모든 HSM 인스턴스의 알려진 문제

다음 문제는 key_mgmt_util 명령줄 도구를 사용하든, PKCS #11 SDK를 사용하든, JCE SDK를 사용하든, OpenSSL SDK를 사용하든 관계없이 모든 AWS CloudHSM 사용자에게 영향을 미칩니다.

문제: 제로 패딩으로 키 래핑의 표준 호환 구현을 제공하는 대신 AES 키 래핑에 PKCS#5 패딩이 사용됩니다.

또한 패딩이 없는 키 래핑 및 제로 패딩이 지원되지 않습니다.

• 영향: 내에서 이 알고리즘을 사용하여 래핑하고 래핑을 해제해도 아무런 영향이 없습니다. AWS CloudHSM그러나 로 래핑된 키는 패딩 없음 사양을 준수할 것으로 예상되는 다른 HSM 또는 소프트웨어 내에서 래핑을 해제할 수 AWS CloudHSM 없습니다. 표준 호환 언래핑 중에 8바이트의 패딩 데이터가 키 데이터 끝에 추가될 수 있기 때문입니다. 외부에서 래핑된 키는 인스턴스로 제대로 언래핑할 수 없습니다. AWS CloudHSM

• 해결 방법: AWS CloudHSM 인스턴스에서 PKCS #5 패딩이 있는 AES 키 래핑으로 래핑된 키를 외부에서 언래핑하려는 경우 키를 사용하려고 시도하기 전에 추가 패딩을 제거합니다. 파일 편집기에서 추가 바이트를 잘라내거나 키 바이트만 코드의 새 버퍼로 복사하여 추가 패딩을 제거할 수 있습니다.

• 해결 상태: 3.1.0 클라이언트 및 소프트웨어 릴리스에서 AWS CloudHSM 은 AES 키 래핑을 위한 표준 호환 옵션을 제공합니다. 자세한 내용은 AES 키 래핑을 참조하세요.

문제: 클라이언트 데몬이 클러스터에 성공적으로 연결하려면 구성 파일에서 최소 하나의 유효한 IP 주소가 필요합니다.

• 영향: 클러스터에서 모든 HSM을 삭제한 다음 새 IP 주소를 가져오는 다른 HSM을 추가하면 클라이언트 데몬은 원래의 IP 주소에서 HSM을 계속 검색합니다.

• 해결 방법: 간헐적인 워크로드를 실행하는 경우 IpAddress CreateHsm함수의 인수를 사용하여 Elastic network interface (ENI) 를 원래 값으로 설정하는 것이 좋습니다. ENI는 가용 영역(AZ)에 특정합니다. 대체 방법은 /opt/cloudhsm/daemon/1/cluster.info 파일을 삭제한 다음 클라이언트 구성을 새 HSM의 IP 주소로 재설정하는 것입니다. client -a <IP address> 명령을 사용할 수 있습니다. 자세한 내용은 클라이언트 설치 및 구성 (Linux) 또는 AWS CloudHSM 클라이언트 설치 및 구성 (Windows) 을 AWS CloudHSM 참조하십시오.

문제: 클라이언트 SDK 3을 AWS CloudHSM 사용하여 해시하고 서명할 수 있는 데이터의 상한은 16KB였습니다.

• 해결 상태: 크기가 16KB 미만인 데이터는 해싱을 위해 계속해서 HSM에 전송됩니다. 소프트웨어에서 크기가 16KB ~ 64KB인 데이터를 로컬 해싱하는 기능이 추가되었습니다. 데이터 버퍼가 64KB보다 크면 클라이언트 SDK 5가 명시적으로 실패합니다. 수정 사항을 적용하려면 클라이언트와 SDK를 5.0.0 이상 버전으로 업데이트해야 합니다.

문제: 가져온 키를 내보낼 수 없도록 지정할 수 없습니다.

• 해결 상태: 이 문제가 수정되었습니다. 수정의 이점을 누리기 위해 사용자가 특별히 할 일은 없습니다.

문제: key_mgmt_util의 WrapKey unWrapKey 및 명령에 대한 기본 메커니즘이 제거되었습니다.

• 해결 방법: WrapKey unWrapKey 또는 명령을 사용하는 경우 옵션을 사용하여 메커니즘을 -m 지정해야 합니다. 자세한 내용은 WrapKey의 예제 unWrapKey또는 문서를 참조하십시오.

문제: 클러스터에 HSM이 하나 있는 경우, HSM 장애 조치가 올바르게 작동하지 않습니다.

