本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS CloudHSM 客户端 SDK 的下载内容
Downloads
2021 年 3 月, AWS CloudHSM 发布了 Client SDK 版本 5.0.0,该版本引入了具有不同要求、功能和平台支持的全新客户端 SDK。
客户端 SDK 5 完全支持生产环境,其组件和支持级别与客户端 SDK 3 相同,但对 CNG 和 KSP 提供商的支持除外。有关更多信息,请参阅 客户端软件开发工具包 组件对比。
注意
有关每个客户端 SDK 支持哪些平台的信息,请参阅客户端软件开发工具包 5 支持的平台和客户端软件开发工具包 3 支持的平台。
最新版本
本部分包含最新版本的客户端 SDK。
客户端 SDK 5 版本:版本 5.12.0
客户端 SDK 5.12.0 为多个平台添加了 ARM 支持,并改进了所有 SDK 的性能。CloudHSM CLI 和 JCE 提供程序中增加了新功能。
平台支持
在 ARM64 架构上为所有软件开发工具包增加了对亚马逊 Linux 2023 的支持。
在 ARM64 架构上为所有 SDK 增加了对红帽企业 Linux 9 (9.2+) 的支持。
在 ARM64 架构上为所有 SDK 添加了对 Ubuntu 22.04 LTS 的支持。
CloudHSM CLI
-
添加了以下命令:
-
增加了对连接到多个集群的支持。有关更多信息,请参阅 使用 CLI 连接到多个集群。
JCE 提供程序
添加了
KeyReferenceSpec用于使用KeyStoreWithAttributes检索密钥的功能。添加了
getKeys用于使用KeyStoreWithAttributes一次检索多个密钥的功能。
性能改进
改进了所有 SDK 的 AES CBC NoPadding 操作的性能。
之前的客户端 SDK 版本
本节列出了之前发布的客户端 SDK。
客户端 SDK 5.11.0 增加了新功能,提高了稳定性,并修复了所有 SDK 的错误。
平台支持
为所有软件开发工具包增加了对亚马逊 Linux 2023 和 RHEL 9 (9.2+) 的支持。
由于Ubuntu 18.04 LTS最近已停产,因此删除了对Ubuntu 18.04 LTS的支持。
由于亚马逊 Linux 最近已停产,因此删除了对它的支持。
OpenSSL 动态引擎
安装了 AWS CloudHSM OpenSSL 库版本 3.x 的平台现在支持 OpenSSL 动态引擎。这包括亚马逊 Linux 2023、RHEL 9(9.2+)和 Ubuntu 22.04。
JCE
增加了对 JDK 17 和 JDK 21 的支持。
增加了对用于 HMAC 操作的 AES 密钥的支持。
添加了新的按键属性
ID。引入了用于密钥耗尽的新
DataExceptionCause变体:DataExceptionCause.KEY_EXHAUSTED.
