OpenSSL Dynamic Engine SDK の既知の問題

OpenSSL 動的エンジン SDK の既知の問題があります

問題: AWS CloudHSM OpenSSL Dynamic Engine を RHEL 6 および CentOS6 にインストールできない

• 影響: OpenSSL Dynamic Engineは OpenSSL 1.0.2[f+] のみをサポートしています。デフォルトでは、RHEL 6 と CentOS 6 には OpenSSL 1.0.1 が付属します。

• 回避方法: RHEL 6 および CentOS 6 の OpenSSL ライブラリをバージョン 1.0.2[f+] にアップグレードします。

[問題] デフォルトでは、HSM への RSA オフロードのみがサポートされています

• [影響]: パフォーマンスを最大限に高めるために、SDK は乱数生成や EC-DH オペレーションなどの追加機能をオフロードするように構成されていません。

• [Workaround ( 回避策 ) ]: 追加のオペレーションをオフロードする必要がある場合は、サポートケースを通じてお問い合わせください。

• [Resolution status ( 解決策のステータス )]: オフロードオプションを設定ファイルで設定するための SDK へのサポートを追加しています。更新は、利用可能なバージョン履歴ページで告知されます。

問題: HSM でキーを使用した OAEP パディングによる RSA 暗号化および復号化がサポートされていません。

• 影響: OAEP パディングを使用した RSA 暗号化と復号化の呼び出しは、 divide-by-zero エラーで失敗します。これは、OpenSSL 動的エンジンがオペレーションを HSM にオフロードせずにフェイク PEM ファイルを使用してオペレーションをローカルで呼び出すために発生します。

• 解決策: PKCS #11 ライブラリ または JCE プロバイダー を使用してこの手順を実行できます。

• 解決策のステータス: このオペレーションを正しくオフロードする SDK のサポートを追加する予定です。更新は、利用可能なバージョン履歴ページで告知されます。

[Issue: (問題)] RSA のプライベートキー世代および ECC キーのみが HSM にオフロードされます。

その他のキータイプでは、OpenSSL AWS CloudHSM エンジンは通話処理には使用されません。代わりに、ローカルの OpenSSL エンジンが使用されます。これによって、ソフトウェアでローカルにキーが生成されます。

• [影響 :] フェイルオーバーがサイレントのため、HSM で安全に生成されたキーを受信していないことが確認できません。キーがソフトウェアで OpenSSL によってローカルで生成された場合、文字列 "...........++++++" を含む出力トレースが表示されます。オペレーションが HSM にオフロードされた場合には、このトレースは存在しません。キーが生成されていない、あるいは HSM に保存されていないため、キーを今後使用することはできません。]

• [Workaround: ( 回避方法 )] OpenSSL エンジンがサポートするキータイプのみを使用します。他のすべてのキータイプでは、アプリケーションで PKCS #11 または JCE を使用するか、 CLI key_mgmt_utilで を使用します。

問題: RHEL 8、CentOS 8、 Ubuntu 18.04 LTS にクライアント SDK 3 用の OpenSSL Dynamic Engine をインストールできない

• 影響: デフォルトでは、RHEL 8、CentOS 8、Ubuntu 18.04 LTSは、Client SDK 3 用 OpenSSL Dynamic Engine と互換性がないバージョンを出荷しています。

• 防止策: OpenSSL 動的エンジン 対応の Linux プラットフォームを使用してください。対応プラットフォームの詳細は、対応プラットフォーム を参照してください。

• 解決ステータス: AWS CloudHSM は、クライアント SDK 5 用の OpenSSL Dynamic Engine でこれらのプラットフォームをサポートします。詳細については、対応プラットフォーム および OpenSSL Dynamic Engine を参照してください。

問題: RHEL 9 (9.2+) での SHA-1 署名と検証の非推奨化

• 影響: 暗号化目的での SHA-1 メッセージダイジェストの使用は、RHEL 9 (9.2+) では廃止されました。その結果、OpenSSL Dynamic Engine を使用した SHA-1 による署名および検証オペレーションは失敗します。

• 回避策: シナリオで既存またはサードパーティーの暗号化署名の署名/検証に SHA-1 を使用する必要がある場合は、詳細については、「RHEL セキュリティの強化: RHEL 9 (9.2+) および RHEL 9 (9.2+) リリースノートでの SHA-1 の非推奨化について」を参照してください。 https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/9/html/9.0_release_notes/overview

問題： AWS CloudHSM OpenSSL Dynamic Engine が OpenSSL v3.x の FIPS プロバイダーと互換性がない

• 影響: FIPS プロバイダーが AWS CloudHSM OpenSSL バージョン 3.x で有効になっているときに OpenSSL Dynamic Engine を使用しようとすると、エラーが発生します。

• 回避策: AWS CloudHSM OpenSSL バージョン 3.x で OpenSSL Dynamic Engine を使用するには、「デフォルト」プロバイダーが設定されていることを確認します。OpenSSL ウェブサイト のデフォルトプロバイダーの詳細をご覧ください。