AWS CloudHSM 已弃用的客户端 SDK 版本

PKCS #11 库

• 增加多插槽配置支持。

JCE 提供程序

• 添加了基于配置的密钥提取。

• 增加了对多集群和多用户配置的支持。

• 增加了对 SSL 和 TSL 分流的支持。

• 添加了对的解包支持。 AES/CBC/NoPadding

• 添加了新类型的关键工厂： SecretKeyFactory 和 KeyFactory。

CloudHSM CLI

• 增加了对仲裁身份验证的支持

PKCS #11 库

• 改进了稳定性，进行了错误修复。

• 现已支持 Amazon Linux 2 的 ARM 架构。

• 算法

  • CKM_AES_CMAC（签名和验证）

OpenSSL 动态引擎

• 改进了稳定性，进行了错误修复。

• 现已支持 Amazon Linux 2 的 ARM 架构。

JCE 提供程序

• 改进了稳定性，进行了错误修复。

• 算法

  • AESCMAC

PKCS #11 库

• 改进了稳定性，进行了错误修复。

• 机制

  • CKM_RSA_X_509，适用于加密、解密、签名和验证模式

OpenSSL 动态引擎

• 改进了稳定性，进行了错误修复。

JCE 提供程序

• 改进了稳定性，进行了错误修复。

• 密码

  • RSA/ECB/NoPadding，用于加密和解密模式

支持的密钥

• 带 secp224r1 和 secp521r1 曲线的 EC

平台支持

• 增加了对 Ubuntu 20.04 的支持

PKCS #11 库

• 改进了稳定性，进行了错误修复。

OpenSSL 动态引擎

• 改进了稳定性，进行了错误修复。

JCE 提供程序

• 支持 Keytool 和 Jarsigner 实用程序

• 所有平台上都支持 OpenJDK 11

• 密码

  • AES/CBC/NoPadding 加密和解密模式

  • AES/ECB/PKCS5Padding 加密和解密模式

  • AES/CTR/NoPadding 加密和解密模式

  • AES/GCM/NoPadding “包装” 和 “解包” 模式

  • DESede/ECB/PKCS5Padding 加密和解密模式

  • DESede/CBC/NoPadding 加密和解密模式

  • AESWrap/ECB/NoPadding “包装” 和 “解包” 模式

  • AESWrap/ECB/PKCS5Padding “包装” 和 “解包” 模式

  • AESWrap/ECB/ZeroPadding “包装” 和 “解包” 模式

  • RSA/ECB/PKCS1Padding “包装” 和 “解包” 模式

  • RSA/ECB/OAEPPadding “包装” 和 “解包” 模式

  • RSA/ECB/OAEPWithSHA-1ANDMGF1Padding “包装” 和 “解包” 模式

  • RSA/ECB/OAEPWithSHA-224ANDMGF1Padding “包装” 和 “解包” 模式

  • RSA/ECB/OAEPWithSHA-256ANDMGF1Padding “包装” 和 “解包” 模式

  • RSA/ECB/OAEPWithSHA-384ANDMGF1Padding “包装” 和 “解包” 模式

  • RSA/ECB/OAEPWithSHA-512ANDMGF1Padding “包装” 和 “解包” 模式

  • RSAAESWrap/ECB/OAEPPadding “包装” 和 “解包” 模式

  • RSAAESWrap/ECB/OAEPWithSHA-1ANDMGF1Padding “包装” 和 “解包” 模式

  • RSAAESWrap/ECB/OAEPWithSHA-224ANDMGF1Padding “包装” 和 “解包” 模式

  • RSAAESWrap/ECB/OAEPWithSHA-256ANDMGF1Padding “包装” 和 “解包” 模式

  • RSAAESWrap/ECB/OAEPWithSHA-384ANDMGF1Padding “包装” 和 “解包” 模式

  • RSAAESWrap/ECB/OAEPWithSHA-512ANDMGF1Padding “包装” 和 “解包” 模式

• KeyFactory 和 SecretKeyFactory

  • RSA 2048 位到 4096 位 RSA 密钥，增量为 256 位

  • AES – 128、192 和 256 位 AES 密钥。

  • NIST 曲线的 EC 密钥对 secp256r1 (P-256)、secp384r1 () 和 secp256k1 P-384

  • DESede (3DES)

