TR-31 インポート (CSNBT31I および CSNET31I)
TR-31 インポート呼び出し可能サービスは、TR-31 鍵ブロックを CCA トークンに変換する場合に使用します。 TR-31 によって定義されている鍵属性と、CCA によって定義されている鍵属性は、必ずしも 1 対 1 のマッピングにはならないため、 呼び出し側は、規則配列によってインポート対象の鍵に付与する属性を指定しなければならない場合があります。
AMODE(64) の呼び出し可能サービス名は CSNET31I です。
形式
CALL CSNBT31I(
return_code,
reason_code,
exit_data_length,
exit_data,
rule_array_count,
rule_array,
TR31_key_block_length,
TR31_key_block,
unwrap_kek_identifier_length,
unwrap_kek_identifier,
wrap_kek_identifier_length,
wrap_kek_identifier,
output_key_identifier_length,
output_key_identifier,
num_opt_blks,
cv_source,
protection_method)
パラメーター
- return_code
-
方向 タイプ 出力 整数 戻りコードは、呼び出し可能サービスの一般的な結果を示しています。 ICSF および暗号化コプロセッサーの戻りコードおよび理由コードに、戻りコードがリストされています。
- reason_code
-
方向 タイプ 出力 整数 理由コードは、アプリケーション・プログラムに返される、呼び出し可能サービスの結果を示しています。 戻りコードにはそれぞれ、特定の処理問題を示すさまざまな理由コードが割り当てられています。 ICSF および暗号化コプロセッサーの戻りコードおよび理由コード に、理由コードがリストされています。
- exit_data_length
-
方向 タイプ 入出力 整数 インストール・システム出口に渡されるデータの長さ。 データは exit_data パラメーターで識別されます。
- exit_data
-
方向 タイプ 入出力 ストリング このデータはインストール出口に渡されます。
- rule_array_count
-
方向 タイプ 入力 整数 rule_array パラメーターで指定するキーワード数。 rule_array_count パラメーターは 1、2、3、4、または 5 でなければなりません。
- rule_array
-
方向 タイプ 入力 ストリング rule_array には、制御情報をこの呼び出し可能サービスに提供するキーワードが含まれます。 このキーワードの長さは 8 バイトです。 このキーワードは左寄せにして、右側にスペース文字を埋め込む必要があります。 下表に、この呼び出し可能サービスの rule_array キーワードを示します。 CV がオプション・ブロックとして TR-31 鍵ブロックに組み込まれている場合を除き、 以下の表に示されているいずれかの CCA 出力鍵用途サブグループに含まれるいずれかのキーワードが TR-31 入力鍵用途に基づいて必要となります。 CV がオプション・ブロックとして TR-31 鍵ブロックに組み込まれている場合、 組み込まれている CV は、TR-31 ヘッダー・データと競合しない限り出力鍵ブロックで使用されます。
用途とモードの有効な組み合わせについては、表 3 を参照してください。
表 1. TR-31 インポート規則配列制御情報のキーワード キーワード 意味 鍵ラップ方式 (いずれかが必須) INTERNAL 必要な output_key_identifier は、カード・マスター鍵でラップされた CCA 内部鍵トークンです。 EXTERNAL 必要な output_key_identifier は、unwrap_kek_identifier によって 表される鍵でラップされた CCA 外部鍵トークンです。 CCA 出力鍵用途サブグループ (CV がオプション・ブロックとして TR-31 鍵ブロックに組み込まれている場合を除き、 以下の表に示されているいずれかの CCA 出力鍵用途サブグループに含まれるいずれかのキーワードが TR-31 入力鍵用途に基づいて必要となります。 CV がオプション・ブロックとして TR-31 鍵ブロックに組み込まれている場合、 組み込まれている CV は、TR-31 ヘッダー・データと競合しない限り出力鍵ブロックで使用されます。) C0 サブグループ (この TR-31 鍵用途には、いずれかが必須) CVK-CVV これは、TR-31 CVK を CVV/CVC で使用するために CCA 鍵に変換します。 この CCA 鍵はサブタイプ CVVKEY-A を持つ MAC 鍵になります。 