AWS CloudHSM 用 OpenSSL Dynamic Engine SDK の既知の問題
AWS CloudHSM 用の OpenSSL Dynamic Engine SDK の既知の問題があります
トピック
- 問題: RHEL6 および CentOS6 に AWS CloudHSM OpenSSL Dynamic Engine をインストールできません
- [問題] デフォルトでは、HSM への RSA オフロードのみがサポートされています
- 問題: HSM でキーを使用した OAEP パディングによる RSA 暗号化および復号化がサポートされていません。
- [Issue: (問題)] RSA のプライベートキー世代および ECC キーのみが HSM にオフロードされます。
- 問題: RHEL 8、CentOS 8、 Ubuntu 18.04 LTS にクライアント SDK 3 用の OpenSSL Dynamic Engine をインストールできない
- 問題: RHEL 9 (9.2 以降) での SHA-1 署名と検証の非推奨になっています。
- 問題: AWS CloudHSM OpenSSL Dynamic Engine が OpenSSL v3.x の FIPS プロバイダーと互換性がありません。
問題: RHEL6 および CentOS6 に AWS CloudHSM OpenSSL Dynamic Engine をインストールできません
-
影響: OpenSSL Dynamic Engineは OpenSSL 1.0.2[f+] のみをサポートしています。デフォルトでは、RHEL 6 と CentOS 6 には OpenSSL 1.0.1 が付属します。
-
回避方法: RHEL 6 および CentOS 6 の OpenSSL ライブラリをバージョン 1.0.2[f+] にアップグレードします。
[問題] デフォルトでは、HSM への RSA オフロードのみがサポートされています
-
[影響]: パフォーマンスを最大限に高めるために、SDK は乱数生成や EC-DH オペレーションなどの追加機能をオフロードするように構成されていません。
-
[Workaround ( 回避策 ) ]: 追加のオペレーションをオフロードする必要がある場合は、サポートケースを通じてお問い合わせください。
-
[Resolution status ( 解決策のステータス )]: オフロードオプションを設定ファイルで設定するための SDK へのサポートを追加しています。更新は、利用可能なバージョン履歴ページで告知されます。
問題: HSM でキーを使用した OAEP パディングによる RSA 暗号化および復号化がサポートされていません。
-
影響: OAEP パディングによる RSA 暗号化および復号化に対するすべての呼び出しが、ゼロ除算エラーにより失敗します。これは、OpenSSL 動的エンジンがオペレーションを HSM にオフロードせずにフェイク PEM ファイルを使用してオペレーションをローカルで呼び出すために発生します。
-
解決策: AWS CloudHSM クライアント SDK 5 用の PKCS #11 ライブラリ または AWS CloudHSM クライアント SDK 5 の JCE プロバイダー を使用してこの手順を実行できます。
-
解決策のステータス: このオペレーションを正しくオフロードする SDK のサポートを追加する予定です。更新は、利用可能なバージョン履歴ページで告知されます。
[Issue: (問題)] RSA のプライベートキー世代および ECC キーのみが HSM にオフロードされます。
その他のキータイプ、OpenSSL AWS CloudHSM エンジンは呼び出し処理には使用されません。代わりに、ローカルの OpenSSL エンジンが使用されます。これによって、ソフトウェアでローカルにキーが生成されます。
-
[影響 :] フェイルオーバーがサイレントのため、HSM で安全に生成されたキーを受信していないことが確認できません。キーがソフトウェアで OpenSSL によってローカルで生成された場合、文字列
"...........++++++"を含む出力トレースが表示されます。オペレーションが HSM にオフロードされた場合には、このトレースは存在しません。キーが生成されていない、あるいは HSM に保存されていないため、キーを今後使用することはできません。] -
[Workaround: ( 回避方法 )] OpenSSL エンジンがサポートするキータイプのみを使用します。その他のすべてのキータイプには、PKCS#11 あるいは JCE をアプリケーションで使用するか、または
key_mgmt_utilを CLI で使用します。
問題: RHEL 8、CentOS 8、 Ubuntu 18.04 LTS にクライアント SDK 3 用の OpenSSL Dynamic Engine をインストールできない
-
影響: デフォルトでは、RHEL 8、CentOS 8、Ubuntu 18.04 LTSは、クライアント SDK 3 用 OpenSSL Dynamic Engine と互換性がないバージョンを出荷しています。
-
防止策: OpenSSL 動的エンジン 対応の Linux プラットフォームを使用してください。対応プラットフォームの詳細は、対応プラットフォーム を参照してください。
-
解決策のステータス: AWS CloudHSMはクライアント SDK 用5 の OpenSSL Dynamic Engine ではこれらのプラットフォームを対応しています。詳細については、対応プラットフォーム および OpenSSL Dynamic Engine を参照してください。
問題: RHEL 9 (9.2 以降) での SHA-1 署名と検証の非推奨になっています。
-
影響: 暗号化目的での SHA-1 メッセージ ダイジェストの使用は、RHEL 9 (9.2 以降) で非推奨になりました。その結果、OpenSSL Dynamic Engine を使用した SHA-1 による署名と検証オペレーションは失敗します。
-
回避策: シナリオで既存またはサードパーティーの暗号化署名の署名/検証に SHA-1 を使用する必要がある場合は、「nhancing RHEL Security: Understanding SHA-1 deprecation on RHEL 9 (9.2 以降)
」 および「RHEL 9 (9.2+) Release Notes 」を参照してください。
問題: AWS CloudHSM OpenSSL Dynamic Engine が OpenSSL v3.x の FIPS プロバイダーと互換性がありません。
-
影響: FIPS プロバイダーが AWS CloudHSM OpenSSL バージョン 3.x で有効になっているときに OpenSSL Dynamic Engine を使用しようとすると、エラーが表示されます。
-
回避策: AWS CloudHSM OpenSSL バージョン 3.x で OpenSSL Dynamic Engine を使用するには、「デフォルト」プロバイダーが設定されていることを確認してください。OpenSSL ウェブサイト
でデフォルトのプロバイダーの詳細をご覧ください。
