暗号テキスト変換 2 (CSNBCTT2、 CSNBCTT3、 CSNECTT2、 CSNECTT3)
この呼び出し可能サービスは、ある暗号化テキスト変換鍵によって暗号化されたデータ (暗号化テキスト) を復号し、それを別の暗号化テキスト変換鍵で再暗号化します。その際、データが暗号化コプロセッサーの外部に非暗号化状態で表示されることはありません。 ICSF は、この暗号化テキスト変換鍵を、入力データまたは出力データのトランスポート鍵として使用します。このような機能は、複数のノードがあるネットワークで役立ちます。このネットワークでは、機密データが最終宛先に到達する前に複数のノードを介して渡されます。
暗号化テキスト変換 2 呼び出し可能サービスの使用に、この呼び出し可能サービスを使用する際のヒントがいくつか記載されています。
暗号テキスト変換 2 呼び出し可能サービスを使用して、「入力」鍵でテキストを復号してから「出力」鍵でテキストを暗号化します。AES と DES の両方のアルゴリズムがサポートされています。 AES と DES の間の変換は、アクセス制御点によって制御される制限付きで許可されます。
- DES - CBC、CUSP、および IPS
- AES - CBC および ECB
- DES - X9.23
- AES - PKCSPAD
CSNBCTT2 および CSNBCTT3 からの選択
- CSNBCTT2 では、入力テキストと出力テキストを呼び出し側の 1 次アドレス・スペースに置く必要があります。 また、CSNBCTT2 を使用するプログラムは、IBM Common Cryptographic Architecture: Cryptographic Application Programming Interface に準拠しています。AMODE(64) 呼び出しの呼び出し可能サービス名は CSNECTT2 です。
- CSNBCTT3 では、入力テキストと出力テキストを呼び出し側の 1 次アドレス・スペース、またはデータ・スペースのいずれかに置くことができます。これにより、1 回の呼び出しでより多くのデータを変換することができます。ただし、CSNBCTT3 を使用するプログラムは IBM Common Cryptographic Architecture: Cryptographic Application Programming Interface に準拠していないため、このプログラミング・インターフェースに準拠する他の暗号化製品で当該プログラムを実行する前に、プログラムの変更が必要になる場合があります。AMODE(64) 呼び出しの呼び出し可能サービス名は CSNECTT3 です。CSNBCTT3 および CSNECTT3 では、text_id_in および text_id_out が、入力テキストおよび出力テキストを含む、データ・スペースのアクセス・リスト項目トークン (ALET) のパラメーターです。
形式
CALL CSNBCTT2(
return_code,
reason_code,
exit_data_length,
exit_data,
rule_array_count,
rule_array,
key_identifier_in_length,
key_identifier_in,
initialization_vector_in_length,
initialization_vector_in,
cipher_text_in_length,
cipher_text_in,
chaining_vector_length,
chaining_vector,
key_identifier_out_length,
key_identifier_out,
initialization_vector_out_length,
initialization_vector_out,
cipher_text_out_length,
cipher_text_out,
reserved1_length,
reserved1,
reserved2_length,
reserved2)
CALL CSNBCTT3(
return_code,
reason_code,
exit_data_length,
exit_data,
rule_array_count,
rule_array,
key_identifier_in_length,
key_identifier_in,
initialization_vector_in_length,
initialization_vector_in,
cipher_text_in_length,
cipher_text_in,
chaining_vector_length,
chaining_vector,
key_identifier_out_length,
key_identifier_out,
initialization_vector_out_length,
