모든 HSM 인스턴스에 대해 알려진 문제

영향: 내에서 이 알고리즘을 사용하여 래핑하고 래핑 해제해도 영향이 없습니다 AWS CloudHSM. 그러나 로 래핑된 키는 패딩 없음 사양을 준수할 것으로 예상되는 다른 HSMs 또는 소프트웨어 내에서 래핑 해제할 수 AWS CloudHSM 없습니다. 표준 호환 언래핑 중에 8바이트의 패딩 데이터가 키 데이터 끝에 추가될 수 있기 때문입니다. 외부로 래핑된 키는 AWS CloudHSM 인스턴스에서 제대로 래핑 해제할 수 없습니다.

해결 방법: AWS 클라우드HSM 인스턴스에서 PKCS #5 패딩으로 AES 키 랩으로 래핑된 키를 외부에서 언래핑하려면 키를 사용하려고 하기 전에 추가 패딩을 벗깁니다. 파일 편집기에서 추가 바이트를 잘라내거나 키 바이트만 코드의 새 버퍼로 복사하여 추가 패딩을 제거할 수 있습니다.

해결 상태: 3.1.0 클라이언트 및 소프트웨어 릴리스 AWS CloudHSM 에서 는 AES 키 래핑을 위한 표준 준수 옵션을 제공합니다. 자세한 내용은 AES 키 래핑을 참조하세요.

영향: 클러스터HSM의 모든 를 삭제한 다음 새 IP 주소를 HSM가져오는 다른 를 추가하면 클라이언트 데몬은 원래 IP 주소HSMs에서 를 계속 검색합니다.

해결 방법: 간헐적 워크로드를 실행하는 경우 CreateHsm 함수의 IpAddress 인수를 사용하여 탄력적 네트워크 인터페이스(ENI)를 원래 값으로 설정하는 것이 좋습니다. 참고로 ENI는 가용 영역(AZ)에 따라 다릅니다. 대신 파일을 삭제/opt/cloudhsm/daemon/1/cluster.info한 다음 클라이언트 구성을 새 의 IP 주소로 재설정합니다HSM. client -a <IP address> 명령을 사용할 수 있습니다. 자세한 내용은 클라이언트 설치 및 구성 AWS CloudHSM (Linux) 또는 AWS CloudHSM 클라이언트 설치 및 구성(Windows)을 참조하세요.

해결 상태: 크기가 16KB 미만인 데이터는 해싱을 HSM 위해 로 계속 전송됩니다. 소프트웨어에서 크기가 16KB ~ 64KB인 데이터를 로컬 해싱하는 기능이 추가되었습니다. 데이터 버퍼가 SDK 64KB보다 크면 Client 5가 명시적으로 실패합니다. 클라이언트 및 SDK(s)를 5.0.0 이상의 버전으로 업데이트해야 수정의 이점을 누릴 수 있습니다.

해결 상태: 이 문제가 수정되었습니다. 수정의 이점을 누리기 위해 사용자가 특별히 할 일은 없습니다.

해결 방법: wrapKey 또는 unWrapKey 명령을 사용할 때는 -m 옵션을 사용하여 메커니즘을 지정해야 합니다. 자세한 내용은 wrapKey 또는 unWrapKey 문서의 예제를 참조하세요.

영향: 클러스터의 단일 HSM 인스턴스에 연결이 끊어지면 HSM 나중에 인스턴스가 복원되더라도 클라이언트가 다시 연결되지 않습니다.

해결 방법: 프로덕션 클러스터에서 HSM 인스턴스를 두 개 이상 사용하는 것이 좋습니다. 이 구성을 사용하면 이 문제의 영향을 받지 않습니다. 단일HSM 클러스터의 경우 클라이언트 데몬을 바운스하여 연결을 복원합니다.

해결 상태: 이 문제는 AWS CloudHSM 클라이언트 1.1.2 릴리스에서 해결되었습니다. 수정의 이점을 누리려면 이 클라이언트로 업그레이드해야 합니다.

영향: 클라이언트에 처리되지 않은 오류 상태가 발생하면 중지되므로 다시 시작해야 합니다.

해결 방법: 처리량을 테스트하여 클라이언트가 처리할 수 없는 속도로 세션 키를 생성하고 있지 않은지 확인하십시오. 클러스터HSM에 를 추가하거나 세션 키 생성을 늦춰 속도를 낮출 수 있습니다.

해결 상태: 이 문제는 AWS CloudHSM 클라이언트 1.1.2 릴리스에서 해결되었습니다. 수정의 이점을 누리려면 이 클라이언트로 업그레이드해야 합니다.

영향: HMAC 800바이트보다 큰 키는 에서 생성하거나 로 가져올 수 있습니다HSM. 그러나 JCE 또는 key_mgmt_util을 통해 다이제스트 작업에서 이 더 큰 키를 사용하면 작업이 실패합니다. 를 사용하는 경우 PKCS11 HMAC 키는 64바이트로 제한됩니다.

해결 방법: 에서 다이제스트 작업에 HMAC 키를 사용하는 경우 크기가 800바이트보다 작은지 HSM확인합니다.

해결 상태: 현재는 없습니다.

영향: 지정된 출력 경로에 있는 모든 기존 파일 및 하위 디렉터리가 영구적으로 손실될 수 있습니다.

해결 방법: client_info도구를 사용할 때 -output path선택적 인수를 사용하지 마십시오.

해결 상태: 이 문제는 Client SDK 3.3.2 릴리스 에서 해결되었습니다. 수정의 이점을 누리려면 이 클라이언트로 업그레이드해야 합니다.

영향: 이 문제는 컨테이너화된 환경에서 SDK 버전 5.5.0 이상에서 구성 도구를 실행하고 EC2 인스턴스 메타데이터를 사용하여 자격 증명을 제공하는 사용자에게 영향을 미칩니다.

해결 방법: PUT 응답 홉 제한을 2개 이상으로 설정합니다. 이 작업을 수행하는 방법에 대한 지침은 인스턴스 메타데이터 옵션 구성을 참조하세요.

영향: SDK 인증서 및 프라이빗 키SSL로 재구성하는 5.11.0 사용자는 프라이빗 키가 PKCS8 형식이 아닌 경우 실패합니다.

해결 방법: 사용자 지정 SSL 프라이빗 키를 openssl 명령을 사용하여 PKCS8 형식으로 변환할 수 있습니다. openssl pkcs8 -topk8 -inform PEM -outform PEM -in ssl_private_key -out ssl_private_key_pkcs8

해결 상태: 이 문제는 클라이언트 SDK 5.12.0 릴리스 에서 해결되었습니다. 수정 사항을 활용하려면 이 클라이언트 버전 이상으로 업그레이드해야 합니다.