JPH0299984A - 検証方法及び装置 - Google Patents

検証方法及び装置

Info

Publication number
JPH0299984A
JPH0299984A JP1207112A JP20711289A JPH0299984A JP H0299984 A JPH0299984 A JP H0299984A JP 1207112 A JP1207112 A JP 1207112A JP 20711289 A JP20711289 A JP 20711289A JP H0299984 A JPH0299984 A JP H0299984A
Authority
JP
Japan
Prior art keywords
key
cryptographic
control vector
bit
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP1207112A
Other languages
English (en)
Other versions
JPH0820848B2 (ja
Inventor
Stephen M Matyas
ステイブン・エム・マチイース
Dennis G Abraham
デニス・ジイー・アブラハム
Donald B Johnson
ドナルド・ビイー・ジヨンソン
Ramesh K Karne
ラメシユ・ケイ・カーン
An V Le
アン・ヴイ・リ
Rostislaw Prymak
ロステイスロー・プライマツク
Julian Thomas
ジユリアン・トーマス
D Wilkins John
ジヨン・デイー・ウイルキンズ
Phil C Yeh
フイリイ・シイー・ジエイ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JPH0299984A publication Critical patent/JPH0299984A/ja
Publication of JPH0820848B2 publication Critical patent/JPH0820848B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/30Arrangements for executing machine instructions, e.g. instruction decode
    • G06F9/30003Arrangements for executing specific machine instructions
    • G06F9/30076Arrangements for executing specific machine instructions to perform miscellaneous control operations, e.g. NOP
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/30Arrangements for executing machine instructions, e.g. instruction decode
    • G06F9/30003Arrangements for executing specific machine instructions
    • G06F9/30007Arrangements for executing specific machine instructions to perform operations on data operands
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/30Arrangements for executing machine instructions, e.g. instruction decode
    • G06F9/30003Arrangements for executing specific machine instructions
    • G06F9/30007Arrangements for executing specific machine instructions to perform operations on data operands
    • G06F9/30018Bit or string instructions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0827Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/12Details relating to cryptographic hardware or logic circuitry

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

(57)【要約】本公報は電子出願前の出願データであるた
め要約のデータは記録されません。

Description

【発明の詳細な説明】 A、産業上の利用分野 本発明は、一般には暗号技術に関し、さらに詳しくいえ
ばキーの安全保護管理技術に関する。
B、従来技術及びその課題 データの暗号変換は通常、キーの制御下で選択されたア
ルゴリズムまたはプロシージャによって定義される。ア
ルゴリズムは通常公知の知識なので、変換または暗号化
されたデータが保護できるかどうかはキーを秘密に保て
るかどうかにかかっている。すなわち、不正使用者が周
知のアルゴリズムとキーを使用して簡単に暗号化データ
を回復するのを防止するため、キーを秘密にしなければ
ならない。したがって、データを保護するにはプライバ
シ・キーの保護が必要となる。
キー管理は、キーの秘密と保全性が保護されるような形
で暗号キーとキー関連情報を取り扱うための暗号システ
ム内の機構、機能及びプロシージャを含んでいる。
ユーザまたは上位システムの主要暗号要件を支援するた
め、システム・キー管理機構は通常、キー導入、キー記
憶、キー生成、キーの搬入及び搬出のためのキー分配(
ないしは配送)を含む、いくつかの機能を支援している
どの場合にも、その全体的目的は、暗号キーの無許可の
開示または修正を防ぐことである。
暗号化データは同じ暗号アルゴリズムを利用するシステ
ムによって交換できるので、プライバシ・キーを交換で
きることが必要である。キーの発送者から所期の受領者
への搬送中にブライバシ・キーのプライバシを保護する
ために、キー自体を、(すでに両当事者間で共用されて
いる)他のプライバシ・キーのもとて暗号化しなければ
ならない。
キー分配プロトコルは、暗号システムの間でのキーの互
換性のある安全な交換を支援するように定義しなければ
ならない。
安全でない媒体(すなわち、安全な領域内にない記憶機
構)にキーを記憶するには、キー自体を暗号化しなけれ
ばならない。マスク・キー概念は、暗号システムで使用
するすべてのキーが、マスク・キーと呼ばれる単一キー
のもとて暗号化された形で記憶されるというものである
。マスク・キー自体を、開示または修正から保護しなけ
ればならない。マスク・キーを保護するため、通常(物
理アクセス制御などの)非暗号手段を設ける。
従来技術は、高いデータ安全保護基準を維持する実用的
で柔軟なキー管理システムを提供していない。
したがって、本発明の目的は、暗号アルゴリズム及びあ
る種の高レベルの暗号機能の保全性を提供することであ
る。
本発明の他の目的は、記憶または分配されたキーの保全
性を保護することである。
本発明の他の目的は、記憶または分配されたキーの誤用
(たとえば、プライバシ・キーを認証キーとして使用す
ること)を防止することにある。
本発明の他の目的は、記憶または分配されたキーの使用
を(たとえば、認証検査だけに)制限することにある。
本発明の他の目的は、マスク・キーと他の手動導入のキ
ー暗号化キーを安全に導入することである。
本発明の他の目的は、新しいキー暗号化キー及びデータ
暗号化キーを安全に生成することである。
−〇− C0課題を解決するための手段 上記及びその他の目的、特徴及び利点は、本明細書に記
載された発明によって実現される。本明細書で暗号アー
キテクチャ(CA)と呼ぶ発明は、データ処理システム
内で実施される。このシステムは、その発送者(ないし
は創作者)によって各キーが実行を許された機能を定義
する制御ベクトルに関連する、暗号キーの管理を求める
暗号サービス要求を出力するプログラムを実行する。本
発明は、プログラムが暗号キーに要求するキー管理機能
が、キーの発送者によって許可されたことを妥当性検査
する方法及び装置である。
本発明は、暗号サービス要求、暗号キー及びそれらに関
連する制御ベクトルを受け取る入力経路と、それに応答
を提供する出力経路が通過する安全な境界によって特徴
付けられる暗号機構を含む。
この境界内に、入力経路に接続された暗号命令記憶機構
、命令記憶機構に接続された制御ベクトル検査手段と暗
号処理手段、及び前記処理手段に接続されたマスク・キ
ー記憶機構を含めることができ、受け取ったサービス要
求に応答してキー管理機能を実行するための安全な場所
をもたらす。
暗号命令記憶機構は入力経路を介して、暗号キーに対し
てキー管理機能を実行することを求める暗号サービス要
求を受け取る。制御ベクトル検査手段は、入力経路に接
続された、暗号キーに関連する制御ベクトルを受け取る
ための入力線と、暗号命令記憶機構に接続された、制御
ベクトルが暗号サービス要求から要求されたキー管理機
能を許可するかどうかの検査を開始する制御信号を受け
取るための入力線を有する。
制御ベクトル検査手段は、暗号処理手段の入力線に接続
された、暗号処理手段がそれを受け取ると、暗号キーを
用いて要求されたキー管理機能の実行を開始する、キー
管理機能が許可されたことを示す信号を送るための許可
出力線を有する。
本発明は、さらに入出力経路を介して暗号機構に接続さ
れた、暗号キーを暗号化された形で記憶するための暗号
キー記憶手段を含む。暗号キーは、関連する制御ベクト
ルとマスク・キー記憶機構に記憶されたマスク・キーの
論理積である記憶キーのもとて暗号化される。
たとえば、暗号命令記憶機構は、入力経路を介して、暗
号キー記憶手段から暗号キーを回復することを求める暗
号サービス要求を受け取ることができ、制御ベクトル検
査手段は、それに応答して、暗号キーを回復する機能が
許可されたことを示す許可信号を暗号処理手段に出力す
る。暗号処理手段は、許可信号に応答して、暗号キー記
憶手段から暗号化された形の暗号キーを受け取り、関連
する制御ベクトルとマスク・キー記憶機構に記憶された
マスク・キーの論理積である記憶キーのもとて暗号化さ
れた形の暗号キーを非暗号化(復号化。
以下同じ)するよう動作する。
制御ベクトルは、キー管理機能、データ暗号化/非暗号
機能及びPIN処理機能を含む許可された形の暗号機能
を定義するフィールドを含む。関連する制御ベクトルは
、キーの搬出制御及び使用を定義するフィールドも含む
。これらの様々なフィールドは、相互に排他的な所期の
用途をもつ様々なタイプのキーを分離させて、システム
の保全性を維持する。
本発明は、高い安全保護基準を維持しながら、暗号キー
の生成、分配及び使用の際に多くの暗号キー管理機能の
柔軟な制御を可能にする。
D、実施例 本明細書で暗号アーキテクチャ(CA)と呼ぶ柔軟なキ
ー使用制御の方法及び装置について記載する。この方法
は、構内暗号機構内及びシステム間(すなわち、「オン
・ザ・リンク」)で厳格なキー分離を実施する。この方
法は、制御ベクトルを使ってキーの受領者またはユーザ
にキーの創作者の意図と整合する形でキーを使用させる
暗号機構の外部の安全でない媒体に記憶されたすべての
キーは、マスク・キーの機能と記憶されたキーの発送者
が指示した特定の制御ベクトルの値から形成されるキー
のもとて暗号化される。マスク・キーとおそらくは他の
少数のキーは、物理的に安全な暗号機構内で平文で記憶
されている。
どんなキーも安全な暗号機構の外部で故意によらず平文
で現れることはない。
あるシステムから別のシステムに送られるキーは、キー
暗号化キーの機能とキーの創作者(及びおそらくは送信
者)が指示した特定の制御ベクトルの値から形成される
キーのもとて暗号化される。
こうしたキー使用制御が特定のキー分配プロトコルの支
援に干渉する場合、オン・ザ・リンク制御は実施されな
い。
1組の基本暗号機能または命令が定義される。
これらの命令は、機能安全保護の基本線の基礎を形成す
る。各命令は、その入出力パラメータ、機能記述及び制
御ベクトル処理によって指定される。
保全性のために、命令は、安全な暗号機能内で完全に実
施されるように意図されている。
暗号設計の非常に強力で明確な特徴は、機能制限の原理
を厳格に遵守することである。この原理は、望ましい、
予期される暗号機能だけが許可され、他のものは許可さ
れないように暗号インターフェースを実施することを必
要とする。「他のものは許可されない」ことが重要であ
る。従来技術のシステムのアーキテクチャによるインタ
ーフェースを、そのアーキテクチャのもとて特に必要で
はないが、その実施態様によって禁止されてはいない形
で使用することによって、しばしば攻撃が発生すること
が判明している。
第1図は、暗号機構を含むデータ処理システムの構成図
を示す。第1図で、データ処理システム2は、暗号機能
アクセス・プログラムや第2図に示すアプリケーション
・プログラムなどのプログラムを実行する。これらのプ
ログラム出力暗号サービスは、制御ベクトルに関連する
暗号キーの管理を要求する。制御ベクトルの一般形式を
第10図に示す。制御ベクトルは、関連するキーがその
発送者によって実行を許された機能を定義する。本明細
書に記載する暗号アーキテクチャの発明は、プログラム
が暗号キーに要求するキー管理機能が、キーの発送者に
よって許可されたことを妥当性検査する装置及び方法で
ある。
第1図に示すように、暗号機構4がデータ処理システム
2内に含まれ、または関連付けられている。暗号機構4
は、安全な境界(安全保護境界ともいう)6で特徴付け
られる。入出力経路8は、プログラムから暗号サービス
要求、暗号キー及びそれらに関連する制御ベクトルを受
け取るために安全境界6を通過する。入出力経路8は、
暗号機構からの暗号要求に対する応答を出力する。安全
境界6内には、バス・ユニット12によって入出力経路
8に接続された暗号命令記憶機構10が含まれている。
制御ベクトル検査機構14が、記憶機構10内の命令に
結合されており、暗号処理機構16も命令記憶機構10
に接続されている。マスク・キー記憶機構18は暗号処
理装置16に接続されている。暗号機構4は、受け取っ
たサービス要求に応答してキー管理機能を実行するため
の安全な場所をもたらす。
暗号命令記憶機構10は、入出力経路8を介して、暗号
キーを用いてキー管理機能を実行することを求める暗号
サービス要求を受け取る。制御ベクトル検査機構14は
、入出力経路8に接続された、暗号キーに関連する制御
ベクトルを受け取るための入力線ををする。制御ベクト
ル検査機構14はまた、暗号命令記憶機構10に接続さ
れた、制御ベクトルが暗号サービス要求から要求された
キー管理機能を許可するかどうか検査を開始する制御信
号を受け取るための入力線も有する。
制御ベクトル検査装置14は、暗号処理機構16の入力
線に接続された、暗号処理機構16が許可信号を受け取
ると、暗号キーを用いて要求されたキー管理機能の実行
を開始する、キー管理機能が許可されたことを示す信号
を送るための許可出力線20ををする。暗号キー記憶機
構22は、入出力経路8を介して暗号機構14に接続さ
れる。
暗号キー記憶機構22は、暗号キーを暗号化された形で
記憶する。暗号キーは、関連制御ベクトルとマスク・キ
ー記憶機構18に記憶されたマスク・キーの論理積であ
る記憶キーのもとて暗号化される。
暗号キー記憶機構22から暗号キーを回復する例は、暗
号命令記憶機構10が入出力経路8を介して、暗号キー
記憶機構22から暗号キーを回復することを求める暗号
サービス要求を受け取るときに見られる。制御ベクトル
検査機構14は、それに応答して、暗号キーを回復する
機能が許可されたことを示す許可信号を、線20を介し
て暗号処理機構16に出力する。次いで、暗号処理機構
16は、線20で許可キーに応答して、暗号キー記憶機
構22から暗号化された形の暗号キーを受け取り、関連
制御ベクトルとマスク・キー記憶機構18に記憶された
マスク・キーの論理積である記憶キーのもとて暗号化さ
れた形の暗号キーを非暗号化(復号化)するよう動作す
る。
記憶キーは、関連制御ベクトルとマスク・キー記憶機構
18に記憶されたマスク・キーの排他的論理和である。
この論理積は好ましい実施例では排他的論理和演算であ
るが、他の形の論理演算でもよい。
関連制御ベクトルは、第2表にその一般書式を示すが、
それに関連する暗号化された形の暗号キーを用いて暗号
キー記憶機構22に記憶される。暗号記憶機構に記憶さ
れたすべてのキーはマスク・キーのもとて暗号化されて
いるので、そこで暗号キーを暗号化及び非暗号化(復号
化)する均一な方法が実施できる。
第2表にその一般書式を示した関連制御ベクトルは、キ
ー管理機能、データ暗号化/非暗号化機能及び個人識別
番号(PIN)処理機能を含む許可されたタイプの暗号
機能を定義するフィールドを含む。キー管理の応用分野
では、キー管理機能のタイプはタイプ・フィールドで指
定される。関連制御ベクトルは、キー及び関連する暗号
化された情報の搬出制御及び使用を定義できる、追加の
フィールドをも含む。
第1図に示す本発明は、キー・セットの生成を実行でき
る。キー・セットとは様々な使用クラスをもつ一対のキ
ーである。乱数発生源26または暗号機構4の作業用記
憶機構24に記憶された乱数は、バス12を介して暗号
処理機構に接続された、乱数を暗号処理機構に供給する
ための入力線を有する。
次いで暗号命令記憶機構10は、入出力経路8を介して
、関連する第1及び第2の制御ベクトルC3、C4を用
いて、乱数発生源26からの乱数出力からキ一対を生成
することを求める暗号サービス要求を受け取る。次に、
制御ベクトル検査機構14は、それに応答して、乱数か
らキ一対を生成する機能が許可されることを示す許可信
号を、線20を介して暗号処理機構16に出力する。次
に暗号処理機構16は線20上の許可信号に応答して、
第1生成キーとして乱数を暗号化された形で出力するよ
う動作する。この乱数は、第1の関連制御ベクトルC3
と第1のキーに1の論理積であるキーのもとて暗号化さ
れる。次に暗号処理機構16は、さらに線20上の許可
信号に応答して、第2の生成キーとして乱数を暗号化さ
れた形で出力するよう動作する。この乱数は、第2の関
連制御ベクトルC4と第2のキーに2の論理積であるキ
ーのもとて暗号化される。本発明によれば制御ベクトル
C3と04によって許可される使用には、様々な組合せ
のものがある。1つの組合せは、構内データ処理システ
ム2で動作する2つのキーを生成するためのもので、こ
の場合、第1及び第2のキーに1とに2は乱数であり、
第1及び第2の制御ベクトルC3と04だけが構内デー
タ処理システム4内での操作のための使用を許可する。
第2の組合せは、構内データ・プロセッサでだけ動作す
る第1の生成キーと、構内システム2に接続された遠隔
データ処理システム30に搬出可能な第2の生成キーを
生成するためのもので、この場合、第1のキーに1は乱
数であり、第1の制御ベクトルC3は、構内データ処理
システム2内での操作のための使用のみを許可するが、
第2のキーに2はキー暗号化キーKEK2であり、第2
の制御ベクトルC4は遠隔データ処理システム30への
搬出を許可する。第3の場合は、構内データ処理システ
ム2に接続された第1の遠隔データ処理システム30に
搬出可能な第1の生成キーと構内データ処理システム2
に接続された第2の遠隔データ処理システム30′に搬
出可能な第2の生成キーを生成するためのもので、この
場合、第1のキーに1はキー暗号化キーKEK1であり
、第1の制御8− 御ベクトルC3は第1の遠隔データ処理システムへの搬
送を許可するが、第2のキーに2はキー暗号化キーKE
K2であり、第2の制御ベクトルC4は第2の遠隔デー
タ処理システム30′への搬出を許可する。第4の組合
せは、構内データ処理システム2中でのみ動作する第1
の生成キーと構内システム2に接続された遠隔データ処
理システム30から搬入可能な第2の生成キーを生成す
るためのもので、この場合、第1のキーに1は乱数であ
り、第1の制御ベクトルC3は構内データ処理システム
2内での操作のための使用のみを許可するが、第2のキ
ーに2はキー暗号化キーKEK2であり、第2の制御ベ
クトルC4は遠隔データ処理システム2から構内データ
処理システム2への搬入を許可する。第5の場合は、構
内データ処理システム2に接続された第1の遠隔データ
処理システム30から搬入可能な第1の生成キーと構内
システム2に接続された第2の遠隔データ処理システム
30”に搬出可能な第2の生成キーを生成するためのも
ので、この場合、第1のキーに1はキー暗号化キーKE
K 1であり、第1の制御ベクトルC3は第1の遠隔デ
ータ処理システム30からの搬入を許可するが、第2の
キーに2はキー暗号化キーKEK2であり、第2の制御
ベクトルC4は第2の遠隔データ処理システム30’へ
の搬出を許可する。
第1図に示した本発明は、次のようにしてマスク・キー
機能から再暗号化動作を実行することができる。データ
処理システム2は、通信リンク28を介して、プライバ
シ・キー暗号化キーKEKを共用する遠隔データ処理3
0に接続されている。
暗号キー記憶機構22は、キー暗号化キーKEKを暗号
化された形で記憶する。KEKは、関連制御ベクトルC
1とマスク・キーの論理積である記憶キーのもとて暗号
化される。
暗号命令記憶機構10は、入出力経路8を介して、遠隔
データ処理システム30に搬出する目的で、関連制御ベ
クトルC3を用いて、暗号キーKをマスク・キーからキ
ー暗号化キーKEKによる暗号に再暗号化することを求
める暗号サービス要求を受け取る。制御ベクトル検査機
構には、それに応答して搬出のため暗号キーKをマスク
・キーからキー暗号化キーによる暗号に再暗号化する機
能が許可されたことを示す許可信号を線20を介して暗
号処理機構16に出力する。
暗号処理機構16は、線20上の許可信号に応答して、
暗号キー記憶機構22から暗号化された形の暗号キーK
を受け取り、関連制御ベクトルC2とマスク・キーの論
理積である記憶キーのもとて暗号化された形の暗号キー
を非暗号化(復号化)するよう動作する。暗号処理機構
16はさらに、線20上の許可信号に応答して、暗号キ
ー記憶機構22から暗号化された形のキー暗号化キーK
EKを受け取り、関連制御ベクトルC1とマスク・キー
の論理積である記憶キーのもとて暗号化された形のキー
暗号化キーを非暗号化(復号化)するよう動作する。
次に暗号処理機構16は、線20上の許可信号に応答し
て、暗号キーを関連制御ベクトルC3とキー暗号化キー
の論理積のもとて再暗号化し、再暗号化された暗号キー
にと関連制御ベクトルC3を出力して、通信リンク28
を介して第1の遠隔データ処理システム30に送る。
第1図に示した本発明は、次のようにしてマスク・キー
機能への再暗号化動作を実行することができる。データ
処理システム2は、通信リンクを介して、プライバシ・
キー暗号化キーKEKを共用する遠隔データ処理システ
ム30に接続されている。暗号キー記憶機構22は、キ
ー暗号化キーKEKを暗号化された形で記憶する。KE
Kは、関連制御ベクトルC1とマスク・キーの論理積で
ある記憶キーのもとで暗号化される。
遠隔データ処理システム30は、通信リンク28を介し
て、関連制御ベクトルC3を用いてキー暗号化キーKE
Kのもとて暗号化された暗号キーKを、構内データ処理
システム2に送信する。暗号命令記憶機構10は入出力
経路8を介して、暗号キー記憶機構22に記憶するため
、関連制御ベクトルC2を用いて暗号キーKをキー暗号
化キーKEKからマスタ・キーによる暗号に再暗号化す
ることを求める暗号サービス要求を受け取る。次に制御
ベクトル検査機構14は、それに応答して、記憶するた
め、キー暗号化キーKEKからマスタ・キーによる暗号
に暗号キーKを再暗号化する機能が許可されたことを示
す許可信号を、線20を介して暗号処理機構16に出力
する。次いで、暗号処理機構16は、線20上の許可信
号に応答して、制御ベクトルC2を用いてキーKをキー
暗号化キーKEKからマスタ・キーによる暗号に再暗号
化するよう動作して、再暗号化されたキーKを暗号キー
記憶機構22に出力する。
第1図に示した本発明はさらに、次のようにして単一キ
ーを生成するために適用することができる。乱数発生源
26は、バス12を介して暗号処理機構16に接続され
た、乱数を供給するための出力線を有する。暗号命令記
憶機構10は、入出力経路8を介して、関連制御ベクト
ルC1を用いて乱数からキーを生成することを求める暗
号サービス要求を受け取る。制御ベクトル検査機構14
は、それに応答して、乱数からキーを生成する機能が許
可されたことを示す許可信号を、線20を介して暗号処
理機構16に出力する。暗号処理機構16は、線20上
の許可信号に応答して、暗号化された形の生成キーとし
