鍵生成 2 (CSNBKGN2 および CSNEKGN2)

鍵生成 2 呼び出し可能サービスは、任意のタイプの鍵を 1 つまたは 2 つ生成する場合に使用します。 この呼び出し可能サービスでは、非暗号化形式で鍵が作成されることはありません。 すべての鍵は暗号化形式で返されます。 2 つの鍵を生成する場合、各鍵は同じ非暗号化値を持ちます。 ただし、この非暗号化値が、セキュアな暗号機能の外に公開されることはありません。

このサービスでは、可変長の CCA 鍵トークンが返され、AESKW ラップ方式が使用されます。

このサービスは HMAC 鍵および AES 鍵をサポートしています。 操作可能鍵は AES マスター鍵で暗号化されます。

デフォルト鍵用途値がないため、一部の鍵タイプは、このサービスで直接はサポートされていません。 そのような鍵タイプは、鍵トークン作成 2 サービスからのスケルトン・トークンと TOKEN キーワードを使用して生成できます。 AES 鍵タイプ DKYGENKY、MAC、PINCALC、PINPROT、および PINPRW では TOKEN を使用する必要があります。

AMODE(64) の呼び出し可能サービス名は CSNEKGN2 です。

親トピック: 対称暗号鍵の管理

形式

CALL CSNBKGN2(
             return_code,
             reason_code,
             exit_data_length,
             exit_data,
             rule_array_count,
             rule_array,
             clear_key_bit_length,
             key_type_1,
             key_type_2,
             key_name_1_length,
             key_name_1,
             key_name_2_length,
             key_name_2,
             user_associated_data_1_length,
             user_associated_data_1,
             user_associated_data_2_length,
             user_associated_data_2,
             key_encrypting_key_identifier_1_length,
             key_encrypting_key_identifier_1,
             key_encrypting_key_identifier_2_length,
             key_encrypting_key_identifier_2,
             generated_key_identifier_1_length,
             generated_key_identifier_1,
             generated_key_identifier_2_length,
             generated_key_identifier_2)

パラメーター

return_code
方向 タイプ
出力 整数

戻りコードは、呼び出し可能サービスの一般的な結果を示しています。 ICSF および暗号化コプロセッサーの戻りコードおよび理由コードに、戻りコードがリストされています。

reason_code
方向 タイプ
出力 整数

理由コードは、アプリケーション・プログラムに返される、呼び出し可能サービスの結果を示しています。 戻りコードにはそれぞれ、特定の処理問題を示すさまざまな理由コードがあります。 ICSF および暗号化コプロセッサーの戻りコードおよび理由コード に、理由コードがリストされています。

exit_data_length
方向 タイプ
入出力 整数

インストール・システム出口に渡されるデータの長さ。 データは exit_data パラメーターで識別されます。

exit_data
方向 タイプ
入出力 ストリング

このデータはインストール出口に渡されます。

rule_array_count
方向 タイプ
入力 整数

rule_array パラメーターで指定するキーワードの数。 有効な値は 2、3、または 4 です。

rule_array
方向 タイプ
入力 ストリング

rule_array には、制御情報をこの呼び出し可能サービスに提供するキーワードが含まれます。 キーワードは、連続するストレージ内になければならず、各キーワードはその 8 バイト位置で左寄せされ、右側にブランクが埋め込まれている必要があります。

表 1. 鍵生成 2 制御情報のキーワード
キーワード 意味
トークン・アルゴリズム (必須)
HMAC これは、HMAC 鍵トークンを生成することを指定します。
AES これは、AES 鍵トークンを生成することを指定します。
鍵形式 (必須)

