Cookie の設定を選択する

当社は、当社のサイトおよびサービスを提供するために必要な必須 Cookie および類似のツールを使用しています。当社は、パフォーマンス Cookie を使用して匿名の統計情報を収集することで、お客様が当社のサイトをどのように利用しているかを把握し、改善に役立てています。必須 Cookie は無効化できませんが、[カスタマイズ] または [拒否] をクリックしてパフォーマンス Cookie を拒否することはできます。

お客様が同意した場合、AWS および承認された第三者は、Cookie を使用して便利なサイト機能を提供したり、お客様の選択を記憶したり、関連する広告を含む関連コンテンツを表示したりします。すべての必須ではない Cookie を受け入れるか拒否するには、[受け入れる] または [拒否] をクリックしてください。より詳細な選択を行うには、[カスタマイズ] をクリックしてください。

設定
お問い合わせ
フィードバック
AWS Documentation
今すぐ無料サインアップ »

の OpenSSL Dynamic Engine の既知の問題 AWS CloudHSM

PDF
RSS
フォーカスモード
の OpenSSL Dynamic Engine の既知の問題 AWS CloudHSM - AWS CloudHSM
問題: RHEL 6 および CentOS6 に AWS CloudHSM OpenSSL Dynamic Engine をインストールできない [問題] デフォルトでは、HSM への RSA オフロードのみがサポートされています問題: HSM でキーを使用した OAEP パディングによる RSA 暗号化および復号化がサポートされていません。[Issue: (問題)] RSA のプライベートキー世代および ECC キーのみが HSM にオフロードされます。問題: RHEL 8、CentOS 8、 Ubuntu 18.04 LTS にクライアント SDK 3 用の OpenSSL Dynamic Engine をインストールできない 問題: RHEL 9 (9.2 以降) での SHA-1 署名と検証の非推奨になっています。問題: AWS CloudHSM OpenSSL Dynamic Engine が OpenSSL v3.x の FIPS プロバイダーと互換性がありません

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS CloudHSM用の OpenSSL Dynamic Engine SDK の既知の問題があります

問題: RHEL 6 および CentOS6 に AWS CloudHSM OpenSSL Dynamic Engine をインストールできない

  • 影響: OpenSSL Dynamic Engineは OpenSSL 1.0.2[f+] のみをサポートしています。デフォルトでは、RHEL 6 と CentOS 6 には OpenSSL 1.0.1 が付属します。

  • 回避方法: RHEL 6 および CentOS 6 の OpenSSL ライブラリをバージョン 1.0.2[f+] にアップグレードします。

[問題] デフォルトでは、HSM への RSA オフロードのみがサポートされています

  • [影響]: パフォーマンスを最大限に高めるために、SDK は乱数生成や EC-DH オペレーションなどの追加機能をオフロードするように構成されていません。

  • [Workaround ( 回避策 ) ]: 追加のオペレーションをオフロードする必要がある場合は、サポートケースを通じてお問い合わせください。

  • [Resolution status ( 解決策のステータス )]: オフロードオプションを設定ファイルで設定するための SDK へのサポートを追加しています。更新は、利用可能なバージョン履歴ページで告知されます。

問題: HSM でキーを使用した OAEP パディングによる RSA 暗号化および復号化がサポートされていません。

  • 影響: OAEP パディングによる RSA 暗号化および復号化に対するすべての呼び出しが、ゼロ除算エラーにより失敗します。これは、OpenSSL 動的エンジンがオペレーションを HSM にオフロードせずにフェイク PEM ファイルを使用してオペレーションをローカルで呼び出すために発生します。

  • 解決策: AWS CloudHSM クライアント SDK 5 用の PKCS #11 ライブラリ または AWS CloudHSM クライアント SDK 5 の JCE プロバイダー を使用してこの手順を実行できます。

  • 解決策のステータス: このオペレーションを正しくオフロードする SDK のサポートを追加する予定です。更新は、利用可能なバージョン履歴ページで告知されます。

[Issue: (問題)] RSA のプライベートキー世代および ECC キーのみが HSM にオフロードされます。

その他のキータイプでは、OpenSSL AWS CloudHSM エンジンは通話処理には使用されません。代わりに、ローカルの OpenSSL エンジンが使用されます。これによって、ソフトウェアでローカルにキーが生成されます。

  • [影響 :] フェイルオーバーがサイレントのため、HSM で安全に生成されたキーを受信していないことが確認できません。キーがソフトウェアで OpenSSL によってローカルで生成された場合、文字列 "...........++++++" を含む出力トレースが表示されます。オペレーションが HSM にオフロードされた場合には、このトレースは存在しません。キーが生成されていない、あるいは HSM に保存されていないため、キーを今後使用することはできません。]

  • [Workaround: ( 回避方法 )] OpenSSL エンジンがサポートするキータイプのみを使用します。その他のすべてのキータイプには、PKCS#11 あるいは JCE をアプリケーションで使用するか、または key_mgmt_util を CLI で使用します。

問題: RHEL 8、CentOS 8、 Ubuntu 18.04 LTS にクライアント SDK 3 用の OpenSSL Dynamic Engine をインストールできない

  • 影響: デフォルトでは、RHEL 8、CentOS 8、Ubuntu 18.04 LTSは、クライアント SDK 3 用 OpenSSL Dynamic Engine と互換性がないバージョンを出荷しています。

  • 防止策: OpenSSL 動的エンジン 対応の Linux プラットフォームを使用してください。対応プラットフォームの詳細は、対応プラットフォーム を参照してください。

  • 解決ステータス: AWS CloudHSM は、クライアント SDK 5 用の OpenSSL Dynamic Engine でこれらのプラットフォームをサポートします。詳細については、対応プラットフォーム および OpenSSL Dynamic Engine を参照してください。

問題: RHEL 9 (9.2 以降) での SHA-1 署名と検証の非推奨になっています。

  • 影響: 暗号化目的での SHA-1 メッセージ ダイジェストの使用は、RHEL 9 (9.2 以降) で非推奨になりました。その結果、OpenSSL Dynamic Engine を使用した SHA-1 による署名と検証オペレーションは失敗します。

  • 回避策: シナリオで既存またはサードパーティーの暗号化署名の署名/検証に SHA-1 を使用する必要がある場合は、「nhancing RHEL Security: Understanding SHA-1 deprecation on RHEL 9 (9.2 以降)」 および「RHEL 9 (9.2+) Release Notes」を参照してください。

問題: AWS CloudHSM OpenSSL Dynamic Engine が OpenSSL v3.x の FIPS プロバイダーと互換性がありません

  • 影響: FIPS プロバイダーが AWS CloudHSM OpenSSL バージョン 3.x で有効になっているときに OpenSSL Dynamic Engine を使用しようとすると、エラーが発生します。

  • 回避策: AWS CloudHSM OpenSSL バージョン 3.x で OpenSSL Dynamic Engine を使用するには、「デフォルト」プロバイダーが設定されていることを確認します。OpenSSL ウェブサイト でデフォルトのプロバイダーの詳細をご覧ください。

このページの内容

プライバシーサイト規約Cookie の設定
© 2025, Amazon Web Services, Inc. or its affiliates.All rights reserved.