Problemas conhecidos para todas as HSM instâncias - AWS CloudHSM
Problema: o empacotamento de AES chaves usa preenchimento PKCS #5 em vez de fornecer uma implementação compatível com os padrões de preenchimento de chaves com preenchimento zeroProblema: o daemon do cliente requer pelo menos um endereço IP válido em seu arquivo de configuração para se conectar com sucesso ao clusterProblema: havia um limite máximo de 16 KB em dados que podem ser criptografados e assinados AWS CloudHSM usando o Cliente 3 SDKProblema: as chaves importadas não podiam ser especificadas como não exportáveisProblema: o mecanismo padrão para os unWrapKey comandos wrapKey e no key_mgmt_util foi removidoProblema: se você tiver um único HSM em seu cluster, o HSM failover não funcionará corretamenteProblema: se você exceder a capacidade principal do HSMs em seu cluster em um curto período de tempo, o cliente entrará em um estado de erro não tratadoProblema: operações de compilação com HMAC chaves de tamanho maior que 800 bytes não são suportadasProblema: a ferramenta client_info, distribuída com o Cliente SDK 3, exclui o conteúdo do caminho especificado pelo argumento de saída opcionalProblema: você recebe um erro ao executar a ferramenta de configuração SDK 5 usando o --cluster-id argumento em ambientes em contêineresProblema: você recebe o erro “Falha ao criar cert/chave do arquivo pfx fornecido. Erro: NotPkcs 8"

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Problemas conhecidos para todas as HSM instâncias

Os problemas a seguir afetam todos os AWS CloudHSM usuários, independentemente de eles usarem a ferramenta de linha de comando key_mgmt_util, a PKCS #11SDK, a ou a Open. JCE SDK SSL SDK

Problema: o empacotamento de AES chaves usa preenchimento PKCS #5 em vez de fornecer uma implementação compatível com os padrões de preenchimento de chaves com preenchimento zero

Além disso, o encapsulamento de chaves sem preenchimento e com preenchimento de zeros não é compatível.

  • Impacto: não haverá impacto se você embrulhar e desembrulhar usando esse algoritmo interno AWS CloudHSM. No entanto, as chaves embaladas com AWS CloudHSM não podem ser desempacotadas em outro software HSMs ou em outro software que espere conformidade com a especificação sem preenchimento. Isso ocorre porque até oito bytes de dados de preenchimento podem ser adicionados ao final dos dados da chave durante um desencapsulamento compatível com os padrões. As chaves agrupadas externamente não podem ser desagrupadas adequadamente em uma AWS CloudHSM instância.

  • Solução alternativa: para desempacotar externamente uma chave que foi encapsulada com AES Key Wrap with PKCS #5 Padding em uma HSM instância do AWS Cloud, retire o preenchimento extra antes de tentar usar a chave. Você pode fazer isso removendo os bytes extras em um editor de arquivo ou copiando apenas os bytes da chave em um novo buffer em seu código.

  • Status da resolução: com a versão 3.1.0 do cliente e do software, AWS CloudHSM fornece opções compatíveis com os padrões para embalagem de chaves. AES Para obter mais informações, consulte AESKey Wrapping.

Problema: o daemon do cliente requer pelo menos um endereço IP válido em seu arquivo de configuração para se conectar com sucesso ao cluster

  • Impacto: se você excluir cada um HSM em seu cluster e depois adicionar outroHSM, que obterá um novo endereço IP, o daemon do cliente continuará procurando por você HSMs nos endereços IP originais.

  • Solução alternativa: se você executa uma carga de trabalho intermitente, recomendamos usar o IpAddress argumento na CreateHsmfunção para definir a elastic network interface (ENI) com seu valor original. Observe que um ENI é específico para uma zona de disponibilidade (AZ). A alternativa é excluir o /opt/cloudhsm/daemon/1/cluster.info arquivo e, em seguida, redefinir a configuração do cliente para o endereço IP do seu novoHSM. Você pode usar o comando client -a <IP address>. Para obter mais informações, consulte Instalar e configurar o AWS CloudHSM cliente (Linux) ou Instalar e configurar o AWS CloudHSM cliente (Windows).

Problema: havia um limite máximo de 16 KB em dados que podem ser criptografados e assinados AWS CloudHSM usando o Cliente 3 SDK

  • Status da resolução: dados com menos de 16 KB de tamanho continuam sendo enviados para o HSM para fins de hashing. Adicionamos a capacidade de aplicar hash localmente no software em dados com extensão entre 16 KB e 64 KB. O cliente SDK 5 falhará explicitamente se o buffer de dados for maior que 64 KB. Você deve atualizar seu cliente e SDK (s) para uma versão maior que 5.0.0 ou superior para se beneficiar da correção.

