Problemas conhecidos para todas as instâncias do HSM - AWS CloudHSM
Problema: o encapsulamento de chave AES usa o preenchimento de PKCS #5 em vez de fornecer uma implementação compatível com os padrões do encapsulamento de chave com preenchimento de zerosProblema: o daemon do cliente requer pelo menos um endereço IP válido em seu arquivo de configuração para se conectar com sucesso ao clusterProblema: havia um limite máximo de 16 KB em dados que podem ser criptografados e assinados AWS CloudHSM usando o SDK do cliente 3Problema: as chaves importadas não podiam ser especificadas como não exportáveisProblema: o mecanismo padrão para o WrapKey e os unWrapKey comandos no key_mgmt_util foi removidoProblema: se você tiver um único HSM em seu cluster, o failover do HSM não funcionará corretamenteProblema: se você exceder a capacidade da chave dos HSMs em seu cluster dentro de um curto período, o cliente entrará em um estado de erro não processadoProblema: operações de resumo com chaves HMAC de tamanho maior que 800 bytes não são compatíveis.Problema: a ferramenta client_info, distribuída com o Client SDK 3, exclui o conteúdo do caminho especificado pelo argumento de saída opcionalProblema: você recebe um erro ao executar a ferramenta de configuração do SDK 5 usando o argumento --cluster-id em ambientes em contêineresProblema: você recebe o erro “Falha ao criar cert/chave do arquivo pfx fornecido. Erro: NotPkcs 8"

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Problemas conhecidos para todas as instâncias do HSM

Os problemas a seguir afetam todos os AWS CloudHSM usuários, independentemente de eles usarem a ferramenta de linha de comando key_mgmt_util, o SDK PKCS #11, o JCE SDK ou o OpenSSL SDK.

Problema: o encapsulamento de chave AES usa o preenchimento de PKCS #5 em vez de fornecer uma implementação compatível com os padrões do encapsulamento de chave com preenchimento de zeros

Além disso, o encapsulamento de chaves sem preenchimento e com preenchimento de zeros não é compatível.

  • Impacto: não haverá impacto se você embrulhar e desembrulhar usando esse algoritmo interno AWS CloudHSM. No entanto, as chaves embaladas com AWS CloudHSM não podem ser desempacotadas em outros HSMs ou softwares que esperam conformidade com a especificação sem preenchimento. Isso ocorre porque até oito bytes de dados de preenchimento podem ser adicionados ao final dos dados da chave durante um desencapsulamento compatível com os padrões. As chaves agrupadas externamente não podem ser desagrupadas adequadamente em uma AWS CloudHSM instância.

  • Solução alternativa: para desencapsular externamente uma chave que foi encapsulada com o Encapsulamento de chaves AES com preenchimento PKCS #5 em uma instância do AWS CloudHSM, remova o preenchimento adicional antes de tentar usar a chave. Você pode fazer isso removendo os bytes extras em um editor de arquivo ou copiando apenas os bytes da chave em um novo buffer em seu código.

  • Status da resolução: com a versão 3.1.0 de cliente e software, o AWS CloudHSM fornece opções compatíveis com os padrões para o encapsulamento de chaves AES. Para obter mais informações, consulte Empacotamento de chaves AES.

Problema: o daemon do cliente requer pelo menos um endereço IP válido em seu arquivo de configuração para se conectar com sucesso ao cluster

  • Impacto: se você excluir cada HSM no cluster e, em seguida, adicionar outro HSM, o que gerará um novo endereço IP, o daemon do cliente continuará pesquisando os HSMs em seus endereços IP originais.

  • Solução alternativa: se você executar uma carga de trabalho intermitente, recomendamos usar o IpAddress argumento na CreateHsmfunção para definir a interface de rede elástica (ENI) com seu valor original. Observe que uma ENI é específica de uma zona de disponibilidade (AZ). A alternativa é excluir o arquivo /opt/cloudhsm/daemon/1/cluster.info e, em seguida, redefinir a configuração do cliente para o endereço IP do seu novo HSM. Você pode usar o comando client -a <IP address>. Para obter mais informações, consulte Instalar e configurar o AWS CloudHSM cliente (Linux) ou Instalar e configurar o AWS CloudHSM cliente (Windows).

Problema: havia um limite máximo de 16 KB em dados que podem ser criptografados e assinados AWS CloudHSM usando o SDK do cliente 3

  • Status da resolução: os dados com extensão inferior a 16 KB continuam sendo enviados ao HSM para obter hash. Adicionamos a capacidade de aplicar hash localmente no software em dados com extensão entre 16 KB e 64 KB. O SDK 5 do cliente falhará explicitamente se o buffer de dados for maior que 64 KB. Você deve atualizar seu cliente e SDK (s) para uma versão maior que 5.0.0 ou superior para se beneficiar da correção.