initialization_vector_out,
cipher_text_out_length,
cipher_text_out,
reserved1_length,
reserved1,
reserved2_length,
reserved2,
text_id_in,
text_id_out)
パラメーター
- return_code
-
方向 タイプ 出力 整数 戻りコードは、呼び出し可能サービスの一般的な結果を示しています。 ICSF および暗号化コプロセッサーの戻りコードおよび理由コードに、戻りコードがリストされています。
- reason_code
-
方向 タイプ 出力 整数 理由コードは、アプリケーション・プログラムに返される、呼び出し可能サービスの結果を示しています。 戻りコードにはそれぞれ、特定の処理問題を示すさまざまな理由コードがあります。 ICSF および暗号化コプロセッサーの戻りコードおよび理由コード に、理由コードがリストされています。
- exit_data_length
-
方向 タイプ 入出力 整数 インストール・システム出口に渡されるデータの長さ。 データは exit_data パラメーターで識別されます。
- exit_data
-
方向 タイプ 入出力 ストリング このデータはインストール出口に渡されます。
- rule_array_count
- rule_array パラメーターで指定するキーワードの数。 値は 4 または 5 でなければなりません。
方向 タイプ 入力 整数 - rule_array
- 制御情報を呼び出し可能サービスに提供するキーワード。 下表にリストを示します。 キーワードは、8 バイトの連続するストレージ内になければならず、その 8 バイト位置で左寄せされ、右側にブランクが埋め込まれている必要があります。
方向 タイプ 入力 ストリング 表 1. 暗号テキスト変換 2 のキーワード キーワード 意味 インバウンド処理規則 (いずれかが必須) I-CBC インバウンド暗号化テキストに対して、CBC モードを使用した暗号化を指定します。テキストの長さはブロック・サイズの倍数でなければなりません。DES のブロック・サイズは 8 バイトです。AES のブロック・サイズは 16 バイトです。 I-CUSP インバウンド暗号化テキストに対して、CUSP 処理を使用した CBC を指定します。暗号化テキストは任意の長さにすることができます。暗号化テキストは非暗号化テキストと同じ長さになります。このキーワードは DES の場合にのみ有効です。 I-ECB インバウンド暗号化テキストに対して、ECB モードを使用した暗号化を指定します。テキストの長さはブロック・サイズの倍数でなければなりません。このキーワードは AES 暗号化の場合にのみ有効です。 I-IPS インバウンド暗号化テキストに対して、IPS 処理を使用した CBC が使用されていることを指定します。暗号化テキストは任意の長さにすることができます。暗号化テキストは非暗号化テキストと同じ長さになります。このキーワードは DES の場合にのみ有効です。 IPKCSPAD インバウンド暗号化テキストに対して、PKCS 埋め込みを使用した CBC が使用されたことを指定します。埋め込まれたテキストが AES ブロック・サイズの倍数になるように、データの暗号化前に、テキストの右側に 1 から 16 バイトの埋め込み文字が埋め込まれました。各埋め込み文字は、追加された埋め込み文字の数に評価されます。このキーワードは AES 暗号化の場合にのみ有効です。 I-X923 インバウンド暗号化テキストに対して、X9.24 埋め込みを使用した CBC が使用されたことを指定します。これは、ANSI 規格 X9.23 の要件と互換性があります。このキーワードは DES 暗号化の場合にのみ有効です。 アウトバウンド処理規則 (いずれかが必須) O-CBC アウトバウンド暗号化テキストに対して、CBC モードでの暗号化が使用されることを指定します。テキストの長さはブロック・サイズの倍数でなければなりません。DES のブロック・サイズは 8 バイトです。AES のブロック・サイズは 16 バイトです。 O-CUSP アウトバウンド・テキストに対して、CUSP 処理を使用した CBC が使用されることを指定します。アウトバウンド暗号化テキストは非暗号化テキストと同じ長さになります。このキーワードは DES の場合にのみ有効です。 O-ECB アウトバウンド暗号化テキストに対して、ECB モードを使用した暗号化が使用されることを指定します。テキストの長さはブロック・サイズの倍数でなければなりません。このキーワードは AES 暗号化の場合にのみ有効です。 O-IPS アウトバウンド・テキストに対して、IPS 処理を使用した CBC が使用されることを指定します。アウトバウンド暗号化テキストは非暗号化テキストと同じ長さになります。