CVK-CSC これは、TR-31 CVK を CSC で使用するために CCA 鍵に変換します。 この CCA 鍵はサブタイプ AMEX CSC を持つ MAC 鍵になります。 K0 サブグループ (この TR-31 鍵用途には、いずれかが必須) EXPORTER TR-31 K0-E または K0-B の用途およびモードの鍵用。 これは、TR-31 KEK を CCA ラップ鍵に変換します。 鍵は CCA EXPORTER 鍵に変換されます。 K0-B 鍵インポートでは ACP は固有であることに注意してください。 OKEYXLAT TR-31 K0-E または K0-B の用途およびモードの鍵用。 これは、TR-31 KEK を CCA ラップ鍵に変換します。 鍵は CCA OKEYXLAT 鍵に変換されます。 K0-B 鍵インポートでは ACP は固有であることに注意してください。 IMPORTER TR-31 K0-D または K0-B の用途およびモードの鍵用。 これは、TR-31 KEK を CCA アンラップ鍵に変換します。 鍵は CCA IMPORTER 鍵に変換されます。 K0-B 鍵インポートでは ACP は固有であることに注意してください。 IKEYXLAT TR-31 K0-D または K0-B の用途およびモードの鍵用。 これは、TR-31 KEK を CCA アンラップ鍵に変換します。 鍵は CCA IKEYXLAT 鍵に変換されます。 K0-B 鍵インポートでは ACP は固有であることに注意してください。 V0/V1/V2 サブグループ (これらの TR-31 鍵用途には、いずれかが必須) PINGEN これは、TR-31 PIN 検査鍵を CCA PINGEN 鍵に変換します。 PINVER これは、TR-31 PIN 検査鍵を CCA PINVER 鍵に変換します。 E0/E2、F0/F2 サブグループ (これらの TR-31 鍵用途には、いずれかが必須) DMAC これは、保全性を目的としたアプリケーション暗号文またはセキュア・メッセージング用の TR-31 EMV マスター鍵 (チップ・カード または発行者) を CCA DKYGENKY タイプ DMAC に変換します。 DMV これは、保全性を目的としたアプリケーション暗号文またはセキュア・メッセージング用の TR-31 EMV マスター鍵 (チップ・カード または発行者) を CCA DKYGENKY タイプ DMV に変換します。 E1、F1 サブグループ (これらの TR-31 鍵用途には、いずれかが必須) DMPIN これは、機密性を目的としたセキュア・メッセージング用の TR-31 EMV マスター鍵 (チップ・カード または発行者) を CCA DKYGENKY タイプ DMPIN に変換します。 DDATA これは、機密性を目的としたセキュア・メッセージング用の TR-31 EMV マスター鍵 (チップ・カード または発行者) を CCA DKYGENKY タイプ DDATA に変換します。 E5 サブグループ (この TR-31 鍵用途には、いずれかが必須) DMAC これは、カード個別設定用の TR-31 EMV マスター鍵 (発行者) を CCA DKYGENKY タイプ DMAC に変換します。 DMV これは、カード個別設定用の TR-31 EMV マスター鍵 (発行者) を CCA DKYGENKY タイプ DMV に変換します。 DEXP これは、カード個別設定用の TR-31 EMV マスター鍵 (発行者) を CCA DKYGENKY タイプ DEXP に変換します。 鍵導出レベル (CV がオプション・ブロックとして TR-31 鍵ブロックに組み込まれている場合を 除き、鍵用途 E0、E1、E2 でいずれかが必要です。 CV が TR-31 鍵ブロックに組み込まれている場合、 組み込まれている CV は、TR-31 ヘッダー・データと競合しない限り出力鍵ブロックで使用されます。) DKYL0 これは、TR-31 EMV マスター鍵 (チップ・カードまたは発行者) を導出レベル DKYL0 で CCA DKYGENKY に変換します。 DKYL1 これは、TR-31 EMV マスター鍵 (チップ・カードまたは発行者) を導出レベル DKYL1 で CCA DKYGENKY に変換します。 鍵タイプ修飾子 (オプション) NOOFFSET これは、V0/V1 TR-31 鍵用途値に対してのみ有効です。 これは、オフセットまたは Visa PVV 処理が要求された場合に PIN の生成や検証に関与できない鍵トークンに PINGEN 鍵または PINVER 鍵をインポートします。 鍵ラップ方式 (オプション) 注: 使用されるラップ・キーワードと、TR-31 トークンのオプション・データ・ブロックで渡される CV との間で 矛盾があると、エラーが返されます。 この方式の主な例としては、ユーザー・デフォルトまたは構成済みデフォルトで鍵ラップに対して ECB が指定されるときに ビット 56 で「拡張のみ」を示す CV があります。