错误修复/改进
将该
label属性的最大长度从 126 个字符增加到 127 个字符。修复了无法使用该 RsaOaep 机制解开 EC 密钥的错误。
解决了 JCE 提供程序中 getKey 操作的已知问题。有关详细信息,请参阅问题:GetKey 操作导致客户端 SDK 5 内存泄漏。
根据 FIPS 140-2,改进了所有已达到最大加密区块限制的 Triple DES 密钥的 SDK 的日志记录。
添加了 OpenSSL 动态引擎的已知问题。有关详细信息,请参阅 OpenSSL Dynamic Engine 的已知问题。
客户端软件开发工具包 5.10.0 提高了稳定性,并修复了所有软件开发套件的错误。
CloudHSM CLI
-
添加了允许客户通过 CloudHSM CLI 管理密钥的新命令,包括:
创建对称密钥和非对称密钥对
共享和取消共享密钥
根据密钥属性列出和筛选密钥
设置密钥属性
生成密钥引用文件
删除密钥
改进了错误日志记录。
增加支持交互模式下的多行 unicode 命令。
错误修复/改进
提高了所有软件开发工具包的在导入、解包、派生和创建会话密钥方面的表现。
修复了 JCE 提供程序中的错误,避免退出时移除临时文件。
更换了集群内的 HSM 后,修复了会在特定情况下导致连接故障的错误。
修改了 JCE
getVersion输出格式,以处理较大数量的次要版本,并纳入补丁编号。
平台支持
-
通过 JCE、PKCS #11 和 CloudHSM CLI,增加了对 Ubuntu 22.04 的支持(尚未支持 OpenSSL 动态引擎)。
客户端软件开发工具包 5.9.0 提高了稳定性,并修复了所有软件开发套件的错误。已对所有软件开发套件进行了优化,以在确定 HSM 不可用时立即告知应用程序此操作故障。此版本增强了 JCE 性能。
JCE 提供程序
-
增强性能
-
修复了关于会话池耗尽的已知问题
要在 Linux 平台上升级客户端软件开发工具包 3,您必须使用批处理命令来同时升级客户端进程守护程序和所有库。若要获取有关升级的更多信息,请参阅客户端软件开发工具包 3 升级。
要下载软件,请选择您的首选操作系统对应的选项卡,然后选择指向每个软件包的链接。
3.4.4 版增加了 JCE 提供程序更新。
AWS CloudHSM 客户机软件
-
更新了版本以保持一致性。
PKCS #11 库
-
更新了版本以保持一致性。
OpenSSL 动态引擎
-
更新了版本以保持一致性。
JCE 提供程序
-
将 log4j 版本更新到 2.17.1。
适用于 Windows(CNG 和 KSP 提供程序)
-
更新了版本以保持一致性。
已弃用版本
5.8.0 及更早版本已弃用。我们建议不建议在生产工作负载中使用已弃用版本。我们不为已弃用的版本提供向后兼容更新,也不托管已弃用的版本供下载。如果弃用版本对您的生产造成影响,则您必须升级以修复软件。
已弃用的客户端 SDK 5 版本
本节列出了已弃用的客户端 SDK 5 版本。
版本 5.8.0 引入了 CloudHSM CLI 的仲裁身份验证、JSSE 的 SSL/TLS 分流、PKCS #11 多插槽支持、JCE 多集群/多用户支持、JCE 密钥提取、JCE 的 KeyFactory 支持、非终端返回代码的新重试配置,提高了稳定性,修复了所有软件开发套件错误。
PKCS #11 库
-
增加多插槽配置支持。
JCE 提供程序
-
添加了基于配置的密钥提取。
-
增加了对多集群和多用户配置的支持。
-
增加了对 SSL 和 TSL 分流的支持。
-
添加了对 A NoPadding ES/CBC/ 的解包支持。
-
添加了新类型的关键工厂: SecretKeyFactory 和 KeyFactory。
CloudHSM CLI
-
增加了对仲裁身份验证的支持
5.7.0 版引入了 CloudHSM CLI,并纳入了一种新的、基于加密消息的身份验证代码 (CMAC) 算法。此次发布增加了 Amazon Linux 2 上的 ARM 架构。JCE 提供程序 Javadocs 现已可用于 AWS CloudHSM。
PKCS #11 库
-
改进了稳定性,进行了错误修复。
-
现已支持 Amazon Linux 2 的 ARM 架构。
-
算法
-
CKM_AES_CMAC(签名和验证)
-
OpenSSL 动态引擎
-
改进了稳定性,进行了错误修复。
-
