弃用通知 - AWS CloudHSM
HSM1 弃用FIPS 140 合规:2024 年机制弃用

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

弃用通知

为了保持符合 FIPS 140、PCI-DSS、PCI-PIN、PCI-3DS 的要求或由于硬件的原因, AWS CloudHSM 可能会不时弃用功能。 SOC2 end-of-support此页面列出了当前适用的更改项。

HSM1 弃用

AWS CloudHSM hsm1.medium 实例类型将于 2025 年 12 月 1 日终止支持。为了确保持续的服务,我们引入了以下变更:

  • 从 2025 年 4 月起,您将无法创建新的 hsm1.medium 集群。

  • 从 2025 年 4 月起,我们将开始自动将现有的 hsm1.medium 集群迁移到新的 hsm2m.medium 实例类型。

hsm2m.medium 实例类型与您当前的实例类型兼容,并且 AWS CloudHSM 性能有所提高。为避免应用程序中断,您必须升级到 CloudHSM SDK 5.9 或更高版本。有关升级说明,请参阅从 AWS CloudHSM 客户端 SDK 3 迁移到客户端 SDK 5

您有两种迁移选项:

  1. 准备就绪后,选择加入 CloudHSM 托管的迁移。有关更多信息,请参阅 从 hsm1.medium 迁移到 hsm2m.medium

  2. 从 hsm1 集群的备份中创建新的 hsm2m.medium 集群,并将您的应用程序重定向到新集群。对于这种方法,我们建议使用蓝/绿部署策略。有关更多信息,请参阅 使用备份创建 AWS CloudHSM 集群

FIPS 140 合规:2024 年机制弃用

美国国家标准与技术研究所 (NIST) 1建议,在 2023 年 12 月 31 日之后,不允许支持 Triple DES(DESede、3DES、 DES3)加密以及使用 PKCS #1 v1.5 填充的 RSA 密钥封装和解包。因此,我们的联邦信息处理标准(FIPS)模式集群中对这些内容的支持将于 2024 年 1 月 1 日结束。对于处于非FIPs 模式的集群,仍然支持这些集群。

本指南适用于以下形式加密操作:

  • 生成三重 DES 密钥

    • 适用于 PKCS#11 库的 CKM_DES3_KEY_GEN

    • 适用于 JCE 提供程序的 DESede Keygen

    • -t=21 的 KMU genSymKey

  • 通过三重 DES 密钥加密(注意:允许解密操作)

    • 对于 PKCS #11 库:CKM_DES3_CBC 加密、CKM_DES3_CBC_PAD 加密和CKM_DES3_ECB 加密

    • 对于 JCE 提供程序:DESede/CBC/PKCS5Padding 加密、DESede/CBC/NoPadding 加密、DESede/ECB/Padding 加密和 DESede/ECB/NoPadding 加密

  • 使用 PKCS #1 v1.5 填充对 RSA 密钥进行包装、解包、加密和解密

    • CKM_RSA_PKCS 对 PKCS #11 SDK 进行包装、解包、加密和解密

    • RSA/ECB/PKCS1Padding 对 JCE SDK 进行包装、解包、加密和解密

    • -m 12wrapKeyunWrapKey KMU 加上(注释 12 是机制 RSA_PKCS 的值)

[1] 有关此更改的详细信息,请参阅过渡使用加密算法和密钥长度中的表 1 和表 5。