て乱数を出力するよう動作する。乱数は、関連制御ベク
トルC1とマスク・キーの論理積であるキーのもとて暗
号化される。
第1図に示した本発明は、次のようにキー変換機能を実
行するよう動作することができる。第1図のデータ処理
システム2は、通信リンク28を介して秘密搬入キー暗
号化キーKEK1を共用する第1の遠隔データ処理シス
テム30に接続された構内システムである。構内データ
処理システム2は、通信リンク28゛を介して、秘密搬
出キー暗号化キーKEK2を共用する第2の遠隔データ
処理システムにも接続されている。暗号化キー記憶機構
22は、搬入キー暗号化キーKEK1を暗号化された形
で記憶する。KEKlは、関連制御ベクトルC1とマス
ク・キーの論理積である記憶キーのもとて暗号化される
。暗号記憶キー22は、搬出キー暗号化キーKEK2を
暗号化された形で記憶する。KEK2は、関連制御ベク
トルC2とマスク・キーの論理積である記憶キーのもと
て暗号化される。
第1の遠隔データ処理システム30は、関連制御ベクト
ルC3を用いて搬入キー暗号化キーのもとて暗号化され
た暗号キーKを、通信リンク28を介して構内データ処
理システム2に送る。暗号命令記憶機構10は、通信リ
ンク28′を介して第2のデータ処理システム30′に
送るため、関連制御ベクトルC3を用いて搬入キー暗号
化キーKEK1による暗号から搬出キー暗号化キーKE
K2による暗号に暗号キーKを変換することを求める暗
号要求を、入力経路8を介して受け取る。
制御ベクトル検査機構14は、それに応答して、搬入キ
ー暗号化キーKEK1による暗号から搬出キー暗号化キ
ーKEK2による暗号に暗号キーKを変換する機能が許
可されたことを示す許可信号を、線20を介して暗号処
理機構16に出力する。
暗号処理機構16は、線20上の許可信号に応答して、
通信リンク28′を介して第2データ処理システム30
’に送るため、関連制御ベクトルC3を用いて搬入キー
暗号化キーKEK1による暗号から搬出キー暗号化キー
KEK2に暗号キーKを変換するよう動作する。
構内データ処理システム2がキーKを読み取りあるいは
キーKを用いて動作するのを防止するために、制御ベク
トルCLC2及びC3を用いて、様々な制限を適用する
ことができ、したがってキーKを発信元データ処理機構
30から宛先データ処理機構30’に安全に転送するこ
とができる。
第1図に示した本発明は、次のようにして現在のマスク
・キーから新しいマスク・キー機能への再暗号化を実行
するよう動作することができる。
作業用記憶機構24など現マスク・キー記憶機構は現在
のマスク・キーを記憶し、新しいマスク・キーはマスク
・キー記憶機構18に記憶でき、現マスク・キー記憶機
構24とマスク・キー記憶機構18も暗号処理機構16
と暗号機構4に接続されている。暗号キー記憶機構22
は、キーになどの暗号キーを暗号化した形で記憶する。
キーには、関連制御ベクトルC1と現マスク・キーの論
理積である記憶キーのもとて暗号化される。暗号命令記
憶機構は、関連制御ベクトルC1を用いて暗号キーを現
マスク・キーから新マスク・キーによる暗号に再暗号化
することを求める暗号サービス要求を入出力経路8を介
して受け取り、制御ベクトル検査機構は、それに応答し
て、暗号キーKを現マスク・キーから新マスク・キーに
よる暗号に再暗号化する機能が許可されたことを示す許
可信号を、線20を介して暗号処理機構16に出力する
暗号処理機構16は、線20上の許可信号に応答して、
暗号記憶機構22から暗号化された形の暗号キー■〈を
受け取り、関連制御ベクトルC1と現マスク・キーの論
理積である記憶キーのもとて暗号化された形の暗号キー
を非暗号化(復号化)するよう動作する。次に、暗号処
理機構16は線20上の許可信号に応答して、関連制御
ベクトルC1と新マスク・キーの論理積のもとて暗号キ
ー■〈を再暗号化し、再暗号化された暗号キーにと関連
制御ベクトルC1を暗号キー暗号機構22に出力するよ
う動作する。
第1図に示した本発明は、キーを使用するために制御ベ
クトルによって指定された権限を低下させるよう動作す
る。これは次のようにして実行される。暗号キー記憶機
構22は、暗号キーをキーにとして暗号化された形で記
憶する。キーには、関連制御ベクトルC1とマスク・キ
ーの論理積である記憶キーのもとて暗号化される。関連
制御ベクトルC1は、たとえば搬出制御を定義するフィ
ールドを含む。暗号命令記憶機構10は、入出力経路8
を介して、関連制御ベクトルC1の制御ベクトル権限を
低下させることを求める暗号サービス要求を受け取り、
制御ベクトル検査機構14は、それに応答して、関連制
御ベクトルC1の制御ベクトル権限を低下させる機能が
許可されたことを示す許可信号を、線20を介して暗号
処理機構16に出力する。
次に暗号処理機構16は線20上の許可信号に応答して
、暗号キー記憶機構22から暗号化された形の暗号キー
■〈を受け取り、関連制御ベクトルC1とマスク・キー
の論理積である記憶キーのもとて暗号化された形の暗号
キーを非暗号化(復号化)する。次に、暗号処理機構1
6は、線20上の許可信号に応答して、関連制御ベクト
ルC1を第2の制御ベクトルC2で置換する。第2の制
御ベクトルC2は、前の制御ベクトルC1に対して指定
された権限よりも低い権限を指定する搬出制御フィール
ドを有する。次に、暗号処理機構16は、線20上の許
可信号に応答して、第2の制御ベクトルC2を用いてマ
スク・キーのもとてキーKを暗号化し、第2の制御ベク
トルC2を用いて暗号キーKを暗号記憶機構22に出力
するよう動作する。
第1図に示した本発明は、次のようにして受領者の搬出
権限がより低いマスク・キー機能からの再暗号化を実行
するよう動作する。データ処理システムは、プライバシ
・キー暗号化を共用する第1の遠隔データ処理システム
30に接続された構内データ処理システム30である。
暗号記憶機構22は、キー暗号化キーKEKを暗号化さ
れた形で記憶する。キー暗号化キーKEKは、関連制御
ベクトルC1とマスク・キーの論理積である記憶キーの
もとて暗号化される。暗号キー記憶機構22は、暗号キ
ーをキーにとして暗号化された形で記憶する。キーには
関連制御ベクトルC2とマスク・キーの論理積である記
憶キーのもとて暗号化され、関連制御ベクトルC2は第
1の搬出権限を指定する搬出フィールドを有する。暗号
命令機構10は、関連制御ベクトルC2と共に第1の遠
隔データ処理システム30に搬出するため、暗号キーK
をマスク・キーからキー暗号化キーKEKによる暗号化
に再暗号化することを求める暗号サービス要求を、入出
力経路8を介して受け取る。関連制御ベクトルC3は、
C2の第1の搬出権限より小さな第2の搬出権限をもつ
制御ベクトル検査機構14は、それに応答して、搬出の
ためマスク・キーからキー暗号化キーKEKによる暗号
化に再暗号化する機能が許可されたことを示す許可信号
を、線20を介して暗号処理機構16に出力する。暗号
処理機構16は、線20上の許可信号に応答して、暗号
キー記憶機構22から暗号化された形の暗号キーKを受
け取り、関連制御ベクトルC2とマスク・キーの論理積
である記憶キーのもとて暗号化された形の暗号キーを非
暗号化(復号化)するよう動作する。暗号処理機構16
は、線20上の許可信号に応答して、暗号キー記憶機構
22から暗号化された形のキー暗号化キーKEKを受け
取り、関連制御ベクトルC1とマスク・キーの論理積で
ある記憶キーのもとて暗号化された形のキー暗号化キー
を非暗号化(復号化)するよう動作する。
暗号処理機構16は、線20上の許可信号に応答して、
関連制御ベクトルC3とキー暗号化キーKEKの論理積
のもとて暗号キーKを再暗号化するよう動作して、第1
の遠隔データ処理システム30に送るため再暗号化され
た暗号キーにと関連制御ベクトルC3を出力する。関連
制御ベクトルC3の搬出フィールドで指定される権限は
低いので、第1の遠隔データ処理システムはこのとき、
暗号キーにの再搬出のための権限が低くなっている。
第1図に示した本発明はさらに、次のようにしてリンク
制御動作を行なうことができる。関連制御ベクトルは、
遠隔データ処理システム3の特性のために、暗号キーに
関連する制御ベクトルを、構内データ処理システムから
それに接続された遠隔データ処理システム30への伝送
から外すかどうかを指定するリンク制御を定義するフィ
ールドを含む。たとえば、遠隔データ処理システムは、
制御ベクトルを同化しくassimilating)処
理することができないことがある。制御ベクトルは、伝
送時に関連暗号キーから分離させることができるが、そ
の結果関連する暗号キーによって実行される動作の安全
保護上の信頼性が低くなる。このようにして、制御ベク
トルを使用できる構内データ処理システム2などのシス
テムは、制御ベクトルを使用できる能力をもたない遠隔
システムで与えられるよりも高い安全保護上の信頼性を
もつ。関連制御ベクトルはまた、それに関連するキーが
ANSI型デー少データ処理システムて遠隔処理30と
して処理できるかどうかを指定するフィールドも含むこ
とができる。
第1図に示した本発明は、第2表に一般的に示す関連制
御ベクトルを有する。関連制御ベクトルは、互いに排他
的な2つの所期の用途に基づいてキー暗号化キーの分離
を実施するフィールドを含む。第7図に、それらの所期
の用途により様々なキー暗号化キーを分離する構成を示
す。たとえば、認証されたキーと未認証のキーが互いに
排他的な所期の用途である。もう1つの形の互いに排他
的な所期の用途は、制御ベクトルを使用する第1のタイ
プのキー暗号化キーと、それを使用しない第2のタイプ
のキー暗号化キーである。互いに排他的な所期の用途の
もう1つの例は、送信側のみによって使用される第1の
タイプのキー暗号化キーと、受信側のみによって使用さ
れる第2のタイプのキー暗号化キーである。制御ベクト
ルでキー分離を実施する互いに排他的な所期の用途の別
の例は、マスク・キーのもとで記憶された既存のデータ
・キーの搬出が不可能な、キー・セットの生成と発送の
ためのキーの変換に使用できる第1のタイプのキー暗号
化キーと、マスク・キーのもとで記憶された従来のデー
タ・キーの搬出が可能な、キー・セットの生成に使用で
きる第2のタイプのキー暗号化キーである。制御ベクト
ルでキー分離を実施する互いに排他的な所期の用途の他
の例は、搬出のためのみに生成できる第1のタイプのキ
ー暗号化キーと、操作のための使用及び搬出のために生
成できる第2のタイプのキー暗号化キーである。制御ベ
クトルでキー分離を実施する互いに排他的な用途の他の
例は、構内での操作のための使用が不可能な、変換に使
用できる第1のタイプのキー暗号化キーと、構内での操
作のための使用が可能な、変換に使用できる第2のタイ
プのキー暗号化キーである。制御ベクトルでキー分離を
実施する互いに排他的な所期の用途の他の例は、マスク
・キー動作からの再暗号化に使用できる第1のタイプの
キー暗号化キーと、マスク・キー動作からの再暗号化に
使用できない第2のタイプのキー暗号化キーである。
第2表に一般的に示したような制御ベクトルまたは、そ
れに関連する暗号キーが単長キーかそれとも倍長キーで
あるかを示すフィールドも含むことができる。
以下に、本発明の構成要素と動作のより詳細な説明を示
す。
第2図は、暗号サブシステムの主要構成要素を示す。暗
号サブシステムは、暗号機構(CF)、暗号機構アクセ
ス・プログラム(CEAP)及びアプリケーション・プ
ログラム(AP)から構成される。通常、CFは、物理
的に安全なボックス内でハードウェアによって実施され
る。その実施態様に応じて、CF、CFAP及びAPを
すべて物理的に安全なボックスに納めることができる。
暗号機構4は次のものから構成される。
キー・レジスタ レジスタとそれらの用途を以下に説明する。
−マスタ・キー・レジスタ18 マスク・キー・レジスタは128ビット幅で、マスク・
キーを含む。
一新マスク・キー(NMK)レジスタ 新マスク・キー・レジスタは128ビット幅で、現マス
ク・キーになる新マスク・キーを含む。新マスク・キー
は、特殊命令の後でたけ現マスク・キーになり、新マス
ク・キーの値をマスク・キー・レジスタにロードするた
めSMK命令が発行される。
一旧マスク・キー・レジスタ 旧マスク・キー・レジスタは128ビット幅で、現マス
ク・キーで置換されたマスク・キーを含む。マスク・キ
ー更新機構は、現マスク・キーが旧マスク・キーになっ
た後で新マスク・キーが現マスク・キーになるようにな
っている。
−キ一部分レジスタ キ一部分レジスタは128ビット幅で、任意選択の安全
保護された物理インターフェースを介してCFに接続さ
れたキー・パッドやキー・ボードなどのキー・ローディ
ング装置を介して導入されるキ一部分(構成要素)また
は完全なキーの値を含む。
一作業用キー・レジスタ 性能上の理由で、システムは、それぞれ128ビット幅
で、迅速なアクセス用の即時作業用キーを含む作業用レ
ジスタを有する。たとえば、データを暗号化するのに使
用されるキーは、最初の使用時に暗号化された形でCF
に入れられる。次に、それが非暗号化(復号化)されて
、平文値が作業用キー・レジスタの1つに記憶できる。
その後、データの暗号化または非暗号化(復号化)に使
用する際には、この平文値が特定の作業用キー・レジス
タから迅速にアクセスでき、したがってそれを使用する
前にキーを繰り返し非暗号化(復号化)するステップは
不用になる。
一プログラムMDCレジスタ(PMDCレジスタ) プログラムMDCレジスタは64ビット幅で、CF内の
プログラム・メモリにロードされるプログラムのMDC
を含む。
データ・セットMDCレジスタ(DMDCレジスタ) データ・セットMDCレジスタは64ビット幅で、その
保全性がCFAPによって妥当性検査されるデータ・セ
ットのMDCを含む。
これは普通は少なくともキー記憶データ・セットである
暗号命令及び制御ベクトル検査アルゴリズム命令セット
及び制御ベクトル検査アルゴリズムは安全保護された暗
号機構で実施され、ランダム・アクセス・メモリである
暗号命令記憶機構10に記憶される。それらのアルゴリ
ズムは、暗号処理機構16として動作できるインテル8
0286などのマイクロプロセッサで実行される。制御
ベクトル検査機構14も暗号処理機構16で実施でき、
あるいは、制御ベクトル検査機構14として働くインテ
ル80286など第2のマイクロプロセッサによって実
施できる。
プログラム・メモリ及び処理エンジン =38 このシステムは、CF内のメモリを利用してユーザのプ
ログラムを記憶することも、処理エンジンを利用してプ
ログラムを実行することもできる。
この例は、新しいPIN形式に対するPIN検査のため
の新しいアルゴリズムを実行するプログラムまたはマク
ロである。
乱数生成機構26 乱数生成機構は、64ピツト擬似乱数を作成するアルゴ
リズム手順である。アルゴリズム自体は秘密ではないが
、128ビツトのプライバシ・キー2個と64ビツトの
秘密でない増分カウンタ1個を使用する。秘密でないに
もかかわらず、カウンタの保全性及び適切な管理が安全
保護にとって不可欠である。
暗号機構(CF)は、暗号命令記憶機構10内にデータ
暗号アルゴリズム及び少数のキー及びデータ・パラメー
タ用の記憶機構を含む安全な実施態様である。この機構
には、処理要求、キー及びデータ・パラメータを提示し
、変換された出力を受け取ることができる不可侵の(侵
入、詐欺に対して安全な)インターフェースを介してし
かアクセスできない。
ANSIデータ暗号アルゴリズム(DEA)は、商用デ
ータ安全保護製品用の標準的暗号アルゴリズムである。
DEAは、56ビツトのプライバシ・キーt−使って6
4ビツトの平文テキストを暗号化し64ビツトの暗号テ
キストを形成する、対称ブロック暗号アルゴリズムであ
る。DEAキーは、通常1バイトごとに1パリテイ・ビ
ットつきで記[れ、64ビツトのキーを形成する。D 
E A Lt、米国標準局許可の連邦データ暗号化標準
の基礎をなし、したがってDESとも呼ばれる。
暗号機構は、暗号ハードウェアに対して限られたアクセ
スしかできない内部の不正使用者による探索に耐えなけ
ればならない。「限られた」とは日や週ではなく分また
は時間単位のものである。
不正使用者は、複雑な電子機械機器を用いて不正使用者
の制御下にある場所から研究所を攻撃することができず
、限られた電子装置を用いてシステムが設置された位置
で探索攻撃を行なうしかない。
暗号機構は、物理的な探索または侵入の試みを検出しな
ければならない。これは、様々な電子機械式感知装置を
用いて行なわれる。
暗号機構は、内部に記憶されたすべての平文キーの自動
的ゼロ化を実行しなければならない。こうしたゼロ化は
、探索や侵入の試みが検出されたとき、自動的に実行さ
れなければならない。暗号機構は、フロント・パネル・
インターフェースを介してキー記憶機構をゼロ化する手
動能力も備えていなければならない。
暗号機構は、1つのマスク・キーKMを含む。
他のキーはすべて、マスク・キーと存効制御ベクトルの
排他的論理和を取ることによって形成されるキーのもと
て暗号化された大量記憶機構中に常駐できる。暗号機構
の例の説明は、「端末を用いる暗号通信及びファイル安
全保護(Cryptograph icCommuni
cations and File 5ecurity
 UsingTerminals) Jと題するEhr
samの米国特許第4386234号明細書に出ている
CFAPは、CFとアプリケーション・プログラムの間
のプログラミング・インターフェースである。ユーザは
暗号機構に直接アクセスできないので、CFAPは、ユ
ーザがCFに特定の動作を実行することを要求する際に
使われるプログラミング・インターフェースである。
CFAPに、暗号キーが記憶されるCF外のキー記憶機
構が関連付けられている。平文キーはCF外では記憶さ
れない。キー記憶機構22を本明細書では「暗号キー・
データ・セットJ  (CKDS)とも呼ぶ。
CFAPは通常下記のものから構成される。
上記のキー記憶機構に記憶されたキーを管理するキー記
憶マネージャ ユーザが暗号機能を実行するためにCFにアクセスする
のに使用するCFAPマクロアプリケーション・プログ
ラムには、ユーザのアプリケーション・プログラム、キ
ー導入ユーティリティなどのユーティリティ、及びIB
M  VTAMなどの通信プログラムが含まれる。
ユーザのアプリケーション・プログラムは、特定のタス
クを実行するためにあるCFAPマクロを呼び出すステ
ートメントから構成される。上記のように、CFAPは
、アプリケーション・プログラムがCFに暗号動作を実
行するよう要求するために使える唯一のインターフェー
スである。たとえば、ユーザがファイルをネットワーク
」−の他のノードに送る前にそれを暗号化しようとして
いる。ユーザのアプリケーション・プログラムは、キー
を生成するためにCFAPマクロを呼び出ス1つのステ
ートメント、及び所与のキーでファイルのデータを暗号
化するために他のCFAPマクロを呼び出すもう1つの
ステートメントを有する。
ユーザのアプリケーション・プログラムのもう1つの例
は、」二記の導入プログラムと類似の、システム上でキ
ーの手動導入が可能なものである。
第3図は、複数システム通信環境で様々なアプリケーシ
ョンの間にキーを分配するための制御ベクトルの使用を
示す。互換性のために、いくつかのキーは制御ベクトル
なしで分配しなければならないことに留意されたい。
表記法 CB BC KM KEK *K (*)K D KK *KK KK。
*KK。
(*)KK。
*KKN I *KN cX xL xR 以下の表記法を本明細書で使用する。
電子コード・ブック 暗号ブロック連鎖 128ビツト・マスク・キー 128ビツト・キー暗号化キー 64ビツト・キー 128ビツト・キー 64または128ビツト・キー 64ビツト・データ暗号化キー 64ビツト・キー暗号化キー 128ビツト・キー暗号化キー オフセット64ビツト・キー暗号化キーオフセット12
8ビツト・キー暗号化キーオフセット64または128
ビツト・キー暗号化キー 128ビツト部分認証キー暗号化キー 128ビット認証キー、*KKNIoと等価64ビット
制御ベクトル 64ビツト左制御ベクトル 64ビツト右制御ベクトル XORまたはxor  排他的論理和演算Or    
  論理和演算 X゛0“    16進表記 11      連結演算 [x]      任意選択パラメータXnot=  
     不等号 Eまたはe   1重暗号化 りまたはd   1重非暗号化(復号化)EDEまたは
ede  3重暗号化 DEDまたはded  3重非暗号化(復号化)式  
     各命令の機能はII、I2.I3.I4.、
、、−一−01,02,03゜99.の形で数学的に示
される。
ただし、II、I2.I3は関数への入力であり、01
.乾。
03、、、、は関数からの出力である。
KM、Cx      (KH[、XORCx) 11
 (KMRXORCx)=KMY IIKMX。
ただし、KML=マスタ・キーKMの左64ビツト KMR=マスタ・キーKMの右64ビツト にMY−KMLXORCx KMX  =K14RXORCx e:KM、cx(key)   e:KM、cx(ke
y) =eK)4Y(dKMX(EKMY(key))
たたし、KMY  二K)IL XORCxKMX  
=KMRXORCx e:KEKn、cX(key)  e:KEKn、cx
(key) = eKEKY(dKEKX(eKEKY
(key)))ただし、KEKY =KEKnL XO
RCxLKEKX =KEKnRXORCxR key=64ビット・キー e:KM、cxl、(KEKnL) e:KM、cxl
、(KEKI、) =eKMY)dKMX(eKMY(
KEKnL)))ただし、KEKI、= KEKの左6
4 ビットKMY  =KML XORCxL KMX  :KMRXQRCxL e:KM、cxR(KEKnR) e:KH,cxR(
KEKR) =eK)JY(dKMX(eKMY(KE
KnR)))ただし、KEKR= KEKの右64 ビ
ットKMY  =K)IL XORCxR KMX  :KMRXORCxR e:KEKo(key)   e:KEKo(key)
 :eKEmo(dKEKRo(eKEKLo(key
)ただし、KEKLo = KEKL XORcntr
KEKRo = KEKRXORcntrcntr=K
EKの暗黙64ビツト・キー・メツセージ・カウンタ key  =64ビット・キー キーの暗号分離 本発明では、キーは、キー形式とキー使用属性に応じて
次のように暗号分離される。
1、このアーキテクチャは、暗号キーが規定された所期
の方法でしか使用できないことを保証する。
2、内部分離とオン・ザ・リンク分離。内部(すなわち
、暗号機構内)では、キーは制御ベクトルまたは他の適
切なまたは等価な機構によって分離される。
3、ハードウェア実施とソフトウェア実施。ある暗号分
離はハードウェアで実施される。他の暗号分離はソフト
ウェアを用いて実施できる。
4、制御ベクトル・キー・タイプと互換性モード・キー
・タイプ。互換性モード・キー・タイプで安全保護が低
下しないように、これら2つのクラスのキー・タイプの
生成、分配、使用を支配する数種の規則が課される。
5、本発明によってもたらされる必要なキー分離のリス
トを以下に列挙する。
a)データのプライバシ:MACVERとMACGEH
の分離。メールボックス、投票などの公開キー・プロト
コルを可能にする。
b) デー9MAC: MACVERとMACGEHの
分離。認証(電子署名と等価)を可能にする。
C)データXLATE :中間装置が暗号化データを非
暗号化(復号化)できない、安全な変換チャネルを確立
できる。
d)データCOMPAT :他のデータ・キーの安全保
護を弱めずに互換性モードを可能にする。
e)データANSI:どちらの手法の安全保護も喪失さ
せずにANSI  X9.17キー管理を非ANSI 
 X9.17キー管理と共存可能にする。
f)キー暗号化キー: KEK受信側とKEK送信側の
分離。
g)PINキー:PIN暗号化キーとPIN生成キーの
分離。
以下に示す表記法が第4図ないし第7図及び第1表で使
用される。
表記法: 分離文字と優先順位番号は、ボックス外の各線の付近に
置く。
分離文字は以下の記述に対応する。
優先順位番号の範囲(工ないし4)は以下のように解釈
するものとする。
1、絶対に必要 2、強く推奨される 3、推奨される 4、望ましい 基本キーの分離 第4図に、基本的暗号キーの分離を示す。分離の説明は
下記に示す。
1、A、データ・キーとKEK及びPINキーKD(デ
ータ・キー)がKEK及びPINから分離されない場合
、データ・キーと共に使用されるデータ非暗号機能を悪
用してKEKとPINを非暗号化(復号化)することが
できる。
2、B、キー暗号化キーとPINキー KEK (KEK暗号キー)がPINキーから分離され
ない場合、外部者が暗号化されたPINブロックを電話
で盗聴して、暗号化されたKDの代わりにそれを再試行
することが可能になる。前もって、内部の共犯者が、暗
号化され記憶されたKEKを受信側ノードの暗号キー・
データ・セット内の暗号化され記憶されたPINキーで
置換することができる。次いでPINブロックを回復し
、受信側ノードでデータ・キーとして使用する。その後
、このPINブロックをデータ・キーとして使って暗号
