翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
OpenSSL Dynamic Engine SDK の既知の問題
OpenSSL 動的エンジン SDK の既知の問題があります
トピック
- 問題:RHEL 6 と CentOS6 に AWS CloudHSM OpenSSL ダイナミックエンジンをインストールできない
- [問題] デフォルトでは、HSM への RSA オフロードのみがサポートされています
- 問題: HSM でキーを使用した OAEP パディングによる RSA 暗号化および復号化がサポートされていません。
- [Issue: (問題)] RSA のプライベートキー世代および ECC キーのみが HSM にオフロードされます。
- 問題: RHEL 8、CentOS 8、 Ubuntu 18.04 LTS にクライアント SDK 3 用の OpenSSL Dynamic Engine をインストールできない
- 問題:RHEL 9 (9.2 以降) での SHA-1 署名と検証の廃止について
- 問題: AWS CloudHSM OpenSSL ダイナミックエンジンが OpenSSL v3.x の FIPS プロバイダーと互換性がありません
問題:RHEL 6 と CentOS6 に AWS CloudHSM OpenSSL ダイナミックエンジンをインストールできない
-
影響: OpenSSL Dynamic Engineは OpenSSL 1.0.2[f+] のみをサポートしています。デフォルトでは、RHEL 6 と CentOS 6 には OpenSSL 1.0.1 が付属します。
-
回避方法: RHEL 6 および CentOS 6 の OpenSSL ライブラリをバージョン 1.0.2[f+] にアップグレードします。
[問題] デフォルトでは、HSM への RSA オフロードのみがサポートされています
-
[影響]: パフォーマンスを最大限に高めるために、SDK は乱数生成や EC-DH オペレーションなどの追加機能をオフロードするように構成されていません。
-
[Workaround ( 回避策 ) ]: 追加のオペレーションをオフロードする必要がある場合は、サポートケースを通じてお問い合わせください。
-
[Resolution status ( 解決策のステータス )]: オフロードオプションを設定ファイルで設定するための SDK へのサポートを追加しています。更新は、利用可能なバージョン履歴ページで告知されます。
問題: HSM でキーを使用した OAEP パディングによる RSA 暗号化および復号化がサポートされていません。
-
影響:OAEP パディングによる RSA 暗号化と復号化の呼び出しはいずれもエラーで失敗する。 divide-by-zero これは、OpenSSL 動的エンジンがオペレーションを HSM にオフロードせずにフェイク PEM ファイルを使用してオペレーションをローカルで呼び出すために発生します。
-
解決策: PKCS #11 ライブラリ または JCE プロバイダー を使用してこの手順を実行できます。
-
解決策のステータス: このオペレーションを正しくオフロードする SDK のサポートを追加する予定です。更新は、利用可能なバージョン履歴ページで告知されます。
[Issue: (問題)] RSA のプライベートキー世代および ECC キーのみが HSM にオフロードされます。
その他のキータイプでは、OpenSSL AWS CloudHSM エンジンはコール処理には使用されません。代わりに、ローカルの OpenSSL エンジンが使用されます。これによって、ソフトウェアでローカルにキーが生成されます。
-
[影響 :] フェイルオーバーがサイレントのため、HSM で安全に生成されたキーを受信していないことが確認できません。キーがソフトウェアで OpenSSL によってローカルで生成された場合、文字列
"...........++++++"
を含む出力トレースが表示されます。オペレーションが HSM にオフロードされた場合には、このトレースは存在しません。キーが生成されていない、あるいは HSM に保存されていないため、キーを今後使用することはできません。] -
[Workaround: ( 回避方法 )] OpenSSL エンジンがサポートするキータイプのみを使用します。他のすべてのキータイプについては、アプリケーションで PKCS #11 または JCE を使用するか、CLI
key_mgmt_util
で使用してください。
問題: RHEL 8、CentOS 8、 Ubuntu 18.04 LTS にクライアント SDK 3 用の OpenSSL Dynamic Engine をインストールできない
-
影響: デフォルトでは、RHEL 8、CentOS 8、Ubuntu 18.04 LTSは、Client SDK 3 用 OpenSSL Dynamic Engine と互換性がないバージョンを出荷しています。
-
防止策: OpenSSL 動的エンジン 対応の Linux プラットフォームを使用してください。対応プラットフォームの詳細は、対応プラットフォーム を参照してください。
-
解決状況:クライアント SDK 5 用 OpenSSL AWS CloudHSM ダイナミックエンジンでこれらのプラットフォームをサポートします。詳細については、対応プラットフォーム および OpenSSL Dynamic Engine を参照してください。
問題:RHEL 9 (9.2 以降) での SHA-1 署名と検証の廃止について
-
影響:SHA-1 メッセージダイジェストを暗号化目的で使用することは RHEL 9 (9.2+) で廃止されました。その結果、OpenSSL 動的エンジンを使用した SHA-1 での署名および検証操作は失敗します。
-
回避策:既存またはサードパーティの暗号署名の署名/検証に SHA-1 を使用する必要があるシナリオの詳細は、「RHEL セキュリティの強化:RHEL 9 (9.2+) と RHEL 9 (9.2+) での SHA-1 の非推奨について
」のリリースノートを参照してください。
問題: AWS CloudHSM OpenSSL ダイナミックエンジンが OpenSSL v3.x の FIPS プロバイダーと互換性がありません
-
影響:FIPS プロバイダが OpenSSL バージョン 3.x で有効になっているときに AWS CloudHSM OpenSSL 動的エンジンを使用しようとすると、エラーが発生します。
-
回避策:OpenSSL バージョン 3.x で AWS CloudHSM OpenSSL 動的エンジンを使用するには、「デフォルト」プロバイダーが設定されていることを確認してください。デフォルトプロバイダーの詳細については、OpenSSL Web サイトをご覧ください
。