Notificações de suspensão
De tempos em tempos, AWS CloudHSM pode suspender a funcionalidade para permanecer em conformidade com os requisitos do FIPS 140, PCI-DSS, PCI-PIN, PCI-3DS e SOC2. Esta página lista as alterações que se aplicam atualmente.
Conformidade com o FIPS 140: suspensão do mecanismo de 2024
O Instituto nacional de padrões e tecnologia (National Institute of Standards and Technology, NIST) 1informa que o suporte à criptografia Triple DES (DESede, 3DES, DES3) e ao encapsulamento e desencapsulamento de chaves RSA com preenchimento PKCS nº 1 v1.5 não será permitido após 31 de dezembro de 2023. Portanto, o suporte para eles termina em 1.º de janeiro de 2024 em nossos clusters no modo Federal Information Processing Standard (FIPS – Padrão federal de processamento de informações). O suporte para eles permanece para clusters no modo não FIPS.
Essa orientação se aplica às seguintes operações criptográficas:
Geração tripla de chaves DES
CKM_DES3_KEY_GENpara a Biblioteca PKCS #11DESedeKeygen para o provedor JCEgenSymKeycom-t=21para o KMU
-
Criptografia com chaves DES triplas (observação: operações de descriptografia são permitidas)
Para a biblioteca PKCS #11: criptografe
CKM_DES3_CBC, criptografeCKM_DES3_CBC_PADe , e criptografeCKM_DES3_ECBPara o provedor JCE: criptografe
DESede/CBC/PKCS5Padding, criptografeDESede/CBC/NoPadding, criptografeDESede/ECB/Paddinge criptografeDESede/ECB/NoPadding
-
Encapsulamento, desencapsulamento, criptografia e descriptografia de chaves RSA com o preenchimento PKCS #1 v1.5
CKM_RSA_PKCSencapsulamento, desencapsulamento, criptografia e descriptografia para o SDK PKCS #11RSA/ECB/PKCS1Paddingencapsulamento, desencapsulamento, criptografia e descriptografia para o SDK JCEwrapKeyeunWrapKeycom-m 12para o KMU (a nota12é o valor do mecanismoRSA_PKCS)
[1] Para obter detalhes sobre essa alteração, consulte a Tabela 1 e a Tabela 5 em Transição do uso de algoritmos criptográficos e comprimentos de chave