现已支持 Amazon Linux 2 的 ARM 架构。
JCE 提供程序
-
改进了稳定性,进行了错误修复。
-
算法
-
AESCMAC
-
版本 5.6.0 包含对 PKCS #11 库和 JCE 提供程序的新机制支持。此外,版本 5.6 还支持 Ubuntu 20.04。
PKCS #11 库
-
改进了稳定性,进行了错误修复。
-
机制
-
CKM_RSA_X_509,适用于加密、解密、签名和验证模式
-
OpenSSL 动态引擎
-
改进了稳定性,进行了错误修复。
JCE 提供程序
-
改进了稳定性,进行了错误修复。
-
密码
-
RSA/ECB/NoPadding,用于加密和解密模式
-
支持的密钥
-
带 secp224r1 和 secp521r1 曲线的 EC
平台支持
-
增加了对 Ubuntu 20.04 的支持
5.5.0 版增加了对 OpenJDK 11、Keytool 和 Jarsigner 集成的支持,并向 JCE 提供程序添加了其他机制。解决了一个已知问题,该问题涉及 KeyGenerator 类错误地将密钥大小参数解释为字节数而不是位数。
PKCS #11 库
-
改进了稳定性,进行了错误修复。
OpenSSL 动态引擎
-
改进了稳定性,进行了错误修复。
JCE 提供程序
-
支持 Keytool 和 Jarsigner 实用程序
-
所有平台上都支持 OpenJDK 11
-
密码
-
AES/CBC/ NoPadding 加密和解密模式
-
AES/ECB/PKCS5Padding 加密和解密模式
-
AES/CTR/ NoPadding 加密和解密模式
-
AES/GCM/ NoPadding Wrap and Unwrap 模式
-
DESede/ECB/PKCS5Padding 加密和解密模式
-
desede/cbc/ 加密和解NoPadding 密模式
-
aesWrap/ec NoPadding b/ Wrap and Unwrap 模式
-
AESWrap/ECB/PKCS5Padding 包装和解包模式
-
aesWrap/ec ZeroPadding b/ Wrap and Unwrap 模式
-
RSA/ECB/PKCS1Padding 包装和解包模式
-
RSA/ECB/OAEPPadding 包装和解包模式
-
RSA/ECB/OAEPWithSHA-1ANDMGF1Padding 包装和解包模式
-
RSA/ECB/OAEPWithSHA-224ANDMGF1Padding 包装和解包模式
-
RSA/ECB/OAEPWithSHA-256ANDMGF1Padding 包装和解包模式
-
RSA/ECB/OAEPWithSHA-384ANDMGF1Padding 包装和解包模式
-
RSA/ECB/OAEPWithSHA-512ANDMGF1Padding 包装和解包模式
-
RSAAESWrap/ECB/OAEPPadding 包装和解包模式
-
RSAAESWrap/ECB/OAEPWithSHA-1ANDMGF1Padding 包装和解包模式
-
RSAAESWrap/ECB/OAEPWithSHA-224ANDMGF1Padding 包装和解包模式
-
RSAAESWrap/ECB/OAEPWithSHA-256ANDMGF1Padding 包装和解包模式
-
RSAAESWrap/ECB/OAEPWithSHA-384ANDMGF1Padding 包装和解包模式
-
RSAAESWrap/ECB/OAEPWithSHA-512ANDMGF1Padding 包装和解包模式
-
-
KeyFactory 和 SecretKeyFactory
-
RSA 2048 位到 4096 位 RSA 密钥,增量为 256 位
-
AES – 128、192 和 256 位 AES 密钥。
-
NIST 曲线 secp256r1 (P-256)、secp384r1 (P-384) 和 secp256k1的 EC 密钥。
-
DESede (3DES)
-
GenericSecret
-
HMAC — 支持 SHA1、SHA224、SHA256、SHA384、SHA512 哈希
-
-
签署/验证
-
RSASSA-PSS
-
SHA1withRSA/PSS
-
SHA224withRSA/PSS
-
SHA256withRSA/PSS
-
