Versões obsoletas do Client SDK do AWS CloudHSM - AWS CloudHSM
Versões descontinuadas do Client SDK 5Versões descontinuadas do Client SDK 3

Versões obsoletas do Client SDK do AWS CloudHSM

As versões 5.8.0 e anteriores foram descontinuadas. Não recomendamos o uso de versões descontinuadas em workloads de produção. Não fornecemos atualizações compatíveis com versões anteriores para versões descontinuadas, nem hospedamos versões descontinuadas para download. Se você sofrer impacto na produção ao usar versões descontinuadas, deverá atualizar para obter correções de software.

Versões descontinuadas do Client SDK 5

Esta seção lista as versões descontinuadas do Client SDK 5.

A versão 5.8.0 introduz autenticação de quórum para CloudHSM CLI, descarregamento de SSL/TLS com JSSE, suporte a vários slots para PKCS #11, suporte a vários clusters/vários usuários para JCE, extração de chaves com JCE, KeyFactory compatível com JCE, novas configurações de repetição para códigos de retorno não terminais e inclui estabilidade aprimorada e correções de erros para todos os SDKs.

Biblioteca PKCS #11

  • Adicionado suporte para a configuração de vários slots.

Provedor JCE

  • Adicionada a extração de chaves com base na configuração.

  • Adicionado suporte para configurações de vários clusters e vários usuários.

  • Adicionado suporte para descarregamento de SSL e TLS com JSSE.

  • Adicionado suporte de desagrupamento para AES/CBC/NoPadding.

  • Adicionados novos tipos de fábricas de chaves: SecretKeyFactory e KeyFactory.

CloudHSM CLI

  • Adicionado suporte para autenticação de quórum

A versão 5.7.0 introduz a CloudHSM CLI e inclui um novo algoritmo de cipher-based message authentication code (CMAC – código de autenticação de mensagens baseado em cifras). Esta versão adiciona a arquitetura ARM no Amazon Linux 2. Os Javadocs do provedor JCE agora estão disponíveis para AWS CloudHSM.

Biblioteca PKCS #11

  • Maior estabilidade e correção de erros.

  • Agora compatível com a arquitetura ARM com o Amazon Linux 2.

  • Algoritmos

    • CKM_AES_CMAC (assinar e verificar)

Mecanismo dinâmico do OpenSSL

  • Maior estabilidade e correção de erros.

  • Agora compatível com a arquitetura ARM com o Amazon Linux 2.

Provedor JCE

  • Maior estabilidade e correção de erros.

  • Algoritmos

    • ASESCMAC

A versão 5.6.0 inclui suporte a novos mecanismos para a biblioteca PKCS #11 e o provedor JCE. Além disso, a versão 5.6 suporta o Ubuntu 20.04.

Biblioteca PKCS #11

  • Maior estabilidade e correção de erros.

  • Mecanismos

    • CKM_RSA_X_509, para modos de criptografia, descriptografia, assinatura e verificação

Mecanismo dinâmico do OpenSSL

  • Maior estabilidade e correção de erros.

Provedor JCE

  • Maior estabilidade e correção de erros.

  • Cifras

    • RSA/ECB/NoPadding, para modos de criptografia e descriptografia

Chaves compatíveis

  • EC com curvas secp224r1 e secp521r1

Suporte à plataforma

  • Adicionar suporte para Ubuntu 20.04.

A versão 5.5.0 adiciona suporte para OpenJDK 11, integração com Keytool e Jarsigner e mecanismos adicionais ao provedor JCE. Resolve um problema conhecido relacionado a uma classe KeyGenerator que interpreta incorretamente o parâmetro de tamanho da chave como número de bytes em vez de bits.

Biblioteca PKCS #11

  • Maior estabilidade e correção de erros.

Mecanismo dinâmico do OpenSSL

  • Maior estabilidade e correção de erros.

