Problemas conocidos de OpenSSL Dynamic Engine

Impacto: el motor dinámico de OpenSSL solo admite OpenSSL 1.0.2 [f+]. De forma predeterminada, RHEL 6 y CentOS 6 vienen con OpenSSL 1.0.1.

Solución: actualice la biblioteca OpenSSL de RHEL 6 y CentOS 6 a la versión 1.0.2 [f+].

Impacto: para maximizar el desempeño, el SDK no está configurada para descargar funciones adicionales, como la generación de números aleatorios o las operaciones EC-DH.

Solución: contacte con nosotros a través de un caso de soporte si necesita descargar operaciones adicionales.

Estado de resolución: estamos agregando compatibilidad al SDK para configurar las opciones de descarga a través de un archivo de configuración. La actualización se anunciará en la página del historial de versiones cuando esté disponible.

Impacto: cualquier llamada al cifrado y descifrado RSA con relleno OAEP falla y se produce un error. divide-by-zero Esto se debe a que el motor dinámico de OpenSSL llama a la operación localmente mediante el archivo PEM falso en lugar de descargar la operación al HSM.

Solución: puede realizar este procedimiento mediante Biblioteca PKCS #11 o Proveedor de JCE.

Estado de resolución: estamos añadiendo el servicio de soporte para el SDK para descargar correctamente esta operación. La actualización se anunciará en la página del historial de versiones cuando esté disponible.

Impacto: debido a que la conmutación por error es silenciosa, no hay ninguna indicación que no ha recibido una clave generada de forma segura en el HSM. Verá un rastro de salida que contiene la cadena "...........++++++" si la clave se ha generado localmente por OpenSSL mediante software. Este rastro no aparece cuando la operación se lleva a cabo en el HSM. Dado que la clave no se genera ni está almacenada en el HSM, no estará disponible para su uso futuro.

Solución provisional: utilice el motor de OpenSSL para los tipos de claves que admite. Para todos los demás tipos de claves, utilice PKCS #11 o JCE en las aplicaciones o key_mgmt_util en la CLI.

Impacto: de forma predeterminada, RHEL 8, CentOS 8 y Ubuntu 18.04 LTS incluyen una versión de OpenSSL que no es compatible con OpenSSL Dynamic Engine para SDK 3 de cliente.

Solución alternativa: utilice una plataforma Linux que sea compatible con el motor dinámico de OpenSSL. Para obtener información acerca de las plataformas admitidas, consulte Plataformas admitidas.

Estado de la resolución: AWS CloudHSM admite estas plataformas con OpenSSL Dynamic Engine for Client SDK 5. Para obtener más información, consulte Plataformas compatibles y Motor dinámico de OpenSSL.

Impacto: El uso del resumen de mensajes del SHA-1 con fines criptográficos ha quedado obsoleto en RHEL 9 (9.2+). Como resultado, las operaciones de firma y verificación con SHA-1 mediante el motor dinámico OpenSSL fallarán.

Solución alternativa: si su situación requiere el uso del SHA-1 para firmar o verificar firmas criptográficas existentes o de terceros, consulte Mejorar la seguridad de RHEL: entender la obsolescencia del SHA-1 en las notas de la versión RHEL 9 (9.2+) y RHEL 9 (9.2+) para obtener más información.

Impacto: Recibirá un error si intenta utilizar el motor dinámico de AWS CloudHSM OpenSSL cuando el proveedor FIPS esté activado para las versiones 3.x de OpenSSL.

Solución alternativa: para utilizar el motor dinámico de AWS CloudHSM OpenSSL con las versiones 3.x de OpenSSL, asegúrese de que el proveedor «predeterminado» esté configurado. Obtenga más información sobre el proveedor predeterminado en el sitio web de OpenSSL.