Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Les problèmes suivants concernent tous les AWS CloudHSM utilisateurs, qu'ils utilisent l'outil de ligne de commande key_mgmt_util, le SDK PKCS #11, le SDK JCE ou le SDK OpenSSL.
Problème : l'encapsulage de clé AES utilise le remplissage PKCS#5 au lieu de fournir une implémentation conforme aux normes de l'encapsulage de clé avec remplissage avec des zéros
En outre, l'encapsulage de clé sans remplissage ni remplissage avec des zéros n'est pas pris en charge.
-
Conséquence : il n'y a aucun impact si vous encapsulez et déballez à l'aide de cet algorithme intégré. AWS CloudHSM Cependant, les clés enveloppées AWS CloudHSM ne peuvent pas être déballées dans un autre logiciel HSMs ou dans un logiciel qui s'attend à être conforme à la spécification d'absence de rembourrage. Cela est dû au fait que huit octets de données de remplissage peuvent être ajoutés à la fin de vos données clés lors d'un désencapsulage conforme aux normes. Les clés encapsulées en externe ne peuvent pas être correctement déballées dans une AWS CloudHSM instance.
-
Solution : pour désencapsuler en externe une clé encapsulée à l'aide de la fonction AES Key Wrap avec PKCS #5 Padding sur une instance AWS CloudHSM, enlevez le remplissage supplémentaire avant d'essayer d'utiliser la clé. Pour ce faire, vous pouvez essayer de réduire les octets supplémentaires dans un éditeur de fichier ou copier uniquement les octets de la clé dans une nouvelle mémoire tampon dans votre code.
-
État de la résolution : avec la version client et logiciel 3.1.0, AWS CloudHSM fournit des options conformes aux normes pour l'encapsulage des clés AES. Pour plus d'informations, consultez Encapsulage des clés AES.
Problème : Le démon client nécessite au moins une adresse IP valide dans son fichier de configuration pour pouvoir se connecter au cluster
-
Conséquence : si vous supprimez tous les HSM de votre cluster, puis que vous en ajoutez un autre, qui obtient une nouvelle adresse IP, le daemon client continue de rechercher votre HSMs adresse IP d'origine.
-
Solution : Si vous exécutez une charge de travail intermittente, nous vous recommandons d'utiliser l'
IpAddressargument de la CreateHsmfonction pour rétablir la valeur d'origine de l'Elastic network interface (ENI). Notez qu'une ENI est spécifique à une zone de disponibilité (AZ). L'alternative consiste à supprimer le fichier/opt/cloudhsm/daemon/1/cluster.info, puis à réinitialiser la configuration du client par l'adresse IP de votre nouveau HSM. Vous pouvez utiliser la commandeclient -a. Pour plus d'informations, voir Installer et configurer le AWS CloudHSM client (Linux) ou Installer et configurer le AWS CloudHSM client (Windows).<IP address>
Problème : les données pouvant être hachées et signées à l' AWS CloudHSM aide du SDK client 3 étaient limitées à 16 Ko
-
État de résolution : les données inférieures à 16 Ko continuent d'être envoyées au HSM pour hachage. Nous avons ajouté de la capacité pour hacher en local, dans les logiciels, les données comprises entre 16 Ko et 64 Ko. Le SDK client 5 échouera explicitement si le tampon de données est supérieur à 64 Ko. Vous devez mettre à jour votre client et votre ou vos SDK vers une version supérieure à 5.0.0 ou supérieure pour bénéficier du correctif.
Problème : les clés importées n'ont pas pu être spécifiées comme non exportables
-
État de résolution : le problème est résolu. Aucune action n'est requise de votre part pour tirer parti du correctif.
Problème : le mécanisme par défaut pour le WrapKey et les unWrapKey commandes du key_mgmt_util a été supprimé
Problème : si vous avez un seul HSM dans votre cluster, le basculement HSM ne se produit pas correctement
-
Impact : si l'instance HSM unique de votre cluster perd la connectivité, le client ne se reconnectera pas à elle, même si l'instance HSM est restaurée ultérieurement.