• 영향: 클러스터의 단일 HSM 인스턴스가 연결이 끊어지면, HSM 인스턴스가 나중에 복원되더라도 클라이언트가 인스턴스와 다시 연결되지 않습니다.

• 해결 방법: 프로덕션 클러스터에 HSM 인스턴스가 두 개 이상 있는 것이 좋습니다. 이 구성을 사용하면 이 문제의 영향을 받지 않습니다. 단일 HSM 클러스터의 경우, 클라이언트 데몬을 바운스하여 연결을 복원합니다.

• 해결 상태: 이 문제는 AWS CloudHSM 클라이언트 1.1.2 릴리스에서 해결되었습니다. 수정의 이점을 누리려면 이 클라이언트로 업그레이드해야 합니다.

문제: 짧은 시간 내에 클러스터에 있는 HSM의 키 용량이 초과하면, 클라이언트가 처리되지 않은 오류 상태로 전환됩니다.

• 영향: 클라이언트에 처리되지 않은 오류 상태가 발생하면 중지되므로 다시 시작해야 합니다.

• 해결 방법: 처리량을 테스트하여 클라이언트가 처리할 수 없는 속도로 세션 키를 생성하고 있지 않은지 확인하십시오. 클러스터에 HSM을 추가하거나 세션 키 생성 속도를 줄여 속도를 낮출 수 있습니다.

• 해결 상태: 이 문제는 AWS CloudHSM 클라이언트 1.1.2 릴리스에서 해결되었습니다. 수정의 이점을 누리려면 이 클라이언트로 업그레이드해야 합니다.

문제: HMAC 키 크기가 800바이트보다 큰 다이제스트 작업은 지원되지 않습니다.

• 영향: 800바이트보다 큰 HMAC 키를 HSM에 생성하거나 가져올 수 있습니다. 그러나 JCE 또는 key_mgmt_util을 통해 다이제스트 작업에서 이보다 더 큰 키를 사용하면, 작업이 실패합니다. PKCS11을 사용하는 경우, HMAC 키가 64바이트 크기로 제한됩니다.

• 해결 방법: HSM에서 다이제스트 작업에 HMAC 키를 사용할 예정인 경우, 크기가 800바이트보다 작은지 확인하십시오.

• 해결 상태: 현재는 없습니다.

문제: Client SDK 3과 함께 배포된 client_info 도구가 선택적 출력 인수로 지정된 경로의 내용을 삭제합니다.

• 영향: 지정된 출력 경로에 있는 모든 기존 파일 및 하위 디렉터리가 영구적으로 손실될 수 있습니다.

• 해결 방법: client_info도구를 사용할 때 -output path선택적 인수를 사용하지 마십시오.

• 해결 상태: 이 문제는 Client SDK 3.3.2 릴리스에서 해결되었습니다. 수정의 이점을 누리려면 이 클라이언트로 업그레이드해야 합니다.

문제: 컨테이너화된 환경에서 --cluster-id 인수를 사용하여 SDK 5 구성 도구를 실행할 때 오류가 발생합니다.

구성 도구와 함께 --cluster-id 인수를 사용할 때 다음 오류가 발생합니다.

No credentials in the property bag

이 오류는 인스턴스 메타데이터 서비스 버전 2(IMDSv2) 업데이트로 인해 발생합니다. 자세한 내용은 IMDSv2 설명서를 참조하십시오.

• 영향: 이 문제는 컨테이너화된 환경에서 SDK 버전 5.5.0 이상에서 구성 도구를 실행하고 EC2 인스턴스 메타데이터를 활용하여 자격 증명을 제공하는 사용자에게 영향을 미칩니다.

• 해결 방법: PUT 응답 홉 제한을 두개 이상으로 설정합니다. 이를 수행하는 방법에 대한 지침은 인스턴스 메타데이터 옵션 구성'을 참조하십시오.

문제: “제공된 pfx 파일에서 인증서/키를 만들지 못했습니다.” 라는 오류 메시지가 나타납니다. NotPkcs오류: 8"

• 영향: 개인 키가 PKCS8 형식이 아닌 경우 인증서와 개인 키로 SSL을 재구성하는 SDK 5.11.0 사용자가 실패합니다.

• 해결 방법: openssl 명령을 사용하여 사용자 지정 SSL 개인 키를 PKCS8 형식으로 변환할 수 있습니다. openssl pkcs8 -topk8 -inform PEM -outform PEM -in ssl_private_key -out ssl_private_key_pkcs8

• 해결 상태: 이 문제는 클라이언트 SDK 5.12.0 릴리스에서 해결되었습니다. 수정 사항을 적용하려면 이 클라이언트 버전 이상으로 업그레이드해야 합니다.