Problema: as chaves importadas não podiam ser especificadas como não exportáveis

  • Status da resolução: esse problema está corrigido. Nenhuma ação é necessária de sua parte para se beneficiar da correção.

Problema: o mecanismo padrão para o WrapKey e os unWrapKey comandos no key_mgmt_util foi removido

  • Resolução: ao usar o WrapKey ou unWrapKey os comandos, você deve usar a -m opção para especificar o mecanismo. Consulte os exemplos no WrapKey ou nos unWrapKeyartigos para obter mais informações.

Problema: se você tiver um único HSM em seu cluster, o failover do HSM não funcionará corretamente

  • Impacto: se a única instância do HSM em seu cluster perder a conectividade, o cliente não se reconectará a ela mesmo se a instância do HSM for restaurada posteriormente.

  • Solução alternativa: recomendamos pelo menos duas instâncias do HSM em qualquer cluster de produção. Se você usar essa configuração, você não será afetado por esse problema. Para clusters de HSM único, retorne o daemon do cliente para restaurar a conectividade.

  • Status da resolução: este problema foi resolvido na versão 1.1.2 do cliente do AWS CloudHSM . Você deve atualizar para esse cliente para se beneficiar da correção.

Problema: se você exceder a capacidade da chave dos HSMs em seu cluster dentro de um curto período, o cliente entrará em um estado de erro não processado

  • Impacto: quando o cliente encontra o estado de erro não processado, ele congela e deve ser reiniciado.

  • Solução alternativa: teste sua taxa de transferência para garantir que você não esteja criando chaves de sessão a uma taxa que o cliente não consiga processar. Você pode diminuir sua taxa adicionando um HSM ao cluster ou reduzindo a criação da chave de sessão.

  • Status da resolução: este problema foi resolvido na versão 1.1.2 do cliente do AWS CloudHSM . Você deve atualizar para esse cliente para se beneficiar da correção.

Problema: operações de resumo com chaves HMAC de tamanho maior que 800 bytes não são compatíveis.

  • Impacto: Chaves HMAC maiores que 800 bytes podem ser geradas ou importadas para o HSM. No entanto, se você usar essa chave maior em uma operação de resumo por meio do JCE ou key_mgmt_util, a operação falhará. Observe que, se você estiver usando o PKCS11, as chaves HMAC estarão limitadas a um tamanho de 64 bytes.

  • Solução alternativa: se você estiver usando chaves HMAC para operações de resumo no HSM, assegure-se de que o tamanho seja menor que 800 bytes.

  • Status da resolução: nenhum no momento.

Problema: a ferramenta client_info, distribuída com o Client SDK 3, exclui o conteúdo do caminho especificado pelo argumento de saída opcional

  • Impacto: todos os arquivos e subdiretórios existentes no caminho de saída especificado podem ser perdidos permanentemente.

  • Solução alternativa:não use o argumento opcional -output path ao usar a ferramenta client_info.

  • Status da resolução: este problema foi resolvido na versão Client SDK 3.3.2 . Você deve atualizar para esse cliente para se beneficiar da correção.

Problema: você recebe um erro ao executar a ferramenta de configuração do SDK 5 usando o argumento --cluster-id em ambientes em contêineres

Você recebe o seguinte erro ao usar o argumento --cluster-id com a Ferramenta de configuração:

No credentials in the property bag

Esse erro é causado por uma atualização do Instance Metadata Service Version 2 (IMDSv2). Para obter mais informações, consulte a documentação do IMDSv2.

  • Impacto: esse problema afetará os usuários que executam a ferramenta de configuração nas versões 5.5.0 e posteriores do SDK em ambientes em contêineres e utilizam metadados da instância EC2 para fornecer credenciais.

  • Solução alternativa: defina o limite de salto de resposta do PUT para pelo menos dois. Para obter orientação sobre como fazer isso, consulte Configurar as opções de metadados da instância.

Problema: você recebe o erro “Falha ao criar cert/chave do arquivo pfx fornecido. Erro: NotPkcs 8"

  • Impacto: os usuários do SDK 5.11.0 que reconfigurarem o SSL com um certificado e uma chave privada falharão se suas chaves privadas não estiverem no formato PKCS8.

  • Solução alternativa: você pode converter a chave privada SSL personalizada para o formato PKCS8 com o comando openssl: openssl pkcs8 -topk8 -inform PEM -outform PEM -in ssl_private_key -out ssl_private_key_pkcs8

  • Status da resolução: esse problema foi resolvido na versão 5.12.0 do SDK do cliente. Você deve atualizar para essa versão do cliente ou posterior para se beneficiar da correção.