Pemberitahuan Pengakhiran - AWS CloudHSM
HSM1 penghentianKepatuhan FIPS 140: Penutupan Mekanisme 2024

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pemberitahuan Pengakhiran

Dari waktu ke waktu, AWS CloudHSM dapat menghentikan fungsionalitas agar tetap sesuai dengan persyaratan FIPS 140, PCI-DSS, PCI-PIN, PCI-3DS, atau karena perangkat keras. SOC2 end-of-support Halaman ini mencantumkan perubahan yang saat ini berlaku.

HSM1 penghentian

Jenis instans AWS CloudHSM hsm1.medium akan mencapai akhir dukungannya pada 1 Desember 2025. Untuk memastikan layanan berkelanjutan, kami memperkenalkan perubahan berikut:

  • Mulai April 2025, Anda tidak akan dapat membuat klaster hsm1.medium baru.

  • Mulai April 2025, kita akan mulai secara otomatis memigrasikan cluster hsm1.medium yang ada ke tipe instance hsm2m.medium yang baru.

Tipe instans hsm2m.medium kompatibel dengan tipe instans Anda saat ini dan AWS CloudHSM menawarkan peningkatan kinerja. Untuk menghindari gangguan pada aplikasi Anda, Anda harus meningkatkan ke CloudHSM SDK 5.9 atau yang lebih baru. Untuk petunjuk peningkatan, lihatMigrasi dari SDK AWS CloudHSM Klien 3 ke SDK Klien 5.

Anda memiliki dua opsi untuk migrasi:

  1. Ikut serta dalam migrasi yang dikelola CloudHSM saat Anda siap. Untuk informasi selengkapnya, lihat Migrasi dari hsm1.medium ke hsm2m.medium.

  2. Buat cluster hsm2m.medium baru dari cadangan cluster hsm1 Anda dan arahkan aplikasi Anda ke cluster baru. Sebaiknya gunakan strategi penyebaran biru/hijau untuk pendekatan ini. Untuk informasi selengkapnya, lihat Membuat AWS CloudHSM cluster dari backup.

Kepatuhan FIPS 140: Penutupan Mekanisme 2024

Institut Standar dan Teknologi Nasional (NIST) 1menyarankan bahwa dukungan untuk enkripsi Triple DES (DESede, 3DES, DES3) dan pembungkus kunci RSA dan membuka bungkusnya dengan padding PKCS #1 v1.5 tidak diizinkan setelah 31 Desember 2023. Oleh karena itu, dukungan untuk akhir ini pada 1 Januari 2024 di klaster mode Federal Information Processing Standard (FIPS) kami. Support untuk ini tetap untuk cluster dalam FIPs mode non-mode.

Panduan ini berlaku untuk operasi kriptografi berikut:

  • Generasi kunci Triple DES

    • CKM_DES3_KEY_GENuntuk Perpustakaan PKCS #11

    • DESedeKeygen untuk Penyedia JCE

    • genSymKeydengan -t=21 untuk KMU

  • Enkripsi dengan kunci Triple DES (catatan: operasi dekripsi diperbolehkan)

    • Untuk Perpustakaan PKCS #11: CKM_DES3_CBC mengenkripsi, mengenkripsi, dan CKM_DES3_CBC_PAD mengenkripsi CKM_DES3_ECB

    • Untuk Penyedia JCE: DESede/CBC/PKCS5Padding mengenkripsi, mengenkripsi, DESede/CBC/NoPadding mengenkripsi, dan DESede/ECB/Padding mengenkripsi DESede/ECB/NoPadding

  • Pembungkus kunci RSA, buka bungkus, enkripsi, dan dekripsi dengan padding PKCS #1 v1.5

    • CKM_RSA_PKCSbungkus, buka bungkus, enkripsi, dan dekripsi untuk PKCS #11 SDK

    • RSA/ECB/PKCS1Paddingbungkus, buka bungkus, enkripsi, dan dekripsi untuk JCE SDK

    • wrapKeydan unWrapKey dengan -m 12 untuk KMU (catatan 12 adalah nilai untuk mekanismeRSA_PKCS)

[1] Untuk detail tentang perubahan ini, lihat Tabel 1 dan Tabel 5 dalam Transisi Penggunaan Algoritma Kriptografi dan Panjang Kunci.