化されたデータは、PINの可変性(通常、10進法で
4ないし6桁)がランダム56ビツト・データ・キーよ
りずっと少ないので、キーの徹底的攻撃をずっと受けや
すくなる。
データ・キーの分離 第5図は、データ・キー分離の流れ図を示す。
この分離の理由は下記に示す。
1、A−認証とプライバシ 平文とMACキーで暗号化された当該の暗号テキストと
を収集できる内部者は、MAC処理手順に対して攻撃を
行なうことができる。たとえば、MACアルゴリズムに
よって認証され受け入れられる不正なメツセージ及びM
ACを構成することが可能となる。したがって、暗号化
/非暗号化(復号化)に使用するデータ・キーは、デー
タの認証に使用するべきではない。
リンク上では、傍受されたデータ・キーをMACキーの
代わりに使用できる場合、(そのデータ・キーによる)
伝送された暗号テキストを使って、不正なメツセージと
MACを構成することができる。
B−Xlate暗号テキストとプライバシ定義により、
X l a t e暗号テキストは、データ・キーの対
KDIとKD2の使用を暗示する。
その場合、KDlのもとて暗号化された暗号テキストが
KDIのもとて非暗号化(復号化)され、次いで呼出し
側アプリケーション・プログラムにデータをさらすこと
なくKD2のもとて再暗号化される。そうでないと、既
存の非暗号機能及び暗号機能を使ってX1ate暗号テ
キストが実行できることになる。
C−ANSIとその他すべて ANS Iキーは、キー分配用のそれ自体のプロトコル
と、ANSI  COMBINE  KEYと呼ばれる
追加の可能な用途をもつ。これらの相違により、すべて
のANSINS用に別のプールが必要となる。
D−データ互換性とその他すべて データ互換性キーは、IBM  CUSP/3848、
IBM  PCFM11BM4700など以前のシステ
ムと互換性をもたせるという要件のために存在する。こ
れらのシステムで実施された内部分離は、プライバシ・
キーからMACを分離するレベルまでは及ばないので、
これらのキーをこうした改良された分離レベルを支援す
るC■平キーら区別する必要がある。
2、B−MACGEN、!=MACVERメツセージと
MA、Cを誰が発信したかを「証明」するための監査証
跡をもたらす。この方法は、CFと同様に安全ではなく
、CFに記憶されたキーの保全性と安全保護に対する相
互信頼を前提としている。
3、C−暗号化と非暗号化(復号化) 暗号機能と非暗号機能の真の分離を行ない、したがって
同じデータ・キーのもとて非暗号化(復号化)する権利
を扱わずに、データをそのデータ・キーのも七で暗号化
できる。たとえば、暗号化のみのデータ・キーは、「秘
密投票」方式で使用できる。非暗号化(復号化)のみの
データ・キーは、ユーザがあるデータを読み取ることは
許可されているが書き込むことは許可されていない環境
で使用できる。
PINキーの分離 第6図は、PINキー分離の流れ図を示す。この分離の
理由は下記に示す。
1、A−PIN生成キーとPIN暗号化キーPINブロ
ックを有効ID値に等しくさせ、PIN暗号化キーでは
なくてPIN生成キーのもとて暗号化させることができ
る内部者が、PINをさらすことができる。
2、B−PIN生成機能とPIN暗号化機能PIN生成
中に、暗号化PIN属性により、平文PINを生成させ
るPIN生成キーを、暗号化されたPINを常に出力し
なければならないPIN生成キーから分離することが可
能になる。
3.0−PINブロック作成及びPIN生成とPIN再
フォーマット化、PIN検査及びPINXlate  
PIN暗号化キーをPIN再フォーマット化、PIN検
査及びPIN  X1ateなどの日常的PIN処理機
能と共に使用しても、PINキーが使用または作成され
、あるいはその他の方法でPINが電子速度でネットワ
ークに「導入」できるようにはならない。そうできるよ
うになれば、平文及び暗号化されたPINの辞書が電子
速度で収集されることが妨げられ、PINを直接非暗号
化(復号化)せずともPINを攻撃し回復することが可
能になってしまう。どこで、いつ、どんな条件のもとで
PINがシステムに導入されるかについて緊密な制御を
実施する必要がある。
−54= 4、D−PINブロック作成とPIN生成ネットワーク
内へのPINの導入に対してより大きな制御が実施でき
る。PINブロックを作成する要件をもつノードは、必
ずしもPINを生成する権利または必要をもたない。
5、E−PIN再フォーマット化及びPIN検査とPI
NのX1ate ネットワークへのPINの導入に対してより大きな制御
が実施できる。PINブロックを変換する要件をもつノ
ードは、必ずしもPINを再フォ−マツト化または検査
する権利または必要をもたない。後の2つの機能を組み
合わせて使って、外部攻撃を介してPINを駆使するこ
とができるが、X1ate  PIN機能は、いくつか
のノードが使用しても完全な処理能力を失うことはない
キー暗号化キーの分離 第7図は、キー暗号化キー分離の流れ図を示す。
分離の理由は、下記に示す。
1、A−認証と非認証 内部者は、キーのバリアントが旧オフセット・カウンタ
値に等しくなるように、オフセットと共に使用されるよ
う意図されたキーを、オフセット/認証なしに使用させ
ることができる場合もあり、逆に、キーのオフセットが
、暗号機構内で特権モードでまたは許可されたバリアン
ト表の入力項目によって作成または生成されるよう意図
されないバリアントに等しくなるように、非オフセット
/許可のためのみに使用されるよう意図されたキーを、
オフセット処理で使用させることができることもある。
2、B−CV  KEYと非CV  KEKCv暗号機
構によって実行される、他の非Cvネットワーク・ノー
ドを支援する暗号動作は、CVネットワーク・ノード安
全保護を弱めまたは減少させてはならない。たとえば、
Cvシステムは、非CV  IBM4700またはIB
M3848システムからのプライバシ・キーと認証キー
の搬入を支援しなければならない。すべての場合に、こ
れらのデータ・キーは共用される定義域間キーのバリア
ントOのもとで受け取れる。これらの非C■システムの
共用定義域間キーが、Cvシステム定定義域中キーら暗
号方式で分離されていない場合、(定義域間キーのバリ
アント0によって指定された)1つの目的のために意図
されたC Vcyctemデータ・キーを搬入し、(他
のバリアントによって指定された)別の目的のためにそ
れを変換することができる。
3.0−KEK送信者とKEK受信者 現IBM3848/CUSP及びIBM  PCFにあ
るのと同じ定義域間キーの一方向特性を維持する。また
、双方向KEKの無許可の作成を防止する際の制御を改
善する。
4 、 D−GENKEYSET/XLATEとRFM
K/GENKEYSET/LATE マスク・キー(またはマスク・キーのバリアント)のも
とで記憶された既存のデータ・キーの搬出を必ずしも可
能にはせずに、データ・キーの送出ツタめに: GEN
EKEYSETとLXATEをKEKが支援できるよう
にする。したがって、この特性が必要になるかまたは希
望されないかぎり、Cvシステムによって使用されたデ
ータ・キーが、搬出のためにさらされることはない。
5 、 E −GEHKEYSET (搬出のみ) /
XLATEとGEHKEYSET (汎用) 生成ノード内で生成されたデータ・キーを使用できるよ
うにせずに、ノードをキー分配センタ(KDC)または
キー変換センタ(KTC)として動作させる。
6、F−RTMKとIBM3848/CUSP (及び
互換システム)上のRFMK CVシステムと互換性があるIBM3848/CUSP
及び他のシステムの一方向性を支援する。
第1表は、キー分離の要約を示し、それらに相対する優
先順位を指定するものである。最高の優先順位は「1」
、最低の優先順位は「4」である。
第8図は、分離の流れを要約して示す。木の「葉」は、
個々のタイプのキーを使用する暗号命令を示す。
制御ベクトル 制御ベクトルの概念 制御ベクトルとは、キーの使用の制御用の64ビツトの
秘密でない暗号変数である。暗号システムに対して定義
された各キー■くは、関連制御ベクトルCを有し、すな
わち、キーと制御ベクトルで集合(K、C)を定義する
各制御ベクトルは、CVタイプを指定する。CVタイプ
は、キーの使用方法とキーのリンク上での通信方法を支
配する規則とを広く定義する。キーは、データ・キー、
送信側のキー暗号化キー、受信側のキー暗号化キー、P
IN暗号化キー、PIN生成キー、中間ICV1キ一部
分またはトークンでよい。制御ベクトル中の追加ビット
は、どの暗号命令とパラメータ入力でキーが動作するか
を正確に指定する。他のビットは、キーの搬出、すなわ
ち、キーが搬出されるかどうかを制御する。
制御ベクトルは、特殊な暗号機能を介してキーに暗号方
式で結合される。たとえば、Kがキー記憶機構に記憶さ
れるとき、Kは制御ベクトルをマスク・キーと排他的論
理和を取ることによって形されるキーのもとて暗号化さ
れる。すなわち、Kは集合(eKM、c (K) 、C
)として記憶される。ただし、KM、CはKM xor
 Cを示ず。Kがリンク上で(装置間を)伝送されると
き、類似の暗号化された形が使用される。この場合は、
マスク・キーKMの代わりにキー暗号化キーKEKが使
用される。
ただし、KEKは送信側と受信側の間で共用されるキー
である。すなわち、Kは集合(eKEK、C(K) 。
C)として伝送される。このアーキテクチャでは、その
値が文脈から暗黙に定義され、あるいは利用可能なキー
関連情報から再構成可能である状況で制御ベクトルをキ
ーと共に記憶または伝送する必要がない。
制御ベクトル(C)は、暗号化された形eKM、c(K
)  またはeKEK、C(K)  を介してキー(K
)に緊密に結合されているので、Cが正しく指定されな
いかぎり、Kをその暗号化された形から回復できないこ
とは明らかである。すなわち、要求された暗号命令に対
する入力として集合(EKM、C(K) 、C)が供給
される場合、暗号機構はまずCの供給値を検査して、キ
ーの要求された使用が許可されていると判定する。その
後で始めて、Cを使ってeKM。
C(K)を非暗号化(復号化)して、暗号機能の内部の
I(の平文値が回復される。偽りの値C*が指定された
場合、暗号機構は一時的にだまされてC*を受け入れる
が、Kは適切に回復されない。すなわち、Cの正しい値
も指定されないかぎり、ユーザがKの正しい値を回復す
ることはできない。したがって、この暗号原理は、アー
キテクチャ全体の組立ての基礎である。必要に応じてま
た適切な場合、追加の安全保護が設けられる。
制御ベクトルは、暗号キーの使用属性を定義するための
コンパクトなデータ構造である。制御ベクトルは、暗号
処理を介してキーに暗号方式で結合されている。この処
理は、制御ベクトルが正しく指定された場合だけ、キー
が適切に非暗号化(復号化)できるようになっている。
(制御ベクトルのビットが変わっても全く異なるキーが
回復されてしまう。) CV恍査 制御ベクトルは、C■検査が最小限ですむように設計さ
れている。制御ベクトル使用ビットは、各使用属性自体
が特定の使用を許可または否定するように定義され構成
されている。すなわち、データ暗号命令によってデータ
を暗号化する能力が、制御ヘクトル内の単一「暗号化」
ビットによって制御される。そのタイプ/サブタイプは
「データ/プライバラ」である。
すなわち、各使用属性が他のすべての使用属性から独立
して定義される。このため、各命令が要求された機能に
よって呼び出された使用属性だけを検査するようなCV
検査処理が保証される。他の何らかの属性が使用可能ま
たは使用不可能になるときだけ使用属性が使用可能にな
るような設計は、Cv検査を増加させるので特に回避さ
れる。
2つ以」−の制御ベクトルの間での属性の相互検査が必
要であるが、最小限に抑えられる。
C■検査を容易にし単純にするために、各暗号命令に、
必要な場合、その命令に対するパラメータとして渡され
るキーの特定の使用を宣言する「モード」パラメータが
渡される。すなわち、C■検査処理で、指定された「モ
ード」に従って各制御ベクトルが検査される。このため
、整合性を確保するために制御ベクトル属性の間でコス
トのかかる相互検査を行なう必要がなくなる。
この設計はまた、どんな暗号命令も制御ベクトルを生成
しないという原理にも従っている。すべての制御ベクト
ルは、パラメータ入力として暗号命令に供給される。
可能な場合、Cvタイプに関わらず、同じ使用属性とフ
ィールド定義が、制御ベクトル中の同じビット位置に配
置される。そのため、CV検査が容易になる。たとえば
、データ/ブライバクCVに対する使用ビットがE″及
びD″で、データ/xlate  CVに対する使用ビ
ットがX0UT″とXIN″であるとしても、暗号テキ
スト変換命令は、データ/プライバク制御ベクトル及び
データ/xlate制御ベクトル中の同じビット位置を
照会する。
CV槽構 造般に、(形式、フィールド及びビット指定を含めて)
制御ベクトルの構造は、Cv@査を最小に抑え容易にし
、同時に、暗号安全保護をもたらすように定義されてい
る。Cv槽構造、いわば、設計過程における自由度が最
大の変数である。
以下に示す設計任意選択が制御ベクトルで使用される。
1、垂直分離。制御ベクトルは、バリアントによって行
なわれる分離と同様に、制御ベクトル構造内での垂直分
離をもたらす「Cvタイプ」フィールドを有する。制御
ベクトルのタイプは直感によって定義され、既存のキー
用語とキー管理に従う。
しかし、垂直分離は、CAのもとて必要な場合にしか実
施されず、したがってCV検査規則のアーキテクチャが
簡単になり、かつ理解しやすくなる。
まず、CV主タイプ(たとえば、データ・キーキー暗号
化キー、P工Nキー)の広いクラスを定義し、次に、C
vタイプ内のCvサブタイプと使用属性を定義すること
により、CV検査規則を、「分割統治」式探索が力づく
の方法より効果的なのと同様に最適化できる。
2、水平分離。制御ベクトルは、キーに関連する使用属
性(またはその他の暗号変数)を記録するためのデータ
構造として理想的である。CA内では、これは、キーが
入力として使用されるあらゆる暗号命令に対する制御ベ
クトルのビット(あるいは複数のキー・パラメータが関
与する場合、命令内のキー・パラメータ)を指定するこ
とによって行なう。1″のビット値は、キーの使用がC
Fによって「使用可能」にされることを示し、0″のビ
ット値は、キーの使用がCFによって「使用不可能」に
されることを示す。この形の制御ベクトル構造化は水平
分離と呼ばれる。
3、コード化フィールド。複数ビットのフィールドはし
ばしば安全保護上の理由でコード化される。
コード化されたフィールドは、個々のビットがそれ自体
は重要でないが、ビット全体で可能な1組の値を定義す
るという特徴をもつ。コード化フィールドは、−時に1
つの値しか取れないので、相互に排他的な事象を定義す
るという利点をもつ。コード化フィールドは、Cv検査
が性能の点から必ずしも最適化されないという潜在的欠
点をもつ。しかし、暗号攻撃を起こしあるいは何らかの
暗号の弱点を導入する、不適切な組合せで使用属性を混
合できないようにするために、コード化フィールドが必
要となることが多い。
4、非システム生成キーからの保護。制御ベクトルとキ
ーを結合するこの方法は、C■検査で非システム生成キ
ーから(KGENまたはGKSを用いて)システム生成
キーを検出できないようになっている。このため、この
アーキテクチャ内に、キーと制御ベクトルを生成するr
バック・ドア」法がある。この方法は、「好みの」制御
ベクトルと乱数を定義するものである。乱数は、選択さ
れた制御ベクトルを用いるアーキテクチャのもとで記述
された方式で暗号化されたキーとして表される。
(ただし、この方法は、暗号機構内で実際に回復された
キーを制御する能力はない。) いわゆる「バック・ドア」キー生成法は、追加の防御手
段をアーキテクチャ内で講じなかった場合に暗号攻撃が
可能になることもあるが、主として面倒である。この「
バック・ドア」キー生成を(−度たけ)除去するアーキ
テクチャを定義するのは簡単なことであるが、そうすれ
ば、保証されない追加の複雑さと処理が導入されること
になる。
CAは、より実際的な方法に従う。すなわち、安全保護
」二の理由で必要な場合にだけ「バック・ドア」キー生
成の問題が防止される。すなわち、安全保護、複雑さ及
び性能の間でうまく均衡がとられる。「バック・ドア」
キー生成法によって導入される暗号上の弱点を回避する
技術は以下の通りである。
a)必要な場合、単一制御ベクトル内の競合する使用属
性が2つの制御ベクトル間で分割される。
GKS命令は、キ一対のいわゆる不良組合せが生成され
ないよう検査する。
b)必要な場合、単一制御ベクトル内の競合する使用属
性が、単一コード化フィールドにまとめられる。
C)最後の手段として、余分の冗長性を使ってCFがそ
れ自体のシステム生成キーの妥当性検査を行なえるよう
にする。
5、制御ベクトルの偶数パリティ。制御ベクトルに対し
て偶数パリティが実施される。このため、奇数パリティ
・キーを制御ベクトルと排他的論理和を取ると、内部キ
ーが奇数パリティとなる。そのために、(こうした検査
が実施される場合)こうした内部誘導キーが奇数パリテ
ィかどうか検査するハードウェアとの互換性が確保され
る。別の言い方をすると、CAは、ハードウェアが内部
キーでこの奇数パリティを実施しないようにすることが
できない。
0ないし63の番号をつけた64個のビットからなる制
御ベクトル。規約により、最上位ビットはビット0であ
る。64ビツトのうち、8つのパリティ・ビットがある
6、反バリアント・ビット。これは、ノード内部での一
部の実施態様では混合することが避けられないバリアン
トと制御ベクトルの間の暗号分離を保証する。
7、上へのマツピングの回避。この制御ベクトルの設計
と、暗号命令セットによる制御ベクトルの操作により、
複数の値をもっCVフィールドが単一値にマツプされる
インスタンスが回避される。
こうした上へのマツピングの特定のインスタンスは、安
全保護が損なわれる危険がない場合(たとえば、LCV
A、RFMK及びRTMK命令)に認められる。
CFAP制御 制御ベクトルのいくつかのビットは、CFAP用に予約
されている。これらのビットは、今後のキー管理制御の
ためにCFAPが使用できる。これらのビットは、CF
によって検査されず、cFAPによって完全に管理され
る。
制御ベクトルの一般形式 第2表は、制御ベクトルの一般形式を示す。第2表の第
1行は、制御ベクトルの大半に共通なフィールドを示す
。それらのフィールドを、以下に要約して説明する。(
詳細は以後の小項目に示す。) *CVタイプ このフィールドは、制御ベクトルのタイプを示し、この
制御ベクトルが関連するキーのキー・タイプでもある。
CVタイプ・フィールドは主タイプとサブタイプから構
成される。
制御ベクトルの主タイプは以下の通りである。
データ・キー データ・キーはデータを暗号化/非暗号化(復号化)し
データを認証するのに使用される。
PINキー PINキーは、PINを暗号化しPINを生成するのに
使用される。
キー暗号化キー キー暗号化キーはキーを暗号化するのに使用される。
キ一部分 キ一部分はキーの一部または構成要素であり、キーと同
じ長さをもつ。たとえば、キーには、KaXORKb 
=にとなる2つのキ一部分Ka とKb をもつことが
できる。
中間ICV 中間ICVは、MAC処理中にデータまたはメツセージ
のセグメントの中間出力連鎖値を暗号化するために使用
される。このOCVは、次いでデータの次のセグメント
に送られてIC■として使用される。それが行なわれる
のは、それに対するMACが生成または検査されるメツ
セージまたはデータが長すぎて、短いセグメントに分割
しなければならない場合である。
トークン トークンは、データ・キー・データ・セット(データ・
キー用のキー記憶機構)に記憶されたデータ・キーの保
全性を保護するために使用される変数である。これは、
無許可のユーザがデータにアクセスするのを防止するの
に役立つ。
サブタイプは、同じ主タイプのキーのクラスを区別する
ためのものである。たとえば、データ・キーという主キ
ー・タイプのキーは、プライバシ(暗号化と非暗号化(
復号化)を行なうことができる) 、MAC(データ認
証を実行することができる)、データXLATE (暗
号テキストを変換することができる)、などのサブタイ
プをもつことができる。サブタイプが区分されないとき
、キーは通常主タイプの名前(たとえば、データ・キー
PINキーなど)で呼ばれる。
*搬出制御 このフィールドは、この制御ベクトルに関連するキーの
搬出がどのように制御されるか、及びキーの搬出が許可
されるかどうかを示す。
*CF強制使用 このフィールドは、キーがどのCA機能に使用できるか
、及びそれが使用される方法を示す。たとえば、データ
・プライバシ・キーは、そのキーがデータの暗号化及び
非暗号化(復号化)を行なうための暗号化機能及び非暗
号化機能で使用できることを示す使用属性E=1とD=
1を有する。
*AV (反バリアント) このフィールドは、バリアントに基づく暗号システムで
使用される、64個の事前定義されたバリアントから任
意の有効制御ベクトルを区別する。
64個の事前定義バリアントのうちのどのバリアントの
8バイトもすべて同じなので、制御ベクトルの少なくと
も2バイトが同一でないようにAVフィールドの値を設
定すると、有効制御ベクトルが事前定義バリアントから
区別される。
*ソフトウェア・ビット このフィールドは、CFAPによって完全に制御/管理
される制御ベクトル・ビットを表す。ソフトウェア・フ
ィールドはハードウェア(CF)によって検査/実施さ
れない。制御ベクトルがないときは、CFAPは(通常
マクロ中のパラメータを介して)CFAPに供給される
情報から制御ベクトルを作成する。制御ベクトルがすで
に存在しているときは、CFAPは(ソフトウェア・フ
ィールドを含む)制御ベクトルを検査して、そのキーが
指定/要求された方式で動作できるかどうか判定する。
ソフトウェア(CFAP)とは異なり、ハードウェア(
CF)は、CA命令に関連するビットだけを検査する(
他の使用ビットは検査されない)。
*拡張 このフィールドは、制御ベクトルが64ビツトの制御ベ
クトルかそれとも128ビツトの拡張制御ベクトルかを
示す。現在のCAでは、すべての制御ベクトルは長さ6
4ビツトである。制御ベクトルを指定するのに必要なビ
ットの数がb4ビット長を超えるとき、将来制御ベクト
ルを拡張しやすくするため、このフィールドが定義され
る。
*予約ビット このフィールドは将来の使用のためにシステムに予約さ
れている。
*パリティ・ベクトル すべてのパリティ・ビットは、バイトの先行する7ビツ
トの偶数パリティである。
キー暗号化キー制御ベクトルでは、上記の共通のフィー
ルドの他に、2つの追加フィールド、KEY FORM
及びLINK C0NTR0Lがある。
*キー形式 このフィールドは、キーの長さ(単長または倍長)及び
制御ベクトル・キーに関連するキーの半分がキーの右半
分か左半分かを示す。単長キーでは、右半分は左半分と
同じで、キー自体であることに留意されたい。
*リンク制御 このフィールドは、この制御ベクトルに関連するキー暗
号化キーを使ってリンク上で他のキーがどのように伝送
されるか、及びこのキー暗号化キーのもとで、どのタイ
プのシステム(たとえば、CVシステムまたは非Cvシ
ステム)との間でキーが送受できるかを示す。
本節の一般的な表及び参照する他の表の第2行及び第3
行の記述は、制御ベクトルの一部ではないことに留意さ
れたい。それらの記述は、制御ベクトルの各フィールド
に次のような情報を示すためにそこに置かれている。
第2行は、フィールドのビット長を示す。略語rbJは
「ビット」を表す。たとえば、1bは1ビツトを表し1
.3bは3ビツトを表し、以下同様である。
第3行は、そのフィールドがハードウェア(CF)によ
って検査されるかそれともソフトウェア(CFAP)に
よって検査されるかを示す。
データ・キー用制御ベクトルの形式 データ・キーは以下のサブタイプに分かれる。
データ互換性キー。これは、IBM3848/CUSP
またはIBM4700FC8などの既存システムとの互
換性を維持するために使用されるデータ・キーである。
これらの既存システムはプライバシと認証の間の暗号分
離を行なわないので、このキーは、MACの暗号化、非
暗号化(復号化)、生成及び検査などの機能のいずれか
またはすべてを実行するのに使用できる。この制御ベク
トルは、それが(RFMK命令を用いて)他のシステム
に搬出されるとき除去できる(すなわち、オン・ザ・リ
ンクでCV=Oと置換できる)が、ANS Iデータ・
キーを除く他のすべてのデータ・キー用の制御ベクトル
は除去できない。
プライバシ・キー。これは、暗号化または非暗号化(復
号化)のためにだけ使用されるキーである。
MACキー。これは、データ認証のためにだけ使用され
るキーである。すなわち、これはMACの生成または検
査にしか使用できない。
データ変換キー(データ互換性キー)。これは暗号テキ
ストの変換で使用されるキーである。
ANSIキー。これは、ANSIアプリケーションで使
用されるキーである。これは、データの暗号化及び非暗
号化(復号化)またはMACの生成及び検査に使用でき
