棄用通知 - AWS CloudHSM
FIPS 140 合規性:2024 機制棄用

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

棄用通知

不時,為了保持符合 FIPS 140,PCI-DSS,PCI-PIN,PCI-3DS 和 SOC2 的要求,可能 AWS CloudHSM 會棄用功能。此頁面會列出目前套用的變更。

FIPS 140 合規性:2024 機制棄用

美國國家標準技術研究院 (NIST) 1 建議,在 2023 年 12 月 31 日之後不允許對三重 DES (DESede、3DES、DES3) 加密以及 RSA 金鑰包裝和取消包裝 (採用 PKCS #1 v1.5 的填充方式) 的支援。因此,我們的聯邦資訊處理標準 (FIPS) 模式叢集中對這些支援將於 2024 年 1 月 1 日結束。在非 FIP 模式下的叢集仍然 Support 這些功能。

本指南適用於下列密碼編譯操作:

  • 三重 DES 金鑰產生

    • CKM_DES3_KEY_GEN 對於 PKCS #11 程式庫

    • DESede JCE 提供商的註冊機

    • genSymKey-t=21 用于 KMU 中

  • 使用三重 DES 金鑰進行加密 (注意:允許解密操作)

    • 對於 PKCS #11 程式庫:CKM_DES3_CBC 加密、CKM_DES3_CBC_PAD 加密和 CKM_DES3_ECB 加密

    • 對於 JCE 提供商:DESede/CBC/PKCS5Padding 加密、DESede/CBC/NoPadding 加密、DESede/ECB/Padding 加密和 DESede/ECB/NoPadding 加密

  • 使用 PKCS #1 v1.5 填充進行 RSA 金鑰包裝、取消包装、加密和解密

    • CKM_RSA_PKCS 為 PKCS #11 SDK 進行包裝、取消包装、加密和解密

    • RSA/ECB/PKCS1Padding 包裝、取消包装、加密和解密 JCE SDK

    • wrapKeyunWrapKey-m 12 用於 KMU (注意:12 是機制 RSA_PKCS 的值)

[1] 有關此變更的詳細信息,請參閱《過渡使用加密算法和密鑰長度》中的表 1 和表 5。