許可
必要なトークン許可および返される属性情報の量は、オブジェクトが所有する属性の値によって決まります。
機密でない属性を取得するための権限は、以下の通りです。
- 共通オブジェクトの場合 - トークンについてのすべての権限 (USER (READ) または SO (READ))
- 秘密オブジェクトの場合 - USER (READ) または SO (CONTROL)
呼び出し側が機密でない属性を取得するための権限を持たない場合、サービスは失敗します。
呼び出し側が機密でない属性を取得するための権限を持ち、オブジェクトが機密属性を所有しない場合、サービスはすべてのオブジェクトの属性を返します。
呼び出し側が機密でない属性を取得するための権限を持ち、オブジェクトが機密属性を所有する場合、処理は以下の表に定義されたようになります。
| オブジェクト | PKCS #11 役割権限 | CKA_SENSITIVE | CKA_EXTRACTABLE | 返される属性 |
|---|---|---|---|---|
| 共有 | USER (READ) または SO (READ) | True | True または False | 機密以外のみ |
| 秘密 | USER (READ) または SO (CONTROL) | True | True または False | 機密以外のみ |
| 共有 | USER (READ) または SO (READ) | False | False | 機密以外のみ |
| 秘密 | USER (READ) または SO (CONTROL) | False | False | 機密以外のみ |
| 共有 | USER (READ) または SO (READ) | False | True | 機密および機密以外 |
| 秘密 | SO (CONTROL) | False | True | 機密以外のみ |
| 秘密 | USER (READ) | False | True | 機密および機密以外 |
注:
- セッション・オブジェクトおよびトークン・オブジェクトには同じ権限が必要です。
- 機密属性は以下の通りです。
- 秘密鍵、楕円曲線秘密鍵、DSA 秘密鍵、または Diffie-Hellman 秘密鍵の各オブジェクトについては CKA_VALUE。
- 秘密鍵オブジェクトについては CKA_PRIVATE_EXPONENT、 CKA_PRIME_1、 CKA_PRIME_2、 CKA_EXPONENT_1、 CKA_EXPONENT_2、および CKA_COEFFICIENT。
- SO およびユーザーの PKCS #11 役割の詳細については、「z/OS Cryptographic Services ICSF Writing PKCS #11 Applications」を参照してください。