鍵強度および鍵ラップのアクセス制御点

ANSI X9.24 Part 1 や PCI-HSM などの暗号標準に適合するために、ICSF は、鍵がその鍵自体より弱い鍵でラップされないようにする方法を提供しています。 ICSF には、鍵のラップを制御するためにドメイン役割におけるアクセス制御点のセットが備わっています。 ICSF 管理者は、そのアクセス制御点を使用して、インストール・システムの個々の要件を満たすことができます。

マスター鍵および鍵暗号鍵による鍵のラップを制御するアクセス制御点には、新規のものもあれば、既存のものもあります。 これらのアクセス制御点では、鍵を、その鍵より強度の弱い鍵でラップすることが禁止されたり、 鍵がその鍵より強度の弱い鍵でラップされるときに警告 (戻りコードは 0、理由コードはゼロ以外) が返されたりします。 このような ACP はすべて、ドメイン役割においてデフォルトで無効になっています。

呼び出し可能サービスの処理は、これらのアクセス制御点による影響を受けます。 アクセス制御点、アクセス制御点で制御されるラップ、およびアクセス制御点がサービスに与える影響について以下で説明します。 これらのアクセス制御点は対称鍵と非対称鍵に適用されます。

「Prohibit weak wrapping - Transport keys」アクセス制御点が有効になっている場合、鍵を、 より弱いトランスポート鍵でラップしようとするサービスはいずれも失敗します。

「Prohibit weak wrapping - Master keys」アクセス制御点が有効になっている場合に、 マスター鍵がラップ対象の鍵よりも弱いと、鍵をマスター鍵でラップするサービスはいずれも失敗します。

「Warn when weak wrap - Transport keys」アクセス制御点が有効になっている場合、 鍵を、より弱いトランスポート鍵でラップしようとするサービスはいずれも成功し、警告の理由コードが返されます。

「Warn when weak wrap - Master keys」アクセス制御点が有効になっている場合、鍵を、 より弱いマスター鍵でラップしようとするサービスはいずれも成功し、警告の理由コードが返されます。

ゼロの制御ベクトルを持つ 24 バイト DATA 鍵は、16 バイトの鍵、DES マスター鍵、または鍵暗号鍵でラップできます。 ただし、ラップ要件に違反することになります。 この場合は、「Prohibit weak wrapping - Transport keys」アクセス制御点 および「Prohibit weak wrapping - Master keys」アクセス制御点が原因でサービスが失敗することはありません。 このラップは、「Disallow 24-byte DATA wrapped with 16-byte Key」アクセス制御点によって制御されます。 これが有効になっている場合、サービスは失敗します。 「Warn when weak wrap - Transport keys」アクセス制御点 および「Warn when weak wrap - Master keys」アクセス制御点が有効になっている場合は、警告が返されます。

「RKX/TBC - Disallow triple-length MAC key」アクセス制御点が有効になっている場合、CSNDRKX は 倍長の鍵暗号鍵で 3 倍長の MAC 鍵をインポートできません。 CSNBTBC は、倍長の鍵暗号鍵で 3 倍長の MAC 鍵をラップしません。 この場合は、「Prohibit weak wrapping - Transport keys」アクセス制御点 および「Prohibit weak wrapping - Master keys」アクセス制御点が原因でサービスが失敗することはありません。 「Warn when weak wrap - Transport keys」アクセス制御点 および「Warn when weak wrap - Master keys」アクセス制御点が有効になっている場合は、 警告が返されます。

「Prohibit Weak Wrap」アクセス制御点が有効になっている場合は、RSA 秘密鍵を、 より弱い DES 鍵暗号鍵を使用してラップすることはできません。 「Allow weak DES wrap of RSA private key」アクセス制御点を有効にすると、この制限は指定変更されます。