Provedor JCE

  • Suporte para os utilitários Keytool e Jarsigner

  • Suporte para OpenJDK 11 em todas as plataformas

  • Cifras

    • Modo de criptografia e descriptografia AES/CBC/NoPadding

    • Modo de criptografia e descriptografia AES/ECB/PKCS5Padding

    • Modo de criptografia e descriptografia AES/CTR/NoPadding

    • Modo de agrupamento e desagrupamento AES/GCM/NoPadding

    • Modo de criptografia e descriptografia DESede/ECB/PKCS5Padding

    • Modo de criptografia e descriptografia DESede/CBC/NoPadding

    • Modo de agrupamento e desagrupamento AESWrap/ECB/NoPadding

    • Modo de agrupamento e desagrupamento AESWrap/ECB/PKCS5Padding

    • Modo de agrupamento e desagrupamento AESWrap/ECB/ZeroPaddding

    • Modo de agrupamento e desagrupamento RSA/ECB/PKCS1Padding

    • Modo de agrupamento e desagrupamento RSA/ECB/OAEP

    • Modo de agrupamento e desagrupamento RSA/ECB/OAEPWithSHA-1ANDMGF1Padding

    • Modo de agrupamento e desagrupamento RSA/ECB/OAEPWithSHA-224ANDMGF1Padding

    • Modo de agrupamento e desagrupamento RSA/ECB/OAEPWithSHA-256ANDMGF1Padding

    • Modo de agrupamento e desagrupamento RSA/ECB/OAEPWithSHA-384ANDMGF1Padding

    • Modo de agrupamento e desagrupamento RSA/ECB/OAEPWithSHA-512ANDMGF1Padding

    • Modo de agrupamento e desagrupamento RSAAESWrap/ECB/OAEPPadding

    • Modo de agrupamento e desagrupamento RSAAESWrap/ECB/OAEPWithSHA-1ANDMGF1Padding

    • Modo de agrupamento e desagrupamento RSAAESWrap/ECB/OAEPWithSHA-224ANDMGF1Padding

    • Modo de agrupamento e desagrupamento RSAAESWrap/ECB/OAEPWithSHA-256ANDMGF1Padding

    • Modo de agrupamento e desagrupamento RSAAESWrap/ECB/OAEPWithSHA-384ANDMGF1Padding

    • Modo de agrupamento e desagrupamento RSAAESWrap/ECB/OAEPWithSHA-512ANDMGF1Padding

  • KeyFactory e SecretKeyFactory

    • RSA chaves RSA de 2048 bits a 4096 bits, em incrementos de 256 bits

    • AES – chaves AES de 128, 192 e 256 bits

    • Pares de chaves do EC para curvas NIST secp256r1 (P-256), secp384r1 (P-384) e secp256k1

    • DESede (3DES)

    • GenericSecret

    • HMAC – com suporte a hash SHA1, SHA224, SHA256, SHA384, SHA512

  • Assinar/verificar

    • RSASSA-PSS

    • SHA1withRSA/PSS

    • SHA224withRSA/PSS

    • SHA256withRSA/PSS

    • SHA384withRSA/PSS

    • SHA512withRSA/PSS

    • SHA1withRSAandMGF1

    • SHA224withRSAandMGF1

    • SHA256withRSAandMGF1

    • SHA384withRSAandMGF1

    • SHA512withRSAandMGF1

A versão 5.4.2 melhora a estabilidade e inclui correções de erros para todos os SDKs. Essa também é a versão mais recente da plataforma CentOS 8. Para obter mais informações, consulte o site do CentOS.

Biblioteca PKCS #11

  • Maior estabilidade e correção de erros.

Mecanismo dinâmico do OpenSSL

  • Maior estabilidade e correção de erros.

Provedor JCE

  • Maior estabilidade e correção de erros.

A versão 5.4.1 resolve um problema conhecido com a biblioteca PKCS #11. Essa também é a versão mais recente da plataforma CentOS 8. Para obter mais informações, consulte o site do CentOS.

Biblioteca PKCS #11

  • Maior estabilidade e correção de erros.

Mecanismo dinâmico do OpenSSL

  • Maior estabilidade e correção de erros.

Provedor JCE

  • Maior estabilidade e correção de erros.

A versão 5.4.0 adiciona suporte inicial para o provedor JCE para todas as plataformas. O provedor JCE é compatível com o OpenJDK 8.

Biblioteca PKCS #11

  • Maior estabilidade e correção de erros.

Mecanismo dinâmico do OpenSSL

  • Maior estabilidade e correção de erros.