USECONFG デフォルト・ラップ方式の構成設定を鍵のラップに使用することを指定します。 これはデフォルトです。 WRAP-ENH 新しい拡張ラップ方式を鍵のラップに使用することを指定します。 WRAP-ECB 元のラップ方式を使用することを指定します。 変換制御 (オプション) ENH-ONLY このキーワードは、拡張方式でいったんラップされた鍵を元の方式でラップできないように指示する場合に指定します。 これにより、元の方式への変換が制限されます。 このキーワードを指定しない場合、元の方式への変換は許可されます。 このキーワードにより、制御ベクトル内のビット 56 がオンになります。 このキーワードは、ゼロ CV データ鍵を処理する場合は無効です。 注:- TR-31 ブロックにおいて、ビット 56 がオンになっていないオプション・データ・ブロックに CV が含まれている場合、 ビット 56 は出力トークンでオンになります。 これは、このキーワードでは、ユーザーがこの動作を求められるためです。 これに対する例外として、すべて 0x00 バイトの CV の場合があります。 この場合、エラーは発生しませんが、CV はすべて 0x00 バイトのままです。
- 使用されるラップ・キーワードと、TR-31 トークンのオプション・データ・ブロックで渡される CV との間で 矛盾があると、エラーが返されます。 この方式の主な例としては、ユーザー・デフォルトまたは構成済みデフォルトで鍵ラップに対して ECB が指定されるときに ビット 56 で「拡張のみ」を示す CV があります。 デフォルト・ラップ方式が ECB モードであっても、拡張モードおよび ENH-ONLY 制約事項が特定の鍵トークンに必要な場合は、ENH-ONLY キーワードと WRAP-ENH キーワードを結合します。
- TR31_key_block_length
- このパラメーターは、TR31_key_block パラメーターの長さ (バイト) を指定します。 TR-31 ブロック内の長さフィールドは 4 桁の 10 進数であるため、最大許容長は 9992 バイトです。
方向 タイプ 入力 整数 - TR31_key_block
- このパラメーターには、インポート対象の TR-31 鍵ブロックが含まれます。 この鍵ブロックは、パラメーター unwrap_kek_identifier で渡される鍵によって保護されます。
方向 タイプ 入力 ストリング - unwrap_kek_identifier_length
- このパラメーターは、unwrap_kek_identifier パラメーターの 長さ (バイト) を指定します。 現在、unwrap_kek_identifier パラメーターに対してサポートされているのは CCA 内部鍵トークンのみであるため、 このパラメーターの値は 64 でなければなりません。
方向 タイプ 入力 整数 - unwrap_kek_identifier
- このパラメーターには、TR31_key_block パラメーターで渡される インポート対象鍵をアンラップして保全性を検査するために使用される鍵のラベルまたは鍵トークンが含まれます。 この鍵は KEK IMPORTER/IKEYXLAT タイプの CCA 内部トークンでなければなりません。 古いマスター鍵でラップされた鍵トークンが渡されると、その鍵トークンは現行マスター鍵でラップされるように出力で更新されます。
方向 タイプ 入出力 ストリング 注: 「E」エクスポート可能性を持っているか、または持つことになる TR-31 バージョン「B」/「C」鍵ブロックを ラップ/ラップ解除するために、ECB モードでラップされた DES 鍵 (CCA レガシー・ラップ・モード) は使用できません。 これは、ECB モードが ANSI X9.24 Part 1 に準拠していないためです。 - wrap_kek_identifier_length
- このパラメーターは、wrap_kek_identifier パラメーターの 長さ (バイト) を指定します。 出力 CCA トークンをラップするために unwrap_kek_identifier も使用する場合は、このパラメーターに対して 0 を指定します。 それ以外の場合、このパラメーターは 64 でなければなりません。
方向 タイプ 入力 整数 - wrap_kek_identifier
- wrap_kek_identifier_length が 0 の場合、 このパラメーターは無視されて、出力 CCA トークンをラップするために unwrap_kek_identifier も使用されます。 それ以外の場合、このパラメーターには、出力 CCA トークンをラップするために KEK で使用されるラベルまたは鍵トークンが含まれます。 これは KEK EXPORTER/OKEYXLAT タイプの CCA 内部トークンでなければならず、unwrap_kek_identifier と同じ非暗号化鍵が必要です。 古いマスター鍵でラップされた鍵トークンが渡されると、その鍵トークンは現行マスター鍵でラップされるように出力で更新されます。
