Remote_Key_Export を使用して鍵を生成

次の図は、トラステッド・ブロックを使用して新規 DES/TDES 鍵を生成する場合の処理を表したものです。 この図は、基本的な流れを説明するための概略です。

鍵を生成する場合は、リモート鍵エクスポート呼び出し可能サービスが以下の主要パラメーターを使用して呼び出されます。

• 内部アクティブ状態のトラステッド・ブロック。 鍵に適用されるバリアントなどに使用される値など、鍵生成操作がどのように処理されるのかが定義されます。 生成対象鍵は、トラステッド・ブロックに含まれる MAC 鍵のバリアントによって暗号化されます。
• オプションの公開鍵証明書。 これが組み込まれる場合は、特定 ATM について認証された公開鍵が含まれます。 この証明書は ATM ベンダーの秘密鍵を使用して署名されています。 この証明書を検証できるように、秘密鍵に対応する公開鍵がトラステッド・ブロックに含まれていなければなりません。 証明書に含まれている公開鍵は、生成対象鍵を暗号化するために使用できます。

処理手順は概略では簡素ですが、詳細にすると、多くのオプションがあって非常に複雑です。 処理手順の大部分は、鍵エクスポートについて既に説明されている手順と同じです。 そのため、ここでは、処理手順のうち異なる部分についてのみ詳しく説明します。

• トラステッド・ブロックおよび入力パラメーターの検証は、既にエクスポートについて説明したとおりに行われます。
• リモート鍵エクスポート呼び出し可能サービスから返される DES/TDES 鍵はランダムに生成されます。 トラステッド・ブロックは、生成対象鍵の長さを示します。
• 出力鍵値は、既にエクスポートについて説明したようにオプションでバリアントによって変更されます。 その後で、出力鍵値は、トランスポート鍵を使用して、さらにオプションで証明書パラメーターに指定される公開鍵を使用して、 エクスポートの場合と同じ方法で暗号化されます。
• オプションで、エクスポートされた鍵の場合と同じ方式を使用して、生成対象鍵に対して鍵検査値 (KCV) が計算されます。