弃用通知 - AWS CloudHSM
HSM1 弃用FIPS 140 合规:2024 年机制弃用

弃用通知

随着时间的推移,为了保持符合 FIPS 140、PCI-DSS、PCI-PIN、PCI-3DS 和 SOC2 的要求,或因为硬件终止支持,AWS CloudHSM 可能会弃用功能。此页面列出了当前适用的更改项。

HSM1 弃用

AWS CloudHSM hsm1.medium 实例类型将于 2025 年 12 月 1 日终止支持。为了确保持续的服务,我们引入了以下变更:

  • 从 2025 年 4 月开始,您将无法创建新的 hsm1.medium 集群。

  • 从 2025 年 4 月开始,我们将开始自动将现有的 hsm1.medium 集群迁移到新的 hsm2m.medium 实例类型。

hsm2m.medium 实例类型与您当前的 AWS CloudHSM 实例类型兼容,并且性能有所提高。为避免应用程序中断,必须升级到最新版本的客户端 SDK。有关升级说明,请参阅 从 AWS CloudHSM Client SDK 3 迁移到 Client SDK 5

您有两种迁移选项:

  1. 准备就绪后,选择加入 CloudHSM 托管的迁移。有关更多信息,请参阅 从 hsm1.medium 迁移到 hsm2m.medium

  2. 从 hsm1 集群的备份创建新的 hsm2m.medium 集群,并将您的应用程序重定向到新集群。我们建议为此方法使用蓝绿部署策略。有关更多信息,请参阅 使用备份创建 AWS CloudHSM 集群

FIPS 140 合规:2024 年机制弃用

美国国家标准与技术研究所 (NIST)1建议,在 2023 年 12 月 31 日之后,不允许支持 Triple DES (deSede、3DES、DES3) 加密,亦不允许使用 PKCS #1 v1.5 填充进行 RSA 密钥包装和解包。因此,我们的联邦信息处理标准(FIPS)模式集群中对这些内容的支持将于 2024 年 1 月 1 日结束。处于非 FIPs 模式的集群仍然支持这些内容。

本指南适用于以下形式加密操作:

  • 生成三重 DES 密钥

    • 适用于 PKCS#11 库的 CKM_DES3_KEY_GEN

    • 适用于 JCE 提供程序的 DESede Keygen

    • -t=21 的 KMU genSymKey

  • 通过三重 DES 密钥加密(注意:允许解密操作)

    • 对于 PKCS #11 库:CKM_DES3_CBC 加密、CKM_DES3_CBC_PAD 加密和CKM_DES3_ECB 加密

    • 对于 JCE 提供程序:DESede/CBC/PKCS5Padding 加密、DESede/CBC/NoPadding 加密、DESede/ECB/Padding 加密和 DESede/ECB/NoPadding 加密

  • 使用 PKCS #1 v1.5 填充对 RSA 密钥进行包装、解包、加密和解密

    • CKM_RSA_PKCS 对 PKCS #11 SDK 进行包装、解包、加密和解密

    • RSA/ECB/PKCS1Padding 对 JCE SDK 进行包装、解包、加密和解密

    • -m 12wrapKeyunWrapKey KMU 加上(注释 12 是机制 RSA_PKCS 的值)

[1] 有关此更改的详细信息,请参阅过渡使用加密算法和密钥长度中的表 1 和表 5。