Masalah yang diketahui untuk semua instans HSM - AWS CloudHSM
Masalah: Pembungkus kunci AES menggunakan bantalan PKCS #5 alih-alih menyediakan implementasi patuh standar pembungkus kunci dengan bantalan nolMasalah: Daemon klien memerlukan setidaknya satu alamat IP yang valid dalam file konfigurasi untuk berhasil menyambung ke klasterMasalah: Ada batas atas 16 KB pada data yang dapat di-hash dan ditandatangani olehAWS CloudHSMMasalah: Kunci yang diimpor tidak dapat ditetapkan sebagai tidak dapat dieksporMasalah: Mekanisme default untuk WrapKey dan unWrapKey perintah di key_mgmt_util telah dihapusMasalah: Jika Anda memiliki satu HSM di klaster Anda, failover HSM tidak bekerja dengan benarMasalah: Jika Anda melebihi kapasitas kunci HSM di klaster Anda dalam waktu singkat, klien memasuki keadaan galat yang tidak tertanganiMasalah: Operasi digest dengan kunci HMAC ukuran lebih besar dari 800 byte tidak didukungMasalah: Alat client_info, didistribusikan dengan SDK Klien 3, menghapus isi jalur yang ditentukan oleh argumen output opsionalMasalah: Anda menerima galat saat menjalankan alat konfigurasikan SDK 5 menggunakan --cluster-id argumen di lingkungan kontainer

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Masalah yang diketahui untuk semua instans HSM

Isu-isu berikut berdampak pada semua pengguna AWS CloudHSM terlepas dari apakah mereka menggunakan alat baris perintah key_mgmt_util, SDK PKCS #11, SDK JCE, atau SDK OpenSSL.

Masalah: Pembungkus kunci AES menggunakan bantalan PKCS #5 alih-alih menyediakan implementasi patuh standar pembungkus kunci dengan bantalan nol

Selain itu, pembungkus kunci tanpa bantalan dan bantalan nol tidak didukung.

  • Dampak: Tidak ada dampak jika Anda membungkus dan membuka menggunakan algoritme ini dalam AWS CloudHSM. Namun, kunci yang dibungkus dengan AWS CloudHSM tidak dapat dibuka dalam HSM lain atau perangkat lunak yang mengharapkan kepatuhan terhadap spesifikasi tanpa bantalan. Hal ini karena delapan byte bantalan data mungkin ditambahkan ke akhir data kunci Anda selama pembukaan patuh standar. Kunci yang dibungkus secara eksternal tidak dapat dibuka dengan benar ke dalam instans AWS CloudHSM.

  • Pemecahan masalah: Untuk membuka kunci eksternal yang dibungkus dengan Pembungkus Kunci AES dengan Bantalam PKCS #5 pada instans AWS CloudHSM, strip bantalan ekstra sebelum Anda mencoba untuk menggunakan kunci. Anda dapat melakukan ini dengan pemangkasan byte tambahan dalam editor file atau menyalin hanya byte kunci ke penyangga baru dalam kode Anda.

  • Status resolusi: Dengan rilis perangkat lunak dan klien 3.1.0, AWS CloudHSM menyediakan opsi yang sesuai standar untuk pembungkus kunci AES. Untuk informasi selengkapnya, lihat Pembungkus Kunci AES.

Masalah: Daemon klien memerlukan setidaknya satu alamat IP yang valid dalam file konfigurasi untuk berhasil menyambung ke klaster

  • Dampak: Jika Anda menghapus setiap HSM di klaster Anda dan kemudian menambahkan HSM lain, yang mendapat alamat IP baru, daemon klien terus mencari HSM Anda di alamat IP asli mereka.

  • Solusi: Jika Anda menjalankan beban kerja intermiten, kami sarankan Anda menggunakan IpAddress argumen dalam CreateHsmfungsi untuk mengatur antarmuka jaringan elastis (ENI) ke nilai aslinya. Perhatikan bahwa ENI khusus untuk Availability Zone (AZ). Alternatifnya adalah menghapus file /opt/cloudhsm/daemon/1/cluster.info dan kemudian mengatur ulang konfigurasi klien ke alamat IP HSM baru Anda. Anda dapat menggunakan perintah client -a <IP address>. Untuk informasi selengkapnya, lihat Menginstal dan Mengonfigurasi Klien AWS CloudHSM (Linux)atau Menginstal dan Mengonfigurasi Klien AWS CloudHSM (Windows).

Masalah: Ada batas atas 16 KB pada data yang dapat di-hash dan ditandatangani olehAWS CloudHSM

  • Status resolusi: Data kurang dalam ukuran dari 16 KB terus dikirim ke HSM untuk hashing. Kami telah menambahkan kemampuan untuk hash lokal, dalam perangkat lunak, data dalam ukuran antara 16 KB dan 64 KB. Klien dan SDK secara eksplisit akan gagal jika penyangga data lebih besar dari 64 KB. Anda harus memperbarui klien dan SDK ke versi 1.1.1 atau lebih tinggi untuk mendapatkan manfaat dari perbaikan.

