Modification de la longueur de clé de courbe elliptique sous z/OS

Comment modifier la variable GSK_CLIENT_ECURVE_LIST d'environnement pour définir la liste des courbes elliptiques ou des groupes pris en charge spécifiés par le client, sous la forme d'une chaîne composée d'une ou plusieurs valeurs à 4 caractères classées par ordre de préférence d'utilisation.

Important : Vous devez appliquer la correction dans z/OS® APAR OA61783 pour permettre à certaines courbes elliptiques d'être rendues effectives par le système d'exploitation, lors de l'utilisation de connexions négociées TLS 1.2 ou TLS1.0

Vous pouvez définir cette variable d'environnement TLS dans le JCL de démarrage de l'initiateur de canal à l'aide de l'instruction de définition de données CEEOPTS:


CEEOPTS DD DSN=<dataset-name>,DISP=SHR

Dans l'ensemble de données référencé dans cet exemple, spécifiez la liste que vous souhaitez utiliser, par exemple :


ENVAR("GSK_CLIENT_ECURVE_LIST=002300240025")

Important: N'utilisez pas cette instruction CEEOPTS avec des données de flux, car cela empêche la définition de la variable d'environnement pour toutes les tâches TLS utilisant cette instruction.

Veillez à référencer un ensemble de données séquentiel ou un membre d'ensemble de données partitionné pour que cela fonctionne lorsque vous utilisez une valeur SSLTASKS supérieure à un.

Vous pouvez également utiliser l'équivalent analogique du serveur GSK_CLIENT_ECURVE_LIST, qui est GSK_SERVER_ALLOWED_KEX_ECURVES. Pour plus d'informations, consultez la section Limitation des courbes elliptiques d'échange de clés.

En outre, le tableau 5 de la section Définitions des suites de chiffrement contient une liste des courbes elliptiques à 4 caractères valides et des spécifications des groupes pris en charge.

La spécification par défaut est 00210023002400250019. Si TLS V1.3 est activé, 0029 (x25519) est ajouté à la fin de la liste par défaut.