SHA384withRSA/PSS
-
SHA512withRSA/PSS
-
SHA1withRSAandMGF1
-
SHA224withRSAandMGF1
-
SHA256withRSAandMGF1
-
SHA384withRSAandMGF1
-
SHA512withRSAandMGF1
-
5.4.2 版提高了稳定性,并修复了所有软件开发套件的错误。这也是 CentOS 8 平台的最新版本。有关更多信息,请参阅 CentOS 网站
PKCS #11 库
-
改进了稳定性,进行了错误修复。
OpenSSL 动态引擎
-
改进了稳定性,进行了错误修复。
JCE 提供程序
-
改进了稳定性,进行了错误修复。
5.4.1 版解决了 PKCS #11 库的一个已知问题。这也是 CentOS 8 平台的最新版本。有关更多信息,请参阅 CentOS 网站
PKCS #11 库
-
改进了稳定性,进行了错误修复。
OpenSSL 动态引擎
-
改进了稳定性,进行了错误修复。
JCE 提供程序
-
改进了稳定性,进行了错误修复。
5.4.0 版增加了对所有平台的 JCE 提供程序的初始支持。JCE 提供程序可与 OpenJDK 8 兼容。
PKCS #11 库
-
改进了稳定性,进行了错误修复。
OpenSSL 动态引擎
-
改进了稳定性,进行了错误修复。
JCE 提供程序
-
密钥类型
-
RSA 2048 位到 4096 位 RSA 密钥,增量为 256 位。
-
AES – 128、192 和 256 位 AES 密钥。
-
NIST 曲线 secp256r1 (P-256)、secp384r1 (P-384) 和 secp256k1 的 ECC 密钥。
-
DESede (3DES)
-
HMAC — 支持 SHA1、SHA224、SHA256、SHA384、SHA512 哈希。
-
-
密码(仅限加密和解密)
AES/GCM/ NoPadding
-
AES/ECB/ NoPadding
-
AES/CBC/PKCS5Padding
-
desede/ECB/ NoPadding
-
DESede/CBC/PKCS5Padding
-
AES/CTR/ NoPadding
-
RSA/ECB/PKCS1Padding
-
RSA/ECB/OAEPPadding
-
RSA/ECB/OAEPWithSHA-1ANDMGF1Padding
-
RSA/ECB/OAEPWithSHA-224ANDMGF1Padding
-
RSA/ECB/OAEPWithSHA-256ANDMGF1Padding
-
RSA/ECB/OAEPWithSHA-384ANDMGF1Padding
-
RSA/ECB/OAEPWithSHA-512ANDMGF1Padding
-
摘要
SHA-1
-
SHA-224
-
SHA-256
-
SHA-384
-
SHA-512
-
签署/验证
-
NONEwithRSA
-
SHA1withRSA
-
SHA224withRSA
-
SHA256withRSA
-
SHA384withRSA
-
SHA512withRSA
-
NONEwithECDSA
-
SHA1withECDSA
-
SHA224withECDSA
-
SHA256withECDSA
-
SHA384withECDSA
-
SHA512withECDSA
-
-
与 Java 集成 KeyStore
PKCS #11 库
-
改进了稳定性,进行了错误修复。
OpenSSL 动态引擎
-
添加了“通过 P-256、P-384 和 secp256k1 曲线执行 ECDSA 验证/签名”的支持。
-
增加对以下平台的支持:亚马逊 Linux、亚马逊 Linux 2、Centos 7.8+、RHEL 7(7.8+)。
-
增加了对 OpenSSL 1.0.2 版的支持。
-
改进了稳定性,进行了错误修复。
JCE 提供程序
-
密钥类型
-
RSA 2048 位到 4096 位 RSA 密钥,增量为 256 位。
-
AES – 128、192 和 256 位 AES 密钥。
-
NIST 曲线 secp256r1 (P-256)、secp384r1 (P-384) 和 secp256k1 的 ECC 密钥对。
-
DESede (3DES)
-
HMAC — 支持 SHA1、SHA224、SHA256、SHA384、SHA512 哈希。
