AWS CloudHSM 非推奨のクライアント SDK リリース - AWS CloudHSM
非推奨のクライアント SDK 5 リリース非推奨のクライアント SDK 3 リリース

AWS CloudHSM 非推奨のクライアント SDK リリース

5.8.0 以前のバージョンは非推奨になりました。本番ワークロードでは、非推奨のリリースを使用することはお勧めしません。非推奨のリリースに下位互換性のあるアップデートを提供したり、ダウンロード用に非推奨のリリースをホストしたりすることはありません。非推奨のリリースの使用中に本番環境への影響が発生した場合は、アップグレードしてソフトウェアフィックスを入手する必要があります。

非推奨のクライアント SDK 5 リリース

このセクションでは、非推奨のクライアント SDK 5 リリースを一覧表示します。

バージョン5.8.0では、CloudHSM CLI のクォーラム認証、JSSEによるSSL/TLSオフロード、PKCS #11 のマルチスロットサポート、JCEのマルチクラスター/マルチユーザーサポート、JCEによるキー抽出、KeyFactory for JCE、非端末リターンコードの新しい再試行構成が導入され、すべての SDK の安定性の向上とバグ修正が含まれています。

PKCS #11 ライブラリ

  • マルチスロット構成のサポートが追加されました。

JCE プロバイダー

  • 設定ベースのキー抽出が追加されました。

  • マルチクラスター構成とマルチユーザー構成のサポートが追加されました。

  • JSSE による SSL と TLS のオフロードのサポートが追加されました。

  • AES/CBC/NoPadding のアンラップサポートが追加されました。

  • シークレットキーファクトリとキーファクトリという新しいタイプのキーファクトリが追加されました。

CloudHSM CLI

  • クォーラム認証のサポートを追加する

バージョン 5.7.0 では CloudHSM CLI が導入され、新しい暗号ベースのメッセージ認証コード (CMAC) アルゴリズムが含まれています。このリリースでは、Amazon Linux 2 に ARM アーキテクチャが追加されました。JCE プロバイダー Javadoc が AWS CloudHSM で利用できるようになりました。

PKCS #11 ライブラリ

  • 安定性の向上およびバグ修正。

  • Amazon Linux 2 の ARM アーキテクチャでサポートされるようになりました。

  • アルゴリズム

    • CKM_AES_CMAC (署名して確認)

OpenSSL Dynamic Engine

  • 安定性の向上およびバグ修正。

  • Amazon Linux 2 の ARM アーキテクチャでサポートされるようになりました。

JCE プロバイダー

  • 安定性の向上およびバグ修正。

  • アルゴリズム

    • AESCMAC

バージョン 5.6.0 には、PKCS #11 ライブラリと JCE プロバイダーの新しいメカニズムサポートが含まれています。さらに、バージョン 5.6 は Ubuntu 20.04 をサポートしています。

PKCS #11 ライブラリ

  • 安定性の向上およびバグ修正。

  • メカニズム

    • CKM_RSA_X_509、暗号化、復号化、署名、検証の各モード用

OpenSSL Dynamic Engine

  • 安定性の向上およびバグ修正。

JCE プロバイダー

  • 安定性の向上およびバグ修正。

  • 暗号

    • RSA/ECB/NOPADDING (暗号化モードと復号モード用)

サポートされるキー

  • 曲線 secp224r1 と secp521r1 の EC

プラットフォームのサポート

  • Ubuntu 20.04 に追加されたサポート。

バージョン5.5.0では、OpenJDK 11、キーツールとJarsignerの統合、およびJCEプロバイダへの追加メカニズムのサポートが追加されています。KeyGenerator クラスがキーサイズパラメーターをビット数ではなくバイト数として誤って解釈するという 既知の問題 が解決されました。

PKCS #11 ライブラリ

  • 安定性の向上およびバグ修正。

OpenSSL Dynamic Engine

  • 安定性の向上およびバグ修正。

JCE プロバイダー

  • Keytool ユーティリティと Jarsigner ユーティリティのサポート

  • すべてのプラットフォームでの OpenJDK 11 のサポート

  • 暗号

    • AES/CBC/NOPadding (暗号化モードと復号化モード)

