ANSI TR-31 鍵ブロック・サポート

TR-31 鍵ブロックは、交換データに含まれる鍵属性を使用してセキュアな方法で鍵を交換できるように 米国規格協会 (ANSI) によって定義されたフォーマットです。 TR-31 鍵ブロック・フォーマットには定義済み鍵属性のセットが含まれます。 それらの鍵属性は鍵に安全にバインドされているため、任意の 2 つのシステム間でまとめてトランスポートできます (ただし、 両方のシステムが TR-31 フォーマットを理解している必要があります)。 アプリケーションは ICSF を使用することによって、エクスポート用に CCA トークンを TR-31 鍵ブロックに変換したり、 インポートした TR-31 鍵ブロックを CCA トークンに変換したりできます。 これにより、鍵とその属性を、非 CCA システムとの間で安全に交換することができます。

多くの場合、TR-31 鍵属性と、CCA によって定義されている属性は、1 対 1 で対応しますが、 多対 1 で対応したり、1 対多で対応したりする場合もあります。 TR-31 によって定義されている鍵属性と、CCA によって定義されている鍵属性は、必ずしも 1 対 1 の マッピングにはならないため、TR-31 エクスポート呼び出し可能サービスと TR-31 インポート呼び出し可能サービスには規則配列キーワードが用意されています。 アプリケーションは、その規則配列キーワードを使用することによって、エクスポート/インポート対象の鍵に付与する属性を指定できるようになります。

TR-31 鍵ブロック・フォーマットによってヘッダー・セクションが定義されます。 ヘッダーには、鍵に関するメタデータ (鍵用途属性など) が含まれています。 また、ヘッダーはオプション・ブロックで拡張できます (標準化されたコンテンツや専有情報を含めることができます)。 さらに、鍵をインポートすることなく TR-31 鍵ブロックから標準ヘッダーやオプション・ブロック情報を取得したり、 オプション・ブロックを作成したりするための呼び出し可能サービスも用意されています。

TR-31 鍵ブロック・サポートには、CCA 暗号化コプロセッサー (2011 年 9 月以降のライセンス内部コード (LIC) を持つ CEX3C) が 備わった z196 以降または IBM zEnterprise EC12 以降が必要です。 TR-31 鍵ブロックでは DES/TDES 鍵のみがトランスポート可能です。 AES 鍵のトランスポートはサポートされていません。