Problemas conocidos del motor dinámico de OpenSSL en AWS CloudHSM

Impacto: el motor dinámico de OpenSSL solo admite OpenSSL 1.0.2 [f+]. De forma predeterminada, RHEL 6 y CentOS 6 vienen con OpenSSL 1.0.1.

Solución: actualice la biblioteca OpenSSL de RHEL 6 y CentOS 6 a la versión 1.0.2 [f+].

Impacto: para maximizar el desempeño, el SDK no está configurada para descargar funciones adicionales, como la generación de números aleatorios o las operaciones EC-DH.

Solución: contacte con nosotros a través de un caso de soporte si necesita descargar operaciones adicionales.

Estado de resolución: estamos agregando compatibilidad al SDK para configurar las opciones de descarga a través de un archivo de configuración. La actualización se anunciará en la página del historial de versiones cuando esté disponible.

Impacto: cualquier llamada a cifrado y descifrado RSA con relleno OAEP falla con un error de división entre cero. Esto se debe a que el motor dinámico de OpenSSL llama a la operación localmente mediante el archivo PEM falso en lugar de descargar la operación al HSM.

Solución: puede realizar este procedimiento mediante Biblioteca PKCS #11 para Client SDK 5 de AWS CloudHSM o Proveedor de JCE para Client SDK 5 de AWS CloudHSM.

Estado de resolución: estamos añadiendo el servicio de soporte para el SDK para descargar correctamente esta operación. La actualización se anunciará en la página del historial de versiones cuando esté disponible.

Impacto: debido a que la conmutación por error es silenciosa, no hay ninguna indicación que no ha recibido una clave generada de forma segura en el HSM. Verá un rastro de salida que contiene la cadena "...........++++++" si la clave se ha generado localmente por OpenSSL mediante software. Este rastro no aparece cuando la operación se lleva a cabo en el HSM. Dado que la clave no se genera ni está almacenada en el HSM, no estará disponible para su uso futuro.

Solución provisional: utilice el motor de OpenSSL para los tipos de claves que admite. Para los demás tipos de claves, use PKCS #11 o JCE en las aplicaciones, o bien, use key_mgmt_util en la CLI.

Impacto: de forma predeterminada, RHEL 8, CentOS 8 y Ubuntu 18.04 LTS incluyen una versión de OpenSSL que no es compatible con OpenSSL Dynamic Engine para SDK 3 de cliente.

Solución alternativa: utilice una plataforma Linux que sea compatible con el motor dinámico de OpenSSL. Para obtener información acerca de las plataformas admitidas, consulte Plataformas admitidas.

Estado de la resolución: AWS CloudHSM admite estas plataformas con OpenSSL Dynamic Engine para SDK 5 de cliente. Para obtener más información, consulte Plataformas compatibles y Motor dinámico de OpenSSL.

Impacto: el uso del resumen de mensajes con SHA-1 con fines criptográficos ha quedado obsoleto en RHEL 9 (9.2+). Como resultado, las operaciones de firma y verificación con SHA-1 mediante el motor dinámico de OpenSSL darán error.

Solución alternativa: si su situación requiere el uso de SHA-1 para firmar o verificar firmas criptográficas existentes o de terceros, consulte Mejorar la seguridad de RHEL: notas de versión en las que SHA-1 quedó obsoleta en RHEL 9 (9.2+) y RHEL 9 (9.2+) para obtener más información.

Impacto: Recibirá un error si intenta usar el motor dinámico de OpenSSL de AWS CloudHSM cuando el proveedor FIPS esté habilitado para las versiones 3.x de OpenSSL.

Solución alternativa: para usar el motor dinámico de OpenSSL de AWS CloudHSM con las versiones 3.x de OpenSSL, procure que el proveedor “predeterminado” esté configurado. Obtenga más información sobre el proveedor predeterminado en el sitio web de OpenSSL.