OpenSSL Dynamic Engine의 알려진 문제 - AWS CloudHSM

문제: RHEL 6 및 CentOS6에는 AWS CloudHSM OpenSSL 동적 엔진을 설치할 수 없습니다.문제: 기본적으로 HSM에 대한 RSA 오프로드만 지원됩니다.문제: HSM에서 키를 사용하여 OAEP 패딩의 RSA 암호화 및 암호화 해제가 지원되지 않습니다.문제: RSA 및 ECC 키의 프라이빗 키 생성만 HSM으로 오프로드됩니다.문제: RHEL 8, CentOS 8 또는 Ubuntu 18.04 LTS에 Client SDK 3용 OpenSSL 동적 엔진을 설치할 수 없습니다.문제: SHA-1 RHEL 9에 대한 서명 및 확인 지원 중단 (9.2+)문제: AWS CloudHSM OpenSSL 동적 엔진이 OpenSSL v3.x용 FIPS 공급자와 호환되지 않습니다.

OpenSSL Dynamic Engine의 알려진 문제

이는 OpenSSL Dynamic Engine의 알려진 문제입니다.

주제

문제: RHEL 6 및 CentOS6에는 AWS CloudHSM OpenSSL 동적 엔진을 설치할 수 없습니다.
문제: 기본적으로 HSM에 대한 RSA 오프로드만 지원됩니다.
문제: HSM에서 키를 사용하여 OAEP 패딩의 RSA 암호화 및 암호화 해제가 지원되지 않습니다.
문제: RSA 및 ECC 키의 프라이빗 키 생성만 HSM으로 오프로드됩니다.
문제: RHEL 8, CentOS 8 또는 Ubuntu 18.04 LTS에 Client SDK 3용 OpenSSL 동적 엔진을 설치할 수 없습니다.
문제: SHA-1 RHEL 9에 대한 서명 및 확인 지원 중단 (9.2+)
문제: AWS CloudHSM OpenSSL 동적 엔진이 OpenSSL v3.x용 FIPS 공급자와 호환되지 않습니다.

문제: RHEL 6 및 CentOS6에는 AWS CloudHSM OpenSSL 동적 엔진을 설치할 수 없습니다.

영향: OpenSSL Dynamic Engine은 OpenSSL 1.0.2[f+]만 지원합니다. 기본적으로 RHEL 6 및 CentOS 6은 OpenSSL 1.0.1과 함께 제공됩니다.
해결 방법: RHEL 6 및 CentOS 6의 OpenSSL 라이브러리를 버전 1.0.2[f+]로 업그레이드합니다.

문제: 기본적으로 HSM에 대한 RSA 오프로드만 지원됩니다.

영향: 성능을 극대화하기 위해 난수 생성이나 EC-DH 작업과 같은 추가 기능을 오프로드하도록 SDK가 구성되지 않습니다.
해결 방법: 추가 작업을 오프로드해야 할 경우 지원 사례를 통해 문의해 주십시오.
해결 상태: 구성 파일을 통해 오프로드 옵션을 구성하도록 SDK에 지원을 추가하고 있습니다. 업데이트가 제공되면 버전 기록 페이지에 발표됩니다.

문제: HSM에서 키를 사용하여 OAEP 패딩의 RSA 암호화 및 암호화 해제가 지원되지 않습니다.

영향: OAEP 패딩을 사용한 RSA 암호화 및 복호화 호출이 오류와 함께 실패합니다. divide-by-zero 이 결과는 OpenSSL Dynamic Engine이 작업을 HSM에 오프로드하는 대신 가짜 PEM 파일을 사용하여 작업을 로컬로 호출하기 때문에 발생합니다.
해결 방법: PKCS #11 라이브러리 또는 JCE 공급자를 사용하여 이 절차를 수행할 수 있습니다.
해결 상태: 이 작업을 올바르게 오프로드하도록 SDK에 지원을 추가하고 있습니다. 업데이트가 제공되면 버전 기록 페이지에 발표됩니다.

문제: RSA 및 ECC 키의 프라이빗 키 생성만 HSM으로 오프로드됩니다.

다른 키 유형의 경우 OpenSSL AWS CloudHSM 엔진은 호출 처리에 사용되지 않습니다. 로컬 OpenSSL 엔진이 대신 사용됩니다. 이 엔진은 소프트웨어에서 로컬로 키를 생성합니다.

영향: 장애 조치가 작동하지 않기 때문에 HSM에서 안전하게 생성된 키를 받지 못했다는 표시가 없습니다. 키가 소프트웨어에서 OpenSSL에 의해 로컬로 생성된 경우 "...........++++++" 문자열을 포함하는 추적 출력이 표시됩니다. 작업이 HSM으로 오프로드되면 이 추적이 없습니다. 키가 HSM에 생성되거나 저장되어 있지 않으므로 나중에 사용할 수 없습니다.
해결 방법: OpenSSL 엔진을 지원되는 키 유형에 대해서만 사용하십시오. 다른 모든 키 유형의 경우 애플리케이션에서 PKCS #11 또는 JCE를 사용하거나 CLI에서 사용하십시오key_mgmt_util.

문제: RHEL 8, CentOS 8 또는 Ubuntu 18.04 LTS에 Client SDK 3용 OpenSSL 동적 엔진을 설치할 수 없습니다.

영향: 기본적으로 RHEL 8, CentOS 8 및 Ubuntu 18.04 LTS는 Client SDK 3용 OpenSSL Dynamic Engine과 호환되지 않는 OpenSSL 버전을 제공합니다.
해결 방법: OpenSSL Dynamic Engine을 지원하는 Linux 플랫폼을 사용하십시오. 지원되는 플랫폼에 대한 자세한 내용은 지원되는 플랫폼을 참조하십시오.
해결 상태: 클라이언트 SDK 5용 OpenSSL 동적 엔진과 함께 이러한 플랫폼을 AWS CloudHSM 지원합니다. 자세한 내용은 지원되는 플랫폼 및 OpenSSL 동적 엔진을 참조하십시오.

문제: SHA-1 RHEL 9에 대한 서명 및 확인 지원 중단 (9.2+)

영향: 암호화를 위한 SHA-1 메시지 다이제스트의 사용은 RHEL 9 (9.2+) 에서 더 이상 사용되지 않습니다. 따라서 OpenSSL 동적 엔진을 사용하는 SHA-1 서명 및 확인 작업은 실패합니다.
해결 방법: 기존 또는 타사 암호화 서명의 서명/확인을 위해 SHA-1 사용을 요구하는 시나리오의 경우, 자세한 내용은 RHEL 보안 강화: RHEL 9 (9.2+) 및 RHEL 9 (9.2+) 릴리스 노트의 SHA-1 지원 중단에 대한 이해를 참조하십시오.

문제: AWS CloudHSM OpenSSL 동적 엔진이 OpenSSL v3.x용 FIPS 공급자와 호환되지 않습니다.

영향: OpenSSL 버전 3.x에 대해 FIPS 공급자가 활성화되어 있을 때 AWS CloudHSM OpenSSL 동적 엔진을 활용하려고 하면 오류가 발생합니다.
해결 방법: AWS CloudHSM OpenSSL 버전 3.x에서 OpenSSL 동적 엔진을 사용하려면 “기본” 공급자가 구성되어 있는지 확인하십시오. OpenSSL 웹 사이트에서 기본 공급자에 대해 자세히 읽어보십시오.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

JCE SDK의 알려진 문제

Amazon Linux 2를 실행하는 Amazon EC2 인스턴스에 대한 알려진 문제