Provedor JCE
  • Tipos de chave

    • RSA: 2.048 bits para chaves RSA de 4.096 bits, em incrementos de 256 bits.

    • AES: chaves AES de 128, 192 e 256 bits.

    • Pares de chaves do ECC para curvas NIST secp256r1 (P-256), secp384r1 (P-384) e secp256k1.

    • DESede (3DES)

    • HMAC – com suporte a hash SHA1, SHA224, SHA256, SHA384, SHA512.

  • Cifras (somente criptografar e descriptografar)

    • AES/GCM/NoPadding

    • AES/ECB/NoPadding

    • AES/CBC/PKCS5Padding

    • DESede/ECB/NoPadding

    • DESede/CBC/PKCS5Padding

    • AES/CTR/NoPadding

    • RSA/ECB/PKCS1Padding

    • RSA/ECB/OAEPPadding

    • RSA/ECB/OAEPWithSHA-1ANDMGF1Padding

    • RSA/ECB/OAEPWithSHA-224ANDMGF1Padding

    • RSA/ECB/OAEPWithSHA-256ANDMGF1Padding

    • RSA/ECB/OAEPWithSHA-384ANDMGF1Padding

    • RSA/ECB/OAEPWithSHA-512ANDMGF1Padding

  • Resumo

    • SHA-1

    • SHA-224

    • SHA-256

    • SHA-384

    • SHA-512

  • Assinar/verificar

    • NONEwithRSA

    • SHA1withRSA

    • SHA224withRSA

    • SHA256withRSA

    • SHA384withRSA

    • SHA512withRSA

    • NONEwithECDSA

    • SHA1withECDSA

    • SHA224withECDSA

    • SHA256withECDSA

    • SHA384withECDSA

    • SHA512withECDSA

  • Integração com Java KeyStore

Biblioteca PKCS #11

  • Maior estabilidade e correção de erros.

Mecanismo dinâmico do OpenSSL

  • Adicione suporte para assinatura/verificação ECDSA com curvas P-256, P-384 e secp256k1.

  • Adicione suporte para as plataformas: Amazon Linux, Amazon Linux 2, CentOS 7.8+, RHEL 7 (7.8+).

  • Adicione suporte para OpenSSL versão 1.0.2.

  • Maior estabilidade e correção de erros.

Provedor JCE
  • Tipos de chave

    • RSA: 2.048 bits para chaves RSA de 4.096 bits, em incrementos de 256 bits.

    • AES: chaves AES de 128, 192 e 256 bits.

    • Pares de chaves do EC para curvas NIST secp256r1 (P-256), secp384r1 (P-384) e secp256k1 (Blockchain).

    • DESede (3DES)

    • HMAC – com suporte a hash SHA1, SHA224, SHA256, SHA384, SHA512.

  • Cifras (somente criptografar e descriptografar)

    • AES/GCM/NoPadding

    • AES/ECB/NoPadding

    • AES/CBC/PKCS5Padding

    • DESede/ECB/NoPadding

    • DESede/CBC/PKCS5Padding

    • AES/CTR/NoPadding

    • RSA/ECB/PKCS1Padding

    • RSA/ECB/OAEPPadding

    • RSA/ECB/OAEPWithSHA-1ANDMGF1Padding

    • RSA/ECB/OAEPWithSHA-224ANDMGF1Padding

    • RSA/ECB/OAEPWithSHA-256ANDMGF1Padding

    • RSA/ECB/OAEPWithSHA-384ANDMGF1Padding

    • RSA/ECB/OAEPWithSHA-512ANDMGF1Padding

  • Resumo

    • SHA-1

    • SHA-224

    • SHA-256

    • SHA-384

    • SHA-512

  • Assinar/verificar

    • NONEwithRSA

    • SHA1withRSA

    • SHA224withRSA

    • SHA256withRSA

    • SHA384withRSA

    • SHA512withRSA

    • NONEwithECDSA

    • SHA1withECDSA

    • SHA224withECDSA

    • SHA256withECDSA

    • SHA384withECDSA

    • SHA512withECDSA

  • Integração com Java KeyStore

Biblioteca PKCS #11

  • Maior estabilidade e correção de erros.

Mecanismo dinâmico do OpenSSL

  • Maior estabilidade e correção de erros.