る。また、他のANSIキーと組み合わせてANSI 
 MACキー(すなわち、MAC生成/検査機能をもつ
データ互換性キー)を形成することもできる。この制御
ベクトルは、ARFMK命令を用いて他のシステムに搬
出されるとき除去できる(すなわち、オン・ザ・リンク
でCV=Oと置換できる)が、互換性キーを除く他のす
べてのデータ・キーの制御ベクトルは除去できない。
制御ベクトルのCVサブタイプに応じて、US=77 AGEフィールドの各ビットは以後に記載する特定の意
味をもつ。
プライバシ・キー用制御ベクトル 第3表を参照して、この表の各フィールドとサブフィー
ルドの詳細な説明を以下に示す。
*Cvタイプ プライバシ・キー用のCvタイプ(主タイプ二″DAT
A  KEY”、サブタイプ=”PRIVACY″) *搬出制御(このキーの搬出を制御する):このフィー
ルドは1ビツトを占める。
EXPORT C0NTR0L = 1 :このキーは
RFMKによって搬出できる。また、RFMK、RTM
K及びLCVA命令でこのビットを0にリセットできる
EXPORT C0HTROL −0:このキーはRF
MKによって搬出できない。また、どの命令によっても
1に変更できない。
例として、ノードXがキーにと制御ベクトルCを生成し
、それらをノードYに送るものと仮定する。
水使用 a)E E−1=このキーは、データを暗号化するために暗号命
令中で使用できる。
E:0:このキーは、データを暗号化するために暗号命
令中で使用できない。
b)D D=1=このキーは、データを非暗号化(復号化)する
ために非暗号化命令中で使用できる。
D=0 :このキーは、データを非暗号化(復号化)す
るために非暗号化命令中で使用できない。
*AV (反バリアント) このフィールドは2ビツトを占め、バリアントに基づく
暗号システムで使用される64個の事前設定バリアント
から制御ベクトルを区別するのに使用される。64個の
事前定義バリアントのうちのどのバリアントの8バイト
もすべて同じなので、制御ベクトルの少なくとも2バイ
トが同じでないようにAVフィールドの値を設定すると
、有効制御ベクトルが事前設定バリアントから区別され
る。
*ソフトウェア・ビット このフィールドは12ビツトを占める。
a)CVバージョン このフィールドは、長さ6ビツトで、現在の制御ベクト
ルの定義を将来の定義から区別するためにCFAPによ
って使用される。
b)ソフトウェア二強制使用 CFAPの節も参照のこと。
CVDPIM(制御ベクトル・データ・プライバシIc
v必須) CVDPCU (制御ベクトル・データ・プライバシC
Usp) CVDP47 (制御ベクトル・データ・プライバシ4
700) CVDPM8 (制御ベクトル・データ・プライバシ8
の倍数) *拡張 このフィールドは、制御ベクトルが64ビツトの制御ベ
クトルかそれとも64ビツトを超える拡張制御ベクトル
かを示t。
*予約ビット このフィールドは、将来の使用のためにシステムに予約
されている。
*パリティ このフィールドは、制御ベクトルのすべてのバイトの最
後のビットから構成される。各バイトのパリティ・ビッ
トは、そのバイトに対する偶数パリティをもたらすよう
に設定される。
MACキー用制御ベクトル 第4表を参照する。この図の各フィールドとサブフィー
ルドの詳細な説明を以下に示す。
*Cvタイプ: MACキー用のCVタイプ(主タイプ=:DATA  
KEY″、サブタイプ=”MAC”)*搬出制御(この
キーの搬出を制御する)プライバシ・キーの説明と同じ
水使用 a)MG MG=lこのキーは、データに対するMACを生成する
ためにGMAC命令中で使用することができる。
MG=OSこのキーは、データに対するMACを生成す
るためにGMAC命令中で使用することができない。
b)MV MV=lこのキーは、データに対するMACを検査する
ためにVMAC命令中で使用することができる。
MV=0:このキーは、データに対す°るMACを検査
するためにVMAC命令中で使用することができない。
*AV (反バリアント) プライバシ・キーの説明と同じ。
*ソフトウェア・ビット このフィールドは12ビツトを占める。
a)CVバージョン−同じ説明 b)ソフトウェア強制使用 CFAPの節も参照のこと。
CVD肛4(制御ベクトル・データMACLEH=4)
CVDM99 (制御ベクトル・データMACMODE
 =ANSI X 9.9) CVDM19 (制御ヘクトルーデータ14ACMOD
E =ANSI X 9.19) CVDMOO(制御ペクト)Lt−データMACMOD
E =IBM4700 ) CVDM30 (制御ヘクト7L/−データMACMO
DE =IBM 4730) *拡張 プライバシ・キーの説明と同じ。
*予約ビット プライバシ・キーの説明と同じ。
*パリティ・ビット プライバシ・キーの説明と同じ。
データ互換性キー用制御ベクトル 第5表を参照する。この表の各フィールドとサブフィー
ルドの詳細な説明を以下に示す。
*Cvタイプ CVタイプ=データ互換性キー用(主タイプ=”DAT
A  KEY”、サブタイプ:”COMPATIBIL
ITY”) *搬出制御 プライバシ・キーの説明と同じ。
*使用 a)E −E=lこのキーは、データを暗号化するために暗号命
令中で使用できる。
E=0:このキーは、データを暗号化するために暗号命
令中で使用できない。
b)D D=1=このキーは、データを非暗号化(復号化)する
ために非暗号化命令中で使用できる。
D=O:このキーは、データを非暗号化(復号化)する
ために非暗号化命令中で使用できない。
c)MG MG=lこのキーは、データに対するMACを生成する
ためにGMAC命令中で使用できる。
MG=O:このキーは、データに対するMACを生成す
るためにGMAC命令中で使用できない。
d)MV MV=1=このキーは、データに対するMACを検査す
るためにVMAC命令中で使用できる。
MV=O:このキーは、データに対するMACを検査す
るためにVAMC命令中で使用できない。
*AV (反バリアント) ブライバシ・キーの説明と同じ。
*ソフトウェア・ビット このフィールドは12ビツトを占める。
a)CVバージョン プライバシ・キーの説明と同じ。
b)ソフトウェア強制使用 *拡張 プライバシ・キーの説明と同じ。
*予約ビット プライバシ・キーの説明と同じ。
*パリティ・ビット プライバシ・キーの説明と同じ。
データXLATEキー用制御ベクトル 第6表を参照する。この表の各フィールドとサブフィー
ルドの詳細な説明を以下に示す。
*CVタイプ データXLTAEキー用のCvタイプ(主タイプ=″D
ATA  KEY″、サブタイプ=″XLATE″) *搬出制御(このキーの搬出を制御する)プライバシ・
キーの説明と同じ。
*使用 a)XDout XDout=i:このキーは、暗号テキスト変換命令中
で出力データ・キーとして使用することができる。
XDou t=o :このキーは、暗号テキス86一 ト変換命令中で出力データ・キーとして使用することが
できない。
b)XDin XDin−1:このキーは、暗号テキスト変換命令中で
入力データ・キーとして使用することができる。
XD i n=o :このキーは、暗号テキスト変換命
令中で入力データ・キーとして使用することができない
*AV (反バリアント) プライバシ・キーの説明と同じ。
*ソフトウェア・ビット このフィールドは、12ビツトを占める。
a)CVバージョン b)ソフトウェア強制使用 なし。
*拡張 プライバシ・キーの説明と同じ。
*予約ビット プライバシ・キーの説明と同じ。
*パリティ・ビット プライバシ・キーの説明と同じ。
ANSIデータ・キー用制御ベクトル 第7表を参照する。この表の各フィールドとサブフィー
ルドの詳細な説明を以下に示す。
*Cvタイプ データANSIキー用のCvタイプ(主タイプ=v′D
ATA KEY″、サブタイプ=″ANS工?′) *搬出制御 ブライバシ・キーの説明と同じ。
*使用 a)E E=1=このキーはデータを暗号化するために暗号命令
中で使用できる。
E=0:このキーはデータを暗号化するために暗号命令
中で使用できない。
b)D D=1:このキーは、データを非暗号化(復号化)する
ために非暗号化命令中で使用できる。
D=0:このキーは、データを非暗号化(復号化)する
ために非暗号化命令中で使用できない。
c)MG MG=1:このキーは、データに対するMACを生成す
るためにGMAC命令中で使用できる。
MG=O:このキーは、データに対するMACを生成す
るためにGMAC命令中で使用できない。
d)MV MV=1:このキーは、データに対するMACを検査す
るためにVMAC命令中で使用できる。
MV=O:このキーは、データに対するMACを検査す
るためにVMAC命令中で使用できない。
e)ACMB このビットは、データ・キーをACOMBKD属性をも
つ他のデータ・キーと排他的論理和を取ることができる
ことを示す。排他的論理和処理は、後でANSI  K
D結合(ACOMBKD)”の節で述べるように、AC
OMBKD命令によって実行される。その結果得られる
キーは、ANSI  X9.17プロトコルを用いて通
信されるメツセージのMACを検査し生成するために使
用される。
ACMB=1:このデータ・キーは、ACMB命令中で
結合できる。
ACMB=0 :このデータ・キーは、ACMB命令中
で結合できない。
*AV (反バリアント) プライバシ・キーの説明と同じ。
*ソフトウェア・ビット a)CVバージョン プライバシ・キーの説明と同じ。
b)ソフトウェア強制使用 なし。
*拡張 プライバシ・キーの説明と同じ。
零予約ビット プライバシ・キーの説明と同じ。
*パリティ・ビット プライバシ・キーの説明と同じ。
PINキー用制御ベクトルの形式 PINキーは以下に示すサブタイプに分かれる。
PIN暗号化キー(PEK) これらのキーは、PINを暗号化するのに使用されるキ
ーである。
PIN生成キー(PGK) これらは、PIHを生成するのに使用されるキーである
。PGKはPIHの妥当性検査/検査を行なうのに使用
されるので、場合によってはPIN妥当性検査キーと呼
ばれることもある。
PIN暗号化キー用制御ベクトル 第8表を参照する。この表の各フィールドとサブフィー
ルドの詳細な説明を以下に示す。
*CVタイプ PIN暗号化キー (PEK)用のCvタイプ(主タイ
プ=″PINキー 、サブタイプ二″PIN暗号化キー *搬出制御 プライバシ・キーの説明と同じ。
*使用 a)PINBLK作成 CREATE PINBLK=1 :このキーは、ピン
・ブロック作成命令中でPINブロックを暗号化するこ
とができる。
CREATE PINBLK=O:このキーは、ピン・
ブロック作成命令中でPINブロックを暗号化すること
ができない。
b ) GINPIN GENPIN=1 :このキーは、ピン生成命令中で入
力顧客PIN(CPIN)を暗号化することができる。
GENPIN=0 :このキーは、ピン生成命令中で入
力顧客PIN(CPIN)を暗号化することができない
c )VERPIN VERPIN=1 :このキーは、ピン検査命令に対す
るPIN入力を暗号化することができる。
VERPIN=O:このキーは、ピン検査命令に対する
PIN入力を暗号化することができない。
d)XPIN  1n XPIH1n=1 :このキーは、ピン変換命令中で入
力PINを暗号化することができる。
xPINin=1=このキーは、ピン変換命令中で入力
PINを暗号化することができない。
e)XPIN  out XPIHout=1 :このキーは、ピン変換命令中で
出力PINを暗号化することができる。
XPIHout=o :このキーは、ピン変換命令中で
出力PINを暗号化することができない。
*AV (反バリアント) プライバシ・キーの説明と同じ。
*ソフトウェア・ビット このフィールドは12ビツトを占める。
a)CVバージョン プライバシ・キーの説明と同じ。
b)ソフトウェア強制使用 なし。
*拡張 プライバシ・キーの説明と同じ。
*予約ビット プライバシ・キーの説明と同じ。
*パリティ・ビット プライバシ・キーの説明と同じ。
PIN生成キー用制御ベクトル 第9表を参照する。この表の各フィールドとサブフィー
ルドの詳細な説明を以下に示す。
*CVタイプ PIN生成キー用のCVタイプ(主タイプ=”PINI
−”、サブタイプ=”PIN生成生成キー 水搬出制御 プライバシ・キーの説明と同じ。
水使用 a)GENP  I N このフィールドは2ビツトを占め、そのもとでキーがピ
ン生成命令中でPINまたはPINオフセットを生成す
ることができる状態を示す。
GENPIN=B’OO’ : P I NまたはPI
Nオフセットを生成することができない。
GENPIN=B’01’ :平文PINまたは平文P
INオフセットを生成することができる。
GENPIN=B′10′:暗号化されたPINまたは
暗号化されたPINオフセットを生成することができる
GENPIH=B ’ 11°:平文または暗号化され
たPINまたはPINオフセットを生成することができ
る。
b)GPIN このビットは、顧客が選択したPIN(CPIN)を、
平文PINまたは暗号化PINの形でGENPIN命令
に入力できるかどうかを示す。
GPIN=O:平文または暗号化PINが入力できる。
GPIN=1 :暗号化PINだけが入力できる。
c)VERPIN このビットは、そのキーがPIN妥当性検査キーとして
ピン検査命令中のPINを検査するのに使用できるかど
うかを示す。
VERPIN=1 : P I N (7)検査に使用
できる。
VERPIN=0 : P I Nの検査に使用できな
い。
d)VPIN このビットは、ピン検査命令中で検査されるPINを、
平文PINまたは暗号化PINの形で命令に入力できる
かどうかを示す。
VPIN=O:平文または暗号化PINが入力できる。
VPIN=1 :暗号化PINだけが入力できる。
*AV (反バリアント) プライバシ・キーの説明と同じ。
このフィールドは12ビツトを占める。
*ソフトウェア・ビット a)CV  VER8I ON プライバシ・キーの説明と同じ。
b)ソフトウェア強制使用 なし。
*拡張 プライバシ・キーの説明と同じ。
零予約ビット プライバシ・キーの説明と同じ。
*パリティ・ビット プライバシ・キーの説明と同じ。
キー暗号化キー用制御ベクトルの形式 キー暗号化キーは以下のサブタイプに分がれる。
−KEK (キー暗号化キー)送信側 このタイプのKEKはキーの送信または搬出に使用され
る。
−KEK受信側 このタイプのKEKはキーの受信または搬入に使用され
る。
KEK  ANSI このタイプのキーは、AHSI X9.17キー管理環
境である。
KEK送信側用制御ベクトルの形式 第10表を参照する。この表の各フィールドとサブフィ
ールドの詳細な説明を以下に示す。
零CVタイプ KEK送信側用のCVタイプ(主タイプ=”キー暗号化
キー(KEK)″、サブタイプ=”送信側*搬出制御 プライバシ・キーの説明と同じ。
本使用 a)GKS このフィールドは3ビツトを占め、そのキーがGKS命
令のモード、搬入−搬出、動作−搬出及び搬出−搬出の
いずれかに搬出キーとして関与できるかどうかを示す。
ビットO:搬入−搬出モード これは、GKS命令がキーの2コピーを生成し、搬出コ
ピーと呼ばれる一方のコピーは、後で生成ノードによっ
て搬入される形であり、搬出コピーと呼ばれる他方のコ
ピーは、別のノードに送られる形である。
−ビット0=1=このキーは、Im−Ex (搬入−搬
出)モードで生成されたキーの搬出 コピーを送ることができる。
ビット0=0:このキーは、1o−Ex (搬入搬出)
モードで生成されたキーの搬出 コピーを送ることができない。
ビット1:動作−搬出モード このモードは、GKS命令がキーの2コピーを生成し、
一方のコピーは局所使用のためのもの(動作コピー)で
、他方のコピーは他のノードに送られる形(搬出コピー
)である。
−ビット1=1:このキーは、0p−Ex (動作−搬
出)モードで生成されたキーの搬出 コピーを送ることができる。
−ビット1=1:このキーは、0p−Ex (動作−搬
出)モードで生成されたキーの搬出 コピーを送ることができない。
ビット2:搬出−搬出モード このモードは、GKS命令がキーの2コピーを生成し、
各コピーは異なるノードに送られる形である。
−ビット2:l:このキーは、Ex−Ex (搬出−搬
出)モードで生成されたキーの搬出 コピーの1つを送ることができる。送 られるコピーは、GKS命令中のパラ メータで指定される。
−ビット2=0:このキーは、搬出−搬出モードで生成
されたキーを送ることが できない。
b)RFMK このフィールドは1ビツトを占める。
RFMK=1 :このキーは、RFMK命令を用いて他
のノードにキーを搬出できる。
RFMK=O:このキーは、RFMK命令を用いて他の
ノードにキーを搬出することができない。
c)XLTKEY  o u t XLTKEY oucl:このキーは、他のキーのもと
て以前に暗号化されたキーを再暗号化するためにTRA
NSLAT  KEY命令中でKEKとして使用できる
XLTKEY out=1 :このキーは、他のキーの
もとで以前に暗号化されたキーを再暗号化するためにT
RANSLAT  KEY命令中でKEKとして使用で
きない。
*KEK形式 このフィールドは2ビツトを占め、KEKが短キー(す
なわち、単長)かそれとも長キー(すなわち、倍長)か
、及びそれがキーの右半分かそれとも左半分かを示す。
*リンク制御 このフィールドは2ビツトを占め、このKEKがリンク
上でキーを送受するのに使用される方法を示す。
LI14K C0NTR0L=B’OO’ :適用され
ない。
LINK C0NTR0L=8’01’ : CVノミ
。すなわち、送られるキーには、このKEKとキーKに
関連する制御ベクトルの排他的論理和を取って形成され
たキーのもとて暗号化されなければならない。明らかに
、このタイプのリンク環境またはチャネルは、両方の通
信ノードがCAを実施するノードであるとき、キーの交
換に適している。
LINK C0NTR0L=B’lO°: CV=Oの
み。すなわち、送られるキーには、KEKと非ゼロの制
御ベクトルの排他的論理和を取って形成されたキーでは
なく、このKEKのもとて暗号化される。このタイプの
チャネルは、受信側ノードと送信側ノードのどちらか一
方が非C■ノードのときに適している。
LINK C0NTR0L=B’ll°:CvまたはC
v=0゜すなわち、送られるキーには、KEKのみのも
とで暗号化されたものでも、またKEKとキーKに関連
する制御ベクトルの排他的論理和を取って形成されたキ
ーのもとて暗号化されたものでもよい。このタイプのチ
ャネルは、CA環境で走行するアプリケーションを除い
て、制御ベクトルを認識しない既存の一部のアプリケ−
シロンをもつCAノードに適している。制御ベクトルを
認識しない既存のアプリケーションでは、ノードは、K
EKのみのもとで暗号化されたキーを搬出する。CA環
境で走行するアプリケーションでは、ノードは、KEK
と送られるキーに関連する制御ベクトルの排他的論理和
を取って形成されたキーのもとて暗号化されたキーを搬
出する。
これらのタイプのチャネルを使ってキーを交換する方法
については、キー管理の節でより詳細に説明する。
*AV (反バリアント) プライバシ・キーの説明と同じ。
*ソフトウェア・ビット このフィールドは12ビツトを占める。
a)CVバージョン プライバシ・キーの説明と同じ。
b)ソフトウェア強制使用 CFAPの節も参照のこと。
CVKSKD (制御ベクトルKEK送信側−データ・
キーを送る) CVKSKP (制御ベクトルKEK送信側−PINキ
ーを送る) CVKSKK (制御ベクトルKEK送信側−KEKを
送る) *拡張 プライバシ・キーの説明と同じ。
零予約ビット プライバシ・キーの説明と同じ。
*パリティ・ビット プライバシ・キーの説明と同じ。
KEK受信側用制御ベクトルの形式 第11表を参照する。この表の各フィールドとサブフィ
ールドの詳細な説明を以下に示す。
*C■タイプ KEK受信側のCVタイプ(主タイプ=”キー暗号化キ
ー(K E K)″、サブタイプ=”受信側″) *搬出制御 プライバシ・キーの説明と同じ。
水使用 a)GKS このフィールドは2ビツトを占め、そのキーがGKS命
令のモード、搬入−搬出及び動作−搬入のいずれかに搬
出キーとして関与できるがどうかを示す。
ビットO:搬入−搬出モード このモードでは、GKS命令がキーの2コピーを生成し
、搬入コピーと呼ばれる一方のコピーは、後で生成側ノ
ードによって搬入される形であり、搬出コピーと呼ばれ
る他方のコピーは、別のノードに送られる形である。
ビット0=1:このキーは、In−Ex (搬入搬出)
モードで生成されたキーの搬入 コピーを暗号化することができる。
ビットO=0:このキーは、Im−Ex (搬入−搬出
)モードで生成されたキーの搬出 コピーを暗号化することができない。
ビット1:動作−搬入モード このモードでは、GKS命令がキーの2コピーを生成し
、一方のコピーは局所使用のためのもの(動作コピー)
であり、他方のコピーは、生成側ノードに搬入される(
搬入コピー)形である。
ビット1=1:このキーは、Op−Imp (動作−搬
入)モードで生成されたキーの 搬入コピーを暗号化することができる。
−ビット1=O:このキーは、Op−Imp (動作−
搬入)モードで生成されたキーの 搬入コピーを暗号化することができな い。
b)RTMK このフィールドは1ビツトを占める。
RTMK=1 :このキーは、RTMK命令を用いてキ
ーを受信することができる。
RT!4に=O:このキーは、RTMK命令を用いてキ
ーを受信することができない。
c)XLTKEY  i n XLTにEYin−1:このキーは、TRANSLAT
E  KEY命令に対する入カキ−を暗号化することが
できる。
XLTKEY 1n=1 :このキーは、TRANSL
ATE  KEY命令に対する入カキ−を暗号化するこ
とができない。
*キー形式 このフィールドは2ビツト長で、KEKが類キー(すな
わち、単長)それとも長キー(すなわち、倍長)か、及
びキーが長い場合、キーの半分が右半分かそれとも左半
分かを示す。
*リンク制御 KEK送信側キーの説明と同じ。
*AV (反バリアント) フライパン・キーの説明と同じ。
*ソフトウェア・ビット このフィールドは12ビツトを占める。
a)CVバージョン フライパン・キーの説明と同じ。
b)ソフトウェア強制使用 CFAPの節も参照のこと。
CVKRKD (制御ベクトルKEK受信側−データ・
キーを受信する) CVKRKP (制御ベクトルKEK受信側−データ・
キーを受信する) CVKRKK (制御ベクトルKEK受信側−KEKを
受信する) *拡張 フライパン・キーの説明と同じ。
*予約ビット フライパン・キーの説明と同じ。
*パリティ・ビット フライパン・キーの説明と同じ。
ANSI  KEK用制御ベクトルの形式第12表を参
照する。この表の各フィールドとサブフィールドの詳細
な説明を以下に示す。
*Cvタイプ CVタイプ(主タイプ=”キー暗号化キー(KEK)″
、サブタイプ二″ANSI”)*搬出制御 フライパン・キーの説明と同じ。
本使用 a)ARFMK キーを他のノードに送るためにこのキーがARFMK命
令中でキー暗号化キーとして使用できるかどうかを指定
する。
b)ARTMK キーを他のノードから受信するためにこのキーがART
MK命令中でキー暗号化キーとして使用できるかどうか
を指定する。
c)AXLTKEY キーを変換するためにこのキーがAXLTKEY中でキ
ー暗号化キーとして使用できるかどうかを指定する。A
NSI  KEK制御ベクトル上には、入力変換キーま
たは出力変換キーの指示がないことに留意されたい。こ
れはANSIキーが双方向性であるためである。
d)APNOTR 後で他のキーを認証することができる部分認証キーを作
成するために、このキーに対して変換を実施できるかど
うかを指定する。その変換が行なわれると、その結果得
られる部分認証キーKKPNは、KKPNが他の部分認
証キーを計算するためにAPNOTR命令に供給されな
いように、このAPNOTRビットをゼロにクリアさせ
なければならない。
*キー形式 KEK送信側キーの説明と同じ。
*リンク制御 このフィールドはANSI  KEKには適用されない
。KEK送信側のこのフィールドの説明も参照のこと。
*AV (反バリアント) フライパン・キーの説明と同じ。
*ソフトウェア・ビット このフィールドは12ビツトを占める。
a)CVバージョン フライパン・キーの説明と同じ。
b)ソフトウェア強制使用 なし。
*拡張 プライバシ・キーの説明と同じ。
*予約ビット プライバシ・キーの説明と同じ。
*パリティ・ビット プライバシ・キーの説明と同じ。
キ一部分用制御ベクトルの形式 第13表を参照する。この表の各フィールドとサブフィ
ールドの詳細な説明を以下に示す。
*Cvタイプ Cvタイプの最後の3ビツトXXXがゼロに設定される
が、10の命令によって検査されるcvタイプ。(主タ
イプ=”キ一部分”、サブタイプ二適用されない) *搬出制御 ブライバシ・キーの説明と同じ。
*キー形式 KEK送信側の説明と同じ。
*AV (反バリアント) プライバシ・キーの説明と同じ。
