Notificações de suspensão - AWS CloudHSM
Suspensão do HSM1Conformidade com o FIPS 140: suspensão do mecanismo de 2024

Notificações de suspensão

De tempos em tempos, o AWS CloudHSM pode suspender a funcionalidade para permanecer em conformidade com os requisitos do FIPS 140, PCI-DSS, PCI-PIN, PCI-3DS, SOC2 ou por causa do hardware com fim de suporte. Esta página lista as alterações que se aplicam atualmente.

Suspensão do HSM1

O tipo de instância hsm1.medium do AWS CloudHSM chegará ao fim do suporte em 1º de dezembro de 2025. Para garantir a continuidade do serviço, estamos introduzindo as seguintes mudanças:

  • A partir de abril de 2025, não será possível criar novos clusters hsm1.medium.

  • A partir de abril de 2025, começaremos a migrar automaticamente os clusters hsm1.medium existentes para o novo tipo de instância hsm2m.medium.

O tipo de instância hsm2m.medium é compatível com seu tipo de instância atual do AWS CloudHSM e oferece desempenho aprimorado. Para evitar interrupções em suas aplicações, você deverá atualizar para a versão mais recente do SDK do cliente. Para obter instruções de atualização, consulte Migrar do Client SDK 3 do AWS CloudHSM para o Client SDK 5.

Você tem duas opções para migração:

  1. Opte por uma migração gerenciada pelo CloudHSM quando estiver pronto(a). Para obter mais informações, Migrar de hsm1.medium para hsm2m.medium.

  2. Crie um novo cluster hsm2m.medium de um backup do seu cluster hsm1 e redirecione sua aplicação para o novo cluster. Recomendamos usar uma estratégia de implantação azul/verde para essa abordagem. Para obter mais informações, consulte Criar clusters do AWS CloudHSM de backups.

Conformidade com o FIPS 140: suspensão do mecanismo de 2024

O Instituto nacional de padrões e tecnologia (National Institute of Standards and Technology, NIST)1informa que o suporte à criptografia Triple DES (DESede, 3DES, DES3) e ao encapsulamento e desencapsulamento de chaves RSA com preenchimento PKCS nº 1 v1.5 não será permitido após 31 de dezembro de 2023. Portanto, o suporte para eles termina em 1.º de janeiro de 2024 em nossos clusters no modo Federal Information Processing Standard (FIPS – Padrão federal de processamento de informações). O suporte para eles permanece para clusters no modo não FIPS.

Essa orientação se aplica às seguintes operações criptográficas:

  • Geração tripla de chaves DES

    • CKM_DES3_KEY_GEN para a Biblioteca PKCS #11

    • DESede Keygen para o provedor JCE

    • genSymKey com -t=21 para o KMU

  • Criptografia com chaves DES triplas (observação: operações de descriptografia são permitidas)

    • Para a biblioteca PKCS #11: criptografe CKM_DES3_CBC, criptografe CKM_DES3_CBC_PAD e , e criptografe CKM_DES3_ECB

    • Para o provedor JCE: criptografe DESede/CBC/PKCS5Padding, criptografe DESede/CBC/NoPadding, criptografe DESede/ECB/Padding e criptografe DESede/ECB/NoPadding

  • Encapsulamento, desencapsulamento, criptografia e descriptografia de chaves RSA com o preenchimento PKCS #1 v1.5

    • CKM_RSA_PKCS encapsulamento, desencapsulamento, criptografia e descriptografia para o SDK PKCS #11

    • RSA/ECB/PKCS1Padding encapsulamento, desencapsulamento, criptografia e descriptografia para o SDK JCE

    • wrapKeye unWrapKey com -m 12 para o KMU (a nota 12 é o valor do mecanismoRSA_PKCS)

[1] Para obter detalhes sobre essa alteração, consulte a Tabela 1 e a Tabela 5 em Transição do uso de algoritmos criptográficos e comprimentos de chave.