鍵パーツ・インポート 2 (CSNBKPI2 および CSNEKPI2)
鍵パーツ・インポート 2 呼び出し可能サービスを使用すれば、排他的論理和によって任意の鍵タイプの非暗号化鍵パーツ同士を結合し、 結合した鍵の値を可変長内部トークンに入れて返したり、CKDS に対する更新として返したりできます。
最初の鍵パーツに対して鍵パーツ・インポート 2 サービスを使用する前に、鍵トークン作成 2 サービスを使用して、 鍵のインポート先となる内部鍵トークンを作成する必要があります。 後続の鍵パーツは、内部トークン・フォームにおいて、または CKDS からのラベルとして、最初のパーツに結合されます。
鍵パーツ・インポート 2 (COMPLETE キーワードが指定されている場合を除く) を呼び出すたびに、非暗号化鍵パーツに使用するビットの数を指定します。 非暗号化鍵パーツを key_part パラメーターに 入れて、key_part_length 変数を使用してビットの数を指定します。 無関係な key_part データ・ビットはすべて無視されます。
COMPLETE オプションを使用して、鍵が完全に操作可能であることを示すマークを付ける前に、 鍵テスト 2 呼び出し可能サービスを使用して、正しい鍵の値が累積されたことを確認することを検討してください。
AMODE(64) の呼び出し可能サービス名は CSNEKPI2 です。
形式
CALL CSNBKPI2(
return_code,
reason_code,
exit_data_length,
exit_data,
rule_array_count,
rule_array,
key_part_bit_length,
key_part,
key_identifier_length,
key_identifier)
パラメーター
- return_code
-
方向 タイプ 出力 整数 戻りコードは、呼び出し可能サービスの一般的な結果を示しています。 ICSF および暗号化コプロセッサーの戻りコードおよび理由コードに、戻りコードがリストされています。
- reason_code
-
方向 タイプ 出力 整数 理由コードは、アプリケーション・プログラムに返される、呼び出し可能サービスの結果を示しています。 戻りコードにはそれぞれ、特定の処理問題を示すさまざまな理由コードがあります。 ICSF および暗号化コプロセッサーの戻りコードおよび理由コード に、理由コードがリストされています。
- exit_data_length
-
方向 タイプ 入出力 整数 インストール・システム出口に渡されるデータの長さ。 データは exit_data パラメーターで識別されます。
- exit_data
-
方向 タイプ 入出力 ストリング このデータはインストール出口に渡されます。
- rule_array_count
-
方向 タイプ 入力 整数 rule_array パラメーターで指定するキーワードの数。 値は 2 または 3 にすることができます。
- rule_array
-
方向 タイプ 入力 整数 rule_array には、制御情報をこの呼び出し可能サービスに提供するキーワードが含まれます。 キーワードは、連続するストレージ内になければならず、各キーワードはその 8 バイト位置で左寄せされ、右側にブランクが埋め込まれている必要があります。
表 1. 鍵パーツ・インポート 2 制御情報のキーワード キーワード 意味 トークン・アルゴリズム (必須) HMAC これは、HMAC 鍵トークンをインポートすることを指定します。 AES これは、AES 鍵トークンをインポートすることを指定します。 鍵パーツ (いずれかが必須) FIRST このキーワードは、最初の鍵パーツが入力されることを指定します。 この呼び出し可能サービスでは、この鍵パーツがマスター鍵で暗号化されて指定の鍵トークンに入れられて返されます。 ADD-PART このキーワードは、追加の鍵パーツ情報が指定されることを示します。 COMPLETE このキーワードは、鍵の制御ベクトルにおいて鍵パーツ・ビットをオフにして 鍵を完全に操作可能にすることを指定します。 このキーワードでは鍵に鍵パーツ情報は追加されないことに注意してください。 分割の知識 (いずれかが必須)。 FIRST キーワードと一緒でのみ使用します。 MIN3PART これは、少なくとも 3 つのパーツに鍵を入力する必要があることを指定します。 MIN2PART これは、少なくとも 2 つのパーツに鍵を入力する必要があることを指定します。 MIN1PART これは、少なくとも 1 つのパーツに鍵を入力する必要があることを指定します。 - key_part_bit_length
-
方向 タイプ 入力 整数 非暗号化鍵の長さ (ビット)。 これは、key_part フィールドに指定されている鍵のビット長を示します。 FIRST キーワードおよび ADD-PART キーワードの場合、HMAC 鍵の有効値は 80 から 2048 までであり、AES 鍵の有効値は 128、192、または 256 です。 COMPLETE キーワードの場合、値は 0 でなければなりません。
