Bekannte Probleme für alle HSM-Instances - AWS CloudHSM
Problem: Beim AES Key Wrapping wird anstelle der standardkonformen Implementierung der Schlüsselverpackung ohne Padding das PKCS #5 Padding verwendet.Problem: Der Client-Daemon benötigt mindestens eine gültige IP-Adresse in seiner Konfigurationsdatei, um erfolgreich eine Verbindung mit dem Cluster herstellen zu können.Problem: Es gab eine Obergrenze von 16 KB für Daten, die AWS CloudHSM mit dem Client-SDK 3 gehasht und signiert werden könnenProblem: Es konnte für importierte Schlüssel nicht angegeben werden, dass diese nicht exportierbar sein sollen.Problem: Der Standardmechanismus für den WrapKey und die unWrapKey Befehle in key_mgmt_util wurde entferntProblem: Befindet sich ein einzelnes HSM in Ihrem Cluster, funktioniert HSM-Failover nicht ordnungsgemäß.Problem: Wenn die Schlüsselkapazität der HSMs im Cluster innerhalb kurzer Zeit überschritten wird, geht der Client in den Status „Unbehandelter Fehler“ über.Problem: Digest-Operationen mit HMAC-Schlüsseln mit einer Größe von mehr als 800 Bytes werden nicht unterstützt.Problem: Das im Client-SDK 3 enthaltene Tool client_info löscht den Inhalt des durch das optionale Ausgabeargument angegebenen PfadsProblem: Sie erhalten eine Fehlermeldung, wenn Sie das SDK-5-Configure Tool mit dem --cluster-id-Argument in containerisierten Umgebungen ausführenProblem: Sie erhalten die Fehlermeldung „Fehler beim Erstellen des Zertifikats/Schlüssels aus der bereitgestellten PFX-Datei. Fehler: 8 NotPkcs

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bekannte Probleme für alle HSM-Instances

Die folgenden Probleme betreffen alle AWS CloudHSM Benutzer, unabhängig davon, ob sie das Befehlszeilentool key_mgmt_util, das PKCS #11 -SDK, das JCE SDK oder das OpenSSL SDK verwenden.

Problem: Beim AES Key Wrapping wird anstelle der standardkonformen Implementierung der Schlüsselverpackung ohne Padding das PKCS #5 Padding verwendet.

Des Weiteren werden Schlüsselverpackungen ohne Padding und mit Zero Padding nicht unterstützt.

  • Auswirkung: Das Ein- und Auspacken mit diesem Algorithmus hat keine Auswirkungen. AWS CloudHSM Schlüssel, die mit eingeschlossen sind, können jedoch AWS CloudHSM nicht aus anderen HSMs oder Software entfernt werden, die die Einhaltung der No-Padding-Spezifikation voraussetzt. Dies liegt daran, dass während des standardkonformen Entpackens am Ende Ihrer Schlüsseldaten acht Bytes Padding-Daten hinzugefügt werden können. Extern verpackte Schlüssel können nicht ordnungsgemäß in eine Instanz entpackt werden. AWS CloudHSM

  • Problemumgehung: Wenn Sie einen Schlüssel extern entpacken, der mit AES Key Wrapping und PKCS #5 Padding auf einer AWS CloudHSM-Instance verpackt wurde, entfernen Sie vor Verwendung des Schlüssels das zusätzliche Padding. Zu diesem Zweck können Sie die zusätzlichen Bytes in einem Datei-Editor abtrimmen oder nur die Schlüsselbytes in einen neuen Puffer in Ihrem Code kopieren.

  • Stand der Lösung: Mit der Client- und Software-Version 3.1.0 bietet AWS CloudHSM standardkonforme Optionen für AES Key Wrapping. Weitere Informationen finden Sie unter AES Key Wrapping.

Problem: Der Client-Daemon benötigt mindestens eine gültige IP-Adresse in seiner Konfigurationsdatei, um erfolgreich eine Verbindung mit dem Cluster herstellen zu können.

