Notificações de suspensão

De tempos em tempos, AWS CloudHSM pode descontinuar a funcionalidade para permanecer em conformidade com os requisitos do FIPS 140, PCI-DSS, PCI-PIN, PCI-3DS e SOC2. Esta página lista as alterações que se aplicam atualmente.

Conformidade com o FIPS 140: suspensão do mecanismo de 2024

O Instituto nacional de padrões e tecnologia (National Institute of Standards and Technology, NIST) ¹informa que o suporte à criptografia Triple DES (DESede, 3DES, DES3) e ao encapsulamento e desencapsulamento de chaves RSA com preenchimento PKCS nº 1 v1.5 não será permitido após 31 de dezembro de 2023. Portanto, o suporte para eles termina em 1º de janeiro de 2024 em nossos clusters do modo Federal Information Processing Standard (FIPS). Support para eles permanece para clusters no modo não FIPS.

Essa orientação se aplica às seguintes operações criptográficas:

• Geração tripla de chaves DES

  • CKM_DES3_KEY_GEN para a Biblioteca PKCS #11

  • DESede Keygen para o provedor JCE

  • genSymKey com -t=21 para o KMU

• Criptografia com chaves DES triplas (observação: operações de descriptografia são permitidas)

  • Para a biblioteca PKCS #11: criptografe CKM_DES3_CBC, criptografe CKM_DES3_CBC_PAD e , e criptografe CKM_DES3_ECB

  • Para o provedor JCE: criptografe DESede/CBC/PKCS5Padding, criptografe DESede/CBC/NoPadding, criptografe DESede/ECB/Padding e criptografe DESede/ECB/NoPadding

• Encapsulamento, desencapsulamento, criptografia e descriptografia de chaves RSA com o preenchimento PKCS #1 v1.5

  • CKM_RSA_PKCS encapsulamento, desencapsulamento, criptografia e descriptografia para o SDK PKCS #11

  • RSA/ECB/PKCS1Padding encapsulamento, desencapsulamento, criptografia e descriptografia para o SDK JCE

  • wrapKeye unWrapKey com -m 12 para o KMU (a nota 12 é o valor do mecanismoRSA_PKCS)

[1] Para obter detalhes sobre essa alteração, consulte a Tabela 1 e a Tabela 5 em Transição do uso de algoritmos criptográficos e comprimentos de chave.