すべてのHSMインスタンスの既知の問題

影響: 内でこのアルゴリズムを使用してラップアンドアンラップしても影響はありません AWS CloudHSM。ただし、 でラップされたキーは、パディングなしの仕様への準拠を期待する他の HSMsまたは ソフトウェア内でアンラップ AWS CloudHSM することはできません。これは、標準に準拠したラップ解除中に、8 バイトのパディングデータがキーデータの最後に追加される可能性があるためです。外部でラップされたキーは、 AWS CloudHSM インスタンスに適切にラップ解除できません。

回避策: AWS クラウドHSMインスタンスで PKCS #5 Padding で AES Key Wrap でラップされたキーを外部でアンラップするには、キーの使用を試みる前に余分なパディングを取り除きます。これを行うには、ファイルエディターで余分なバイトをトリミングするか、コード内の新しいバッファにキーバイトだけをコピーします。

解決ステータス: 3.1.0 クライアントおよびソフトウェアリリースでは、 AWS CloudHSM はAESキーラッピングの標準準拠オプションを提供します。詳細については、AES「キーラッピング」を参照してください。

影響: クラスターHSM内のすべての を削除しHSM、新しい IP アドレスを取得する別の を追加すると、クライアントデーモンは引き続き元の IP アドレスHSMsで を検索します。

回避策: 断続的なワークロードを実行する場合は、CreateHsm関数の IpAddress引数を使用して、Elastic Network Interface (ENI) を元の値に設定することをお勧めします。ENI はアベイラビリティーゾーン (AZ) に固有の です。代わりに、 /opt/cloudhsm/daemon/1/cluster.info ファイルを削除し、クライアント設定を新しい の IP アドレスにリセットしますHSM。client -a <IP address> コマンドを使用できます。詳細については、AWS CloudHSM 「クライアントのインストールと設定 (Linux)」またはAWS CloudHSM 「クライアントのインストールと設定 (Windows)」を参照してください。

解決ステータス: サイズが 16KB 未満のデータは、ハッシュHSMのために引き続き に送信されます。16～64 KB のサイズのデータをローカルやソフトウェアでハッシュする機能が追加されました。データバッファが SDK 64KB を超える場合、クライアント 5 は明示的に失敗します。修正の恩恵を受けるには、クライアントと SDK(s) を 5.0.0 以降のバージョンに更新する必要があります。

解決策のステータス: この問題は修正されています。修正を反映させるためにお客様側で必要なアクションはありません。

解決策: wrapKey または unWrapKey コマンドを使用する場合は、 -mオプションを使用してメカニズムを指定する必要があります。詳細については、 wrapKeyまたは unWrapKey記事の例を参照してください。

影響: クラスター内の 1 つのHSMインスタンスが接続を失った場合、HSMインスタンスが後で復元されても、クライアントは接続と再接続しません。

回避策: 本番稼働用クラスターには、少なくとも 2 つのHSMインスタンスを使用することをお勧めします。この構成を使用すれば、この問題の影響を受けません。シングルHSMクラスターの場合は、クライアントデーモンをバウンスして接続を復元します。

解決策のステータス: この問題は、 AWS CloudHSM クライアント 1.1.2 のリリースで解決されています。修正のメリットを享受するには、このクライアントにアップグレードする必要があります。

影響: クライアントが処理されないエラー状態になると、フリーズし、再起動が必要になります。

回避方法: スループットをテストして、クライアントが処理できない速さでセッションキーを作成していないか、確認します。クラスターHSMに を追加するか、セッションキーの作成を遅くすることで、レートを下げることができます。

解決策のステータス: この問題は、 AWS CloudHSM クライアント 1.1.2 のリリースで解決されています。修正のメリットを享受するには、このクライアントにアップグレードする必要があります。

影響: HMAC 800 バイトを超えるキーは、 で生成または にインポートできますHSM。ただし、 JCEまたは key_mgmt_util を介したダイジェストオペレーションでこの大きなキーを使用すると、オペレーションは失敗します。を使用している場合PKCS11、HMACキーのサイズは 64 バイトに制限されます。

回避策: でダイジェストオペレーションにHMACキーを使用する場合はHSM、サイズが 800 バイト未満であることを確認します。

解決策のステータス: 現時点ではありません。

影響: 指定した出力パスの下にある既存のファイルとサブディレクトリはすべて、永久に失われる可能性があります

防止策: -output path ツールを使用する際、オプションの引数 client_info を使用しないでください。

解決ステータス: この問題は、クライアント 3.3.2 SDK リリース で解決されました。修正のメリットを享受するには、このクライアントにアップグレードする必要があります。

影響： この問題は、コンテナ化された環境でSDKバージョン 5.5.0 以降で設定ツールを実行し、EC2インスタンスメタデータを使用して認証情報を提供するユーザーに影響します。

回避策： PUTレスポンスホップの制限を少なくとも 2 に設定します。これを行う方法については、「インスタンスメタデータオプションを設定する」を参照してください。

影響: SDK 証明書とプライベートキーSSLで再設定する 5.11.0 ユーザーは、プライベートキーが PKCS8形式になっていないと失敗します。

回避策: カスタムSSLプライベートキーを openssl コマンドを使用してPKCS8形式に変換できます。 openssl pkcs8 -topk8 -inform PEM -outform PEM -in ssl_private_key -out ssl_private_key_pkcs8

解決ステータス: この問題はクライアント SDK 5.12.0 リリース で解決されました。修正を利用するには、このクライアントバージョン 以降にアップグレードする必要があります。