本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS CloudHSM 已弃用的客户端 SDK 版本
已弃用 5.8.0 及以前版本。我们建议不建议在生产工作负载中使用已弃用版本。我们不为已弃用的版本提供向后兼容更新,也不托管已弃用的版本供下载。如果弃用版本对您的生产造成影响,则您必须升级以修复软件。
已弃用的 Client SDK 5 版本
本节列出了已弃用的 Client SDK 5 版本。
版本 5.8.0 引入了 CloudHSM CLI 的法定身份验证、对 JCE 的SSL/TLS offload with JSSE, multi-slot support for PKCS #11, multi-cluster/multi用户支持、JCE 的密钥提取、支持 JCE 的 KeyFactory、非终端返回代码的新重试配置,并包括改进的稳定性和针对所有人的错误修复。 SDKs
PKCS #11 库
-
增加多插槽配置支持。
JCE 提供程序
-
添加了基于配置的密钥提取。
-
增加了对多集群和多用户配置的支持。
-
增加了对 SSL 和 TSL 分流的支持。
-
添加了对的解包支持。AES/CBC/NoPadding
-
添加了新类型的关键工厂: SecretKeyFactory 和 KeyFactory。
CloudHSM CLI
-
增加了对仲裁身份验证的支持
5.7.0 版引入了 CloudHSM CLI,并纳入了一种新的、基于加密消息的身份验证代码 (CMAC) 算法。此次发布增加了 Amazon Linux 2 上的 ARM 架构。JCE 提供程序 Javadocs 现已可用于 AWS CloudHSM。
PKCS #11 库
-
改进了稳定性,进行了错误修复。
-
现已支持 Amazon Linux 2 的 ARM 架构。
-
算法
-
CKM_AES_CMAC(签名和验证)
-
OpenSSL 动态引擎
-
改进了稳定性,进行了错误修复。
-
现已支持 Amazon Linux 2 的 ARM 架构。
JCE 提供程序
-
改进了稳定性,进行了错误修复。
-
算法
-
AESCMAC
-
版本 5.6.0 包含对 PKCS #11 库和 JCE 提供程序的新机制支持。此外,版本 5.6 还支持 Ubuntu 20.04。
PKCS #11 库
-
改进了稳定性,进行了错误修复。
-
机制
-
CKM_RSA_X_509,适用于加密、解密、签名和验证模式
-
OpenSSL 动态引擎
-
改进了稳定性,进行了错误修复。
JCE 提供程序
-
改进了稳定性,进行了错误修复。
-
密码
-
RSA/ECB/NoPadding,用于加密和解密模式
-
支持的密钥
-
带 secp224r1 和 secp521r1 曲线的 EC
平台支持
-
增加了对 Ubuntu 20.04 的支持
5.5.0 版增加了对 OpenJDK 11、Keytool 和 Jarsigner 集成的支持,并向 JCE 提供程序添加了其他机制。解决了一个已知问题,该问题涉及 KeyGenerator 类错误地将密钥大小参数解释为字节数而不是位数。
PKCS #11 库
-
改进了稳定性,进行了错误修复。
OpenSSL 动态引擎
-
改进了稳定性,进行了错误修复。
JCE 提供程序
-
支持 Keytool 和 Jarsigner 实用程序
-
所有平台上都支持 OpenJDK 11
-
密码
-
AES/CBC/NoPadding加密和解密模式
-
AES/ECB/PKCS5Padding 加密和解密模式
-
AES/CTR/NoPadding加密和解密模式
-
AES/GCM/NoPadding“包装” 和 “解包” 模式
-
DESede/ECB/PKCS5Padding 加密和解密模式
-
DESede/CBC/NoPadding加密和解密模式
-
AESWrap/ECB/NoPadding“包装” 和 “解包” 模式
-
AESWrap/ECB/PKCS5Padding “包装” 和 “解包” 模式
-
AESWrap/ECB/ZeroPadding“包装” 和 “解包” 模式