-
Solution de contournement : nous recommandons d'au moins deux instances HSM dans n'importe quel cluster de production. Si vous utilisez cette configuration, vous ne serez pas affecté par ce problème. Pour les clusters à un seul HSM, renvoyez le démon client à l'expéditeur pour restaurer la connectivité.
-
État de résolution : ce problème a été résolu dans la version client 1.1.2 de AWS CloudHSM . Vous devez effectuer une mise à niveau vers ce client afin de bénéficier de la correction.
Problème : si vous dépassez la capacité clé de votre cluster HSMs dans un court laps de temps, le client entre dans un état d'erreur non géré
-
Impact : lorsque le client rencontre une erreur non gérée, il se bloque et doit être redémarré.
-
Solution de contournement : testez votre débit pour vous assurer que vous ne créez pas de clés de session plus rapidement que ce que le client est en mesure de traiter. Vous pouvez réduire votre débit en ajoutant un HSM au cluster ou en ralentissant la création de clé de session.
-
État de résolution : ce problème a été résolu dans la version client 1.1.2 de AWS CloudHSM . Vous devez effectuer une mise à niveau vers ce client afin de bénéficier de la correction.
Problème : les opérations de digest avec clés HMAC de taille supérieure à 800 octets ne sont pas prises en charge
-
Impact : les clés HMAC de plus de 800 octets peuvent être générées ou importées dans le HSM. Toutefois, si vous utilisez cette clé dans une opération de digest via JCE ou key_mgmt_util, l'opération échoue. Notez que si vous utilisez des clés HMAC PKCS11, leur taille est limitée à 64 octets.
-
Solution de contournement : si vous utiliserez des clés HMAC pour les opérations de digest sur le HSM, assurez-vous que la taille est inférieure à 800 octets.
-
État de résolution : Aucun pour l'instant.
Problème : L'outil client_info, distribué avec le SDK client 3, supprime le contenu du chemin spécifié par l'argument de sortie facultatif
-
Conséquence : tous les fichiers et sous-répertoires existants situés sous le chemin de sortie spécifié risquent d'être définitivement perdus.
-
Solution : n'utilisez pas l'argument facultatif
-outputlorsque vous utilisez l'outilpathclient_info. -
État de résolution : ce problème a été résolu dans la version SDK client 3.3.2. Vous devez effectuer une mise à niveau vers ce client afin de bénéficier de la correction.
Problème : vous recevez une erreur lors de l'exécution de l'outil de configuration du SDK 5 à l'aide de l'argument --cluster-id dans des environnements conteneurisés
Le message d'erreur suivant s'affiche lorsque vous utilisez l'argument --cluster-id avec l'outil de configuration :
No credentials in the property bag
Cette erreur est due à une mise à jour de la version 2 du service de métadonnées d'instance (IMDSv2). Pour de plus amples informations, veuillez consulter la documentation IMDSv2.
-
Conséquence : ce problème aura un impact sur les utilisateurs exécutant l'outil de configuration sur les versions 5.5.0 et ultérieures du SDK dans des environnements conteneurisés et utilisant les métadonnées d' EC2 instance pour fournir des informations d'identification.
-
Solution : définissez la limite de sauts de réponse PUT à au moins deux. Pour savoir comment procéder, consultez Configurer les options de métadonnées de l'instance.
Problème : vous recevez le message d'erreur « Impossible de créer le cert/la clé à partir du fichier pfx fourni. Erreur : NotPkcs 8 pouces
-
Solution : vous pouvez convertir la clé privée SSL personnalisée au PKCS8 format à l'aide de la commande openssl :
openssl pkcs8 -topk8 -inform PEM -outform PEM -inssl_private_key-outssl_private_key_pkcs8 -
État de la résolution : ce problème a été résolu dans la version 5.12.0 du SDK client. Vous devez effectuer une mise à niveau vers cette version du client ou une version ultérieure pour bénéficier du correctif.