    • AES/ECB/PKCs5Padding (暗号化モードと復号化モード)

    • AES/CTR/NO/PADDING (暗号化モードと復号化モード)

    • AES/GCM/noPadding (ラップ/アンラップモード)

    • desede/ECB/PKCS5Padding (暗号化モードと復号化モード)

    • desede/CBC/NOPADDING (暗号化モードと復号化モード)

    • AESWrap/ECB/noPadding (ラップ/アンラップモード)

    • AESWrap/ECB/PKCS5Padding (ラップ/アンラップモード)

    • AESWrap/ECB/ZeroPadding (ラップ/アンラップモード)

    • RSA/ECB/PKCS1-Padding (ラップ/アンラップモード)

    • RSA/ECB/OAEPPadding (ラップ/アンラップモード)

    • RSA/ECB/OAEP (SHA-1 と MGF1 パディング、ラップ/アンラップモード)

    • RSA/ECB/OAEP (SHA-224 と MGF1 パディング、ラップ/アンラップモード)

    • RSA/ECB/OAEP (SHA-256 と MGF1 パディング、ラップ/アンラップモード)

    • RSA/ECB/OAEP (SHA-384 と MGF1 パディング、ラップ/アンラップモード)

    • RSA/ECB/OAEP (SHA-512 と MGF1 パディング、ラップ/アンラップモード)

    • RSAAESWrap/ECB/OAEPPadding (ラップ/アンラップモード)

    • RSaaES Wrap/ECB/OAEP (SHA-1 と MGF1 パディング、ラップ/アンラップモード)

    • RSaaES Wrap/ECB/OAEP (SHA-224 と MGF1 パディング、ラップ/アンラップモード)

    • RSaaES Wrap/ECB/OAEP (SHA-256 と MGF1 パディング、ラップ/アンラップモード)

    • RSaaES Wrap/ECB/OAEP (SHA-384 と MGF1 パディング、ラップ/アンラップモード)

    • RSaaES Wrap/ECB/OAEP (SHA-512 と MGF1 パディング、ラップ/アンラップモード)

  • キーファクトリとシークレットキーファクトリ

    • RSA – 2048~4096 ビットの RSA キー (256 ビットの増分)

    • AES – 128、192、256 ビットの AES キー

    • NIST 曲線 secp256r1 (P-256)、secp384r1 (P-384)、および secp256k1 を対象とした EC キーペア

    • DeSede (3DES)

    • ジェネリック・シークレット

    • HMAC – SHA1、SHA224、SHA256、SHA384、SHA512 ハッシュをサポート

  • 署名/検証

    • RSASSA-PSS

    • SHA1withRSA/PSS

    • SHA224withRSA/PSS

    • SHA256withRSA/PSS

    • SHA384withRSA/PSS

    • SHA512withRSA/PSS

    • SHA1withRSAandMGF1

    • SHA224withRSAandMGF1

    • SHA256withRSAandMGF1

    • SHA384withRSAandMGF1

    • SHA512withRSAandMGF1

バージョン 5.4.2 では、すべての SDK の安定性が向上し、バグが修正されています。これは CentOS 8 プラットフォームの最後のリリースでもあります。詳細については、「CentOS のウェブサイト」を参照してください。

PKCS #11 ライブラリ

  • 安定性の向上およびバグ修正。

OpenSSL Dynamic Engine

  • 安定性の向上およびバグ修正。

JCE プロバイダー

  • 安定性の向上およびバグ修正。

バージョン 5.4.1 では、PKCS #11 ライブラリの既知の問題が解決されました。これは CentOS 8 プラットフォームの最後のリリースでもあります。詳細については、「CentOS のウェブサイト」を参照してください。

PKCS #11 ライブラリ

  • 安定性の向上およびバグ修正。

OpenSSL Dynamic Engine

  • 安定性の向上およびバグ修正。

JCE プロバイダー

  • 安定性の向上およびバグ修正。

バージョン 5.4.0 では、すべてのプラットフォームの JCE プロバイダーの初期サポートが追加されています。JCE プロバイダーは OpenJDK 8 と互換性があります。