最初の 2 つの文字は key_type_1 に相当します。 次の 2 つの文字は key_type_2 に相当します。 詳しくは、「使用上の注意」セクションを参照してください。
EX 別のシステムに送信できる 1 つの鍵。
EXEX 1 つの鍵ペア。 どちらの鍵も他の場所に送信されます (おそらく、2 つの異なるシステムにエクスポートするため)。 どちらの鍵も同じ非暗号化値を持ちます。
IM ローカルにインポートできる 1 つの鍵。 この鍵は、別の機会に操作可能にするために当該システムにインポートできます。
IMEX インポート対象の鍵ペア。 一方の鍵はローカルにインポートされ、もう一方の鍵は別の場所に送信されます。 どちらの鍵も同じ非暗号化値を持ちます。
IMIM インポート対象の鍵ペア。 どちらの鍵も別の機会にローカルにインポートされます。 どちらの鍵も同じ非暗号化値を持ちます。
OP 1 つの操作可能鍵。 この鍵は、ローカルで使用できるように操作可能形式で呼び出し側に返されます。
OPEX 1 つの鍵ペア。 一方の鍵は操作可能鍵であり、もう一方の鍵は別の場所に送信されます。 どちらの鍵も同じ非暗号化値を持ちます。
OPIM 1 つの鍵ペア。一方の鍵は操作可能鍵であり、もう一方の鍵は別の機会にローカルにインポートされます。 どちらの鍵も同じ非暗号化値を持ちます。
OPOP 1 つの鍵ペア。 それぞれの鍵は、異なる関連データを持つ同じ鍵タイプを持つか、または補完的な鍵タイプを持ちます。 どちらの鍵も同じ非暗号化値を持ちます。
generated_key_identifier_1 のペイロード・バージョン (オプションで 1 つのみ指定可能)
注: このキーワードは、対応する任意のスケルトン・トークンのペイロード・フォーマット・バージョンを指定変更します。
V0PYLDK1 これは、generated_key_identifier_1 パラメーターに対して古い可変長のペイロード・フォーマットを使用してトークンを作成します。 これは、鍵タイプ AES CIPHER、EXPORTER、および IMPORTER のデフォルトであり、これらの鍵タイプでのみ有効です。
V1PYLDK1 これは、generated_key_identifier_1 パラメーターに対して新しい固定長ペイロード・フォーマットを使用してトークンを作成します。 これは、鍵タイプ AES MAC、PINPROT、PINCALC、PINPRW、および DKYGENKY のデフォルトです。 これは HMAC MAC 鍵タイプでは無効です。
generated_key_identifier_2 のペイロード・バージョン (オプションで 1 つのみ指定可能)
注: このキーワードは、対応する任意のスケルトン・トークンのペイロード・フォーマット・バージョンを指定変更します。
V0PYLDK2 これは、generated_key_identifier_2 パラメーターに対して古い可変長のペイロード・フォーマットを使用してトークンを作成します。 これは、鍵タイプ AES CIPHER、EXPORTER、および IMPORTER のデフォルトであり、これらの鍵タイプでのみ有効です。
V1PYLDK2 これは、generated_key_identifier_2 パラメーターに対して新しい固定長ペイロード・フォーマットを使用してトークンを作成します。 これは、鍵タイプ AES MAC、PINPROT、PINCALC、PINPRW、および DKYGENKY のデフォルトです。 これは HMAC MAC 鍵タイプでは無効です。
clear_key_bit_length
方向 タイプ
入力 整数
生成される鍵のサイズ (ビット)。
  • HMAC アルゴリズムの場合、これは 80 から 2048 までの値です。
  • AES アルゴリズムの場合、この値は 128、192、または 256 です。
key_type_1 または key_type_2 が TOKEN の場合、 この値はそれぞれ generated_key_identifier_1 または generated_key_identifier_2 に 含まれている鍵の長さを指定変更します。
key_type_1
方向 タイプ
入力 ストリング