  • Auswirkung: Wenn Sie jedes HSM in Ihrem Cluster löschen und dann ein neues HSM hinzufügen, das eine neue IP-Adresse erhält, sucht der Client-Daemon weiterhin unter den ursprünglichen IP-Adressen nach Ihren HSMs.

  • Umgehung: Wenn Sie einen intermittierenden Workload ausführen, empfehlen wir, das IpAddress Argument in der CreateHsmFunktion zu verwenden, um das elastic network interface (ENI) auf seinen ursprünglichen Wert zu setzen. Beachten Sie, dass eine ENI spezifisch für eine Availability Zone (AZ) ist. Die Alternative ist, die Datei /opt/cloudhsm/daemon/1/cluster.info zu löschen und dann die Client-Konfiguration auf die IP-Adresse Ihres neuen HSM zurückzusetzen. Sie können den Befehl client -a <IP address> verwenden. Weitere Informationen finden Sie unter Installation und Konfiguration des AWS CloudHSM Clients (Linux) oder Installation und Konfiguration des AWS CloudHSM Clients (Windows).

Problem: Es gab eine Obergrenze von 16 KB für Daten, die AWS CloudHSM mit dem Client-SDK 3 gehasht und signiert werden können

  • Stand der Lösung: Daten mit weniger als 16 KB werden weiterhin zum Versehen mit einem Hash-Wert an HSM gesendet. Daten zwischen 16 KB und 64 KB können nun auch lokal in der Software mit einem Hash-Wert versehen werden. Das Client-SDK 5 schlägt explizit fehl, wenn der Datenpuffer größer als 64 KB ist. Sie müssen Ihren Client und Ihr (e) SDK (s) auf eine höhere Version als 5.0.0 oder höher aktualisieren, um von dem Fix zu profitieren.

Problem: Es konnte für importierte Schlüssel nicht angegeben werden, dass diese nicht exportierbar sein sollen.

  • Stand der Lösung: Dieses Problem wurde behoben. Ihrerseits sind keine Maßnahmen erforderlich, um die Korrektur nutzen zu können.

Problem: Der Standardmechanismus für den WrapKey und die unWrapKey Befehle in key_mgmt_util wurde entfernt

  • Lösung: Wenn Sie den WrapKey oder unWrapKey Befehle verwenden, müssen Sie die -m Option verwenden, um den Mechanismus anzugeben. Weitere Informationen finden Sie in den Beispielen im WrapKey oder in den unWrapKeyArtikeln.

Problem: Befindet sich ein einzelnes HSM in Ihrem Cluster, funktioniert HSM-Failover nicht ordnungsgemäß.

  • Auswirkung: Wenn die einzelne HSM-Instance im Cluster an Konnektivität verliert, stellt der Client keine erneute Verbindung zu ihr her – auch dann nicht, wenn die HSM-Instance zu einem späteren Zeitpunkt wiederhergestellt wird.

  • Problemumgehung: Wir empfehlen mindestens zwei HSM-Instances pro Produktions-Cluster. Wenn Sie diese Konfiguration verwenden, werden Sie nicht von diesem Problem betroffen sein. Deaktivieren Sie bei Clustern mit nur einem HSM den Client-Daemon, um die Konnektivität wiederherzustellen.

  • Stand der Lösung: Dieses Problem wurde in AWS CloudHSM -Client Version 1.1.2 behoben. Sie müssen auf diesen Client upgraden, um das Problem zu beheben.

Problem: Wenn die Schlüsselkapazität der HSMs im Cluster innerhalb kurzer Zeit überschritten wird, geht der Client in den Status „Unbehandelter Fehler“ über.

  • Auswirkung: Wenn der Client in den Status „Unbehandelter Fehler“ wechselt, hängt er sich auf und muss neu gestartet werden.

