PKA 鍵トークン変更 (CSNDKTC および CSNFKTC)
PKA 鍵トークン変更呼び出し可能サービスは、PKA 鍵トークン (RSA、DSS、および ECC) またはトラステッド・ブロック鍵トークンを、暗号化コプロセッサーの旧 RSA マスター鍵または ECC マスター鍵による暗号化から、現行の暗号化コプロセッサーの RSA マスター鍵または ECC マスター鍵による暗号化に変更します。
- RSA および DSS 鍵トークンの場合 - このサービスによって変更するには、鍵トークンは秘密内部 PKA 鍵トークン秘密内部 PKA 鍵トークンでなければなりません。
- トラステッド・ブロック鍵トークンの場合 - トラステッド・ブロック鍵トークンは内部でなければなりません。
- ECC 鍵トークンの場合 - 鍵トークンは ECC マスター鍵で暗号化された秘密内部 ECC 鍵トークンでなければなりません。
AMODE(64) 呼び出しの呼び出し可能サービス名は CSNFKTC です。
形式
CALL CSNDKTC(
return_code,
reason_code,
exit_data_length,
exit_data,
rule_array_count,
rule_array,
key_identifier_length,
key_identifier)
パラメーター
- return_code
-
方向 タイプ 出力 整数 戻りコードは、呼び出し可能サービスの一般的な結果を示しています。 ICSF および暗号化コプロセッサーの戻りコードおよび理由コードに戻りコードがリストされています。
- reason_code
-
方向 タイプ 出力 整数 理由コードは、アプリケーション・プログラムに返される、呼び出し可能サービスの結果を示しています。 戻りコードにはそれぞれ、特定の処理問題を示すさまざまな理由コードが割り当てられています。 ICSF および暗号化コプロセッサーの戻りコードおよび理由コードに理由コードがリストされています。
- exit_data_length
-
方向 タイプ 入出力 整数 インストール・システム出口に渡されるデータの長さ。 データは exit_data パラメーターで識別されます。
- exit_data
-
方向 タイプ 入出力 ストリング インストール・システム出口に渡されるデータ。
- rule_array_count
-
方向 タイプ 入力 整数 rule_array パラメーターで指定するキーワード数。 値は 1 または 2 でなければなりません。
- rule_array
-
方向 タイプ 入力 ストリング 呼び出し可能サービスの処理規則。 キーワードは、8 バイトの連続するストレージ内になければならず、その 8 バイト位置で左寄せされ、右側にブランクが埋め込まれている必要があります。
表 1. PKA 鍵トークン変更の規則配列キーワード キーワード 意味 アルゴリズム (オプション) RSA 鍵トークンが RSA 鍵または DSS 鍵用であるか、トラステッド・ブロック・トークン用であるかを指定します。 これがデフォルトです。 ECC 鍵トークンが ECC 鍵用であることを指定します。 再暗号化方式 (必須) RTCMK key_identifier が RSA 鍵トークンの場合、サービスは RSA 秘密鍵を、旧 RSA マスター鍵による暗号化から現行 RSA マスター鍵による暗号化に変更します。 key_identifier がトラステッド・ブロック・トークンの場合、サービスはトラステッド・ブロックの組み込み MAC 鍵を、旧 RSA マスター鍵による暗号化から現行 RSA マスター鍵による暗号化に変更します。
key_identifier が ECC 鍵トークンの場合、サービスは ECC 秘密鍵を、旧 ECC マスター鍵による暗号化から現行 ECC マスター鍵による暗号化に変更します。
- key_identifier_length
-
方向 タイプ 入力 整数 key_identifier パラメーターの長さ。 最大サイズは 3500 バイトです。
- key_identifier
-
方向 タイプ 入出力 ストリング 内部 RSA、DSS、ECC、またはトラステッド・ブロック鍵の内部鍵トークンが含まれます。
鍵トークンが RSA 鍵トークンの場合、トークン内の秘密鍵は、現行 RSA または ECC マスター鍵によって安全に再暗号化されます。
鍵トークンがトラステッド・ブロック鍵トークンの場合、トークン内の MAC 鍵は、現行 RSA マスター鍵によって安全に再暗号化されます。
鍵トークンが ECC 鍵トークンの場合、トークン内の秘密鍵は、現行 ECC マスター鍵によって安全に再暗号化されます。
使用上の注意
呼び出し側がこの呼び出し可能サービス、鍵ラベル、または CKDS か PKDS に保管された内部セキュア鍵トークンの使用を許可されているかを検査するために、SAF が呼び出される場合があります。
このサービスを使用するには、PKA 呼び出し可能サービスが、すべての RSA および DSS トークン・タイプに対して使用可能になっていなければなりません。 CEX3C 以降の CCA 暗号化コプロセッサーを持つシステムの場合、PKA 呼び出し可能サービス制御はありません。 このサービスを使用するには、RSA マスター鍵が有効でなければなりません。
DSS トークンはこのサービスで処理可能ですが、これらは他の呼び出し可能サービスでは使用できません。
このサービスを ECC トークンで使用するには、ECC マスター鍵が有効でなければなりません。
アクセス制御点
「PKA Key Token Change RTCMK」アクセス制御点によって、このサービスの機能が制御されます。
必須ハードウェア
下表に、各サーバー・タイプに必要な暗号化ハードウェアを示し、この呼び出し可能サービスの制約事項について説明します。
サーバー | 必須暗号化ハードウェア | 制約事項 |
---|---|---|
IBM eServer zSeries 990 |
PCI X 暗号化コプロセッサー Crypto Express2 コプロセッサー |
ECC はサポートされていません。 トラステッド鍵ブロックはサポートされていません。 2048 ビット長より大きいモジュラスを持つ RSA 鍵はサポートされていません。 |
IBM System z9 EC |
Crypto Express2 コプロセッサー | ECC はサポートされていません。 2048 ビットから 4096 ビットの範囲内のモジュラスを持つ RSA 鍵サポートには 2007 年 11 月以降のライセンス内部コード (LIC) が必要です。 |
IBM System z10 EC |
Crypto Express2 コプロセッサー | ECC はサポートされていません。 2048 ビットから 4096 ビットの範囲内のモジュラスを持つ RSA 鍵サポートには 2007 年 11 月以降のライセンス内部コード (LIC) が必要です。 |
Crypto Express3 コプロセッサー | ECC サポートには、2010 年 9 月のライセンス内部コード (LIC) が必要です。 |
|
IBM zEnterprise 196 |
Crypto Express3 コプロセッサー | |
IBM zEnterprise EC12 |
Crypto Express3 コプロセッサー Crypto Express4 CCA コプロセッサー |
|
IBM z13 |
Crypto Express5 CCA コプロセッサー |