生成する 最初の (または唯一の) 鍵に対して key_type_1 パラメーターを使用します。 このキーワードは左寄せにして、ブランクを埋め込む必要があります。 有効なタイプの組み合わせは鍵形式によって異なります。 その組み合わせについては、表 4 および 表 5 を 参照してください。

key_type_1 パラメーターの 8 バイト・キーワードとして以下のいずれかを使用できます。

表 2. key_type_1 パラメーターのキーワードおよび関連アルゴリズム
キーワード アルゴリズム
CIPHER AES
EXPORTER AES
IMPORTER AES
MAC HMAC
MACVER HMAC
generated_key_identifier_1 パラメーターで鍵トークンを指定する場合は、 キーワード TOKEN を指定します。

key_type_1 が TOKEN の 場合は、generated_key_identifier_1 パラメーターに指定された関連データが検査されて鍵タイプが導出されます。

key_type_2
方向 タイプ
入力 ストリング

鍵ペアについては、key_type_2 パラメーターを 使用します (表 5 を参照してください)。 このキーワードは左寄せにして、ブランクを埋め込む必要があります。 有効なタイプの組み合わせは鍵形式によって異なります。

key_type_2 パラメーターの 8 バイト・キーワードとして以下のいずれかを使用できます。

表 3. key_type_2 パラメーターのキーワードおよび関連アルゴリズム
キーワード アルゴリズム
CIPHER AES
EXPORTER AES
IMPORTER AES
MAC HMAC
MACVER HMAC
generated_key_identifier_2 パラメーターで鍵トークンを指定する場合は、 キーワード TOKEN を指定します。

key_type_2 が TOKEN の 場合は、generated_key_identifier_2 パラメーターに指定された関連データが検査されて鍵タイプが導出されます。

生成する鍵が 1 つのみの場合、このパラメーターは無視されます。

key_name_1_length
方向 タイプ
入力 整数

generated_key_identifier_1key_name パラメーターの長さ。 有効な値は 0 および 64 バイトです。

key_name_1
方向 タイプ
入力 ストリング

generated_key_identifier_1 の 関連データ構造に保管される 64 バイト鍵ストア・ラベル。

key_name_2_length
方向 タイプ
入力 整数

generated_key_identifier_1key_name パラメーターの長さ。 有効な値は 0 および 64 バイトです。

生成する鍵が 1 つのみの場合、このパラメーターは無視されます。

key_name_2
方向 タイプ
入力 ストリング

generated_key_identifier_2 の 関連データ構造に保管される 64 バイト鍵ストア・ラベル。

生成する鍵が 1 つのみの場合、このパラメーターは無視されます。

user_associated_data_1_length
方向 タイプ
入力 整数

generated_key_identifier_1 の ユーザー関連データ・パラメーターの長さ。 有効な値は 0 バイトから 255 バイトまでです。

user_associated_data_1
方向 タイプ
入力 ストリング

generated_key_identifier_1 の 関連データ構造に保管されるユーザー関連データ。

user_associated_data_2_length
方向 タイプ
入力 整数

generated_key_identifier_2 の ユーザー関連データ・パラメーターの長さ。 有効な値は 0 バイトから 255 バイトまでです。

生成する鍵が 1 つのみの場合、このパラメーターは無視されます。

user_associated_data_2
方向 タイプ
入力 ストリング

generated_key_identifier_2 の 関連データ構造に保管されるユーザー関連データ。

生成する鍵が 1 つのみの場合、このパラメーターは無視されます。

key_encrypting_key_identifier_1_length
方向 タイプ
入力 整数

key_encrypting_key_identifier_1 の バッファーの長さ (バイト)。 鍵形式規則が OP、OPOP、OPIM、または OPEX の場合、この長さはゼロでなければなりません。 鍵形式規則が EX、EXEX、IM、IMEX、または IMIM の場合に、key_encrypting_key_identifier_1 がトークンであると、 この値は実際のトークンの長さから 725 バイトまでの間でなければなりません。

key_encrypting_key_identifier_1 がラベルの場合、この値は 64 バイトでなければなりません。

key_encrypting_key_identifier_1
方向 タイプ
入出力 ストリング

key_encrypting_key_identifier_1_length が ゼロの場合、このパラメーターは無視されます。 それ以外の場合、key_encrypting_key_identifier_1 には、AES インポーター/エクスポーター鍵暗号鍵を含む内部鍵トークン、 または鍵ラベルが含まれます。

