AWS CloudHSM veraltete Client-SDK-Versionen

PKCS-#11-Bibliothek

• Unterstützung für die Konfiguration mit mehreren Steckplätzen wurde hinzugefügt.

JCE-Anbieter

• Konfigurationsbasierte Schlüsselextraktion hinzugefügt.

• Unterstützung für Konfigurationen mit mehreren Clustern und mehreren Benutzern hinzugefügt.

• Unterstützung für SSL- und TLS-Offload mit JSSE hinzugefügt.

• Unwrap-Unterstützung für hinzugefügt. AES/CBC/NoPadding

• Neue Typen von Schlüsselfabriken hinzugefügt: SecretKeyFactory und KeyFactory.

CloudHSM-CLI

• Unterstützung für Quorum-Authentifizierung hinzugefügt

PKCS-#11-Bibliothek

• Verbesserte Stabilität und Fehlerbehebungen.

• Wird jetzt auf der ARM-Architektur mit Amazon Linux 2 unterstützt.

• Algorithmen

  • CKM_AES_CMAC (signieren und verifizieren)

OpenSSL Dynamic Engine

• Verbesserte Stabilität und Fehlerbehebungen.

• Wird jetzt auf der ARM-Architektur mit Amazon Linux 2 unterstützt.

JCE-Anbieter

• Verbesserte Stabilität und Fehlerbehebungen.

• Algorithmen

  • AESCMAC

PKCS-#11-Bibliothek

• Verbesserte Stabilität und Fehlerbehebungen.

• Mechanismen

  • CKM_RSA_X_509, für die Modi Verschlüsseln, Entschlüsseln, Signieren und Verifizieren

OpenSSL Dynamic Engine

• Verbesserte Stabilität und Fehlerbehebungen.

JCE-Anbieter

• Verbesserte Stabilität und Fehlerbehebungen.

• Verschlüsselungen

  • RSA/ECB/NoPadding, für Verschlüsselungs- und Entschlüsselungsmodi

Unterstützte Schlüssel

• EC mit den Kurven secp224r1 und secp521r1

Plattformunterstützung

• Unterstützung für Ubuntu 20.04 hinzugefügt.

PKCS-#11-Bibliothek

• Verbesserte Stabilität und Fehlerbehebungen.

OpenSSL Dynamic Engine

• Verbesserte Stabilität und Fehlerbehebungen.