-
RSA/ECB/PKCS1Padding “包装” 和 “解包” 模式
-
RSA/ECB/OAEPPadding“包装” 和 “解包” 模式
-
RSA/ECB/OAEPWithSHA-1 ANDMGF1 Padding Wrap 和 Unwrap 模式
-
RSA/ECB/OAEPWithSHA-224 ANDMGF1 Padding Wrap 和 Unwrap 模式
-
RSA/ECB/OAEPWithSHA-256 ANDMGF1 Padding Wrap 和 Unwrap 模式
-
RSA/ECB/OAEPWithSHA-384 ANDMGF1 Padding Wrap 和 Unwrap 模式
-
RSA/ECB/OAEPWithSHA-512 ANDMGF1 Padding Wrap 和 Unwrap 模式
-
RSAAESWrap/ECB/OAEPPadding“包装” 和 “解包” 模式
-
RSAAESWrap/ECB/OAEPWithSHA-1 ANDMGF1 Padding Wrap 和 Unwrap 模式
-
RSAAESWrap/ECB/OAEPWithSHA-224 ANDMGF1 Padding Wrap 和 Unwrap 模式
-
RSAAESWrap/ECB/OAEPWithSHA-256 ANDMGF1 Padding Wrap 和 Unwrap 模式
-
RSAAESWrap/ECB/OAEPWithSHA-384 ANDMGF1 Padding Wrap 和 Unwrap 模式
-
RSAAESWrap/ECB/OAEPWithSHA-512 ANDMGF1 Padding Wrap 和 Unwrap 模式
-
-
KeyFactory 和 SecretKeyFactory
-
RSA 2048 位到 4096 位 RSA 密钥,增量为 256 位
-
AES – 128、192 和 256 位 AES 密钥。
-
NIST 曲线 secp256r1 (P-256)、secp384r1 (P-384) 和 secp256k1的 EC 密钥。
-
DESede (3DES)
-
GenericSecret
-
HMAC — 支持 SHA1、 SHA224、 SHA256、 SHA384、 SHA512 哈希
-
-
签署/验证
-
RSASSA-PSS
-
SHA1withRSA/PSS
-
SHA224withRSA/PSS
-
SHA256withRSA/PSS
-
SHA384withRSA/PSS
-
SHA512withRSA/PSS
-
SHA1withRSAandMGF1
-
SHA224withRSAandMGF1
-
SHA256withRSAandMGF1
-
SHA384withRSAandMGF1
-
SHA512withRSAandMGF1
-
版本 5.4.2 包括所有 SDKs版本的稳定性改进和错误修复。这也是 CentOS 8 平台的最新版本。有关更多信息,请参阅 CentOS 网站
PKCS #11 库
-
改进了稳定性,进行了错误修复。
OpenSSL 动态引擎
-
改进了稳定性,进行了错误修复。
JCE 提供程序
-
改进了稳定性,进行了错误修复。
5.4.1 版解决了 PKCS #11 库的一个已知问题。这也是 CentOS 8 平台的最新版本。有关更多信息,请参阅 CentOS 网站
PKCS #11 库
-
改进了稳定性,进行了错误修复。
OpenSSL 动态引擎
-
改进了稳定性,进行了错误修复。
JCE 提供程序
-
改进了稳定性,进行了错误修复。
5.4.0 版增加了对所有平台的 JCE 提供程序的初始支持。JCE 提供程序可与 OpenJDK 8 兼容。
PKCS #11 库
-
改进了稳定性,进行了错误修复。
OpenSSL 动态引擎
-
改进了稳定性,进行了错误修复。
JCE 提供程序
-
密钥类型
-
RSA 2048 位到 4096 位 RSA 密钥,增量为 256 位。
-
AES – 128、192 和 256 位 AES 密钥。
-
NIST 曲线 secp256r1 (P-256)、secp384r1 (P-384) 和 secp256k1 的 ECC 密钥。
