Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Masalah berikut memengaruhi semua instance AWS CloudHSM hsm2m.medium.
Topik
- Masalah: Latensi login meningkat karena peningkatan PBKDF2 iterasi
- Masalah: CO yang mencoba menyetel atribut tepercaya dari kunci akan gagal dengan Klien SDK 5.12.0 dan sebelumnya
- Masalah: ECDSA verifikasi akan gagal dengan Klien SDK 5.12.0 dan sebelumnya untuk cluster dalam mode FIPS
- Masalah: Hanya sertifikat yang PEM diformat yang dapat didaftarkan sebagai jangkar kepercayaan mtls dengan Cloud HSM CLI
- Masalah: Aplikasi pelanggan akan berhenti memproses semua permintaan saat menggunakan m TLS dengan kunci pribadi klien yang dilindungi frasa sandi.
Masalah: Latensi login meningkat karena peningkatan PBKDF2 iterasi
-
Dampak: Untuk meningkatkan keamanan, hsm2m.medium melakukan 60.000 iterasi Fungsi Derivasi Kunci Berbasis Kata Sandi 2 () PBKDF2 selama permintaan login dibandingkan dengan 1.000 di hsm1.medium. Peningkatan ini dapat mengakibatkan peningkatan latensi hingga 2 detik (2 detik) per permintaan login.
Batas waktu default untuk AWS CloudHSM Klien SDKs adalah 20-an. Permintaan login dapat batas waktu dan mengakibatkan kesalahan.
-
Solusi: Jika memungkinkan, buat serial permintaan login dalam aplikasi yang sama untuk menghindari latensi yang diperpanjang selama login. Beberapa permintaan login secara paralel akan menyebabkan peningkatan latensi.
-
Status resolusi: Versi Klien yang akan datang SDK akan memiliki batas waktu default yang ditingkatkan untuk permintaan login untuk memperhitungkan peningkatan latensi ini.
Masalah: CO yang mencoba menyetel atribut tepercaya dari kunci akan gagal dengan Klien SDK 5.12.0 dan sebelumnya
Dampak: Setiap pengguna CO yang mencoba menyetel atribut tepercaya dari kunci akan menerima kesalahan yang menunjukkan hal itu
User type should be CO or CU
.-
Resolusi: Versi Klien yang akan datang SDK akan menyelesaikan masalah ini. Pembaruan akan diumumkan di panduan pengguna kamiRiwayat dokumen.
Masalah: ECDSA verifikasi akan gagal dengan Klien SDK 5.12.0 dan sebelumnya untuk cluster dalam mode FIPS
Dampak: ECDSA verifikasi operasi yang dilakukan untuk hsms dalam FIPS mode akan gagal.
-
Status resolusi: Masalah ini telah diselesaikan dalam rilis klien SDK 5.13.0. Anda harus meningkatkan ke versi klien ini atau yang lebih baru untuk mendapatkan keuntungan dari perbaikan.
Masalah: Hanya sertifikat yang PEM diformat yang dapat didaftarkan sebagai jangkar kepercayaan mtls dengan Cloud HSM CLI
Dampak: Sertifikat dalam DER format tidak dapat didaftarkan sebagai jangkar TLS kepercayaan dengan Cloud HSMCLI.
-
Solusi: Anda dapat mengonversi sertifikat dalam DER format ke PEM format dengan perintah openssl:
openssl x509 -inform DER -outform PEM -in
certificate.der
-outcertificate.pem
Masalah: Aplikasi pelanggan akan berhenti memproses semua permintaan saat menggunakan m TLS dengan kunci pribadi klien yang dilindungi frasa sandi.
Dampak: Semua operasi yang dilakukan oleh aplikasi akan dihentikan dan pengguna akan diminta untuk frasa sandi pada input standar beberapa kali sepanjang masa aplikasi. Operasi akan habis waktu dan gagal jika frasa sandi tidak diberikan sebelum durasi batas waktu operasi.
-
Solusi: Kunci pribadi terenkripsi frasa sandi tidak didukung untuk m. TLS Hapus enkripsi frasa sandi dari kunci pribadi klien