View a markdown version of this page

Notificações de suspensão - AWS CloudHSM
HSM1 DepreciaçãoConformidade com o FIPS 140: suspensão do mecanismo de 2024

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Notificações de suspensão

De tempos em tempos, AWS CloudHSM pode descontinuar a funcionalidade para permanecer em conformidade com os requisitos do FIPS 140, PCI-DSS, PCI-PIN, PCI-3DS ou devido ao hardware. SOC2 end-of-support Esta página lista as alterações que se aplicam atualmente.

HSM1 Depreciação

O tipo de instância AWS CloudHSM hsm1.medium chegará ao fim do suporte em 31 de março de 2026. Para garantir a continuidade do serviço, estamos introduzindo as seguintes mudanças:

  • A partir de abril de 2025, não será possível criar novos clusters hsm1.medium.

  • A partir de janeiro de 2026, começaremos a migrar automaticamente os clusters hsm1.medium existentes para o novo tipo de instância hsm2m.medium.

O tipo de instância hsm2m.medium é compatível com seu tipo de AWS CloudHSM instância atual e oferece desempenho aprimorado. Para evitar interrupções em suas aplicações, faça a atualização para a versão mais recente do SDK do cliente. Para obter instruções de atualização, consulte Migração do SDK do AWS CloudHSM cliente 3 para o SDK do cliente 5.

Você tem duas opções para migração:

  1. Opte por uma migração gerenciada pelo CloudHSM quando estiver tudo pronto. Para obter mais informações, Migrar de hsm1.medium para hsm2m.medium.

  2. Crie um novo cluster hsm2m.medium de um backup do cluster hsm1 e redirecione a aplicação para o novo cluster. Recomendamos usar uma estratégia blue/green de implantação para essa abordagem. Para obter mais informações, consulte Criação de AWS CloudHSM clusters a partir de backups.

Conformidade com o FIPS 140: suspensão do mecanismo de 2024

O Instituto Nacional de Padrões e Tecnologia (NIST) 1informa que o suporte à criptografia Triple DES (DESede, 3DES, DES3) e ao empacotamento e desempacotamento de chaves RSA com preenchimento PKCS #1 v1.5 não é permitido após 31 de dezembro de 2023. Portanto, o suporte para eles termina em 1.º de janeiro de 2024 em nossos clusters no modo Federal Information Processing Standard (FIPS – Padrão federal de processamento de informações). Support para eles permanece para clusters em FIPs modo não-.

Essa orientação se aplica às seguintes operações criptográficas:

  • Geração tripla de chaves DES

    • CKM_DES3_KEY_GEN para a Biblioteca PKCS #11

    • DESede Keygen para o provedor JCE

    • genSymKey com -t=21 para o KMU

  • Criptografia com chaves DES triplas (observação: operações de descriptografia são permitidas)

    • Para a biblioteca PKCS #11: criptografe CKM_DES3_CBC, criptografe CKM_DES3_CBC_PAD e , e criptografe CKM_DES3_ECB

    • Para o provedor JCE: criptografe DESede/CBC/PKCS5Padding, criptografe DESede/CBC/NoPadding, criptografe DESede/ECB/Padding e criptografe DESede/ECB/NoPadding

  • Encapsulamento, desencapsulamento, criptografia e descriptografia de chaves RSA com o preenchimento PKCS #1 v1.5

    • CKM_RSA_PKCS encapsulamento, desencapsulamento, criptografia e descriptografia para o SDK PKCS #11

    • RSA/ECB/PKCS1Padding encapsulamento, desencapsulamento, criptografia e descriptografia para o SDK JCE

    • wrapKeye unWrapKey com -m 12 para o KMU (a nota 12 é o valor do mecanismoRSA_PKCS)

[1] Para obter detalhes sobre essa alteração, consulte a Tabela 1 e a Tabela 5 em Transição do uso de algoritmos criptográficos e comprimentos de chave.