Problemas conocidos para todas las instancias de HSM

Los siguientes problemas afectan a todos AWS CloudHSM los usuarios, independientemente de si utilizan la herramienta de línea de comandos key_mgmt_util, el SDK PKCS #11, el SDK de JCE o el SDK de OpenSSL.

Problema: el encapsulamiento de claves con AES utiliza el relleno PKCS#5 en vez de proporcionar una implementación compatible con los estándares de encapsulamiento de clave con cero relleno.

Además, no se admite el encapsulamiento de clave sin relleno o con cero relleno.

• Impacto: no se produce ningún impacto si se empaqueta y se desempaqueta utilizando este algoritmo interno. AWS CloudHSM Sin embargo, las claves empaquetadas AWS CloudHSM no se pueden desempaquetar en otros HSM o software que cumplan con la especificación de no relleno. Esto se debe a que se pueden agregar ocho bytes de datos de relleno al final de los datos clave durante un desencapsulamiento compatible con los estándares. Las claves empaquetadas externamente no se pueden desempaquetar correctamente en una instancia. AWS CloudHSM

• Solución: para desencapsular externamente una clave encapsulada con el encapsulamiento de clave con AES con relleno PKCS #5 en una instancia de AWS CloudHSM, quite el relleno adicional antes de intentar utilizar la clave. Puede hacerlo si recorta los bytes adicionales en un editor de archivos o copia solo los bytes de clave en un nuevo búfer en el código.

• Estado de la resolución: con la versión de software y cliente 3.1.0, AWS CloudHSM ofrece opciones compatibles con los estándares para el encapsulamiento de claves con AES. Para obtener más información, consulte este artículo sobre el encapsulamiento de claves AES.

Problema: el daemon de cliente requiere al menos una dirección IP válida en su archivo de configuración para conectarse correctamente al clúster.

• Impacto: si elimina cada HSM en el clúster y, a continuación, añade otro HSM, que obtiene una nueva dirección IP, el daemon del cliente sigue buscando sus HSM en las direcciones IP originales.

• Solución alternativa: si ejecuta una carga de trabajo intermitente, le recomendamos que utilice el IpAddress argumento de la CreateHsmfunción para establecer la elastic network interface (ENI) en su valor original. Tenga en cuenta que la ENI es específica de la zona de disponibilidad (AZ). La alternativa consiste en eliminar el archivo /opt/cloudhsm/daemon/1/cluster.info y, a continuación, restablecer la configuración del cliente a la dirección IP de su nuevo HSM. Puede utilizar el comando client -a <IP address>. Para obtener más información, consulte Instalar y configurar el AWS CloudHSM cliente (Linux) o Instalar y configurar el AWS CloudHSM cliente (Windows).

Problema: había un límite máximo de 16 KB de datos que se podían procesar y firmar AWS CloudHSM mediante Client SDK 3

• Estado de resolución: los datos con un tamaño inferior a 16 KB siguen siendo enviados al HSM para aplicarles la función hash. Hemos añadido la posibilidad de aplicar la función hash localmente, mediante software, a los datos con un tamaño entre 16 KB y 64 KB. El SDK 5 del cliente fallará explícitamente si el búfer de datos supera los 64 KB. Debe actualizar el cliente y los SDK a una versión superior a la 5.0.0 o superior para beneficiarse de la corrección.

Problema: no se podían especificar las claves importadas como no exportables.

• Estado de resolución: este problema se ha corregido. No es necesario que realice ninguna acción para beneficiarse de la corrección.

Problema: Se ha eliminado el mecanismo predeterminado para WrapKey y unWrapKey los comandos de key_mgmt_util

• Resolución: Al usar el WrapKey o unWrapKey los comandos, debe usar la -m opción para especificar el mecanismo. Consulte los ejemplos en WrapKey o en unWrapKeylos artículos para obtener más información.

Problema: si tiene un único HSM en el clúster, la conmutación por error de HSM no funciona correctamente.

