複数非暗号化鍵インポート (CSNBCKM および CSNECKM)
複数非暗号化鍵インポート呼び出し可能サービスでは、非暗号化 AES/DES 鍵がインポートされ、その鍵が、対応するマスター鍵で暗号化され、 その暗号化された鍵が内部鍵トークンで返されます。 暗号化対象の鍵のタイプは DATA です。 暗号化された鍵は操作可能形式になります。
AMODE(64) 呼び出しの呼び出し可能サービス名は CSNECKM です。
形式
CALL CSNBCKM(
return_code,
reason_code,
exit_data_length,
exit_data,
rule_array_count,
rule_array,
clear_key_length,
clear_key,
key_identifier_length,
key_identifier)
パラメーター
- return_code
-
方向 タイプ 出力 整数 戻りコードは、呼び出し可能サービスの一般的な結果を示しています。 ICSF および暗号化コプロセッサーの戻りコードおよび理由コードに、戻りコードがリストされています。
- reason_code
-
方向 タイプ 出力 整数 理由コードは、アプリケーション・プログラムに返される、呼び出し可能サービスの結果を示しています。 戻りコードにはそれぞれ、特定の処理問題を示すさまざまな理由コードが割り当てられています。 ICSF および暗号化コプロセッサーの戻りコードおよび理由コード に、理由コードがリストされています。
- exit_data_length
-
方向 タイプ 出力 整数 インストール・システム出口に渡されるデータの長さ。 データは exit_data パラメーターで識別されます。
- exit_data
-
方向 タイプ 入出力 ストリング このデータはインストール出口に渡されます。
- rule_array_count
-
方向 タイプ 入力 整数 rule_array パラメーターで指定するキーワード数。 rule_array_count パラメーターは 0、1、2、または 3 でなければなりません。 rule_array_count が 0 の場合は、デフォルト・キーワードが使用されます。
- rule_array
-
方向 タイプ 入力 ストリング 制御情報を呼び出し可能サービスに提供するキーワードの集まり。 キーワードは、8 バイトの連続するストレージ内になければならず、その 8 バイト位置で左寄せされ、右側にブランクが埋め込まれている必要があります。 キーワードのリストについては、表 1 を参照してください。
表 1. 複数非暗号化鍵インポート規則配列制御情報のキーワード キーワード 意味 アルゴリズム (オプション) AES 出力鍵 ID は AES トークンになります。 DES 出力鍵 ID は DES トークンになります。 これがデフォルトです。 鍵ラップ方式 (オプション) USECONFG これは、システム・デフォルト構成を使用してラップ方式を決定することを指定します。 これがデフォルト・キーワードです。 システム・デフォルト鍵ラップ方式は、インストール・オプション・データ・セットで DEFAULTWRAP パラメーターを使用して指定できます。 「z/OS Cryptographic Services ICSF System Programmer's Guide」「z/OS Cryptographic Services ICSF System Programmer's Guide」「z/OS Cryptographic Services ICSF System Programmer's Guide」を 参照してください。
WRAP-ENH これは、ANSI X9.24 標準に準拠した拡張鍵ラップ方式を使用します。 WRAP-ECB これは、元の鍵ラップ方式 (DES 鍵トークンには ECB ラップが使用され、AES 鍵トークンには CBC ラップが使用される) を使用します。 変換制御 (オプション) ENH-ONLY これは、key_identifier トークンの再ラップを禁止します。 拡張方式でラップされたトークンは元の方式で再ラップできません。 - clear_key_length
-
方向 タイプ 入力 整数 clear_key_length は、 インポートされる非暗号化鍵の値の長さ (バイト) を指定します。 DES 鍵の場合、この長さは 8 バイト、16 バイト、または 24 バイトでなければなりません。 AES 鍵の場合、この長さは 16 バイト、24 バイト、または 32 バイトでなければなりません。
- clear_key
-
方向 タイプ 入力 ストリング clear_key は、 インポートされる非暗号化鍵の値を指定します。
- key_identifier_length
-
方向 タイプ 入出力 整数 key_identifier パラメーターのバイト長。 これは正確に 64 バイトでなければなりません。
- key_identifier
-
方向 タイプ 入出力 ストリング 内部 AES/DES 鍵トークンを受け取る 64 バイトのストリング。
ICSF は、対称鍵トークンにおいて鍵値をラップする方式として、元の ECB ラップ方式と、ANSI X9.24 準拠の拡張 CBC ラップ方式の 2 つの方式をサポートします。 デフォルトを指定変更する規則配列キーワードが指定されていない場合、 出力 key_identifier ではデフォルト方式が使用されます。
アクセス制御点
下表に、このサービスの機能を制御するドメイン役割内のアクセス制御点を示します。
鍵アルゴリズム | アクセス制御点 |
---|---|
DES | Clear Key Import/Multiple Clear Key Import - DES |
AES | Multiple Clear Key Import/Multiple Secure Key Import - AES |
WRAP-ECB キーワードまたは WRAP-ENH キーワードが指定されているときに、 デフォルト鍵ラップ方式の設定がキーワードに適合しない場合は、「Multiple Clear Key Import - Allow wrapping override keywords」アクセス制御点を 有効にする必要があります。
「Disallow 24-byte DATA wrapped with 16-byte Key」アクセス制御点が有効になっているときに、 ソース鍵が 3 倍長の DATA 鍵であり DES マスター鍵が 16 バイトの鍵であると、このサービスは失敗します。
必須ハードウェア
下表に、各サーバー・タイプに必要な暗号化ハードウェアを示し、この呼び出し可能サービスの制約事項について説明します。
サーバー | 必須暗号化ハードウェア | 制約事項 |
---|---|---|
IBM eServer zSeries 990 |
PCI X 暗号化コプロセッサー Crypto Express2 コプロセッサー |
ENH-ONLY、USECONFG、WRAP-ENH、および WRAP-ECB はサポートされません。 拡張鍵トークン・ラップはサポートされません。 |
IBM System z9 EC |
Crypto Express2 コプロセッサー | セキュア AES 鍵サポートには、2008 年 11 月以降のライセンス内部コード (LIC) が必要です。 ENH-ONLY、USECONFG、WRAP-ENH、および WRAP-ECB はサポートされません。 拡張鍵トークン・ラップはサポートされません。 |
IBM System z10 EC |
Crypto Express2 コプロセッサー | セキュア AES 鍵サポートには、2008 年 11 月以降のライセンス内部コード (LIC) が必要です。 ENH-ONLY、USECONFG、WRAP-ENH、および WRAP-ECB はサポートされません。 拡張鍵トークン・ラップはサポートされません。 |
Crypto Express3 コプロセッサー | 拡張鍵トークン・ラップはサポートされません。 |
|
IBM zEnterprise 196 |
Crypto Express3 コプロセッサー | |
IBM zEnterprise EC12 |
Crypto Express3 コプロセッサー Crypto Express4 CCA コプロセッサー |
|
IBM z13 |
Crypto Express5 CCA コプロセッサー |