PKA 鍵変換 (CSNDPKT および CSNFPKT)
- 変換 - CCA RSA 鍵トークンを外部鍵トークンに変換します。
外部鍵トークンのフォーマットは、rule_array パラメーターの出力フォーマット・キーワードで指定します。
ソース CCA RSA 鍵トークンは、トランスポート鍵暗号鍵 (KEK) でラップする必要があります。 ソース・トークンの鍵用途バイトで XLATE ビットをオンにすることも必要です。 ソース・トークンは、指定されたソース・トランスポート KEK を使用してアンラップされます。 ターゲット鍵トークンは、指定されたターゲット・トランスポート KEK でラップされます。 ターゲット・トークン内の既存情報は上書きされます。 ソースおよびターゲットのトランスポート鍵トークンに使用可能な鍵タイプには制限があります。 このような制限は、アクセス制御点によって施行されるものです。
- 型変換 - CCA RSA 秘密鍵トークン内のオブジェクト保護鍵 (OPK) を、DES 鍵から AES 鍵に型変換します。
このサービスは、既存の内部または外部の RSA 秘密鍵トークンを型変換します。 モジュラス指数形式および中国剰余定理形式がサポートされます。 秘密鍵セクション ID 0x06、0x08、および 0x09 を型変換することができます。
AMODE(64) 呼び出しの呼び出し可能サービス名は CSNFPKT です。
形式
CALL CSNDPKT(
return_code,
reason_code,
exit_data_length,
exit_data,
rule_array_count,
rule_array,
source_key_identifier_length,
source_key_identifier,
source_transport_key_identifier_length,
source_transport_key_identifier,
target_transport_key_identifier_length,
target_transport_key_identifier,
target_key_token_length,
target_key_token)パラメーター
- return_code
-
方向 タイプ 出力 整数 戻りコードは、呼び出し可能サービスの一般的な結果を示しています。 ICSF および暗号化コプロセッサーの戻りコードおよび理由コードに戻りコードがリストされています。
- reason_code
-
方向 タイプ 出力 整数 理由コードは、アプリケーション・プログラムに返される、呼び出し可能サービスの結果を示しています。 戻りコードにはそれぞれ、特定の処理問題を示すさまざまな理由コードが割り当てられています。 ICSF および暗号化コプロセッサーの戻りコードおよび理由コードに理由コードがリストされています。
- exit_data_length
-
方向 タイプ 入出力 整数 インストール・システム出口に渡されるデータの長さ。 データは exit_data パラメーターで識別されます。
- exit_data
-
方向 タイプ 入出力 ストリング インストール・システム出口に渡されるデータ。
- rule_array_count
-
方向 タイプ 入力 整数 rule_array パラメーターで指定するキーワードの数。 値は 1 でなければなりません。
- rule_array
-
方向 タイプ 入力 ストリング 制御情報を呼び出し可能サービスに提供するキーワード。 リストについては、表 1 を参照してください。 キーワードは、8 バイト・フィールドで左寄せされ、右側にブランクが埋め込まれます。
表 1. PKA 鍵変換規則配列のキーワード キーワード 意味 出力フォーマット (いずれかが必須) 移行用出力フォーマット EXTDWAKW ソース鍵が外部 DES ラップ・トークンであり、AESKW ラップ・トークンに移行することを指定します。 INTDWAKW ソース鍵が内部 DES ラップ・トークンであり、AESKW ラップ・トークンに移行することを指定します。 変換用出力フォーマット EMVCRT このキーワードは、外部 RSA CRT 鍵を EMV CRT フォーマットに変換し、TDES-ECB を使用してラップすることを指示します。 XLATE ビット (ビット 22) を target_transport_key_identifier 制御ベクトルで設定する必要があります。
EMVDDA このキーワードは、外部 RSA CRT 鍵を EMV DDA フォーマットに変換し、TDES-CBC を使用してラップすることを指示します。 XLATE ビット (ビット 22) を target_transport_key_identifier 制御ベクトルで設定する必要があります。
EMVDDAE このキーワードは、外部 RSA CRT 鍵を EMV DDAE フォーマットに変換し、TDES-ECB を使用してラップすることを指示します。 XLATE ビット (ビット 22) を target_transport_key_identifier 制御ベクトルで設定する必要があります。
SCCOMCRT このキーワードは、鍵をスマート・カード中国剰余定理フォーマットに変換することを指示します。 SCCOMME このキーワードは、鍵をスマート・カード・モジュラス指数フォーマットに変換することを指示します。 SCVISA このキーワードは、鍵をスマート・カード Visa プロプラエタリー・フォーマットに変換することを指示します。 - source_key_identifier_length
-
方向 タイプ 入力 整数 source_key_identifier 変数の長さ (バイト)。 最大長は 3500 バイトです。
- source_key_identifier
-
方向 タイプ 入力 ストリング このフィールドには、RSA 秘密鍵トークンを識別する鍵ラベル、または RSA 秘密-公開鍵トークンが含まれています。 スマート・カード処理の場合、鍵は外部鍵トークン内になければなりません。 OPK 移行の場合、トークンは内部または外部にすることができます。 外部トークンは DES 鍵暗号鍵でラップされます。 内部トークンが指定されている場合、トランスポート鍵は使用されません。
- source_transport_key_identifier_length
-
方向 タイプ 入力 整数 source_transport_key_identifier パラメーターの長さ (バイト)。 この値は 64 でなければなりません。 フォーマット規則 INTDWAKW の場合、長さはゼロでなければなりません。
- source_transport_key_identifier
-
