Masalah yang diketahui untuk semua HSM contoh - AWS CloudHSM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Masalah yang diketahui untuk semua HSM contoh

Masalah berikut memengaruhi semua AWS CloudHSM pengguna terlepas dari apakah mereka menggunakan alat baris perintah key_mgmt_util, PKCS #11SDK, the, atau Open. JCE SDK SSL SDK

Masalah: pembungkus AES kunci menggunakan bantalan PKCS #5 alih-alih menyediakan implementasi pembungkus kunci yang sesuai standar dengan bantalan nol

Selain itu, pembungkus kunci tanpa bantalan dan bantalan nol tidak didukung.

  • Dampak: Tidak ada dampak jika Anda membungkus dan membuka bungkusnya menggunakan algoritme ini di dalamnya AWS CloudHSM. Namun, kunci yang dibungkus AWS CloudHSM tidak dapat dibuka dalam perangkat lunak lain HSMs atau yang mengharapkan kepatuhan terhadap spesifikasi tanpa padding. Hal ini karena delapan byte bantalan data mungkin ditambahkan ke akhir data kunci Anda selama pembukaan patuh standar. Kunci yang dibungkus secara eksternal tidak dapat dibuka dengan benar ke dalam sebuah instance. AWS CloudHSM

  • Solusi: Untuk membuka kunci yang dibungkus dengan Key Wrap dengan PKCS #5 Padding pada HSM instance AWS Cloud, hapus padding tambahan sebelum Anda mencoba menggunakan AES kunci tersebut. Anda dapat melakukan ini dengan pemangkasan byte tambahan dalam editor file atau menyalin hanya byte kunci ke penyangga baru dalam kode Anda.

  • Status resolusi: Dengan rilis klien dan perangkat lunak 3.1.0, AWS CloudHSM menyediakan opsi yang sesuai standar untuk pembungkus kunci. AES Untuk informasi selengkapnya, lihat Pembungkus AES Kunci.

Masalah: Daemon klien memerlukan setidaknya satu alamat IP yang valid dalam file konfigurasi untuk berhasil menyambung ke klaster

  • Dampak: Jika Anda menghapus setiap HSM cluster Anda dan kemudian menambahkan yang lainHSM, yang mendapat alamat IP baru, daemon klien terus mencari Anda HSMs di alamat IP asli mereka.

  • Solusi: Jika Anda menjalankan beban kerja intermiten, kami sarankan Anda menggunakan IpAddress argumen dalam CreateHsmfungsi untuk mengatur elastic network interface () ENI ke nilai aslinya. Catatan selain khusus ENI untuk Availability Zone (AZ). Alternatifnya adalah menghapus /opt/cloudhsm/daemon/1/cluster.info file dan kemudian mengatur ulang konfigurasi klien ke alamat IP baru AndaHSM. Anda dapat menggunakan perintah client -a <IP address>. Untuk informasi selengkapnya, lihat Menginstal dan Mengkonfigurasi AWS CloudHSM Klien (Linux) atau Menginstal dan Mengkonfigurasi AWS CloudHSM Klien (Windows).

Masalah: Ada batas atas 16 KB pada data yang dapat di-hash dan ditandatangani dengan AWS CloudHSM menggunakan Klien SDK 3

  • Status resolusi: Data berukuran kurang dari 16KB terus dikirim ke HSM untuk hashing. Kami telah menambahkan kemampuan untuk hash lokal, dalam perangkat lunak, data dalam ukuran antara 16 KB dan 64 KB. Klien SDK 5 secara eksplisit akan gagal jika buffer data lebih besar dari 64KB. Anda harus memperbarui klien Anda dan SDK (s) ke versi yang lebih besar dari 5.0.0 atau lebih tinggi untuk mendapatkan keuntungan dari perbaikan.

Masalah: Kunci yang diimpor tidak dapat ditetapkan sebagai tidak dapat diekspor

  • Status Resolusi: Masalah ini telah diperbaiki. Tidak ada tindakan yang diperlukan dari pihak Anda untuk mendapatkan manfaat dari perbaikan.

Masalah: Mekanisme default untuk unWrapKey perintah wrapKey dan di key_mgmt_util telah dihapus

  • Resolusi: Saat menggunakan unWrapKey perintah wrapKey or, Anda harus menggunakan -m opsi untuk menentukan mekanisme. Lihat contoh di wrapKeyatau unWrapKeyartikel untuk informasi lebih lanjut.

Masalah: Jika Anda memiliki satu HSM di cluster Anda, HSM failover tidak berfungsi dengan benar

  • Dampak: Jika HSM instans tunggal di klaster Anda kehilangan konektivitas, klien tidak akan terhubung kembali dengannya meskipun HSM instance tersebut kemudian dipulihkan.

