トラステッド・ブロック・セクション X'12'
- 規則セクションのないトラステッド・ブロックは、PKA 鍵トークン変更呼び出し可能サービスおよび PKA 鍵インポート呼び出し可能サービスにより使用できます。 規則セクションのないトラステッド・ブロックは、鍵用途フラグがデジタル署名操作を許可するように設定されている RSA 公開鍵セクションがあれば、デジタル署名検査呼び出し可能サービスによって使用できます。
- 以下を実行するためにリモート鍵エクスポート呼び出し可能サービスを使用する場合は、少なくとも 1 つの規則セクションが必要です。
- RKX 鍵トークンの生成
- RKX 鍵トークンのエクスポート
- CCA DES 鍵トークンのエクスポート
- 公開鍵により暗号化された鍵の生成またはエクスポート。 公開鍵はベンダー認証 (セクション X'11') に含まれ、ATM ベンダーのルート認証鍵です。 これは、個別の ATM 用の公開鍵認証に基づいて、デジタル署名を検証するために使用されます。
- トラステッド・ブロックに複数の規則セクションがある場合、各規則セクションには、固有の 8 文字の規則 ID が必要です。
5 つのサブセクション (TLV オブジェクト) が定義されています。
このセクションの定義については、以下の表で示します。
オフセット (バイト) | 長さ (バイト) | 説明 |
---|---|---|
オフセット (バイト) | 長さ (バイト) | 説明 |
000 | 001 | セクション ID:
|
001 | 001 | セクションのバージョン番号 (X'00'). |
002 | 002 | セクション長 (バイト): (20+yyy)。 |
004 | 008 | 規則 ID (ASCII 形式)。
トラステッド・ブロック内の規則を一意的に識別する 8 バイトの文字ストリング。 有効な ASCII 文字は、A から Z、a から z、0 から 9、- (ハイフン)、および _ (下線) であり、左寄せされて右側にスペース文字が埋め込まれます。 |
012 | 004 | フラグ (未定義のフラグ・ビットは予約済みであり、ゼロでなければなりません)。
|
016 | 001 | 生成対象鍵の長さ。
フラグ値 (オフセット 012) が新規鍵を生成するように設定されている場合の、生成される鍵の長さ (バイト)。そうでない場合、この値は無視されます。 有効な値は、8、16、または 24 です。無効である場合は、エラーを返します。 |
017 | 001 | 鍵検査アルゴリズム ID (他のすべては予約済みであり、使用してはなりません):
|
018 | 001 | 対称暗号化出力鍵フォーマット・フラグ (他のすべての値は予約済みであり、使用してはなりません)。
指示された対称鍵トークンを sym_encrypted_key_identifier パラメーターを使用して返します。
|
019 | 001 | 非対称暗号化出力鍵フォーマット・フラグ (他のすべての値は予約済みであり、使用してはなりません)。
指示された非対称鍵トークンを asym_encrypted_key 変数で返します。
|
020 | yyy | 規則セクションのサブセクション (tag-length-value オブジェクト)。 TLV フォーマットの連続する 0 から 5 個のオブジェクト。 |
規則サブセクション・タグ | TLV オブジェクト | オプションまたは必須 | 注釈 |
---|---|---|---|
X'0001' | トランスポート鍵バリアント | オプション | 排他的論理和がとられて非暗号化テキスト・トランスポート鍵になるバリアントが入ります。 |
X'0002' | トランスポート鍵の規則参照 | オプション。RKX 鍵トークンをトランスポート鍵として使用するには必須です。 | トランスポート鍵の作成に使用する必要があった規則の規則 ID が入ります。 |
X'0003' | 共通エクスポート鍵のパラメーター | 鍵生成のオプション。既存の鍵のエクスポートには必須です。 | エクスポート鍵とソース鍵の最小長および最大長、出力鍵の可変長およびバリアント、CV 長、および鍵の使用を制御するために非暗号化テキスト・トランスポート鍵との排他的論理和がとられる CV が含まれます。 |
