Masalah: Anda tidak dapat menginstal AWS CloudHSM OpenSSL Dynamic Engine pada RHEL 6 dan CentOS6 Masalah: Hanya pembongkaran RSA ke HSM yang didukung secara default Masalah: Enkripsi dan dekripsi RSA dengan bantalan OAEP menggunakan kunci pada HSM tidak didukung Masalah: Hanya pembuatan kunci privat RSA dan kunci ECC yang dibongkar ke HSM Masalah: Anda tidak dapat menginstal OpenSSL Dynamic Engine untuk SDK Klien 3 pada RHEL 8, CentOS 8, atau Ubuntu 18.04 LTS Masalah: SHA-1 Menandatangani dan Verifikasi penghentian pada RHEL 9 (9.2+)Masalah: AWS CloudHSM OpenSSL Dynamic Engine tidak kompatibel dengan penyedia FIPS untuk OpenSSL v3.x

Masalah yang diketahui untuk OpenSSL Dynamic Engine

Ini adalah masalah yang diketahui untuk OpenSSL Dynamic Engine

Topik

Masalah: Anda tidak dapat menginstal AWS CloudHSM OpenSSL Dynamic Engine pada RHEL 6 dan CentOS6
Masalah: Hanya pembongkaran RSA ke HSM yang didukung secara default
Masalah: Enkripsi dan dekripsi RSA dengan bantalan OAEP menggunakan kunci pada HSM tidak didukung
Masalah: Hanya pembuatan kunci privat RSA dan kunci ECC yang dibongkar ke HSM
Masalah: Anda tidak dapat menginstal OpenSSL Dynamic Engine untuk SDK Klien 3 pada RHEL 8, CentOS 8, atau Ubuntu 18.04 LTS
Masalah: SHA-1 Menandatangani dan Verifikasi penghentian pada RHEL 9 (9.2+)
Masalah: AWS CloudHSM OpenSSL Dynamic Engine tidak kompatibel dengan penyedia FIPS untuk OpenSSL v3.x

Masalah: Anda tidak dapat menginstal AWS CloudHSM OpenSSL Dynamic Engine pada RHEL 6 dan CentOS6

Dampak: OpenSSL Dynamic Engine hanya mendukung OpenSSL 1.0.2 [f+]. Secara default, RHEL 6 dan CentOS 6 hadir dengan OpenSSL 1.0.1.
Pemecahan masalah: Tingkatkan pustaka OpenSSL pada RHEL 6 dan CentOS 6 ke versi 1.0.2[f+].

Masalah: Hanya pembongkaran RSA ke HSM yang didukung secara default

Dampak: Untuk memaksimalkan performa, SDK tidak dikonfigurasi untuk membongkar fungsi tambahan seperti pembuatan nomor acak atau operasi EC-DH.
Pemecahan masalah: Silakan hubungi kami melalui kasus dukungan jika Anda perlu membongkar operasi tambahan.
Status resolusi: Kami menambahkan dukungan ke SDK untuk mengatur konfigurasi opsi pembongkaran melalui file konfigurasi. Pembaruan akan diumumkan di halaman riwayat versi setelah tersedia.

Masalah: Enkripsi dan dekripsi RSA dengan bantalan OAEP menggunakan kunci pada HSM tidak didukung

Dampak: Setiap panggilan ke enkripsi dan dekripsi RSA dengan padding OAEP gagal dengan kesalahan. divide-by-zero Hal ini terjadi karena mesin dinamis OpenSSL memanggil operasi secara lokal menggunakan file PEM palsu, bukan membongkar operasi ke HSM.
Pemecahan masalah: Anda dapat melakukan prosedur ini dengan menggunakan Pustaka PKCS #11 atau Penyedia JCE.
Status resolusi: Kami menambahkan dukungan ke SDK untuk membongkar dengan benar operasi ini. Pembaruan akan diumumkan di halaman riwayat versi setelah tersedia.

Masalah: Hanya pembuatan kunci privat RSA dan kunci ECC yang dibongkar ke HSM

Untuk jenis kunci lainnya, mesin AWS CloudHSM OpenSSL tidak digunakan untuk pemrosesan panggilan. Mesin OpenSSL lokal digunakan sebagai gantinya. Ini menghasilkan kunci secara lokal dalam perangkat lunak.

Dampak: Karena failover diam, ada tidak ada indikasi bahwa Anda belum menerima kunci yang aman dihasilkan pada HSM. Anda akan melihat jejak output yang berisi string "...........++++++" jika kunci dihasilkan secara lokal oleh OpenSSL dalam perangkat lunak. Jejak ini tidak ada saat operasi dibongkar ke HSM. Karena kunci tidak dihasilkan atau disimpan di HSM, kunci akan tidak tersedia untuk penggunaan di masa mendatang.
Pemecahan masalah: Hanya gunakan mesin OpenSSL untuk jenis kunci yang didukungnya. Untuk semua jenis kunci lainnya, gunakan PKCS #11 atau JCE dalam aplikasi, atau gunakan key_mgmt_util di CLI.

Masalah: Anda tidak dapat menginstal OpenSSL Dynamic Engine untuk SDK Klien 3 pada RHEL 8, CentOS 8, atau Ubuntu 18.04 LTS

Dampak: Secara default, RHEL 8, CentOS 8, dan Ubuntu 18.04 LTS mengirimkan versi OpenSSL yang tidak kompatibel dengan OpenSSL Dynamic Engine untuk SDK Klien 3.
Pemecahan masalah: Gunakan platform Linux yang menyediakan dukungan untuk OpenSSL Dynamic Engine. Untuk informasi selengkapnya tentang platform yang didukung, lihat Platform yang Didukung.
Status resolusi: AWS CloudHSM mendukung platform ini dengan OpenSSL Dynamic Engine untuk Client SDK 5. Untuk informasi selengkapnya, lihat Platform yang Didukung dan OpenSSL Dynamic Engine.

Masalah: SHA-1 Menandatangani dan Verifikasi penghentian pada RHEL 9 (9.2+)

Dampak: Penggunaan intisari pesan SHA-1 untuk tujuan kriptografi tidak digunakan lagi di RHEL 9 (9.2+). Akibatnya, tanda tangani dan verifikasi operasi dengan SHA-1 menggunakan OpenSSL Dynamic Engine akan gagal.
Solusi: Jika skenario Anda memerlukan penggunaan SHA-1 untuk menandatangi/memverifikasi tanda tangan kriptografi yang ada atau pihak ketiga, lihat Meningkatkan Keamanan RHEL: Memahami penghentian SHA-1 pada RHEL 9 (9.2+) dan RHEL 9 (9.2+) Catatan Rilis untuk detail lebih lanjut.

Masalah: AWS CloudHSM OpenSSL Dynamic Engine tidak kompatibel dengan penyedia FIPS untuk OpenSSL v3.x

Dampak: Anda akan menerima kesalahan jika Anda mencoba menggunakan AWS CloudHSM OpenSSL Dynamic Engine ketika penyedia FIPS diaktifkan untuk OpenSSL versi 3.x.
Solusi: Untuk menggunakan OpenSSL Dynamic Engine dengan AWS CloudHSM OpenSSL versi 3.x, pastikan bahwa penyedia “default” dikonfigurasi. Baca selengkapnya tentang penyedia default di Situs Web OpenSSL.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Masalah yang diketahui untuk JCE SDK

Masalah yang diketahui untuk instans Amazon EC2 yang menjalankan Amazon Linux 2