PKCS #11 ライブラリ

  • 安定性の向上およびバグ修正。

OpenSSL Dynamic Engine

  • 安定性の向上およびバグ修正。

JCE プロバイダー
  • キータイプ

    • RSA – 2048~4096 ビットの RSA キー (256 ビットの増分)。

    • AES – 128、192、256 ビットの AES キー。

    • NIST 曲線 secp256r1 (P-256)、secp384r1 (P-384)、および secp256k1 を対象とした ECC キーペア。

    • DeSede (3DES)

    • HMAC – SHA1、SHA224、SHA256、SHA384、SHA512 ハッシュをサポート。

  • 暗号 (暗号化と復号のみ)

    • AES/GCM/NoPadding

    • AES/ECB/NoPadding

    • AES/CBC/PKCS5Padding

    • デシード/ECB/パディングなし

    • スウェーデン/CBC/PKCS5 パディング

    • AES/CTR/NoPadding

    • RSA/ECB/PKCS1Padding

    • RSA/ECB/OAEPPadding

    • RSA/ECB/OAEPWithSHA-1ANDMGF1Padding

    • RSA/ECB/OAEPWithSHA-224ANDMGF1Padding

    • RSA/ECB/OAEPWithSHA-256ANDMGF1Padding

    • RSA/ECB/OAEPWithSHA-384ANDMGF1Padding

    • RSA/ECB/OAEPWithSHA-512ANDMGF1Padding

  • ダイジェスト

    • SHA-1

    • SHA-224

    • SHA-256

    • SHA-384

    • SHA-512

  • 署名/検証

    • NONEwithRSA

    • SHA1withRSA

    • SHA224withRSA

    • SHA256withRSA

    • SHA384withRSA

    • SHA512withRSA

    • NONEwithECDSA

    • SHA1 (ECDSA 搭載)

    • SHA224 (ECDSA 搭載)

    • SHA256 (ECDSA 搭載)

    • SHA384 (ECDSA 搭載)

    • SHA512 (ECDSA 搭載)

  • Java KeyStore との統合

PKCS #11 ライブラリ

  • 安定性の向上およびバグ修正。

OpenSSL Dynamic Engine

  • 曲線 P-256、P-384、secp256k1 による ECDSA 署名/検証のサポートを追加します。

  • Amazon Linux、Amazon Linux 2、Centos 7.8 以降、RHEL 7 (7.8 以降) のプラットフォームのサポートが追加されました。

  • OpenSSL バージョン 1.0.2 のサポートが追加されました。

  • 安定性の向上およびバグ修正。

JCE プロバイダー
  • キータイプ

    • RSA – 2048~4096 ビットの RSA キー (256 ビットの増分)。

    • AES – 128、192、256 ビットの AES キー。

    • NIST 曲線 secp256r1 (P-256)、secp384r1 (P-384)、および secp256k1 を対象とした EC キーペア。

    • DeSede (3DES)

    • HMAC – SHA1、SHA224、SHA256、SHA384、SHA512 ハッシュをサポート。

  • 暗号 (暗号化と復号のみ)

    • AES/GCM/NoPadding

    • AES/ECB/NoPadding

    • AES/CBC/PKCS5Padding

    • デシード/ECB/パディングなし

    • スウェーデン/CBC/PKCS5 パディング

    • AES/CTR/NoPadding

    • RSA/ECB/PKCS1Padding

    • RSA/ECB/OAEPPadding

    • RSA/ECB/OAEPWithSHA-1ANDMGF1Padding

    • RSA/ECB/OAEPWithSHA-224ANDMGF1Padding

    • RSA/ECB/OAEPWithSHA-256ANDMGF1Padding

    • RSA/ECB/OAEPWithSHA-384ANDMGF1Padding

    • RSA/ECB/OAEPWithSHA-512ANDMGF1Padding

  • ダイジェスト

    • SHA-1

    • SHA-224

    • SHA-256

    • SHA-384

    • SHA-512

  • 署名/検証

    • NONEwithRSA

    • SHA1withRSA

    • SHA224withRSA

    • SHA256withRSA

    • SHA384withRSA

    • SHA512withRSA

    • NONEwithECDSA

    • SHA1 (ECDSA 搭載)