  • GenericSecret

  • HMAC — 支持 SHA1、SHA224、SHA256、SHA384、SHA512 哈希

• Sign/Verify

  • RSASSA-PSS

  • SHA1withRSA/PSS

  • SHA224withRSA/PSS

  • SHA256withRSA/PSS

  • SHA384withRSA/PSS

  • SHA512withRSA/PSS

  • SHA1withRSAandMGF1

  • SHA224withRSAandMGF1

  • SHA256withRSAandMGF1

  • SHA384withRSAandMGF1

  • SHA512withRSAandMGF1

PKCS #11 库

• 改进了稳定性，进行了错误修复。

OpenSSL 动态引擎

• 改进了稳定性，进行了错误修复。

JCE 提供程序

• 改进了稳定性，进行了错误修复。

PKCS #11 库

• 改进了稳定性，进行了错误修复。

OpenSSL 动态引擎

• 改进了稳定性，进行了错误修复。

JCE 提供程序

• 改进了稳定性，进行了错误修复。

PKCS #11 库

• 改进了稳定性，进行了错误修复。

OpenSSL 动态引擎

• 改进了稳定性，进行了错误修复。

JCE 提供程序

• 密钥类型

  • RSA 2048 位到 4096 位 RSA 密钥，增量为 256 位。

  • AES – 128、192 和 256 位 AES 密钥。

  • NIST 曲线的 ECC 密钥对 secp256r1 ()、secp384r1 (P-256) 和 secp256k1。P-384

  • DESede (3DES)

  • HMAC — 支持 SHA1、SHA224、SHA256、SHA384、SHA512 哈希。

• 密码（仅限加密和解密）

  • AES/GCM/NoPadding

  • AES/ECB/NoPadding

  • AES/CBC/PKCS5Padding

  • DESede/ECB/NoPadding

  • DESede/CBC/PKCS5Padding

  • AES/CTR/NoPadding

  • RSA/ECB/PKCS1Padding

  • RSA/ECB/OAEPPadding

  • RSA/ECB/OAEPWithSHA-1ANDMGF1Padding

  • RSA/ECB/OAEPWithSHA-224ANDMGF1Padding

  • RSA/ECB/OAEPWithSHA-256ANDMGF1Padding

  • RSA/ECB/OAEPWithSHA-384ANDMGF1Padding

  • RSA/ECB/OAEPWithSHA-512ANDMGF1Padding

• 摘要

  • SHA-1

  • SHA-224

  • SHA-256

  • SHA-384

  • SHA-512

• Sign/Verify

  • NONEwithRSA

  • SHA1withRSA

  • SHA224withRSA

  • SHA256withRSA

  • SHA384withRSA

  • SHA512withRSA

  • NONEwithECDSA

  • SHA1withECDSA

  • SHA224withECDSA

  • SHA256withECDSA

  • SHA384withECDSA

  • SHA512withECDSA

• 与 Java 集成 KeyStore

• 改进了稳定性，进行了错误修复。

• 添加对 sign/verify 带有曲线 P-256、 P-384和 secp256k1 的 ECDSA 的支持。

• 增加支持平台的数量：Amazon Linux、Amazon Linux 2、CentOS 7.8+、RHEL 7（7.8+）。

• 增加了对 OpenSSL 1.0.2 版的支持。

• 改进了稳定性，进行了错误修复。

JCE 提供程序

• 密钥类型

  • RSA 2048 位到 4096 位 RSA 密钥，增量为 256 位。

  • AES – 128、192 和 256 位 AES 密钥。

  • NIST 曲线的 EC 密钥对 secp256r1 (P-256)、secp384r1 () 和 secp256k1。P-384

  • DESede (3DES)

