鍵パーツ・インポート 2 (CSNBKPI2 および CSNEKPI2)

鍵パーツ・インポート 2 呼び出し可能サービスを使用すれば、排他的論理和によって任意の鍵タイプの非暗号化鍵パーツ同士を結合し、 結合した鍵の値を可変長内部トークンに入れて返したり、CKDS に対する更新として返したりできます。

最初の鍵パーツに対して鍵パーツ・インポート 2 サービスを使用する前に、鍵トークン作成 2 サービスを使用して、 鍵のインポート先となる内部鍵トークンを作成する必要があります。 後続の鍵パーツは、内部トークン・フォームにおいて、または CKDS からのラベルとして、最初のパーツに結合されます。

鍵パーツ・インポート 2 (COMPLETE キーワードが指定されている場合を除く) を呼び出すたびに、非暗号化鍵パーツに使用するビットの数を指定します。 非暗号化鍵パーツを key_part パラメーターに 入れて、key_part_length 変数を使用してビットの数を指定します。 無関係な key_part データ・ビットはすべて無視されます。

COMPLETE オプションを使用して、鍵が完全に操作可能であることを示すマークを付ける前に、 鍵テスト 2 呼び出し可能サービスを使用して、正しい鍵の値が累積されたことを確認することを検討してください。

AMODE(64) の呼び出し可能サービス名は CSNEKPI2 です。

親トピック: 対称暗号鍵の管理

形式

CALL CSNBKPI2(
             return_code,
             reason_code,
             exit_data_length,
             exit_data,
             rule_array_count,
             rule_array,
             key_part_bit_length,
             key_part,
             key_identifier_length,
             key_identifier)

パラメーター

return_code
方向 タイプ
出力 整数

戻りコードは、呼び出し可能サービスの一般的な結果を示しています。 ICSF および暗号化コプロセッサーの戻りコードおよび理由コードに、戻りコードがリストされています。

reason_code
方向 タイプ
出力 整数

理由コードは、アプリケーション・プログラムに返される、呼び出し可能サービスの結果を示しています。 戻りコードにはそれぞれ、特定の処理問題を示すさまざまな理由コードがあります。 ICSF および暗号化コプロセッサーの戻りコードおよび理由コード に、理由コードがリストされています。

exit_data_length
方向 タイプ
入出力 整数

インストール・システム出口に渡されるデータの長さ。 データは exit_data パラメーターで識別されます。

exit_data
方向 タイプ
入出力 ストリング

このデータはインストール出口に渡されます。

rule_array_count
方向 タイプ
入力 整数

rule_array パラメーターで指定するキーワードの数。 値は 2 または 3 にすることができます。

rule_array
方向 タイプ
入力 整数

rule_array には、制御情報をこの呼び出し可能サービスに提供するキーワードが含まれます。 キーワードは、連続するストレージ内になければならず、各キーワードはその 8 バイト位置で左寄せされ、右側にブランクが埋め込まれている必要があります。

表 1. 鍵パーツ・インポート 2 制御情報のキーワード
キーワード 意味
トークン・アルゴリズム (必須)
HMAC これは、HMAC 鍵トークンをインポートすることを指定します。
AES これは、AES 鍵トークンをインポートすることを指定します。
鍵パーツ (いずれかが必須)
FIRST このキーワードは、最初の鍵パーツが入力されることを指定します。 この呼び出し可能サービスでは、この鍵パーツがマスター鍵で暗号化されて指定の鍵トークンに入れられて返されます。
ADD-PART このキーワードは、追加の鍵パーツ情報が指定されることを示します。
COMPLETE このキーワードは、鍵の制御ベクトルにおいて鍵パーツ・ビットをオフにして 鍵を完全に操作可能にすることを指定します。 このキーワードでは鍵に鍵パーツ情報は追加されないことに注意してください。
分割の知識 (いずれかが必須)。 FIRST キーワードと一緒でのみ使用します。
MIN3PART これは、少なくとも 3 つのパーツに鍵を入力する必要があることを指定します。
MIN2PART これは、少なくとも 2 つのパーツに鍵を入力する必要があることを指定します。
MIN1PART これは、少なくとも 1 つのパーツに鍵を入力する必要があることを指定します。
key_part_bit_length
方向 タイプ
入力 整数