-
-
密码(仅限加密和解密)
AES/GCM/ NoPadding
-
AES/ECB/ NoPadding
-
AES/CBC/PKCS5Padding
-
desede/ECB/ NoPadding
-
DESede/CBC/PKCS5Padding
-
AES/CTR/ NoPadding
-
RSA/ECB/PKCS1Padding
-
RSA/ECB/OAEPPadding
-
RSA/ECB/OAEPWithSHA-1ANDMGF1Padding
-
RSA/ECB/OAEPWithSHA-224ANDMGF1Padding
-
RSA/ECB/OAEPWithSHA-256ANDMGF1Padding
-
RSA/ECB/OAEPWithSHA-384ANDMGF1Padding
-
RSA/ECB/OAEPWithSHA-512ANDMGF1Padding
-
摘要
SHA-1
-
SHA-224
-
SHA-256
-
SHA-384
-
SHA-512
-
签署/验证
-
NONEwithRSA
-
SHA1withRSA
-
SHA224withRSA
-
SHA256withRSA
-
SHA384withRSA
-
SHA512withRSA
-
NONEwithECDSA
-
SHA1withECDSA
-
SHA224withECDSA
-
SHA256withECDSA
-
SHA384withECDSA
-
SHA512withECDSA
-
-
与 Java 集成 KeyStore
PKCS #11 库
-
改进了稳定性,进行了错误修复。
OpenSSL 动态引擎
-
改进了稳定性,进行了错误修复。
5.2.0 版对 PKCS #11 库增加了“对其他密钥类型和机制”支持。
PKCS #11 库
密钥类型
ECDSA — P-224、P-256、P-384、P-521 和 secp256k1 曲线
三重 DES (3DES)
机制
CKM_EC_KEY_PAIR_GEN
CKM_DES3_KEY_GEN
CKM_DES3_CBC
CKM_DES3_CBC_PAD
CKM_DES3_ECB
CKM_ECDSA
CKM_ECDSA_SHA1
CKM_ECDSA_SHA224
CKM_ECDSA_SHA256
CKM_ECDSA_SHA384
CKM_ECDSA_SHA512
用于加密/解密的 CKM_RSA_PKCS
OpenSSL 动态引擎
改进了稳定性,进行了错误修复。
5.1.0 版对 PKCS #11 库增加了“对其他机制”的支持。
PKCS #11 库
机制
用于包装/解包的 CKM_RSA_PKCS
CKM_RSA_PKCS_PSS
CKM_SHA1_RSA_PKCS_PSS
CKM_SHA224_RSA_PKCS_PSS
CKM_SHA256_RSA_PKCS_PSS
CKM_SHA384_RSA_PKCS_PSS
CKM_SHA512_RSA_PKCS_PSS
CKM_AES_ECB
CKM_AES_CTR
CKM_AES_CBC
CKM_AES_CBC_PAD
CKM_SP800_108_COUNTER_KDF
CKM_GENERIC_SECRET_KEY_GEN
CKM_SHA_1_HMAC
CKM_SHA224_HMAC
CKM_SHA224_HMAC
CKM_SHA224_HMAC
CKM_SHA512_HMAC
CKM_RSA_PKCS_OAEP 仅限包装/解包
CKM_RSA_AES_KEY_WRAP
CKM_CLOUDHSM_AES_KEY_KEY_WRAP_NO_PAD
CKM_CLOUDHSM_AES_KEY_KEY_WRAP_PKCS5_PAD
CKM_CLOUDHSM_AES_KEY_KEY_WRAP_ZERO_PAD
API 操作
C_ CreateObject
C_ DeriveKey
C_ WrapKey
C_ UnWrapKey
OpenSSL 动态引擎
改进了稳定性,进行了错误修复。
5.0.1 版增加了对 OpenSSL 动态引擎的初始支持。
PKCS #11 库
-
改进了稳定性,进行了错误修复。
OpenSSL 动态引擎
-
OpenSSL 动态引擎的初始版本。
-
此版本为密钥类型和 OpenSSL API 提供入门支持:
-
针对 2048、3072 和 4096 位密钥的 RSA 密钥生成