  • HMAC — 支持 SHA1、SHA224、SHA256、SHA384、SHA512 哈希。

• 密码（仅限加密和解密）

  • AES/GCM/NoPadding

  • AES/ECB/NoPadding

  • AES/CBC/PKCS5Padding

  • DESede/ECB/NoPadding

  • DESede/CBC/PKCS5Padding

  • AES/CTR/NoPadding

  • RSA/ECB/PKCS1Padding

  • RSA/ECB/OAEPPadding

  • RSA/ECB/OAEPWithSHA-1ANDMGF1Padding

  • RSA/ECB/OAEPWithSHA-224ANDMGF1Padding

  • RSA/ECB/OAEPWithSHA-256ANDMGF1Padding

  • RSA/ECB/OAEPWithSHA-384ANDMGF1Padding

  • RSA/ECB/OAEPWithSHA-512ANDMGF1Padding

• 摘要

  • SHA-1

  • SHA-224

  • SHA-256

  • SHA-384

  • SHA-512

• Sign/Verify

  • NONEwithRSA

  • SHA1withRSA

  • SHA224withRSA

  • SHA256withRSA

  • SHA384withRSA

  • SHA512withRSA

  • NONEwithECDSA

  • SHA1withECDSA

  • SHA224withECDSA

  • SHA256withECDSA

  • SHA384withECDSA

  • SHA512withECDSA

• 与 Java 集成 KeyStore

• 改进了稳定性，进行了错误修复。

• 改进了稳定性，进行了错误修复。

• ECDSA — P-224、 P-256 P-384、 P-521 和 secp256k1 曲线

• 三重 DES (3DES)

• CKM_EC_KEY_PAIR_GEN

• CKM_DES3_KEY_GEN

• CKM_DES3_CBC

• CKM_DES3_CBC_PAD

• CKM_DES3_ECB

• CKM_ECDSA

• CKM_ECDSA_SHA1

• CKM_ECDSA_SHA224

• CKM_ECDSA_SHA256

• CKM_ECDSA_SHA384

• CKM_ECDSA_SHA512

• CKM_RSA_PKCS 适用于 Encrypt/Decrypt

• 改进了稳定性，进行了错误修复。

• CKM_RSA_PKCS 适用于 Wrap/Unwrap

• CKM_RSA_PKCS_PSS

• CKM_SHA1_RSA_PKCS_PSS

• CKM_SHA224_RSA_PKCS_PSS

• CKM_SHA256_RSA_PKCS_PSS

• CKM_SHA384_RSA_PKCS_PSS

• CKM_SHA512_RSA_PKCS_PSS

• CKM_AES_ECB

• CKM_AES_CTR

• CKM_AES_CBC

• CKM_AES_CBC_PAD

• CKM_SP800_108_COUNTER_KDF

• CKM_GENERIC_SECRET_KEY_GEN

• CKM_SHA_1_HMAC

• CKM_SHA224_HMAC

• CKM_SHA224_HMAC

• CKM_SHA224_HMAC

• CKM_SHA512_HMAC

• 仅限 CKM_RSA_PKCS_OAEP Wrap/Unwrap

• CKM_RSA_AES_KEY_WRAP

• CKM_CLOUDHSM_AES_KEY_KEY_WRAP_NO_PAD

• CKM_CLOUDHSM_AES_KEY_KEY_WRAP_PKCS5_PAD

• CKM_CLOUDHSM_AES_KEY_KEY_WRAP_ZERO_PAD

• C_ CreateObject

• C_ DeriveKey

• C_ WrapKey

• C_ UnWrapKey

• 改进了稳定性，进行了错误修复。

• 改进了稳定性，进行了错误修复。

• OpenSSL 动态引擎的初始版本。

• 此版本为密钥类型和 OpenSSL API 提供入门支持：

  • 针对 2048、3072 和 4096 位密钥的 RSA 密钥生成

  • OpenSSL API：

    • 使用 RSA PKCS 和 RSA PSS 进行 RSA 签名 SHA1/224/256/384/512

    • RSA 密钥生成

  有关更多信息，请参阅 OpenSSL 动态引擎。

• 支持的平台：CentOS 8.3+、红帽企业 Linux (RHEL) 8.3+ 和 Ubuntu 18.04 LTS

  • 需要：OpenSSL 1.1.1

  有关更多信息，请参阅支持的平台。

• 在 CentOS 8.3+、红帽企业 Linux (RHEL) 8.3 和 Ubuntu 18.04 LTS 上支持 SSL/TLS 卸载，包括 NGINX 1.19（适用于部分密码套件）。

