View a markdown version of this page

Notificações de suspensão - AWS CloudHSM
Suspensão do HSM1Conformidade com o FIPS 140: suspensão do mecanismo de 2024

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Notificações de suspensão

De tempos em tempos, AWS CloudHSM pode descontinuar a funcionalidade para permanecer em conformidade com os requisitos do FIPS 140,,,, PCI-DSS PCI-PIN PCI-3DS, SOC2 ou devido ao fim do hardware de suporte. Esta página lista as alterações que se aplicam atualmente.

Suspensão do HSM1

O tipo de instância AWS CloudHSM hsm1.medium chegará ao fim do suporte em 31 de março de 2026. Para garantir a continuidade do serviço, estamos introduzindo as seguintes mudanças:

  • A partir de abril de 2025, não será possível criar novos clusters hsm1.medium.

  • A partir de janeiro de 2026, começaremos a migrar automaticamente os clusters hsm1.medium existentes para o novo tipo de instância hsm2m.medium.

O tipo de instância hsm2m.medium é compatível com seu tipo de AWS CloudHSM instância atual e oferece desempenho aprimorado. Para evitar interrupções em suas aplicações, faça a atualização para a versão mais recente do SDK do cliente. Para obter instruções de atualização, consulte Migração do SDK do AWS CloudHSM cliente 3 para o SDK do cliente 5.

Você tem duas opções para migração:

  1. Opte por uma CloudHSM-managed migração quando estiver pronto. Para obter mais informações, Migrar de hsm1.medium para hsm2m.medium.

  2. Crie um novo cluster hsm2m.medium de um backup do cluster hsm1 e redirecione a aplicação para o novo cluster. Recomendamos usar uma estratégia blue/green de implantação para essa abordagem. Para obter mais informações, consulte Criação de AWS CloudHSM clusters a partir de backups.

Conformidade com o FIPS 140: suspensão do mecanismo de 2024

O Instituto nacional de padrões e tecnologia (National Institute of Standards and Technology, NIST)1informa que o suporte à criptografia Triple DES (DESede, 3DES, DES3) e ao encapsulamento e desencapsulamento de chaves RSA com preenchimento PKCS nº 1 v1.5 não será permitido após 31 de dezembro de 2023. Portanto, o suporte para eles termina em 1.º de janeiro de 2024 em nossos clusters no modo Federal Information Processing Standard (FIPS – Padrão federal de processamento de informações). O suporte para eles permanece para clusters no modo não FIPS.

Essa orientação se aplica às seguintes operações criptográficas:

  • Geração tripla de chaves DES

    • CKM_DES3_KEY_GEN para a Biblioteca PKCS #11

    • DESede Keygen para o provedor JCE

    • genSymKey com -t=21 para o KMU

  • Criptografia com chaves DES triplas (observação: operações de descriptografia são permitidas)

    • Para a biblioteca PKCS #11: criptografe CKM_DES3_CBC, criptografe CKM_DES3_CBC_PAD e , e criptografe CKM_DES3_ECB

    • Para o provedor JCE: criptografe DESede/CBC/PKCS5Padding, criptografe DESede/CBC/NoPadding, criptografe DESede/ECB/Padding e criptografe DESede/ECB/NoPadding

  • Encapsulamento, desencapsulamento, criptografia e descriptografia de chaves RSA com o preenchimento PKCS #1 v1.5

    • CKM_RSA_PKCS encapsulamento, desencapsulamento, criptografia e descriptografia para o SDK PKCS #11

    • RSA/ECB/PKCS1Padding encapsulamento, desencapsulamento, criptografia e descriptografia para o SDK JCE

    • wrapKeye unWrapKey com -m 12 para o KMU (a nota 12 é o valor do mecanismoRSA_PKCS)

[1] Para obter detalhes sobre essa alteração, consulte a Tabela 1 e a Tabela 5 em Transição do uso de algoritmos criptográficos e comprimentos de chave.