方向 タイプ 入出力 ストリング 注: 「E」エクスポート可能性を持っているか、または持つことになる TR-31 バージョン「B」/「C」鍵ブロックを ラップ/ラップ解除するために、ECB モードでラップされた DES 鍵 (CCA レガシー・ラップ・モード) は使用できません。 これは、ECB モードが ANSI X9.24 Part 1 に準拠していないためです。 - output_key_identifier_length
- このパラメーターは、output_key_identifier パラメーターの 長さ (バイト) を指定します。 入力では、これは、output_key_identifier パラメーターで表されるバッファーの長さを指定し、 その長さは 64 バイト以上でなければなりません。 出力では、output_key_identifier パラメーターで返されるトークンの長さが含まれます。
方向 タイプ 入出力 整数 - output_key_identifier
- このパラメーターには、インポートされた鍵を受け取る予定の 鍵トークンが含まれています。 出力トークンは、TR-31 鍵ブロックで受け取られた鍵を含む CCA 内部/外部鍵トークンになります。
方向 タイプ 出力 ストリング - num_opt_blocks
- このパラメーターには、TR-31 鍵ブロックに存在するオプション・ブロックの数が 含まれます。
方向 タイプ 出力 整数 - cv_source
- このパラメーターには、出力鍵トークンにおける 制御ベクトルがどのように作成されたのかに関する情報が含まれます。 以下の 3 つの値のいずれかが含まれる可能性があります。
方向 タイプ 出力 整数 - X'00000000'
- オプション・ブロックに CV が存在せず、出力 CV は、入力パラメーターに基づいて、 および TR-31 鍵ブロック・ヘッダー内の属性に基づいて呼び出し可能サービスによって作成されました。
- X'00000001'
- CV は TR-31 鍵ブロック内のオプション・ブロックから取得され、鍵用途および用途モードも TR-31 ヘッダーに指定されました。 この呼び出し可能サービスでは、ヘッダー値と CV との互換性が検証され、その後でその CV が出力鍵トークンで使用されました。
- X'00000002'
- CV は TR-31 鍵ブロック内のオプション・ブロックから取得され、TR-31 ヘッダー内の鍵用途および用途モードには、 組み込まれた CV から鍵用途およびモードを取得する必要があることを示す専用値が保持されました。 TR-31 トークンからの CV は出力鍵トークン用の CV として使用されました。
- protection_method
- このパラメーターには、入力 TR-31 鍵ブロックを保護するために使用された方式に関する 情報が含まれます。 以下のいずれかの値が含まれる可能性があります。
方向 タイプ 出力 整数 - X'00000000'
- TR-31 鍵ブロックは、鍵ブロック・バージョン ID 値「A」(0x41) によって識別されるバリアント方式を使用して保護されました。
- X'00000001'
- TR-31 鍵ブロックは、鍵ブロック・バージョン ID 値「B」(0x42) によって識別される導出鍵方式を使用して保護されました。
- X'00000002'
- TR-31 鍵ブロックは、鍵ブロック・バージョン ID 値「C」(0x43) によって識別されるバリアント方式を使用して保護されました。 この方式は機能的には「A」と同じですが、整合性を維持するために、ここでは「C」という異なる値が返されます。
制約事項
この呼び出し可能サービスでは、DES 鍵および TDES 鍵のみがインポートされます。
TR-31 ヘッダー・フィールドの専用値は、ヘッダー内のオプション・ブロックに制御ベクトルを指定する場合に IBM CCA で使用される専用値を除いて、 この呼び出し可能サービスではサポートされません。
使用上の注意
特にほかで注記されていない限り、TR-31 鍵ブロックとの間で読み書きが行われるストリング・パラメーターはすべて EBCDIC フォーマットになります。 入力パラメーターは TR-31 鍵ブロックに書き込まれる前に ASCII に変換され、 出力パラメーターは返される前に EBCDIC に変換されます (EBCDIC および ASCII のデフォルト変換テーブルを参照してください)。 TR-31 鍵ブロック自体は、ANSI TR-31 の仕様で要求されているとおり、必ず印刷可能な ASCII フォーマットになります。
TR-31 鍵ブロックが鍵コンポーネントとしてマークされている場合、 結果の CCA 鍵では制御ベクトル内の鍵パーツ・ビット (ビット 44) が 1 に設定されます。
