Problemi noti per tutte le istanze HSM - AWS CloudHSM
Problema: il wrapping della chiave AES utilizza il riempimento PKCS #5 invece di fornire un'implementazione conforme agli standard del wrapping della chiave con riempimento a zeriProblema: il daemon del client richiede almeno un indirizzo IP valido nel suo file di configurazione per la corretta connessione al clusterProblema: esiste un limite massimo di 16 KB sui dati che possono essere sottoposti a hashing e firma da parte di AWS CloudHSMProblema: non è stato possibile specificare le chiavi importate come non esportabiliProblema: il meccanismo predefinito per WrapKey unWrapKey e i comandi in key_mgmt_util è stato rimossoProblema: se si dispone di un singolo HSM nel cluster, il failover non funziona correttamenteProblema: se si supera la capacità della chiave per gli HSM nel cluster all'interno di un breve periodo di tempo, il client immette un errore non gestitoProblema: le operazioni digest con le chiavi HMAC di dimensioni superiori a 800 byte non sono supportateProblema: lo strumento client_info distribuito con Client SDK 3 elimina il contenuto del percorso specificato dall'argomento di output opzionaleProblema: viene visualizzato un errore durante l'esecuzione dello strumento di configurazione SDK 5 utilizzando l'argomento --cluster-id in ambienti containerizzati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Problemi noti per tutte le istanze HSM

I seguenti problemi hanno un impatto su tutti gli utenti di AWS CloudHSM a prescindere dall'uso dello strumento a riga di comando key_mgmt_util, dell'SDK PKCS #11, dell'SDK JCE o dell'SDK OpenSSL.

Problema: il wrapping della chiave AES utilizza il riempimento PKCS #5 invece di fornire un'implementazione conforme agli standard del wrapping della chiave con riempimento a zeri

Inoltre, il wrapping della chiave senza riempimento e riempimento a zeri non è supportato.

  • Impatto: non è previsto alcun impatto in caso di wrapping e annullamento del wrapping mediante questo algoritmo all'interno di AWS CloudHSM. Tuttavia, il wrapping delle chiavi con AWS CloudHSM non può essere annullato all'interno di altri HSM o del software che necessita di conformità alla specifica di non riempimento. Questo perché otto byte di dati di riempimento potrebbero essere aggiunti alla fine dei dati della chiave durante un wrapping conforme agli standard. Il wrapping esterno delle chiavi non può essere annullato correttamente in un'istanza AWS CloudHSM.

  • Soluzione: per annullare esternamente il wrapping di una chiave eseguito con wrapping della chiave AES con riempimento PKCS #5 su un'istanza AWS CloudHSM, eliminare il riempimento supplementare prima di tentare di utilizzare la chiave. Per farlo, è possibile tagliare i byte supplementari in un editor di file o copiare solo i byte della chiave in un nuovo buffer nel codice.

  • Stato della risoluzione: con il client 3.1.0 e la versione software, AWS CloudHSM fornisce opzioni conformi agli standard per il wrapping delle chiavi AES. Per ulteriori informazioni, vedi wrapping delle chiavi AES.

Problema: il daemon del client richiede almeno un indirizzo IP valido nel suo file di configurazione per la corretta connessione al cluster

  • Impact: (Impatto) se si elimina ogni HSM nel cluster e si aggiunge poi un altro HSM, che ottiene un nuovo indirizzo IP, il daemon del client continua a cercare gli HSM ai loro indirizzi IP originali.

  • Soluzione alternativa: se si esegue un carico di lavoro intermittente, si consiglia di utilizzare l'IpAddressargomento nella CreateHsmfunzione per impostare l'elastic network interface (ENI) sul valore originale. Si noti che l'ENI è specifica per una zona di disponibilità (AZ). In alternativa, è possibile eliminare il file /opt/cloudhsm/daemon/1/cluster.info e quindi reimpostare la configurazione del client sull'indirizzo IP del nuovo HSM. È possibile utilizzare il comando client -a <IP address>. Per ulteriori informazioni, consulta Installare e configurare il client AWS CloudHSM (Linux) o Installare e configurare il client AWS CloudHSM (Windows).

Problema: esiste un limite massimo di 16 KB sui dati che possono essere sottoposti a hashing e firma da parte di AWS CloudHSM

  • Resolution status (Stato di risoluzione): i dati di dimensioni inferiori ai 16 KB continuano a essere inviati all'HSM per l'hashing. Abbiamo aggiunto la capacità che consente di eseguire l'hashing in locale, nel software, per i dati di dimensioni comprese tra 16 KB e 64 KB. Il client e gli SDK restituiranno esplicitamente un errore se i dati buffer sono di dimensioni superiori a 64 KB. Per trarre vantaggio dalla correzione, è necessario aggiornare il client e gli SDK alla versione 1.1.1 o successiva.

