CVV 鍵結合 (CSNBCKC および CSNECKC)
この呼び出し可能サービスは、2 つの単一長 CCA 内部鍵トークンを、VISA CVV サービス生成または VISA CVV サービス検査の各呼び出し可能サービスで使用するために、CVVKEY-A 鍵タイプを含む 1 つの倍長 CCA 鍵トークンに結合する場合に使用します。 この結合された倍長鍵は、現行 VISA の要件を満たし、TR-31 と CVV 鍵用 CCA フォーマットとの間での変換を容易にします。
AMODE(64) の呼び出し可能サービス名は CSNECKC です。
形式
CALL CSNBCKC(
return_code,
reason_code,
exit_data_length,
exit_data,
rule_array_count,
rule_array,
key_a_identifier_length,
key_a_identifier,
key_b_identifier_length,
key_b_identifier,
output_key_identifier_length,
output_key_identifier)パラメーター
- return_code
-
方向 タイプ 出力 整数 戻りコードは、呼び出し可能サービスの一般的な結果を示しています。 ICSF および暗号化コプロセッサーの戻りコードおよび理由コードに戻りコードがリストされています。
- reason_code
-
方向 タイプ 出力 整数 理由コードは、アプリケーション・プログラムに返される、呼び出し可能サービスの結果を示しています。 戻りコードにはそれぞれ、特定の処理問題を示すさまざまな理由コードが割り当てられています。 ICSF および暗号化コプロセッサーの戻りコードおよび理由コードに理由コードがリストされています。
- exit_data_length
-
方向 タイプ 入出力 整数 インストール・システム出口に渡されるデータの長さ。 データは exit_data パラメーターで識別されます。
- exit_data
-
方向 タイプ 入出力 ストリング インストール・システム出口に渡されるデータ。
- rule_array_count
-
方向 タイプ 入力 整数 rule_array パラメーターで指定するキーワード数。 rule_array_count パラメーターは 0、1、または 2 でなければなりません。
- rule_array
-
方向 タイプ 入力 ストリング rule_array には、制御情報をこの呼び出し可能サービスに提供するキーワードが含まれます。 このキーワードの長さは 8 バイトです。 このキーワードは左寄せにして、右側にスペース文字を埋め込む必要があります。 下表に、この呼び出し可能サービスの rule_array キーワードを示します。
表 1. CVV 鍵結合規則配列制御情報のキーワード キーワード 意味 鍵ラップ方式 (オプションで 1 つのみ指定可能) USECONFG デフォルト・ラップ方式の構成設定を鍵のラップに使用することを指定します。 これがデフォルトです。 WRAP-ENH 新しい拡張ラップ方式を鍵のラップに使用することを指定します。 WRAP-ECB 元のラップ方式を使用することを指定します。 変換制御 (オプション) ENH-ONLY このキーワードは、拡張方式でいったんラップされた鍵を元の方式でラップできないように指示する場合に指定します。 これにより、元の方式への変換が制限されます。 このキーワードを指定しない場合、元の方式への変換は許可されます。 このキーワードにより、制御ベクトル内のビット 56 がオンになります。 このキーワードは、ゼロ CV データ鍵を処理する場合は無効です。 注: デフォルト・ラップ方式が ECB モードであっても、拡張モードおよび ENH-ONLY 制約事項が特定の鍵トークンに必要な場合は、ENH-ONLY キーワードと WRAP-ENH キーワードを結合します。 これを行わないと、デフォルト・ラップ方式が ECB モードの場合に ENH-ONLY がデフォルト・ラッピング・モードと競合するため、エラーが返されます。 - key_a_identifier_length
- このパラメーターは、key_a_identifier パラメーターの長さ (バイト) を指定します。 値は 64 でなければなりません。
方向 タイプ 入力 整数 - key_a_identifier
- このパラメーターには、単一長ゼロ CV DATA 鍵の 64 バイト内部鍵トークンまたはラベル、MAC 生成と MAC 検査のいずれかまたは両方のビットがオンである DATA 鍵、または CVVKEY-A 鍵が含まれます。 内部鍵トークンには、CVV プロセスで情報を暗号化する key-A 鍵が含まれます。
方向 タイプ 入力 ストリング - key_b_identifier_length
- このパラメーターは、key_b_identifier パラメーターの長さ (バイト) を指定します。 このパラメーターの値は 64 でなければなりません。
方向 タイプ 入力 整数 - key_b_identifier
- このパラメーターには、単一長ゼロ CV DATA 鍵の 64 バイト内部鍵トークンまたはラベル、MAC 生成と MAC 検査のいずれかまたは両方のビットがオンである DATA 鍵、または CVVKEY-B 鍵が含まれます。 内部鍵トークンには、CVV プロセスで情報を暗号化解除する key-B 鍵が含まれます。
方向 タイプ 入力 ストリング - output_key_identifier_length
- このパラメーターは、output_key_identifier パラメーターの長さ (バイト) を指定します。 このパラメーターの値は 64 でなければなりません。
方向 タイプ 入力 整数 - output_key_identifier
- このパラメーターには出力鍵トークンが含まれます。 CV ビット 0 から 3 が、CVVKEY-A 鍵を示す 0010 に設定された倍長 MAC 鍵です。
方向 タイプ 出力 ストリング
制約事項
なし。
使用上の注意