インポートされた CCA トークンのエクスポート可能性属性は、以下の表で説明されているように TR-31 鍵ブロック内の属性に基づいて設定されます。
TR-31 エクスポート属性値 | インポート時の CCA アクション |
---|---|
エクスポート不能 (「N」) | CCA で鍵が内部 CCA 鍵トークンにインポートされます。 CV ビット 17 (エクスポート) はゼロ (鍵はエクスポートできないことを示す) に設定されます。 CV ビット 57 (TR-31 エクスポート) は 1 (鍵は TR-31 にエクスポートできないことを示す) に設定されます。 |
トラステッド鍵でエクスポート可能 (「E」) | TR-31 トークンが古い ECB フォーマットで CCA KEK によりラップされている場合、その KEK はトラステッド鍵ではないため、 要求はリジェクトされます。 CCA KEK がより新しい X9.24 準拠の CCA 鍵ブロックにある場合は、 任意の鍵でエクスポート可能になっている鍵について以下で説明されているまったく同じ方法で TR-31 鍵は CCA にインポートされます。 |
任意の鍵でエクスポート可能 (「S」) | CCA で鍵が内部 CCA 鍵トークンにインポートされます。 CV ビット 17 (エクスポート) は 1 (鍵はエクスポート可能であることを示す) に設定されます。 CV ビット 57 (TR-31 エクスポート) はゼロ (鍵は TR-31 にもエクスポートできることを示す) に設定されます。 |
必要に応じて、エクスポート禁止呼び出し可能サービス、エクスポート禁止拡張呼び出し可能サービス、または鍵属性の制限呼び出し可能サービスを使用して、 インポート後に CCA トークンのエクスポート属性を変更します。
TR-31 鍵ブロックに、CCA CV「00007D00030000000000000000000000」(単一長の鍵の 場合) または CCA CV「00007D0003410000000000000000000000007D00032100000000000000000000」(倍長の鍵の場合) を 持つオプション・ブロックが含まれる場合、結果の CCA トークンはゼロ CV DATA トークンになります。
- TR-31 エクスポート呼び出し可能サービスがオプション INCL-CV で呼び出された場合は、TR-31 鍵ブロックに制御ベクトルが 組み込まれ、TR-31 鍵用途フィールドおよび用途モード・フィールドには、TR-31 標準に定義されているセットからの属性が含まれます。 TR-31 インポート呼び出し可能サービスでは、ブロックに含まれている CV とその TR-31 属性に互換性があることが検査されます。 また、TR-31 ブロックに含まれている CV と競合する規則配列キーワードが存在しないことが検証されます。
- TR-31 エクスポート呼び出し可能サービスがオプション ATTR-CV で呼び出された場合は、TR-31 鍵ブロックに制御ベクトルが 組み込まれ、TR-31 鍵用途フィールドおよび用途モード・フィールドには、組み込まれた制御ベクトルに用途とモードの情報が含まれることを示す 専有値 (それぞれ、ASCII の「10」と「1」) が含まれます。 この場合、TR-31 インポート・サービスでは、組み込まれた CV が、そのサービスで作成される CCA 鍵トークンの制御ベクトルとして使用されます。 また、渡された規則配列キーワードと CV が矛盾していないことが検証されます。
呼び出し側がこの呼び出し可能サービス、鍵ラベル、または CKDS に保管された内部セキュア鍵トークンの使用を許可されているかを検査するために、SAF が呼び出される場合があります。
アクセス制御点
- TR31 Import - Permit version A TR-31 key blocks
- TR31 Import - Permit version B TR-31 key blocks
- TR31 Import - Permit version C TR-31 key blocks
WRAP-ECB キーワードまたは WRAP-ENH キーワードが指定されているときに、 デフォルト鍵ラップ方式の設定がキーワードに適合しない場合は、「TR31 Import - Permit override of default wrapping method」アクセス制御点を 有効にする必要があります。
「Disallow 24-byte DATA wrapped with 16-byte Key」アクセス制御点が有効になっているときに、 ソース鍵が 3 倍長の DATA 鍵であり DES マスター鍵が 16 バイトの鍵であると、このサービスは失敗します。
