Masalah: Pembungkus kunci AES menggunakan bantalan PKCS #5 alih-alih menyediakan implementasi patuh standar pembungkus kunci dengan bantalan nol Masalah: Daemon klien memerlukan setidaknya satu alamat IP yang valid dalam file konfigurasi untuk berhasil menyambung ke klaster Masalah: Ada batas atas 16 KB pada data yang dapat di-hash dan ditandatangani dengan AWS CloudHSM menggunakan Client SDK 3 Masalah: Kunci yang diimpor tidak dapat ditetapkan sebagai tidak dapat diekspor Masalah: Mekanisme default untuk WrapKey dan unWrapKey perintah di key_mgmt_util telah dihapus Masalah: Jika Anda memiliki satu HSM di klaster Anda, failover HSM tidak bekerja dengan benar Masalah: Jika Anda melebihi kapasitas kunci HSM di klaster Anda dalam waktu singkat, klien memasuki keadaan galat yang tidak tertangani Masalah: Operasi digest dengan kunci HMAC ukuran lebih besar dari 800 byte tidak didukung Masalah: Alat client_info, didistribusikan dengan SDK Klien 3, menghapus isi jalur yang ditentukan oleh argumen output opsional Masalah: Anda menerima kesalahan saat menjalankan alat konfigurasi SDK 5 menggunakan --cluster-id argumen di lingkungan kontainer Masalah: Anda menerima kesalahan “Gagal membuat sertifikat/kunci dari file pfx yang disediakan. Kesalahan: NotPkcs 8”

Masalah yang diketahui untuk semua instance HSM

Masalah berikut memengaruhi semua AWS CloudHSM pengguna terlepas dari apakah mereka menggunakan alat baris perintah key_mgmt_util, PKCS #11 SDK, JCE SDK, atau OpenSSL SDK.

Topik

Masalah: Pembungkus kunci AES menggunakan bantalan PKCS #5 alih-alih menyediakan implementasi patuh standar pembungkus kunci dengan bantalan nol
Masalah: Daemon klien memerlukan setidaknya satu alamat IP yang valid dalam file konfigurasi untuk berhasil menyambung ke klaster
Masalah: Ada batas atas 16 KB pada data yang dapat di-hash dan ditandatangani dengan AWS CloudHSM menggunakan Client SDK 3
Masalah: Kunci yang diimpor tidak dapat ditetapkan sebagai tidak dapat diekspor
Masalah: Mekanisme default untuk WrapKey dan unWrapKey perintah di key_mgmt_util telah dihapus
Masalah: Jika Anda memiliki satu HSM di klaster Anda, failover HSM tidak bekerja dengan benar
Masalah: Jika Anda melebihi kapasitas kunci HSM di klaster Anda dalam waktu singkat, klien memasuki keadaan galat yang tidak tertangani
Masalah: Operasi digest dengan kunci HMAC ukuran lebih besar dari 800 byte tidak didukung
Masalah: Alat client_info, didistribusikan dengan SDK Klien 3, menghapus isi jalur yang ditentukan oleh argumen output opsional
Masalah: Anda menerima kesalahan saat menjalankan alat konfigurasi SDK 5 menggunakan --cluster-id argumen di lingkungan kontainer
Masalah: Anda menerima kesalahan “Gagal membuat sertifikat/kunci dari file pfx yang disediakan. Kesalahan: NotPkcs 8”

Masalah: Pembungkus kunci AES menggunakan bantalan PKCS #5 alih-alih menyediakan implementasi patuh standar pembungkus kunci dengan bantalan nol

Selain itu, pembungkus kunci tanpa bantalan dan bantalan nol tidak didukung.