呼び出し側がこの呼び出し可能サービス、鍵ラベル、または CKDS に保管された内部セキュア鍵トークンの使用を許可されているかを検査するために、SAF が呼び出される場合があります。
エクスポート・ビット (CV ビット 17) または TR-31 エクスポート・ビット (CV ビット 57) のいずれかが異なる CV 値が key-A および key-B にある場合、鍵は結合できず、エラーが返されます (8 / 39)。
key-A と key-B の両方が、CVV 生成サービスまたは CVV 検査サービスの同じ役割で使用可能でなければなりません。 そうでない場合はエラーが発生します。
key-A と key-B の両方が、同じサービス (CVV 生成または CVV 検査) で使用可能でなければなりません。 生成鍵と検査鍵を結合することはできません。
key-A または key-B が生成専用鍵であり、このペアが単一出力鍵として結合するための基準をすべて満たした場合、結果として得られる出力トークン内の CV は、倍長の生成専用鍵機能を示します。
下表に、さまざまな組み合わせの入力鍵タイプに対して、サービスが実行するアクションを示します。
| 2 つの入力鍵の鍵タイプに基づいて実行されるアクション | 16 B CVV 鍵の右半分 (key-B) として指定された 8 バイト入力鍵 | ||||
|---|---|---|---|---|---|
| CVVKEY-A | CVVKEY-B | DATA 鍵 | ANY-MAC 鍵 | ||
| 16 B CVV 鍵の左半分 (key-A) として指定された 8 バイト入力鍵 | CVVKEY-A | 常に拒否 | 常に許可 | 条件付きで許可* | 条件付きで許可* |
| CVVKEY-B | 常に拒否 | 常に拒否 | 常に拒否 | 常に拒否 | |
| DATA 鍵 | 常に拒否 | 条件付きで許可* | 常に許可 | 条件付きで許可* | |
| ANY-MAC 鍵 | 常に拒否 | 条件付きで許可* | 条件付きで許可* | 常に許可 | |
| * - アクセス制御点「CVV Key Combine - Permit mixed key types」が有効になっている必要があります | |||||
採用されているラップ方式から導出された出力鍵については使用可能なラップ方式に関する制約事項があり、入力鍵については CV 制約事項があります。 下表にこれらの詳細があります。
| key-A または key-B で WRAP-ENH ラップ方式を使用する | key-A または key-B で拡張専用ビット (CV ビット 56) が 1 (トークンに WRAP-ENH を暗黙指定) に設定されている | WRAP-ENH キーワードが渡されたか、WRAP-ENH がデフォルト・ラップ方式である | ENH-ONLY キーワードが渡された | 結果 (出力鍵の形式またはエラー) |
|---|---|---|---|---|
| いいえ | いいえ | 両方に対していいえ | いいえ | 出力は ECB ラップされる |
| はい | いいえ | 両方に対していいえ | いいえ | エラー |
| いいえ | いいえ | いずれかに対してはい | いいえ | 出力は ENH ラップされ、ビット 56 は設定されない |
| はい | いいえ | いずれかに対してはい | いいえ | 出力は ENH ラップされ、ビット 56 は設定されない |
| いいえ | いいえ | いずれかに対してはい | はい | 出力は ENH ラップされ、ビット 56 が設定される |
| はい | いいえ | いずれかに対してはい | はい | 出力は ENH ラップされ、ビット 56 が設定される |
| はい | はい | いずれかに対してはい | いいえ | 出力は ENH ラップされ、ビット 56 が設定される |
| はい | はい | いずれかに対してはい | はい | 出力は ENH ラップされ、ビット 56 が設定される |
| いいえ | いいえ | 両方に対していいえ | はい | エラー |
| はい | いいえ | 両方に対していいえ | はい | エラー |
| はい | はい | 両方に対していいえ | いいえ | エラー |
| はい | はい | 両方に対していいえ | はい | エラー |
アクセス制御点
「CVV Key Combine」アクセス制御点によって、このサービスの機能が制御されます。
「CVV Key Combine - Permit mixed key types」アクセス制御点が有効になっていない場合、key_a_identifier および key_b_identifier の鍵タイプは同一でなければなりません。 これは、アクセス制御点が無効である場合は、鍵 ID の両方が DATA 鍵であるか、両方が MAC 鍵でなければならないことを意味します。 有効である場合、DATA 鍵と MAC 鍵は併用できます。
WRAP-ECB または WRAP-ENH のキーワードが指定され、デフォルト鍵ラップ方式設定がこれらのキーワードとに致しない場合は、「CVV Key Combine - Allow wrapping override」アクセス制御点を有効にする必要があります。
必須ハードウェア
下表に、各サーバー・タイプに必要な暗号化ハードウェアを示し、この呼び出し可能サービスの制約事項について説明します。
| サーバー | 必須暗号化ハードウェア | 制約事項 |
|---|---|---|
IBM eServer zSeries 990 |
このサービスはサポートされていません。 | |
IBM System z9 EC |
このサービスはサポートされていません。 | |
IBM System z10 EC |
このサービスはサポートされていません。 | |
IBM zEnterprise 196 |
Crypto Express3 コプロセッサー | このサービスには、2011 年 9 月以降の LIC が必要です。 |
IBM zEnterprise EC12 |
Crypto Express3 コプロセッサー Crypto Express4 CCA コプロセッサー |
|
IBM z13 |
Crypto Express5 CCA コプロセッサー |