-
OpenSSL API:
有关更多信息,请参阅 OpenSSL 动态引擎。
-
-
支持的平台:CentOS 8.3+、红帽企业 Linux (RHEL) 8.3+ 和 Ubuntu 18.04 LTS
-
需要:OpenSSL 1.1.1
有关更多信息,请参阅支持的平台。
-
-
在 CentOS 8.3+、红帽企业 Linux (RHEL) 8.3 和 Ubuntu 18.04 LTS 上支持 SSL/TLS 卸载,包括 NGINX 1.19(适用于部分密码套件)。
有关更多信息,请参阅使用 Linux 上的 SSL/TLS 卸载。
5.0.0 是第一个发行版本。
PKCS #11 库
-
这是初始版本。
客户软件开发工具包 5.0.0 版中的 PKCS #11 库入门支持
本节详细介绍了客户端软件开发工具包 5.0.0 版的密钥类型、机制、API 操作和属性支持。
密钥类型:
-
AES– 128、192 和 256 位 AES 密钥
-
RSA– 2048 位到 4096 位 RSA 密钥,增量为 256 位
机制:
-
CKM_AES_GCM
-
CKM_AES_KEY_GEN
-
CKM_CLOUDHSM_AES_GCM
-
CKM_RSA_PKCS
-
CKM_RSA_X9_31_KEY_PAIR_GEN
-
CKM_SHA1
-
CKM_SHA1_RSA_PKCS
-
CKM_SHA224
-
CKM_SHA224_RSA_PKCS
-
CKM_SHA256
-
CKM_SHA256_RSA_PKCS
-
CKM_SHA384
-
CKM_SHA384_RSA_PKCS
-
CKM_SHA512
-
CKM_SHA512_RSA_PKCS
API 操作:
-
C_ CloseAllSessions
-
C_ CloseSession
-
C_Decrypt
-
C_ DecryptFinal
-
C_ DecryptInit
-
C_ DecryptUpdate
-
C_ DestroyObject
-
C_Digest
-
C_ DigestFinal
-
C_ DigestInit
-
C_ DigestUpdate
-
C_Encrypt
-
C_ EncryptFinal
-
C_ EncryptInit
-
C_ EncryptUpdate
-
C_Finalize
-
C_ FindObjects
-
C_ FindObjectsFinal
-
C_ FindObjectsInit
-
C_ GenerateKey
-
C_ GenerateKeyPair
-
C_ GenerateRandom
-
C_ GetAttributeValue
-
C_ GetFunctionList
-
C_ GetInfo
-
C_ GetMechanismInfo
-
C_ GetMechanismList
-
C_ GetSessionInfo
-
C_ GetSlotInfo
-
C_ GetSlotList
-
C_ GetTokenInfo
-
C_Initialize
-
C_Login
-
C_Logout
-
C_ OpenSession
-
C_Sign
-
C_ SignFinal
-
C_ SignInit
-
C_ SignUpdate
-
C_Verify
-
C_ VerifyFinal
-
C_ VerifyInit
-
C_ VerifyUpdate
属性:
-
GenerateKeyPair
-
所有 RSA 密钥属性
-
-
GenerateKey
-
所有 AES 密钥属性
-
-
GetAttributeValue
-
所有 RSA 密钥属性
-
所有 AES 密钥属性
-
示例:
已弃用的客户端 SDK 3 版本
本节列出了已弃用的客户端 SDK 3 版本。
3.4.3 版增加了 JCE 提供程序更新。
AWS CloudHSM 客户机软件
-
更新了版本以保持一致性。
PKCS #11 库
-
更新了版本以保持一致性。
OpenSSL 动态引擎
-
更新了版本以保持一致性。
JCE 提供程序
-
将 log4j 版本更新到 2.17.0。
适用于 Windows(CNG 和 KSP 提供程序)
-
更新了版本以保持一致性。
3.4.2 版增加了 JCE 提供程序更新。
AWS CloudHSM 客户机软件
-
更新了版本以保持一致性。