非暗号化鍵の長さ (ビット)。 これは、key_part フィールドに指定されている鍵のビット長を示します。 FIRST キーワードおよび ADD-PART キーワードの場合、HMAC 鍵の有効値は 80 から 2048 までであり、AES 鍵の有効値は 128、192、または 256 です。 COMPLETE キーワードの場合、値は 0 でなければなりません。

key_part
方向 タイプ
入力 ストリング

このパラメーターは、適用される非暗号化鍵の値です。 鍵パーツは左寄せにする必要があります。 COMPLETE が指定されている場合、このパラメーターは無視されます。

key_identifier_length
方向 タイプ
入出力 整数

入力では、key_identifier パラメーターの バッファーの長さです。 ラベルの場合、この値は 64 バイトです。 key_identifier はバッファー内で左寄せにする必要があります。 このバッファーは、更新されたトークンを受け取るだけの十分な大きさでなければなりません。 最大値は 725 バイトです。 最初の鍵パーツがインポートされるときに、出力トークンは長くなります。

出力では、呼び出し側に返されるトークンの実際の長さです。 ラベルの場合、この値は 64 になります。

key_identifier
方向 タイプ
入出力 ストリング

内部トークンを含むパラメーター、 または既存の CKDS レコードの 64 バイト・ラベルを含むパラメーター。 鍵パーツ規則が FIRST の場合、鍵はスケルトン・トークンです。 鍵パーツ規則が ADD-PART の場合、これは内部トークンであるか、または部分的に結合された鍵の CKDS レコードのラベルです。 入力フォーマットに応じて、累積された部分的な鍵や完全な鍵が、内部トークンまたは更新された CKDS レコードとして返されます。 返された key_identifier は現行マスター鍵で暗号化されます。

使用上の注意

鍵パーツ・インポート 2 を呼び出すたびに、サービス・アクションを定義する規則配列キーワード (FIRST、ADD-PART、または COMPLETE) も指定します。
  • FIRST キーワードの場合、入力鍵トークンはスケルトン・トークン (鍵素材なし) でなければなりません。
  • ADD-PART キーワードの場合、このサービスでは、非暗号化鍵パーツと、入力鍵トークンに含まれる鍵の値とで、排他的論理和がとられます。 このサービスから返された更新済み鍵トークンでは鍵は未完了のままです。
  • COMPLETE キーワードの場合、このサービスから返された更新済みの鍵トークンにおいて KEY-PART ビットはオフに設定されます。 key_part_bit_length パラメーターは 0 に設定する必要があります。

アクセス制御点

下表に、このサービスの機能を制御するドメイン役割内のアクセス制御点を示します。

表 2. 鍵パーツ・インポート 2 に必要なアクセス制御点
規則配列キーワード アクセス制御点
ADD-PART Key Part Import2 - Add second of three or more key parts
ADD-PART Key Part Import2 - Add last required key part
ADD-PART Key Part Import2 - Add optional key part
COMPLETE Key Part Import2 - Complete key
FIRST MIN3PART Key Part Import2 - Load first key part, require 3 key parts
FIRST MIN2PART Key Part Import2 - Load first key part, require 2 key parts
FIRST MIN1PART Key Part Import2 - Load first key part, require 1 key parts

必須ハードウェア

下表に、各サーバー・タイプに必要な暗号化ハードウェアを示し、この呼び出し可能サービスの制約事項について説明します。

表 3. 鍵パーツ・インポート 2 必須ハードウェア
サーバー 必須暗号化ハードウェア 制約事項

IBM eServer zSeries 990
IBM eServer zSeries 890

   このサービスはサポートされていません。

IBM System z9 EC
IBM System z9 BC

   このサービスはサポートされていません。

IBM System z10 EC
IBM System z10 BC

   このサービスはサポートされていません。

IBM zEnterprise 196
IBM zEnterprise 114

 Crypto Express3 コプロセッサー

DK AES PIN のサポートには 2013 年 11 月以降のライセンス内部コード (LIC) が必要です。

AES 鍵サポートには 2011 年 9 月以降のライセンス内部コード (LIC) が必要です。

HMAC 鍵サポートには 2010 年 11 月以降のライセンス内部コード (LIC) が必要です。

IBM zEnterprise EC12
IBM zEnterprise BC12

 Crypto Express3 コプロセッサー

Crypto Express4 CCA コプロセッサー

DK AES PIN のサポートには 2013 年 9 月以降のライセンス内部コード (LIC) が必要です。

IBM z13

 Crypto Express5 CCA コプロセッサー