このキーワードは DES の場合にのみ有効です。 OPKCSPAD アウトバウンド・テキストに対して、PKCS 埋め込みを使用した CBC が使用されることを指定します。埋め込まれたテキストが AES ブロック・サイズの倍数になるように、データの暗号化前に、アウトバウンド・テキストの右側に 1 から 16 バイトの埋め込み文字が埋め込まれます。各埋め込み文字は、追加された埋め込み文字の数に評価されます。このキーワードは AES 暗号化の場合にのみ有効です。 O-X923 アウトバウンド・テキストに対して、X9.24 埋め込みを使用した CBC が使用されることを指定します。これは、ANSI 規格 X9.23 の要件と互換性があります。このキーワード・オプションは DES 暗号化の場合にのみ有効です。 セグメント化制御 (オプションで 1 つのみ指定可能) CONTINUE 初期設定ベクトルをチェーニング・ベクトルから取得することを指定します。チェーニング・ベクトルは更新されます。呼び出し間で変更することはできません。このキーワードは I-ECB 処理規則および O-ECB 処理規則では無視されます。CONTINUE キーワードは、I-X923 キーワードまたは O-X923 キーワードとともに指定した場合は無効です。 INITIAL 初期設定ベクトルを initialization_vector_in パラメーターおよび initialization_vector_out パラメーターから取得することを指定します。 これがデフォルトです。 このキーワードは I-ECB 処理規則および O-ECB 処理規則では無視されます。 インバウンド鍵 ID (いずれかが必須) IKEY-DES インバウンド鍵 ID が DES 鍵であることを指定します。 IKEY-AES インバウンド鍵 ID が AES 鍵であることを指定します。 アウトバウンド鍵 ID (いずれかが必須) OKEY-DES アウトバウンド鍵 ID が DES 鍵であることを指定します。 OKEY-AES アウトバウンド鍵 ID が AES 鍵であることを指定します。 - key_identifier_in_length
- key_identifier_in フィールドの長さ (バイト)。ラベルが提供されている場合、値は 64 です。鍵 ID が鍵トークンである場合、この値はトークンの長さです。 最大値は 725 です。
方向 タイプ 入力 整数 - key_identifier_in
- インバウンド暗号化テキストの、内部鍵トークン、または暗号変換鍵を含む CKDS レコードのラベル。
方向 タイプ 入出力 ストリング 許容される DES 鍵タイプは、DATA、CIPHER、CIPHERXI、CIPHERXL、および DECIPHER です。 鍵は、制御ベクトル内で「DECIPHER」を表すビット 19 がオンに設定されていなければなりません。鍵は単一長、倍長、または 3 倍長の鍵になります。「Cipher Text translate2 - Allow only cipher text translate types」アクセス制御点が有効になっている場合は、CIPHERXI と CIPHERXL のみが許可されます。
許容される AES 鍵タイプには、64 バイト AES DATA 鍵と、鍵用途フィールドで DECRYPT のビットがオンになった可変長トークン CIPHER 鍵が含まれます。オプションとして C-XLATE のビットもオンにすることができます。 「Cipher Text translate2 - Allow only cipher text translate types」アクセス制御点が有効になっている場合は、鍵用途フィールドで C-XLATE のビットをオンにする必要があります。
- initialization_vector_in_length
- initialization_vector_in フィールドの長さ (バイト)。AES 鍵の場合、長さは 16 です。DES 鍵の場合、長さは 8 です。初期設定ベクトルが必要ない場合 (セグメント化規則 CONTINUE、処理規則 I-ECB)、値は 0 でなければなりません。
方向 タイプ 入力 整数 - initialization_vector_in
- 入力データを復号するために使用される初期設定ベクトル。このパラメーターは、直前の暗号ノードで使用された初期設定ベクトルです。このパラメーターは、セグメント化規則が INITIAL の場合に必須です。
方向 タイプ 入力 ストリング - ciphertext_in_length
- 処理される暗号化テキストの長さ。『使用上の注意』で、暗号化テキストの長さに関する制約事項の表を参照してください。
方向 タイプ 入力 整数 - ciphertext_in
- 変換されるテキスト。テキストは、key_identifier_in パラメーターに指定された暗号鍵で暗号化されます。