-
DESede (3DES)
-
HMAC — 支持 SHA1、 SHA224、 SHA256、 SHA384、 SHA512哈希。
-
-
密码(仅限加密和解密)
-
AES/GCM/NoPadding
-
AES/ECB/NoPadding
-
AES/CBC/PKCS5Padding
-
DESede/ECB/NoPadding
-
DESede/CBC/PKCS5Padding
-
AES/CTR/NoPadding
-
RSA/ECB/PKCS1填充物
-
RSA/ECB/OAEPPadding
-
RSA/ECB/OAEPWithSHA-1 个填ANDMGF1充物
-
RSA/ECB/OAEPWithSHA-224 填充 ANDMGF1
-
RSA/ECB/OAEPWithSHA-256 Padding ANDMGF1
-
RSA/ECB/OAEPWithSHA-384 填充 ANDMGF1
-
RSA/ECB/OAEPWithSHA-512 Padding ANDMGF1
-
-
摘要
-
SHA-1
-
SHA-224
-
SHA-256
-
SHA-384
-
SHA-512
-
-
签署/验证
-
NONEwithRSA
-
SHA1withRSA
-
SHA224withRSA
-
SHA256withRSA
-
SHA384withRSA
-
SHA512withRSA
-
NONEwithECDSA
-
SHA1withECDSA
-
SHA224withECDSA
-
SHA256withECDSA
-
SHA384withECDSA
-
SHA512withECDSA
-
-
与 Java 集成 KeyStore
PKCS #11 库
-
改进了稳定性,进行了错误修复。
OpenSSL 动态引擎
-
添加了“通过 P-256、P-384 和 secp256k1 曲线执行 ECDSA 验证/签名”的支持。
-
增加对以下平台的支持:亚马逊 Linux、亚马逊 Linux 2、CentOS 7.8+、RHEL 7(7.8+)。
-
增加了对 OpenSSL 1.0.2 版的支持。
-
改进了稳定性,进行了错误修复。
JCE 提供程序
-
密钥类型
-
RSA 2048 位到 4096 位 RSA 密钥,增量为 256 位。
-
AES – 128、192 和 256 位 AES 密钥。
-
NIST 曲线 secp256r1 (P-256)、secp384r1 (P-384) 和 secp256k1 的 ECC 密钥对。
-
DESede (3DES)
-
HMAC — 支持 SHA1、 SHA224、 SHA256、 SHA384、 SHA512哈希。
-
-
密码(仅限加密和解密)
-
AES/GCM/NoPadding
-
AES/ECB/NoPadding
-
AES/CBC/PKCS5Padding
-
DESede/ECB/NoPadding
-
DESede/CBC/PKCS5Padding
-
AES/CTR/NoPadding
-
RSA/ECB/PKCS1填充物
-
RSA/ECB/OAEPPadding
-
RSA/ECB/OAEPWithSHA-1 个填ANDMGF1充物
-
RSA/ECB/OAEPWithSHA-224 填充 ANDMGF1
-
RSA/ECB/OAEPWithSHA-256 Padding ANDMGF1
-
RSA/ECB/OAEPWithSHA-384 填充 ANDMGF1
-
RSA/ECB/OAEPWithSHA-512 Padding ANDMGF1
-
-
摘要
-
SHA-1
-
SHA-224
-
SHA-256
-
SHA-384
-
SHA-512
-
-
签署/验证
-
NONEwithRSA
-
SHA1withRSA
-
SHA224withRSA
-
SHA256withRSA
-
SHA384withRSA
-
SHA512withRSA
-
NONEwithECDSA
-
SHA1withECDSA
-
SHA224withECDSA
-
SHA256withECDSA