X'0004' | ソース鍵参照 | オプション。ソース鍵が RKX 鍵トークンである場合は必須です。 | ソース鍵を作成するために使用する規則の規則 ID が含まれます。
注: トラステッド・ブロックの作成時に必要とされるすべての規則が含まれます。
トラステッド・ブロックの作成後に規則を追加することはできません。
|
X'0005' | エクスポート鍵 CCA トークン・パラメーター | オプション。CCA DES 鍵トークンのエクスポートにのみ使用されます。 | マスク長、マスク、およびエクスポートされた鍵の使用を制限する CV テンプレートが含まれます。
さらに、テンプレート長と、ソース鍵ラベルの許可を定義するテンプレートも含まれます。
ソース鍵入力パラメーターの鍵タイプは、このサブセクション内のエクスポート鍵 CV 制限マスク (オフセット 005) および制限テンプレート (オフセット yyy) を使用して、「フィルター処理」できます。 |
トラステッド・ブロック・セクション X'12' のサブセクション X'0001': トラステッド・ブロック規則セクション (X'12') のサブセクション X'0001' は、トランスポート鍵バリアント TLV オブジェクトです。 このサブセクションはオプションです。 これには、排他的論理和がとられて非暗号化テキスト・トランスポート鍵になるバリアントが入ります。
このサブセクションの定義については、以下の表で示します。
オフセット (バイト) | 長さ (バイト) | 説明 |
---|---|---|
000 | 002 | サブセクション・タグ:
|
002 | 002 | サブセクション長 (バイト): (8+nnn)。 |
004 | 001 | サブセクションのバージョン番号 (X'00')。 |
005 | 002 | 予約済み、2 進ゼロでなければなりません。 |
007 | 001 | 可変フィールドの長さ (バイト): (nnn)。
この長さは、transport_key_identifier パラメーターにより識別されるトランスポート鍵の長さ以上でなければなりません。 バリアントが鍵よりも長い場合は、使用する前に、鍵の長さになるまで右側から切り捨てます。 |
008 | nnn | トランスポート鍵バリアント。
(1) バリアント・フィールド値 (オフセット 007) の長さがゼロでなく、(2) 対称暗号化出力鍵フォーマット・フラグ (セクション X'12' のオフセット 018) が X'01' である場合は、このバリアントの排他的論理和をとって、非暗号化テキスト・トランスポート鍵にします。
注: トランスポート鍵は、対称暗号化出力鍵が RKX トークン形式である場合は使用されません。
|
トラステッド・ブロック・セクション X'12' のサブセクション X'0002': トラステッド・ブロック規則セクション (X'12') のサブセクション X'0002' は、トランスポート鍵規則参照 TLV オブジェクトです。 このサブセクションはオプションです。 これにはトランスポート鍵の作成に使用する必要があった規則の規則 ID が入ります。 このサブセクションは、RKX 鍵トークンをトランスポート鍵として使用するには必須です。
オフセット (バイト) | 長さ (バイト) | 説明 |
---|---|---|
000 | 002 | サブセクション・タグ:
|
002 | 002 | サブセクション長 (バイト): (14)。 |
004 | 001 | サブセクションのバージョン番号 (X'00')。 |
005 | 001 | 予約済み、2 進ゼロでなければなりません。 |
006 | 008 | 規則 ID。 トランスポート鍵として使用される RKX 鍵トークンを作成するために使用する必要があった規則の規則 ID が入ります。 規則 ID は、ASCII 文字の 8 バイト・ストリングであり、左寄せで、右側にスペース文字が埋め込まれます。 許容文字は、A から Z、a から z、0 から 9、- (X'2D')、および _ (X'5F') です。 他のすべての文字は、将来の利用のために予約されています。 |