次の表は、TR-31 鍵ブロックを CCA 鍵にインポートするための有効な属性変換を、その属性変換を管理するアクセス制御点とともにリストしたものです。 ここにリストされていない変換はすべてエラーになります。 ブランクになっている個別のセルは、値がすぐ上の値と同じであることを示しています。
インポート T31 用途 | T31 鍵ブロック・バージョン | T31 モード | T31 アルゴリズム | キーワード | 出力 CCA タイプ (CSNBCVG キーワード) | 出力 CCA 用途 (CSNBCVG キーワード) | 必須 TR31 インポート ACP |
---|---|---|---|---|---|---|---|
DUKPT ベース導出鍵 | |||||||
B0 | A | N | T | (なし) | KEYGENKY | UKPT | (なし) |
B0 | B,C | X | T | (なし) | KEYGENKY | UKPT | |
B1 | B,C | (なし) | (なし) | (なし) | (なし) | (なし) | |
注: PIN パッドなどの個別の装置には、DUKPT 初期鍵の導出元の基本鍵があります。
|
|||||||
カード検証鍵 | |||||||
C0 | A,B,C | G, C | D | CVK-CSC | MAC | AMEX-CSC | C0 を MAC/MACVER:AMEX-CSC に対して許可 |
A,B,C | T | CVK-CSC | MAC | AMEX-CSC | |||
A,B,C | V | D | CVK-CSC | MACVER | AMEX-CSC | ||
A,B,C | T | CVK-CSC | MACVER | AMEX-CSC | |||
A,B,C | G, C | T | CVK-CVV | MAC | CVVKEY-A | C0 を MAC/MACVER:CVVKEY-A に対して許可 | |
A,B,C | V | T | CVK-CVV | MACVER | CVVKEY-A | ||
カード検証鍵は、 アルゴリズム CVV、CVC、CVC2 および CVV2 を使用してカード検証コードを (指定された値に対して) 計算したり検証したりするための鍵です。 注:
|
|||||||
データ暗号鍵 | |||||||
D0 | A,B,C | E | D, T | (なし) | ENCIPHER | (なし) | (なし) |
A,B,C | D | D, T | (なし) | DECIPHER | (なし) | ||
A,B,C | B | D, T | (なし) | CIPHER | (なし) | ||
注:
|
|||||||
鍵暗号鍵 | |||||||
K0 | A,B,C | E | T | OKEYXLAT | OKEYXLAT | (なし) | K0:E を EXPORTER/OKEYXLAT に対して許可 |
A,B,C | EXPORTER | EXPORTER | (なし) | ||||
A,B,C | D | T | IKEYXLAT | IKEYXLAT | (なし) | K0:D を IMPORTER/IKEYXLAT に対して許可 | |
A,B,C | IMPORTER | IMPORTER | (なし) | ||||
A,B,C | B | T | OKEYXLAT | OKEYXLAT | (なし) | K0:B を EXPORTER/OKEYXLAT に対して許可 | |
A,B,C | EXPORTER | EXPORTER | (なし) | ||||
A,B,C | IKEYXLAT | IKEYXLAT | (なし) | K0:B を IMPORTER/IKEYXLAT に対して許可 | |||
A,B,C | IMPORTER | IMPORTER | (なし) | ||||
K1 | B,C | E | T | OKEYXLAT | OKEYXLAT | (なし) | K1:E を EXPORTER/OKEYXLAT に対して許可 |
B,C | EXPORTER | EXPORTER | (なし) | ||||
B,C | D | T | IKEYXLAT | IKEYXLAT | (なし) | K1:D を IMPORTER/IKEYXLAT に対して許可 | |
B,C | IMPORTER | IMPORTER | (なし) | ||||
B,C | B | T | OKEYXLAT | OKEYXLAT | (なし) | K1:B を EXPORTER/OKEYXLAT に対して許可 | |
B,C | EXPORTER | EXPORTER | (なし) | ||||
B,C | IKEYXLAT | IKEYXLAT | (なし) | K1:B を IMPORTER/IKEYXLAT に対して許可 | |||
B,C | IMPORTER | IMPORTER | (なし) | ||||
注:
|
|||||||
MAC 鍵 | |||||||
