エクスポート禁止拡張 (CSNBPEXX および CSNEPEXX)
エクスポート可能な DES 鍵トークン・フォームの暗号鍵の外部トークンを変更して、 受信側ノードでインポートできるようにし、そのノードからエクスポートできないようにするには、 エクスポート禁止拡張呼び出し可能サービスを使用します。 DATA 鍵のエクスポートを禁止することはできません。
入力は、source_key_token パラメーターに指定されている変更対象の鍵の 外部トークン、および KEK_key_identifier パラメーターに指定されているエクスポーター鍵暗号鍵のラベル/内部トークンです。
このサービスは、一種のエクスポート禁止サービス (CSNBPEX および CSNEPEX) であり、内部 トークンの変更をサポートします。
AMODE(64) 呼び出しの呼び出し可能サービス名は CSNEPEXX です。
形式
CALL CSNBPEXX(
return_code,
reason_code,
exit_data_length,
exit_data,
source_key_token,
KEK_key_identifier)
パラメーター
- return_code
-
方向 タイプ 出力 整数 戻りコードは、呼び出し可能サービスの一般的な結果を示しています。 ICSF および暗号化コプロセッサーの戻りコードおよび理由コードに、戻りコードがリストされています。
- reason_code
-
方向 タイプ 出力 整数 理由コードは、アプリケーション・プログラムに返される、呼び出し可能サービスの結果を示しています。 戻りコードにはそれぞれ、特定の処理問題を示すさまざまな理由コードが割り当てられています。 ICSF および暗号化コプロセッサーの戻りコードおよび理由コード に、理由コードがリストされています。
- exit_data_length
-
方向 タイプ 入出力 整数 インストール・システム出口に渡されるデータの長さ。 データは exit_data パラメーターで識別されます。
- exit_data
-
方向 タイプ 入出力 ストリング このデータはインストール出口に渡されます。
- source_key_token
-
方向 タイプ 入出力 ストリング 変更対象の鍵の外部トークンの 64 バイト・ストリング。 これはエクスポート可能形式になっています。
ICSF は、対称鍵トークンにおいて鍵値をラップする方式として、元の ECB ラップ方式と、ANSI X9.24 準拠の拡張 CBC ラップ方式の 2 つの方式をサポートします。 出力 source_key_token は、入力 source_key_token と同じ方法でラップされます。
- KEK_key_identifier
-
方向 タイプ 入出力 ストリング 前のパラメーターで指定された外部トークンに含まれる鍵を 暗号化するために使用されるエクスポーター KEK の内部トークン/ラベルの 64 バイト・ストリング。
制約事項
この呼び出し可能サービスは、バージョン X'10' 外部 DES 鍵トークン (RKX 鍵トークン) をサポートしていません。
使用上の注意
呼び出し側がこの呼び出し可能サービス、鍵ラベル、または CKDS か PKDS に保管された内部セキュア鍵トークンの使用を許可されているかを検査するために、SAF が呼び出される場合があります。
アクセス制御点
「Prohibit Export Extended」アクセス制御点は、このサービスの機能を制御するものです。
必須ハードウェア
下表に、各サーバー・タイプに必要な暗号化ハードウェアを示し、この呼び出し可能サービスの制約事項について説明します。
サーバー | 必須暗号化ハードウェア | 制約事項 |
---|---|---|
IBM eServer zSeries 990 |
PCI X 暗号化コプロセッサー Crypto Express2 コプロセッサー |
外部 MACD 鍵はサポートされていません。 |
IBM System z9 EC |
Crypto Express2 コプロセッサー | 外部 MACD 鍵はサポートされていません。 |
IBM System z10 EC |
Crypto Express2 コプロセッサー Crypto Express3 コプロセッサー |
外部 MACD 鍵はサポートされていません。 |
IBM zEnterprise 196 |
Crypto Express3 コプロセッサー | 外部 MACD 鍵はサポートされていません。 |
IBM zEnterprise EC12 |
Crypto Express3 コプロセッサー Crypto Express4 CCA コプロセッサー |
外部 MACD 鍵はサポートされていません。 |
IBM z13 |
Crypto Express5 CCA コプロセッサー | 外部 MACD 鍵はサポートされていません。 |