JCE-Anbieter

• Unterstützung für die Dienstprogramme Keytool und Jarsigner

• Unterstützung für OpenJDK 11 auf allen Plattformen

• Verschlüsselungen

  • AES/CBC/NoPadding Modus „Verschlüsseln und Entschlüsseln“

  • AES/ECB/PKCS5Padding Modus „Verschlüsseln und Entschlüsseln“

  • AES/CTR/NoPadding Modus „Verschlüsseln und Entschlüsseln“

  • AES/GCM/NoPadding Modus „Wrap“ und „Unwrap“

  • DESede/ECB/PKCS5Padding Modus „Verschlüsseln und Entschlüsseln“

  • DESede/CBC/NoPadding Modus „Verschlüsseln und Entschlüsseln“

  • AESWrap/ECB/NoPadding Modus „Wrap“ und „Unwrap“

  • AESWrap/ECB/PKCS5Padding Wrap- und Unwrap-Modus

  • AESWrap/ECB/ZeroPadding Wrap- und Unwrap-Modus

  • RSA/ECB/PKCS1Padding Wrap- und Unwrap-Modus

  • RSA/ECB/OAEPPadding Wrap- und Unwrap-Modus

  • RSA/ECB/OAEPWithSHA-1ANDMGF1Padding Wrap- und Unwrap-Modus

  • RSA/ECB/OAEPWithSHA-224ANDMGF1Padding Wrap- und Unwrap-Modus

  • RSA/ECB/OAEPWithSHA-256ANDMGF1Padding Wrap- und Unwrap-Modus

  • RSA/ECB/OAEPWithSHA-384ANDMGF1Padding Wrap- und Unwrap-Modus

  • RSA/ECB/OAEPWithSHA-512ANDMGF1Padding Wrap- und Unwrap-Modus

  • RSAAESWrap/ECB/OAEPPadding Wrap- und Unwrap-Modus

  • RSAAESWrap/ECB/OAEPWithSHA-1ANDMGF1Padding Wrap- und Unwrap-Modus

  • RSAAESWrap/ECB/OAEPWithSHA-224ANDMGF1Padding Wrap- und Unwrap-Modus

  • RSAAESWrap/ECB/OAEPWithSHA-256ANDMGF1Padding Wrap- und Unwrap-Modus

  • RSAAESWrap/ECB/OAEPWithSHA-384ANDMGF1Padding Wrap- und Unwrap-Modus

  • RSAAESWrap/ECB/OAEPWithSHA-512ANDMGF1Padding Wrap- und Unwrap-Modus

• KeyFactory und SecretKeyFactory

  • RSA – 2048-Bit- bis 4096-Bit-RSA-Schlüssel, in Schritten von je 256 Bit.

  • AES – 128-, 192- und 256-Bit-AES-Schlüssel

  • EC-Schlüsselpaare für die NIST-Kurven secp256r1 (P-256), secp384r1 () und secp256k1 P-384

  • DESede (3DES)

  • GenericSecret

  • HMAC – mit SHA1-, SHA224-, SHA256-, SHA384- und SHA512-Hash-Unterstützung

• Sign/Verify

  • RSASSA-PSS

  • SHA1withRSA/PSS

  • SHA224withRSA/PSS

  • SHA256withRSA/PSS

  • SHA384withRSA/PSS

  • SHA512withRSA/PSS

  • SHA1withRSAandMGF1

  • SHA224withRSAandMGF1

  • SHA256withRSAandMGF1

  • SHA384withRSAandMGF1

  • SHA512withRSAandMGF1

PKCS-#11-Bibliothek

• Verbesserte Stabilität und Fehlerbehebungen.

OpenSSL Dynamic Engine

• Verbesserte Stabilität und Fehlerbehebungen.

JCE-Anbieter

• Verbesserte Stabilität und Fehlerbehebungen.

PKCS-#11-Bibliothek

• Verbesserte Stabilität und Fehlerbehebungen.

OpenSSL Dynamic Engine

• Verbesserte Stabilität und Fehlerbehebungen.

JCE-Anbieter

• Verbesserte Stabilität und Fehlerbehebungen.

PKCS-#11-Bibliothek

• Verbesserte Stabilität und Fehlerbehebungen.

OpenSSL Dynamic Engine

• Verbesserte Stabilität und Fehlerbehebungen.

JCE-Anbieter

• Schlüsseltypen

  • RSA – 2048-Bit- bis 4096-Bit-RSA-Schlüssel, in Schritten von je 256 Bit.

  • AES – 128-, 192- und 256-Bit AES-Schlüssel.

  • ECC-Schlüsselpaare für die NIST-Kurven secp256r1 (), secp384r1 () und secp256k1. P-256 P-384

  • DESede (3DES)

  • HMAC – mit SHA1-, SHA224-, SHA256-, SHA384- und SHA512-Hash-Unterstützung

• Chiffren (nur verschlüsseln und entschlüsseln)

  • AES/GCM/NoPadding

  • AES/ECB/NoPadding

  • AES/CBC/PKCS5Padding

  • DESede/ECB/NoPadding

  • DESede/CBC/PKCS5Padding

  • AES/CTR/NoPadding

  • RSA/ECB/PKCS1Padding

  • RSA/ECB/OAEPPadding

  • RSA/ECB/OAEPWithSHA-1ANDMGF1Padding

  • RSA/ECB/OAEPWithSHA-224ANDMGF1Padding

  • RSA/ECB/OAEPWithSHA-256ANDMGF1Padding

  • RSA/ECB/OAEPWithSHA-384ANDMGF1Padding

  • RSA/ECB/OAEPWithSHA-512ANDMGF1Padding

• Digests

  • SHA-1

  • SHA-224

  • SHA-256

  • SHA-384

  • SHA-512

• Sign/Verify

  • NONEwithRSA

  • SHA1withRSA

  • SHA224withRSA

  • SHA256withRSA

  • SHA384withRSA

  • SHA512withRSA

  • NONEwithECDSA

  • SHA1withECDSA

  • SHA224withECDSA

  • SHA256withECDSA

  • SHA384withECDSA

  • SHA512withECDSA

• Integration mit Java KeyStore

• Verbesserte Stabilität und Fehlerbehebungen.