Problema: as chaves importadas não podiam ser especificadas como não exportáveis

  • Status da resolução: esse problema está corrigido. Nenhuma ação é necessária de sua parte para se beneficiar da correção.

Problema: o mecanismo padrão para os unWrapKey comandos wrapKey e no key_mgmt_util foi removido

  • Resolução: ao usar os unWrapKey comandos wrapKey ou, você deve usar a -m opção para especificar o mecanismo. Consulte os exemplos nos unWrapKeyartigos wrapKeyou para obter mais informações.

Problema: se você tiver um único HSM em seu cluster, o HSM failover não funcionará corretamente

  • Impacto: se a única HSM instância em seu cluster perder a conectividade, o cliente não se reconectará a ela, mesmo que a HSM instância seja restaurada posteriormente.

  • Solução alternativa: recomendamos pelo menos duas HSM instâncias em qualquer cluster de produção. Se você usar essa configuração, você não será afetado por esse problema. Para HSM clusters únicos, devolva o daemon do cliente para restaurar a conectividade.

  • Status da resolução: este problema foi resolvido na versão 1.1.2 do cliente do AWS CloudHSM . Você deve atualizar para esse cliente para se beneficiar da correção.

Problema: se você exceder a capacidade principal do HSMs em seu cluster em um curto período de tempo, o cliente entrará em um estado de erro não tratado

  • Impacto: quando o cliente encontra o estado de erro não processado, ele congela e deve ser reiniciado.

  • Solução alternativa: teste sua taxa de transferência para garantir que você não esteja criando chaves de sessão a uma taxa que o cliente não consiga processar. Você pode reduzir sua taxa adicionando uma HSM ao cluster ou diminuindo a criação da chave de sessão.

  • Status da resolução: este problema foi resolvido na versão 1.1.2 do cliente do AWS CloudHSM . Você deve atualizar para esse cliente para se beneficiar da correção.

Problema: operações de compilação com HMAC chaves de tamanho maior que 800 bytes não são suportadas

  • Impacto: HMAC chaves maiores que 800 bytes podem ser geradas ou importadas para HSM o. No entanto, se você usar essa chave maior em uma operação de resumo por meio do JCE ou key_mgmt_util, a operação falhará. Observe que, se você estiver usandoPKCS11, HMAC as chaves serão limitadas a um tamanho de 64 bytes.

  • Solução alternativa: se você estiver usando HMAC chaves para operações de compilação noHSM, certifique-se de que o tamanho seja menor que 800 bytes.

  • Status da resolução: nenhum no momento.

Problema: a ferramenta client_info, distribuída com o Cliente SDK 3, exclui o conteúdo do caminho especificado pelo argumento de saída opcional

  • Impacto: todos os arquivos e subdiretórios existentes no caminho de saída especificado podem ser perdidos permanentemente.

  • Solução alternativa:não use o argumento opcional -output path ao usar a ferramenta client_info.

  • Status da resolução: Esse problema foi resolvido na versão Client SDK 3.3.2. Você deve atualizar para esse cliente para se beneficiar da correção.

Problema: você recebe um erro ao executar a ferramenta de configuração SDK 5 usando o --cluster-id argumento em ambientes em contêineres

Você recebe o seguinte erro ao usar o argumento --cluster-id com a Ferramenta de configuração:

No credentials in the property bag

Esse erro é causado por uma atualização do Instance Metadata Service versão 2 (IMDSv2). Para obter mais informações, consulte a IMDSv2documentação.

  • Impacto: esse problema afetará os usuários que executam a ferramenta de configuração nas SDK versões 5.5.0 e posteriores em ambientes em contêineres e utilizam metadados da EC2 instância para fornecer credenciais.

  • Solução alternativa: defina o limite de salto de PUT resposta para pelo menos dois. Para obter orientação sobre como fazer isso, consulte Configurar as opções de metadados da instância.

Problema: você recebe o erro “Falha ao criar cert/chave do arquivo pfx fornecido. Erro: NotPkcs 8"

  • Impacto: os usuários da SDK versão 5.11.0 que reconfigurarem SSL com um certificado e uma chave privada falharão se suas chaves privadas não estiverem no formato. PKCS8

  • Solução alternativa: você pode converter a chave SSL privada personalizada em PKCS8 formato com o comando openssl: openssl pkcs8 -topk8 -inform PEM -outform PEM -in ssl_private_key -out ssl_private_key_pkcs8

  • Status da resolução: Esse problema foi resolvido na SDKversão 5.12.0 do cliente. Você deve atualizar para essa versão do cliente ou posterior para se beneficiar da correção.