方向 タイプ 入力 ストリング - chaining_vector_length
- chaining_vector パラメーターの長さ (バイト)。chaining_vector フィールドの長さは 128 バイトでなければなりません。
方向 タイプ 入力 整数 - chaining_vector
- chaining_vector パラメーターは、セグメント化されたデータをプロシージャー呼び出し間で伝送するためにサービスが使用する作業域です。この領域をサービスの呼び出し間で変更することはできません。
方向 タイプ 入出力 ストリング - key_identifier_out_length
- key_identifier_out フィールドの長さ (バイト)。ラベルが指定されている場合、この値は 64 です。 鍵 ID が鍵トークンである場合、この値はトークンの長さです。 最大値は 725 です。
方向 タイプ 入力 整数 - key_identifier_out
- アウトバウンド暗号化テキストの、内部鍵トークン、または暗号変換鍵を含む CKDS レコードのラベル。
方向 タイプ 入出力 ストリング 許容される DES 鍵タイプは、DATA、CIPHER、CIPHERXL、CIPHERXO、および ENCIPHER です。 鍵は、倍長または 3 倍長の鍵になります。「Cipher Text translate2 - Allow only cipher text translate types」アクセス制御点が有効になっている場合は、CIPHERXO と CIPHERXL のみが許可されます。 許容される DES 鍵タイプは、DATA、CIPHER、CIPHERXL、CIPHERXO、および ENCIPHER です。 鍵は、制御ベクトル内で「ENCIPHER」を表すビット 18 がオンに設定されていなければなりません。鍵は、倍長または 3 倍長の鍵になります。「Cipher Text translate2 - Allow only cipher text translate types」アクセス制御点が有効になっている場合は、CIPHERXO と CIPHERXL のみが許可されます。
許容される AES 鍵タイプには、64 バイト AES DATA 鍵と、鍵用途フィールドで ENCRYPT のビットがオンになった可変長トークン CIPHER 鍵が含まれます。オプションとして C-XLATE のビットもオンにすることができます。 「Cipher Text translate2 - Allow only cipher text translate types」アクセス制御点が有効になっている場合は、鍵用途フィールドで C-XLATE のビットをオンにする必要があります。
- initialization_vector_out_length
- initialization_vector_out フィールドの長さ (バイト)。AES 鍵の場合、長さは 16 です。DES 鍵の場合、長さは 8 です。初期設定ベクトルが必要ない場合 (セグメント化規則 CONTINUE、処理規則 O-ECB)、値は 0 でなければなりません。
方向 タイプ 入力 整数 - initialization_vector_out
- 入力データを暗号化するために使用される初期設定ベクトル。これは、呼び出し可能サービスが非暗号化テキストを暗号化するときに使用する新規初期設定ベクトルです。このパラメーターは、セグメント化規則が INITIAL の場合に必須です。
方向 タイプ 入力 ストリング - ciphertext_out_length
- ciphertext_out の長さ (バイト)。このパラメーターは、ciphertext_out パラメーター内のデータの実際の長さで更新されます。この値を ciphertext_in_length パラメーターより長くするために、埋め込みが必要になる場合があることに注意してください。『使用上の注意』で、暗号化テキストの長さに関する制約事項の表を参照してください。
方向 タイプ 入出力 整数 - ciphertext_out
- 呼び出し可能サービスが変換済みテキストを返すフィールド。
方向 タイプ 出力 ストリング - reserved1_length
- reserved1 パラメーターの長さ (バイト)。値はゼロでなければなりません。
方向 タイプ 入力 整数 - reserved1
- このパラメーターは無視されます。
方向 タイプ 入力 ストリング - reserved2_length
- reserved2 パラメーターの長さ (バイト)。値はゼロでなければなりません。
方向 タイプ 入力 整数 - reserved2
- このパラメーターは無視されます。
方向 タイプ 入力 ストリング - text_id_in
- CSNBCTT3 の場合のみ、ciphertext_in パラメーターの ALET。