A versão 5.2.0 adiciona suporte a tipos e mecanismos de chaves adicionais à biblioteca PKCS #11.

Biblioteca PKCS #11

Tipos de chave

  • ECDSA – curvas P-224, P-256, P-384, P-521 e secp256k1

  • Triple DES (3DES)

Mecanismos

  • CKM_EC_KEY_PAIR_GEN

  • CKM_DES3_KEY_GEN

  • CKM_DES3_CBC

  • CKM_DES3_CBC_PAD

  • CKM_DES3_ECB

  • CKM_ECDSA

  • CKM_ECDSA_SHA1

  • CKM_ECDSA_SHA224

  • CKM_ECDSA_SHA256

  • CKM_ECDSA_SHA384

  • CKM_ECDSA_SHA512

  • CKM_RSA_PKCS para criptografar/descriptografar

Mecanismo dinâmico do OpenSSL

  • Maior estabilidade e correção de erros.

A versão 5.1.0 adiciona suporte mecanismos adicionais à biblioteca PKCS #11.

Biblioteca PKCS #11

Mecanismos

  • CKM_RSA_PKCS para agrupamento/desagrupamento

  • CKM_RSA_PKCS_PSS

  • CKM_SHA1_RSA_PKCS_PSS

  • CKM_SHA224_RSA_PKCS_PSS

  • CKM_SHA256_RSA_PKCS_PSS

  • CKM_SHA384_RSA_PKCS_PSS

  • CKM_SHA512_RSA_PKCS_PSS

  • CKM_AES_ECB

  • CKM_AES_CTR

  • CKM_AES_CBC

  • CKM_AES_CBC_PAD

  • CKM_SP800_108_COUNTER_PDF

  • CKM_GENERIC_SECRET_KEY_GEN

  • CKM_SHA_1_HMAC

  • CKM_SHA224_HMAC

  • CKM_SHA256_HMAC

  • CKM_SHA384_HMAC

  • CKM_SHA512_HMAC

  • CKM_RSA_PKCS_OAEP somente para agrupamento/desagrupamento

  • CKM_RSA_AES_KEY_WRAP

  • CKM_CLOUDHSM_AES_KEY_WRAP_NO_PAD

  • CKM_CLOUDHSM_AES_KEY_WRAP_PKCS5_PAD

  • CKM_CLOUDHSM_AES_KEY_WRAP_ZERO_PAD

Operações de API

  • C_CreateObject

  • C_DeriveKey

  • C_WrapKey

  • C_UnWrapKey

Mecanismo dinâmico do OpenSSL

  • Maior estabilidade e correção de erros.

A versão 5.0.1 adiciona suporte inicial ao OpenSSL Dynamic Engine.

Biblioteca PKCS #11

  • Maior estabilidade e correção de erros.

Mecanismo dinâmico do OpenSSL

  • Versão inicial do OpenSSL Dynamic Engine.

  • Esta versão oferece suporte introdutório para tipos de chaves e APIs do OpenSSL:

    Para obter mais informações, consulte OpenSSL Dynamic Engine.

  • Plataformas suportadas: CentOS 8.3+, Red Hat Enterprise Linux (RHEL) 8.3+ e Ubuntu 18.04 LTS

    • Requer: OpenSSL 1.1.1

    Para obter mais informações, consulte Plataformas compatíveis.

  • Suporte para descarregamento SSL/TLS no CentOS 8.3+, Red Hat Enterprise Linux (RHEL) 8.3 e Ubuntu 18.04 LTS, incluindo NGINX 1.19 (para conjuntos de criptografia selecionados).

    Para obter mais informações, consulte SSL/TLS Offload on Linux using Tomcat ou SSL/TLS Offload on Linux using NGINX or Apache.

A versão 5.0.0 é a primeira versão.

Biblioteca PKCS #11

  • Esta é a versão inicial.

Suporte introdutório à biblioteca PKCS #11 no Client SDK versão 5.0.0

Esta seção detalha o suporte para tipos de chaves, mecanismos, operações de API e atributos do Client SDK versão 5.0.0.

