鍵のタイプ

暗号鍵は、暗号鍵によって実行される機能に基づいて以下のクラスにグループ化されます。

鍵を長期間使用する予定の場合は、その鍵がマスター鍵の変更時に再暗号化されるように、その鍵を CKDS に保管できます。

マスター鍵 - DES および AES

マスター鍵は操作可能鍵を暗号化するために使用されます。マスター鍵は ICSF 管理者がインストールおよび変更します (詳しくは、「z/OS Cryptographic Services ICSF Administrator's Guide」」を参照してください)。この管理者がこの作業を行うときは、マスター鍵入力パネルまたはオプション・Trusted Key Entry (TKE) ワークステーションを使用します。

マスター鍵は暗号化コプロセッサーのセキュアな領域に常駐します。

マスター鍵は鍵の暗号化および復号にのみ使用されます。ほかにも、鍵の暗号化および復号を行う鍵はあります。そのような鍵は、多くの場合、外部リンクで伝送される暗号鍵を保護するために使用されます。そのような鍵も、システム上に存在する間はマスター鍵で暗号化されます。

データ暗号化鍵

データ暗号化鍵は、データ・プライバシーを保護するために使用されます。

DATA 鍵はマスター鍵または非暗号化鍵で暗号化できます (非暗号化鍵の使用について詳しくは、非暗号化鍵を参照してください)。 CIPHER 鍵はマスター鍵で暗号化されます。

暗号テキスト変換鍵

暗号テキスト変換鍵は、発信元と受信側で共通の鍵を共用していないときに中間システムを使用して伝送されるデータを保護します。ある暗号テキスト変換鍵で暗号化されたデータは、中間ノードで別の暗号テキスト変換鍵で再暗号化されます。この処理中にデータが非暗号状態で表示されることはありません。

MAC 鍵

メッセージ認証とは、伝送されたメッセージの保全性を検証するプロセスのことです。メッセージ認証コード (MAC) 処理を使用すれば、メッセージが変更されていないことを検証できます。 MAC を使用すれば、受信したメッセージと、発信元が送信したメッセージが同じであることを確認できます。メッセージ自体は非暗号化形式になっていても暗号形式になっていてもかまいません。

MAC 鍵は MAC の生成および検証に使用することも、MAC の検証のみに制限することもできます。

DES は暗号化鍵に対して ANSI X9.9-1 手順、ANSI X9.19 オプション二重鍵 MAC 手順、および EMV 仕様と ISO 16609 をサポートしています。

DES MAC 鍵は、PIN トランザクションの CVV および CSC を生成するために使用できます。

AES は、暗号化鍵に対して Ciphered Message Authentication Code (CMAC) をサポートし、非暗号化鍵に対して CBC-MAC と XCBC-MAC をサポートしています。

HMAC は暗号化鍵に対して FIPS-198 Hashed Message Authentication Code (HMAC) をサポートしています。

PIN 鍵

個人認証とは、金融取引システムにおいて個人の身元を検証するプロセスのことです。個人識別番号 (PIN) は、金融業界ネットワーク全体で顧客の身元を検証するための基礎です。 PIN は、銀行の顧客が ATM サービスに対する要求を識別して検証するために現金自動預け払い機 (ATM) に入力する番号です。

ICSF を使用すれば、PIN および PIN オフセットを生成できます。 PIN オフセットは 2 つの PIN の差異を示す値です。例えば、PIN オフセットは、顧客が選択した PIN と、ある機関によって割り当てられた PIN との差異である場合が考えられます。 ICSF を使用すれば、ICSF で生成された PIN を検証できます。また、ICSF を使用すれば、システム間で送信される PIN ブロックを保護したり、PIN ブロックをフォーマット間で変換したりできます。 PIN ブロックには PIN データと非 PIN データが含まれます。 PIN 鍵は、PIN と PIN オフセットを生成および検証したり、PIN ブロックを保護および変換したりする場合に使用します。

