本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
OpenSSL 動態引擎的已知問題
這些是 OpenSSL 動態引擎的已知問題
主題
- 問題:你無法在 RHEL 6 和 Cent AWS CloudHSM OpenSSL s6 上安裝動態引擎
- 問題:預設僅支援將 RSA 卸載到 HSM。
- 問題:在 HSM 上不支援使用金鑰進行內含 OAEP 填補的 RSA 加密和解密。
- 問題:只會將 RSA 和 ECC 金鑰的私有金鑰產生卸載到 HSM。
- 問題:你無法在 RHEL 8、CentOS 8 或 Ubuntu 18.04 LTS 上安裝用戶端 SDK 3 的 OpenSSL 動態引擎
- 問題:SHA-1 在 RHEL 9 上簽署並驗證已淘汰 (9.2 以上)
- 問題: AWS CloudHSM OpenSSL 動態引擎與開 OpenSSL v3.x 的 FIPS 提供者不相容
問題:你無法在 RHEL 6 和 Cent AWS CloudHSM OpenSSL s6 上安裝動態引擎
-
影響:OpenSSL 動態引擎僅支援 OpenSSL 1.0.2[f+]。在預設情況下,RHEL 6 和 CentOS 6 會隨附 OpenSSL 1.0.1。
-
因應措施:將 RHEL 6 和 CentOS 6 上的 OpenSSL 程式庫升級至 1.0.2[f+] 版。
問題:預設僅支援將 RSA 卸載到 HSM。
-
影響:為了發揮最大效能,並未將程式庫設定為卸載額外功能 (例如產生亂數或 EC-DH 操作)。
-
因應措施:如果您需要卸載額外操作,請透過支援案例聯絡我們。
-
解決狀態:我們正在新增對程式庫的支援,以透過組態檔案來設定卸載選項。更新可供使用時即會在版本歷史頁面中公告。
問題:在 HSM 上不支援使用金鑰進行內含 OAEP 填補的 RSA 加密和解密。
-
影響:任何使用 OAEP 填補對 RSA 加密和解密的呼叫都會失敗,並顯示錯誤。 divide-by-zero 這是因為 OpenSSL 動態引擎是在本機使用仿造的 PEM 檔案呼叫操作,而不是將操作卸載到 HSM 所造成。
-
因應措施:您可以使用 PKCS #11 程式庫 或 JCE 提供者 執行此程序。
-
解決狀態:我們正在新增對程式庫的支援,以讓您正確卸載此操作。更新可供使用時即會在版本歷史頁面中公告。
問題:只會將 RSA 和 ECC 金鑰的私有金鑰產生卸載到 HSM。
對於任何其他金鑰類型,OpenSSL AWS CloudHSM 引擎不會用於呼叫處理。而是改用本機 OpenSSL 引擎。這會在軟體中以本機的方式產生金鑰。
-
影響:容錯移轉並無提示,因此沒有任何跡象可告知您是否尚未收到在 HSM 上安全產生的金鑰。如果金鑰是由 OpenSSL 在本機的軟體中產生,您會看到包含
"...........++++++"字串的輸出追蹤。將此操作卸載到 HSM 時,就不會有此追蹤。因為金鑰不是在 HSM 中產生或存放,將無法供日後使用。 -
因應措施:只針對 OpenSSL 引擎支援的金鑰類型使用 OpenSSL 引擎。對於所有其他金鑰類型,請在應用程式中使用 PKCS #11 或 JCE,或在 CLI
key_mgmt_util中使用。
問題:你無法在 RHEL 8、CentOS 8 或 Ubuntu 18.04 LTS 上安裝用戶端 SDK 3 的 OpenSSL 動態引擎
-
影響:在預設情況下,RHEL 8、CentOS 8 和 Ubuntu 18.04 LTS 所提供的 OpenSSL 版本不相容於用戶端 SDK 3 的 OpenSSL 動態引擎。
-
因應措施:使用提供 OpenSSL 動態引擎支援的 Linux 平台。如需關於支援的平台的詳細資訊,請參閱支援的平台。
-
解決方案狀態: AWS CloudHSM 支援這些平台搭配 OpenSSL 動態引擎 (適用於用戶端 SDK 5)。如需詳細資訊,請參閱支援的平台和 OpenSSL 動態引擎。
問題:SHA-1 在 RHEL 9 上簽署並驗證已淘汰 (9.2 以上)
問題: AWS CloudHSM OpenSSL 動態引擎與開 OpenSSL v3.x 的 FIPS 提供者不相容
-
影響:如果您在啟用 OpenSSL 3.x 版的 FIPS 提供者時嘗試使用 AWS CloudHSM OpenSSL 動態引擎,您將會收到錯誤訊息。
-
因應措施:若要將 AWS CloudHSM OpenSSL 動態引擎與 OpenSSL 3.x 版搭配使用,請確定已設定「預設」提供者。在 OpenSSL 網站
上閱讀更多有關預設提供者的資訊。
