保管鍵削除 (CSNDRKD および CSNFRKD)
保管鍵削除呼び出し可能サービスは、暗号化コプロセッサー内に保存されている鍵を削除する場合に使用します。 このサービスは、関連付けられた鍵トークンを含むレコードも PKDS から削除します。 また、PKDS レコードがない場合でも、コプロセッサー内の保管鍵を削除でき、保管鍵を保持するコプロセッサーがオンラインでない場合でも、保管鍵の PKDS レコードを削除できます。 FORCE キーワードを指定する rule_array パラメーター、および削除する保管鍵を含むコプロセッサーのシリアル番号を使用します。 PKDS レコードが同じラベルに対して存在していても、シリアル番号が rule_array 内のシリアル番号に一致しない場合、サービスは失敗します。 公開鍵を必要とするアプリケーションがまだある場合は、公開鍵抽出を使用して、保管鍵を削除する前に公開鍵トークンを作成します。
AMODE(64) 呼び出しの呼び出し可能サービス名は CSNFRKD です。
形式
CALL CSNDRKD(
return_code,
reason_code,
exit_data_length,
exit_data,
rule_array_count,
rule_array,
key_label)
パラメーター
- return_code
- 戻りコードは、呼び出し可能サービスの一般的な結果を示しています。 ICSF および暗号化コプロセッサーの戻りコードおよび理由コードに戻りコードがリストされています。
方向 タイプ 出力 整数 - reason_code
-
方向 タイプ 出力 整数 理由コードは、アプリケーション・プログラムに返される、呼び出し可能サービスの結果を示しています。 戻りコードにはそれぞれ、特定の処理問題を示すさまざまな理由コードが割り当てられています。 ICSF および暗号化コプロセッサーの戻りコードおよび理由コードに理由コードがリストされています。
- exit_data_length
- インストール・システム出口に渡されるデータの長さ。 データは exit_data パラメーターで識別されます。
方向 タイプ 入出力 整数 - exit_data
- インストール・システム出口に渡されるデータ。
方向 タイプ 出力 ストリング - rule_array_count
- rule_array パラメーターで指定されているキーワード数。 値は 0 または 2 のいずれかです。
方向 タイプ 入力 整数 - rule_array
- このパラメーターは、FORCE およびコプロセッサー・シリアル番号にすることができます。
方向 タイプ 入力 文字ストリング - key_label
- コプロセッサー内に保存されている鍵の 64 バイトのラベル。
方向 タイプ 入力 ストリング
使用上の注意
ICSF はセキュリティー・サーバー (RACF) を呼び出して、保管鍵削除サービスおよび key_label で指定された鍵のラベルの使用許可を検査します。
保管秘密鍵はドメイン固有です。 保管秘密鍵を作成した LPAR ドメインのみが、保管鍵削除サービスを使用して鍵を削除することができます。
保管鍵が保管鍵削除サービスを使用して削除されると、ICSF はこのイベントを、サブタイプ 15 のタイプ 82 SMF レコードに記録します。
保管鍵がコプロセッサー内に存在せず、PKDS レコードが存在し、その保管鍵を作成したドメインがリクエスターのドメインに一致する場合に、ICSF は PKDS レコードを削除します。 この状態は、コプロセッサーが TKE またはサービス・プロセッサーによってゼロ化された場合に発生する可能性があります。
保管鍵を含む PKDS レコードが存在していても、その保管鍵を保持するコプロセッサーがオンラインでない場合、FORCE キーワードが指定されていれば、ICSF は PKDS レコードを削除します。 規則配列に指定されたシリアル番号は、保管鍵が作成されたコプロセッサーのシリアル番号でなければなりません。 PKDS レコード内の鍵トークンにはこのシリアル番号が含まれています。 このシリアル番号は、PKDS レコードが削除可能であるかを検査するために使用されます。
保管鍵がコプロセッサーに存在していても、対応する PKDS レコードがない場合、FORCE キーワードが指定されていれば、ICSF は保管鍵をコプロセッサーから削除します。
アクセス制御点
「Retained Key Delete」アクセス制御点によって、このサービスの機能が制御されます。
必須ハードウェア
下表に、各サーバー・タイプに必要な暗号化ハードウェアを示し、この呼び出し可能サービスの制約事項について説明します。
サーバー | 必須暗号化ハードウェア | 制約事項 |
---|---|---|
IBM eServer zSeries 990 |
PCI X 暗号化コプロセッサー Crypto Express2 コプロセッサー |
|
IBM System z9 EC |
Crypto Express2 コプロセッサー | |
IBM System z10 EC |
Crypto Express2 コプロセッサー Crypto Express3 コプロセッサー |
|
IBM zEnterprise 196 |
Crypto Express3 コプロセッサー | |
IBM zEnterprise EC12 |
Crypto Express3 コプロセッサー Crypto Express4 CCA コプロセッサー |
|
IBM z13 |
Crypto Express5 CCA コプロセッサー |