Problèmes connus liés à l'Open SSL Dynamic Engine pour AWS CloudHSM - AWS CloudHSM
Problème : vous ne pouvez pas installer AWS CloudHSM Open SSL Dynamic Engine sur RHEL 6 et Cent OS6 Problème : seul le RSA déchargement vers le HSM est pris en charge par défautProblème : RSA le chiffrement et le déchiffrement avec remplissage à l'OAEPaide d'une clé sur le ne HSM sont pas pris en chargeProblème : seule la génération de clés privées RSA et ECC les clés sont déchargées vers HSMProblème : vous ne pouvez pas installer Open SSL Dynamic Engine pour Client SDK 3 sur RHEL 8, CentOS 8 ou Ubuntu 18.04 LTS Problème : SHA -1 Dépréciation de Sign and Verify sur RHEL 9 (9.2+)Problème : AWS CloudHSM Open SSL Dynamic Engine est incompatible avec le FIPS fournisseur d'Open SSL v3.x

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Problèmes connus liés à l'Open SSL Dynamic Engine pour AWS CloudHSM

Voici les problèmes connus liés à Open SSL Dynamic Engine pour AWS CloudHSM.

Problème : vous ne pouvez pas installer AWS CloudHSM Open SSL Dynamic Engine sur RHEL 6 et Cent OS6

  • Conséquence : Open SSL Dynamic Engine ne prend en charge qu'Open SSL 1.0.2 [f+]. Par défaut, RHEL 6 et CentOS 6 sont fournis avec Open SSL 1.0.1.

  • Solution : mettez à niveau la SSL bibliothèque Open sur RHEL 6 et CentOS 6 vers la version 1.0.2 [f+].

Problème : seul le RSA déchargement vers le HSM est pris en charge par défaut

  • Conséquence : pour optimiser les performances, le n'SDKest pas configuré pour décharger des fonctions supplémentaires telles que la génération de nombres aléatoires ou les opérations EC-DH.

  • Solution : Veuillez nous contacter au moyen d'une demande de support si vous avez besoin de décharger des opérations supplémentaires.

  • État de la résolution : nous ajoutons la prise en charge SDK de la configuration des options de déchargement via un fichier de configuration. Une fois disponible, la mise à jour sera annoncée sur la page de l'historique des versions.

Problème : RSA le chiffrement et le déchiffrement avec remplissage à l'OAEPaide d'une clé sur le ne HSM sont pas pris en charge

  • Conséquence : tout appel au RSA chiffrement et au déchiffrement avec OAEP rembourrage échoue avec une divide-by-zero erreur. Cela se produit parce que le moteur SSL dynamique Open appelle l'opération localement en utilisant le faux PEM fichier au lieu de décharger l'opération vers leHSM.

  • Solution : Vous pouvez effectuer cette procédure à l'aide de PKCSbibliothèque #11 pour AWS CloudHSM Client SDK 5 ou de JCEfournisseur pour AWS CloudHSM Client SDK 5.

  • État de la résolution : nous ajoutons un support SDK pour décharger correctement cette opération. Une fois disponible, la mise à jour sera annoncée sur la page de l'historique des versions.

Problème : seule la génération de clés privées RSA et ECC les clés sont déchargées vers HSM

Pour tout autre type de clé, le SSL AWS CloudHSM moteur Open n'est pas utilisé pour le traitement des appels. Le SSL moteur Open local est utilisé à la place. Cela génère une clé localement dans le logiciel.

  • Conséquence : le basculement étant silencieux, rien n'indique que vous n'avez pas reçu de clé générée de manière sécurisée sur leHSM. Vous verrez une trace de sortie contenant la chaîne "...........++++++" si la clé est générée localement par le logiciel Open SSL in. Cette trace est absente lorsque l'opération est déchargée vers leHSM. Comme la clé n'est ni générée ni stockée sur leHSM, elle ne sera pas disponible pour une utilisation future.

  • Solution : utilisez le SSL moteur Open uniquement pour les types de clés qu'il prend en charge. Pour tous les autres types de clés, utilisez PKCS #11 ou JCE dans les applications, ou utilisez key_mgmt_util dans leCLI.

Problème : vous ne pouvez pas installer Open SSL Dynamic Engine pour Client SDK 3 sur RHEL 8, CentOS 8 ou Ubuntu 18.04 LTS

  • Conséquence : par défaut, RHEL 8, CentOS 8 et Ubuntu 18.04 LTS proposent une version d'Open SSL qui n'est pas compatible avec Open SSL Dynamic Engine pour Client 3. SDK

  • Solution : utilisez une plate-forme Linux prenant en charge Open SSL Dynamic Engine. Pour plus d'informations sur les plateformes prises en charge, consultez Plateformes prises en charge.

  • État de résolution : AWS CloudHSM prend en charge ces plateformes avec Open SSL Dynamic Engine pour Client SDK 5. Pour plus d'informations, consultez Plateformes prises en charge et Open SSL Dynamic Engine.

Problème : SHA -1 Dépréciation de Sign and Verify sur RHEL 9 (9.2+)

  • Conséquence : l'utilisation du condensé de message SHA -1 à des fins cryptographiques est devenue obsolète depuis la version RHEL 9 (version 9.2+). Par conséquent, les opérations de signature et de vérification avec SHA -1 à l'aide de l'Open SSL Dynamic Engine échoueront.

  • Solution : si votre scénario nécessite l'utilisation de SHA -1 pour signer/vérifier des signatures cryptographiques existantes ou tierces, voir Enhancing RHEL Security : Understanding SHA -1 deprecation on RHEL 9 (9.2+) et RHEL9 (9.2+) Release Notes pour plus de détails.

Problème : AWS CloudHSM Open SSL Dynamic Engine est incompatible avec le FIPS fournisseur d'Open SSL v3.x

  • Conséquence : vous recevrez un message d'erreur si vous tentez d'utiliser le moteur AWS CloudHSM Open SSL Dynamic alors que le FIPS fournisseur est activé pour les SSL versions 3.x d'Open.

  • Solution : pour utiliser AWS CloudHSM Open SSL Dynamic Engine avec Open SSL versions 3.x, assurez-vous que le fournisseur « par défaut » est configuré. Pour en savoir plus sur le fournisseur par défaut, consultez l'Open SSL Website.