Tipos de chave:

  • AES– chaves AES de 128, 192 e 256 bits

  • RSA– chaves RSA de 2048 bits a 4096 bits, em incrementos de 256 bits

Mecanismos:

  • CKM_AES_GCM

  • CKM_AES_KEY_GEN

  • CKM_CLOUDHSM_AES_GCM

  • CKM_RSA_PKCS

  • CKM_RSA_X9_31_KEY_PAIR_GEN

  • CKM_SHA1

  • CKM_SHA1_RSA_PKCS

  • CKM_SHA224

  • CKM_SHA224_RSA_PKCS

  • CKM_SHA256

  • CKM_SHA256_RSA_PKCS

  • CKM_SHA384

  • CKM_SHA384_RSA_PKCS

  • CKM_SHA512

  • CKM_SHA512_RSA_PKCS

Mostrar maisMostrar menos

Operações de API:

  • C_CloseAllSessions

  • C_CloseSession

  • C_Decrypt

  • C_DecryptFinal

  • C_DecryptInit

  • C_DecryptUpdate

  • C_DestroyObject

  • C_Digest

  • C_DigestFinal

  • C_DigestInit

  • C_DigestUpdate

  • C_Encrypt

  • C_EncryptFinal

  • C_EncryptInit

  • C_EncryptUpdate

  • C_Finalize

  • C_FindObjects

  • C_FindObjectsFinal

  • C_FindObjectsInit

  • C_GenerateKey

  • C_GenerateKeyPair

  • C_GenerateRandom

  • C_GetAttributeValue

  • C_GetFunctionList

  • C_GetInfo

  • C_GetMechanismInfo

  • C_GetMechanismList

  • C_GetSessionInfo

  • C_GetSlotInfo

  • C_GetSlotList

  • C_GetTokenInfo

  • C_Initialize

  • C_Login

  • C_Logout

  • C_OpenSession

  • C_Sign

  • C_SignFinal

  • C_SignInit

  • C_SignUpdate

  • C_Verify

  • C_VerifyFinal

  • C_VerifyInit

  • C_VerifyUpdate

Mostrar maisMostrar menos

Atributos:

  • GenerateKeyPair

    • Todos os atributos da chave RSA

  • GenerateKey

    • Todos os atributos da chave AES

  • GetAttributeValue

    • Todos os atributos da chave RSA

    • Todos os atributos da chave AES

Amostras:

Versões descontinuadas do Client SDK 3

Esta seção lista as versões anteriores do Client SDK 3.

A versão 3.4.4 adiciona atualizações ao provedor JCE.

Software cliente do AWS CloudHSM

  • Versão atualizada para fins de consistência.

Biblioteca PKCS #11

  • Versão atualizada para fins de consistência.

Mecanismo dinâmico do OpenSSL

  • Versão atualizada para fins de consistência.

Provedor JCE

  • Atualizar o log4j para a versão 2.17.1.

Windows (provedores CNG e KSP)

  • Versão atualizada para fins de consistência.

A versão 3.4.3 adiciona atualizações ao provedor JCE.

Software cliente do AWS CloudHSM

  • Versão atualizada para fins de consistência.

Biblioteca PKCS #11

  • Versão atualizada para fins de consistência.

Mecanismo dinâmico do OpenSSL

  • Versão atualizada para fins de consistência.

Provedor JCE

  • Atualizar o log4j para a versão 2.17.0.

Windows (provedores CNG e KSP)

  • Versão atualizada para fins de consistência.

A versão 3.4.2 adiciona atualizações ao provedor JCE.

Software cliente do AWS CloudHSM

  • Versão atualizada para fins de consistência.

Biblioteca PKCS #11

  • Versão atualizada para fins de consistência.

Mecanismo dinâmico do OpenSSL

  • Versão atualizada para fins de consistência.

Provedor JCE

  • Atualizar o log4j para a versão 2.16.0.

Windows (provedores CNG e KSP)

  • Versão atualizada para fins de consistência.

A versão 3.4.1 adiciona atualizações ao provedor JCE.

Software cliente do AWS CloudHSM

  • Versão atualizada para fins de consistência.

Biblioteca PKCS #11

  • Versão atualizada para fins de consistência.

Mecanismo dinâmico do OpenSSL

  • Versão atualizada para fins de consistência.

Provedor JCE

  • Atualizar o log4j para a versão 2.15.0.

Windows (provedores CNG e KSP)

  • Versão atualizada para fins de consistência.