-
SHA384withECDSA
-
SHA512withECDSA
-
-
与 Java 集成 KeyStore
PKCS #11 库
-
改进了稳定性,进行了错误修复。
OpenSSL 动态引擎
-
改进了稳定性,进行了错误修复。
5.2.0 版对 PKCS #11 库增加了“对其他密钥类型和机制”支持。
PKCS #11 库
密钥类型
-
ECDSA — P-224、P-256、P-384、P-521 和 secp256k1 曲线
-
三重 DES (3DES)
机制
-
CKM_EC_KEY_PAIR_GEN
-
CM_ _KEY_GEN DES3
-
CM_ _CBC DES3
-
CM_ _CBC_PAD DES3
-
CM_ _ECB DES3
-
CKM_ECDSA
-
CM_ECDSA_ SHA1
-
CM_ECDSA_ SHA224
-
CM_ECDSA_ SHA256
-
CM_ECDSA_ SHA384
-
CM_ECDSA_ SHA512
-
用于加密/解密的 CKM_RSA_PKCS
OpenSSL 动态引擎
-
改进了稳定性,进行了错误修复。
5.1.0 版对 PKCS #11 库增加了“对其他机制”的支持。
PKCS #11 库
机制
-
用于包装/解包的 CKM_RSA_PKCS
-
CKM_RSA_PKCS_PSS
-
CM_ _rsa_PKCS_PSS SHA1
-
CM_ _rsa_PKCS_PSS SHA224
-
CM_ _rsa_PKCS_PSS SHA256
-
CM_ _rsa_PKCS_PSS SHA384
-
CM_ _rsa_PKCS_PSS SHA512
-
CKM_AES_ECB
-
CKM_AES_CTR
-
CKM_AES_CBC
-
CKM_AES_CBC_PAD
-
CKM_ 00_108_COUNTER_KDF SP8
-
CKM_GENERIC_SECRET_KEY_GEN
-
CKM_SHA_1_HMAC
-
CM_ _HMAC SHA224
-
CM_ _HMAC SHA256
-
CM_ _HMAC SHA384
-
CM_ _HMAC SHA512
-
CKM_RSA_PKCS_OAEP 仅限包装/解包
-
CKM_RSA_AES_KEY_WRAP
-
CKM_CLOUDHSM_AES_KEY_KEY_WRAP_NO_PAD
-
CKM_CLOUDHSM_AES_KEY_WRAP_ _PAD PKCS5
-
CKM_CLOUDHSM_AES_KEY_KEY_WRAP_ZERO_PAD
API 操作
-
C_ CreateObject
-
C_ DeriveKey
-
C_ WrapKey
-
C_ UnWrapKey
OpenSSL 动态引擎
-
改进了稳定性,进行了错误修复。
5.0.1 版增加了对 OpenSSL 动态引擎的初始支持。
PKCS #11 库
-
改进了稳定性,进行了错误修复。
OpenSSL 动态引擎
-
OpenSSL 动态引擎的初始版本。
-
此版本为密钥类型和 Open APIs SSL 提供了入门支持:
-
针对 2048、3072 和 4096 位密钥的 RSA 密钥生成
-
OpenSSL APIs:
有关更多信息,请参阅 OpenSSL 动态引擎。
-
-
支持的平台:CentOS 8.3+、红帽企业 Linux (RHEL) 8.3+ 和 Ubuntu 18.04 LTS
-
需要:OpenSSL 1.1.1
有关更多信息,请参阅支持的平台。
-
-
在 CentOS 8.3+、红帽企业 Linux (RHEL) 8.3 和 Ubuntu 18.04 LTS 上支持 SSL/TLS 卸载,包括 NGINX 1.19(适用于部分密码套件)。
有关更多信息,请参阅 SSL/TLS Offload on Linux using Tomcat 或 SSL/TLS Offload on Linux using NGINX or Apache。
5.0.0 是第一个发行版本。
PKCS #11 库
-
这是初始版本。
客户软件开发工具包 5.0.0 版中的 PKCS #11 库入门支持
