Masalah yang diketahui untuk Open SSL Dynamic Engine untuk AWS CloudHSM

Dampak: Open SSL Dynamic Engine hanya mendukung Open SSL 1.0.2 [f +]. Secara default, RHEL 6 dan CentOS 6 dikirimkan dengan Open SSL 1.0.1.

Solusi: Tingkatkan SSL perpustakaan Terbuka pada 6 RHEL dan CentOS 6 ke versi 1.0.2 [f +].

Dampak: Untuk memaksimalkan kinerja, tidak SDK dikonfigurasi untuk membongkar fungsi tambahan seperti pembuatan nomor acak atau operasi EC-DH.

Pemecahan masalah: Silakan hubungi kami melalui kasus dukungan jika Anda perlu membongkar operasi tambahan.

Status resolusi: Kami menambahkan dukungan untuk SDK mengkonfigurasi opsi offload melalui file konfigurasi. Pembaruan akan diumumkan di halaman riwayat versi setelah tersedia.

Dampak: Setiap panggilan ke RSA enkripsi dan dekripsi dengan OAEP padding gagal dengan kesalahan. divide-by-zero Ini terjadi karena Open SSL dynamic engine memanggil operasi secara lokal menggunakan PEM file palsu alih-alih membongkar operasi ke file. HSM

Pemecahan masalah: Anda dapat melakukan prosedur ini dengan menggunakan PKCSPerpustakaan #11 untuk AWS CloudHSM Klien SDK 5 atau JCEpenyedia untuk AWS CloudHSM Klien SDK 5.

Status resolusi: Kami menambahkan dukungan SDK untuk membongkar operasi ini dengan benar. Pembaruan akan diumumkan di halaman riwayat versi setelah tersedia.

Dampak: Karena failover diam, tidak ada indikasi bahwa Anda belum menerima kunci yang dihasilkan dengan aman di file. HSM Anda akan melihat jejak keluaran yang berisi string "...........++++++" jika kunci dihasilkan secara lokal oleh Open SSL in software. Jejak ini tidak ada saat operasi diturunkan ke. HSM Karena kunci tidak dihasilkan atau disimpan diHSM, itu tidak akan tersedia untuk digunakan di masa mendatang.

Solusi: Hanya gunakan SSL mesin Buka untuk tipe kunci yang didukungnya. Untuk semua jenis kunci lainnya, gunakan PKCS #11 atau JCE dalam aplikasi, atau gunakan key_mgmt_util di fileCLI.

Dampak: Secara default, RHEL 8, CentOS 8, dan Ubuntu 18.04 LTS mengirimkan versi Open yang tidak kompatibel dengan Open SSL SSL Dynamic Engine for Client 3. SDK

Solusi: Gunakan platform Linux yang menyediakan dukungan untuk Open SSL Dynamic Engine. Untuk informasi selengkapnya tentang platform yang didukung, lihat Platform yang Didukung.

Status resolusi: AWS CloudHSM mendukung platform ini dengan Open SSL Dynamic Engine for Client SDK 5. Untuk informasi selengkapnya, lihat Platform yang Didukung dan Buka Mesin SSL Dinamis.

Dampak: Penggunaan intisari pesan SHA -1 untuk tujuan kriptografi tidak digunakan lagi di RHEL 9 (9.2+). Akibatnya, tanda tangani dan verifikasi operasi dengan SHA -1 menggunakan Open SSL Dynamic Engine akan gagal.

Solusi: Jika skenario Anda memerlukan penggunaan SHA -1 untuk menandatangi/memverifikasi tanda tangan kriptografi yang ada atau pihak ketiga, lihat Meningkatkan RHEL Keamanan: Memahami SHA -1 penghentian pada RHEL 9 (9.2+) dan 9 (9.2+) Catatan Rilis untuk detail lebih lanjut. RHEL

Dampak: Anda akan menerima kesalahan jika mencoba menggunakan AWS CloudHSM Open SSL Dynamic Engine saat FIPS penyedia diaktifkan untuk Open SSL versi 3.x.

Solusi: Untuk menggunakan AWS CloudHSM Open SSL Dynamic Engine dengan Open SSL versi 3.x, pastikan bahwa penyedia “default” dikonfigurasi. Baca selengkapnya tentang penyedia default di SSLSitus Web Terbuka.