データ鍵エクスポート (CSNBDKX および CSNEDKX)

CALL CSNBDKX(
             return_code,
             reason_code,
             exit_data_length,
             exit_data,
             source_key_identifier,
             exporter_key_identifier,
             target_key_identifier)

return_code

方向	タイプ
出力	整数

戻りコードは、呼び出し可能サービスの一般的な結果を示しています。 ICSF および暗号化コプロセッサーの戻りコードおよび理由コードに、戻りコードがリストされています。

reason_code

方向	タイプ
出力	整数

理由コードは、アプリケーション・プログラムに返される、呼び出し可能サービスの結果を示しています。 戻りコードにはそれぞれ、特定の処理問題を示すさまざまな理由コードが割り当てられています。 ICSF および暗号化コプロセッサーの戻りコードおよび理由コード に、理由コードがリストされています。

exit_data_length

方向	タイプ
入出力	整数

インストール・システム出口に渡されるデータの長さ。 データは exit_data パラメーターで識別されます。

exit_data

方向	タイプ
入出力	ストリング

このデータはインストール出口に渡されます。

source_key_identifier

方向	タイプ
入出力	ストリング

再暗号化対象のデータ暗号鍵を含む内部鍵トークン/ラベルの 64 バイト・ストリング。 このデータ暗号鍵はマスター鍵で暗号化されます。

exporter_key_identifier

方向	タイプ
入出力	ストリング

エクスポーター key_encrypting 鍵を含む 内部鍵トークンまたは鍵ラベルの 64 バイト・ストリング。 前述のデータ暗号鍵が、このエクスポーター key_encrypting 鍵で暗号化されます。

target_key_identifier

方向	タイプ
入出力	ストリング

外部鍵トークンを受け取る 64 バイト・フィールド。 エクスポートされて再暗号化された鍵が含まれます。 この時点で、再暗号化されたこの鍵は別の暗号システムと交換できます。

ICSF は、対称鍵トークンにおいて鍵値をラップする方式として、元の ECB ラップ方式と、ANSI X9.24 準拠の拡張 CBC ラップ方式の 2 つの方式をサポートします。 出力 target_key_identifier は、source_key_identifier と同じ方法でラップされます。

既存の TKE ユーザーの場合は、新規のアクセス制御点を明示的に有効にしなければならないことがあります。 現行アプリケーションは、等しい鍵半分エクスポーターを使用して、等しくない鍵半分を持つ鍵をエクスポートすると、失敗します。 アクセス制御点「Data Key Export - Unrestricted」は明示的に有効にする必要があります。

この呼び出し可能サービスは、バージョン X'10' 外部 DES 鍵トークン (RKX 鍵トークン) をサポートしていません。

呼び出し側がこの呼び出し可能サービス、鍵ラベル、または CKDS か PKDS に保管された内部セキュア鍵トークンの使用を許可されているかを検査するために、SAF が呼び出される場合があります。

下表に、このサービスの機能を制御するドメイン役割内のアクセス制御点を示します。

データ鍵エクスポート・サービスで NOCV 鍵暗号鍵を使用するには、リストされているアクセス制御点の一方または両方に 加えて、「NOCV KEK usage for export-related functions」アクセス制御点が有効になっていなければなりません。

「Disallow 24-byte DATA wrapped with 16-byte Key」アクセス制御点が有効になっているときに、 ソース鍵が 3 倍長の DATA 鍵であり DES マスター鍵が 16 バイトの鍵であると、このサービスは失敗します。

下表に、各サーバー・タイプに必要な暗号化ハードウェアを示し、この呼び出し可能サービスの制約事項について説明します。