複数非暗号化鍵インポート (CSNBCKM および CSNECKM)

複数非暗号化鍵インポート呼び出し可能サービスでは、非暗号化 AES/DES 鍵がインポートされ、その鍵が、対応するマスター鍵で暗号化され、 その暗号化された鍵が内部鍵トークンで返されます。 暗号化対象の鍵のタイプは DATA です。 暗号化された鍵は操作可能形式になります。

AMODE(64) 呼び出しの呼び出し可能サービス名は CSNECKM です。

親トピック: 対称暗号鍵の管理

形式

CALL CSNBCKM(
             return_code,
             reason_code,
             exit_data_length,
             exit_data,
             rule_array_count,
             rule_array,
             clear_key_length,
             clear_key,
             key_identifier_length,
             key_identifier)

パラメーター

return_code
方向 タイプ
出力 整数

戻りコードは、呼び出し可能サービスの一般的な結果を示しています。 ICSF および暗号化コプロセッサーの戻りコードおよび理由コードに、戻りコードがリストされています。

reason_code
方向 タイプ
出力 整数

理由コードは、アプリケーション・プログラムに返される、呼び出し可能サービスの結果を示しています。 戻りコードにはそれぞれ、特定の処理問題を示すさまざまな理由コードが割り当てられています。 ICSF および暗号化コプロセッサーの戻りコードおよび理由コード に、理由コードがリストされています。

exit_data_length
方向 タイプ
出力 整数

インストール・システム出口に渡されるデータの長さ。 データは exit_data パラメーターで識別されます。

exit_data
方向 タイプ
入出力 ストリング

このデータはインストール出口に渡されます。

rule_array_count
方向 タイプ
入力 整数

rule_array パラメーターで指定するキーワード数。 rule_array_count パラメーターは 0、1、2、または 3 でなければなりません。 rule_array_count が 0 の場合は、デフォルト・キーワードが使用されます。

rule_array
方向 タイプ
入力 ストリング

制御情報を呼び出し可能サービスに提供するキーワードの集まり。 キーワードは、8 バイトの連続するストレージ内になければならず、その 8 バイト位置で左寄せされ、右側にブランクが埋め込まれている必要があります。 キーワードのリストについては、表 1 を参照してください。

表 1. 複数非暗号化鍵インポート規則配列制御情報のキーワード
キーワード 意味
アルゴリズム (オプション)
AES 出力鍵 ID は AES トークンになります。
DES 出力鍵 ID は DES トークンになります。 これがデフォルトです。
鍵ラップ方式 (オプション)
USECONFG これは、システム・デフォルト構成を使用してラップ方式を決定することを指定します。 これがデフォルト・キーワードです。

システム・デフォルト鍵ラップ方式は、インストール・オプション・データ・セットで DEFAULTWRAP パラメーターを使用して指定できます。 z/OS Cryptographic Services ICSF System Programmer's Guidez/OS Cryptographic Services ICSF System Programmer's Guidez/OS Cryptographic Services ICSF System Programmer's Guideを 参照してください。
WRAP-ENH これは、ANSI X9.24 標準に準拠した拡張鍵ラップ方式を使用します。
WRAP-ECB これは、元の鍵ラップ方式 (DES 鍵トークンには ECB ラップが使用され、AES 鍵トークンには CBC ラップが使用される) を使用します。
変換制御 (オプション)
ENH-ONLY これは、key_identifier トークンの再ラップを禁止します。 拡張方式でラップされたトークンは元の方式で再ラップできません。
clear_key_length
方向 タイプ
入力 整数

clear_key_length は、 インポートされる非暗号化鍵の値の長さ (バイト) を指定します。 DES 鍵の場合、この長さは 8 バイト、16 バイト、または 24 バイトでなければなりません。 AES 鍵の場合、この長さは 16 バイト、24 バイト、または 32 バイトでなければなりません。

clear_key
方向 タイプ
入力 ストリング

clear_key は、 インポートされる非暗号化鍵の値を指定します。

key_identifier_length
方向 タイプ
入出力 整数

key_identifier パラメーターのバイト長。 これは正確に 64 バイトでなければなりません。

key_identifier
方向 タイプ
入出力 ストリング

内部 AES/DES 鍵トークンを受け取る 64 バイトのストリング。

ICSF は、対称鍵トークンにおいて鍵値をラップする方式として、元の ECB ラップ方式と、ANSI X9.24 準拠の拡張 CBC ラップ方式の 2 つの方式をサポートします。 デフォルトを指定変更する規則配列キーワードが指定されていない場合、 出力 key_identifier ではデフォルト方式が使用されます。

アクセス制御点

下表に、このサービスの機能を制御するドメイン役割内のアクセス制御点を示します。

表 2. 複数非暗号化鍵インポートに必要なアクセス制御点
鍵アルゴリズム アクセス制御点
DES Clear Key Import/Multiple Clear Key Import - DES
AES Multiple Clear Key Import/Multiple Secure Key Import - AES

WRAP-ECB キーワードまたは WRAP-ENH キーワードが指定されているときに、 デフォルト鍵ラップ方式の設定がキーワードに適合しない場合は、「Multiple Clear Key Import - Allow wrapping override keywords」アクセス制御点を 有効にする必要があります。

「Disallow 24-byte DATA wrapped with 16-byte Key」アクセス制御点が有効になっているときに、 ソース鍵が 3 倍長の DATA 鍵であり DES マスター鍵が 16 バイトの鍵であると、このサービスは失敗します。

必須ハードウェア

下表に、各サーバー・タイプに必要な暗号化ハードウェアを示し、この呼び出し可能サービスの制約事項について説明します。

表 3. 複数非暗号化鍵インポート必須ハードウェア
サーバー 必須暗号化ハードウェア 制約事項

IBM eServer zSeries 990
IBM eServer zSeries 890

 PCI X 暗号化コプロセッサー

Crypto Express2 コプロセッサー

ENH-ONLY、USECONFG、WRAP-ENH、および WRAP-ECB はサポートされません。

拡張鍵トークン・ラップはサポートされません。

IBM System z9 EC
IBM System z9 BC

 Crypto Express2 コプロセッサー

セキュア AES 鍵サポートには、2008 年 11 月以降のライセンス内部コード (LIC) が必要です。

ENH-ONLY、USECONFG、WRAP-ENH、および WRAP-ECB はサポートされません。

拡張鍵トークン・ラップはサポートされません。

IBM System z10 EC
IBM System z10 BC

 Crypto Express2 コプロセッサー

セキュア AES 鍵サポートには、2008 年 11 月以降のライセンス内部コード (LIC) が必要です。

ENH-ONLY、USECONFG、WRAP-ENH、および WRAP-ECB はサポートされません。

拡張鍵トークン・ラップはサポートされません。
Crypto Express3 コプロセッサー

拡張鍵トークン・ラップはサポートされません。

IBM zEnterprise 196
IBM zEnterprise 114

 Crypto Express3 コプロセッサー  

IBM zEnterprise EC12
IBM zEnterprise BC12

 Crypto Express3 コプロセッサー

Crypto Express4 CCA コプロセッサー

  

IBM z13

 Crypto Express5 CCA コプロセッサー