本节详细介绍了客户端软件开发工具包 5.0.0 版的密钥类型、机制、API 操作和属性支持。
密钥类型:
-
AES– 128、192 和 256 位 AES 密钥
-
RSA– 2048 位到 4096 位 RSA 密钥,增量为 256 位
机制:
-
CKM_AES_GCM
-
CKM_AES_KEY_GEN
-
CKM_CLOUDHSM_AES_GCM
-
CKM_RSA_PKCS
-
CKM_RSA_X9_31_KEY_PAIR_GEN
-
CKM_ SHA1
-
CM_ _RSA_PKCS SHA1
-
CKM_ SHA224
-
CM_ _RSA_PKCS SHA224
-
CKM_ SHA256
-
CM_ _RSA_PKCS SHA256
-
CKM_ SHA384
-
CM_ _RSA_PKCS SHA384
-
CKM_ SHA512
-
CM_ _RSA_PKCS SHA512
API 操作:
-
C_ CloseAllSessions
-
C_ CloseSession
-
C_Decrypt
-
C_ DecryptFinal
-
C_ DecryptInit
-
C_ DecryptUpdate
-
C_ DestroyObject
-
C_Digest
-
C_ DigestFinal
-
C_ DigestInit
-
C_ DigestUpdate
-
C_Encrypt
-
C_ EncryptFinal
-
C_ EncryptInit
-
C_ EncryptUpdate
-
C_Finalize
-
C_ FindObjects
-
C_ FindObjectsFinal
-
C_ FindObjectsInit
-
C_ GenerateKey
-
C_ GenerateKeyPair
-
C_ GenerateRandom
-
C_ GetAttributeValue
-
C_ GetFunctionList
-
C_ GetInfo
-
C_ GetMechanismInfo
-
C_ GetMechanismList
-
C_ GetSessionInfo
-
C_ GetSlotInfo
-
C_ GetSlotList
-
C_ GetTokenInfo
-
C_Initialize
-
C_Login
-
C_Logout
-
C_ OpenSession
-
C_Sign
-
C_ SignFinal
-
C_ SignInit
-
C_ SignUpdate
-
C_Verify
-
C_ VerifyFinal
-
C_ VerifyInit
-
C_ VerifyUpdate
属性:
-
GenerateKeyPair
-
所有 RSA 密钥属性
-
-
GenerateKey
-
所有 AES 密钥属性
-
-
GetAttributeValue
-
所有 RSA 密钥属性
-
所有 AES 密钥属性
-
示例:
已弃用的 Client SDK 3 版本
本节列出了已弃用的 Client SDK 3 版本。
3.4.4 版增加了 JCE 提供程序更新。
AWS CloudHSM 客户机软件
-
更新了版本以保持一致性。
PKCS #11 库
-
更新了版本以保持一致性。
OpenSSL 动态引擎
-
更新了版本以保持一致性。
JCE 提供程序
-
将 log4j 版本更新到 2.17.1。
适用于 Windows(CNG 和 KSP 提供程序)
-
更新了版本以保持一致性。
3.4.3 版增加了 JCE 提供程序更新。
AWS CloudHSM 客户机软件
-
更新了版本以保持一致性。
PKCS #11 库
-
更新了版本以保持一致性。
OpenSSL 动态引擎
-
更新了版本以保持一致性。
JCE 提供程序
-
将 log4j 版本更新到 2.17.0。
适用于 Windows(CNG 和 KSP 提供程序)
-
更新了版本以保持一致性。
3.4.2 版增加了 JCE 提供程序更新。
AWS CloudHSM 客户机软件
-
更新了版本以保持一致性。
PKCS #11 库
-
更新了版本以保持一致性。
OpenSSL 动态引擎
-
更新了版本以保持一致性。
JCE 提供程序