方向 タイプ 入出力 ストリング このフィールドには、DES 鍵暗号鍵の内部トークンまたは内部ラベルが含まれます。 この鍵は、パラメーター source_key_identifier で指定された入力 RSA 鍵トークンのアンラップに使用されます。 使用可能なトランスポート鍵のタイプについて詳しくは、アクセス制御点を参照してください。
- target_transport_key_identifier_length
-
方向 タイプ 入力 整数 target_transport_key_identifier パラメーターの長さ (バイト)。 DES 鍵暗号化が使用されている場合、この値は 64 でなければなりません。 AES 鍵暗号鍵が使用されている場合、この値はトークンの長さです。 最大長は 725 です。INTDWAKW の場合、長さはゼロでなければなりません。
- target_transport_key_identifier
-
方向 タイプ 入出力 ストリング このフィールドには、DES 鍵暗号鍵の内部トークンまたは内部ラベルが含まれます。 この鍵は、パラメーター target_key_token で返される出力 RSA 鍵のラップに使用されます。 使用可能なトランスポート鍵のタイプについて詳しくは、アクセス制御点を参照してください。
- target_key_token_length
-
方向 タイプ 入出力 整数 target_key_token パラメーターの長さ (バイト)。 出力時に、この変数の値は、呼び出し可能サービスによって生成された target_key_token の実際の長さを含むように更新されます。 最大長は 3500 バイトです。
- target_key_token
-
方向 タイプ 出力 ストリング このフィールドは、規則配列で指定されたスマート・カード・フォーマットの RSA 鍵を含み、target_transport_key パラメーターで指定された鍵暗号鍵によって保護されます。 これは CCA トークンではなく、PKDS に保管することはできません。
制約事項
CCA RSA ME トークンは、SCCOMCRT、EMV DDA、EMV DDAE、または EMV CRT フォーマットには変換されません。 CCA RSA CRT トークンは、SCCOMME フォーマットには変換されません。 SCVISA では、モジュラス指数 (ME) 鍵のみがサポートされています。
EMVDDA、EMVDDAE、または EMVCRT の各フォーマットの場合、CCA RSA CRT トークンの最大モジュラス・サイズは 2040 ビットです。
秘密セクション X'08' を持つ CCA RSA CRT トークンのみが、EMVDDA、EMVDDAE、または EMVCRT 規則配列キーワードでサポートされます。
アクセス制御点
フォーマット規則配列キーワードおよび使用可能なトランスポート鍵タイプの使用を制御するアクセス制御点は、以下のとおりです。
| 規則配列キーワード | アクセス制御点 |
|---|---|
| INTDWAKW | PKA Key Translate - Translate internal key token |
| EXTDWAKW | PKA Key Translate - Translate external key token |
| SCVISA | PKA Key Translate - from CCA RSA to SC Visa Format |
| SCCOMME | PKA Key Translate - from CCA RSA to SC ME Format |
| SCCOMCRT | PKA Key Translate - from CCA RSA to SC CRT Format |
| EMVDDA | PKA Key Translate - from CCA RSA CRT to EMV DDA Format |
| EMVDDAE | PKA Key Translate - from CCA RSA CRT to EMV DDAE Format |
| EMVCRT | PKA Key Translate - from CCA RSA CRT to EMV CRT Format |
以下のアクセス制御点は、下表に示す鍵タイプの組み合わせを制御します。 これらのアクセス制御点のいずれかを有効にする必要があります。
| ソース・トランスポート鍵タイプ | ターゲット・トランスポート鍵タイプ | アクセス制御点 |
|---|---|---|
| EXPORTER | EXPORTER | PKA Key Translate - from source EXP KEK to target EXP KEK |
| IMPORTER | EXPORTER | PKA Key Translate - from source IMP KEK to target EXP KEK |
| IMPORTER | IMPORTER | PKA Key Translate - from source IMP KEK to target IMP KEK |
| EXPORTER | IMPORTER | (不可) |
必須ハードウェア
下表に、各サーバー・タイプに必要な暗号化ハードウェアを示し、この呼び出し可能サービスの制約事項について説明します。
| サーバー | 必須暗号化ハードウェア | 制約事項 |
|---|---|---|
IBM eServer zSeries 990 |
この呼び出し可能サービスはサポートされていません。 | |
IBM System z9 EC |
Crypto Express2 コプロセッサー | 2009 年 4 月以降のライセンス内部コード (LIC) が必要です。 rule_array キーワード EMVDDA、EMVDDAE、および EMVCRT はサポートされていません。 |
IBM System z10 EC |
Crypto Express2 コプロセッサー Crypto Express3 コプロセッサー |
2009 年 4 月以降のライセンス内部コード (LIC) が必要です。 rule_array キーワード EMVDDA、EMVDDAE、および EMVCRT はサポートされていません。 |
IBM zEnterprise 196 |
Crypto Express3 コプロセッサー | rule_array キーワード EMVDDA、EMVDDAE、および EMVCRT のサポートには、2014 年 3 月以降のライセンス内部コード (LIC) が必要です。 |
IBM zEnterprise EC12 |
Crypto Express3 コプロセッサー Crypto Express4 CCA コプロセッサー |
rule_array キーワード EMVDDA、EMVDDAE、および EMVCRT のサポートには、2014 年 3 月以降のライセンス内部コード (LIC) が必要です。 |
IBM z13 |
Crypto Express5 CCA コプロセッサー |