    • SHA224 (ECDSA 搭載)

    • SHA256 (ECDSA 搭載)

    • SHA384 (ECDSA 搭載)

    • SHA512 (ECDSA 搭載)

  • Java KeyStore との統合

PKCS #11 ライブラリ

  • 安定性の向上およびバグ修正。

OpenSSL Dynamic Engine

  • 安定性の向上およびバグ修正。

バージョン 5.2.0 では、PKCS #11 ライブラリの追加のキーのタイプとメカニズムのサポートが追加されました。

PKCS #11 ライブラリ

キーのタイプ

  • ECDSA– P-224、P-256、P-384、P-521、および楕円曲線暗号 secp256k1

  • Triple DES (3DES)

メカニズム

  • CKM_EC_KEY_PAIR_GEN

  • CKM_DES3_KEY_GEN

  • CKM_DES3_CBC

  • CKM_DES3_CBC_PAD

  • CKM_DES3_ECB

  • CKM_ECDSA

  • CKM_ECDSA_SHA1

  • CKM_ECDSA_SHA224

  • CKM_ECDSA_SHA256

  • CKM_ECDSA_SHA384

  • CKM_ECDSA_SHA512

  • 暗号化および復号用 CKM_RSA_PKCS

OpenSSL Dynamic Engine

  • 安定性の向上およびバグ修正。

バージョン 5.1.0 では、PKCS #11 ライブラリの追加のメカニズムのサポートが追加されました。

PKCS #11 ライブラリ

メカニズム

  • ラップおよびラップ解除用 CKM_RSA_PKCS

  • CKM_RSA_PKCS_PSS

  • CKM_SHA1_RSA_PKCS_PSS

  • CKM_SHA224_RSA_PKCS_PSS

  • CKM_SHA256_RSA_PKCS_PSS

  • CKM_SHA384_RSA_PKCS_PSS

  • CKM_SHA512_RSA_PKCS_PSS

  • CKM_AES_ECB

  • CKM_AES_CTR

  • CKM_AES_CBC

  • CKM_AES_CBC_PAD

  • CKM_SP800_108_COUNTER_KDF

  • CKM_GENERIC_SECRET_KEY_GEN

  • CKM_SHA_1_HMAC

  • CKM_SHA224_HMAC

  • CKM_SHA256_HMAC

  • CKM_SHA384_HMAC

  • CKM_SHA512_HMAC

  • CKM_RSA_PKCS_OAEP ラップおよびラップ解除のみ

  • CKM_RSA_AES_KEY_WRAP

  • CKM_CLOUDHSM_AES_KEY_WRAP_NO_PAD

  • CKM_CLOUDHSM_AES_KEY_WRAP_PKCS5_PAD

  • CKM_CLOUDHSM_AES_KEY_WRAP_ZERO_PAD

API オペレーション

  • C_CreateObject

  • C_DeriveKey

  • C_WrapKey

  • C_UnWrapKey

OpenSSL Dynamic Engine

  • 安定性の向上およびバグ修正。

バージョン 5.0.1 では、OpenSSL Dynamic Engine の初期サポートが追加されました。

PKCS #11 ライブラリ

  • 安定性の向上およびバグ修正。

OpenSSL Dynamic Engine

バージョン 5.0.0 が最初のリリースです。

PKCS #11 ライブラリ

  • これは最初のリリースです。

クライアント SDK バージョン 5.0.0 での PKCS #11 ライブラリ入門サポート

このセクションでは、クライアント SDK バージョン 5.0.0 のキーのタイプ、メカニズム、API オペレーション、および属性のサポートについて詳しく説明します。

キーのタイプ

  • AES - 128、192、256 ビットの AES キー

  • RSA - 2048~4096 ビットの RSA キー (256 ビットの増分)