  • Problemumgehung: (Problemumgehung) Testen Sie Ihren Durchsatz, um sicherzustellen, dass Sitzungsschlüssel nicht mit einer Rate erstellt werden, die der Client nicht verarbeiten kann. Sie können die Rate heruntersetzen, indem Sie dem Cluster ein HSM hinzufügen oder die Erstellung des Sitzungsschlüssels verzögern.

  • Stand der Lösung: Dieses Problem wurde in AWS CloudHSM -Client Version 1.1.2 behoben. Sie müssen auf diesen Client upgraden, um das Problem zu beheben.

Problem: Digest-Operationen mit HMAC-Schlüsseln mit einer Größe von mehr als 800 Bytes werden nicht unterstützt.

  • Auswirkung: HMAC-Schlüssel mit einer Größe von mehr als 800 Bytes können im HSM erstellt oder in das HSM importiert werden. Wenn Sie diesen größeren Schlüssel in einer Digest-Operation jedoch über die JCE oder key_mgmt_util verwenden, schlägt die Operation fehl. Beachten Sie, dass die Größe von HMAC-Schlüsseln beim Verwenden von PKCS11 auf 64 Bytes beschränkt wird.

  • Problemumgehung: Wenn Sie HMAC-Schlüssel für Digest-Operationen im HSM verwenden, stellen Sie sicher, dass die Schlüsselgröße weniger als 800 Bytes beträgt.

  • Stand der Lösung: Keine Angabe.

Problem: Das im Client-SDK 3 enthaltene Tool client_info löscht den Inhalt des durch das optionale Ausgabeargument angegebenen Pfads

  • Auswirkung: Alle vorhandenen Dateien und Unterverzeichnisse unter dem angegebenen Ausgabepfad können dauerhaft verloren gehen.

  • Problemumgehung: Verwenden Sie das optionale Argument -output path nicht, wenn Sie das client_info-Tool verwenden.

  • Stand der Lösung: Dieses Problem wurde in Client SDK 3.3.2 Version behoben. Sie müssen auf diesen Client upgraden, um das Problem zu beheben.

Problem: Sie erhalten eine Fehlermeldung, wenn Sie das SDK-5-Configure Tool mit dem --cluster-id-Argument in containerisierten Umgebungen ausführen

Sie erhalten den folgenden Fehler, wenn Sie das Argument --cluster-id mit dem Configure Tool verwenden:

No credentials in the property bag

Dieser Fehler wird durch ein Update auf Version 2 des Instance Metadata Service (IMDSv2) verursacht. Weitere Informationen finden Sie in der IMDSv2-Dokumentation.

  • Auswirkung: Dieses Problem betrifft Benutzer, die das Configure Tool auf SDK-Versionen 5.5.0 und höher in containerisierten Umgebungen ausführen und EC2-Instance-Metadaten zur Bereitstellung von Anmeldeinformationen verwenden.

  • Umgehung: Legen Sie das PUT-Antwort-Hop-Limit auf mindestens zwei fest. Eine Anleitung dazu finden Sie unter Konfigurieren der Optionen für Instance-Metadaten.

Problem: Sie erhalten die Fehlermeldung „Fehler beim Erstellen des Zertifikats/Schlüssels aus der bereitgestellten PFX-Datei. Fehler: 8 NotPkcs

  • Auswirkung: Benutzer von SDK 5.11.0, die SSL mit einem Zertifikat und einem privaten Schlüssel neu konfigurieren, schlagen fehl, wenn ihre privaten Schlüssel nicht im PKCS8-Format vorliegen.

  • Problemumgehung: Sie können den benutzerdefinierten privaten SSL-Schlüssel mit dem Befehl openssl in das PKCS8-Format konvertieren: openssl pkcs8 -topk8 -inform PEM -outform PEM -in ssl_private_key -out ssl_private_key_pkcs8

  • Lösungsstatus: Dieses Problem wurde in der Version 5.12.0 des Client-SDK behoben. Sie müssen ein Upgrade auf diese Client-Version oder eine neuere Version durchführen, um von dem Update zu profitieren.