PKCS #11 库
-
更新了版本以保持一致性。
OpenSSL 动态引擎
-
更新了版本以保持一致性。
JCE 提供程序
-
将 log4j 版本更新到 2.16.0。
适用于 Windows(CNG 和 KSP 提供程序)
-
更新了版本以保持一致性。
3.4.1 版增加了 JCE 提供程序更新。
AWS CloudHSM 客户机软件
-
更新了版本以保持一致性。
PKCS #11 库
-
更新了版本以保持一致性。
OpenSSL 动态引擎
-
更新了版本以保持一致性。
JCE 提供程序
-
将 log4j 版本更新到 2.15.0。
适用于 Windows(CNG 和 KSP 提供程序)
-
更新了版本以保持一致性。
3.4.0 版本增加了对所有组件的更新。
AWS CloudHSM 客户机软件
-
改进了稳定性,进行了错误修复。
PKCS #11 库
-
改进了稳定性,进行了错误修复。
OpenSSL 动态引擎
-
改进了稳定性,进行了错误修复。
JCE 提供程序
-
改进了稳定性,进行了错误修复。
适用于 Windows(CNG 和 KSP 提供程序)
-
改进了稳定性,进行了错误修复。
3.3.2 版解决了一项 client_info script 问题。
AWS CloudHSM 客户机软件
-
更新了版本以保持一致性。
PKCS #11 库
-
更新了版本以保持一致性。
OpenSSL 动态引擎
-
更新了版本以保持一致性。
JCE 提供程序
-
更新了版本以保持一致性。
适用于 Windows(CNG 和 KSP 提供程序)
-
更新了版本以保持一致性。
3.3.1 版本增加了对所有组件的更新。
AWS CloudHSM 客户机软件
-
改进了稳定性,进行了错误修复。
PKCS #11 库
-
改进了稳定性,进行了错误修复。
OpenSSL 动态引擎
-
改进了稳定性,进行了错误修复。
JCE 提供程序
-
改进了稳定性,进行了错误修复。
适用于 Windows(CNG 和 KSP 提供程序)
-
改进了稳定性,进行了错误修复。
3.3.0 版本增加了双因素身份验证 (2FA) 和其他改进。
AWS CloudHSM 客户机软件
-
为加密员(CO)添加了双重身份验证。有关更多信息,请参阅加密员(CO)双重身份验证管理。
-
移除了对 RedHat 企业 Linux 6 和 CentOS 6 的平台支持。有关详细信息,请参阅 Linux 支持。
-
添加了独立版本 CMU,可与客户端软件开发工具包 5 或客户端软件开发工具包 3 配合使用。这与 3.3.0 版客户端进程守护程序中包含的 CMU 版本相同,现在您不需要下载客户端守护程序,即可下载 CMU。
PKCS #11 库
-
改进了稳定性,进行了错误修复。
-
移除了对 RedHat 企业 Linux 6 和 CentOS 6 的平台支持。有关详细信息,请参阅 Linux 支持。
OpenSSL 动态引擎
-
更新了版本以保持一致性
-
移除了对 RedHat 企业 Linux 6 和 CentOS 6 的平台支持。有关详细信息,请参阅 Linux 支持。
JCE 提供程序
-
改进了稳定性,进行了错误修复。
-
移除了对 RedHat 企业 Linux 6 和 CentOS 6 的平台支持。有关详细信息,请参阅 Linux 支持。
适用于 Windows(CNG 和 KSP 提供程序)
-
更新了版本以保持一致性
版本 3.2.1 添加了 PKCS #11 库和 PKCS #11 标准的 AWS CloudHSM 实现、新平台和其他改进之间的合规性分析。
AWS CloudHSM 客户机软件
-
增加了对 CentOS 8、RHEL 8 和 Ubuntu 18.04 LTS 的平台支持。有关更多信息,请参阅 客户端软件开发工具包 5 支持的平台。
PKCS #11 库
-
增加了对 CentOS 8、RHEL 8 和 Ubuntu 18.04 LTS 的平台支持。有关更多信息,请参阅 客户端软件开发工具包 5 支持的平台。
OpenSSL 动态引擎
-
不支持 CentOS 8、RHEL 8 以及 Ubuntu 18.04 LTS。有关更多信息,请参阅 OpenSSL Dynamic Engine 的已知问题。
JCE 提供程序
-
增加了对 CentOS 8、RHEL 8 和 Ubuntu 18.04 LTS 的平台支持。有关更多信息,请参阅 客户端软件开发工具包 5 支持的平台。
