Problèmes connus pour toutes les instances HSM - AWS CloudHSM
Problème : l'encapsulage de clé AES utilise le remplissage PKCS#5 au lieu de fournir une implémentation conforme aux normes de l'encapsulage de clé avec remplissage avec des zérosProblème : Le démon client nécessite au moins une adresse IP valide dans son fichier de configuration pour pouvoir se connecter au clusterProblème : les données pouvant être hachées et signées à l' AWS CloudHSM aide du SDK client 3 étaient limitées à 16 KoProblème : les clés importées ne peuvent pas être spécifiées comme non exportablesProblème : le mécanisme par défaut pour le WrapKey et les unWrapKey commandes du key_mgmt_util a été suppriméProblème : si vous avez un seul HSM dans votre cluster, le basculement HSM ne se produit pas correctementProblème : si vous dépassez la capacité en clés des HSM de votre cluster dans un court laps de temps, le client entre en état d'erreur non géréeProblème : les opérations de digest avec clés HMAC de taille supérieure à 800 octets ne sont pas prises en chargeProblème : L'outil client_info, distribué avec le SDK client 3, supprime le contenu du chemin spécifié par l'argument de sortie facultatifProblème : vous recevez une erreur lors de l'exécution de l'outil de configuration du SDK 5 à l'aide de l'argument --cluster-id dans des environnements conteneurisésProblème : vous recevez le message d'erreur « Impossible de créer le cert/la clé à partir du fichier pfx fourni. Erreur : NotPkcs 8 pouces

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Problèmes connus pour toutes les instances HSM

Les problèmes suivants concernent tous les AWS CloudHSM utilisateurs, qu'ils utilisent l'outil de ligne de commande key_mgmt_util, le SDK PKCS #11, le SDK JCE ou le SDK OpenSSL.

Rubriques

Problème : l'encapsulage de clé AES utilise le remplissage PKCS#5 au lieu de fournir une implémentation conforme aux normes de l'encapsulage de clé avec remplissage avec des zéros

En outre, l'encapsulage de clé sans remplissage ni remplissage avec des zéros n'est pas pris en charge.

  • Conséquence : il n'y a aucun impact si vous encapsulez et déballez à l'aide de cet algorithme intégré. AWS CloudHSM Cependant, les clés encapsulées AWS CloudHSM ne peuvent pas être déballées dans d'autres HSM ou logiciels qui s'attendent à être conformes à la spécification de non-rembourrage. Cela est dû au fait que huit octets de données de remplissage peuvent être ajoutés à la fin de vos données clés lors d'un désencapsulage conforme aux normes. Les clés encapsulées en externe ne peuvent pas être correctement déballées dans une AWS CloudHSM instance.

  • Solution : pour désencapsuler en externe une clé encapsulée à l'aide de la fonction AES Key Wrap avec PKCS #5 Padding sur une instance AWS CloudHSM, enlevez le remplissage supplémentaire avant d'essayer d'utiliser la clé. Pour ce faire, vous pouvez essayer de réduire les octets supplémentaires dans un éditeur de fichier ou copier uniquement les octets de la clé dans une nouvelle mémoire tampon dans votre code.

  • État de la résolution : avec la version client et logiciel 3.1.0, AWS CloudHSM fournit des options conformes aux normes pour l'encapsulage des clés AES. Pour plus d'informations, consultez Encapsulage des clés AES.

Problème : Le démon client nécessite au moins une adresse IP valide dans son fichier de configuration pour pouvoir se connecter au cluster

  • Impact : Si vous supprimez tous les HSM de votre cluster, puis que vous ajoutez un autre HSM qui obtient une nouvelle adresse IP, le démon client continue de rechercher vos HSM à leurs adresses IP d'origine.

  • Solution : Si vous exécutez une charge de travail intermittente, nous vous recommandons d'utiliser l'IpAddressargument de la CreateHsmfonction pour rétablir la valeur d'origine de l'Elastic network interface (ENI). Notez qu'une ENI est spécifique à une zone de disponibilité (AZ). L'alternative consiste à supprimer le fichier /opt/cloudhsm/daemon/1/cluster.info, puis à réinitialiser la configuration du client par l'adresse IP de votre nouveau HSM. Vous pouvez utiliser la commande client -a <IP address>. Pour plus d'informations, voir Installer et configurer le AWS CloudHSM client (Linux) ou Installer et configurer le AWS CloudHSM client (Windows).

Problème : les données pouvant être hachées et signées à l' AWS CloudHSM aide du SDK client 3 étaient limitées à 16 Ko

  • État de résolution : les données inférieures à 16 Ko continuent d'être envoyées au HSM pour hachage. Nous avons ajouté de la capacité pour hacher en local, dans les logiciels, les données comprises entre 16 Ko et 64 Ko. Le SDK client 5 échouera explicitement si la mémoire tampon de données est supérieure à 64 Ko. Vous devez mettre à jour votre client et votre ou vos SDK vers une version supérieure à 5.0.0 ou supérieure pour bénéficier du correctif.