方向 タイプ 入力 整数 - text_id_out
- CSNBCTT3 の場合のみ、ciphertext_out パラメーターの ALET。
方向 タイプ 入力 整数
使用上の注意
呼び出し側がこの呼び出し可能サービス、鍵ラベル、または CKDS か PKDS に保管された内部セキュア鍵トークンの使用を許可されているかを検査するために、SAF が呼び出される場合があります。
初期設定ベクトルは、通信アプリケーション間で既に設定されているか、またはデータによって渡される必要があります。
次の表は、ciphertext_in_length パラメーターおよび ciphertext_out_length パラメーターの制約事項についての概要を示しています。 この表で示されている DES のブロックは 8 バイトです。この表で示されている AES のブロックは 16 バイトです。
入力暗号方式 | 出力暗号方式 | 入力暗号化テキストの長さの制限 | 出力暗号化テキストの長さの制限 |
---|---|---|---|
DES CBC | DES CBC X9.23 | 入力暗号化テキストは DES ブロックの倍数でなければなりません。 | 出力暗号化テキストの長さは、入力暗号化テキストの長さと DES ブロックの合計以上でなければなりません。 |
DES CBC | AES CBC PKCSPAD | 入力暗号化テキストは DES ブロックの倍数でなければなりません。 | 入力暗号化テキストが AES ブロックの倍数ではない場合、出力暗号化テキストの長さは入力暗号化テキストの長さと DES ブロックの合計以上でなければなりません。 入力暗号化テキストが AES ブロックの倍数である場合、出力暗号化テキストの長さは入力暗号化テキストの長さと AES ブロックの合計以上でなければなりません。 |
DES CBC | DES CUSP または IPS | 入力暗号化テキストは DES ブロックの倍数でなければなりません。 | 出力暗号化テキストの長さは、入力暗号化テキストの長さ以上でなければなりません。 |
DES CBC | DES CBC | 入力暗号化テキストは DES ブロックの倍数でなければなりません。 | 出力暗号化テキストの長さは、入力暗号化テキストの長さ以上でなければなりません。 |
DES CBC | AES CBC | 入力暗号化テキストは AES ブロックの倍数でなければなりません。 | 出力暗号化テキストの長さは、入力暗号化テキストの長さ以上でなければなりません。 |
DES CBC | AES ECB | 入力暗号化テキストは AES ブロックの倍数でなければなりません。 | 出力暗号化テキストの長さは、入力暗号化テキストの長さ以上でなければなりません。 |
DES CBC CUSP または IPS | DES CBC CUSP または IPS | 制限なし | 出力暗号化テキストの長さは、入力暗号化テキストの長さ以上でなければなりません。 |
DES CBC CUSP または IPS | DES CBC | 入力暗号化テキストは DES ブロックの倍数でなければなりません。 | 出力暗号化テキストの長さは、入力暗号化テキストの長さ以上でなければなりません。 |
DES CBC CUSP または IPS | AES CBC または ECB | 入力暗号化テキストは AES ブロックの倍数でなければなりません。 | 出力暗号化テキストの長さは、入力暗号化テキストの長さ以上でなければなりません。 |
DES CBC CUSP または IPS | DES CBC X9.23 | 制限なし | 出力暗号化テキストの長さは、入力暗号化テキストの長さと DES ブロックの合計以上でなければなりません。 |
DES CBC CUSP または IPS | AES CBC PKCSPAD | 制限なし | 出力暗号化テキストの長さは、入力暗号化テキストの長さと AES ブロックの合計以上でなければなりません。 |
DES CBC X9.23 | DES CBC X9.23 | 入力暗号化テキストは DES ブロックの倍数でなければなりません。 | 出力暗号化テキストの長さは、入力暗号化テキストの長さ以上でなければなりません。 |
DES CBC X9.23 | AES CBC PKCSPAD | 入力暗号化テキストは DES ブロックの倍数でなければなりません。 | 出力暗号化テキストの長さは、入力暗号化テキストの長さと DES ブロックの合計以上でなければなりません。 |
DES CBC X9.23 | DES CBC CUSP または IPS | 入力暗号化テキストは DES ブロックの倍数でなければなりません。 | 出力暗号化テキストの長さは、入力暗号化テキストの長さ以上でなければなりません。 |