指定されたトークンが旧マスター鍵で暗号化されていた場合、このトークンは現行マスター鍵で暗号化されて返されます。

key_encrypting_key_identifier_2_length
方向 タイプ
入力 整数

key_encrypting_key_identifier_2 の バッファーの長さ (バイト)。 鍵形式規則が OPOP の場合、この長さはゼロでなければなりません。 鍵形式規則が EXEX、IMEX、IMIM、OPIM、または OPEX の場合に、key_encrypting_key_identifier_2 がトークンであると、 この値は実際のトークンの長さから 725 までの間でなければなりません。 key_encrypting_key_identifier_2 がラベルの場合、この値は 64 でなければなりません。

生成する鍵が 1 つのみの場合、このパラメーターは無視されます。

key_encrypting_key_identifier_2
方向 タイプ
入出力 ストリング

key_encrypting_key_identifier_2_length が ゼロの場合、このパラメーターは無視されます。 それ以外の場合、key_encrypting_key_identifier_2 には、AES インポーター/エクスポーター鍵暗号鍵を含む内部鍵トークン、 または鍵ラベルが含まれます。

指定されたトークンが旧マスター鍵で暗号化されていた場合、このトークンは現行マスター鍵で暗号化されて返されます。

生成する鍵が 1 つのみの場合、このパラメーターは無視されます。

generated_key_identifier_1_length
方向 タイプ
入出力 整数

入力の 場合は、generated_key_identifier_1 パラメーターのバッファーの長さ (バイト) です。 最大値は 900 バイトです。

出力の場合、このパラメーターは generated_key_identifier_1 の実際の長さを保持します。

generated_key_identifier_1
方向 タイプ
入出力 ストリング

最初の生成対象鍵トークンのバッファー。

入力の場合、key_type_1 として TOKEN を指定すると、このバッファーには、生成される鍵タイプの有効な鍵トークンが含まれます。 この鍵トークンはバッファー内で左寄せする必要があります。 有効な鍵タイプのリストについては、key_type_1 を参照してください。

出力の場合、このバッファーには生成対象鍵トークンが含まれます。

generated_key_identifier_2_length
方向 タイプ
入出力 整数

入力の 場合は、generated_key_identifier_2 のバッファーの長さ (バイト) です。 最大値は 900 バイトです。

出力の場合、このパラメーターは generated_key_identifier_2 の実際の長さを保持します。

生成する鍵が 1 つのみの場合、このパラメーターは無視されます。

generated_key_identifier_2
方向 タイプ
入出力 ストリング

2 番目の生成対象鍵トークンのバッファー。

入力の場合、key_type_2 として TOKEN を指定すると、 このバッファーには、生成される鍵タイプの有効な鍵トークンが入れられます。 この鍵トークンはバッファー内で左寄せする必要があります。 有効な鍵タイプのリストについては、key_type_2 を参照してください。

出力の場合、このバッファーには生成対象鍵トークンが含まれます。

生成する鍵が 1 つのみの場合、このパラメーターは無視されます。

使用上の注意

鍵形式は次のように定義されています。
操作可能 (OP)
鍵の値はマスター鍵で暗号化されます。 結果は内部鍵トークンに入れられます。 その後、この鍵はローカル・システムで操作可能になります。
インポート可能 (IM)
鍵の値はインポーター鍵暗号鍵で暗号化されます。 結果は外部鍵トークンに入れられます。 対応する key_encrypting_key_identifier_x パラメーターに AES IMPORTER 鍵トークン/ラベルが含まれていなければなりません。
エクスポート可能 (EX)
鍵の値はエクスポーター鍵暗号鍵で暗号化されます。 結果は外部鍵トークンに入れられます。 対応する key_encrypting_key_identifier_x パラメーターに AES EXPORTER 鍵トークン/ラベルが含まれていなければなりません。

下に示す各表は、有効な鍵タイプと鍵形式の組み合わせ、および必要なアクセス制御点をリストしたものです。

表に示されている鍵用途属性は必須です。 表に示されていない鍵用途属性はオプションです。 鍵用途属性が鍵タイプのデフォルト値でない場合は、必要な属性を持つスケルトン鍵トークンを指定して、鍵タイプを TOKEN にする必要があります。

