非推奨通知 - AWS CloudHSM
HSM1 の廃止FIPS 140 コンプライアンス: 2024 年 メカニズムの非推奨

非推奨通知

AWS CloudHSM では、FIPS 140、PCI-DSS、PCI-PIN、PCI-3DS、SOC2 の要件への準拠を維持するため、またはハードウェアのサポート終了に伴い、機能を廃止する場合があります。このページには、現在適用されている変更が一覧表示されています。

HSM1 の廃止

AWS CloudHSM hsm1.medium インスタンスタイプは、2025 年 12 月 1 日にサポートが終了します。サービスを継続して利用できるよう、以下の変更を導入します。

  • 2025 年 4 月以降、新しい hsm1.medium クラスターを作成できなくなります。

  • 2025 年 4 月以降、既存の hsm1.medium クラスターを新しい hsm2m.medium インスタンスタイプへ自動的に移行し始めます。

hsm2m.medium インスタンスタイプは、現在の AWS CloudHSM インスタンスタイプとの互換性があり、性能が向上しています。アプリケーションの中断を回避するためには、クライアント SDK の最新バージョンにアップグレードする必要があります。更新する方法については、AWS CloudHSM クライアント SDK 3 から クライアント SDK 5 への移行 を参照してください。

移行には、次の 2 つの方法があります。

  1. 準備ができたら、CloudHSM が管理する移行を選択します。詳細については、hsm1.medium から hsm2m.medium への移行 を参照してください。

  2. hsm1 クラスターのバックアップから新しい hsm2m.medium クラスターを作成し、アプリケーションを新しいクラスターに切り替えます。この方法では、ブルー/グリーンデプロイ戦略の使用をお勧めします。詳細については、「バックアップから AWS CloudHSM クラスターを作成する」を参照してください。

FIPS 140 コンプライアンス: 2024 年 メカニズムの非推奨

米国国立標準技術研究所 (NIST) 1 は、トリプル DES (DESede、3DES、DES3) 暗号化と PKCS #1 v1.5 パディングによる RSA キーのラップとアンラップのサポートは 2023 年 12 月 31 日以降は許可されないよう勧告しています。そのため、連邦情報処理標準 (FIPS) モードクラスターにおけるこれらのサポートは 2024 年 1 月 1 日に終了します。これらのサポートは、非 FIP モードのクラスターでも引き続きサポートされます。

このガイダンスは、以下の暗号化オペレーションに適用されます。

  • トリプル DES キー生成

    • PKCS #11 ライブラリ向け CKM_DES3_KEY_GEN

    • JCE プロバイダー向け DESede Keygen

    • genSymKeyと KMU 向け -t=21

  • トリプル DES キーによる暗号化 (注: 復号化操作は許可されています)

    • PKCS #11 ライブラリの場合: CKM_DES3_CBC 暗号化、CKM_DES3_CBC_PAD 暗号化、CKM_DES3_ECB 暗号化

    • JCE プロバイダーの場合: DESede/CBC/PKCS5Padding 暗号化、DESede/CBC/NoPadding 暗号化、DESede/ECB/Padding 暗号化、DESede/ECB/NoPadding 暗号化

  • PKCS #1 v1.5 パディングによる RSA キーのラップ、アンラップ、暗号化、および復号化

    • PKCS #11 SDK 向け CKM_RSA_PKCS ラップ、アンラップ、暗号化、および復号化

    • JCE SDK 向け RSA/ECB/PKCS1Padding ラップ、アンラップ、暗号化、および復号化

    • KMU 向け -m 12 付きの wrapKeyunWrapKey (注記12はメカニズム RSA_PKCS の値)

[1] この変更の詳細については、「暗号アルゴリズムとキー長の利用の変遷」の表 1 と表 5 を参照してください。