  有关更多信息，请参阅在 Linux 上使用 Tomcat SSL/TLS 卸载或在 Linux 上使用 NGINX 或 A pache 进行SSL/TLS 卸载。

• 这是初始版本。

• AES– 128、192 和 256 位 AES 密钥

• RSA– 2048 位到 4096 位 RSA 密钥，增量为 256 位

• GenerateKeyPair

  • 所有 RSA 密钥属性

• GenerateKey

  • 所有 AES 密钥属性

• GetAttributeValue

  • 所有 RSA 密钥属性

  • 所有 AES 密钥属性

• 生成密钥（AES、RSA、EC）

• 列出密钥属性

• 使用 AES GCM 加密和解密数据

• 使用 RSA 对数据进行签名和验证

• 更新了版本以保持一致性。

• 更新了版本以保持一致性。

• 更新了版本以保持一致性。

• 将 log4j 版本更新到 2.17.1。

• 更新了版本以保持一致性。

• 更新了版本以保持一致性。

• 更新了版本以保持一致性。

• 更新了版本以保持一致性。

• 将 log4j 版本更新到 2.17.0。

• 更新了版本以保持一致性。

• 更新了版本以保持一致性。

• 更新了版本以保持一致性。

• 更新了版本以保持一致性。

• 将 log4j 版本更新到 2.16.0。

• 更新了版本以保持一致性。

• 更新了版本以保持一致性。

• 更新了版本以保持一致性。

• 更新了版本以保持一致性。

• 将 log4j 版本更新到 2.15.0。

• 更新了版本以保持一致性。

• 改进了稳定性，进行了错误修复。

• 改进了稳定性，进行了错误修复。

• 改进了稳定性，进行了错误修复。

• 改进了稳定性，进行了错误修复。

• 改进了稳定性，进行了错误修复。

• 更新了版本以保持一致性。

• 更新了版本以保持一致性。

• 更新了版本以保持一致性。

• 更新了版本以保持一致性。

• 更新了版本以保持一致性。

• 改进了稳定性，进行了错误修复。

• 改进了稳定性，进行了错误修复。

• 改进了稳定性，进行了错误修复。

• 改进了稳定性，进行了错误修复。

• 改进了稳定性，进行了错误修复。

• 为加密员（CO）添加了双重身份验证。有关更多信息，请参阅管理加密官员的 Two-Factor身份验证。

• 移除了对 RedHat 企业 Linux 6 和 CentOS 6 的平台支持。有关详细信息，请参阅 Linux 支持。

• 添加了独立版本 CMU，可与客户端软件开发工具包 5 或客户端软件开发工具包 3 配合使用。这与 3.3.0 版客户端进程守护程序中包含的 CMU 版本相同，现在您不需要下载客户端守护程序，即可下载 CMU。

• 改进了稳定性，进行了错误修复。

• 移除了对 RedHat 企业 Linux 6 和 CentOS 6 的平台支持。有关详细信息，请参阅 Linux 支持。

• 更新了版本以保持一致性

• 移除了对 RedHat 企业 Linux 6 和 CentOS 6 的平台支持。有关详细信息，请参阅 Linux 支持。

• 改进了稳定性，进行了错误修复。

• 移除了对 RedHat 企业 Linux 6 和 CentOS 6 的平台支持。有关详细信息，请参阅 Linux 支持。

• 更新了版本以保持一致性

• 增加了对 CentOS 8、RHEL 8 和 Ubuntu 18.04 LTS 的平台支持。有关更多信息，请参阅 AWS CloudHSM 客户端 SDK 5 支持的平台。

• PKCS #11 客户端软件开发工具包 3.2.1 的库合规性报告

• 增加了对 CentOS 8、RHEL 8 和 Ubuntu 18.04 LTS 的平台支持。有关更多信息，请参阅 AWS CloudHSM 客户端 SDK 5 支持的平台。