表 4 は、 単一の鍵として生成できるすべての鍵タイプをリストしたものです。 「Key Generate2 - OP」アクセス制御点が有効になっていなければなりません。

アスタリスク (*) でマークされている鍵タイプは、鍵トークンにおいて適切な鍵用途フィールドを指定して TOKEN キーワードを使用することによって 要求する必要があります。

表 4. 鍵生成 2 の有効な鍵タイプおよび鍵形式 (1 つの AES 鍵または HMAC 鍵の場合)
key_type_1 (鍵使用)

鍵形式
OP、IM、EX
CIPHER (ENCRYPT、DECRYPT) X スケルトン・トークンを指定する場合は、鍵用途で暗号化解除および暗号化が許可されていなければなりません。
*DKYGENKY (D-ALL) X  
*DKYGENKY (D-CIPHER) X スケルトン・トークンを指定する場合は、導出された鍵の鍵用途で暗号化解除および暗号化が許可されていなければなりません。
*DKYGENKY (D-MAC) X スケルトン・トークンを指定する場合、 導出された鍵の生成制御鍵用途は GENERATE でなければなりません。
*DKYGENKY (D-PCALC) X  
HMAC MAC (GENERATE) X スケルトン・トークンを指定する場合、 生成制御鍵用途は GENERATE でなければなりません。
AES MAC (GENERATE) X スケルトンにおける生成制御鍵用途は GENERATE でなければなりません。

表 5 に、 生成できる鍵のペア、および許可される鍵形式をすべてリストします。 「X」でマークされている鍵形式では、「Key Generate2 - Key set」アクセス制御点を有効にする必要があります。 「E」でマークされている鍵形式では、「Key Generate2 - Key set extended」アクセス制御点を有効にする必要があります。

アスタリスク (*) でマークされている鍵タイプは、鍵トークンにおいて適切な鍵用途フィールドを指定して TOKEN キーワードを使用することによって 要求する必要があります。

表 5. 鍵生成 2 の有効な鍵タイプおよび鍵形式 (2 つの AES 鍵または HMAC 鍵の場合)
key_type_1 (鍵使用) key_type_2 (鍵使用)

鍵形式
OPOP
OPIM
IMIM

鍵形式
OPEX

鍵形式
EXEX

鍵形式
IMEX
CIPHER (DECRYPT、ENCRYPT) CIPHER (DECRYPT、C-XLATE) X X X X
CIPHER (DECRYPT、ENCRYPT) CIPHER (DECRYPT、 ENCRYPT、 C-XLATE) X X X X
CIPHER (DECRYPT、ENCRYPT) CIPHER (ENCRYPT、C-XLATE) X X X X
CIPHER (DECRYPT) CIPHER (ENCRYPT、C-XLATE) X X X X
CIPHER (DECRYPT、C-XLATE) CIPHER (DECRYPT、ENCRYPT) X X X X
CIPHER (DECRYPT、 ENCRYPT、 C-XLATE) CIPHER (DECRYPT、ENCRYPT) X E X E
CIPHER (ENCRYPT、C-XLATE) CIPHER (DECRYPT、ENCRYPT) X E X E
CIPHER (ENCRYPT、C-XLATE) CIPHER (DECRYPT) X E X E
CIPHER (DECRYPT、C-XLATE) CIPHER (DECRYPT) X E X E
CIPHER (DECRYPT、 ENCRYPT、 C-XLATE) CIPHER (DECRYPT、 ENCRYPT、 C-XLATE)   E X E
CIPHER (DECRYPT、C-XLATE) CIPHER (ENCRYPT、C-XLATE)   E X E
CIPHER (ENCRYPT、C-XLATE) CIPHER (DECRYPT、C-XLATE)   E X E
*DKYGENKY *DKYGENKY X X X X
EXPORTER IMPORTER   X X X
IMPORTER EXPORTER   X X X
MAC (GENERATE) MAC (GENERATE) X X X X
MAC (GENERATE) MAC (VERIFY) X X X X
MAC (GENERATE) MAC (GENONLY) X X X X
MAC (GENONLY) MAC (GENERATE) X X X X
MAC (GENONLY) MAC (VERIFY) X X X X
MAC (VERIFY) MAC (GENERATE) X X X X
MAC (VERIFY) MAC (GENONLY) X X X X