メカニズム

  • CKM_AES_GCM

  • CKM_AES_KEY_GEN

  • CKM_CLOUDHSM_AES_GCM

  • CKM_RSA_PKCS

  • CKM_RSA_X9_31_KEY_PAIR_GEN

  • CKM_SHA1

  • CKM_SHA1_RSA_PKCS

  • CKM_SHA224

  • CKM_SHA224_RSA_PKCS

  • CKM_SHA256

  • CKM_SHA256_RSA_PKCS

  • CKM_SHA384

  • CKM_SHA384_RSA_PKCS

  • CKM_SHA512

  • CKM_SHA512_RSA_PKCS

表示を増やす表示を減らす

API オペレーション:

  • C_CloseAllSessions

  • C_CloseSession

  • C_Decrypt

  • C_DecryptFinal

  • C_DecryptInit

  • C_DecryptUpdate

  • C_DestroyObject

  • C_Digest

  • C_DigestFinal

  • C_DigestInit

  • C_DigestUpdate

  • C_Encrypt

  • C_EncryptFinal

  • C_EncryptInit

  • C_EncryptUpdate

  • C_Finalize

  • C_FindObjects

  • C_FindObjectsFinal

  • C_FindObjectsInit

  • C_GenerateKey

  • C_GenerateKeyPair

  • C_GenerateRandom

  • C_GetAttributeValue

  • C_GetFunctionList

  • C_GetInfo

  • C_GetMechanismInfo

  • C_GetMechanismList

  • C_GetSessionInfo

  • C_GetSlotInfo

  • C_GetSlotList

  • C_GetTokenInfo

  • C_Initialize

  • C_Login

  • C_Logout

  • C_OpenSession

  • C_Sign

  • C_SignFinal

  • C_SignInit

  • C_SignUpdate

  • C_Verify

  • C_VerifyFinal

  • C_VerifyInit

  • C_VerifyUpdate

表示を増やす表示を減らす

属性:

  • GenerateKeyPair

    • すべての RSA キー属性

  • GenerateKey

    • すべての AES キー属性

  • GetAttributeValue

    • すべての RSA キー属性

    • すべての AES キー属性

サンプル

非推奨のクライアント SDK 3 リリース

このセクションでは、非推奨のクライアント SDK 3 リリースを一覧表示します。

バージョン 3.4.3 では、JCE プロバイダーに更新が追加されます。

AWS CloudHSM クライアントソフトウェア

  • 整合性のために更新されたバージョン。

PKCS #11 ライブラリ

  • 整合性のために更新されたバージョン。

OpenSSL Dynamic Engine

  • 整合性のために更新されたバージョン。

JCE プロバイダー

  • log4j をバージョン 2.17.0 に更新します。

Windows (CNG および KSG プロバイダー)

  • 整合性のために更新されたバージョン。

バージョン 3.4.2 では、JCE プロバイダーに更新が追加されます。

AWS CloudHSM クライアントソフトウェア

  • 整合性のために更新されたバージョン。

PKCS #11 ライブラリ

  • 整合性のために更新されたバージョン。

OpenSSL Dynamic Engine

  • 整合性のために更新されたバージョン。

JCE プロバイダー

  • log4j をバージョン 2.16.0 に更新します。

Windows (CNG および KSG プロバイダー)

  • 整合性のために更新されたバージョン。

バージョン 3.4.1 では、JCE プロバイダーに更新が追加されます。

AWS CloudHSM クライアントソフトウェア

  • 整合性のために更新されたバージョン。

PKCS #11 ライブラリ

  • 整合性のために更新されたバージョン。

OpenSSL Dynamic Engine

  • 整合性のために更新されたバージョン。

JCE プロバイダー

  • log4j をバージョン 2.15.0 に更新します。

Windows (CNG および KSG プロバイダー)

  • 整合性のために更新されたバージョン。

バージョン 3.4.0 では、すべてのコンポーネントに更新が追加されます。

AWS CloudHSM クライアントソフトウェア

  • 安定性の向上およびバグ修正。

PKCS #11 ライブラリ

  • 安定性の向上およびバグ修正。

OpenSSL Dynamic Engine

  • 安定性の向上およびバグ修正。

JCE プロバイダー

  • 安定性の向上およびバグ修正。

Windows (CNG および KSG プロバイダー)

