Notifiche di deprecazione

Di tanto in tanto, AWS CloudHSM può rendere obsolete le funzionalità per rimanere conformi ai requisiti di FIPS 140, PCI-DSS, PCI-PIN, PCI-3DS e SOC2. Questa pagina elenca le modifiche attualmente in vigore.

Conformità FIPS 140: meccanismo di deprecazione 2024

Il National Institute of Standards and Technology (NIST) ¹ segnala che il supporto per la crittografia Triple DES (DeSede, 3DES, DES3) e la funzione RSA di wrapping e unwrapping delle chiavi con PKCS #1 v1.5 non sarà consentito dopo il 31 dicembre 2023. Pertanto, il supporto per questi sistemi cesserà il 1° gennaio 2024 nelle nostre istanze conformi al Federal Information Processing Standard (FIPS).

Questa guida si applica alle seguenti operazioni crittografiche:

• Generazione di chiavi Triple DES

  • CKM_DES3_KEY_GEN per la libreria PKCS #11

  • DESede generazione di chiavi per il provider JCE

  • genSymKey con -t=21 per la KMU

• Crittografia con chiavi Triple DES (nota: sono consentite operazioni di decifrazione)

  • Per la libreria PKCS #11: crittografare CKM_DES3_CBC, crittografare CKM_DES3_CBC_PAD e crittografare CKM_DES3_ECB

  • Per il provider JCE: crittografare DESede/CBC/PKCS5Padding, crittografare DESede/CBC/NoPadding, crittografare DESede/ECB/Padding e crittografare DESede/ECB/NoPadding

• Wrap, unwrap, crittografa e decifrazione RSA delle chiavi con il padding PKCS #1 v1.5

  • CKM_RSA_PKCS wrap, unwrap, crittografa e decifrazione per l'SDK PKCS #11

  • RSA/ECB/PKCS1Padding wrap, unwrap, crittografa e decrittografa per JCE SDK

  • wrapKey e unWrapKey con -m 12 per la KMU (nota: 12 è il valore del meccanismo RSA_PKCS)

[1] Per i dettagli su questa modifica, fai riferimento alla Tabella 1 e alla Tabella 5 in Transizione nell'uso degli algoritmi crittografici e della lunghezza delle chiavi.