• Unterstützung für ECSA sign/verify mit Kurven P-256, und P-384 secp256k1 hinzugefügt.

• Unterstützung für folgende Plattformen hinzufügen: Amazon Linux, Amazon Linux 2, CentOS 7.8+, RHEL 7 (7.8+).

• Unterstützung für OpenSSL Version 1.0.2 hinzugefügt.

• Verbesserte Stabilität und Fehlerbehebungen.

JCE-Anbieter

• Schlüsseltypen

  • RSA – 2048-Bit- bis 4096-Bit-RSA-Schlüssel, in Schritten von je 256 Bit.

  • AES – 128-, 192- und 256-Bit AES-Schlüssel.

  • EC-Schlüsselpaare für die NIST-Kurven secp256r1 (), secp384r1 () und secp256k1. P-256 P-384

  • DESede (3DES)

  • HMAC – mit SHA1-, SHA224-, SHA256-, SHA384- und SHA512-Hash-Unterstützung

• Chiffren (nur verschlüsseln und entschlüsseln)

  • AES/GCM/NoPadding

  • AES/ECB/NoPadding

  • AES/CBC/PKCS5Padding

  • DESede/ECB/NoPadding

  • DESede/CBC/PKCS5Padding

  • AES/CTR/NoPadding

  • RSA/ECB/PKCS1Padding

  • RSA/ECB/OAEPPadding

  • RSA/ECB/OAEPWithSHA-1ANDMGF1Padding

  • RSA/ECB/OAEPWithSHA-224ANDMGF1Padding

  • RSA/ECB/OAEPWithSHA-256ANDMGF1Padding

  • RSA/ECB/OAEPWithSHA-384ANDMGF1Padding

  • RSA/ECB/OAEPWithSHA-512ANDMGF1Padding

• Digests

  • SHA-1

  • SHA-224

  • SHA-256

  • SHA-384

  • SHA-512

• Sign/Verify

  • NONEwithRSA

  • SHA1withRSA

  • SHA224withRSA

  • SHA256withRSA

  • SHA384withRSA

  • SHA512withRSA

  • NONEwithECDSA

  • SHA1withECDSA

  • SHA224withECDSA

  • SHA256withECDSA

  • SHA384withECDSA

  • SHA512withECDSA

• Integration mit Java KeyStore

• Verbesserte Stabilität und Fehlerbehebungen.

• Verbesserte Stabilität und Fehlerbehebungen.

• ECSA— P-224, P-256, P-521 und P-384 secp256k1-Kurven

• Triple DES (3DES)

• CKM_EC_KEY_PAIR_GEN

• CKM_DES3_KEY_GEN

• CKM_DES3_CBC

• CKM_DES3_CBC_PAD

• CKM_DES3_ECB

• CKM_ECDSA

• CKM_ECDSA_SHA1

• CKM_ECDSA_SHA224

• CKM_ECDSA_SHA256

• CKM_ECDSA_SHA384

• CKM_ECDSA_SHA512

• CKM_RSA_PKCS für Encrypt/Decrypt

• Verbesserte Stabilität und Fehlerbehebungen.

• CKM_RSA_PKCS für Wrap/Unwrap

• CKM_RSA_PKCS_PSS

• CKM_SHA1_RSA_PKCS_PSS

• CKM_SHA224_RSA_PKCS_PSS

• CKM_SHA256_RSA_PKCS_PSS

• CKM_SHA384_RSA_PKCS_PSS

• CKM_SHA512_RSA_PKCS_PSS

• CKM_AES_ECB

• CKM_AES_CTR

• CKM_AES_CBC

• CKM_AES_CBC_PAD

• CKM_SP800_108_COUNTER_KDF

• CKM_GENERIC_SECRET_KEY_GEN

• CKM_SHA_1_HMAC

• CKM_SHA224_HMAC

• CKM_SHA256_HMAC

• CKM_SHA384_HMAC

• CKM_SHA512_HMAC

• Nur CKM_RSA_PKCS_OAEP Wrap/Unwrap

• CKM_RSA_AES_KEY_WRAP

• CKM_CLOUDHSM_AES_KEY_WRAP_NO_PAD

• CKM_CLOUDHSM_AES_KEY_WRAP_PKCS5_PAD

• CKM_CLOUDHSM_AES_KEY_WRAP_ZERO_PAD

• C_ CreateObject

• C_ DeriveKey

• C_ WrapKey

• C_ UnWrapKey

• Verbesserte Stabilität und Fehlerbehebungen.