Masalah: Kunci yang diimpor tidak dapat ditetapkan sebagai tidak dapat diekspor

  • Status Resolusi: Masalah ini telah diperbaiki. Tidak ada tindakan yang diperlukan dari pihak Anda untuk mendapatkan manfaat dari perbaikan.

Masalah: Mekanisme default untuk WrapKey dan unWrapKey perintah di key_mgmt_util telah dihapus

  • Resolusi: Saat menggunakan wrapKey atau unWrapKey perintah, Anda harus menggunakan -m opsi untuk menentukan mekanisme. Lihat contoh di WrapKey atau unWrapKeyartikel untuk informasi selengkapnya.

Masalah: Jika Anda memiliki satu HSM di klaster Anda, failover HSM tidak bekerja dengan benar

  • Dampak: Jika instans HSM tunggal di klaster Anda kehilangan konektivitas, klien tidak akan menyambung kembali dengan itu bahkan jika instans HSM kemudian dipulihkan.

  • Pemecahan masalah: Kami merekomendasikan setidaknya dua instans HSM di setiap klaster produksi. Jika Anda menggunakan konfigurasi ini, Anda tidak akan terpengaruh oleh masalah ini. Untuk klaster HSM tunggal, pentalkan daemon klien untuk memulihkan konektivitas.

  • Status resolusi: Masalah ini telah diselesaikan dalam rilis AWS CloudHSM klien 1.1.2. Anda harus meningkatkan ke klien ini untuk mendapatkan manfaat dari perbaikan.

Masalah: Jika Anda melebihi kapasitas kunci HSM di klaster Anda dalam waktu singkat, klien memasuki keadaan galat yang tidak tertangani

  • Dampak: Ketika klien bertemu status galat tidak tertangani, klien akan membeku dan harus dimulai ulang.

  • Pemecahan masalah: Uji throughput Anda untuk memastikan Anda tidak membuat kunci sesi pada tingkat yang klien tidak mampu menanganinya. Anda dapat menurunkan tingkat Anda dengan menambahkan HSM ke klaster atau memperlambat pembuatan kunci sesi.

  • Status resolusi: Masalah ini telah diselesaikan dalam rilis AWS CloudHSM klien 1.1.2. Anda harus meningkatkan ke klien ini untuk mendapatkan manfaat dari perbaikan.

Masalah: Operasi digest dengan kunci HMAC ukuran lebih besar dari 800 byte tidak didukung

  • Dampak: Kunci HMAC lebih besar dari 800 byte dapat dihasilkan pada atau diimpor ke HSM. Namun, jika Anda menggunakan kunci yang lebih besar ini dalam operasi digest melalui JCE atau key_mgmt_util, operasi akan gagal. Perhatikan bahwa jika Anda menggunakan PKCS11, kunci HMAC terbatas pada ukuran 64 byte.

  • Pemecahan masalah: Jika Anda akan menggunakan kunci HMAC untuk operasi digest pada HSM, pastikan ukurannya lebih kecil dari 800 byte.

  • Status resolusi: Tidak ada saat ini.

Masalah: Alat client_info, didistribusikan dengan SDK Klien 3, menghapus isi jalur yang ditentukan oleh argumen output opsional

  • Dampak: Semua file yang ada dan sub-direktori di bawah jalur output yang ditentukan mungkin hilang secara permanen.

  • Pemecahan masalah: Jangan gunakan argumen opsional -output path saat menggunakan alat client_info.

  • Status resolusi: Masalah ini telah diatasi di rilis SDK Klien 3.3.2. Anda harus meningkatkan ke klien ini untuk mendapatkan manfaat dari perbaikan.

Masalah: Anda menerima galat saat menjalankan alat konfigurasikan SDK 5 menggunakan --cluster-id argumen di lingkungan kontainer

Anda menerima galat berikut saat menggunakan argumen --cluster-id dengan Configure Tool:

No credentials in the property bag

Kesalahan ini disebabkan oleh pembaruan ke Instance Metadata Service Version 2 (IMDSv2). Untuk informasi selengkapnya, lihat dokumentasi IMDSv2.

  • Dampak: Masalah ini akan memengaruhi pengguna yang menjalankan alat konfigurasi pada SDK versi 5.5.0 dan yang lebih baru di lingkungan dalam kontainer dan menggunakan metadata instans EC2 untuk memberikan kredensyal.

  • Solusi: Tetapkan batas hop respons PUT ke setidaknya dua. untuk panduan tentang cara melakukannya, lihat Mengkonfigurasi opsi metadata instance.