适用于 Windows(CNG 和 KSP 提供程序)
-
改进了稳定性,进行了错误修复。
3.2.0 版本增加了对替换式密码的支持和其他改进。
AWS CloudHSM 客户机软件
-
新增支持:使用命令行工具时隐藏密码。有关更多信息,请参阅 loginHSM 和 logoutHSM (cloudhsm_mgmt_util) 以及 loginHSM 和 logoutHSM (key_mgmt_util)。
PKCS #11 库
-
新增支持:对此前不支持的部分 PKCS #11 机制中的软件内的大数据执行哈希处理。有关更多信息,请参阅受支持的机制。
OpenSSL 动态引擎
-
改进了稳定性,进行了错误修复。
JCE 提供程序
-
更新了版本以保持一致性。
适用于 Windows(CNG 和 KSP 提供程序)
-
改进了稳定性,进行了错误修复。
3.1.2 版增加了 JCE 提供程序更新。
AWS CloudHSM 客户机软件
-
更新了版本以保持一致性
PKCS #11 库
-
更新了版本以保持一致性
OpenSSL 动态引擎
-
更新了版本以保持一致性
JCE 提供程序
-
将 log4j 版本更新到 2.13.3。
适用于 Windows(CNG 和 KSP 提供程序)
-
更新了版本以保持一致性
AWS CloudHSM 客户机软件
-
更新了版本以保持一致性。
PKCS #11 库
-
更新了版本以保持一致性。
OpenSSL 动态引擎
-
更新了版本以保持一致性。
JCE 提供程序
-
缺陷修复和性能改进。
Windows(CNG、KSP)
-
更新了版本以保持一致性。
版本 3.1.0 添加了符合标准的 AES 密钥包装。
AWS CloudHSM 客户机软件
-
有关升级的新要求:客户端的版本必须与您正在使用的任意软件库的版本匹配。要进行升级,您必须使用批处理命令来同时升级客户端和所有库。有关更多信息,请参阅客户端软件开发工具包 3 升级。
-
Key_mgmt_util (KMU) 包括以下更新:
PKCS #11 库
-
添加了两种新的 AES 密钥包装方法 - 符合标准的 AES 密钥包装(零填充)和无填充的 AES 密钥包装。有关更多信息,请参阅 AES 密钥包装。
-
您可以配置 RSA-PSS 签名的 salt 长度。要了解如何使用此功能,请参阅上的 RSA-PSS 签名的可配置盐长度
。 GitHub
OpenSSL 动态引擎
-
重大更改:带 SHA1 的 TLS 1.0 和 1.2 密码套件不适用于 OpenSSL Engine 3.1.0。此问题将很快得到解决。
-
如果您打算在 RHEL 6 或 CentOS 6 上安装 OpenSSL 动态引擎库,请参阅有关这些操作系统上已安装的默认 OpenSSL 版本的已知问题。
-
改进了稳定性和错误修复
JCE 提供程序
-
重大更改:为了解决 Java Cryptography Extension (JCE) 的合规性问题,AES 包装和解开包装功能现在可以正确地使用 AESWrap 算法而不是 AES 算法。这意味着对于 AES/ECB 和 AES/CBC 机制,
Cipher.WRAP_MODE和Cipher.UNWRAP_MODE不会再取得成功。要升级到客户端版本 3.1.0,您必须更新您的代码。如果您有已包装的密钥,则必须特别注意用于解开包装的机制以及 IV 默认值的变化。如果您使用客户端版本 3.0.0 或更早版本包装了密钥,那么在 3.1.1 中,您必须使用 AESWrap/ECB/PKCS5Padding 来解开现有密钥的包装。有关更多信息,请参阅 AES 密钥包装。
-
您可以列出 JCE 提供程序中带相同标签的多个密钥。要了解如何遍历所有可用密钥,请参阅 “查找所有按键
” GitHub。 -
可以在密钥创建过程中为属性设置更受限的值,包括为公有密钥和私有密钥指定不同的标签。有关更多信息,请参阅支持的 Java 属性。
Windows(CNG、KSP)
-
改进了稳定性,进行了错误修复。
E nd-of-life 版本
AWS CloudHSM 宣布不再与该服务兼容的版本的生命周期终止。为了保护您的应用程序的安全,我们保留主动拒绝 end-of-life 发布连接的权利。
目前,客户端 SDK 没有版本 end-of-life 发布。