EX を比較した場合の 相違については、 表 9 を 参照してください。

注: DKYGENKY 鍵のペアを使用すれば、異なる鍵タイプおよび鍵用途属性を持つ鍵のペアを変形することができます。 変形可能な鍵タイプと鍵用途属性の組み合わせが、KGN2 verb を使用して同じ鍵を生成する場合の要件を満たしていなければなりません。 D-ALL 用途が指定された DKYGENKY 鍵は、D-ALL 用途が指定された DKYGENKY 鍵とのみペアになることができます。

German Banking Industry Committee (Deutsche Kreditwirtschaft (DK)) PIN 方式の鍵については、 適切な鍵用途の値を持つ鍵トークンを指定する必要があります。 鍵タイプ 1 および 2 は TOKEN です。 表 6 に、有効な鍵ペアを示します。 これらの鍵を生成するには、アクセス制御点を有効にする必要があります。

表 6. 生成できる有効な鍵ペア、およびそれに必要なアクセス点
アクセス制御点 表 ID
Key Generate2 - OP O
Key Generate2 - Key set X
Key Generate2 - DK PIN key set D
Key Generate2 - DK PIN admin1 key PINPROT D1P
Key Generate2 - DK PIN admin1 key MAC D1M
Key Generate2 - DK PIN print key DP
Key Generate2 - DK PIN admin2 key MAC D2
表 7. AES 鍵の鍵タイプおよび鍵形式キーワード - DK PIN 方式
鍵タイプ 1 (鍵使用) 鍵タイプ 2 (鍵使用)

鍵形式
OPOP
OPIM
IMIM

鍵形式
OPEX
IMEX

鍵形式
EXEX

鍵形式
OP
EX
IM
MAC (GENONLY、DKPINOP) MAC (VERIFY、DKPINOP) D X    
MAC (VERIFY、DKPINOP) MAC (GENONLY、DKPINOP) D      
MAC (GENONLY、DKPINAD1) MAC (VERIFY、DKPINAD1) D1M D1M    
MAC (VERIFY、DKPINAD1) MAC (GENONLY、DKPINAD1) D1M      
MAC (GENONLY、DKPINAD2) MAC (VERIFY、DKPINAD2) D D2M    
MAC (VERIFY、DKPINAD2) MAC (GENONLY、DKPINAD2) D      
PINCALC (GENONLY、DKPINOP)         O
PINPROT (ENCRYPT、DKPINOP) PINPROT (DECRYPT、DKPINOP) D X    
PINPROT (DECRYPT、DKPINOP) PINPROT (ENCRYPT、DKPINOP) D      
PINPROT (ENCRYPT、DKPINAD1) PINPROT (DECRYPT、DKPINAD1) D D1P    
PINPROT (DECRYPT、DKPINAD1) PINPROT (ENCRYPT、DKPINAD1) D      
PINPROT (ENCRYPT、DKPINOPP) CIPHER(DECRYPT) D DP    
CIPHER(DECRYPT) PINPROT (ENCRYPT、DKPINOPP) D      
PINPRW (GENONLY、DKPINOP) PINPRW (VERIFY、DKPINOP) X X    
PINPRW (VERIFY、DKPINOP) PINPRW (GENONLY、DKPINOP) X      
生成対象鍵をラップするために使用される鍵暗号鍵の強度は、サービスの結果に影響します。 生成対象鍵よりも弱い鍵暗号鍵を使用した場合、結果の戻りコードと理由コードは、「Prohibit weak wrapping - Transport keys」アクセス制御点および「Warn when weak wrap - Transport keys」アクセス制御点に依存します。
  • 「Prohibit weak wrapping - Transport keys」アクセス制御点が無効になっている場合、鍵強度要件は適用されません。 「Warn when weak wrap - Transport keys」アクセス制御点が有効になっている場合に、より弱い鍵を使用すると、 戻りコード 0 と、ゼロ以外の理由コードが返されます。 それ以外の場合は、ゼロの理由コードが返されます。
  • 「Prohibit weak wrapping - Transport keys」アクセス制御点が有効になっている場合は、鍵強度要件が適用されます。 その場合は、より弱い鍵の使用が試みられると、戻りコード 8 が返されます。