トラステッド・ブロック・セクション (X'12') のサブセクション X'0003': トラステッド・ブロック規則セクション (X'12') のサブセクション X'0003' は、共通エクスポート鍵パラメーター TLV オブジェクトです。 このサブセクションはオプションですが、RKX 鍵トークン・フォーマットまたは CCA DES 鍵トークン・フォーマットのいずれかである既存のソース鍵 (source_key_identifier パラメーターで識別される) の鍵エクスポートには必須です。 新規鍵の生成の場合、このサブセクションは、出力鍵バリアントを非暗号化テキスト生成鍵に適用します (そのようなオプションを希望する場合)。 これには、入力ソース鍵と出力エクスポート鍵の最小長および最大長、出力鍵の可変長およびバリアント、CV 長、および非暗号化テキスト・トランスポート鍵との排他的論理和がとられる CV が含まれます。
オフセット (バイト) | 長さ (バイト) | 説明 |
---|---|---|
000 | 002 | サブセクション・タグ:
|
002 | 002 | サブセクション長 (バイト): (12+xxx+yyy)。 |
004 | 001 | サブセクションのバージョン番号 (X'00')。 |
005 | 002 | 予約済み、2 進ゼロでなければなりません。 |
007 | 001 | フラグ (2 進ゼロに設定する必要があります)。 |
008 | 001 | エクスポート鍵の最小長 (バイト)。
この長さは、8、16、または 24 のいずれかでなければなりません。
これは、ソース鍵にも当てはまります。 |
009 | 001 | エクスポート鍵の最大長 (バイト) (yyy)。
この長さは、8、16、または 24 のいずれかでなければなりません。
これは、ソース鍵にも当てはまります。 |
010 | 001 | 出力鍵の可変長 (バイト) (xxx)。
有効な値は 0 または 8 から 255 です。0 より大きい場合、少なくともこの規則を使用してエクスポートされた最長の鍵と同じ長さでなければなりません。
バリアントが鍵よりも長い場合は、使用する前に、鍵の長さになるまで右側から切り捨てます。
注: 出力鍵バリアント (オフセット 011) は、この長さがゼロの場合は使用されません。
|
011 | xxx | 出力鍵のバリアント。
バリアントは、任意の値にすることができます。 このバリアントの排他的論理和をとって、出力の非暗号化テキスト値にします。 |
011+xxx | 001 | CV の長さ (バイト) (yyy)。
|
012+xxx | yyy | CV。
選択された対称暗号化出力鍵フォーマット (規則セクションのオフセット 018) が CCA DES 鍵トークンである場合、この CV を出力エクスポート鍵トークンに入れます。
注: トランスポート鍵は、対称暗号化出力鍵が RKX トークン形式である場合は使用されません。
|
トラステッド・ブロック・セクション X'12' のサブセクション X'0004': トラステッド・ブロック規則セクション (X'12') のサブセクション X'0004' は、ソース鍵規則参照 TLV オブジェクトです。 このサブセクションはオプションですが、RKX 鍵トークンをソース鍵 (source_key_identifier パラメーターで識別される) として使用する場合は必須です。 これには、エクスポート鍵を作成するために使用される規則の規則 ID が含まれます。 このサブセクションが存在しない場合、RKX 鍵トークン・フォーマットのソース鍵の使用は受け入れられません。
オフセット (バイト) | 長さ (バイト) | 説明 |
---|---|---|
000 | 002 | サブセクション・タグ:
|
002 | 002 | サブセクション長 (バイト): (14)。 |
004 | 001 | サブセクションのバージョン番号 (X'00')。 |
005 | 001 | 予約済み、2 進ゼロでなければなりません。 |
006 | 008 | 規則 ID。 ソース鍵を作成するために使用する必要があった規則の規則 ID。 規則 ID は、ASCII 文字の 8 バイト・ストリングであり、左寄せで、右側にスペース文字が埋め込まれます。 許容文字は、A から Z、a から z、0 から 9、- (X'2D')、および _ (X'5F') です。 他のすべての文字は、将来の利用のために予約されています。 |
