弃用通知 - AWS CloudHSM
FIPS 140 合规:2024 年机制弃用

弃用通知

随着时间的推移,为了保持符合 FIPS 140、PCI-DSS、PCI-PIN、PCI-3DS 和 SOC2 的要求,AWS CloudHSM 可能会弃用功能。此页面列出了当前适用的更改项。

FIPS 140 合规:2024 年机制弃用

美国国家标准与技术研究所 (NIST)1建议,在 2023 年 12 月 31 日之后,不允许支持 Triple DES (deSede、3DES、DES3) 加密,亦不允许使用 PKCS #1 v1.5 填充进行 RSA 密钥包装和解包。因此,我们的联邦信息处理标准(FIPS)模式集群中对这些内容的支持将于 2024 年 1 月 1 日结束。处于非 FIPs 模式的集群仍然支持这些内容。

本指南适用于以下形式加密操作:

  • 生成三重 DES 密钥

    • 适用于 PKCS#11 库的 CKM_DES3_KEY_GEN

    • 适用于 JCE 提供程序的 DESede Keygen

    • -t=21 的 KMU genSymKey

  • 通过三重 DES 密钥加密(注意:允许解密操作)

    • 对于 PKCS #11 库:CKM_DES3_CBC 加密、CKM_DES3_CBC_PAD 加密和CKM_DES3_ECB 加密

    • 对于 JCE 提供程序:DESede/CBC/PKCS5Padding 加密、DESede/CBC/NoPadding 加密、DESede/ECB/Padding 加密和 DESede/ECB/NoPadding 加密

  • 使用 PKCS #1 v1.5 填充对 RSA 密钥进行包装、解包、加密和解密

    • CKM_RSA_PKCS 对 PKCS #11 SDK 进行包装、解包、加密和解密

    • RSA/ECB/PKCS1Padding 对 JCE SDK 进行包装、解包、加密和解密

    • -m 12wrapKeyunWrapKey KMU 加上(注释 12 是机制 RSA_PKCS 的值)

[1] 有关此更改的详细信息,请参阅过渡使用加密算法和密钥长度中的表 1 和表 5。