鍵属性の制限 (CSNBRKA および CSNERKA)
鍵属性の制限呼び出し可能サービスは、内部/外部 CCA 対称鍵トークンの属性を変更する場合に使用します。
AMODE(64) の呼び出し可能サービス名は CSNERKA です。
形式
CALL CSNBRKA(
return_code,
reason_code,
exit_data_length,
exit_data,
rule_array_count,
rule_array,
key_identifier_length,
key_identifier,
key_encrypting_key_identifier_length,
key_encrypting_key_identifier,
opt_parameter1_length,
opt_parameter1,
opt_parameter2_length,
opt_parameter2)
パラメーター
- return_code
-
方向 タイプ 出力 整数 戻りコードは、呼び出し可能サービスの一般的な結果を示しています。 ICSF および暗号化コプロセッサーの戻りコードおよび理由コードに、戻りコードがリストされています。
- reason_code
-
方向 タイプ 出力 整数 理由コードは、アプリケーション・プログラムに返される、呼び出し可能サービスの結果を示しています。 戻りコードにはそれぞれ、特定の処理問題を示すさまざまな理由コードがあります。 ICSF および暗号化コプロセッサーの戻りコードおよび理由コード に、理由コードがリストされています。
- exit_data_length
-
方向 タイプ 入出力 整数 インストール・システム出口に渡されるデータの長さ。 データは exit_data パラメーターで識別されます。
- exit_data
-
方向 タイプ 入出力 ストリング このデータはインストール出口に渡されます。
- rule_array_count
-
方向 タイプ 入力 整数 rule_array パラメーターで指定するキーワードの数。 値は 1 から 10 まででなければなりません。
- rule_array
-
方向 タイプ 入力 ストリング rule_array には、制御情報をこの呼び出し可能サービスに提供するキーワードが含まれます。 キーワードは、連続するストレージ内になければならず、各キーワードはその 8 バイト位置で左寄せされ、右側にブランクが埋め込まれている必要があります。
表 1. 鍵属性の制限制御情報のキーワード キーワード 意味 トークン・タイプ (必須) AES これは、鍵トークンが AES 鍵トークンであることを指定します。 DES これは、鍵トークンが DES 鍵トークンであることを指定します。 HMAC これは、鍵トークンが HMAC 鍵トークンであることを指定します。 制限する属性 (オプション) NOEXPORT これは、鍵を verb によってエクスポートすることを禁止します。 このキーワードを使用すると、使用可能なエクスポート制御属性のレベルはいずれも必ず下がります。 制限する属性のキーワードが使用されない場合は、これがデフォルトです。 可変長対称鍵トークン: このキーワードは、「AES または HMAC のエクスポート制御」にリストされているすべての キーワード (NOEX-AES、NOEX-DES、NOEX-RAW、NOEX-RSA、NOEX-SYM、NOEXAASY、および NOEXUASY) を指定することと同等です。 AES 属性制限キーワードも HMAC 属性制限キーワードも使用しない場合は、これがデフォルトです。
内部 DES 鍵トークン: このキーワードは、CV ビット 17 を B'0' (NO-XPORT) に 設定し、CV ビット 27 を B'1' (NOT31XPT) に設定する場合に使用します。 DES 属性制限キーワードを使用しない場合は、これがデフォルトです。
AES 鍵または HMAC 鍵の場合 (オプションで 1 つ以上のキーワードを指定できる) AES および HMAC のエクスポート制御 (オプションで 1 つ以上指定可能) NOEX-AES これは、AES 鍵を使用したエクスポートを禁止することを指定します。 NOEX-DES これは、DES 鍵を使用したエクスポートを禁止することを指定します。 NOEX-RAW これは、RAW フォーマットでのエクスポートを禁止することを指定します。 NOEX-RSA これは、RSA 鍵を使用したエクスポートを禁止することを指定します。 NOEX-SYM これは、対称鍵を使用して鍵をエクスポートすることを禁止します。 NOEXAASY これは、認証済み非対称鍵 (例: トラステッド・ブロック・トークン内の RSA 鍵) を使用して鍵をエクスポートすることを禁止します。 NOEXUASY これは、非認証の非対称鍵を使用して鍵をエクスポートすることを禁止します。 AES および HMAC の鍵用途制限 (オプション) C-XLATE これは、CIPHER 鍵を暗号化テキスト変換操作にのみ使用できることを指定します。 これは AES CIPHER 鍵と一緒の場合にのみ有効です。 DES 鍵の場合 (オプションで 1 つまたは 2 つのキーワードを指定できる) DES のエクスポート制御 (オプションで 1 つのみ指定可能) CCAXPORT これは、DES 内部トークンに関して、CV のビット 17 を 0 に設定して、鍵のエクスポートを禁止します。 NOT31XPT これは、DES 内部トークンに関して、CV のビット 57 を 1 に設定して、鍵の TR-31 エクスポートを禁止します。 