DES CBC X9.23 | DES CBC | 入力暗号化テキストは DES ブロックの倍数でなければなりません。 | 出力暗号化テキストの長さは、入力暗号化テキストの長さ以上でなければなりません。 注: 埋め込みが 1 から 7 バイトになることがアダプターによって判別された場合、この操作は不可になります。
|
DES CBC X9.23 | AES CBC | 入力暗号化テキストは DES ブロックの倍数でなければなりませんが、AES ブロックの倍数にすることはできません。 | 出力暗号化テキストの長さは、入力暗号化テキストの長さ以上でなければなりません。 注: 埋め込みが 1 から 7 バイトになることがアダプターによって判別された場合、この操作は不可になります。
|
DES CBC X9.23 | AES ECB | 入力暗号化テキストは DES ブロックの倍数でなければなりませんが、AES ブロックの倍数にすることはできません。 | 出力暗号化テキストの長さは、入力暗号化テキストの長さ以上でなければなりません。 注: 埋め込みが 1 から 7 バイトになることがアダプターによって判別された場合、この操作は不可になります。
|
AES CBC または ECB | DES CBC X9.23 | 入力暗号化テキストは AES ブロックの倍数でなければなりません。 | 出力暗号化テキストの長さは、入力暗号化テキストの長さと DES ブロックの合計以上でなければなりません。 |
AES CBC または ECB | AES CBC PKCSPAD | 入力暗号化テキストは AES ブロックの倍数でなければなりません。 | 出力暗号化テキストの長さは、入力暗号化テキストの長さと AES ブロックの合計以上でなければなりません。 |
AES CBC または ECB | DES CBC CUSP または IPS | 入力暗号化テキストは AES ブロックの倍数でなければなりません。 | 出力暗号化テキストの長さは、入力暗号化テキストの長さ以上でなければなりません。 |
AES CBC または ECB | DES CBC | 入力暗号化テキストは AES ブロックの倍数でなければなりません。 | 出力暗号化テキストの長さは、入力暗号化テキストの長さ以上でなければなりません。 |
AES CBC または ECB | AES CBC | 入力暗号化テキストは AES ブロックの倍数でなければなりません。 | 出力暗号化テキストの長さは、入力暗号化テキストの長さ以上でなければなりません。 |
AES CBC または ECB | AES ECB | 入力暗号化テキストは AES ブロックの倍数でなければなりません。 | 出力暗号化テキストの長さは、入力暗号化テキストの長さ以上でなければなりません。 |
AES CBC PKCSPAD | DES CBC X9.23 | 入力暗号化テキストは AES ブロックの倍数でなければなりません。 | 出力暗号化テキストの長さは、入力暗号化テキストの長さ以上でなければなりません。 |
AES CBC PKCSPAD | AES CBC PKCSPAD | 入力暗号化テキストは AES ブロックの倍数でなければなりません。 | 出力暗号化テキストの長さは、入力暗号化テキストの長さ以上でなければなりません。 |
AES CBC PKCSPAD | DES CBC CUSP または IPS | 入力暗号化テキストは AES ブロックの倍数でなければなりません。 | 出力暗号化テキストの長さは、入力暗号化テキストの長さから 1 を引いた長さ以上でなければなりません。 |
AES CBC PKCSPAD | DES CBC | 入力暗号化テキストは AES ブロックの倍数でなければなりません。 | 出力暗号化テキストの長さは、入力暗号化テキストの長さから DES ブロックの長さを引いた長さ以上でなければなりません。 注: 埋め込みが 1 から 7 バイト、または 9 から 15 バイトになることがアダプターによって判別された場合、この操作は不可になります。
|
AES CBC PKCSPAD | AES CBC | 入力暗号化テキストは AES ブロックの倍数でなければなりません。 | 出力暗号化テキストの長さは、入力暗号化テキストの長さから AES ブロックの長さを引いた長さ以上でなければなりません。 注: 埋め込みが 1 から 15 バイトになることがアダプターによって判別された場合、この操作は不可になります。
|
AES CBC PKCSPAD | AES ECB | 入力暗号化テキストは AES ブロックの倍数でなければなりません。 | 出力暗号化テキストの長さは、入力暗号化テキストの長さから AES ブロックの長さを引いた長さ以上でなければなりません。 注: 埋め込みが 1 から 15 バイトになることがアダプターによって判別された場合、この操作は不可になります。
|