• Verbesserte Stabilität und Fehlerbehebungen.

• Erste Version von OpenSSL Dynamic Engine.

• Diese Version bietet Unterstützung für Einsteiger für Schlüsseltypen und OpenSSL-APIs:

  • RSA-Schlüsselgenerierung für 2048-, 3072- und 4096-Bit-Schlüssel

  • OpenSSL APIs:

    • RSA Sign mit RSA PKCS mit & RSA PSS SHA1/224/256/384/512

    • Generierung von RSA-Schlüsseln

  Weitere Informationen finden Sie unter OpenSSL Dynamic Engine.

• Unterstützte Plattformen: CentOS 8.3+, Red Hat Enterprise Linux (RHEL) 8.3+ und Ubuntu 18.04 LTS

  • Benötigt: OpenSSL 1.1.1

  Weitere Informationen finden Sie unter Unterstützte Plattformen.

• Support für SSL/TLS Offload auf CentOS 8.3+, Red Hat Enterprise Linux (RHEL) 8.3 und Ubuntu 18.04 LTS, einschließlich NGINX 1.19 (für ausgewählte Cipher Suites).

  Weitere Informationen finden Sie unter Offload unter Linux mit Tomcat oder SSL/TLSOffload unter Linux mit NGINX oder Apache. SSL/TLS

• Dies ist die Erstversion.

• AES – 128-, 192- und 256-Bit-AES-Schlüssel

• RSA – 2048-Bit- bis 4096-Bit-RSA-Schlüssel, in Schritten von je 256 Bit.

• GenerateKeyPair

  • Alle RSA-Schlüsselattribute

• GenerateKey

  • Alle AES-Schlüsselattribute

• GetAttributeValue

  • Alle RSA-Schlüsselattribute

  • Alle AES-Schlüsselattribute

• Schlüssel generieren (AES, RSA, EC)

• Schlüsselattribute auflisten

• Verschlüsseln und Entschlüsseln von Daten mit AES GCM

• Signieren und Verifizieren von Daten mit RSA

• Versionsnummer wurde aus Konsistenzgründen aktualisiert.

• Versionsnummer wurde aus Konsistenzgründen aktualisiert.

• Versionsnummer wurde aus Konsistenzgründen aktualisiert.

• Aktualisieren Sie log4j auf Version 2.17.1.

• Versionsnummer wurde aus Konsistenzgründen aktualisiert.

• Versionsnummer wurde aus Konsistenzgründen aktualisiert.

• Versionsnummer wurde aus Konsistenzgründen aktualisiert.

• Versionsnummer wurde aus Konsistenzgründen aktualisiert.

• Aktualisieren Sie log4j auf Version 2.17.0.

• Versionsnummer wurde aus Konsistenzgründen aktualisiert.

• Versionsnummer wurde aus Konsistenzgründen aktualisiert.

• Versionsnummer wurde aus Konsistenzgründen aktualisiert.

• Versionsnummer wurde aus Konsistenzgründen aktualisiert.

• Aktualisieren Sie log4j auf Version 2.16.0.

• Versionsnummer wurde aus Konsistenzgründen aktualisiert.

• Versionsnummer wurde aus Konsistenzgründen aktualisiert.

• Versionsnummer wurde aus Konsistenzgründen aktualisiert.

• Versionsnummer wurde aus Konsistenzgründen aktualisiert.

• Aktualisieren Sie log4j auf Version 2.15.0.

• Versionsnummer wurde aus Konsistenzgründen aktualisiert.

• Verbesserte Stabilität und Fehlerbehebungen.

• Verbesserte Stabilität und Fehlerbehebungen.

• Verbesserte Stabilität und Fehlerbehebungen.

• Verbesserte Stabilität und Fehlerbehebungen.

• Verbesserte Stabilität und Fehlerbehebungen.

• Versionsnummer wurde aus Konsistenzgründen aktualisiert.

