Problemas conhecidos do OpenSSL Dynamic Engine para AWS CloudHSM

Impacto: o OpenSSL Dynamic Engine oferece suporte apenas para OpenSSL 1.0.2 [f+]. Por padrão, o RHEL 6 e o CentOS 6 são fornecidos com o OpenSSL 1.0.1.

Solução alternativa: atualize a biblioteca OpenSSL no RHEL 6 e no CentOS 6 para a versão 1.0.2 [f+].

Impacto: para maximizar o desempenho, o SDK não está configurado para descarregar funções adicionais, como a geração aleatória de números ou operações de EC-DH.

Solução alternativa: entre em contato conosco por meio de um caso de suporte se precisar descarregar operações adicionais.

Status da resolução: estamos adicionando suporte ao SDK para configurar as opções de descarregamento por meio de um arquivo de configuração. A atualização será anunciada na página de histórico de versões, quando estiver disponível.

Impacto: qualquer chamada para criptografia e decodificação RSA com preenchimento OAEP falha com um erro. divide-by-zero Isso ocorre porque o mecanismo dinâmico OpenSSL chama a operação localmente usando o arquivo PEM falso em vez de descarregar a operação para o HSM.

Solução alternativa: realize esse procedimento usando a Biblioteca PKCS #11 para AWS CloudHSM Client SDK 5 ou a Provedor de JCE para AWS CloudHSM Client SDK 5.

Status da resolução: estamos adicionando suporte ao SDK para descarregar corretamente essa operação. A atualização será anunciada na página de histórico de versões, quando estiver disponível.

Impacto: como o failover é silencioso, não há indicação de que você não recebeu uma chave gerada com segurança no HSM. Você verá um rastreamento de saída que contém a string "...........++++++" se a chave for gerada localmente pelo OpenSSL no software. Esse rastreamento está ausente quando a operação é descarregada para o HSM. Como a chave não é gerada ou armazenada no HSM, ela não estará disponível para uso futuro.

Solução alternativa: use o mecanismo OpenSSL somente para tipos de chave compatíveis. Para todos os outros tipos de chave, use PKCS#11 ou JCE nas aplicações ou use key_mgmt_util na CLI.

Impacto: por padrão, o RHEL 8, o CentOS 8 e o Ubuntu 18.04 LTS vêm com uma versão do OpenSSL que não é compatível com o OpenSSL Dynamic Engine para Client SDK 3.

Solução alternativa: use uma plataforma Linux que ofereça suporte ao OpenSSL Dynamic Engine. Para obter mais informações sobre as plataformas compatíveis, consulte Plataformas compatíveis.

Status da resolução: AWS CloudHSM suporta essas plataformas com o OpenSSL Dynamic Engine for Client SDK 5. Para obter mais informações, consulte Plataformas compatíveis e OpenSSL Dynamic Engine.

Impacto: o uso do resumo de mensagens SHA-1 para fins criptográficos foi descontinuado no RHEL 9 (9.2+). Como resultado, as operações de assinatura e verificação com SHA-1 usando o OpenSSL Dynamic Engine falharão.

Solução alternativa: se seu cenário exigir o uso de SHA-1 para assinar/verificar assinaturas criptográficas existentes ou de terceiros, consulte Enhancing RHEL Security: Understanding SHA-1 deprecation on RHEL 9 (9.2+) e em RHEL 9 (9.2+) Release Notes) para obter mais detalhes.

Impacto: você receberá uma mensagem de erro se tentar utilizar o AWS CloudHSM OpenSSL Dynamic Engine quando o provedor FIPS estiver habilitado para as versões 3.x do OpenSSL.

Solução alternativa: para usar o AWS CloudHSM OpenSSL Dynamic Engine com as versões 3.x do OpenSSL, verifique se o provedor “padrão” está configurado. Leia mais sobre o provedor padrão no site do OpenSSL.