Notificaciones de obsolescencia
De vez en cuando, AWS CloudHSM puede anular funcionalidades para seguir cumpliendo con los requisitos de FIPS 140, PCI-DSS, PCI-PIN, PCI-3DS y SOC2. Esta página detalla los cambios que se aplican actualmente.
Cumplimiento de la normativa FIPS 140: anulación de mecanismo 2024
El Instituto Nacional de Estándares y Tecnología (NIST) 1 recomienda no admitir el cifrado triple DES (DeSede, 3DES, DES3) ni el encapsulado y desencapsulado de claves RSA con padding PKCS #1 v1.5 a partir del 31 de diciembre de 2023. Por lo tanto, la compatibilidad con ellos finalizará el 1 de enero de 2024 en nuestros clústeres conformes al Federal Information Processing Standard (FIPS). La compatibilidad con ellos seguirá siendo para clústeres en modo no FIPS.
Esta guía se aplica a las siguientes operaciones criptográficas:
Generación de claves Triple DES
CKM_DES3_KEY_GENpara la biblioteca PKCS #11DESedeKeygen para el proveedor de JCEgenSymKeycon-t=21para KMU
-
Cifrado con claves Triple DES (nota: se permiten operaciones de descifrado)
Para la biblioteca PKCS #11: cifrado
CKM_DES3_CBC, cifradoCKM_DES3_CBC_PADy cifradoCKM_DES3_ECBPara el proveedor de JCE: cifrado
DESede/CBC/PKCS5Padding, cifradoDESede/CBC/NoPadding, cifradoDESede/ECB/Paddingy cifradoDESede/ECB/NoPadding
-
Encapsulado, desencapsulado, cifrado y descifrado de claves RSA con padding PKCS#1 v1.5
Encapsulado, desencapsulado, cifrado y descifrado de
CKM_RSA_PKCSpara el SDK de PKCS#11Encapsulado, desencapsulado, cifrado y descifrado de
RSA/ECB/PKCS1Paddingpara el SDK de JCEwrapKeyyunWrapKeycon-m 12para KMU (tenga en cuenta que12es el valor del mecanismoRSA_PKCS)
[1] Para obtener más información sobre este cambio, consulte las tablas 1 y 5 de la sección Transición en el uso de algoritmos criptográficos y longitudes de clave