*ソフトウェア・ビット このフィールドは12ビツトを占める。
a)CVバージョン プライバシ・キーの説明と同じ。。
b)ソフトウェア強制使用 なし。
*拡張 プライバシ・キーの説明と同じ。
*予約ビット ブライバシ・キーの説明と同じ。
*パリティ・ビット プライバシ・キーの説明と同じ。
中間ICV用制御ベクトルの形式 第14表を参照する。この表の各フィールドとサブフィ
ールドの詳細な説明を以下に示す。
零Cvタイプ CVタイプの最後の3ビツトXXXがゼロに設定される
が、命令によって検査されないCVタイプ。(主タイプ
=”中間ICV″、サブタイプ二適用されない) *搬出制御 プライバシ・キーの説明と同じ。ICVキーは通常は他
のノードに搬入されない。ただしホット・バックアップ
の場合を除く。すなわち、通常、このフィールドはIC
V制御に対する値B’OO’をとる。
*AV (反バリアント) プライバシ・キーの説明と同じ。
*ソフトウェア・ビット このフィールドは12ビツトを占める。
a)CVバージョン プライバシ・キーの説明と同じ。
b)ソフトウェア強制使用 なし。
*拡張 プライバシ・キーの説明と同じ。
*予約ビット ブライバシ・キーの説明と同じ。
*パリティ・ビット プライバシ・キーの説明と同じ。
トークン用制御ベクトルの形式 第15表を参照する。この表の各フィールドとサブフィ
ールドの詳細な説明を以下に示す。
*Cvタイプ Cvタイプの最後の3ビツトXXXがゼロに設定される
が、命令によって検査されないCvタイプ。(主タイプ
=”トークン”、サブタイプ二適用されない) トークンは、データ・キー・データ・セット(DKDS
)に記憶されたデータ・キーの保全性を保護するために
使用される秘密の量である。データ・キーはトークン+
e*KM、cl(K)、 e:KM、c2(token
)の形でDKDSに記憶される。トークン制御ベクトル
・タイプは、EMKlRTNMKlRTCMKなどの様
々な命令中で許可される。
*搬出制御 プライバシ・キーの説明と同じ。ICVキーは通常は他
のノードに搬入されない、ただしホット・バックアップ
の場合を除(。すなわち、通常、このフィールドはIC
V制御に対する値B’00’をとる。
*AV (反バリアント) プライバシ・キーの説明と同じ。
*ソフトウェア・ビット このフィールドは12ビツトを占める。
a)CVバージョン プライバシ・キーの説明と同じ。
b)ソフトウェア強制使用 なし。
*拡張 プライバシ・キーの説明と同じ。
零予約ビット ブライバシ・キーの説明と同じ。
*パリティ・ビット ブライバシ・キーの説明と同じ。
命令セット 本明細書で説明する命令セットは、CF内で実施される
共通の暗号機能セットである。この要件には例外がある
。たとえば、MDCはCFAPレベルで実施できる。命
令セットの実施における他の逸脱は、安全保護要件と製
品環境に基づいて注意深く考慮するべきである。
命令セットは、制御ベクトル手法に基づくものである。
制御ベクトル中には様々なフィールドがあり、特定のシ
ステムで実施されるものも実施されないものもある。し
かし、本明細書で説明する最小限の制御ベクトル検査は
、CF内の各システムで実行しなければならない。完全
な暗号分離が不必要であったり、命令セットのサブセッ
トだけで所与のアプリケーションには十分である場合に
は、所与の設計で実施されていない機能については制御
ベクトル検査を省略できる。(コード化されたフィール
ドである制御ベクトルのサブタイプ・フィールドの検査
により、制御ベクトルを無効な組合せを用いて暗号命令
中で混合し突き合わせることができなくなる。この検査
は安全保護にとって重要である。) 命令セットの式は、説明中の暗号機能に関係する機能及
びその機能からの期待される出力に必要な入力を表す。
実際のデータを機能に渡す代わりに、この実施態様では
、データのアドレスを機能に渡すことができる。このア
ドレッシングは、所与のシステムの実施態様によって変
わるので、本明細書では説明しない。
この式は、所与の機能を実行するのに必要なすべてのパ
ラメータとデータをすべて記述する。動作のモードに応
じて、パラメータのすべてまたはいくつかがその機能で
使用されるが、式中の各フィールドは、所与の実施態様
で機能に渡される入力及び出力の実際の値ではなくて、
入力及び出力として処理しなければならない。たとえば
、式のfl A I+フィールドは、機能に渡されるデ
ータを表し、その物理形式は、命令によってメモリから
取り出され、あるいはメモリに記憶されるデータを指す
32ビツト・アドレスである。メモリからのデータ・バ
スの幅も実施態様によって変わるが、暗号機能の動作に
よって暗号化または非暗号化(復号化)される入力デー
タは常に8バイトの倍数である。
CV検査を行なうための基本的な方式には、次の2つが
ある。
1、制御ベクトル中のビットのテスト二制御ベクトルの
各ビットをそれぞれのとるべき値と比べて検査する。そ
れが一致しない場合、条件コードを設定して動作を打ち
切る。たとえば、暗号命令中でC■の”E″ビツト1″
であるかどうか検査され、そうでない場合は、動作が打
ち切られる。
より複雑な命令では、検査はそれほど単純ではない。入
出力動作の意図と制御ベクトルの使用を指定するいくつ
かのパラメータを渡す必要がある。
たとえば、生成キー・セット(GKS)中で、出力の特
定の形式を生成するため、命令に対して「モード」が指
定され、制御ベクトル検査は、その「モード」指定に応
じて実行しなければならない。
2、制御ベクトル中のビットの設定:制御ベクトル中で
適切なビットを設定して、動作を実行する。
これは、制御ベクトルの検査が不必要である。たとえば
、暗号命令中で、″E″ビットが制御ベクトル中で設定
され、動作が実行される。この場合、各命令は、どんな
ビットをどんな条件下で設定すベきかを知らなければな
らない。この戦略はどんな場合でもうまく動作はしない
。たとえば、命令は、「目標制御」のためのビット設定
がなんであるかをどのようにして知るのか。これは、制
御ベクトル中で特定の設定を選ぶことを指示するパラメ
ータを命令に対して指定しなければならないことを意味
する。この手法は、制御ベクトル指定の柔軟性をすべて
なくしてしまう。
上記2つの技術のどちらでも制御ベクトル検査の暗号要
件は満足される。以下の理由で、「制御ベクトルのビッ
ト検査j法(制御ベクトル中のビットが命令によって設
定されない)を選んだ。
1、命令が、どのビットがいつ設定されるかを知る必要
はない。
2、「モード」などのパラメータを渡して、出力の可能
な組合せを得て、入力の組合せを命令に供給する点で非
常に柔軟性がある。
3、設定がCF中でハードコード化されている場合、ア
ーキテクチャを拡張することが非常に難しく、また前も
って可能なすべての組合せを知ることも非常に難しい。
4、ハードウェア実施態様が簡単になり、ソフトウェア
がより柔軟になる。
5、制御ベクトルの意図を保存する。制御ベクトルは(
現在)暗号分離、特に安全保護のために使用されている
。制御ベクトルが、[命令に対して動作または機能を指
定する」ためにCA中で使用されることはない。言い替
えれば、制御ベクトルは、その命令の「拡張命令コード
」のようなものではない。
コード化(ENC) 式:    KD、 A−eKD(A)入カニ KD      64ビット平文キー A       84ビット平文テキスト出カニ eKD(A)  64ビット暗号化データ説明:コード
化機能は、64ビット平文キーを用いてECMモードで
8バイトの平文テキスト・データを暗号化するのに使用
される。この命令には制御ベクトルは渡されない。
第10図は、この命令の構成図である。
CC: 1、動作成功 2、動作失敗 注:動作失敗は、所与の実施態様に特有のどのハードウ
ェア・エラーでもよい。本明細書に記載する条件コード
(CC)は、命令に対する条件コードの案にすぎず、所
与のシステム中で実施される条件コードは他にも多数あ
る。さらに、ccコードは、所定の実施態様中で機能が
渡さなければならない実際の条件コードではない。本明
細書で使用する番号付けは、暗号アーキテクチャの説明
の便宜上設けたものである。
制御ベクトル検査:なし 復号(DEC) 式:    KD、 eKD(A)−A入カニ KD      84ビット平文キー eKD(A)  84ビット暗号化データ出力: A       64ビット暗号化データ説明:復号機
能は、64ビット平文キーを使用してECMモードで8
バイト平文テキスト・データを暗号化するのに使用され
る。この命令には制御ベクトルは渡されない。
CC: 1、動作成功 2、動作失敗(エラー) 制御ベクトル検査:なし 暗号化(ENCI ) 式:    e”KM、cl(にDI)、 ICV、 
A、 n、 C1−−−eKDl(ICV、A) 入カニ e宰KM、C1(KDI) ICV 制御ベクトルC1を用いてマスク・ キー(KM)のもとて3重暗号化 された64ビツト・データ・キー (KDI)。
64ビット暗号化データ 注:暗号化ICvは、rICV/ A 0Cv管理」及び「ソフトウェア・ インターフェース」で説明するよ うにCFAPによって管理される。
出力連鎖値(OCV)が必要な 場合、最後の8バイト出力(E n) をOCVとして使用しなければな らないが、これは標準的手法では ない。各システム実施態様では、 最終ブロックの暗号化と非暗号化 (復号化)を別のやり方で処理す る。最終ブロック処理及びOCv 生成技術についての詳細は、「ソ フトウェア・インターフェース」 を参照のこと。CFAPは、可能 なすべての最終ブロック暗号化と 非暗号化(復号化)及びOCV管 理を処理する。
8倍数のバイト・ブロックで暗号 化されるデータ。8バイト・ブロッ クはA1、A21.、、Anであ る。最終ブロックAnが8バイト の倍数ではない場合、この命令を 呼び出す前にCFAPによって埋 込みを行なう必要がある。CF命 令は常に、入出力として8バイト の倍数のデータを取る。
暗号化する8バイト・ブロックの 数。nはできるだけ大きくすべき であるが、システムによって変わ る。CAはnに対する上限を定義 しない。
例=8バイト・ブロックの数=1 0000かつn  max=400 0の場合、暗号命令は次のように して呼び出される。
一暗号化n=4000 一暗号化n=4000 一暗号化n=2000 注:暗号化の呼出しごとに、その 後で、最後の8バイト暗号化デー 9En (OCV)をICV入力と して次の暗号化呼出しに戻さなけ ればならない。
cl      データ・キー(KDI)に対する64
ビツトの制御ベクトル 出カニ eKDl(ICV、A)  暗号化データ、n個のブロ
ック、各ブロックは8バイト(El。
E2+ 、、+ En)である。
説明二人力データはDEA暗号化のCBCモードを用い
て暗号化される。8バイトの倍数のブロックが、n個の
ブロックがすべて暗号化されるまでこの命令によって暗
号化される。
このアーキテクチャは、機能に対する平文ICV入力だ
けを定義する。暗号化されたICVが必要な場合、暗号
命令を使ってデータ・キー(KD2)でICVを暗号化
することができる。暗号化ICVは非暗号化命令を用い
て非暗号化(復号化)できる。暗号化されたICVとO
CvはすべてCFAPプログラムによって管理される。
入力データが8バイトの倍数のブロックでない場合は、
埋込みを実行しなければならない。この埋込みは、暗号
機能を呼び出す前にCFAPによって実行しなければな
らない。
CC: 1、動作成功 2.01無効 3、動作失敗(エラー) 制御ベクトル検査 1.01の検査 −CVタイプ = 「データ/互換性」または「データ
/プライバラ」ま たは「データ/ANSIJ −E使用ビット = 1 一子約(48:63) = X ’ O’注二本明細書
で説明するすべての命令では、制御ベクトル検査は、検
査に合格しない場合は、命令を打ち切らなければならず
、対応する制御ベクトル無効条件コード(CC)がオン
になることを暗示している。制御ベクトルに対して1つ
または複数の検査が行なわれる場合、すべての検査が実
行され、すべての検査に合格しないと動作が実行されな
い。いずれかの検査に失格すると、動作を打ち切らなけ
ればならない。
非暗号化(DECI) 式:    e”KM、cl(KDI)、 ICV、 
eKDl(ICV、A)。
n、 C1−−A 入力 e”KM、cl (Kdl) ICV 制御ベクトルC1を用いてマスク・ キー(KM)のもとて3重暗号化 された64ビツト・データ・キー (KDI)。
64ビット平文人力連鎖値 注:暗号化されたICVは、「■ CV10CV管理」及び「ソフト ウェア・インターフェース」で説 明するようにCFAPによって管 理される。
出力連鎖値C0CV)が必要な e”DKl(ICV、A) 場合、最後の8バイト入力(E n) をOCVとして使用しなければな らないが、これは標準的手法では ない。各システム実施態様では、 最終ブロックの暗号化及び非暗号 化(復号化)を別のやり方で処理 する。最終ブロック処理及びOC V生成技術の詳細は、「ソフトウェ ア・インターフェース」を参照の こと。CFAPは、可能なすべて の最終ブロック暗号化及び非暗号 化(復号化)ならびにOCv管理 を処理する。
暗号化データ、nブロック、各ブ ロックは8バイト(El、E2.、、、、En)である
暗号化する8バイト・ブロックの 数。nはできるだけ大きくすべき であるが、システムによって変わ る。CAはnの上限を定義しない。
注:非暗号化(復号化)の呼出し ごとに、その後で、最後の8バイ トの暗号化データEn (OCV) を次の非暗号化(復号化)呼出し に入力ICVとして供給しなけれ ばならない。これはCFAPによっ て管理される。
例=8バイト・ブロックの数=1 oooo及びn  max=400 0の場合、非暗号命令は次のよう にして呼び出される。
非暗号化 n=4000 非暗号化 n=4000 非暗号化 n=2000 データ・キー用の64ピツト制御 ベクトル(KDI) 出カニ 8バイトの倍数のブロックの平文 データ。8バイト・ブロックはA LA29.、*Anである。
説明二人カデータはCBCのDEA暗号化モードを用い
て非暗号化(復号化)される。8バイトの倍数のブロッ
クは、n個のブロックがすべて非暗号化(復号化)され
るまでこの命令によって非暗号化(復号化)される。
このアーキテクチャは、機能に対する平文ICV入力だ
けを定義する。暗号化されたICVが必要な場合、Cv
は暗号化命令を用いてデータ・キー(KD2)を暗号化
することできる。暗号化されたICVは非暗号化命令を
用いて非暗号化(復号化)できる。暗号化ICVとOC
V、=’sはすべてCFAPによって管理される。
第13図はこの命令の構成図である。
CC: 1、動作成功 2.01無効 3、動作失敗 制御ベクトル検査 1.01の検査 cv type : rデータ/互換性」または「デー
タ/プライバシ」または「データ/ANSI」 D使用ビット = 1 予約(48: 63)=X” 0 ’ MAC生 (GMAC) 式:    e”KM、cl (にD2=1)、 [e
”KM、C2(KM2)]。
ICV[e”KM、C3(OCV)] A、 n、 1cy−type、 output−ty
pe。
mac−enc+ CL [C2L [C3]−−−−
−MAC(64ビツト) または e’KM、c3 (OCV) 入カニ e”KM、cl (KDI) e”KM、c2 (KM2) KDIは制御ベクトルC1を用い てKMのもとて3重暗号化された MACを単一暗号化するためのM AC生成キーである。
KM2は、制御ベクトルC2を用 いてKMのもとて3重暗号化され たMACを3重暗号化するための ICV 任意選択のMAC生成キーである。
これは、5ac−enc=1 の場合に、macを3重
暗号化するために必要な任 意選択入力である。
ゼロに等しいICVは、省略時期 期連鎖値であり、CAアーキテク チャ、ANSI  X9.9及びA NSI  X9.19にとって標準 的である。非ゼロの平文ICVも、 平文IC■入力が必要なシステム との互換性をもつために使用でき る。暗号化されたICV入力は、 機能の安全保護を高めないことが 判明しているので、CAによって 支援されない。暗号化された中間 ICVは、CAによって支援され る。
注:必要な場合、暗号化ICVは、 rICV10CV管理」及び「ソ フトウェア・インターフェース」 e”KM、c3(OCV) に記載されているようにCFAP によって管理される。
これは特殊制御ベクトルC3を用 いてマスク・キーのもとで暗号化 された64ビツトの中間ICVで ある。これは、MACを生成する ために大きなデータ・ブロック (In)が使用される場合に提供し なければならない任意選択入力で ある。ICVの非暗号化(復号化) は、機能内部で行なわれる。中間 OCVは、制御ベクトルを用いて マスク・キーのもとてローカル使 用専用の形で記憶されているので、 ローカル・ノードから送ることは できない。
8バイトの倍数のブロック(AI 、 A2、、、An
)中で、MACされるデー タ。
MACされる8バイト・ブロック の数。nはできるだけ大きくすべ きであるが、システムによって変 わる。OCAはnの上限を定義し ない。多数のブロックをMACL なければならない場合、すべての ブロックが完了するまで、GMA Cが何回も呼び出される。
例ニ システムに対するn  maxが4 000で、MACされるデータが 10000個の8バイト・ブロワ クである場合、GMACは次のよ うにして呼び出される。
GMACn=4000.output−type=1.
 icy−type=0GMACn4000.outp
ut−type=1. icy−type=2GMAC
n=2000.output−type=l、 1cy
−type=2注: GMACの呼出しごとに、そ の後で中間I CV C) e”KM、c3(OCV)
をICV入力として次のGMAC 呼出しに戻さなければならない。
1cy−type output−type この中間ICVの非暗号化(復号 化)はCFの内部で行なわなけれ ばならない。
1cy−type は、機能に渡されたICVがゼロか
、平文か、それとも 中間ICVかを示す。中間ICV は、制御ベクトルC3を用いてマ スフ・キーのもとて3重暗号化さ れる。ゼロのICVが省略時の値 である。
O:ゼロICV(省略時) 1:平文ICV 2:中間I CV (OCV) この命令に対するMAC生成処理 の段階を示す。
0:MAC出力 1:中間ICV出力(OCV) 1重または3重暗号化MAC出力 を示す。
O:1重暗号化MAC出力 CI、C2,C3 1:3重暗号化MAC出力(AN SI9.1重要件) それぞれKDI、KD2及びOC V用の64ビツトの制御ベクトル。
C2及びC3は命令に対する任意 選択入力であり、C2はmac−enc=1の場合に入
力しなければなら ず、C3は1cv−type=2またはoutput”
tYpe”lの場合に入力しなければならない。
出カニ M A Cmac−encパラメータに応じて最終入力
データ・ブロックの1重暗号 化または3重暗号化によって生じ る64ビツト出力である。
e”KM、C3(OCV)  OCVは、制御ベクトル
C3を用いてKMのもとて3重暗号化され た64ビツト中間ICVである。
この出力は、output−type=1の場合に限り
有効である。MAC出力 と中間OCv出力は、安全保護上 の理由から両方同時に出力しては ならない。
説明:入力データはCBCのDEA暗号化モードで暗号
化され、暗号化されたデータの最終ブロックが出力され
る。1重暗号化モードと3重暗号化モードの2つのモー
ドがある。1重暗号化モードでは、単一キーKD1を使
ってMACが作成される。3重暗号化モードでは、1重
暗号化モードを使ってKDIを用いてMACを作成する
。ただし、次いでKD2を用いてMACを非暗号化(復
号化)し、再びKDIを用いて再暗号化して、最終的に
64ビツトMACを作成する。
この命令は64ビツトのMACを出力するが、X9.9
では、64ビツトMAC出力の左側の32ビツトである
32ビツトMACが指定されている。CFAPは64ビ
ツトMAC出力から適切なMACビットを抽出しなけれ
ばならない。
ICVは標準としてゼロであり、任意選択としてGMA
C命令に対する平文ICVまたは中間エCvでもよい。
暗号化されたICVが必要な場合、CFAPは(KDS
)<7)t、、!:でI’CVを暗号化しなければなら
ず、平文ICVをGMAC命令に渡さなければならない
。ANSI  X9.9MAC基準では、第1ブロツク
に対してゼロのICVが指定されているので、ここでは
それを標準入力として定義する。しかし、このアーキテ
クチャは、MAC生成の可能なあらゆる必要性を満足さ
せるために平文人力及び中間入力を提供する。
n個より多くのブロックに対してMAC生成が必要な場
合、中間ICVのオプションを使ってMACを生成しな
ければならない。この要件は、平文の中間ICVをさら
さないことによって安全保護を高める。
データ・ブロックが8バイトの倍数のブロックではない
場合、埋込みを行なわなければならない。
埋込みは、この機能を呼び出す前にCFAPによって実
行しなければならない。MAC計算は、ANSI  X
9.9−1988第5.0節で指定されているように2
進データに対して行なわなければならず、必要に応じて
コード化文字セットをCFAPによって実施しなければ
ならない。
第14図は、この命令の構成図である。
CC: 1、動作成功 2.01無効 3、C2またはC3無効 4、動作失敗(エラー) 制御ベクトル検査 1.01の検査 Cvタイプ=「データ/互換性」または「データ/MA
CJまたは[データ/ANIJ MG使用ビット=1 予約(48:63)=X’O” 2、  (mac−enc=1)の場合に02の検査C
Vタイプ=「データ/互換性」または[データ/MAC
Jまたは「データ/ANIJ MG使用ビット=1 予約(48: 63)=X’ 0 ’ 3、  (icv−type=2 またはoutput
−type=1 )の場合にC3の検査 Cvタイプ=1中間ICV” MAC検査(VMAC) 式:    e”KM、cl(KDI)、 [e”KM
、C2(KM2)]。
ICV [e”KM、C3(OCV) ] 。
A、 MAC,n、 1cv−type。
output−type、 mac−enc、 mac
−1en。
C1,[C2]、 [C3] 一−−−−−イエス/ノー または e”KM、C3(OCV) 入カニ e”KM、cl(KDI)  K D 1は、制御ペク
トλしC1を用いてKMのもとて3重暗号化され た、MACを1重暗号化するため のMAC検査キーである。
e”KM、C2(KM2)  K D 2は、制御ベク
トルC2を用いてKMのもとて3重暗号化され ICV た、MACを3重暗号化するため のMAC検査キーである。これは、 mac−enc”lの場合にMACを3重暗号化するた
めに必要な任意選択 入力である。
ゼロに等しいICVは、省略時期 期連鎖値であり、CAアーキテク チャ、ANSI  X9.9及びA NSI  X9.19にとって標準 的である。非ゼロの平文ICVも、 平文ICV入力が必要なシステム と互換性をもつために使用できる。
暗号化ICV入力は、機能の安全 保護を高めないことが判明してい るので、CAによって支援されな い。暗号化された中間ICVはC Aによって支援される。
注:必要な場合、暗号化ICVは、 rICV10CV管理」及び「ソ フトウェア・インターフェース」 e”KM、C3(OCV) に記載されているようにCFAP によって管理される。
これは、特殊な制御ベクトルC3 を用いてマスク・キーのもとて暗 帰化された64ビット中間ICV である。これは、大きなデータ・ ブロック(]n)を使ってMACを 生成する場合に提供しなければな らない任意選択入力である。IC Vの非暗号化(復号化)は、機能 の内部で行なわれる。中間OCv は、制御ベクトルを用いてマスク・ キーのもとでローカル使用専用の 形で記憶されているので、ローカ ル・ノードから送ることはできな い。中間ICVは、攻撃から保護 するためにMAC検査処理中秘密 にしなければならない。
8バイトの倍数のブロック(A1.A 2、、、An)で、MAC中で使用されMAC るデータ。
1重または3重暗号化された命令 に対する64ピツトMAC入力。
省略時には、このMACの左側3 2ビツトだけがMAC比較のため に使用される。5ac−1enを使って、他の比較長を
明示的に指定するこ とができる。
MACされる8バイト・ブロック の数。nはできるだけ大きくすべ きであるが、システムによって変 わる。多数のブロックをMAC検 査しなければならない場合、すべ てのブロックが完了するまで、V MACが何回も呼び出される。
例ニ システムに対するn  maxが4 000で、検査されるデータは1 0000個の8バイト・ブロック である場合、VMACは次のよう 1cy−type にして呼び出される。
注:VMACの呼出しごとに、そ の後で中間I CV e”KM、C3(OCV)をIC
V入力として次のVMAC 呼出しに戻さなければならない。
この中間ICVの非暗号化(復号 化)はCFの内部で行なわなけれ ばならない。
V)4ACn=4000. output−type=
1. icy−type=0VAMCn=4000. 