  • Solusi: Kami merekomendasikan setidaknya dua HSM instance di klaster produksi apa pun. Jika Anda menggunakan konfigurasi ini, Anda tidak akan terpengaruh oleh masalah ini. Untuk HSM cluster tunggal, pantulkan daemon klien untuk memulihkan konektivitas.

  • Status resolusi: Masalah ini telah diselesaikan dalam rilis 1.1.2 AWS CloudHSM klien. Anda harus meningkatkan ke klien ini untuk mendapatkan manfaat dari perbaikan.

Masalah: Jika Anda melebihi kapasitas kunci di cluster Anda HSMs dalam waktu singkat, klien memasuki status kesalahan yang tidak tertangani

  • Dampak: Ketika klien bertemu status galat tidak tertangani, klien akan membeku dan harus dimulai ulang.

  • Pemecahan masalah: Uji throughput Anda untuk memastikan Anda tidak membuat kunci sesi pada tingkat yang klien tidak mampu menanganinya. Anda dapat menurunkan tarif Anda dengan menambahkan HSM ke cluster atau memperlambat pembuatan kunci sesi.

  • Status resolusi: Masalah ini telah diselesaikan dalam rilis 1.1.2 AWS CloudHSM klien. Anda harus meningkatkan ke klien ini untuk mendapatkan manfaat dari perbaikan.

Masalah: Operasi intisari dengan HMAC kunci berukuran lebih besar dari 800 byte tidak didukung

  • Dampak: HMAC kunci yang lebih besar dari 800 byte dapat dihasilkan atau diimpor ke file. HSM Namun, jika Anda menggunakan kunci yang lebih besar ini dalam operasi digest melalui JCE atau key_mgmt_util, operasi akan gagal. Perhatikan bahwa jika Anda menggunakanPKCS11, HMAC kunci terbatas pada ukuran 64 byte.

  • Solusi: Jika Anda akan menggunakan HMAC kunci untuk operasi intisari padaHSM, pastikan ukurannya lebih kecil dari 800 byte.

  • Status resolusi: Tidak ada saat ini.

Masalah: Alat client_info, didistribusikan dengan Klien SDK 3, menghapus isi jalur yang ditentukan oleh argumen keluaran opsional

  • Dampak: Semua file yang ada dan sub-direktori di bawah jalur output yang ditentukan mungkin hilang secara permanen.

  • Pemecahan masalah: Jangan gunakan argumen opsional -output path saat menggunakan alat client_info.

  • Status resolusi: Masalah ini telah diselesaikan dalam rilis Klien SDK 3.3.2. Anda harus meningkatkan ke klien ini untuk mendapatkan manfaat dari perbaikan.

Masalah: Anda menerima kesalahan saat menjalankan alat konfigurasi SDK 5 menggunakan --cluster-id argumen di lingkungan kontainer

Anda menerima kesalahan berikut saat menggunakan argumen --cluster-id dengan Configure Tool:

No credentials in the property bag

Kesalahan ini disebabkan oleh pembaruan ke Layanan Metadata Instans Versi 2 ()IMDSv2. Untuk informasi lebih lanjut, lihat IMDSv2dokumentasi.

  • Dampak: Masalah ini akan memengaruhi pengguna yang menjalankan alat konfigurasi pada SDK versi 5.5.0 dan yang lebih baru di lingkungan kontainer dan memanfaatkan metadata EC2 instance untuk memberikan kredensyal.

  • Solusi: Setel batas hop PUT respons menjadi setidaknya dua. untuk panduan tentang cara melakukannya, lihat Mengonfigurasi opsi metadata instance.

Masalah: Anda menerima kesalahan “Gagal membuat sertifikat/kunci dari file pfx yang disediakan. Kesalahan: NotPkcs 8”

  • Dampak: SDK 5.11.0 pengguna yang mengkonfigurasi ulang SSL dengan sertifikat dan kunci pribadi akan gagal jika kunci pribadi mereka tidak dalam format. PKCS8

  • Solusi: Anda dapat mengonversi kunci SSL pribadi khusus ke PKCS8 format dengan perintah openssl: openssl pkcs8 -topk8 -inform PEM -outform PEM -in ssl_private_key -out ssl_private_key_pkcs8

  • Status resolusi: Masalah ini telah diselesaikan dalam rilis klien SDK 5.12.0. Anda harus meningkatkan ke versi klien ini atau yang lebih baru untuk mendapatkan keuntungan dari perbaikan.