-
将 log4j 版本更新到 2.16.0。
适用于 Windows(CNG 和 KSP 提供程序)
-
更新了版本以保持一致性。
3.4.1 版增加了 JCE 提供程序更新。
AWS CloudHSM 客户机软件
-
更新了版本以保持一致性。
PKCS #11 库
-
更新了版本以保持一致性。
OpenSSL 动态引擎
-
更新了版本以保持一致性。
JCE 提供程序
-
将 log4j 版本更新到 2.15.0。
适用于 Windows(CNG 和 KSP 提供程序)
-
更新了版本以保持一致性。
3.4.0 版本增加了对所有组件的更新。
AWS CloudHSM 客户机软件
-
改进了稳定性,进行了错误修复。
PKCS #11 库
-
改进了稳定性,进行了错误修复。
OpenSSL 动态引擎
-
改进了稳定性,进行了错误修复。
JCE 提供程序
-
改进了稳定性,进行了错误修复。
适用于 Windows(CNG 和 KSP 提供程序)
-
改进了稳定性,进行了错误修复。
版本 3.3.2 解决了 client_inf o 脚本的一个问题。
AWS CloudHSM 客户机软件
-
更新了版本以保持一致性。
PKCS #11 库
-
更新了版本以保持一致性。
OpenSSL 动态引擎
-
更新了版本以保持一致性。
JCE 提供程序
-
更新了版本以保持一致性。
适用于 Windows(CNG 和 KSP 提供程序)
-
更新了版本以保持一致性。
3.3.1 版本增加了对所有组件的更新。
AWS CloudHSM 客户机软件
-
改进了稳定性,进行了错误修复。
PKCS #11 库
-
改进了稳定性,进行了错误修复。
OpenSSL 动态引擎
-
改进了稳定性,进行了错误修复。
JCE 提供程序
-
改进了稳定性,进行了错误修复。
适用于 Windows(CNG 和 KSP 提供程序)
-
改进了稳定性,进行了错误修复。
3.3.0 版本增加了双因素身份验证 (2FA) 和其他改进。
AWS CloudHSM 客户机软件
-
为加密员(CO)添加了双重身份验证。有关更多信息,请参阅加密员(CO)双重身份验证管理。
-
移除了对 RedHat 企业 Linux 6 和 CentOS 6 的平台支持。有关详细信息,请参阅 Linux 支持。
-
添加了独立版本 CMU,可与客户端软件开发工具包 5 或客户端软件开发工具包 3 配合使用。这与 3.3.0 版客户端进程守护程序中包含的 CMU 版本相同,现在您不需要下载客户端守护程序,即可下载 CMU。
PKCS #11 库
-
改进了稳定性,进行了错误修复。
-
移除了对 RedHat 企业 Linux 6 和 CentOS 6 的平台支持。有关详细信息,请参阅 Linux 支持。
OpenSSL 动态引擎
-
更新了版本以保持一致性
-
移除了对 RedHat 企业 Linux 6 和 CentOS 6 的平台支持。有关详细信息,请参阅 Linux 支持。
JCE 提供程序
-
改进了稳定性,进行了错误修复。
-
移除了对 RedHat 企业 Linux 6 和 CentOS 6 的平台支持。有关详细信息,请参阅 Linux 支持。
适用于 Windows(CNG 和 KSP 提供程序)
-
更新了版本以保持一致性
版本 3.2.1 添加了 PKCS #11 库和 PKCS #11 标准的 AWS CloudHSM 实现、新平台和其他改进之间的合规性分析。
AWS CloudHSM 客户机软件
-
增加了对 CentOS 8、RHEL 8 和 Ubuntu 18.04 LTS 的平台支持。有关更多信息,请参阅 AWS CloudHSM 客户端 SDK 5 支持的平台。
PKCS #11 库
-
增加了对 CentOS 8、RHEL 8 和 Ubuntu 18.04 LTS 的平台支持。有关更多信息,请参阅 AWS CloudHSM 客户端 SDK 5 支持的平台。
OpenSSL 动态引擎
-
不支持 CentOS 8、RHEL 8 以及 Ubuntu 18.04 LTS。有关更多信息,请参阅 适用于 OpenSSL 动态引擎的已知问题 AWS CloudHSM。