A versão 3.4.0 adiciona atualizações a todos os componentes.

Software cliente do AWS CloudHSM

  • Maior estabilidade e correção de erros.

Biblioteca PKCS #11

  • Maior estabilidade e correção de erros.

Mecanismo dinâmico do OpenSSL

  • Maior estabilidade e correção de erros.

Provedor JCE

  • Maior estabilidade e correção de erros.

Windows (provedores CNG e KSP)

  • Maior estabilidade e correção de erros.

A versão 3.3.2 resolve um problema com o script client_info.

Software cliente do AWS CloudHSM

  • Versão atualizada para fins de consistência.

Biblioteca PKCS #11

  • Versão atualizada para fins de consistência.

Mecanismo dinâmico do OpenSSL

  • Versão atualizada para fins de consistência.

Provedor JCE

  • Versão atualizada para fins de consistência.

Windows (provedores CNG e KSP)

  • Versão atualizada para fins de consistência.

A versão 3.3.1 adiciona atualizações a todos os componentes.

Software cliente do AWS CloudHSM

  • Maior estabilidade e correção de erros.

Biblioteca PKCS #11

  • Maior estabilidade e correção de erros.

Mecanismo dinâmico do OpenSSL

  • Maior estabilidade e correção de erros.

Provedor JCE

  • Maior estabilidade e correção de erros.

Windows (provedores CNG e KSP)

  • Maior estabilidade e correção de erros.

A versão 3.3.0 adiciona autenticação de dois fatores (2FA) e outras melhorias.

Software cliente do AWS CloudHSM

  • Autenticação 2FA adicionada para crypto officers (CO – responsáveis pela criptografia). Para obter mais informações, consulte Gerenciar a autenticação de dois fatores para responsáveis pela criptografia.

  • Suporte de plataforma removido para RedHat Enterprise Linux 6 e CentOS 6. Para obter mais informações, consulte Suporte do Linux.

  • Adicionada uma versão autônoma do CMU para uso com Client SDK 5 ou Client SDK 3. Essa é a mesma versão do CMU incluída no daemon do cliente da versão 3.3.0 e agora é possível baixar o CMU sem baixar o daemon do cliente.

Biblioteca PKCS #11

  • Maior estabilidade e correção de erros.

  • Suporte de plataforma removido para RedHat Enterprise Linux 6 e CentOS 6. Para obter mais informações, consulte Suporte do Linux.

Mecanismo dinâmico do OpenSSL

  • Versão atualizada para fins de consistência

  • Suporte de plataforma removido para RedHat Enterprise Linux 6 e CentOS 6. Para obter mais informações, consulte Suporte do Linux.

Provedor JCE

  • Maior estabilidade e correção de erros.

  • Suporte de plataforma removido para RedHat Enterprise Linux 6 e CentOS 6. Para obter mais informações, consulte Suporte do Linux.

Windows (provedores CNG e KSP)

  • Versão atualizada para fins de consistência

A versão 3.2.1 adiciona uma análise de conformidade entre a implementação da biblioteca PKCS #11 e o padrão PKCS #11 do AWS CloudHSM, novas plataformas e outras melhorias.

Software cliente do AWS CloudHSM

Biblioteca PKCS

Mecanismo dinâmico do OpenSSL

Provedor JCE

Windows (provedores CNG e KSP)

  • Maior estabilidade e correção de erros.

A versão 3.2.0 adiciona suporte para mascarar senhas e outras melhorias.

Software cliente do AWS CloudHSM

  • Adiciona suporte para ocultar sua senha ao usar ferramentas de linha de comando. Para obter mais informações, consulte loginHSM e logoutHSM (cloudhsm_mgmt_util) e loginHSM e logoutHSM (key_mgmt_util).

Biblioteca PKCS #11

  • Adiciona suporte para hash de grandes dados em software para alguns mecanismos PKCS #11 que não eram suportados anteriormente. Para obter mais informações, consulte Versões compatíveis.

Mecanismo dinâmico do OpenSSL

  • Maior estabilidade e correção de erros.

Provedor JCE

  • Versão atualizada para fins de consistência.

Windows (provedores CNG e KSP)

  • Maior estabilidade e correção de erros.