トラステッド・ブロック・セクション X'12' のサブセクション X'0005': トラステッド・ブロック規則セクション (X'12') のサブセクション X'0005' は、エクスポート鍵 CCA トークン・パラメーター TLV オブジェクトです。 このサブセクションはオプションです。 これには、マスク長、マスク、およびエクスポート鍵 CV 制限のテンプレートが含まれます。 さらにこれには、テンプレート長と、ソース鍵ラベルのテンプレートも含まれます。 CCA DES 鍵トークンをソース鍵入力パラメーターとして使用する場合、その鍵タイプは、このサブセクション内のエクスポート鍵 CV 制限マスク (オフセット 005) および制限テンプレート (オフセット yyy) を使用して、「フィルター処理」できます。
オフセット (バイト) | 長さ (バイト) | 説明 |
---|---|---|
000 | 002 | サブセクション・タグ:
|
002 | 002 | サブセクション長 (バイト): (10+yyy+yyy+zzz)。 |
004 | 001 | サブセクションのバージョン番号 (X'00')。 |
005 | 002 | 予約済み、2 進ゼロでなければなりません。 |
007 | 001 | フラグ (2 進ゼロに設定する必要があります)。 |
008 | 001 | エクスポート鍵 CV 制限マスク長 (バイト): (yyy)。
この CV 制限マスク長 (yyy) がゼロの場合、CV 制限は使用しないでください。
yyy が非ゼロの場合は、CV 制限を使用してください。この場合、yyy は以下のようになります。
例: エクスポート鍵の最小長が 16 で、エクスポート鍵 CV 制限マスク長が 8 である場合、エラーが返されます。 |
009 | yyy | エクスポート鍵 CV 制限マスク (yyy=0 の場合は存在しません)。
ソース鍵 CV 限度テンプレート (オフセット 009+yyy) に照らして検査する CV ビットを示します。 例: マスク X'FF' は、バイト内のすべてのビットを検査することを意味します。 マスク X'FE' は、バイト内のパリティー・ビットを無視します。 |
009+yyy | yyy | エクスポート鍵 CV 制限テンプレート (yyy=0 の場合は存在しません)。
エクスポート鍵 CV 制限マスク (オフセット 009) に基づいて検査される CV ビットの必須値を指定します。 エクスポート鍵 CV 制限マスクおよびテンプレートは、同じ長さ yyy を持ちます。
これは、それら 2 つのバリアントが、エクスポートする CCA DES トークンの利用可能な CV を制限するために一緒に機能するからです。
検査は、以下のように実行されます。
例: CV バイト 1 のエクスポート鍵 CV 制限マスク X'FF' (鍵タイプ) と、バイト 1 のエクスポート鍵 CV 制限テンプレート X'3F' (鍵タイプ CVARENC) を一緒に使用すると、CVARENC 鍵を除くすべての鍵タイプがフィルターで除外されます。
注: 複数の鍵タイプを許可するマスクとテンプレートの使用は可能ですが、1 つの規則セクションで一貫して実現することはできません。
例えば、マスクとテンプレートでビット 10 を 1 に設定すると、PIN 処理鍵および暗号変数暗号鍵のみが許可されます。
ただし、PIN 処理鍵および鍵暗号鍵のみを許可するマスクは不可です。
この場合、一方は PIN 処理鍵、もう一方は鍵暗号鍵を許可する複数の規則セクションが必要です。
|
009+ yyy+ |
001 | ソース鍵ラベル・テンプレート長 (バイト): (zzz)。
有効な値は 0 および 64 です。長さが 64 であり、ソース鍵ラベルが指定されていない場合、エラーが返されます。 |
010+ yyy+ |
zzz | ソース鍵ラベル・テンプレート (zzz=0 の場合は存在しません)。
鍵ラベルが source_key_identifier パラメーターにより示される場合は、鍵ラベル名がこのテンプレートと一致することを確認します。
比較が失敗する場合は、エラーが返されます。
ソース鍵ラベル・テンプレートは、以下の規則に従っている必要があります。
|