• Versionsnummer wurde aus Konsistenzgründen aktualisiert.

• Versionsnummer wurde aus Konsistenzgründen aktualisiert.

• Versionsnummer wurde aus Konsistenzgründen aktualisiert.

• Versionsnummer wurde aus Konsistenzgründen aktualisiert.

• Verbesserte Stabilität und Fehlerbehebungen.

• Verbesserte Stabilität und Fehlerbehebungen.

• Verbesserte Stabilität und Fehlerbehebungen.

• Verbesserte Stabilität und Fehlerbehebungen.

• Verbesserte Stabilität und Fehlerbehebungen.

• 2FA-Authentifizierung für Crypto Officer (CO) hinzugefügt. Weitere Informationen finden Sie unter Verwaltung der Two-Factor Authentifizierung für Crypto Officers.

• Die Plattformunterstützung für RedHat Enterprise Linux 6 und CentOS 6 wurde entfernt. Weitere Informationen finden Sie unter Linux-Support.

• Es wurde eine eigenständige Version von CMU zur Verwendung mit Client-SDK 5 oder Client-SDK 3 hinzugefügt. Dies ist dieselbe CMU-Version, die im Client-Daemon der Version 3.3.0 enthalten ist. Jetzt können Sie CMU herunterladen, ohne den Client-Daemon herunterzuladen.

• Verbesserte Stabilität und Fehlerbehebungen.

• Die Plattformunterstützung für RedHat Enterprise Linux 6 und CentOS 6 wurde entfernt. Weitere Informationen finden Sie unter Linux-Support.

• Versionsnummer wurde aus Konsistenzgründen aktualisiert.

• Die Plattformunterstützung für RedHat Enterprise Linux 6 und CentOS 6 wurde entfernt. Weitere Informationen finden Sie unter Linux-Support.

• Verbesserte Stabilität und Fehlerbehebungen.

• Die Plattformunterstützung für RedHat Enterprise Linux 6 und CentOS 6 wurde entfernt. Weitere Informationen finden Sie unter Linux-Support.

• Versionsnummer wurde aus Konsistenzgründen aktualisiert.

• Plattformunterstützung für CentOS 8, RHEL 8 und Ubuntu 18.04 LTS hinzugefügt. Weitere Informationen finden Sie unter AWS CloudHSM Client SDK 5 unterstützte Plattformen.

• Bericht zur Einhaltung der PKCS-#11-Bibliothek für das Client-SDK 3.2.1

• Plattformunterstützung für CentOS 8, RHEL 8 und Ubuntu 18.04 LTS hinzugefügt. Weitere Informationen finden Sie unter AWS CloudHSM Client SDK 5 unterstützte Plattformen.

• Keine Unterstützung für CentOS 8, RHEL 8 und Ubuntu 18.04 LTS. Weitere Informationen finden Sie unter Bekannte Probleme mit der OpenSSL Dynamic Engine für AWS CloudHSM.

• Plattformunterstützung für CentOS 8, RHEL 8 und Ubuntu 18.04 LTS hinzugefügt. Weitere Informationen finden Sie unter AWS CloudHSM Client SDK 5 unterstützte Plattformen.

• Verbesserte Stabilität und Fehlerbehebungen.

• Fügt Unterstützung für das Verbergen Ihres Passworts hinzu, wenn Sie Befehlszeilentools verwenden. Weitere Informationen finden Sie unter loginHSM und logoutHSM (cloudhsm_mgmt_util) und loginHSM und logoutHSM (key_mgmt_util).

• Integriert die Unterstützung für das Hashing großer Datenmengen in Software für einige PKCS-#11-Mechanismen, die zuvor nicht unterstützt wurden. Weitere Informationen finden Sie unter unterstütze Mechanismen.

• Verbesserte Stabilität und Fehlerbehebungen.

• Versionsnummer wurde aus Konsistenzgründen aktualisiert.

• Verbesserte Stabilität und Fehlerbehebungen.

• Versionsnummer wurde aus Konsistenzgründen aktualisiert.

• Versionsnummer wurde aus Konsistenzgründen aktualisiert.

• Versionsnummer wurde aus Konsistenzgründen aktualisiert.

• Aktualisieren Sie log4j auf Version 2.13.3.

