翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AES キーラップインの長さが非準拠IVs AWS CloudHSM
<a name="troubleshooting-aes-keys"></a>

このトラブルシューティングトピックは、アプリケーションが回復不可能なラップされたキーを生成するかの判断に役立ちます。この問題の影響を受けている場合、このトピックを活用して問題に対処してください。

**Topics**
+ [コードが回復不可能なラップされたキーを生成する可能性の判断](#troubleshooting-problem1)
+ [コードが回復不可能なラップされたキーを生成する場合に実行が必要なアクション](#troubleshooting-problem2)

## コードが回復不可能なラップされたキーを生成する可能性の判断
<a name="troubleshooting-problem1"></a>

以下の *すべて* の条件に当てはまる場合、影響を受けます。


****  

| Condition | 確認方法 | 
| --- | --- | 
|  PKCS \$111 ライブラリをアプリケーションで使用します   |  PKCS \$111 ライブラリは、`libpkcs11.so` フォルダ内の `/opt/cloudhsm/lib` ファイルとしてインストールされます。C 言語で書かれたアプリケーションは、通常 PKCS \$111 ライブラリを直接使用しますが、Java で書かれたアプリケーションは Java 抽象化レイヤーを介して間接的にライブラリを使用する場合があります。Windows を使用している場合、PKCS \$111 ライブラリは現在 Windows では利用できないため、影響を受けません。  | 
|  アプリケーションでは PKCS \$111 ライブラリのバージョン 3.0.0 を特に使用します   |   AWS CloudHSM チームから E メールを受け取った場合は、PKCS \$111 ライブラリのバージョン 3.0.0 を使用している可能性があります。 アプリケーションインスタンスのソフトウェアバージョンを確認するには、次のコマンドを使用します。 <pre>rpm -qa | grep ^cloudhsm</pre>  | 
|  AES キーラッピングを使用してキーをラップします  |  AES キーラップとは、AES キーを使用して他のキーをラップすることを意味します。対応するメカニズム名は `CKM_AES_KEY_WRAP` です。これは、関数 `C_WrapKey` とともに使用されます。`CKM_AES_GCM` や ` CKM_CLOUDHSM_AES_GCM` などの初期化ベクトル (IV) を使用する他の AES ベースのラッピングメカニズムはこの問題の影響を受けません。[関数とメカニズムの詳細情報](pkcs11-mechanisms.md)   | 
|  AES キーラッピングを呼び出すときにカスタム IV を指定し、この IV の長さは 8 より短くなります。  |  AES キーラップは通常、`CK_MECHANISM` の構造を使用して以下の通り初期化されます。 `CK_MECHANISM mech = {CKM_AES_KEY_WRAP, IV_POINTER, IV_LENGTH};` これは、次の場合にのみ適用されます。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/cloudhsm/latest/userguide/troubleshooting-aes-keys.html)  | 

上記の条件をすべて満たさない場合は、今すぐ読み取りを停止することができます。ラップされたキーは適切にアンラップでき、この問題は影響しません。それ以外の場合は[コードが回復不可能なラップされたキーを生成する場合に実行が必要なアクション](#troubleshooting-problem2)を参照してください。

## コードが回復不可能なラップされたキーを生成する場合に実行が必要なアクション
<a name="troubleshooting-problem2"></a>

次の 3 つの手順を実行する必要があります。

1.  **PKCS \$111 ライブラリを新しいバージョンにすぐにアップグレードします**
   + [Amazon Linux、CentOS 6、RHEL 6 用最新 PKCS \$111 ライブラリ](client-upgrade.md)
   + [Amazon Linux 2、CentOS 7、RHEL 7 用最新 PKCS \$111 ライブラリ](client-upgrade.md)
   + [Ubuntu 16.04 LTS 用の最新の PKCS \$111 ライブラリ](client-upgrade.md)

1. **標準に準拠した IV を使用するためソフトウェアを更新します**

   サンプルコードに従い、 NULL IV のみを指定することを強くお勧めします。これにより、HSM は標準準拠のデフォルト IV を使用します。または、IV を `0xA6A6A6A6A6A6A6A6` の対応する IV 長さを持つ `8` として明示的に指定することもできます。AES キーラッピングに他の IV を使用することはお勧めしません。将来のバージョンの PKCS \$111 ライブラリでは AES キーラッピングのカスタム IV を明示的に無効にします。

   IV を適切に指定するサンプルコードは、GitHub の [aes\$1wrapping.c](https://github.com/aws-samples/aws-cloudhsm-pkcs11-examples/blob/master/src/wrapping/aes_wrapping.c#L72) に表示されます。

1. **既存のラップされたキーを特定して復元します**

   PKCS \$111 ライブラリのバージョン 3.0.0 を使用してラップしたキーを特定し、キーを回復する場合、サポート ([https://aws.amazon.com/support](https://aws.amazon.com/support)) へお問い合わせください。

**重要**  
この問題は、PKCS \$111 ライブラリのバージョン 3.0.0 でラップされたキーにのみ影響します。PKCS \$111 ライブラリの以前のバージョン ( 2.0.4 および番号の小さいパッケージ ) またはそれ以降のバージョン ( 3.0.1 以上の番号のパッケージ ) を使用してキーをラップできます。