A versão 3.1.2 adiciona atualizações ao provedor JCE.

Software cliente do AWS CloudHSM

  • Versão atualizada para fins de consistência

Biblioteca PKCS #11

  • Versão atualizada para fins de consistência

Mecanismo dinâmico do OpenSSL

  • Versão atualizada para fins de consistência

Provedor JCE

  • Atualizar a versão do log4j para 2.13.3

Windows (provedores CNG e KSP)

  • Versão atualizada para fins de consistência

Software cliente do AWS CloudHSM

  • Versão atualizada para fins de consistência.

Biblioteca PKCS #11

  • Versão atualizada para fins de consistência.

Mecanismo dinâmico do OpenSSL

  • Versão atualizada para fins de consistência.

Provedor JCE

  • Correções de erros e melhorias na performance.

Windows (CNG, KSP)

  • Versão atualizada para fins de consistência.

A versão 3.1.0 adiciona empacotamento de chaves AES compatível com os padrões.

Software cliente do AWS CloudHSM

  • Um novo requisito para atualização: a versão do cliente deve corresponder à versão de todas as bibliotecas de software que você está usando. Para atualizar, é necessário usar um comando em lote que atualiza o cliente e todas as bibliotecas ao mesmo tempo. Para obter mais informações, consulte Atualização do DK3 do cliente.

  • Key_mgmt_util (KMU) inclui as seguintes atualizações:

    • Adição de dois novos métodos de empacotamento de chaves AES: empacotamento de chaves AES compatível com os padrões com preenchimento de zeros e empacotamento de chave AES sem preenchimento. Para obter mais informações, consulte wrapKey e unwrapKey.

    • Desabilitada a capacidade de especificar um IV personalizado ao empacotar uma chave usando AES_KEY_WRAP_PAD_PKCS5. Para obter mais informações, consulte Empacotamento de chaves AES.

Biblioteca PKCS #11

  • Adição de dois novos métodos de empacotamento de chaves AES: empacotamento de chaves AES compatível com os padrões com preenchimento de zeros e empacotamento de chave AES sem preenchimento. Para obter mais informações, consulte Empacotamento de chaves AES.

  • É possível configurar o comprimento de salt para assinaturas RSA-PSS. Para saber como usar esse atributo, consulte Configurable salt length for RSA-PSS signatures no GitHub.

Mecanismo dinâmico do OpenSSL

  • MUDANÇA SIGNIFICATIVA: os pacotes de criptografia TLS 1.0 e 1.2 com SHA1 não estão disponíveis no mecanismo OpenSSL 3.1.0 Esse problema será resolvido em breve.

  • Se você pretende instalar a biblioteca OpenSSL Dynamic Engine no RHEL 6 ou no CentOS 6, consulte um problema conhecido sobre a versão padrão do OpenSSL instalada nesses sistemas operacionais.

  • Maior estabilidade e correção de erros

Provedor JCE

  • MUDANÇA SIGNIFICATIVA: para resolver um problema com a conformidade com Java Cryptography Extension (JCE), o empacotamento e desempacotamento AES agora usa corretamente o algoritmo AESWrap em vez do algoritmo AES. Isto significa que Cipher.WRAP_MODE e Cipher.UNWRAP_MODE não é mais bem-sucedido para os mecanismos AES/BCE e AES/CBC.

    Para atualizar para a versão de cliente 3.1.0, é necessário atualizar o código. Se você tiver chaves encapsuladas existentes, será necessário prestar bastante atenção ao mecanismo usado para desencapsular e como os padrões IV foram alterados. Se você encapsulou chaves com a versão de cliente 3.0.0 ou anterior, na versão 3.1.1, será necessário usar AESWrap/ECB/PKCS5Padding para desencapsular as chaves existentes. Para obter mais informações, consulte Empacotamento de chaves AES.

  • É possível listar diversas chaves com o mesmo rótulo do provedor JCE. Para saber como percorrer todas as chaves disponíveis, consulte Find all keys no GitHub.

  • É possível definir valores mais restritivos para atributos durante a criação da chave, incluindo especificar rótulos diferentes para chaves públicas e privadas. Para obter mais informações, consulte Atributos Java compatíveis.

Windows (CNG, KSP)

  • Maior estabilidade e correção de erros.