output−type=1. icy−type=2
VMACn=2000. output−type二〇
、 1cv−type=2icy−typeはその機能
に渡される■CVがゼロか、平文か、それとも 中間ICVかを示す。中間ICV は制御ベクトルC3を用いてマス ク・キーのもとて3重暗号化され る。
0:ゼロICV(省略時) 1:平文ICV 2:中間I CV (OCV) output−type この命令に対するMAC検査処理 段階を示す。
0:MAC検査出力 1:中間ICV出力(OCV) mac−encは1重または3重暗号化MAC入力であ
る。
0:1重暗号化MAC人力 1:3重暗号化MAC入力(AN SI9.19要件) mac−1enは比較すべきMACのバイト数を指定す
る。省略時には左 側4バイトが比較される。
0:左側4バイト 1:左側5バイト 2:左側6バイト 3:左側7バイト 4:8バイト 注=4.5.6.7.8バイトの MAC検査を行なうと、8バイト MACのMAC生成処理が覆える C1,C2,C3 出カニ yes/n。
e”KM、C3(OCV) ことがある。暗号機構でこの問題 を解決する解決方法はないが、C FAPでは異なる長さのMAC検 査のための何らかの検査を考慮で きる。この問題についてはさらに 調査が必要である。
それぞれKDI、KD2及びOC v用の64ビツト制御ベクトル。
C2及びC3はこの命令に対する 任意選択入力である。mac−enc=1の場合はC2
が必要であり、IIcV type=2またはoutput−type=1の場合
は、C3が必要である。
MACが検査される/されない。
OCVは、制御ベクトルC3を用 いてKMのもとて3重暗号化され た64ピツトの中間ICVである。
これは、output−type=1に対して有効な任
意選択出力である。
説明二人力データは、データ・キーKDIを用いてCB
CのDEA暗号化モードで暗号化され、最終的に暗号化
されたブロックの左側32ビツトが供給されるMACと
等しいかどうか比較される。
32ビツトのMAC比較対象値が省略時の値である。他
の比較はmac−1enパラメータで指定されるように
行なわなければならない。CC:=1はMACが等しい
場合に設定され、CC=2はMACが等しくない場合に
設定される。2つの暗号化モードがある。1重暗号化モ
ードでは、単一キーKD1を使ってMACが作成される
。3重暗号化モードでは、単一暗号化モードを使ってK
DIを用いてMACを作成する。ただし、次いでMAC
をKM2を用いて非暗号化(復号化)シ、再びKDlを
用いて再暗号化し、最終的に64ピツ)MACを作成す
る。MACはmac−enc入力で指定されるように生
成され、次いで機能に供給されるMACと比較される。
最初のICVは標準としてゼロであり、任意選択で平文
とすることである。中間ICVは、MACされたデータ
が長さnブロックより大きい場合に使用しなければなら
ない。
データ・ブロックが8バイトの倍数のブロックではない
場合、埋込みを行なわなければならない。
埋込みは、この命令を呼び出す前にCFAPによって実
行しなければならない。
第15図はこの命令の構成図である。
CC: 1、MACが等しい 2、MACが等しくない 3.01無効 4、C2またはC3無効 5、動作失敗(エラー) 制御ベクトル検査 1.01の検査 Cvタイプ=「データ/互換性」または「データ/MA
CJまたは[データ/ANIJ MV使用ビット=1 予約(48: 63)=X’ O。
2、 (mac−enc=1)の場合に02の検査Cv
タイプ=「データ/互換性」または「データ/MACJ
または「データ/ANIJ MG使用ビット=1 予約(48:63)=X’O’ 3、 (icy−type=2またはoutput−t
ype=1)の場合に03の検査 Cvタイプ=「中間ICVJ 暗号テキスト 換(TCTXT) 式:    e”KM、cl(KDI)、 ICVI、
 eKDl(ICVI、A)。
e”KM、C2(KM2)、 ICV2. n、 C1
,C2−−−−eKD2(ICV2.A) 入カニ e”KM、cl (KDI) ICV1 eKDl(ICVI、A) KDIは、制御ベクトルC1を用 いてKMのもとて3重暗号化され た入力データ・キーである。
64ビツトの平文ICV KM2は、制御ベクトルC2を用 いてKMのもとて3重暗号化され た出力データ・キーである。
ICV2   84ビツトの平文ICVn      
変換される8バイトのデータ・ブロック数 CI、C2それぞれKDI、KM2用の制御ベクトル 出カニ eKD2(ICV2.A)  I CV 2を使ってデ
ータ・キーKD2のもとて暗号化されたデータ Aを出力する。
説明:暗号化テキスト変換命令は、あるデータ・キー及
びICVから他のデータ・キーとICVにデータを変換
する。この命令は、データ/変換キー及びデータ/互換
性キーで動作する。C■キーまたはCV=Oキーがデー
タを変換するのに使用できるが、これらのキー・タイプ
の混合と突合せは、この命令によって許されない。デー
タは最高n個の8バイト・ブロックまで可能であり、変
換は暗号機構内で行なわれ、暗号機構の外部で平文デー
タがさらされることはない。
ICV入力IC:Vl及びI CV2は命令に対する平
文ICV入力しかとれない。中間ICVはこの命令によ
って供給されない。n個を超えるデータ・ブロックを変
換しなければならず、データを連鎖しなければならない
場合、CFAPは最後の8バイトの暗号化ブロック(E
n)をICVに対する入力として渡さなければならない
。暗号化ICVが使用される場合、工Cvを命令に渡す
前にICVを非暗号化(復号化)しなければならない。
注:暗号化テキスト変換命令は、C■専用キー(すなわ
ち、データ変換キー)で動作するように特に設計されて
いる。互換性モード暗号テキスト変換のオプションは提
供されない。それを克服するため、暗号テキスト変換命
令は、DとE属性及びXDinとXDout属性をもつ
データ・キーを受け入れる。しかしこれは、平文データ
が偶然にさらされるのを減らすためのサービスとして提
供される。というのは、内部の不正使用者が、非暗号命
令を使ってデータを回復できるからである。
互換性モードで暗号テキスト変換キーを分離することは
できず、そのための制御ベクトルを作成しても、安全保
護は幻想でしかない。実際、(Cv=Oチャネルを介し
て送られた)所期の変換キーを搬入することにより、R
TMK命令を用いて攻撃を行なうことが可能である。し
たがって、暗号テキスト変換データ・チャネルは、その
チャネルを介して送られたデータを非暗号化(復号化)
することによって覆えされる。
第16図はこの命令の構成図である。
CC: 1、動作成功 2、C1またはC2無効 3、動作失敗 制御ベクトル検査 1.01の検査 Cvタイプ=「データ/変換」または「データ/互換性
」 (CVタイプ=「データ/変換」)の場合、XD i 
n= 1 予約(48: 63)=X“01 2、  (mac−enc=1)の場合に02の検査C
Vタイプ=「データ/変換」または「データ/互換性」 CCVタイプ=「データ/変換」)の場合、XDout
=1 予約(48:83)=X’0’ 3.01と02の検査 Cvタイプ(C1)=「CVタイプ(C2)」キー・セ
ット生 (GKS) 式:     op−opモード mqde、 C3,C4,−−−e”KM、C3(K)
、e”KM、C4(K) 式: 式: 0P−EXモード mode、C2L、C2R,C3,C4゜e”KM、c
2L(KEK2L)、 e”KM、c2R(KEに2R
)−−−e”KM、C3(K)、  e”KEK2.C
4(K)EX−EXモード mode、CIL+  CIR,C2L、C2R,C3
゜C4,e”KM、cIL(KEKIL)、 e”KM
、cIR(KEKIR)、 e”KM、c2L(KEK
2L)。
式: 式: e”KM、c2R(KEK2R) −−−−−e”KM、C3(K)、 e”KEK2.C
4(K)OP−IMモード mode、  C2L、  C2R,C3,C4+e”
KM、c2L(KEK2L)、 e”にM、C2R(K
EK2R)−−−−−e”KM、C3(K)、 e”K
EK2.C4(K)IM−EXモード mode、 CIL、 CIR,C2L、  C2R,
C3゜C4,e’KM、cIL(にEKIL)、 e”
KM、cIR(KEKIR)、 e”KM、c2L(K
EK2L)。
e”KM、c2R(KEK2R) −−−−−e”KM、C3(K)、 e”KEK2.C
4(K)入カニ mode GKS命令の入出力形式とキー化 成モードを示す。キー生成モード のさらに詳しい説明は「キー管理」 の節に記載されている。
0:op−op(動作−動作) 1 : 0P−EX (動作−搬出) 2 : EX−EX (搬出−搬出) CIL、CIR C2に、C2R 3: OP−IM (動作−搬入) 4 : IM−EX (搬入−搬出) これらは64ビツトの制御ペクト ルで、128ビツトのKEKi用 の左右の制御ベクトルである。C ILはKEK I L用の制御ベクト ルであり、CIRはKEK IRキー 用の制御ベクトルである。実際の 実施態様は、1つのCvだけを渡 して、CFに制御ベクトル中の 「キー形式jビットを暗黙に設定 させる。このCAアーキテクチャ は、各KEK用の左右の制御ベク トルを別々に渡すように選択した ものである。CFAPは、KEK 用のこれらの2つのタイプのCv を生成し管理しなければならない。
これらは64ビツト制御ベクトル で、128ビツトのKEK2用の 左右の制御ベクトルである。C2 LはKEK2L用の制御ベクトル であり、C2RはKEK2Rキー 用の制御ベクトルである。
C3,C4これらは出力キー用の64ビツト制御ベクト
ルである。
e”KM、cIL(KEKIL)  K E K I 
Lは64ビツトの左キー暗号化キーであり、制御ベクト
ル CILを用いてマスク・キーKM のもとて3重暗号化された128 ビットのキー暗号化キーKEK 1 の一部分である。
e”KM、cIR(KEKIR)  K E K I 
Rは64ビツトの右キー暗号化キーであり、制御ベクト
ル CIRを用いてマスク・キーKM のもとて3重暗号化された128 ビットのキー暗号化キーKEK 1 の一部分である。
e”KM、C2R(KEK2L)  K E K 2 
Lは64ビツトの左キー暗号化キーであり、制御ベクト
ル C2Lを用いてマスク・キーのも とで3重暗号化された128ビツ トのキー暗号化キーKEK2の− 部分である。
e”KMc2R(KEに2R)  KEK2Rは64ビ
ツトの右キー暗号化キーであり、制御ベクトル C2Rを用いてマスク・キー″M” のもとて3重暗号化された128 ビットのキー暗号化キーKEK2 の一部分である。
注:互換性のために、このアーキテクチャは単長(64
ビツト)及び倍長(128ビツト)のキー暗号化キー(
KEK)を支援する。しがし、すべてのKEKは、CK
DS (キー記憶機構)に128ビツト・キーとして記
憶される。真の倍長キーKEK=KEK 1eft 1
1 KEK right (ただし、KEKIeftは
KEKの左側64ビツト、KEKright右は右側6
4ビツト)は、何らかのcvLC及びCRを使ってマス
ク・キー”KMのもとて3重暗号化されて記憶される。
記憶される形は、e”KM、c(KEK):e”KM、
CL(にEK左) 11 e”KM、cR(KEK右)
で表される128ビツトである。単長キーKEKは、キ
ーを複製して128ビツト・キーを形成することにより
処理される。KEK 11 KEKは次いで*KMと制
御ベクトルCL1CRのもとて3重暗号化される。した
がって、記憶される形は、eoにM、C(KEK33K
Eに)=e”KM、CL(にEK) 11 e”KM、
cR(にEK)で表される128ビツトである。複製さ
れたKEK制御ベクトルの「キー形式」ビットは、制御
ベクトルCLとCR中でそれぞれ01″であり、したが
ってKEKを64ビット形式でだけ記憶する宛先でキー
を回復することができる。通常のKEK制御ベクトルの
「キー形式」ビットは、CLに対しては”10”、CR
に対しては11″であり、したがってそれらは完全な分
離を実現し、2”112個の作業因数を保持する。
出カニ e”KM、C3(K) Kは、制御ベクトルC3を用いて KMのもとて3重暗号化された6 4ピツトのランダム生成キーであ る。制御ベクトルC3は常に使用 e”KM、C4(K) e”KEKl、C3(K) される。キーには奇数パリティで 調整される。このキーは、ノード の内部で使用できる動作キーであ る。
Kは、制御ベクトルC4を用いて KMのもとて3重暗号化された6 4ビツトのランダム生成キーであ る。制御ベクトルC4は常に使用 される。キーには奇数パリティで 調整される。このキーは常に使用 される。このキーは、ノード内部 で使用できる動作キーである。
Kは、制御ベクトルC3を用いて KEKlのもとて暗号化された6 4ビツトのランダム生成キーであ る。制御ベクトルC3は常に使用 される。キーには奇数パリティで 調整される。128ビツトのKE Kは、03制御ベクトルの代わり にC3LとC3Rで2回GKSを 呼び出すことによって生成できる。
CFAPは必要に応じてこれらの 制御ベクトルのパスを制御しなけ ればならない。
e”KEK2.C4(K)  Kは、制御ベクトルC4
を用いてKEK2のもとて暗号化された6 4ビツトのランダム生成キーであ る。制御ベクトルC4は常に使用 される。キーには奇数パリティで 調整される。128ビツトKEK は、C4制御ベクトルの代わりに C4LとC4Rで2回GKSを呼 び出すことによって生成される。
CFAPは必要に応じて制御ベク トルのパスを制御しなければなら ない。
説明:GKS命令は、ランダムな奇数パリティで調整さ
れた64ビツト・キーを生成し、2つの制御ベクトルC
3と04で示される2つの属性をもつ。128ビツトの
パリティ調整されたキーは、GKS命令を2回発行する
ことによって生成できる。GKS命令は、Cvチャネル
上でベクトル・システムを制御するためにキーを搬出す
ることができるだけである。互換性モードのキーは、G
KS命令によって生成されない。すべての互換性モード
・キーは、KGENを使って生成され、RFMKを介し
て送らなければならない。互換性モード・キーは、CV
チャネル(リンク上のCVを使って)またはCV=Oチ
ャネルを介して送ることができる。
GKS命令は、生成されたキーのコピーを2つだけ作成
することにより、高度の安全保護をもたらす。それらの
コピーは、2つの目的システムに属するキーのもとて暗
号化される。C3及びC4で表される生成キーの2つの
コピーに関連する制御ベクトルは、キーの所期の用途に
応じて同じことも異なることもある。
GKS命令は、第16表に示したキーを生成し分配する
のに使用される。
CAシステム中のすべてのキーは128ビットKEKの
もとて3重暗号化(EDE)されて出力される。複製さ
れた64ビツトKEKは、64ピツ)KEKだけを支援
するノードにキーを送るために使用される。受信側ノー
ドが128ビツトを支援する場合、そのノードは3重非
暗号化(DED)によってキーを回復することができる
。受取側が64ピツ)KEKだけを支援する場合、1重
暗号化によってキーを回復することができる。すべての
KEKは、128ビツトの暗号化された量であるe”K
M、cIL(KEKL) 11 e’KM、cIR(I
KEKR) としてマスク・キーのもとで記憶される。
CILは左部分キー制御ベクトルで、CIRは右部分キ
ー制御ベクトルである。CIL及びCIR制御ベクトル
は、左右の部分を区別するための「キー形式」フィール
ドをもつ。これにより、作業因数が約2156の倍長キ
ー(ただし左右部分は等しくない)に対する内部者の攻
撃がなくなる。128ビツト・キーに対する内部者の攻
撃は2I56の程度である。
第17図はこの命令の構成図である。
CC: 1.動作成功 2、CILまたはCIR無効 3.02LまたはC2R無効 4.03無効 5.04無効 6、動作失敗(誤り) 制御ベクトル検査:モード=0 (OP−OP)の場合
、以下の検査を行なう。
1.03の検査 Cvタイプ=「データ/ブライバラ」または「データ/
MACJ 反バリアント(30)=“0“ 反バリアント(38)=” 1 ’ 予約(4B:83)=X’0’ 2.04の検査 Cvタイプ=「データ/プライハシ」または「データ/
MACJ 反バリアント(30)=’O“ 反バリアント(38)=’ 1 ’ 予約(48:63)=X’O。
3.03とCrの検査 第17表は、検査を必要とするC3属性とC4属性の有
効な組合せを示す。表の組合せ以外のどの組合せも暗号
上無効であり、許されてはならない。
モード= 1 (OP−EX)の場合、以下の検査を行
なう。
1、C2Lの検査 CVタイプ: rKEK/送信側」 −GKS使用ビット(1)=1 予約(48:63)=X’O’ 2、C2Rの検査 CVタイプ= rKEK/送信側」 GKS使用ビット(1)=1 予約(48:63)=X”0’ 3.03の検査 CVタイプ=「データ/プライハシ」、「データ/MA
CJ、rデータ/変換」、rKEK/送信側J、rKE
K/受信側」またはrPIN/PEKJ 反バリアント(30)=“0゜ 反バリアント(38)=”l“ 予約(48: 63)=X’ 0 ” 4.04の検査 CVタイプ=「データ/プライハシ」、「データ/MA
CJ、rデータ/変換」、rKEK/送信側J 、rK
EK/受信側」またはrPIN/PEK」 反バリアント(30)=’O。
反バリアント(38)=’l” 予約(48: 63)=X“01 5、C3とC2L、C2Rの検査 Cvタイプ(C3)= rKEK/送信側」またはrK
EK/受信側」かつキー形式(C3)=’IO”または
′11′の場合、キー形式(C2L)= ’ 10“か
つキー形式(C2R)=’ll’ 6、C4とC2L1C2Rの検査 CVタイプ(C4)= rKEK/送信側」またはrK
 E K/受信側」かつキー形式(C4)=“10′ま
たは111“の場合、キー形式(C2L)=’ 10°
かっキー形式(C2R)=”ll’ 7、C2LとC2Rの検査 第18表は、検査が必要なC2L属性とC2R属性のを
効な組合せを示す。表の組合せ以外のどの組合せも暗号
上無効であり、許されてはならない。
8.03と04の検査 C3とC4は第19表に示す組合せを満足しなければな
らない。他の組合せは許されない。
モード= 2 (EX−EX)  の場合、以下の検査
を行なう。
1、KEKIとKEK2の検査 KEKIL 11 KEKIR= KEK2L 11 
(128ビツト ・ キ − ) 注: KEKが一致しないことを検査すると、BiDi
キーはノードに送られなくなる。
2、CILの検査 Cvタイプ=「KEK/送信側」 GKS使用ビット(2)=1 予約(48:83)=X’O’ 3、CIRの検査 CVタイプ= rKEK/送信側」 GKS使用ビット(2)=1 予約(48:63)=X’O“ 4、C2Lの検査 CVタイプ=rKEK/送信側」 GKS使用ビット(2)=1 予約(48:63)=X’O’ 5、C2Hの検査 CVタイプ= rKEK/送信側」 GKS使用ビット(1)=1 予約(48:83)=X’O’ 6.03の検査 CVタイプ=「データ/プライハシ」、「データ/MA
CJ、「データ/変換」、rK E K/送信側」、r
K E K/受信側」またはrPIN/PEKJ 反バリアント(30)=“0″ 反バリアント(3B)=“17 予約(48:63)=X’0’ 7.04の検査 Cvタイプ=「データ/プライハシ」、「データ/MA
CJ、rデータ/変換」、rKEK/送信側」、rKE
K/受信側」またはrPIN/PEKJ 反バリアント(30)=90′ 反バリアント(38)=’ 1 ’ 予約(48:63)=X’O’ 8、CILとCIRの検査 第18表の説明と同じ。
9、C2LとC2Hの検査 第18表の説明と同じ。
10、C3とC4の検査 第19表の説明と同じ。
11、C3とC2L1C2Hの検査 Cvタイプ(C3)= rKEK/送信側」またはrK
EK/受信側」かつキー形式(C3)=’lO“または
!11′の場合、キー形式(C2L)= ’ 10 ’
 が−)キー形式(C2R)=’11’ 12、C4とC2L1C2R(7)検査CVタイプ(C
4)= rKEK/送信側」またはrKEK/受信側」
かっキー形式(C4)=“10゛または11“の場合、
キー形式(C2L)= ’ 10“がっキー形式(C2
R)=’ll’ モード=3(OP−IM)の場合、以下の検査を行なう
(このモードはファイル・アプリケーションを支援する
。) 1、C2Lの検査 −CVタイプ= rKEK/受信側」 GKS使用ビット(1)=1 予約(48:63)=X’O’ 2、C2Rの検査 CVタイプ=rKEK/受信側」 GKS使用ビット(1)=1 − 予約(48:63)=X’O’ =169 3.03の検査 Cvタイプ=「データ/ブライバラ」、「データ/MA
CJ 、または「データ/変換」 反バリアント(30)=’O。
反バリアント(38)=’l。
予約(48: 63)=X ’ O“ 5、C2LとC2Hの検査 第18表の説明と同じ。
6.03と04の検査 第20表は、検査が必要なC3と04の有効な組合せを
示す。表の組合せ以外のどの組合せも暗号上無効であり
、許されてはならない。
モード=4(IN−EX)の場合、以下の検査を行なう
(このモードはIBM  SNA複数定義域アプリケー
ションに使用される。) 1、CILの検査 Cvタイプ= rKEK/受信側」 GKS使用ビット(0)=1 予約(48:63)=X’O’ 17〇− 2、CIR(7)検査 Cvタイプ= rKEK/受信側」 GKS使用ビット(0)=1 予約(48: 63)=X“0“ 3、C2Lの検査 CVタイプ= rKEK/送信側」 GKS使用ビット(0)=1 予約(48: 63)=X’ O’ 4、C2Rの検査 CVタイプ= rKEK/送信側」 GKS使用ビット(0)=1 予約(48: 63)=X“0“ 5.03の検査 CVタイプ二「データ/ブライバフ」、「データ/MA
CJ、「データ/変換」またはrK E K/送信側」 反バリアント(30)=’O’ 反バリアント(38)=”l“ 予約(48:E!3)=X’0゜ 6.04の検査 Cvタイプ=「データ/プライハシ」、「データ/MA
CJ、rデータ/変換」、rK E K/送信側J、r
KEK/受信側」またはrPIN/PEKJ 反バリアント(30)=’0’ 反バリアント(38)=“1′ 予約(48: 63)=X“0゛ 7、CILとCIRの検査 第18表の説明と同じ。
8、C2LとC2Hの検査 第18表の説明と同じ。
9.03と04の検査 第19表の説明と同じ。
10、C3とC2L1C2Rの検査 Cvタイプ(C3)= rKEK/送信側」またはrK
EK/受信側」かつキー形式%式%(7) キー形式(C2L)=’lO”かつキー形式(C2R)
=’ll’ 11、C4とC2L1C2Rの検査 Cvタイプ(C4)= rKEK/送信側」またはrK
EK/受信側」かつキー形式(C4)=’IO’または
’l1M)場合キー形式(C2L)=’lO’かつキー
形式(C2R)=’11゜ マスク・キーからの再暗号化(RFMK)式:    
 dist−mode、 e”KM、cIL(KEKI
L)。
e”KM、cIR(KEKIR)、 e”KM、C2(
K)。
CIL、 CIR,C2,C3−−−−−e”KEK、