AES 鍵の場合、AES KEK が十分な強度であるとみなされるためには、生成される鍵と少なくとも同じ強度が AES KEK に必要です。

HMAC 鍵の場合、次の表に示されるような十分な強度が AES KEK に必要です。

表 8. AES KEK で HMAC 鍵を生成するために必要とされる AES KEK 強度
HMAC 鍵の鍵用途フィールド 2 の内容 HMAC 鍵を十分に保護できるだけの AES KEK の最小強度
SHA-256、SHA-384、SHA-512 256 ビット
SHA-224 192 ビット
SHA-1 128 ビット

アクセス制御点

下表に、このサービスの機能を制御するドメイン役割内のアクセス制御点を示します。

表 9. 鍵生成 2 に必要なアクセス制御点
アクセス制御点 機能制御
Key Generate2 - OP 鍵形式 OP、EX、IM。
Key Generate2 - Key set 表 5 および 表 7 において X で 示されている鍵形式と鍵タイプの組み合わせ。
Key Generate2 - Key set extended 表 7 において E で示されている鍵形式と鍵タイプの組み合わせ。
Key Generate2 - DK PIN key set 表 7 において D で示されている鍵形式と鍵タイプの組み合わせ。
Key Generate2 - DK PIN Admin1 Set PINPROT 表 7 において D1P で示されている鍵形式と鍵タイプの組み合わせ。
Key Generate2 - DK PIN Admin1 Set MAC 表 7 において D1M で示されている鍵形式と鍵タイプの組み合わせ。
Key Generate2 - DK PIN Print Set 表 7 において DP で示されている鍵形式と鍵タイプの組み合わせ。
Key Generate2 - DK PIN Admin2 Set MAC 表 7 において D2 で示されている鍵形式と鍵タイプの組み合わせ。
Prohibit weak wrapping - Transport keys これは、より弱い鍵で鍵をラップすることを禁止します。
Warn when weak wrap - Transport keys これは、弱いラップ鍵が使用されたときにゼロ以外の理由コードを発行します。

必須ハードウェア

下表に、各サーバー・タイプに必要な暗号化ハードウェアを示し、この呼び出し可能サービスの制約事項について説明します。

表 10. 鍵生成 2 必須ハードウェア
サーバー 必須暗号化ハードウェア 制約事項

IBM eServer zSeries 990
IBM eServer zSeries 890

   このサービスはサポートされていません。

IBM System z9 EC
IBM System z9 BC

   このサービスはサポートされていません。

IBM System z10 EC
IBM System z10 BC

   このサービスはサポートされていません。

IBM zEnterprise 196
IBM zEnterprise 114

 Crypto Express3 コプロセッサー

DK AES PIN のサポートには 2013 年 11 月以降のライセンス内部コード (LIC) が必要です。

キーワード V0PYLDK1、V1PYLDK1、V0PYLDK2、および V1PYLDK2 には、2013 年 11 月以降のライセンス内部コード (LIC) が必要です。

AES 鍵サポートには 2011 年 9 月以降のライセンス内部コード (LIC) が必要です。

HMAC 鍵サポートには 2010 年 11 月以降のライセンス内部コード (LIC) が必要です。

IBM zEnterprise EC12
IBM zEnterprise BC12

 Crypto Express3 コプロセッサー

Crypto Express4 CCA コプロセッサー

DK AES PIN のサポートには 2013 年 9 月以降のライセンス内部コード (LIC) が必要です。

キーワード V0PYLDK1、V1PYLDK1、V0PYLDK2、および V1PYLDK2 には、2013 年 9 月以降のライセンス内部コード (LIC) が必要です。
IBM z13 Crypto Express5 CCA コプロセッサー