すべての HSM インスタンスの既知の問題

以下の問題は、key_mgmt_util コマンドラインツール、PKCS #11 SDK、JCE SDK、OpenSSL SDK のいずれを使用しているかにかかわらず、すべての AWS CloudHSM ユーザーに影響します。

[問題]: AESキーラッピングでは、ゼロパディング付きのキーラップのスタンダード準拠の実装を提供する代わりに、PKCS#5 パディングを使用します

さらに、パディングなしおよびゼロパディングありのキーラップはサポートされていません。

• 影響: 内でこのアルゴリズムを使用してラップおよびアンラップしても、影響はありません AWS CloudHSM。ただし、 でラップされたキーは、ノーパディング仕様への準拠が予想される他の HSMs またはソフトウェア内でラップ解除 AWS CloudHSM することはできません。これは、標準に準拠したラップ解除中に、8 バイトのパディングデータがキーデータの最後に追加される可能性があるためです。外部でラップされたキーを AWS CloudHSM インスタンスに適切にラップ解除することはできません。

• 回避策: AWS CloudHSM インスタンスで PKCS #5 パディングありの AES キーラップを使用してラップされたキーを外部でラップ解除するには、キーを使用する前に余分なパディングを省きます。これを行うには、ファイルエディターで余分なバイトをトリミングするか、コード内の新しいバッファにキーバイトだけをコピーします。

• 解決策のステータス: 3.1.0 クライアントおよびソフトウェアリリースで、 AWS CloudHSM に AES キーラップの標準に準拠したオプションが用意されています。詳細については、「AES キーラップ」を参照してください。

問題: クライアントデーモンがクラスターに正常に接続には、その設定ファイル少なくとも 1 つの有効な IP アドレスが必要です

• 影響: クラスター内のすべての HSM を削除し、新しい IP アドレスを取得する別の HSM を追加した場合、クライアントデーモンは元の IP アドレスで HSM を検索し続けます。

• 回避策: 断続的なワークロードを実行する場合は、 CreateHsm関数の IpAddress引数を使用して、Elastic Network Interface (ENI) を元の値に設定することをお勧めします。ENI はアベイラビリティーゾーン (AZ) に固有である点に注意してください。代わりに、/opt/cloudhsm/daemon/1/cluster.info ファイルを削除した後、新しい HSM クライアントの IP アドレスにクライアント設定をリセットできます。client -a <IP address> コマンドを使用できます。詳細については、「クライアントのインストールと設定 AWS CloudHSM (Linux)」またはAWS CloudHSM 「クライアントのインストールと設定 (Windows)」を参照してください。

問題: Client SDK 3 AWS CloudHSM を使用してハッシュ化および署名できるデータには 16 KB の上限がありました

• 解決策のステータス: サイズが 16 KB 未満のデータは、ハッシュ用に引き続き HSM に送信されます。16～64 KB のサイズのデータをローカルやソフトウェアでハッシュする機能が追加されました。データバッファが 64KB を超える場合、クライアント SDK 5 は明示的に失敗します。修正を利用するには、クライアントと SDK (5.0.0 以降のバージョン) を更新する必要があります。

問題: インポートされたキーをエクスポート不可として指定できませんでした

• 解決策のステータス: この問題は修正されています。修正を反映させるためにお客様側で必要なアクションはありません。

問題: key_mgmt_util の wrapKey コマンドと unWrapKey コマンドのデフォルトのメカニズムが削除されました

• 解決策: wrapKey または unWrapKey コマンドを使用する場合は、 -mオプションを使用してメカニズムを指定する必要があります。詳細については、 wrapKey または unWrapKey 記事の例を参照してください。

問題: クラスターに HSM が 1 つしかない場合、HSM フェイルオーバーが正しく動作しません

• 影響: クラスター内に 1 つしかない HSM インスタンスの接続が失われると、後で回復しても、クライアントはインスタンスに再接続しません。

• 回避方法: 本番稼働用クラスターに少なくとも 2 つの HSM インスタンスを用意することをお勧めします。この構成を使用すれば、この問題の影響を受けません。HSM が 1 つしかないクラスターの場合、クライアントデーモンをバウンスして接続を復元します。

• 解決策のステータス: この問題は、 AWS CloudHSM クライアント 1.1.2 のリリースで解決されています。修正のメリットを享受するには、このクライアントにアップグレードする必要があります。

問題: クラスター内の HSM のキー容量を短期間で超えた場合、クライアントが処理されないエラー状態に陥ります

• 影響: クライアントが処理されないエラー状態になると、フリーズし、再起動が必要になります。

• 回避方法: スループットをテストして、クライアントが処理できない速さでセッションキーを作成していないか、確認します。速さを落とすには、クラスターに HSM を追加するか、セッションキーの作成を遅くします。

• 解決策のステータス: この問題は、 AWS CloudHSM クライアント 1.1.2 のリリースで解決されています。修正のメリットを享受するには、このクライアントにアップグレードする必要があります。

問題: 800 バイトを超える HMAC キーを使ったダイジェストオペレーションはサポートされていません

• 影響: 800 バイトを上回る HMAC キーが HSM で生成されたり、HSM にインポートされたりする可能性があります。ただし、このような大きなキーを JCE または key_mgmt_util を介してダイジェストオペレーションに使用すると、オペレーションが失敗します。PKCS11 を使用している場合、HMAC キーのサイズは 64 バイトに制限されます。

• 回避方法: HSM のダイジェストオペレーションに HMAC キーを使用する場合は、必ずサイズが 800 バイト以下のものを使用します。

• 解決策のステータス: 現時点ではありません。

問題 : クライアント SDK 3 で配布された client_info ツールが、オプションの出力引数で指定されたパスの内容を削除します

• 影響: 指定した出力パスの下にある既存のファイルとサブディレクトリはすべて、永久に失われる可能性があります

• 防止策: -output path ツールを使用する際、オプションの引数 client_info を使用しないでください。

• 解決策の現状: この問題は、クライアント SDK 3.3.2 のリリース によって解決されています。修正のメリットを享受するには、このクライアントにアップグレードする必要があります。

問題: コンテナ化された環境で --cluster-id 引数を使用して SDK 5 設定ツールを実行すると、エラーが表示されます

設定ツールで--cluster-id 引数を使用すると、次のエラーが表示されます。

No credentials in the property bag

このエラーは、インスタンスメタデータサービスのバージョン 2 (IMDSv2) の更新が原因で発生します。詳細については、「IMDSv2」のドキュメントを参照してください。

• 影響: この問題は、コンテナ化された環境で SDK バージョン 5.5.0 以降の設定ツールを実行し、EC2 インスタンスメタデータを利用して認証情報を提供するユーザーに影響を及ぼします。

• 回避方法: PUT レスポンスホップ制限を少なくとも 2 に設定します。その方法のガイダンスについては、「インスタンスメタデータオプションの設定」を参照してください。

問題: 「提供された pfx ファイルから証明書/キーを作成できませんでした。エラー： NotPkcs8"

• 影響: 証明書とプライベートキーを使用して SSL を再設定する SDK 5.11.0 ユーザーは、プライベートキーが PKCS8 形式でない場合、失敗します。

• 回避策: openssl コマンドを使用して、カスタム SSL プライベートキーを PKCS8 形式に変換できます。 openssl pkcs8 -topk8 -inform PEM -outform PEM -in ssl_private_key -out ssl_private_key_pkcs8

• 解決ステータス: この問題は、クライアント SDK 5.12.0 リリース で解決されています。修正を利用するには、このクライアントバージョン 以降にアップグレードする必要があります。