PKA 鍵トークン変更 (CSNDKTC および CSNFKTC)

PKA 鍵トークン変更呼び出し可能サービスは、PKA 鍵トークン (RSA、DSS、および ECC) またはトラステッド・ブロック鍵トークンを、暗号化コプロセッサーの旧 RSA マスター鍵または ECC マスター鍵による暗号化から、現行の暗号化コプロセッサーの RSA マスター鍵または ECC マスター鍵による暗号化に変更します。

  • RSA および DSS 鍵トークンの場合 - このサービスによって変更するには、鍵トークンは秘密内部 PKA 鍵トークン秘密内部 PKA 鍵トークンでなければなりません。
  • トラステッド・ブロック鍵トークンの場合 - トラステッド・ブロック鍵トークンは内部でなければなりません。
  • ECC 鍵トークンの場合 - 鍵トークンは ECC マスター鍵で暗号化された秘密内部 ECC 鍵トークンでなければなりません。

AMODE(64) 呼び出しの呼び出し可能サービス名は CSNFKTC です。

親トピック: PKA 暗号鍵の管理

形式

CALL CSNDKTC(
             return_code,
             reason_code,
             exit_data_length,
             exit_data,
             rule_array_count,
             rule_array,
             key_identifier_length,
             key_identifier)

パラメーター

return_code
方向 タイプ
出力 整数

戻りコードは、呼び出し可能サービスの一般的な結果を示しています。 ICSF および暗号化コプロセッサーの戻りコードおよび理由コードに戻りコードがリストされています。

reason_code
方向 タイプ
出力 整数

理由コードは、アプリケーション・プログラムに返される、呼び出し可能サービスの結果を示しています。 戻りコードにはそれぞれ、特定の処理問題を示すさまざまな理由コードが割り当てられています。 ICSF および暗号化コプロセッサーの戻りコードおよび理由コードに理由コードがリストされています。

exit_data_length
方向 タイプ
入出力 整数

インストール・システム出口に渡されるデータの長さ。 データは exit_data パラメーターで識別されます。

exit_data
方向 タイプ
入出力 ストリング

インストール・システム出口に渡されるデータ。

rule_array_count
方向 タイプ
入力 整数

rule_array パラメーターで指定するキーワード数。 値は 1 または 2 でなければなりません。

rule_array
方向 タイプ
入力 ストリング

呼び出し可能サービスの処理規則。 キーワードは、8 バイトの連続するストレージ内になければならず、その 8 バイト位置で左寄せされ、右側にブランクが埋め込まれている必要があります。

表 1. PKA 鍵トークン変更の規則配列キーワード
キーワード 意味
アルゴリズム (オプション)
RSA 鍵トークンが RSA 鍵または DSS 鍵用であるか、トラステッド・ブロック・トークン用であるかを指定します。 これがデフォルトです。
ECC 鍵トークンが ECC 鍵用であることを指定します。
再暗号化方式 (必須)
RTCMK key_identifier が RSA 鍵トークンの場合、サービスは RSA 秘密鍵を、旧 RSA マスター鍵による暗号化から現行 RSA マスター鍵による暗号化に変更します。

key_identifier がトラステッド・ブロック・トークンの場合、サービスはトラステッド・ブロックの組み込み MAC 鍵を、旧 RSA マスター鍵による暗号化から現行 RSA マスター鍵による暗号化に変更します。

key_identifier が ECC 鍵トークンの場合、サービスは ECC 秘密鍵を、旧 ECC マスター鍵による暗号化から現行 ECC マスター鍵による暗号化に変更します。
key_identifier_length
方向 タイプ
入力 整数

key_identifier パラメーターの長さ。 最大サイズは 3500 バイトです。

key_identifier
方向 タイプ
入出力 ストリング

内部 RSA、DSS、ECC、またはトラステッド・ブロック鍵の内部鍵トークンが含まれます。

鍵トークンが RSA 鍵トークンの場合、トークン内の秘密鍵は、現行 RSA または ECC マスター鍵によって安全に再暗号化されます。

鍵トークンがトラステッド・ブロック鍵トークンの場合、トークン内の MAC 鍵は、現行 RSA マスター鍵によって安全に再暗号化されます。

鍵トークンが ECC 鍵トークンの場合、トークン内の秘密鍵は、現行 ECC マスター鍵によって安全に再暗号化されます。

使用上の注意

呼び出し側がこの呼び出し可能サービス、鍵ラベル、または CKDS か PKDS に保管された内部セキュア鍵トークンの使用を許可されているかを検査するために、SAF が呼び出される場合があります。

このサービスを使用するには、PKA 呼び出し可能サービスが、すべての RSA および DSS トークン・タイプに対して使用可能になっていなければなりません。 CEX3C 以降の CCA 暗号化コプロセッサーを持つシステムの場合、PKA 呼び出し可能サービス制御はありません。 このサービスを使用するには、RSA マスター鍵が有効でなければなりません。

DSS トークンはこのサービスで処理可能ですが、これらは他の呼び出し可能サービスでは使用できません。

このサービスを ECC トークンで使用するには、ECC マスター鍵が有効でなければなりません。

アクセス制御点

「PKA Key Token Change RTCMK」アクセス制御点によって、このサービスの機能が制御されます。

必須ハードウェア

下表に、各サーバー・タイプに必要な暗号化ハードウェアを示し、この呼び出し可能サービスの制約事項について説明します。

表 2. PKA 鍵トークン変更必須ハードウェア
サーバー 必須暗号化ハードウェア 制約事項

IBM eServer zSeries 990
IBM eServer zSeries 890

 PCI X 暗号化コプロセッサー

Crypto Express2 コプロセッサー

ECC はサポートされていません。

トラステッド鍵ブロックはサポートされていません。

2048 ビット長より大きいモジュラスを持つ RSA 鍵はサポートされていません。

IBM System z9 EC
IBM System z9 BC

 Crypto Express2 コプロセッサー

ECC はサポートされていません。

2048 ビットから 4096 ビットの範囲内のモジュラスを持つ RSA 鍵サポートには 2007 年 11 月以降のライセンス内部コード (LIC) が必要です。

IBM System z10 EC
IBM System z10 BC

 Crypto Express2 コプロセッサー

ECC はサポートされていません。

2048 ビットから 4096 ビットの範囲内のモジュラスを持つ RSA 鍵サポートには 2007 年 11 月以降のライセンス内部コード (LIC) が必要です。
Crypto Express3 コプロセッサー

ECC サポートには、2010 年 9 月のライセンス内部コード (LIC) が必要です。

IBM zEnterprise 196
IBM zEnterprise 114

 Crypto Express3 コプロセッサー  

IBM zEnterprise EC12
IBM zEnterprise BC12

 Crypto Express3 コプロセッサー

Crypto Express4 CCA コプロセッサー

  

IBM z13

 Crypto Express5 CCA コプロセッサー