Problema: non è stato possibile specificare le chiavi importate come non esportabili

  • Resolution Status (Stato di risoluzione): questo problema è stato risolto. Per trarre vantaggio dalla correzione non è richiesta alcuna operazione.

Problema: il meccanismo predefinito per WrapKey unWrapKey e i comandi in key_mgmt_util è stato rimosso

  • Risoluzione: quando si utilizza WrapKey unWrapKey o i comandi, è necessario utilizzare l'opzione per -m specificare il meccanismo. Vedi gli esempi in WrapKey unWrapKeyo negli articoli per maggiori informazioni.

Problema: se si dispone di un singolo HSM nel cluster, il failover non funziona correttamente

  • Impatto: se la singola istanza HSM nel cluster perde la connettività, il client si non riconnette con essa anche se l'istanza HSM viene successivamente ripristinata.

  • Soluzione. consigliamo almeno due istanze HSM in tutti i cluster di produzione. Se si utilizza questa configurazione, non verrà riscontrato questo problema. Per i cluster HSM singoli, non recapitare il daemon del client per ripristinare la connettività.

  • Stato della risoluzione: questo problema è stato risolto nella versione 1.1.2 del client AWS CloudHSM. È necessario effettuare l'upgrade a questo client per sfruttare i vantaggi offerti dalla soluzione.

Problema: se si supera la capacità della chiave per gli HSM nel cluster all'interno di un breve periodo di tempo, il client immette un errore non gestito

  • Impatto: quando il client incontra l'errore non gestito, si blocca e deve essere riavviato.

  • Soluzione. prova il throughput per garantire che non vengono cerate chiavi di sessione a una velocità che il client non è in grado di gestire. È possibile ridurre la velocità aggiungendo un HSM al cluster o rallentando la creazione di chiavi di sessione.

  • Stato della risoluzione: questo problema è stato risolto nella versione 1.1.2 del client AWS CloudHSM. È necessario effettuare l'upgrade a questo client per sfruttare i vantaggi offerti dalla soluzione.

Problema: le operazioni digest con le chiavi HMAC di dimensioni superiori a 800 byte non sono supportate

  • Impatto: le chiavi HMAC di dimensioni superiori a 800 byte possono essere generate o importate in HSM. Tuttavia, se si utilizza questa chiave di dimensioni maggiori in un'operazione digest tramite JCE o key_mgmt_util, l'operazione avrà esito negativo. Si noti che se si sta utilizzando PKCS11, le chiavi HMAC possono raggiungere al massimo una dimensione di 64 byte.

  • Soluzione. se si utilizzano le chiavi HMAC per le operazioni digest su HSM, assicurarsi che la dimensione sia inferiore a 800 byte.

  • Stato risoluzione: nessuno in questo momento.

Problema: lo strumento client_info distribuito con Client SDK 3 elimina il contenuto del percorso specificato dall'argomento di output opzionale

  • Impatto: tutti i file e le sottodirectory esistenti nel percorso di output specificato potrebbero andare persi definitivamente.

  • Soluzione alternativa: non utilizzare l'argomento opzionale -output path quando si utilizza lo strumento client_info.

  • Stato della risoluzione: questo problema è stato risolto nella versione 3.3.2 dell'SDK del client. È necessario effettuare l'upgrade a questo client per sfruttare i vantaggi offerti dalla soluzione.

Problema: viene visualizzato un errore durante l'esecuzione dello strumento di configurazione SDK 5 utilizzando l'argomento --cluster-id in ambienti containerizzati

Quando utilizzi l'argomento --cluster-id con lo strumento di configurazione, viene visualizzato l'errore seguente:

No credentials in the property bag

Questo errore è causato da un aggiornamento alla versione 2 di Instance Metadata Service (IMDSv2). Per ulteriori informazioni, consulta la documentazione di IMDSv2.

  • Impatto: questo problema si ripercuoterà sugli utenti che eseguono lo strumento di configurazione nelle versioni 5.5.0 e successive dell'SDK in ambienti containerizzati e che utilizzano i metadati dell'istanza EC2 per fornire le credenziali.

  • Soluzione alternativa: imposta il limite di hop di risposta PUT ad almeno due. Per le indicazioni su come eseguire questa operazione, consulta la pagina Configurazione delle opzioni dei metadati dell'istanza.