• 不支持 CentOS 8、RHEL 8 以及 Ubuntu 18.04 LTS。有关更多信息，请参阅 适用于 OpenSSL 动态引擎的已知问题 AWS CloudHSM。

• 增加了对 CentOS 8、RHEL 8 和 Ubuntu 18.04 LTS 的平台支持。有关更多信息，请参阅 AWS CloudHSM 客户端 SDK 5 支持的平台。

• 改进了稳定性，进行了错误修复。

• 新增支持：使用命令行工具时隐藏密码。有关更多信息，请参阅 loginHSM 和 logoutHSM (cloudhsm_mgmt_util) 以及 loginHSM 和 logoutHSM (key_mgmt_util)。

• 新增支持：对此前不支持的部分 PKCS #11 机制中的软件内的大数据执行哈希处理。有关更多信息，请参阅受支持的机制。

• 改进了稳定性，进行了错误修复。

• 更新了版本以保持一致性。

• 改进了稳定性，进行了错误修复。

• 更新了版本以保持一致性

• 更新了版本以保持一致性

• 更新了版本以保持一致性

• 将 log4j 版本更新到 2.13.3。

• 更新了版本以保持一致性

• 更新了版本以保持一致性。

• 更新了版本以保持一致性。

• 更新了版本以保持一致性。

• 缺陷修复和性能改进。

• 更新了版本以保持一致性。

• 有关升级的新要求：客户端的版本必须与您正在使用的任意软件库的版本匹配。要进行升级，您必须使用批处理命令来同时升级客户端和所有库。有关更多信息，请参阅客户端软件开发工具包 3 升级。

• Key_mgmt_util (KMU) 包括以下更新：

  • 添加了两种新的 AES 密钥包装方法 - 符合标准的 AES 密钥包装（零填充）和无填充的 AES 密钥包装。有关更多信息，请参阅 wrapKey 和 unwrapKey。

  • 禁用了在使用 AES_KEY_WRAP_PAD_PKCS5 包装密钥时指定自定义 IV 的功能。有关更多信息，请参阅 AES 密钥包装。

• 添加了两种新的 AES 密钥包装方法 - 符合标准的 AES 密钥包装（零填充）和无填充的 AES 密钥包装。有关更多信息，请参阅 AES 密钥包装。

• 您可以为 RSA-PSS 签名配置盐长度。要了解如何使用此功能，请参阅可配置的 RSA-PSS 签名盐长度 GitHub。

• 重大更改：带 SHA1 的 TLS 1.0 和 1.2 密码套件不适用于 OpenSSL Engine 3.1.0。此问题将很快得到解决。

• 如果您打算在 RHEL 6 或 CentOS 6 上安装 OpenSSL 动态引擎库，请参阅有关这些操作系统上已安装的默认 OpenSSL 版本的已知问题。

• 改进了稳定性和错误修复

• 重大更改：为了解决 Java Cryptography Extension (JCE) 的合规性问题，AES 包装和解开包装功能现在可以正确地使用 AESWrap 算法而不是 AES 算法。对于Cipher.WRAP_MODE AES/ECB 和 AES/CBC机制来说，这意味着 Cipher.UNWRAP_MODE不再是成功的。

  要升级到客户端版本 3.1.0，您必须更新您的代码。如果您有已包装的密钥，则必须特别注意用于解开包装的机制以及 IV 默认值的变化。如果您使用客户端版本 3.0.0 或更早版本包装密钥，则在 3.1.1 中必须使用 AESWrap/ECB/PKCS5Padding 来解开现有密钥。有关更多信息，请参阅 AES 密钥包装。

• 您可以列出 JCE 提供程序中带相同标签的多个密钥。要了解如何遍历所有可用密钥，请参阅 “查找所有按键” GitHub。

• 可以在密钥创建过程中为属性设置更受限的值，包括为公有密钥和私有密钥指定不同的标签。有关更多信息，请参阅支持的 Java 属性。

• 改进了稳定性，进行了错误修复。