Notifiche di deprecazione - AWS CloudHSM
HSM1 DeprecazioneConformità FIPS 140: meccanismo di deprecazione 2024

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Notifiche di deprecazione

Di tanto in tanto, AWS CloudHSM può rendere obsolete le funzionalità per rimanere conformi ai requisiti di FIPS 140, PCI-DSS, PCI-PIN, PCI-3DS o a causa dell'hardware. SOC2 end-of-support Questa pagina elenca le modifiche attualmente in vigore.

HSM1 Deprecazione

Il supporto per il tipo di istanza AWS CloudHSM hsm1.medium terminerà il 31 marzo 2026. Per garantire la continuità del servizio, stiamo introducendo le seguenti modifiche:

  • A partire da aprile 2025, non potrai creare nuovi cluster hsm1.medium.

  • A partire da gennaio 2026, inizieremo a migrare automaticamente i cluster hsm1.medium esistenti al nuovo tipo di istanza hsm2m.medium.

Il tipo di istanza hsm2m.medium è compatibile con il tipo di istanza corrente e offre prestazioni migliorate. AWS CloudHSM Per evitare interruzioni delle applicazioni, è necessario eseguire l'aggiornamento alla versione più recente del client SDK. Per istruzioni sull'aggiornamento, consulta. Migrazione da AWS CloudHSM Client SDK 3 a Client SDK 5

Sono disponibili due opzioni per la migrazione:

  1. Scegli una migrazione gestita da CloudHSM quando sei pronto. Per ulteriori informazioni, consulta Migrazione da hsm1.medium a hsm2m.medium.

  2. Crea un nuovo cluster hsm2m.medium da un backup del tuo cluster hsm1 e reindirizza l'applicazione al nuovo cluster. Si consiglia di utilizzare una strategia di implementazione per questo approccio. blue/green Per ulteriori informazioni, consulta Creazione di AWS CloudHSM cluster dai backup.

Conformità FIPS 140: meccanismo di deprecazione 2024

Il National Institute of Standards and Technology (NIST) segnala 1che il supporto per la crittografia Triple DES (DESede, 3DES, DES3) e il wrap and unwrap delle chiavi RSA con il padding PKCS #1 v1.5 non sarà consentito dopo il 31 dicembre 2023. Pertanto, il supporto per questi sistemi terminerà il 1° gennaio 2024 nei nostri cluster in modalità Federal Information Processing Standard (FIPS). Il supporto per questi sistemi rimane valido per i cluster in FIPs modalità diversa.

Questa guida si applica alle seguenti operazioni crittografiche:

  • Generazione di chiavi Triple DES

    • CKM_DES3_KEY_GEN per la libreria PKCS #11

    • DESede generazione di chiavi per il provider JCE

    • genSymKey con -t=21 per la KMU

  • Crittografia con chiavi Triple DES (nota: sono consentite operazioni di decifrazione)

    • Per la libreria PKCS #11: crittografare CKM_DES3_CBC, crittografare CKM_DES3_CBC_PAD e crittografare CKM_DES3_ECB

    • Per il provider JCE: crittografare DESede/CBC/PKCS5Padding, crittografare DESede/CBC/NoPadding, crittografare DESede/ECB/Padding e crittografare DESede/ECB/NoPadding

  • Wrap, unwrap, crittografa e decifrazione RSA delle chiavi con il padding PKCS #1 v1.5

    • CKM_RSA_PKCS wrap, unwrap, crittografa e decifrazione per l'SDK PKCS #11

    • RSA/ECB/PKCS1Padding wrap, unwrap, crittografa e decrittografa per JCE SDK

    • wrapKey e unWrapKey con -m 12 per la KMU (nota: 12 è il valore del meccanismo RSA_PKCS)

[1] Per i dettagli su questa modifica, fai riferimento alla Tabella 1 e alla Tabella 5 in Transizione nell'uso degli algoritmi crittografici e della lunghezza delle chiavi.