M0 | A,B,C | G,C | T | (なし) | MAC | ANY-MAC | M0/M1/M3 を MAC/MACVER:ANY-MAC に対して許可 |
A,B,C | V | T | (なし) | MACVER | ANY-MAC | ||
M1 | A,B,C | G,C | D, T | (なし) | MAC | ANY-MAC | |
A,B,C | V | D, T | (なし) | MACVER | ANY-MAC | ||
M3 | A,B,C | G,C | D, T | (なし) | MAC | ANY-MAC | |
A,B,C | V | D, T | (なし) | MACVER | ANY-MAC | ||
注:
|
|||||||
PIN 鍵 | |||||||
P0 | A,B,C | E | T | (なし) | OPINENC | (なし) | P0:E を OPINENC に対して許可 |
A,B,C | D | (なし) | IPINENC | (なし) | P0:D を IPINENC に対して許可 | ||
A,B,C | B - サポート対象外 | (なし) | (なし) | (なし) | (なし) | ||
V0 | A | N | T | PINGEN [NOOFFSET] | PINGEN | NO-SPEC [+NOOFFSET] | V0 を PINGEN:NO-SPEC に対して許可、V0/V1/V2:N を PINGEN/PINVER に対して許可 |
A,B,C | G,C | [NOOFFSET] | PINGEN | NO-SPEC [+NOOFFSET] | V0 を PINGEN:NO-SPEC に対して許可 | ||
A | N | PINVER [NOOFFSET] | PINVER | NO-SPEC [+NOOFFSET] | V0 を PINVER:NO-SPEC に対して許可、V0/V1/V2:N を PINGEN/PINVER に対して許可 | ||
A,B,C | V | [NOOFFSET] | PINVER | NO-SPEC [+NOOFFSET] | V0 を PINVER:NO-SPEC に対して許可 | ||
V1 | A | N | T | PINGEN [NOOFFSET] | PINGEN | IBM-PIN /IBM-PINO | V1 を PINGEN:IBM-PIN/IBM-PINO に対して許可、V0/V1/V2:N を PINGEN/PINVER に対して許可 |
A,B,C | G,C | [NOOFFSET] | PINGEN | IBM-PIN /IBM-PINO | V1 を PINGEN:IBM-PIN/IBM-PINO に対して許可 | ||
A | N | PINVER [NOOFFSET] | PINVER | IBM-PIN /IBM-PINO | V1 を PINVER:IBM-PIN/IBM-PINO に対して許可、V0/V1/V2:N を PINGEN/PINVER に対して許可 | ||
A,B,C | V | [NOOFFSET] | PINVER | IBM-PIN /IBM-PINO | V1 を PINVER:IBM-PIN/IBM-PINO に対して許可 | ||
V2 | A | N | T | PINGEN | PINGEN | VISA-PVV | V2 を PINGEN:VISA-PVV に対して許可、V0/V1/V2:N を PINGEN/PINVER に対して許可 |
A,B,C | G,C | PINGEN | VISA-PVV | V2 を PINGEN:VISA-PVV に対して許可 | |||
A | N | PINVER | PINVER | VISA-PVV | V2 を PINVER:VISA-PVV に対して許可、V0/V1/V2:N を PINGEN/PINVER に対して許可 | ||
A,B,C | V | PINVER | VISA-PVV | V2 を PINVER:VISA-PVV に対して許可 | |||
注:
|
|||||||
EMV チップ/発行者マスター鍵 | |||||||
E0 | A | N | T | DKYL0 +DMAC | DKYGENKY | DKYL0 +DMAC | E0 を DKYGENKY:DKYL0+DMAC に対して許可 |
B,C | X | DKYL0 +DMAC | DKYL0 +DMAC | ||||
A | N | DKYL0 +DMV | DKYL0 +DMV | E0 を DKYGENKY:DKYL0+DMV に対して許可 | |||
B,C | X | DKYL0 +DMV | DKYL0 +DMV | ||||
A | N | DKYL1 +DMAC | DKYL1 +DMAC | E0 を DKYGENKY:DKYL1+DMAC に対して許可 | |||
B,C | X | DKYL1 +DMAC | DKYL1 +DMAC | ||||