JCE 提供程序
-
增加了对 CentOS 8、RHEL 8 和 Ubuntu 18.04 LTS 的平台支持。有关更多信息,请参阅 AWS CloudHSM 客户端 SDK 5 支持的平台。
适用于 Windows(CNG 和 KSP 提供程序)
-
改进了稳定性,进行了错误修复。
3.2.0 版本增加了对替换式密码的支持和其他改进。
AWS CloudHSM 客户机软件
-
新增支持:使用命令行工具时隐藏密码。有关更多信息,请参阅 loginHSM 和 logoutHSM (cloudhsm_mgmt_util) 以及 loginHSM 和 logoutHSM (key_mgmt_util)。
PKCS #11 库
-
新增支持:对此前不支持的部分 PKCS #11 机制中的软件内的大数据执行哈希处理。有关更多信息,请参阅受支持的机制。
OpenSSL 动态引擎
-
改进了稳定性,进行了错误修复。
JCE 提供程序
-
更新了版本以保持一致性。
适用于 Windows(CNG 和 KSP 提供程序)
-
改进了稳定性,进行了错误修复。
3.1.2 版增加了 JCE 提供程序更新。
AWS CloudHSM 客户机软件
-
更新了版本以保持一致性
PKCS #11 库
-
更新了版本以保持一致性
OpenSSL 动态引擎
-
更新了版本以保持一致性
JCE 提供程序
-
将 log4j 版本更新到 2.13.3。
适用于 Windows(CNG 和 KSP 提供程序)
-
更新了版本以保持一致性
AWS CloudHSM 客户机软件
-
更新了版本以保持一致性。
PKCS #11 库
-
更新了版本以保持一致性。
OpenSSL 动态引擎
-
更新了版本以保持一致性。
JCE 提供程序
-
缺陷修复和性能改进。
Windows(CNG、KSP)
-
更新了版本以保持一致性。
版本 3.1.0 添加了符合标准的 AES 密钥包装。
AWS CloudHSM 客户机软件
-
有关升级的新要求:客户端的版本必须与您正在使用的任意软件库的版本匹配。要进行升级,您必须使用批处理命令来同时升级客户端和所有库。有关更多信息,请参阅客户端软件开发工具包 3 升级。
-
Key_mgmt_util (KMU) 包括以下更新:
PKCS #11 库
-
添加了两种新的 AES 密钥包装方法 - 符合标准的 AES 密钥包装(零填充)和无填充的 AES 密钥包装。有关更多信息,请参阅 AES 密钥包装。
-
您可以配置 RSA-PSS 签名的 salt 长度。要了解如何使用此功能,请参阅上的 RSA-PSS 签名的可配置盐长度
。 GitHub
OpenSSL 动态引擎
-
重大变化:带 SHA1 有 TLS 1.0 和 1.2 密码套件在 OpenSSL Engine 3.1.0 中不可用。此问题将很快得到解决。
-
如果您打算在 RHEL 6 或 CentOS 6 上安装 OpenSSL 动态引擎库,请参阅有关这些操作系统上已安装的默认 OpenSSL 版本的已知问题。
-
改进了稳定性和错误修复
JCE 提供程序
-
重大更改:为了解决 Java 密码学扩展 (JCE) 合规性问题,AES 现在可以正确使用该 AESWrap 算法而不是 AES 算法。对于AES/ECB and AES/CBC机制来说
Cipher.WRAP_MODE,这意味着Cipher.UNWRAP_MODE不再是成功的。要升级到客户端版本 3.1.0,您必须更新您的代码。如果您有已包装的密钥,则必须特别注意用于解开包装的机制以及 IV 默认值的变化。如果您使用客户端版本 3.0.0 或更早版本包装密钥,则在 3.1.1 中必须使用 AESWrap/ECB/PKCS5Padding来解开现有密钥。有关更多信息,请参阅 AES 密钥包装。
-
您可以列出 JCE 提供程序中带相同标签的多个密钥。要了解如何遍历所有可用密钥,请参阅 “查找所有按键
” GitHub。 -
可以在密钥创建过程中为属性设置更受限的值,包括为公有密钥和私有密钥指定不同的标签。有关更多信息,请参阅支持的 Java 属性。
Windows(CNG、KSP)
-
改进了稳定性,进行了错误修复。