Dampak: Tidak ada dampak jika Anda membungkus dan membuka bungkusnya menggunakan algoritme ini di dalamnya AWS CloudHSM. Namun, kunci yang dibungkus AWS CloudHSM tidak dapat dibuka dalam HSM atau perangkat lunak lain yang mengharapkan kepatuhan terhadap spesifikasi tanpa padding. Hal ini karena delapan byte bantalan data mungkin ditambahkan ke akhir data kunci Anda selama pembukaan patuh standar. Kunci yang dibungkus secara eksternal tidak dapat dibuka dengan benar ke dalam sebuah instance. AWS CloudHSM
Pemecahan masalah: Untuk membuka kunci eksternal yang dibungkus dengan Pembungkus Kunci AES dengan Bantalam PKCS #5 pada instans AWS CloudHSM, strip bantalan ekstra sebelum Anda mencoba untuk menggunakan kunci. Anda dapat melakukan ini dengan pemangkasan byte tambahan dalam editor file atau menyalin hanya byte kunci ke penyangga baru dalam kode Anda.
Status resolusi: Dengan rilis perangkat lunak dan klien 3.1.0, AWS CloudHSM menyediakan opsi yang sesuai standar untuk pembungkus kunci AES. Untuk informasi selengkapnya, lihat Pembungkus Kunci AES.

Masalah: Daemon klien memerlukan setidaknya satu alamat IP yang valid dalam file konfigurasi untuk berhasil menyambung ke klaster

Dampak: Jika Anda menghapus setiap HSM di klaster Anda dan kemudian menambahkan HSM lain, yang mendapat alamat IP baru, daemon klien terus mencari HSM Anda di alamat IP asli mereka.
Solusi: Jika Anda menjalankan beban kerja intermiten, kami sarankan Anda menggunakan IpAddress argumen dalam CreateHsmfungsi untuk mengatur elastic network interface (ENI) ke nilai aslinya. Perhatikan bahwa ENI khusus untuk Availability Zone (AZ). Alternatifnya adalah menghapus file /opt/cloudhsm/daemon/1/cluster.info dan kemudian mengatur ulang konfigurasi klien ke alamat IP HSM baru Anda. Anda dapat menggunakan perintah client -a <IP address>. Untuk informasi selengkapnya, lihat Menginstal dan Mengkonfigurasi AWS CloudHSM Klien (Linux) atau Menginstal dan Mengkonfigurasi AWS CloudHSM Klien (Windows).

Masalah: Ada batas atas 16 KB pada data yang dapat di-hash dan ditandatangani dengan AWS CloudHSM menggunakan Client SDK 3

Status resolusi: Data kurang dalam ukuran dari 16 KB terus dikirim ke HSM untuk hashing. Kami telah menambahkan kemampuan untuk hash lokal, dalam perangkat lunak, data dalam ukuran antara 16 KB dan 64 KB. Klien SDK 5 secara eksplisit akan gagal jika buffer data lebih besar dari 64KB. Anda harus memperbarui klien dan SDK ke versi yang lebih besar dari 5.0.0 atau lebih tinggi untuk mendapatkan keuntungan dari perbaikan.

Masalah: Kunci yang diimpor tidak dapat ditetapkan sebagai tidak dapat diekspor

Status Resolusi: Masalah ini telah diperbaiki. Tidak ada tindakan yang diperlukan dari pihak Anda untuk mendapatkan manfaat dari perbaikan.

Masalah: Mekanisme default untuk WrapKey dan unWrapKey perintah di key_mgmt_util telah dihapus

Resolusi: Saat menggunakan WrapKey atau unWrapKey perintah, Anda harus menggunakan -m opsi untuk menentukan mekanisme. Lihat contoh di WrapKey atau unWrapKeyartikel untuk informasi selengkapnya.

Masalah: Jika Anda memiliki satu HSM di klaster Anda, failover HSM tidak bekerja dengan benar

Dampak: Jika instans HSM tunggal di klaster Anda kehilangan konektivitas, klien tidak akan menyambung kembali dengan itu bahkan jika instans HSM kemudian dipulihkan.
Pemecahan masalah: Kami merekomendasikan setidaknya dua instans HSM di setiap klaster produksi. Jika Anda menggunakan konfigurasi ini, Anda tidak akan terpengaruh oleh masalah ini. Untuk klaster HSM tunggal, pentalkan daemon klien untuk memulihkan konektivitas.
Status resolusi: Masalah ini telah diselesaikan dalam rilis 1.1.2 AWS CloudHSM klien. Anda harus meningkatkan ke klien ini untuk mendapatkan manfaat dari perbaikan.