A | N | DKYL1 +DMV | DKYL1 +DMV | E0 を DKYGENKY:DKYL1+DMV に対して許可 | |||
B,C | X | DKYL1 +DMV | DKYL1 +DMV | ||||
E1 | A | N, E, D, B | T | DKYL0 +DMPIN | DKYGENKY | DKYL0 +DMPIN | E1 を DKYGENKY:DKYL0+DMPIN に対して許可 |
B,C | X | DKYL0 +DMPIN | DKYL0 +DMPIN | ||||
A | N, E, D, B | DKYL0 +DDATA | DKYL0 +DDATA | E1 を DKYGENKY:DKYL0+DDATA に対して許可 | |||
B,C | X | DKYL0 +DDATA | DKYL0 +DDATA | ||||
A | N, E, D, B | DKYL1 +DMPIN | DKYL1 +DMPIN | E1 を DKYGENKY:DKYL1+DMPIN に対して許可 | |||
B,C | X | DKYL1 +DMPIN | DKYL1 +DMPIN | ||||
A | N, E, D, B | DKYL1 +DDATA | DKYL1 +DDATA | E1 を DKYGENKY:DKYL1+DDATA に対して許可 | |||
B,C | X | DKYL1 +DDATA | DKYL1 +DDATA | ||||
E2 | A | N | T | DKYL0 +DMAC | DKYGENKY | DKYL0 +DMAC | E2 を DKYGENKY:DKYL0+DMAC に対して許可 |
B,C | X | DKYL0 +DMAC | DKYL0 +DMAC | ||||
A | N | DKYL1 +DMAC | DKYL1 +DMAC | E2 を DKYGENKY:DKYL1+DMAC に対して許可 | |||
B,C | X | DKYL1 +DMAC | DKYL1 +DMAC | ||||
E3 | A | N, E, D, B, G | T | (なし) | ENCIPHER | (なし) | E3 を ENCIPHER に対して許可 |
B,C | X | (なし) | (なし) | ||||
E4 | A | N, B | T | (なし) | DKYGENKY | DKYL0 +DDATA | E4 を DKYGENKY:DKYL0+DDATA に対して許可 |
B,C | X | (なし) | DKYL0 +DDATA | ||||
E5 | A | G, C, V, E, D, B, N | T | DKYL0 +DMAC | DKYGENKY | DKYL0 +DMAC | E5 を DKYGENKY:DKYL0+DMAC に対して許可 |
B,C | X | DKYL0 +DMAC | DKYL0 +DMAC | ||||
A | G, C, V, E, D, B, N | DKYL0 +DDATA | DKYL0 +DDATA | E5 を DKYGENKY:DKYL0+DDATA に対して許可 | |||
B,C | X | DKYL0 +DDATA | DKYL0 +DDATA | ||||
A | G, C, V, E, D, B, N | DKYL0 +DEXP | DKYL0 +DEXP | E5 を DKYGENKY:DKYL0+DEXP に対して許可 | |||
B,C | X | DKYL0 +DEXP | DKYL0 +DEXP | ||||
注: EMV チップ・カード・マスター鍵は、暗号操作を実行するためにチップ・カードによって使用されます。
場合によっては、EMV チップ・カード・マスター鍵は、操作の実行に使用される鍵を導出するためにチップ・カードによって使用されます。
CCA では、EMV チップ・カード・マスター鍵は以下のいずれかの鍵です。
|
必須ハードウェア
下表に、各サーバー・タイプに必要な暗号化ハードウェアを示し、この呼び出し可能サービスの制約事項について説明します。
サーバー | 必須暗号化ハードウェア | 制約事項 |
---|---|---|
IBM eServer zSeries 990 |
このサービスはサポートされていません。 | |
IBM System z9 EC |
このサービスはサポートされていません。 | |
IBM System z10 EC |
このサービスはサポートされていません。 | |
IBM zEnterprise 196 |
Crypto Express3 コプロセッサー | TR-31 鍵サポートには 2011 年 9 月以降の LIC が必要です。 |
IBM zEnterprise EC12 |
Crypto Express3 コプロセッサー Crypto Express4 CCA コプロセッサー |
|
IBM z13 |
Crypto Express5 CCA コプロセッサー |