  • 安定性の向上およびバグ修正。

バージョン 3.3.2 では 問題 解決に client_info スクリプトを使用します。

AWS CloudHSM クライアントソフトウェア

  • 整合性のために更新されたバージョン。

PKCS #11 ライブラリ

  • 整合性のために更新されたバージョン。

OpenSSL Dynamic Engine

  • 整合性のために更新されたバージョン。

JCE プロバイダー

  • 整合性のために更新されたバージョン。

Windows (CNG および KSG プロバイダー)

  • 整合性のために更新されたバージョン。

バージョン 3.3.1 では、すべてのコンポーネントに更新が追加されます。

AWS CloudHSM クライアントソフトウェア

  • 安定性の向上およびバグ修正。

PKCS #11 ライブラリ

  • 安定性の向上およびバグ修正。

OpenSSL Dynamic Engine

  • 安定性の向上およびバグ修正。

JCE プロバイダー

  • 安定性の向上およびバグ修正。

Windows (CNG および KSG プロバイダー)

  • 安定性の向上およびバグ修正。

バージョン 3.3.0 では、2 要素認証 (2FA) の追加などの改良が行われました。

AWS CloudHSM クライアントソフトウェア

  • Crypto Officer (CO) の 2FA 認証を追加しました。詳細については、「Managing Two-Factor Authentication for Crypto Officers (Crypto Officer 用の 2 要素認証の管理)」を参照してください。

  • RedHat Enterprise Linux 6 および CentOS 6 用のプラットフォームのサポートを削除しました。詳細については、「Linux サポート」を参照してください。

  • クライアント SDK 5 またはクライアント SDK 3 で使用する独立型の CMU を追加しました。これは、バージョン 3.3.0 のクライアントデーモンに含まれている CMU のバージョンと同じで、クライアントデーモンをダウンロードせずに CMU をダウンロードできるようになりました。

PKCS #11 ライブラリ

  • 安定性の向上およびバグ修正。

  • RedHat Enterprise Linux 6 および CentOS 6 用のプラットフォームのサポートを削除しました。詳細については、「Linux サポート」を参照してください。

OpenSSL Dynamic Engine

  • 整合性のために更新されたバージョン。

  • RedHat Enterprise Linux 6 および CentOS 6 用のプラットフォームのサポートを削除しました。詳細については、「Linux サポート」を参照してください。

JCE プロバイダー

  • 安定性の向上およびバグ修正。

  • RedHat Enterprise Linux 6 および CentOS 6 用のプラットフォームのサポートを削除しました。詳細については、「Linux サポート」を参照してください。

Windows (CNG および KSG プロバイダー)

  • 整合性のために更新されたバージョン。

バージョン 3.2.1 では、PKCS #11 ライブラリの AWS CloudHSM 実装と PKCS #11 スタンダード間のコンプライアンス分析、新しいプラットフォーム、およびその他の改善点が追加されます。

AWS CloudHSM クライアントソフトウェア

PKCS #11 ライブラリ

OpenSSL Dynamic Engine

JCE プロバイダー

Windows (CNG および KSG プロバイダー)

  • 安定性の向上およびバグ修正。

バージョン 3.2.0 では、パスワードのマスキングのサポートやその他の改善点が追加されました。

AWS CloudHSM クライアントソフトウェア

  • コマンドラインツールを使用するときにパスワードを非表示にするサポートが追加されました。詳細については、「loginHSM および logoutHSM (CloudHSM _mgmt_util)」と「loginHSM および logoutHSM (key_mgmt_util)」を参照してください。

PKCS #11 ライブラリ

  • 以前サポートされていなかった一部の PKCS #11 メカニズムについて、ソフトウェアでラージデータをハッシュするためのサポートが追加されました。詳細については、「Supported Mechanisms (サポートされているメカニズム)」を参照してください。

OpenSSL Dynamic Engine

  • 安定性の向上およびバグ修正。

JCE プロバイダー

  • 整合性のために更新されたバージョン。

Windows (CNG および KSG プロバイダー)