Problème : les clés importées ne peuvent pas être spécifiées comme non exportables

  • État de résolution : le problème est résolu. Aucune action n'est requise de votre part pour tirer parti du correctif.

Problème : le mécanisme par défaut pour le WrapKey et les unWrapKey commandes du key_mgmt_util a été supprimé

  • Résolution : Lorsque vous utilisez le WrapKey ou unWrapKey les commandes, vous devez utiliser l'-moption pour spécifier le mécanisme. Consultez les exemples fournis dans le WrapKey ou dans les unWrapKeyarticles pour plus d'informations.

Problème : si vous avez un seul HSM dans votre cluster, le basculement HSM ne se produit pas correctement

  • Impact : si l'instance HSM unique de votre cluster perd la connectivité, le client ne se reconnectera pas à elle, même si l'instance HSM est restaurée ultérieurement.

  • Solution de contournement : nous recommandons d'au moins deux instances HSM dans n'importe quel cluster de production. Si vous utilisez cette configuration, vous ne serez pas affecté par ce problème. Pour les clusters à un seul HSM, renvoyez le démon client à l'expéditeur pour restaurer la connectivité.

  • État de résolution : ce problème a été résolu dans la version client 1.1.2 de AWS CloudHSM . Vous devez effectuer une mise à niveau vers ce client afin de bénéficier de la correction.

Problème : si vous dépassez la capacité en clés des HSM de votre cluster dans un court laps de temps, le client entre en état d'erreur non gérée

  • Impact : lorsque le client rencontre une erreur non gérée, il se bloque et doit être redémarré.

  • Solution de contournement : testez votre débit pour vous assurer que vous ne créez pas de clés de session plus rapidement que ce que le client est en mesure de traiter. Vous pouvez réduire votre débit en ajoutant un HSM au cluster ou en ralentissant la création de clé de session.

  • État de résolution : ce problème a été résolu dans la version client 1.1.2 de AWS CloudHSM . Vous devez effectuer une mise à niveau vers ce client afin de bénéficier de la correction.

Problème : les opérations de digest avec clés HMAC de taille supérieure à 800 octets ne sont pas prises en charge

  • Impact : les clés HMAC de plus de 800 octets peuvent être générées ou importées dans le HSM. Toutefois, si vous utilisez cette clé dans une opération de digest via JCE ou key_mgmt_util, l'opération échoue. Notez que si vous utilisez PKCS11, les clés HMAC sont limitées à une taille de 64 octets.

  • Solution de contournement : si vous utiliserez des clés HMAC pour les opérations de digest sur le HSM, assurez-vous que la taille est inférieure à 800 octets.

  • État de résolution : Aucun pour l'instant.

Problème : L'outil client_info, distribué avec le SDK client 3, supprime le contenu du chemin spécifié par l'argument de sortie facultatif

  • Conséquence : tous les fichiers et sous-répertoires existants situés sous le chemin de sortie spécifié risquent d'être définitivement perdus.

  • Solution : n'utilisez pas l'argument facultatif -output path lorsque vous utilisez l'outil client_info.

  • État de résolution : ce problème a été résolu dans la version SDK client 3.3.2. Vous devez effectuer une mise à niveau vers ce client afin de bénéficier de la correction.

Problème : vous recevez une erreur lors de l'exécution de l'outil de configuration du SDK 5 à l'aide de l'argument --cluster-id dans des environnements conteneurisés

Le message d'erreur suivant s'affiche lorsque vous utilisez l'argument --cluster-id avec l'outil de configuration :

No credentials in the property bag

Cette erreur est due à une mise à jour de la version 2 du service des métadonnées d'instance (IMDSv2). Pour en savoir plus, consultez la documentation IMDSv2.

  • Conséquence : ce problème aura un impact sur les utilisateurs exécutant l'outil de configuration sur les versions 5.5.0 et ultérieures du SDK dans des environnements conteneurisés et utilisant les métadonnées d'instance EC2 pour fournir des informations d'identification.

  • Solution : définissez la limite de sauts de réponse PUT à au moins deux. Pour savoir comment procéder, voir Configurer les options de métadonnées de l'instance.

Problème : vous recevez le message d'erreur « Impossible de créer le cert/la clé à partir du fichier pfx fourni. Erreur : NotPkcs 8 pouces

  • Conséquence : les utilisateurs du SDK 5.11.0 qui reconfigurent le protocole SSL à l'aide d'un certificat et d'une clé privée échoueront si leurs clés privées ne sont pas au format PKCS8.

  • Solution : vous pouvez convertir la clé privée SSL personnalisée au format PKCS8 à l'aide de la commande openssl : openssl pkcs8 -topk8 -inform PEM -outform PEM -in ssl_private_key -out ssl_private_key_pkcs8

  • État de la résolution : ce problème a été résolu dans la version 5.12.0 du SDK client. Vous devez effectuer une mise à niveau vers cette version du client ou une version ultérieure pour bénéficier du correctif.