key_identifier_in パラメーターおよび key_identifier_out パラメーターの鍵には要件があります。 key_identifier_in 鍵は、テキストを復号できる必要があります。key_identifier_out 鍵は、テキストを暗号化できる必要があります。
次の表は、key_identifier_in パラメーターおよび key_identifier_out パラメーターで許可される有効な鍵タイプを示しています。 表では、可変長鍵トークン暗号鍵は vCIPHER によって示されています。vCIPHER はデフォルトであり、鍵用途フィールドで ENCRYPT と DECRYPT のビットがオンになっています。vCIPHERe は、鍵用途フィールドで ENCRYPT のビットのみがオンになっています。vCIPHERd は、鍵用途フィールドで DECRYPT のビットのみがオンになっています。前述のどちらの名前に x を追加しても、その鍵の鍵用途フィールドで TRANSLAT のビットがオンになることを意味します。 (例えば、vCIPHERex は ENCRYPT と TRANSLAT のビットがオンになった可変長トークンを意味します。)
AESDATA は、64 バイト AES DATA 鍵タイプです。
key_identifier_in (DATA および AESDATA を除き、DEC ビット) | key_identifier_out (DATA および AESDATA を除き、ENC ビット) |
---|---|
DATA |
DATA |
AESDATA |
DATA (ACP を持つ、倍長の鍵 |
- 強い暗号化から単一鍵 DES への変換は許可されません。
- 3 倍長 DES 鍵から倍長 DES 鍵への変換には、「Ciphertext translate2 - Allow translate to weaker DES」アクセス制御点の有効化が必要です。
- 「Ciphertext translate2 - Allow only cipher text translate key types」アクセス制御点が有効になっている場合は、CIPHERXI、CIPHERXL、および CIPHERXO DES 鍵タイプのみが許可され、AES CIPHER 鍵の C-XLATE 鍵用途ビットをオンにする必要があります。
アクセス制御点
下表に、このサービスの機能を制御するドメイン役割内のアクセス制御点を示します。
アクセス制御点 | 説明 |
---|---|
Cipher Text translate2 | 暗号テキスト変換 2 サービスを使用可能にします。 |
Cipher Text translate2 - Allow translate from AES to TDES | AES 鍵から 2-key Triple-DES 鍵または 3-key Triple-DES 鍵への変換を許可します。 |
Cipher Text translate2 - Allow translate to weaker AES | 強い AES 鍵から弱い AES 鍵への変換を許可します。(例えば、IN 鍵 AES256 および OUT 鍵 AES128 です。) |
Cipher Text translate2 - Allow translate to weaker DES | 強い DES 鍵から弱い DES 鍵への変換を許可します。3-key TDES から 2-key TDES への変換のみがサポートされます。 |
Cipher Text translate2 - Allow only cipher text translate types | 有効である場合、key_identifiers パラメーターは、鍵タイプ CIPHERXI、CIPHERXL、または CIPHERXO を持つ鍵 (DES の場合)、および鍵タイプが CIPHER で C-XLATE 鍵用途ビットがオンになっている鍵 (AES の場合) でなければなりません。 |
必須ハードウェア
下表に、各サーバー・タイプに必要な暗号化ハードウェアを示し、この呼び出し可能サービスの制約事項について説明します。
サーバー | 必須暗号化ハードウェア | 制約事項 |
---|---|---|
IBM eServer zSeries 990 |
この呼び出し可能サービスはサポートされていません。 | |
IBM System z9 EC |
この呼び出し可能サービスはサポートされていません。 | |
IBM System z10 EC |
この呼び出し可能サービスはサポートされていません。 | |
IBM zEnterprise 196 |
この呼び出し可能サービスはサポートされていません。 | |
IBM zEnterprise EC12 |
Crypto Express3 コプロセッサー Crypto Express4 CCA コプロセッサー |
|
IBM z13 |
Crypto Express5 CCA コプロセッサー |