  • 安定性の向上およびバグ修正。

バージョン 3.1.2 では、JCE プロバイダーに更新が追加されます。

AWS CloudHSM クライアントソフトウェア

  • 整合性のために更新されたバージョン。

PKCS #11 ライブラリ

  • 整合性のために更新されたバージョン。

OpenSSL Dynamic Engine

  • 整合性のために更新されたバージョン。

JCE プロバイダー

  • log4j をバージョン 2.13.3 に更新します。

Windows (CNG および KSG プロバイダー)

  • 整合性のために更新されたバージョン。

AWS CloudHSM クライアントソフトウェア

  • 整合性のために更新されたバージョン。

PKCS #11 ライブラリ

  • 整合性のために更新されたバージョン。

OpenSSL Dynamic Engine

  • 整合性のために更新されたバージョン。

JCE プロバイダー

  • パフォーマンス向上とバグ修正が行われています。

Windows (CNG、KSP)

  • 整合性のために更新されたバージョン。

バージョン 3.1.0 では、標準に準拠した AES キーラップが追加されました。

AWS CloudHSM クライアントソフトウェア

  • アップグレードの新しい要件: クライアントのバージョンは、使用しているソフトウェアライブラリのバージョンと一致する必要があります。アップグレードするには、クライアントとすべてのライブラリを同時にアップグレードするバッチコマンドを使用する必要があります。詳細については、「クライアント SDK 3 のアップグレード」を参照してください。

  • Key_mgmt_util (KMU) には次の更新が含まれています。

    • 2 つの新しい AES キーラップ方法が追加されました。標準に準拠したゼロパディングを使用する AES キーラップと、パディングなしの AES キーラップです。詳細については、「wrapKey」および「unwrapKey」を参照してください。

    • AES_KEY_WRAP_PAD_PKCS5 を使用してキーをラップするときにカスタム IV を指定する機能が無効になりました。詳細については、「AES キーラップ」を参照してください。

PKCS #11 ライブラリ

  • 2 つの新しい AES キーラップ方法が追加されました。標準に準拠したゼロパディングを使用する AES キーラップと、パディングなしの AES キーラップです。詳細については、「AES キーラップ」を参照してください。

  • RSA-PSS 署名のソルトの長さを設定できます。この機能の使用方法については、GitHub の「設定可能な RSA-PSS 署名のソルトの長さ」を参照してください。

OpenSSL Dynamic Engine

  • 重要な変更: SHA1 を使用する TLS 1.0 および 1.2 暗号スイートは、OpenSSL Engine 3.1.0 では利用できません。この問題は間もなく解決されます。

  • RHEL 6 または CentOS 6 に OpenSSL Dynamic Engine ライブラリをインストールする場合は、これらのオペレーティングシステムにインストールされているデフォルトの OpenSSL バージョンに関する既知の問題を参照してください。

  • 安定性の向上およびバグ修正。

JCE プロバイダー

  • 重要な変更: Java Cryptography Extension (JCE) 準拠の問題に対処するため、AES ラップとラップ解除で AES アルゴリズムの代わりに AES Wrap アルゴリズムが適切に使用されるようになりました。つまり、AES/ECB および AES/CBC メカニズムでは、Cipher.WRAP_MODE および Cipher.UNWRAP_MODE は成功しなくなりました。

    クライアントバージョン 3.1.0 にアップグレードするには、コードを更新する必要があります。既存のラップされたキーがある場合は、ラップ解除に使用するメカニズムと IV のデフォルトの変更方法に特に注意する必要があります。クライアントバージョン 3.0.0 以前でキーをラップした場合、3.1.1 では、AESWrap/ECB/PKCS5Padding を使用して既存のキーをラップ解除する必要があります。詳細については、「AES キーラップ」を参照してください。

  • JCE プロバイダーから同じラベルを持つ複数のキーを一覧表示できます。使用可能なすべてのキーを反復処理する方法については、GitHub の「すべてのキーを検索する」を参照してください。

  • パブリックキーとプライベートキーに異なるラベルを指定するなど、キーの作成時に属性に対してより制限的な値を設定できます。詳細については、「サポートされている Java 属性」を参照してください。

Windows (CNG、KSP)

  • 安定性の向上およびバグ修正。