鍵属性の制限 (CSNBRKA および CSNERKA)

鍵属性の制限呼び出し可能サービスは、内部/外部 CCA 対称鍵トークンの属性を変更する場合に使用します。

AMODE(64) の呼び出し可能サービス名は CSNERKA です。

親トピック: 対称暗号鍵の管理

形式

CALL CSNBRKA(
             return_code,
             reason_code,
             exit_data_length,
             exit_data,
             rule_array_count,
             rule_array,
             key_identifier_length,
             key_identifier,
             key_encrypting_key_identifier_length,
             key_encrypting_key_identifier,
             opt_parameter1_length,
             opt_parameter1,
             opt_parameter2_length,
             opt_parameter2)

パラメーター

return_code
方向 タイプ
出力 整数

戻りコードは、呼び出し可能サービスの一般的な結果を示しています。 ICSF および暗号化コプロセッサーの戻りコードおよび理由コードに、戻りコードがリストされています。

reason_code
方向 タイプ
出力 整数

理由コードは、アプリケーション・プログラムに返される、呼び出し可能サービスの結果を示しています。 戻りコードにはそれぞれ、特定の処理問題を示すさまざまな理由コードがあります。 ICSF および暗号化コプロセッサーの戻りコードおよび理由コード に、理由コードがリストされています。

exit_data_length
方向 タイプ
入出力 整数

インストール・システム出口に渡されるデータの長さ。 データは exit_data パラメーターで識別されます。

exit_data
方向 タイプ
入出力 ストリング

このデータはインストール出口に渡されます。

rule_array_count
方向 タイプ
入力 整数

rule_array パラメーターで指定するキーワードの数。 値は 1 から 10 まででなければなりません。

rule_array
方向 タイプ
入力 ストリング

rule_array には、制御情報をこの呼び出し可能サービスに提供するキーワードが含まれます。 キーワードは、連続するストレージ内になければならず、各キーワードはその 8 バイト位置で左寄せされ、右側にブランクが埋め込まれている必要があります。

表 1. 鍵属性の制限制御情報のキーワード
キーワード 意味
トークン・タイプ (必須)
AES これは、鍵トークンが AES 鍵トークンであることを指定します。
DES これは、鍵トークンが DES 鍵トークンであることを指定します。
HMAC これは、鍵トークンが HMAC 鍵トークンであることを指定します。
制限する属性 (オプション)
NOEXPORT これは、鍵を verb によってエクスポートすることを禁止します。 このキーワードを使用すると、使用可能なエクスポート制御属性のレベルはいずれも必ず下がります。 制限する属性のキーワードが使用されない場合は、これがデフォルトです。

可変長対称鍵トークン: このキーワードは、「AES または HMAC のエクスポート制御」にリストされているすべての キーワード (NOEX-AES、NOEX-DES、NOEX-RAW、NOEX-RSA、NOEX-SYM、NOEXAASY、および NOEXUASY) を指定することと同等です。 AES 属性制限キーワードも HMAC 属性制限キーワードも使用しない場合は、これがデフォルトです。

内部 DES 鍵トークン: このキーワードは、CV ビット 17 を B'0' (NO-XPORT) に 設定し、CV ビット 27 を B'1' (NOT31XPT) に設定する場合に使用します。 DES 属性制限キーワードを使用しない場合は、これがデフォルトです。
AES 鍵または HMAC 鍵の場合 (オプションで 1 つ以上のキーワードを指定できる)
AES および HMAC のエクスポート制御 (オプションで 1 つ以上指定可能)
NOEX-AES これは、AES 鍵を使用したエクスポートを禁止することを指定します。
NOEX-DES これは、DES 鍵を使用したエクスポートを禁止することを指定します。
NOEX-RAW これは、RAW フォーマットでのエクスポートを禁止することを指定します。
NOEX-RSA これは、RSA 鍵を使用したエクスポートを禁止することを指定します。
NOEX-SYM これは、対称鍵を使用して鍵をエクスポートすることを禁止します。
NOEXAASY これは、認証済み非対称鍵 (例: トラステッド・ブロック・トークン内の RSA 鍵) を使用して鍵をエクスポートすることを禁止します。
NOEXUASY これは、非認証の非対称鍵を使用して鍵をエクスポートすることを禁止します。
AES および HMAC の鍵用途制限 (オプション)
C-XLATE これは、CIPHER 鍵を暗号化テキスト変換操作にのみ使用できることを指定します。 これは AES CIPHER 鍵と一緒の場合にのみ有効です。
DES 鍵の場合 (オプションで 1 つまたは 2 つのキーワードを指定できる)
DES のエクスポート制御 (オプションで 1 つのみ指定可能)
CCAXPORT これは、DES 内部トークンに関して、CV のビット 17 を 0 に設定して、鍵のエクスポートを禁止します。
NOT31XPT これは、DES 内部トークンに関して、CV のビット 57 を 1 に設定して、鍵の TR-31 エクスポートを禁止します。
DES の鍵制限 (オプション)
DOUBLE-O これは、DES 鍵トークンに関して、固有の鍵半分 (パリティーを無視) を持つ倍長の鍵の制御ベクトルを変更して、 鍵が、複製された鍵半分を持たないように指示します。
注: 複製された鍵半分を持つ倍長の鍵は、単一長の鍵の有効強度を持ちます。 key_identifier パラメーターに指定された鍵トークンが、複製された鍵の半分を持つ場合に、このキーワードを指定すると、サービスは失敗します。
入力トランスポート鍵 (オプション)
IKEK-AES これは、KEK が AES トランスポート鍵であることを指定します。 これはトークン・タイプ AES および HMAC のデフォルトであり、トークン・タイプ DES と一緒には使用できません。
IKEK-DES これは、KEK が DES トランスポート鍵であることを指定します。 これはトークン・タイプ DES のデフォルトです。
IKEK-PKA これは、KEK が PKA トランスポート鍵であることを指定します。 これはトークン・タイプ DES と一緒には使用できません。
key_identifier_length
方向 タイプ
入出力 整数