DES の鍵制限 (オプション) DOUBLE-O これは、DES 鍵トークンに関して、固有の鍵半分 (パリティーを無視) を持つ倍長の鍵の制御ベクトルを変更して、 鍵が、複製された鍵半分を持たないように指示します。 注: 複製された鍵半分を持つ倍長の鍵は、単一長の鍵の有効強度を持ちます。 key_identifier パラメーターに指定された鍵トークンが、複製された鍵の半分を持つ場合に、このキーワードを指定すると、サービスは失敗します。入力トランスポート鍵 (オプション) IKEK-AES これは、KEK が AES トランスポート鍵であることを指定します。 これはトークン・タイプ AES および HMAC のデフォルトであり、トークン・タイプ DES と一緒には使用できません。 IKEK-DES これは、KEK が DES トランスポート鍵であることを指定します。 これはトークン・タイプ DES のデフォルトです。 IKEK-PKA これは、KEK が PKA トランスポート鍵であることを指定します。 これはトークン・タイプ DES と一緒には使用できません。 - key_identifier_length
-
方向 タイプ 入出力 整数 key_identifier パラメーターの長さ (バイト)。 最大値は 900 です。
- key_identifier
-
方向 タイプ 入出力 ストリング エクスポート制御の更新対象となる鍵。 このパラメーターには、内部/外部トークン、または内部トークンの 64 バイト CKDS ラベルが含まれます。 ラベルが指定される場合、鍵トークンは CKDS において更新され、このサービスからは返されません。
指定された鍵 ID が古いマスター鍵で暗号化された AES トークンまたは DES トークンだった場合、 トークンは現行マスター鍵で暗号化されて返されます。
- key_encrypting_key_identifier_length
-
方向 タイプ 入力 整数 key_encrypting_key_identifier パラメーターの長さ。 key_identifier が内部トークンの場合、値はゼロでなければなりません。- key_encrypting_key_identifier が CKDS (IKEK-AES 規則または IKEK-DES 規則) または PKDS (IKEK-PKA 規則) の ラベルである場合、値は 64 でなければなりません。
- key_encrypting_key_identifier が AES KEK の場合、 値は実際のトークンの長さから 725 までの間でなければなりません。
- key_encrypting_key_identifier が DES KEK の場合、値は 64 でなければなりません。
- key_encrypting_key_identifier が RSA KEK の場合、最大長は 3500 です。
- key_encrypting_key_identifier
-
方向 タイプ 入出力 ストリング key_encrypting_key_identifier_length が ゼロ以外の場合、key_encrypting_key_identifier には、鍵暗号鍵が入っている内部鍵トークン、または鍵ラベルが含まれます。
指定された鍵 ID が古いマスター鍵で暗号化された AES トークンまたは DES トークンだった場合、 トークンは現行マスター鍵で暗号化されて返されます。
- opt_parameter1_length
-
方向 タイプ 入力 整数 opt_parameter1 パラメーターのバイト長。 値はゼロでなければなりません。
- opt_parameter1
-
方向 タイプ 入力 ストリング このパラメーターは無視されます。
- opt_parameter2_length
-
方向 タイプ 入力 整数 opt_parameter2 パラメーターのバイト長。 値はゼロでなければなりません。
- opt_parameter2
-
方向 タイプ 入力 ストリング このパラメーターは無視されます。
アクセス制御点
- Restrict Key Attribute - Export Control
- Restrict Key Attribute - Permit setting the TR-31 export bit
必須ハードウェア
下表に、各サーバー・タイプに必要な暗号化ハードウェアを示し、この呼び出し可能サービスの制約事項について説明します。
サーバー | 必須暗号化ハードウェア | 制約事項 |
---|---|---|
IBM eServer zSeries 990 |
このサービスはサポートされていません。 | |
IBM System z9 EC |
このサービスはサポートされていません。 | |
IBM System z10 EC |
このサービスはサポートされていません。 | |
IBM zEnterprise 196 |
Crypto Express3 コプロセッサー | DK AES PIN 鍵サポートには 2013 年 11 月以降のライセンス内部コードが必要です。 AES 鍵サポートには 2011 年 9 月以降のライセンス内部コード (LIC) が必要です。 拡張鍵トークン・ラップおよび HMAC 鍵サポートには 2010 年 11 月以降のライセンス内部コード (LIC) が必要です。 |
IBM zEnterprise EC12 |
Crypto Express3 コプロセッサー Crypto Express4 CCA コプロセッサー |
DK AES PIN 鍵サポートには 2013 年 9 月以降のライセンス内部コードが必要です。 |
IBM z13 | Crypto Express5 CCA コプロセッサー |