個人認証の管理では、独自のアプリケーション・プログラムを作成するために知っておく必要がある PIN アルゴリズムについて概説しています。

鍵暗号鍵

鍵暗号鍵は、別のシステムに送信される鍵、別のシステムから受信される鍵、またはデータとともにファイルに保管される鍵を保護するものです。ある鍵暗号鍵から別の鍵暗号鍵に鍵を再ラップするには、各種トランスポート鍵も使用されます。

鍵暗号鍵は必ずペアで生成されます。どちらの鍵でも、非暗号化鍵の値は同じですが、暗号鍵の値は制御ベクトルまたは関連データが原因で異なります。

エクスポーター鍵暗号鍵

エクスポーター鍵暗号鍵は、ご使用のシステムから別のシステムに送信される鍵を保護します。発信元のエクスポーター鍵は、受信側のインポーター鍵と同じ非暗号の値を持ちます。エクスポーター鍵はインポーター鍵暗号鍵とペアです。

鍵暗号鍵で鍵を再ラップする場合は、DES OKEYXLAT 鍵を使用する必要があります。また、鍵を再ラップする場合、AES EXPORTER では TRANSLAT 鍵を使用可能にする必要があります。

インポーター鍵暗号鍵

インポーター鍵暗号鍵は別のシステムから、ご使用のシステムに送信される鍵を保護します。また、ご使用のシステムに後からインポートできるファイルに外部保管される鍵も保護します。受信側のインポーター鍵は、発信元のエクスポーター鍵と同じ非暗号化値を持ちます。インポーター鍵はエクスポーター鍵暗号鍵とペアです。

鍵暗号鍵で鍵を再ラップする場合は、DES IKEYXLAT 鍵を使用する必要があります。また、鍵を再ラップする場合、AES IMPORTER では TRANSLAT 鍵を使用可能にする必要があります。

注:

鍵暗号鍵は、PCF によって使用されるローカル鍵、リモート鍵、およびクロス鍵を置き換えます。
鍵暗号鍵は、鍵暗号鍵でラップされる鍵と同じかそれ以上の強度でなければなりません。

DES NOCV 鍵暗号鍵

DES NOCV インポーター/エクスポーターは、CCA 制御ベクトルが認識されないシステムで鍵をトランスポートするために使用される鍵暗号鍵です。 NOCV 鍵暗号鍵を使用するには、以下のような要件および制約事項がいくつかあります。

NOCV IMPORTER/EXPORTER の使用はアクセス制御点によって制御されます。
呼び出し可能サービスでトークン・フォームの NOCV 鍵暗号鍵を使用できるのは、システム状態または監視プログラム状態にあるプログラムのみです。いずれの問題プログラムでも、CKDS にあるラベル名を持つ NOCV 鍵暗号鍵を使用できます。
CKDS 上の NOCV 鍵暗号鍵は RACF により保護されなければなりません。
NOCV 鍵暗号鍵は、鍵タイプが DATA、 DATAC、 DATAM、 DATAMV、 EXPORTER、 IKEYXLAT、 IMPORTER、 IPINENC、 MAC、 MACVER、 OKEYXLAT、 OPINENC、 PINGEN、および PINVER の標準 CV を持つ単一長または倍長の鍵を暗号化するために使用できます。
NOCV 鍵暗号鍵は、3 倍長 DATA 鍵とともに使用できます。 DATA 鍵に CV は含まれていないため、処理は鍵暗号鍵が標準鍵暗号鍵 (NOCV 鍵暗号鍵以外) の場合と同じになります。

鍵生成鍵: 鍵生成鍵は、トランザクションごとに固有となる鍵を導出するために使用されます。
暗号変数鍵: この DES 鍵は、DES 鍵管理において特殊な制御値を暗号化するために使用されます。
セキュア・メッセージング鍵: セキュア・メッセージング鍵は、テキスト・ブロックに組み込む鍵および PIN を暗号化するために使用されます。その際、テキスト・ブロックは鍵値のセキュリティーを保持するために暗号化されます。暗号化されたテキスト・ブロック (通常は TLV 項目内の値フィールド) は、EMV スマート・カードに送信されるメッセージ内に組み込むことができます。