データ鍵インポート (CSNBDKM および CSNEDKM)
データ鍵インポート呼び出し可能サービスを使用すれば、 暗号化されたソース DES 単一長、倍長、または 3 倍長の DATA 鍵をインポートしたり、 マスター鍵で暗号化されたソース鍵によってターゲット内部鍵トークンを作成/更新したりできます。
AMODE(64) 呼び出しの呼び出し可能サービス名は CSNEDKM です。
形式
CALL CSNBDKM(
return_code,
reason_code,
exit_data_length,
exit_data,
source_key_token,
importer_key_identifier,
target_key_identifier)
パラメーター
- return_code
-
方向 タイプ 出力 整数 戻りコードは、呼び出し可能サービスの一般的な結果を示しています。 ICSF および暗号化コプロセッサーの戻りコードおよび理由コードに、戻りコードがリストされています。
- reason_code
-
方向 タイプ 出力 整数 理由コードは、アプリケーション・プログラムに返される、呼び出し可能サービスの結果を示しています。 戻りコードにはそれぞれ、特定の処理問題を示すさまざまな理由コードが割り当てられています。 ICSF および暗号化コプロセッサーの戻りコードおよび理由コード に、理由コードがリストされています。
- exit_data_length
-
方向 タイプ 入出力 整数 インストール・システム出口に渡されるデータの長さ。 データは exit_data パラメーターで識別されます。
- exit_data
-
方向 タイプ 入出力 ストリング このデータはインストール出口に渡されます。
- source_key_token
-
方向 タイプ 入出力 ストリング インポート対象のソース鍵を含む 64 バイト・ストリング変数。 このソース鍵は外部トークンまたはヌル・トークンでなければなりません。 外部鍵トークンは、制御ベクトルが存在することを示していなければなりません。 ただし、通常、制御ベクトルの値はゼロです。 バージョン X'01' の外部鍵トークンでは、結果としてデフォルト DATA 制御ベクトルが得られるように倍長の鍵を指定する必要があります。 そうしないと、バージョン X'00' 鍵トークン内に単一長の鍵と倍長の鍵の両方が存在することになります。 ヌル・トークンの場合、このトークン・フォーマットは、このサービスによって、インポーター鍵で暗号化された DATA 鍵として、 およびヌル (すべてゼロ) 制御ベクトルとして処理されます。
- importer_key_identifier
-
方向 タイプ 入出力 ストリング ソース鍵の復号に使用される (IMPORTER) トランスポート鍵 またはトランスポート鍵の鍵ラベルを含む 64 バイト・ストリング変数。
- target_key_identifier
-
方向 タイプ 入出力 ストリング ヌル鍵トークンまたは内部鍵トークンを含む 64 バイト・ストリング変数。 この鍵トークンは、インポートされた鍵を受け取ります。
ICSF は、対称鍵トークンにおいて鍵値をラップする方式として、元の ECB ラップ方式と、ANSI X9.24 準拠の拡張 CBC ラップ方式の 2 つの方式をサポートします。 このパラメーターに入力としてスケルトン鍵トークンが渡される場合は、そのスケルトン・トークン内のラップ方式が使用されます。 それ以外の場合は、トークンのラップにシステム・デフォルト鍵ラップ方式が使用されます。
制約事項
既存の TKE ユーザーの場合は、新規のアクセス制御点を明示的に有効にしなければならないことがあります。 現行アプリケーションは、等しい鍵半分インポーターを使用して、等しくない鍵半分を持つ鍵をインポートすると、失敗します。 アクセス制御点「Data Key Import - Unrestricted」は明示的に有効にする必要があります。
この呼び出し可能サービスは、バージョン X'10' 外部 DES 鍵トークン (RKX 鍵トークン) をサポートしていません。
使用上の注意
呼び出し側がこの呼び出し可能サービス、鍵ラベル、または CKDS か PKDS に保管された内部セキュア鍵トークンの使用を許可されているかを検査するために、SAF が呼び出される場合があります。
このサービスでは、ソース鍵の鍵パリティーは調整されません。
アクセス制御点
下表に、このサービスの機能を制御するドメイン役割内のアクセス制御点を示します。
アクセス制御点 | 制約事項 |
---|---|
データ鍵インポート | なし |
Data Key Import - Unrestricted | 鍵暗号鍵の鍵半分同士は同じものにすることができます。 |
データ鍵インポート・サービスで NOCV 鍵暗号鍵を使用するには、リストされているアクセス制御点の一方または両方に 加えて、「NOCV KEK usage for import-related functions」アクセス制御点が有効になっていなければなりません。
「Disallow 24-byte DATA wrapped with 16-byte Key」アクセス制御点が有効になっているときに、 ソース鍵が 3 倍長の DATA 鍵であり DES マスター鍵が 16 バイトの鍵であると、このサービスは失敗します。
必須ハードウェア
下表に、各サーバー・タイプに必要な暗号化ハードウェアを示し、この呼び出し可能サービスの制約事項について説明します。
サーバー | 必須暗号化ハードウェア | 制約事項 |
---|---|---|
IBM eServer zSeries 990 |
PCI X 暗号化コプロセッサー Crypto Express2 コプロセッサー |
|
IBM System z9 EC |
Crypto Express2 コプロセッサー | |
IBM System z10 EC |
Crypto Express2 コプロセッサー Crypto Express3 コプロセッサー |
|
IBM zEnterprise 196 |
Crypto Express3 コプロセッサー | |
IBM zEnterprise EC12 |
Crypto Express3 コプロセッサー Crypto Express4 CCA コプロセッサー |
|
IBM z13 |
Crypto Express5 CCA コプロセッサー |