothek für AWS CloudHSM Client SDK 5 oder in der JCEAnbieter für AWS CloudHSM Client SDK 5 ausführen.
-
Lösungsstatus: Wir fügen Unterstützung hinzu, um diesen SDK Vorgang korrekt auszulagern. Die Aktualisierung wird auf der Seite des Versionsverlaufs bekanntgegeben, sobald sie verfügbar ist.
Problem: Nur die Generierung von privaten Schlüsseln von RSA ECC UND-Schlüsseln wird auf die HSM
Bei allen anderen Schlüsseltypen wird die Open SSL AWS CloudHSM Engine nicht für die Anrufverarbeitung verwendet. Stattdessen wird die lokale SSL Open-Engine verwendet. Dies generiert einen Schlüssel lokal in der Software.
-
Auswirkung: Da das Failover im Hintergrund abläuft, gibt es keinen Hinweis darauf, dass Sie keinen Schlüssel erhalten haben, der sicher auf dem HSM generiert wurde.
"...........++++++"
Wenn der Schlüssel lokal von Open SSL in der Software generiert wurde, wird ein Ausgabe-Trace angezeigt, der die Zeichenfolge enthält. Diese Ablaufverfolgung fehlt, wenn der Vorgang auf den HSM übertragen wird. Da der Schlüssel nicht generiert oder auf dem gespeichert wirdHSM, ist er für die future Verwendung nicht verfügbar. -
Problemumgehung: Verwenden Sie die Open SSL Engine nur für Schlüsseltypen, die sie unterstützt. Verwenden Sie für alle anderen Schlüsseltypen PKCS #11 oder JCE in Anwendungen oder verwenden Sie
key_mgmt_util
in derCLI.
Problem: Sie können Open SSL Dynamic Engine für Client SDK 3 nicht auf RHEL 8, CentOS 8 oder Ubuntu 18.04 installieren LTS
-
Auswirkung: Standardmäßig wird mit RHEL 8, CentOS 8 und Ubuntu 18.04 eine Version von Open LTS ausgeliefertSSL, die nicht mit Open SSL Dynamic Engine for Client 3 kompatibel ist. SDK
-
Problemumgehung: Verwenden Sie eine Linux-Plattform, die Open Dynamic Engine unterstützt. SSL Weitere Informationen zu unterstützten Plattformen finden Sie unter Unterstützte Plattformen.
-
Lösungsstatus: AWS CloudHSM unterstützt diese Plattformen mit Open SSL Dynamic Engine für Client SDK 5. Weitere Informationen finden Sie unter Unterstützte Plattformen und Open SSL Dynamic Engine.
Problem: SHA -1 Veraltete Version auf Version RHEL 9 signieren und verifizieren (Version 9.2+)
-
Auswirkung: Die Verwendung des SHA -1 Message Digest für kryptografische Zwecke ist in 9 (9.2+) veraltet. RHEL Daher schlagen Operationen zum Signieren und Überprüfen mit SHA -1 unter Verwendung der Open SSL Dynamic Engine fehl.
-
Umgehung: Wenn Ihr Szenario die Verwendung von SHA -1 für das Signieren/Überprüfen vorhandener kryptografischer Signaturen oder von Drittanbietern erfordert, finden Sie weitere Informationen unter Enhancing RHEL Security: Understanding SHA -1 deprecation on RHEL 9 (9.2+) und RHEL9 (
9.2+) Versionshinweise.
Problem: AWS CloudHSM Open SSL Dynamic Engine ist nicht mit dem Anbieter für Open v3.x kompatibel FIPS SSL
-
Auswirkung: Sie erhalten eine Fehlermeldung, wenn Sie versuchen, die AWS CloudHSM Open SSL Dynamic Engine zu verwenden, wenn der FIPS Anbieter für Open SSL Versionen 3.x aktiviert ist.
-
Problemumgehung: Um die AWS CloudHSM Open SSL Dynamic Engine mit Open SSL Versionen 3.x zu verwenden, stellen Sie sicher, dass der „Standard“ -Anbieter konfiguriert ist. Weitere Informationen zum Standardanbieter finden Sie auf der Open SSL
Website.