• Versionsnummer wurde aus Konsistenzgründen aktualisiert.

• Versionsnummer wurde aus Konsistenzgründen aktualisiert.

• Versionsnummer wurde aus Konsistenzgründen aktualisiert.

• Versionsnummer wurde aus Konsistenzgründen aktualisiert.

• Fehlerbehebungen und Leistungsverbesserungen.

• Versionsnummer wurde aus Konsistenzgründen aktualisiert.

• Eine neue Upgrade-Anforderung: Die Version Ihres Clients muss mit der Version aller von Ihnen verwendeten Softwarebibliotheken übereinstimmen. Für ein Upgrade müssen Sie einen Stapelbefehl verwenden, der gleichzeitig den Client und alle Bibliotheken aktualisiert. Weitere Informationen finden Sie unter Client-SDK-3-Upgrade.

• Key_mgmt_util (KMU) umfasst die folgenden Updates:

  • Es wurden zwei neue AES-Verschlüsselungsmethoden hinzugefügt: standardkonforme AES-Verschlüsselung mit Zero Padding und AES-Verschlüsselung ohne Padding. Weitere Informationen finden Sie unter wrapKey oder unwrapKey.

  • Deaktivierte Funktion, einen benutzerdefinierten IV anzugeben, wenn ein Schlüssel mithilfe von AES_KEY_WRAP_PAD_PKCS5 verpackt wird. Weitere Informationen finden Sie unter AES Key Wrapping.

• Es wurden zwei neue AES-Verschlüsselungsmethoden hinzugefügt: standardkonforme AES-Verschlüsselung mit Zero Padding und AES-Verschlüsselung ohne Padding. Weitere Informationen finden Sie unter AES Key Wrapping.

• Sie können die Salzlänge für RSA-PSS Signaturen konfigurieren. Informationen zur Verwendung dieser Funktion finden Sie unter Konfigurierbare Salzlänge für RSA-PSS Signaturen GitHub.

• ABWÄRTSKOMPATIBLE ÄNDERUNG: TLS 1.0 und 1.2 Cipher Suites mit SHA1 sind in OpenSSL Engine 3.1.0 nicht verfügbar. Dieses Problem wird in Kürze behoben.

• Wenn Sie beabsichtigen, die OpenSSL Dynamic Engine-Bibliothek auf RHEL 6 oder CentOS 6 zu installieren, informieren Sie sich über ein bekanntes Problem bezüglich der OpenSSL-Standardversion, die auf diesen Betriebssystemen installiert ist.

• Stabilitätsverbesserungen und Fehlerbehebungen

• ABWÄRTSKOMPATIBLE ÄNDERUNG: Um ein Problem mit der Java Cryptography Extension (JCE)-Konformität zu beheben, verwenden die AES-Verschlüsselung und -Entschlüsselung jetzt anstelle des AES-Algorithmus den AESWrap-Algorithmus korrekt. Das bedeutet Cipher.WRAP_MODE und Cipher.UNWRAP_MODE funktioniert nicht mehr für AES/ECB und AES/CBC Mechanismen.

  Um ein Upgrade auf die Client-Version 3.1.0 durchzuführen, müssen Sie Ihren Code aktualisieren. Wenn Sie bereits verpackte Schlüssel haben, müssen Sie besonders auf den Mechanismus zum Entpacken achten und darauf, wie sich die IV-Standardwerte geändert haben. Wenn Sie Schlüssel mit der Client-Version 3.0.0 oder früher verpackt haben, müssen Sie in 3.1.1 Ihre vorhandenen Schlüssel AESWrap/ECB/PKCS5Padding zum Entpacken verwenden. Weitere Informationen finden Sie unter AES Key Wrapping.

• Sie können mehrere Schlüssel mit demselben Label aus der JCE-Anbieter auflisten. Wie Sie durch alle verfügbaren Schlüssel iterieren können, erfahren Sie unter Alle Schlüssel suchen auf. GitHub

• Sie können bei der Schlüsselerstellung restriktivere Werte für Attribute festlegen, einschließlich der Angabe unterschiedlicher Labels für öffentliche und private Schlüssel. Weitere Informationen finden Sie unter Unterstützte Java-Attribute.

• Verbesserte Stabilität und Fehlerbehebungen.