Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
De temps à autre, cette fonctionnalité AWS CloudHSM peut être désapprouvée afin de rester conforme aux exigences des normes FIPS 140, PCI-DSS, PCI-PIN, PCI-3DS, ou pour des raisons matérielles. SOC2 end-of-support Cette page répertorie les modifications actuellement applicables.
HSM1 Obsolète
Le support du type d'instance AWS CloudHSM hsm1.medium atteindra la fin du support le 1er décembre 2025. Pour garantir un service continu, nous introduisons les modifications suivantes :
À partir d'avril 2025, vous ne pourrez plus créer de nouveaux clusters hsm1.medium.
À partir d'avril 2025, nous commencerons à migrer automatiquement les clusters hsm1.medium existants vers le nouveau type d'instance hsm2m.medium.
Le type d'instance hsm2m.medium est compatible avec votre type d' AWS CloudHSM instance actuel et offre de meilleures performances. Pour éviter toute interruption de vos applications, vous devez effectuer une mise à niveau vers le SDK CloudHSM 5.9 ou version ultérieure. Pour les instructions de mise à niveau, consultezMigration du SDK AWS CloudHSM client 3 vers le SDK client 5.
Deux options s'offrent à vous pour la migration :
Optez pour une migration gérée par CloudHSM lorsque vous êtes prêt. Pour plus d’informations, consultez Migration de hsm1.medium vers hsm2m.medium.
Créez un nouveau cluster hsm2m.medium à partir d'une sauvegarde de votre cluster hsm1 et redirigez votre application vers le nouveau cluster. Nous recommandons d'utiliser une stratégie de déploiement bleu/vert pour cette approche. Pour de plus amples informations, veuillez consulter Création de AWS CloudHSM clusters à partir de sauvegardes.
Conformité à la norme FIPS 140 : mécanisme 2024 rendu obsolète
Le National Institute of Standards and Technology (NIST) 1recommande que la prise en charge du chiffrement Triple DES (DESede, 3DES DES3) et de l'encapsulation et du déballage des clés RSA avec le rembourrage PKCS #1 v1.5 ne soit plus autorisée après le 31 décembre 2023. Par conséquent, leur prise en charge prend fin le 1er janvier 2024 dans nos clusters en mode Federal Information Processing Standard (FIPS). Support de ces derniers pour les clusters en FIPs mode non utilisé.
Ce guide s'applique aux opérations cryptographiques suivantes :
Génération de clés Triple DES
CKM_DES3_KEY_GENpour la bibliothèque PKCS#11Keygen
DESedepour le fournisseur JCEgenSymKeyavec-t=21pour le KMU
-
Chiffrement avec des clés Triple DES (remarque : les opérations de déchiffrement sont autorisées)
Pour la bibliothèque PKCS#11 : chiffrement
CKM_DES3_CBC, chiffrementCKM_DES3_CBC_PADet chiffrementCKM_DES3_ECBPour le fournisseur JCE : chiffrement
DESede/CBC/PKCS5Padding, chiffrementDESede/CBC/NoPadding, chiffrementDESede/ECB/Paddinget chiffrementDESede/ECB/NoPadding
-
Encapsulage, désencapsulage, chiffrement et déchiffrement de clés RSA avec le rembourrage PKCS#1 v1.5
encapsulage, désencapsulage, chiffrement et déchiffrement
CKM_RSA_PKCSpour le SDK PKCS#11encapsulage, désencapsulage, chiffrement et déchiffrement
RSA/ECB/PKCS1Paddingpour le SDK JCEwrapKeyetunWrapKeyavec-m 12pour le KMU (où12la valeur du mécanismeRSA_PKCS)
[1] Pour plus de détails sur cette modification, reportez-vous aux tableaux 1 et 5 de la section Transition de l'utilisation des algorithmes de chiffrement et des longueurs de clé