Masalah: Jika Anda melebihi kapasitas kunci HSM di klaster Anda dalam waktu singkat, klien memasuki keadaan galat yang tidak tertangani

Dampak: Ketika klien bertemu status galat tidak tertangani, klien akan membeku dan harus dimulai ulang.
Pemecahan masalah: Uji throughput Anda untuk memastikan Anda tidak membuat kunci sesi pada tingkat yang klien tidak mampu menanganinya. Anda dapat menurunkan tingkat Anda dengan menambahkan HSM ke klaster atau memperlambat pembuatan kunci sesi.
Status resolusi: Masalah ini telah diselesaikan dalam rilis 1.1.2 AWS CloudHSM klien. Anda harus meningkatkan ke klien ini untuk mendapatkan manfaat dari perbaikan.

Masalah: Operasi digest dengan kunci HMAC ukuran lebih besar dari 800 byte tidak didukung

Dampak: Kunci HMAC lebih besar dari 800 byte dapat dihasilkan pada atau diimpor ke HSM. Namun, jika Anda menggunakan kunci yang lebih besar ini dalam operasi digest melalui JCE atau key_mgmt_util, operasi akan gagal. Perhatikan bahwa jika Anda menggunakan PKCS11, kunci HMAC terbatas pada ukuran 64 byte.
Pemecahan masalah: Jika Anda akan menggunakan kunci HMAC untuk operasi digest pada HSM, pastikan ukurannya lebih kecil dari 800 byte.
Status resolusi: Tidak ada saat ini.

Masalah: Alat client_info, didistribusikan dengan SDK Klien 3, menghapus isi jalur yang ditentukan oleh argumen output opsional

Dampak: Semua file yang ada dan sub-direktori di bawah jalur output yang ditentukan mungkin hilang secara permanen.
Pemecahan masalah: Jangan gunakan argumen opsional -output path saat menggunakan alat client_info.
Status resolusi: Masalah ini telah diatasi di rilis SDK Klien 3.3.2. Anda harus meningkatkan ke klien ini untuk mendapatkan manfaat dari perbaikan.

Masalah: Anda menerima kesalahan saat menjalankan alat konfigurasi SDK 5 menggunakan `--cluster-id` argumen di lingkungan kontainer

Anda menerima kesalahan berikut saat menggunakan argumen --cluster-id dengan Configure Tool:

No credentials in the property bag

Kesalahan ini disebabkan oleh pembaruan ke Layanan Metadata Instans Versi 2 (IMDSv2). Untuk informasi selengkapnya, lihat dokumentasi IMDSv2.

Dampak: Masalah ini akan memengaruhi pengguna yang menjalankan alat konfigurasi pada SDK versi 5.5.0 dan yang lebih baru di lingkungan kontainer dan memanfaatkan metadata instans EC2 untuk memberikan kredensyal.
Solusi: Setel batas hop respons PUT menjadi setidaknya dua. untuk panduan tentang cara melakukannya, lihat Mengonfigurasi opsi metadata instance.

Masalah: Anda menerima kesalahan “Gagal membuat sertifikat/kunci dari file pfx yang disediakan. Kesalahan: NotPkcs 8”

Dampak: Pengguna SDK 5.11.0 yang mengkonfigurasi ulang SSL dengan sertifikat dan kunci pribadi akan gagal jika kunci pribadi mereka tidak dalam format PKCS8.
Solusi: Anda dapat mengonversi kunci pribadi SSL khusus ke format PKCS8 dengan perintah openssl: openssl pkcs8 -topk8 -inform PEM -outform PEM -in ssl_private_key -out ssl_private_key_pkcs8
Status resolusi: Masalah ini telah diselesaikan dalam rilis SDK 5.12.0 klien. Anda harus meningkatkan ke versi klien ini atau yang lebih baru untuk mendapatkan keuntungan dari perbaikan.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Masalah yang diketahui

Masalah yang diketahui untuk hsm2m.medium