- key_part
-
方向 タイプ 入力 ストリング このパラメーターは、適用される非暗号化鍵の値です。 鍵パーツは左寄せにする必要があります。 COMPLETE が指定されている場合、このパラメーターは無視されます。
- key_identifier_length
-
方向 タイプ 入出力 整数 入力では、key_identifier パラメーターの バッファーの長さです。 ラベルの場合、この値は 64 バイトです。 key_identifier はバッファー内で左寄せにする必要があります。 このバッファーは、更新されたトークンを受け取るだけの十分な大きさでなければなりません。 最大値は 725 バイトです。 最初の鍵パーツがインポートされるときに、出力トークンは長くなります。
出力では、呼び出し側に返されるトークンの実際の長さです。 ラベルの場合、この値は 64 になります。
- key_identifier
-
方向 タイプ 入出力 ストリング 内部トークンを含むパラメーター、 または既存の CKDS レコードの 64 バイト・ラベルを含むパラメーター。 鍵パーツ規則が FIRST の場合、鍵はスケルトン・トークンです。 鍵パーツ規則が ADD-PART の場合、これは内部トークンであるか、または部分的に結合された鍵の CKDS レコードのラベルです。 入力フォーマットに応じて、累積された部分的な鍵や完全な鍵が、内部トークンまたは更新された CKDS レコードとして返されます。 返された key_identifier は現行マスター鍵で暗号化されます。
使用上の注意
- FIRST キーワードの場合、入力鍵トークンはスケルトン・トークン (鍵素材なし) でなければなりません。
- ADD-PART キーワードの場合、このサービスでは、非暗号化鍵パーツと、入力鍵トークンに含まれる鍵の値とで、排他的論理和がとられます。 このサービスから返された更新済み鍵トークンでは鍵は未完了のままです。
- COMPLETE キーワードの場合、このサービスから返された更新済みの鍵トークンにおいて KEY-PART ビットはオフに設定されます。 key_part_bit_length パラメーターは 0 に設定する必要があります。
アクセス制御点
下表に、このサービスの機能を制御するドメイン役割内のアクセス制御点を示します。
規則配列キーワード | アクセス制御点 |
---|---|
ADD-PART | Key Part Import2 - Add second of three or more key parts |
ADD-PART | Key Part Import2 - Add last required key part |
ADD-PART | Key Part Import2 - Add optional key part |
COMPLETE | Key Part Import2 - Complete key |
FIRST MIN3PART | Key Part Import2 - Load first key part, require 3 key parts |
FIRST MIN2PART | Key Part Import2 - Load first key part, require 2 key parts |
FIRST MIN1PART | Key Part Import2 - Load first key part, require 1 key parts |
必須ハードウェア
下表に、各サーバー・タイプに必要な暗号化ハードウェアを示し、この呼び出し可能サービスの制約事項について説明します。
サーバー | 必須暗号化ハードウェア | 制約事項 |
---|---|---|
IBM eServer zSeries 990 |
このサービスはサポートされていません。 | |
IBM System z9 EC |
このサービスはサポートされていません。 | |
IBM System z10 EC |
このサービスはサポートされていません。 | |
IBM zEnterprise 196 |
Crypto Express3 コプロセッサー | DK AES PIN のサポートには 2013 年 11 月以降のライセンス内部コード (LIC) が必要です。 AES 鍵サポートには 2011 年 9 月以降のライセンス内部コード (LIC) が必要です。 HMAC 鍵サポートには 2010 年 11 月以降のライセンス内部コード (LIC) が必要です。 |
IBM zEnterprise EC12 |
Crypto Express3 コプロセッサー Crypto Express4 CCA コプロセッサー |
DK AES PIN のサポートには 2013 年 9 月以降のライセンス内部コード (LIC) が必要です。 |
IBM z13 |
Crypto Express5 CCA コプロセッサー |