key_identifier パラメーターの長さ (バイト)。 最大値は 900 です。

key_identifier
方向 タイプ
入出力 ストリング

エクスポート制御の更新対象となる鍵。 このパラメーターには、内部/外部トークン、または内部トークンの 64 バイト CKDS ラベルが含まれます。 ラベルが指定される場合、鍵トークンは CKDS において更新され、このサービスからは返されません。

指定された鍵 ID が古いマスター鍵で暗号化された AES トークンまたは DES トークンだった場合、 トークンは現行マスター鍵で暗号化されて返されます。

key_encrypting_key_identifier_length
方向 タイプ
入力 整数
key_encrypting_key_identifier パラメーターの長さ。 key_identifier が内部トークンの場合、値はゼロでなければなりません。
  • key_encrypting_key_identifier が CKDS (IKEK-AES 規則または IKEK-DES 規則) または PKDS (IKEK-PKA 規則) の ラベルである場合、値は 64 でなければなりません。
  • key_encrypting_key_identifier が AES KEK の場合、 値は実際のトークンの長さから 725 までの間でなければなりません。
  • key_encrypting_key_identifier が DES KEK の場合、値は 64 でなければなりません。
  • key_encrypting_key_identifier が RSA KEK の場合、最大長は 3500 です。
key_encrypting_key_identifier
方向 タイプ
入出力 ストリング

key_encrypting_key_identifier_length が ゼロ以外の場合、key_encrypting_key_identifier には、鍵暗号鍵が入っている内部鍵トークン、または鍵ラベルが含まれます。

指定された鍵 ID が古いマスター鍵で暗号化された AES トークンまたは DES トークンだった場合、 トークンは現行マスター鍵で暗号化されて返されます。

opt_parameter1_length
方向 タイプ
入力 整数

opt_parameter1 パラメーターのバイト長。 値はゼロでなければなりません。

opt_parameter1
方向 タイプ
入力 ストリング

このパラメーターは無視されます。

opt_parameter2_length
方向 タイプ
入力 整数

opt_parameter2 パラメーターのバイト長。 値はゼロでなければなりません。

opt_parameter2
方向 タイプ
入力 ストリング

このパラメーターは無視されます。

アクセス制御点

ドメイン役割において、このサービスの機能を制御するアクセス制御点には、以下のものがあります。
  • Restrict Key Attribute - Export Control
  • Restrict Key Attribute - Permit setting the TR-31 export bit

必須ハードウェア

下表に、各サーバー・タイプに必要な暗号化ハードウェアを示し、この呼び出し可能サービスの制約事項について説明します。

表 2. 鍵属性の制限必須ハードウェア
サーバー 必須暗号化ハードウェア 制約事項

IBM eServer zSeries 990
IBM eServer zSeries 890

   このサービスはサポートされていません。

IBM System z9 EC
IBM System z9 BC

   このサービスはサポートされていません。

IBM System z10 EC
IBM System z10 BC

   このサービスはサポートされていません。

IBM zEnterprise 196
IBM zEnterprise 114

 Crypto Express3 コプロセッサー

DK AES PIN 鍵サポートには 2013 年 11 月以降のライセンス内部コードが必要です。

AES 鍵サポートには 2011 年 9 月以降のライセンス内部コード (LIC) が必要です。

拡張鍵トークン・ラップおよび HMAC 鍵サポートには 2010 年 11 月以降のライセンス内部コード (LIC) が必要です。

IBM zEnterprise EC12
IBM zEnterprise BC12

 Crypto Express3 コプロセッサー

Crypto Express4 CCA コプロセッサー

DK AES PIN 鍵サポートには 2013 年 9 月以降のライセンス内部コードが必要です。
IBM z13 Crypto Express5 CCA コプロセッサー