C3(K) 入カニ dist−mode   キーを送るのに使うチャネル
のタイプを示す。たとえば、CVlC v=0チャネルはキーを送るのに 使用される。
0:CV=O(チャネル) 1:CV(チャネル) e’KM、cIL(KEKIL)  K E K I 
Lは、64ビツトの左キー暗号化キーであり、制御ベク トルCIRを用いてマスク・キー KMのもとて3重暗号化された1 28ビツトのキー暗号化キーKE K1の一部分である。
e”KM、cIL(KEKIL)  K E K I 
Lは、64ビツトの右キー暗号化キーであり、制御ベク トルCIRを用いてマスク・キー KMのもとて3重暗号化された1 28ビツトのキー暗号化キーKE K1の一部分である。
e”KM、C2(K)   Kは、制御ベクトルC2を
用いてKMのもとで3重暗号化された6 4ビツト・キーである。C2はキー を回復するために使用される入力 制御ベクトルである。Kは、搬入 されるキーである。128ビツト・ キーは2つのRFMK命令を使っ て搬出される。
CIL、CIRこれらは64ビツト制御ベクトルで、1
28ビツトのKEKIの左 右の制御ベクトルである。CIL C2 はKEKIL用の制御ベクトルで あり、CIRはKEKIRキー用 の制御ベクトルである。実際の実 施態様では、CVを1つだけ渡し て、CFに制御ベクトルの「キー 形式」ビットを暗黙に設定させる。
CAアーキテクチャは、それぞれ KEK用の左右の制御ベクトルを 渡すように選択したものである。
CFAPはKEK用のこの2つの タイプのCVを生成し管理しなけ ればならない。
キーに用の64ビツト入力制御ベ クトル キーに用の64ビツト出力制御ベ クトル 出カニ e”KEKl、C3 には搬送される64ビツト・キー である。それは、C3またはC3 =0を制御ベクトルとして搬出で きる。キーには制御ベクトルC3 を用いて128ビツトKEK1の もとて3重暗号化される。KEK IL=KEKRの場合、受信側は この出力の1重非暗号化によって Kを回復することができる。
説明:RFMK命令は、マスク・キーによる暗号化から
128ビツト・キーKEKI(搬出キーと呼ばれる)に
よる暗号化に64ビ・ソト・キーKを再暗号化する。
128ビツト・キーK(すなわち、2つの64ビツト・
キー)は2つのRFMK命令を発行することによって搬
出できる。
制御ベクトルを利用するシステムに搬出されるキーは、
KEKl、C3のもとて暗号化される。
すなわち、制御ベクトルが、搬出されるキーに付随する
。制御ベクトルなしでシステムに搬出されるキーは、K
EKl、0のもとて暗号化される。
すなわち、指定された出力制御ベクトルはゼロでなけれ
ばならない。
RFMKは、3つ以上のキーを配布しなければならない
(すなわち、生成キー・セットが必要なキーを生成でき
ない)場合にキーを搬出するのに使用される。RFMK
は非制御ベクトル・システムにデータ/互換性キーを送
るのにも使用される。
d ist−mode=oの場合、C3に指定された制
御ベクトルはゼロでなければならない。データ・キーK
EK1PIN暗号化キー、PIN生成キー、中間ICV
1キ一部分及びトークンを、RFMK命令を使ってCv
システムに送ることができる。RFMKはCV=Oチャ
ネルを介してGKS作成キーを搬出するのに使用できず
、この制限はCv及びCV=Oチャネル分離を保証する
ためにこの命令によって課されている。
第18図は、この命令の構成図である。
CC: 1、動作成功 2、CILまたはCIR無効 3.02無効 4.03無効 5、動作失敗(エラー) 制御ベクトル検査: 1、CILの検査(搬出キー) CVタイプ: rKEK/送信側」 RFMK使用ビ使用ビッ ト約148 : 63)=X“0′ 2、CIRの検査(搬出キー) CVタイプ= rKEK/送信側」 RFMK使用ビ使用ビッ ト約148 : 63)=X“0“ 3.02の検査(搬出キー) Cvタイプ=「データ/互換性」、「データ/プライバ
フ」、「データ/MACJ、「データ/変換」、rKE
K/受信側」、rK E K/送信側」、rPIN/P
EKJ、rPIN/PGK」、rKEKPARTJ、「
中間ICVJまたは「トークン」 予約(48: 63)=X“0“ 4 、 dist−mode・1の場合、以下の検査を
行なう。
リンク制御(CIR)=″01″または″ 11 ″ リンク制御(CIR)=″01″または111 ″ 搬出制御ビット(C2)=1 Cvタイプ(C2)=C’J9イーj (C3)使用ビ
ット(C2)=使用ビ・ソト(C3)反バリアント・ビ
・ソト30 (C3)= ’ 0“反バリアント・ビ・
ソト38 (C3)=’ 1 ’予約(48: 63)
(C3)=X ’ O”5 、 dist−mode=
oの場合、以下の検査を行なう。
リンク制御(CIL)=″′10′″または″ 11 
″ リンク制御(CIR)=″10″または″ 11 ″ 搬出制御ビット(C2)=1 CVタイプ(C2)= rデータ/互換性」C3=0 6、CILとCIRの検査 第18表で指定したものと同じ。
7、C3とCILlCIRの検査 Cvタイプ(C3)= rKEK/KEK/またはrK
EK/受信側ヨ受信側−形式(C3)=“10′または
“11゛の場合、キー形式(CIL)=“10′かつキ
ー形式(CIR)=“111 マスク・キーへの再暗号化(RTMK)式:    d
ist−mode、 e”KM、cIL(KEKIL)
e”KM、cIR(KEKIR)、 e”KEK、C3
(K)。
CIL、 CIR,C2,C3−−−−e”KM、 C
2(K) 入カニ dist−mode   キーの受信に使用されるチャ
ネルのタイプを示す。たとえば、Cv1 CV=Oチャネルはキーを送るの に使用される。
0 : CV=0 (チャネル) 1 : CV (チャネル) e”KM、cIL(KEKIL)  K E K I 
Lは64ビツトの左キー暗号化キーで、制御ベクトルC
I Lを用いてマスク・キーKMのも とで3重暗号化された、128ビツ トのキー暗号化キーKEK1の− 部である。
e”KM、cIL(KEKIR)  K E K I 
Rは64ビツトの右キー暗号化キーで、制御ベクトルC
I Rを用いてマスク・キーKMのも とて3重暗号化された、128ビツ トのキー暗号化キーKEK 1の一 部である(KEKIは入カキ−で ある)。
Kは制御ベクトルC3を用いてキー 暗号化キー(KEKl)のもとて 他のノードから送られたキーであ る。このキーは1重または3重暗 帰化して送ることができ、どちら の場合でも回復される。このキー は、C■チャネルまたはCV=O チャネルを用いて送ることができ、 CV=Oチャネルが使用される場 合は、dist−modeはゼロでなけれe”KEKl
 、 C3(K) CIL、CIR ばならない。受信されたキーは奇 数パディをもつことももたないこ ともあり、したがってCFはパリ ティ検査を必要としない。C3は 入力制御ベクトルとも呼ばれる。
これらは64ビツト制御ベクトル で、128ビツトのKEKl用の 左右の制御ベクトルである。CI LはKEKIL用の制御ベクトル であり、CIRはKEKIRキー 用の制御ベクトルであ。実際の実 施態様ではCvを1つだけ渡して、 CFに制御ベクトルの「キー形式」 を暗黙に設定させる。このCAアー キテクチャは、KEK用の左右の 制御ベクトルを別々に渡すように 選択したものである。CFAPは KEK用のこの2つのタイプのC Vを生成し管理する。
キーに用の64ビツト出力制御べ クトル C3キーに用の64ビツト入力制御ベ クトル 出力 e”KM、C2(K)   Kは、制御ベクトルC2を
用いてKMのもとて3重暗号化された受 信キーである。このキーは、マス ク・キーを用いて暗号化する前に 奇数パリティで調整される。
説明: RTMK命令は、128ビツトのキー暗号化キ
ーKEK (搬入キーと呼ばれる)による暗号化からマ
スク・キーによる暗号化に64ビツト・キーKを再暗号
化する。
128ビツト・キーK(すなわち、2つの64ビツト・
キー)は2つのRTMK命令を発行することによって搬
入できる。
制御ベクトルを使用するシステムから搬入されたキーは
、KEKl、C3のもとて暗号化されることが期待され
る。すなわち、制御ベクトルが搬入すべきキーに付随す
る。これはCVチャネルを使用するキーの搬入とも呼ば
れる。制御ベクトルを使用しないシステムから搬入され
たキーは、KEKl、Oのもとて暗号化されることが期
待される。すなわち、制御ベクトルはゼロである。これ
はCV=Oチャネルを使用するキーの搬入とも呼ばれる
。CAシステムのキーを搬入または搬出するために利用
できる他のチャネルはない。distmode は、キ
ーを送るのに使用されるチャネルを示すよう適切に指定
されなければならない。distmode=0の場合、
指定された入力制御ベクトルはゼロでなければならない
。CV=Oだけが「データ/互換性」キーを搬送または
受信するのに利用され、他のキーはCAクシステム中こ
のチャネルを使って送るまたは受信することができない
どのシステムから搬入されたキーも、常に制御ベクトル
C2を用いてマスク・キーのもとて暗号化される。制御
ベクトルC2は常に命令に供給されなければならない。
すなわち、すべてのキーはCAクシステム中制御ベクト
ルを用いて記憶される。
第19図は、この命令の構成図である。
CC: 1、動作成功 2、CILまたはcIR無効 3.02無効 4.03無効 5、動作失敗(エラー) 制御ベクトル検査: 1、CILの検査(搬入キー): CVタイプ=rKEK/受信側」 RTMK使用ビ使用ビッ ト約148:83)=X’O’ 2、CIRの検査(搬入キー): CVタイプ=rKEK/受信側」 RTMK使用ビ使用ビッ ト約148:Ef3)=X’0’ 3 、 dist−mode=1の場合、以下の検査を
行なう。
リンク制御(CIL)=”01″または″ 11 ″ リンク制御(CIR)=″o1″またはt′ 11 ″ CVタイプ=「データ/互換性」、「データ/プライバ
ラ」、「データ/MACJ、「データ/変換」、rKE
K/受信側」、rKEK/送信側」、rPIN/PE K」、「キ一部分」、「中間ICVJまたは「トークン
」 予約(48:63)=X’O’ 搬出制御ピッ) (C3)=Oの場合、搬出制御ビット
(C2)=O Cvタイプ(C3)=CVタイーj (C2)使用ビッ
ト(C3)=使用ビット(C2)反バリアント・ビット
30(C2)= ’ O”反バリアント・ビット38(
C2)= ’ 1゜4 、 dist−mode=0の
場合、以下の検査を行なう。
リンク制御(CIL)=″10″′または11″ リンク制御(CIR)=”lO”または11″ CVタイプ(C2)= rデータ/互換性」反バリアン
ト・ビット30 (C2)=“O。
反バリアント・ビット38 (C2)=“1゜C3=0 5、CILとCIHの検査 第18表で指定したものと同じ。
6、C2とCIL、CIRの検査 Cvタイプ(C2)= rKEK/送信側」またはrK
EK/受信側」かつキー形式(C2)=“10“または
11′の場合、キー形式(CI L)二“10“かつキ
ー形式(CIR)=”11゜ キー生成(KGEN) 式: %式% この命令の以下の出力形式を示す。
0:64ビツトの奇数パリティ調 整乱数(キー)を出力する。
1:パリティ調整されない64ビツ トの乱数を出力する。
2:制御ベクトルC1を用いてK Mのもとで暗号化された、6 4ビツトの奇数パリティ調整 乱数(キー)を出力する。
C1生成されたキー用の64ビツトの 制御ベクトル 出カニ K       64ビツトの平文の乱数またはパリテ
ィ調整キー e”KM、cl (K)   Kは、生成された制御ベ
クトルC1を用いてKMのもとて3重暗号 化された64ビツト・キーである。
説明:キー生成機能は、64ビツトの奇数パリティ調整
キーを作成し、あるいは制御ベクトルC1を用いてKM
のもとて暗号化された64ビツトの奇数パリティで調整
された平文キーまたはパリティ調整のない平文64ビツ
ト乱数を生成する。
output−typeは必要な出力のタイプを指定す
る。
キー生成命令は、データ/互換性、データ/プライバラ
、データ/MAC1データ/変換の各キー及びANSI
キーを生成するためだけに使用できる。他のすべてのキ
ー・タイプはGKSを使って生成しなければならない。
第20図はこの命令の構成図を示す。
CC: 1、動作成功 2.01無効 3、動作失敗(エラー) 制御ベクトル検査: 1 、 output−type=2の場合に01を検
査する。
Cvタイプ=「データ/互換性」、「データ/プライバ
ラ」、「データ/MA’CJ、「データ/変換」、[デ
ータ/ANSIJまたはrANS I/KEKJ 反バリアント(30)二′0“ 反バリアント(38)=” 1 ’ 予約ビット(48:63)=X’O’ マスク・キーによる暗号化(EMK) 式:    K、 CI −−−−−e”KM、cl(
K)入カニ K      この機能に供給される64ビット平文奇
数パリティ調整キー、また はデータ・キー用の64ビツトの トークンとすることができる。トー クンはCKDS上にデータ・キー と−緒に記憶される。データ・キー 用のトークンの使い方については、 RTNMKを参照のこと。
C1供給されるキーまたはトークン用 の64ビツト制御ベクトル 出カニ e”KM、cl(K)   Kは、供給され制御ベクト
ルC1を用いてKMのもとて3重暗号化 される64ビツト・キーである。
Kは、CKDSにデータ・キーと 一緒に記憶される64ビツトのトー クンでもよい。
説明:マスタ・キーによる暗号化命令は、制御ベクトル
C1を用いてKMのもとて暗号化された64ビツト・キ
ーまたはトークンを作成する。
この機能に渡されるキーまたはトークンが[データ/プ
ライバラ」または「トークン」タイプの場合、それは制
御ベクトルc1を用いてKMのもとて暗号化される。そ
うでない場合、システムが「超安全J  (super
 5ecure)モードの場合に限りこの機能が実行で
きる。「超安全」モードでは、この機能はいずれかのC
Vタイプを用いてどの平文キーをも暗号化できる。
第21図は、この命令の構成図である。
CC: 1、動作成功 2.01無効 3、超安全モードではない。
4、動作失敗 制御ベクトル検査: 1.01の検査 Cvタイプ=「データ/互換性」、「データ/プライバ
シ」、「データ/MACJ、「データ/変換」、「デー
タ/ANSIJ、rKEK/送信側」、rKEK/受信
側」、「トークン」、「中間ICVJ、rPIN/PG
KJまたはrPIN/PEKJ 反バリアント(30)=’O“ 反バリアント(38)=“1“ 予約ビット(48:83)=X’O’ (CVタイプ0(「データ/互換性」または「トークン
」)の場合、超安全モード・フラグ=1 キーパ換(XLTKEY) 式:     e’KM、cIL(KEKIL)、 e
”KM、cIR(KEKIR)、 e”KM、c2L(
KEK2L)。
e”KM、c2R(KEK2R) 、 e”KEKl 
、C3(K) 。
mode、 CIL、 CIR,C2L、 C2R,C
3−−−−−e”KEK2.c3(K) 入カニ e”KM、cIL(KEKIL)  K E K I 
Lは、64ビツトの左キー暗号化キーであり、制御ベク トルCILを用いてマスク・キー KMのもとて3重暗号化された1 28ビツトのキー暗号化キーKE K1の一部である(これは搬入K EKである)。
e”KM、cIR(KEKIR’)  K E K I
 Rは、64ビツトの右キー暗号化キーであり、制御ベ
ク トルCIRを用いてマスク・キー KMのもとて3重暗号化された1 28ビツトのキー暗号化キーKE K1の一部である(これは搬入K EKである)。
e”KM、c2L(KEK2L)  K E K 2 
Lは、64ビツトの左キー暗号化キーであり、制御ベク トルC2Lを用いてマスク・キー KMのもとて3重暗号化された1 28ビツトのキー暗号化キーKE K2の一部である(これは搬入K EKである)。
e”KM、c2R(KEK2R)  K E K 2 
Lは、64ビツトの右キー暗号化キーであり、制御ベク トルC2Rを用いてマスク・キー KMのもとて3重暗号化された1 28ビツトのキー暗号化キーKE K2の一部である(これは搬入に e”KEKl、c3(K) ode CIL、CIR EKである)。
Kは、制御ベクトルC3を用いて KMのもとて3重暗号化された6 4ビツト・キーである。Kは変換 されるキーである。128ビット ツキ−は2つのキー変換命令を用 いて変換される。
0 : C3=非ゼロ制御ベクトル 1 : C3=0 これらは、64ビツトの制御ベク トルで、128ビツトKEKi用 の左右の64ビツト制御ベクトル である。CILはKEKIL用の 制御ベクトルであり、CIRはK EKIRキー用の制御ベクトルで ある。実際の実施態様ではCVを 1つだけ渡して、CFに制御ベク トルの「キー形式」ビットを暗黙 に設定させる。このCAアーキテ クチャは、KEK用の左右の制御 C2L、C2R C3 ベクトルを別々に渡すように選択 したものである。CFAPはKE K用の2つのタイプのCVを生成 し管理しなければならない。
これらは、128ビツトKEK2 用の左右の64ビツト制御ベクト ルである。C2LはKEK2L用 の制御ベクトルであり、C2Rは KEK2Rキー用の制御ベクトル である。
キーに用の64ビツト制御ベクト ルである。同じ制御ベクトルが、 KEK2のもとてキーを出力する のにも使用される。
出カニ e”KEK2.C3(K)  Kは64ビツトの変換さ
れたキーである。
説明:キー変換命令は、128ビツト・キー暗号化キー
KEK1(搬入キーと呼ばれる)による暗号化から12
8ビツト・キー暗号化キーKEK2(搬出キーと呼ばれ
る)による暗号化に64ビツト・キーKを再暗号化する
。局所的には、すべてのKEKは128ビツトであり、
制御ベクトルを用いてマスク・キーのもとで記憶される
。128ビツトKEKのKEKL部分とKEKR部分は
、KMのもとて別々に暗号化されて、2つの64ビット
暗号キー量を生成し、連結されて128ビツトの量とし
てローカルに記憶される。128ビツトKEKを回復す
るために、DEDタイプの非暗号化動作を2回行なわな
ければならない。
128ビツト・キーK(すなわち、2つの64ビツト・
キー)は、2つのキー変換命令を発行することによって
変換できる。
モード・パラメータは変換されるキーのタイプを指定す
る。このキーは、このモード・パラメータを使って回復
しなければならない。1Iode=1 の場合、C3=
0を使ってキーを回復しまた変換しなければならない。
CV=OとCvの混合及び突合せはこの命令では許され
ない。
第22図はこの命令の構成図である。
CC: 1、動作成功 2、CILまたはCIR無効 3、C2LまたはC2R無効 4.03無効 5、動作失敗(エラー) 制御ベクトル検査 1、CILの検査(搬入キー) Cvタイプ=rKEK受信側」 XLATE  IN使用ビット=1 予約(48:63)=X’0“ 2、CIRの検査(搬入キー) Cvタイプ= rKEK使用ヒツト」=IXLATE 
 IN使用ビット=1 予約(48: 63)=X“0“ 3、C2Lの検査(搬出キー) Cvタイプ=rKEK送信側」 XLATE  OUT使用ビット=1 予約(48:63)=X’0゜ 4、C2Rの検査(搬出キー) Cvタイプ= rKEK送信側」 XLATE  OUT使用ビット=1 予約(48: 63)=X’ O。
5、CILとC2Rの検査 第21表の説明と同じ。
C3,CIR,!:C2Rの検査 第21表の説明と同じ。
7、CILlCIR,C2L1C2Rの検査用ode=
0の場合、 (リンク制御(CIL)=(リンク制御(CIR)=’
01’または (リンク制御(CIL)=(リンク制御(CIR)=’
 11 ” mode=0の場合、 (リンク制御(C2L)= (リンク制御(C2R)=
 ’ 01 ’ tたは (リンク制御(C2L)= (リンク制御(C2R)=
 ” 11゜ mode=1の場合、 (リンク制御(CIL)=(リンク制御(CIR)=’
 10 ’または (リンク制御(CIL)=(リンク制御(CIR)=’
 11 ’ mode=1の場合、 (リンク制御(C2L)= (リンク制御(C2R)=
 ’ 10“または (リンク制御(C2L)= (リンク制御(C2R)=
”ll’ 8、C3とCIL、CIRの検査 Cvタイプ(C3)= rKEK/送信側」またはrK
EK/受信側」かつキー形式(C3)=’10’または
+111の場合、キー形式(CIL)=“109かつキ
ー形式(CIR)=“11′ 9、C3とC2L1C2Rの検査 CVタイプ(C3)= rKEK/送信側」またはrK
EK/受信側」かつキー形式(C3)=’10”または
+111の場合、キー形式(C2L)=”lOqかつキ
ー形式(C2R)=’ll” 新マスク・キーへの再暗号化(RTNMK)式:   
 キー・モード mode、 e”KMc、cl(K)、C1−−−−e
”KMN 、CI (K) 式:     トークン・モード mode、 (token+e”KMc、cl(K))
e”KMc、C2(token)、 CI、 C2゜−
(token+e”KMN、cl(K))。
e”KMN、C2(token) 入カニ ode 以下のようなRTNMKモードを 示す。
0:キー・モード 1ニド−クン・モード キー・モードは、キーを新しいマ スフ・キーに変換するのに使用さ れる。トークン・モードは、キー とトークンを、特殊な形でDKD Sに記憶される新マスク・キーに 変換するのに使用される。CFA Pは乱数を生成し、それをトーク ンとして指定する。暗号化された データ・キーe”KM、cl (KD)がこのトークン
と排他的論理和が取ら れて、その結果得られる値がDK DSに記憶される。トークン自体 は秘密の量であり、E M K (e”KM。
C2(token) )  を使って暗号化されて、や
はりDKDSに記憶され る。マスク・キーが変更されると き、トークンとキーを、原子的動 作としてRTNMKを使って再暗 号化しなければならない。
e”KMc、cl(K)  Kは、制御ベクトルC1を
用いて現マスク・キーのもとて3重暗号 化された64ビツト・キーである。
01    64ビツト・キーC1用の制御ベクトルで
ある。
(token+e”KMc、cl(K) )  D K
 D Sに記憶された特殊な量である64ビツトの量で
あ る(“十“動作は排他的論理和を 表す)。CFAPはこの量を生成 し、それをDKDSに記憶する。
この入力はmode=1の場合に有効 である。
e”KMc、C2(token)制御ベクトルC2を用
いて現マスク・キーのもとて暗号化された 64ビツトのトークンである(こ れはEMK命令を使って生成され る)。この入力はmode=1の場合 に有効である。
02    64ビツトのトークン用の制御ベクトルで
ある。この入力はmode=1の場合に有効である。
出カニ e”KMN、cl(K)   Kは制御ベクトルC1を
用いて新マスク・キーのもとで3重暗号化 された64ビツト・キーである。
(token+e”KMc、cl (K) )  これ
は、DKDSに記憶できる、新マスク・キーのもとて生 成された特殊な量である。この出 力はmode=1 の場合にのみ仔効である。
e”KMN、c2(token)  これは、制御ベク
トルC2を用いて新マスク・キーのもとて再暗 帰化されたトークンである。この 出力はmode=1の場合にのみ有効 である。