• Impacto: si la única instancia de HSM del clúster pierde la conectividad, el cliente no se volverá a conectar con ella, incluso si la instancia de HSM se restaura posteriormente.

• Solución provisional: le recomendamos al menos dos instancias de HSM en cualquier clúster de producción. Si utiliza esta configuración, no se verá afectado por este problema. Para los clústeres de un solo HSM, reinicie el daemon del cliente para restaurar la conectividad.

• Estado de resolución: este problema se ha solucionado en la versión 1.1.2 del cliente AWS CloudHSM . Debe actualizar a este cliente para beneficiarse de la corrección.

Problema: si se supera la capacidad de claves de los HSM del clúster en un breve periodo de tiempo, el cliente entra en un estado de error no gestionado.

• Impacto: cuando el cliente encuentra el estado de error no gestionado, se bloquea y debe reiniciarse.

• Solución provisional: pruebe el rendimiento para asegurarse de que no está creando claves de sesión a una velocidad que el cliente no pueda gestionar. Puede reducir la velocidad añadiendo un HSM al clúster o ralentizando la creación de claves de sesión.

• Estado de resolución: este problema se ha solucionado en la versión 1.1.2 del cliente AWS CloudHSM . Debe actualizar a este cliente para beneficiarse de la corrección.

Problema: no se admiten operaciones de resumen con claves de HMAC de un tamaño superior a 800 bytes.

• Impacto: las claves de HMAC de más de 800 bytes se pueden generar o importar en el HSM. Sin embargo, si utiliza esta clave más grande en una operación de resumen a través de JCE o de key_mgmt_util, la operación no se realizará correctamente. Tenga en cuenta que si utiliza PKCS11 las claves HMAC se limitan a un tamaño de 64 bytes.

• Solución provisional: si va a utilizar claves de HMAC para operaciones de resumen en el HSM, asegúrese de que el tamaño es inferior a 800 bytes.

• Estado de resolución: ninguno por el momento.

Problema: la herramienta client_info, que se distribuye con SDK 3 de cliente, elimina el contenido de la ruta especificada por el argumento de salida opcional.

• Impacto: es posible que todos los archivos y subdirectorios existentes en la ruta de salida especificada se pierdan permanentemente.

• Solución alternativa: no utilice el argumento opcional -output path cuando utilice la herramienta client_info.

• Estado de la resolución: Este problema se ha resuelto en la versión 3.3.2 del SDK de cliente. Debe actualizar a este cliente para beneficiarse de la corrección.

Problema: recibe un error al ejecutar la herramienta de configuración del SDK 5 con el argumento --cluster-id en entornos en contenedores.

Aparece el siguiente error al usar el argumento --cluster-id con la herramienta de configuración:

No credentials in the property bag

Este error se debe a una actualización a la versión 2 del servicio de metadatos de la instancia (IMDSv2). Para obtener más información, consulte la documentación de IMDSv2.

• Impacto: este problema afectará a los usuarios que utilicen la herramienta de configuración en las versiones 5.5.0 y posteriores del SDK en entornos en contenedores y que utilicen los metadatos de las instancias de EC2 para proporcionar credenciales.

• Solución alternativa: establezca el límite de saltos de respuesta de PUT en al menos dos. Para obtener información sobre cómo hacerlo, consulte Configurar las opciones de metadatos de la instancia.

Problema: Aparece el error «No se pudo crear el certificado o la clave a partir del archivo pfx proporcionado». Error: 8 pulgadas NotPkcs

• Impacto: los usuarios del SDK 5.11.0 que reconfiguren el SSL con un certificado y una clave privada fallarán si sus claves privadas no están en formato PKCS8.

• Solución alternativa: puede convertir la clave privada SSL personalizada al formato PKCS8 con el comando openssl: openssl pkcs8 -topk8 -inform PEM -outform PEM -in ssl_private_key -out ssl_private_key_pkcs8

• Estado de la resolución: este problema se resolvió en la versión 5.12.0 del SDK del cliente. Debe actualizar a esta versión de cliente o posterior para beneficiarse de la solución.