説明: RTNMK命令は、64ビット暗号キーを現マ
スク・キーのもとて非暗号化(復号化)させ、新マスク
・キーのもとて再暗号化させる。
RTNMK命令は、マスク・キーが変更されたときシス
テム内のすべてのキーを再暗号化するのに使用される。
この命令は、現マスク・キーと新マスク・キーを暗号機
構内の当該レジスタに保持する。RTNMK命令を実行
するには、暗号機構内に新マスク・キー(NMK)フラ
グが設定されていないといけない。新マスク・キーを暗
号機構にロードすると、このフラグが設定される。切換
え点で、SMK命令がNMKフラグをリセットする。暗
号機構内に新マスク・キーと現マスク・キー機能がなけ
ればならず、その他にCF中に現マスク・キーのちょう
どルベル前のマスク・キーを含む旧マスク・キー位置も
あり得る。各マスク・キーは、CF中にそれに関連する
フラグをもたなければならず、RTNMK動作を実行す
るには現マスク・キー・フラグを設定しなければならな
い。
マスク・キー・フラグは切換え点でSMK命令によって
設定される。
ある種のシステムでは、切換え点ではオフラインとなる
アプリケーションがある。したがって、いくつかのキー
は依然として旧マスク・キーのもとて暗号化される。切
換え後にアプリケーションがオフラインになると、それ
は、現マスク・キーへの再暗号命令(RTCMK)を使
って、旧マスク・キーから現マスク・キーにこうしたキ
ーを変換することができる。
CMK及びNMKフラグが設定されない場合、動作が打
ち切られる。
RTNMK命令は、トークンとトークンに関連する特殊
な値を1基本動作で再暗号化するのにも使用できる。こ
の特殊値は、トークンと暗号化データ・キーの排他的論
理和である。データ・キーはこの特殊値としてDKDS
に記憶され、トークンの暗号化された値も秘密の量とし
て記憶される。
暗号化されたトークン値は、暗号機構内でRTNMKま
たはRTCMK命令の内部でしか非暗号化(復号化)で
きない。CA中にトークンを非暗号化(復号化)する他
の機能はない。トークン値はEMKを用いて暗号化され
、トークンは特殊な制御ベクトルに関連付けられる。制
御ベクトルの検査はシステム内でのトークンの安全保護
を確保するため、EMK及びRTNMK中で行なわれる
第23図と第24図は、この命令の構成図である。
CC: 1、動作成功 2、NMKフラグ未設定、不法シーケンス3、CMKフ
ラグ未設定、不法シーケンス4.01無効 5.02無効 6゜動作失敗(エラー) 制御ベクトル検査 1 、 mode=oの場合に01の検査予約(48:
C33)=X”0” 2 、 mode=1の場合に02の検査CVタイプ=
「トークン」 予約(48: C33)=X“0“ 現マスク・キーへの再暗号化(RTCMK)式:   
 キー・モード mode、 e’KMO,cl(K)、 CI−−−−
e”KMc、cl(K) 式:     トークン・モード mode、  (token+e”KMO,cl(K)
)。
e”K)4[1,C2(token)、 CI、 C2
−−(token+e”KMc、cl(K))。
e”KMc、c2(token) 入カニ ode 以下のようなRTCMKモードを 示す。
0:キー・モード 1ニド−クン・モード e”KMO,cl(K)   Kは、制御ベクトルC1
を用いて旧マスク・キーのもとて3重暗号 化された64ビツト・キーである。
01    64ビツト・キーに用の制御ベクトルであ
る。
(token+e”KMO,cl(K))  64ビツ
トの量で、DKDSに記憶された特殊な量である (“+“演算は排他的論理和であ る)。CFAPはこの量を生成し、 それをDKDSに記憶する。この 入力はl1ode=1 の場合に有効である。
e”KMO,c2 (token)制御ベクトルC2を
用いて旧マスク・キーのもとて暗号化された 64ビツトのトークンである(こ れはEMK命令を用いて生成され る)。この入力はmode−1の場合 に有効である。
64ビツト・トークン用の制御ベ クトルである。この入力はmode=1の場合に有効で
ある。
出カニ e”KMc、cl(K)  Kは、制御ベクトルC1を
用いて現マスク・キーのもとて3重暗号 化された64ビツト・キーである。
(token+e’KMc、cl(K))  これは、
DKDSに記憶できる現マスク・キーで生成された 特殊な量である。この出力は mode=1の場合にのみ有効である。
e”KMc、c2(token)  これは、制御ベク
トルC2を用いて現マスク・キーのもとて再暗 帰化されたトークンである。この 出力はmode=1の場合にのみ有効 である。
説明:RTCMK命令は、64ビット暗号キーを旧マス
ク・キーのもとて非暗号化(復号化)させ、現マスク・
キーを用いて再暗号化させる。
RTCMK命令は、旧マスク・キーのもとて暗号化され
たシステム内のキーを再暗号化するために使用され、そ
のとき以降、マスク・キーが変更される。すなわち、N
MKフラグはセットされず、SMK命令がすでに実行さ
れている。現マスク・キーは、RTNMKを用いて変換
されなかったキー用の新しいマスク・キーである。この
命令を実行するには、CF内でCMKフラグとOMKフ
ラグがセットされ、NMKフラグがリセットされなけれ
ばならない。この命令は、暗号機構内の当該のレジスタ
中で現マスク・キーと新マスク・キーを保持する。
暗号サブシステム内のCFAPは、RTNMK及びRT
CMK命令の使用とマスク・キーのレベルを知らなけれ
ばならない。旧マスク・キーの問題を解決するため、マ
スク・キーの1つ前のレベルだけが任意選択でCF内に
維持できる。CFAPは旧マスク・キー及び現マスク・
キーのもとて暗号化されたキーを追跡しなければならな
い。
RTCMK命令は、新マスク・キーの切換え点の後でR
TCMKを実行したい場合に限って実施できる任意選択
命令である。
OMK及びCMKフラグがセットされず、NMKフラグ
がリセットされない場合、動作を打ち切らなければなら
ない。
RTCMK命令を使って、トークンとそれに関連する特
殊な値を1基本動作で再暗号化することもできる。この
特殊な値は、トークンと暗号化データ・キーの排他的論
理和である。データ・キーは、この特殊値としてDKD
Sに記憶され、トークンの暗号化された値も秘密の量と
して記憶される。
暗号化されたトークン値は、暗号機構内でRTNMKま
たはRTCMK命令の内部でしか非暗号化(復号化)で
きない。CA中にトークンを非暗号化(復号化)する他
の機能はない。トークン値はEMKを用いて暗号化され
、トークンは特殊な制御ベクトルに関連付けられる。シ
ステム内でのトークンの安全保護を確保するため、EM
K及びRTCMKで制御ベクトル検査が実行される。
第25図と第26図はこの命令の構成図である。
CC: 1、動作成功 2.0MKフラグ未設定、不法シーケンス3、CMKフ
ラグ未設定、不法シーケンス4、NMKフラグ未設定、
不法シーケンス5.01無効 6.02無効 7、動作失敗(エラー) 制御ベクトル検査: 1 、 mode=0の場合に01の検査予約(48:
 63)=X ’ 0“ 2 、 mode=1の場合に02の検査CVタイプ=
「トークン」 予約(48:E33)=X’O’ マスク・キー設定(SMK) 式:0 人カニ   なし 出カニ   なし 説明:SMK命令は次のことを引き起こす。
1、(旧マスタ・キー=現マスタ・キー)2、(旧マス
ク・キー・フラグ=1) 3、現マスタ・キー=新マスタ・キー 4、現マスク・キー・フラグ=1 5、新マスク・キー・フラグ=0 この命令は、「超安全」モードでのみ実行しなければな
らない。すなわち、この命令を実行するには、物理キー
位置が「超安全」位置になければならず、暗号機構内で
超安全フラグがセットされなければならない。マスク・
キーの左右の部分が、新マスク・キー・レジスタに等し
くないかどうか検査され、2つの部分が等しい場合は動
作が打ち切られる。
CF内でSMKが実行された後はずっと、CFはすべて
の暗号演算に対して新マスク・キーを使用する。切換え
点は、この命令の実行後に有効となる。システム内に旧
マスク・キーのもとて暗号化されたキーが他にもある場
合、任意選択命令RTCMKがキーを再暗号化する唯一
の手段である。
CF中でNMKフラグがセットされない場合、動作を打
ち切らなければならない。
CC: 1、動作成功 2、NMKフラグ未設定 3、左右の部分が等しい。
4、超安全フラグ未設定、無効シーケンス5、動作失敗
(エラー) MDCOP (MDC動作) 説明:1987年8月23日付けの米国特許出願第90
833号に記載されているように、修正検出コード(M
DC)を計算する命令を提供することは、当該技術の範
囲内にある。これを引用により本明細書に組み込む。
暗号機構クリア(CLRCF) 式二〇 人カニ   なし 出カニ   なし 説明:暗号機構(CF)のレジスタ、フラグ及びすべて
のローカル・メモリがクリアされる。この機能は、マス
ク・キーが危険にさらされた場合にマスク・キーとフラ
グをクリアするために使用できる。マスク・キー・フラ
グがリセットされた場合、侵入者は、RTNMKまたは
RTCMKを実行して危険にさらされたキーから自分の
マスク・キーにキーを変換することができない。
この機能は、無許可ユーザからのサービスの喪失を防ぐ
のに望ましい保護の程度に応じて、物理キーの制御下で
または特権命令として実施できる。
CC: 1、動作成功 2、動作失敗(エラー) キ一部分レジスタ・クリア(CLRKPR)式二〇 人カニ   なし 出カニ   なし 説明:この命令は暗号機構(CF)内のキ一部分レジス
タをクリアする。この命令は、キ一部分レジスタ中の誤
った入力または危険にさらされた入力をクリアするため
に使用できる。CLRKPRを使うと、全体CFを破壊
せずにキ一部分レジスタがクリアできる。ただし、CL
RCF命令も使用できる。命令CLRCFとCLRKP
Rをどのように実施するか選択するのは、実施者の責任
である。たとえば、CFレジスタを選択的にリセットで
きる単一命令を設けることができる。所与の実施態様で
は、無許可ユーザからのサービスの喪失を防ぐのに望ま
しい保護の程度に応じて、物理キーをまたは特権命令と
して使用できる。
CC: 1、動作成功 2、動作失敗(エラー) NMKレジス9− りIJ7 (CLRNMK)式:0 人カニ   なし 出カニ   なし 説明:この命令は、暗号機構(CF)内でNMKレジス
タをクリアする。CFまたはNMKに誤って入力された
NMKが危険にさらされた場合に、この命令が使用でき
る。暗号機構クリア命令はきわめてよく使用されるので
、この命令を使って新しいマスク・キー・レジスタをク
リアすることができる。CLRCF  CLRKPR及
びCLRNMKなどの命令をどのように実施するか選択
するのは実施者の責任である。たとえば、CFレジスタ
を選択的にリセットできる単一命令を設けることができ
る。無許可ユーザからのサービスの喪失を防ぐのに望ま
しい保護の程度に応じて、所与の実施態様では、物理キ
ーをまたは特権命令として使用できる。
CC: 1、動作成功 2、動作失敗(エラー) 下位CV権限低下(LCVA) 式:    e”KM、cl(K)、 CI、 C2−
−−−e”KM、C2(K) 入カニ e”KM、cl (K) には、制御ベクトルC1を用いて マスク・キーのもとて3重暗号化 された64ビツト・キーである。
64ビツト入力制御ベクトル 64ビツト出力制御ベクトル 出カニ e”KM、C2(K)   Kは64ビツト制御ベクト
ルC2を用いてKMのもとて3重暗号化 された64ビツト・キーである。
説明:LCVAは、CV中の搬出制御フィールドでの権
限を低下させるように構成された制御ベクトル命令であ
る。
CC: 1、動作成功 2、C1またはC2無効 3、動作失敗(エラー) 制御ベクトル検査: 1.01と02の検査 CVタイプ(C1)=Cvタイプ(C2)予約(48:
Ef3)(CI)= 予約(48: 63)(C2)=X ’ 0゜KEKの
使用ビット(C1)=KEKの使用ビット(C2) PINキー(C1)の使用ビット=PINキーの使用ビ
ット(C2) 搬出制御ビット: 搬出制御ビット1 (C2) =1 (他にRFMKな
し) 第1マスク・キ一部分のロード(LFMKP)式:D=
====  KPレジスタの内容はNMKレジスタに転
送される。フラグ (NMKレジスタ)=「部分光 填」及びフラグ(KPレジスタ) =「空」 説明:この命令は、キ一部分レジスタに記憶されたマス
ク・キーの第1の部分をNMK (新マスク・キー)レ
ジスタにロードする。さらに、NMKレジスタのフラグ
が、(「空」状態から)NMKレジスタが完了してない
ことを示す「部分充填」状態に設定される。キ一部分レ
ジスタの内容は、(「満杯」状態から)キ一部分レジス
タが現在空であることを示す「空」状態に設定される。
この動作は、キ一部分レジスタが現在「満杯」状態にあ
り、NMKレジスタが「空」状態にある場合に限って行
なわれる。
注:この命令の実行の前に、第1のマスク・キー部分が
、トリガー・ボタン(たとえば「実行キー」)でキー人
力装置(キー・パッドなど)またはキー・ボードによっ
てキ一部分レジスタに入れられる。(トリガー・ボタン
は、通常キー・パッドまたはキー・ボードを介して入力
されたキーの値をキ一部分レジスタにロードする動作を
開始するために使用される。) 以下の追加機能は任意選択であり、物理キーをもつシス
テムで実施できる。
この命令を実施するには、上記のレジスタのフラグに関
する要件以外に、キー・スイッチ位置が感知され、それ
が適切な位置(たとえば、第1のマスク・キ一部分使用
可能位置)になければならない。
CC: 1、動作成功 2、CKP1無効 3、動作失敗 制御ベクトル検査:なし マスク・キ一部分組合せ(CMKP) 式: mode ”=N M Kの内容= (NMKレ
ジスタの内容)と(KPレジスタの 内容)の論理和、 フラグ(KPレジスタ)=「空」 かつmode=o の場合はフラグ (NMK)=: r部分充填」 mode=1 の場合はフラグ(NM K)=「満杯」 ただし、モードは命令の入力であり、組み合わされるマ
スク・キ一部分が最後のキ一部分であるかどうかを示す
mode”oの場合、組み合わされるマスク・キ一部分
は最後のキ一部分ではなく、より多くのキ一部分が組み
合わされて、完全なマスク・キーを形成することが期待
される。
l1ode:1 の場合、組み合わされるマスク・キ一
部分は最後のキ一部分であり、この命令の実行後にNM
Kレジスタ中で完全な新マスク・キーが形成される。
説明:この命令は、キ一部分レジスタに記憶された1番
目のマスク・キ一部分KPjをNMKレジスタに記憶さ
れた他のキ一部分と排他的論理和を取り、結果をNMK
レジスタに記憶する。
この命令はまた、 KPレジスタのフラグを(「満杯」状態から)「空」状
態に設定する。
■ode=1 の場合にNMKレジスタのフラグを「満
杯」状態に設定し、mode=oの場合に「部分充填」
状態に設定する。
この命令が実行されるのは、キ一部分レジスタが「満杯
」状態にあり、NMKレジスタが「部分充填」である場
合に限る。
注:この命令の実行前に、マスク・キ一部分KPjは、
トリガー・ボタン(たとえば、「実行キー」)でキー人
力装置(キー・パッドなど)またはキー・ボードによっ
てキ一部分レジスタに入れられる。(トリガー・ボタン
は、通常キー・パッドまたはキー・ボードを介して入力
されたキーの値をキ一部分レジスタにロードする動作を
開始するために利用される。) 複数部分(たとえば、マスタ・キーKMは、KM=KM
I  XORKM2.、、XORKMnとなるようなn
個の部分KM1.KM2....。
KMnをもつ)のマスク・キーを導入する際のこの命令
及び第1マスク・キ一部分ロード命令の使い方は、「キ
ー管理」の節のキー導入手順のところに記載されている
以下の追加機能は任意選択であり、物理キーをもつシス
テムで実施できる。
この命令を実施するには、上記のレジスタのフラグに関
する要件以外に、キー・スイッチ位置が感知され、それ
が適切な位置(たとえば、第2のマスク・キ一部分使用
可能位置)になければならない。
CC: 1、動作成功 2、CKPl、CKP2またはCKEK無効3、動作失
敗 制御ベクトル検査:なし 第1キ一部分のロード(LFKP) 説明:この命令は、キ一部分レジスタに記憶されたキー
の第1のキ一部分を暗号化する。暗号化されたキ一部分
は、その後の検索及び(キー部分組合せ命令による)キ
ーの他のキ一部分との組合せのために、CFAPによっ
てキー記憶機構に記憶される。この命令を実行すると、
キ一部分レジスタのフラグも「満杯」状態から「空」状
態に設定される。
この動作を実施するには、キ一部分レジスタが「満杯」
状態になければならない。
キ一部分組合せ(CKP) 説明:キ一部分組合せ命令は、キ一部分レジスタに記憶
されたキ一部分と以前のキ一部分を組み合わせる。キ一
部分の組合せは、それらの論理和を取ることによって実
施される。この命令を実行すると、キ一部分レジスタの
フラグも(満杯状態から)「空」状態に設定される。こ
の命令が実行されるのは、キ一部分レジスタのフラグが
「満杯」状態にある場合に限る。
検査パターンの計算(CVP) 説明: cvp命令は、所与のキーKに関する検査パタ
ーンを計算する。この検査パターンを使って、手動で導
入されたキーが正しく入力されたかどうかを検査するこ
とができる。この命令の詳細は本発明の範囲外である。
エラー検出コードのANSI生成(AGEDC)式: 
   A ==== EDC 入カニ A      エラー検出コードが生成される対象とな
るデータ 出カニ ECCAで指定されたデータについて計算された64ビ
ツト・エラー検出 コード 説明:エラー検出コードは、他の手段(プライバシ・キ
ーによる確認など)が利用できないときに伝送エラーを
検出したりエラーを処理するために、ANSI  X9
.17−1985で使用される。EDCは、ANSI 
 X9.9−1982で定義された認証法(MAC)と
、固定した秘密でないキーKDX=X’0123458
789ABCDEF“を用いて生成される。
AGEDCは、コード化命令と平文値KDXを用いてC
FAP内でシミュレートされる。この命令は、マスク・
キーのもとて暗号化された事前計算された形のKDXを
もつ他のCA命令(たとえば、GMACまたはENCI
 PHER)を用いてシミュレートすべきではない(と
いうのは、これはマスク・キーのもとて暗号化された周
知の値を表すから)。
エラー検査m1−pのANsI検査(AVEDC)式:
    A、 E D C==== yes/n。
入カニ EDC 供給されたエラー検出データと突 き合わせて検査されるデータ Aで指定されたデータに対して検 査される64ビツト・エラー検出 コード 出カニ yes/n。
Aで指定されたデータに基づいて 計算されたエラー検出コードが供 給されたEDCと一致することを 示す。
説明:エラー検出コードは、他の手段(プライバシ・キ
ーによる承認など)が利用できないときに伝送エラーを
検出したりエラーを処理するために、ANSI  X9
.17−1985で使用される。EDCは、ANSl、
X9.9−1982で定義された認証法(MAC)と、
固定した秘密でないキーKDX=X“01234567
89ABCDEF“を用いて生成される。
AVEDCは、コード化命令と平文値KDXを用いてC
FAPでシミュレートされる。この命令は、マスク・キ
ーのもとて暗号化された事前計算された形のKDXをも
つ他のCA命令(たとえば、GMACまたはVMAC)
を用いてシミュレートすべきでない(というのは、それ
はマスク・キーのもとて暗号化された既知の値を表すか
ら)。
部分認証キーのANSI作成(APNOTR)式:  
  mode、 e”KM、cIL(KKI)。
入カニ mode e”KM、cIR(KKr)、  FMID、 TOI
D、  CIL。
CIR,C2L、C2R ” e”KM、c2L(KK旧土)、e”KM、c2R
(KKNIR) 入力” K K = K K 1 / / K K r
が複製された64ビツト(すなわち、 KK1=KKr)か、それとも真 の128ビツトKEKかを示す。
0:真の128ビツトKEK 1:複製64ビツトKEK 部分認証キーを作成するためのア ルゴリズムは、64ビツトKEK と128ビツトKEKで少し異なっ ている(「認証アルゴリズム」参 照)。入力KEK自体からは正し い選択が推論できないので、モー ド・パラメータは正しいアルゴリ ズムを選択する。(すなわち、6 4ビツトKEKも128ビツトK EKも128ビツトとして入力さ れる)。
e”KM、cIL (KKI)制御ベクトルCILを用
いてマスク・キーのもとて暗号化された6 4ビツトKKIである。KKlは 128ビツトのキー暗号化キー ” K Kの左部分である。
e’KM、cIR(KKr)制御ベクトルCIRを用い
てマスク・キーのもとて暗号化された6 4ビツトKKrである。KKrは 128ビツトのキー暗号化キー ’KKの右部分である。
注:CAでは、(ANSI  KE Kを含めて)すべてのKEKは、 128ビツトの形で左右の64ビツ ト部分として記憶される。(64 ビットKEKは複製されて128 ビットを形成する。この場合、左 右の部分は等しい。)”KKの左 部分は、左制御ベクトルを用いて FMID マスク・キーのもとて暗号化され CKDSに記憶される。同様に、 ’KKの右部分は、布制御ベクト ルを用いてマスク・キーのもとて 暗号化されCKDSに記憶される。
制御ベクトルのキー形式ビットは、 左右の部分間及び64ピツ)KE Kと128ビツトKEK間で異な る。
ANSI  X3.4−1977で 定義される16個のASCII文 字。これは、認証パラメータとし て使用されるrfromJノード IDである。このIDが16文字 でない場合は、ANSI  X9゜ 17−1985第7.5節、「キー 認証」に記載されているように、 16文字が形成されるまで、ID を繰り返さなければならない。
(「参考文献」参照) 0ID CIL、CIR C2L、C2R ANSI  X3.4−1977で 定義されている16個のASCI I文字。これは、認証パラメータ として使用される「tO」ノード IDである。このIDが16文字 ではない場合、ANSI  X9゜ 17−1985第7.5節、「キー の認証」に記載されているように、 16文字が形成されるまで、ID を繰り返さなければならない。
”KKのそれぞれ左右の部分用の 64ビツト制御ベクトルである。
”KKNIのそれぞれ左右の部分 用の64ビツト制御ベクトルであ る。
出カニ e”KM、cL(にKNIL)制御ベクトルC2Lを用
いてマスク・キーのもとて暗号化された 64ビツトKKNILである。こ れは、入力KEK1”KKの部分 的または間接的に認証された形で ある128ビツト”KKNIの左 部分である。「部分」認証キーは、 オフセットされていない認証キー である。認証済みキーの搬入また は搬出のためにそれを認証キーと して使用する前に、”KKNIで オフセット化を実行しなければな らない。オフセット化はARTM KlARFMKl及びAXLTK EYによって明示的に実行される。
e”KM、c2R(KKNIR)制御ベクトルC2Rを
用いてマスク・キーのもとて暗号化された 64ビツトKKNIRである。こ れは、入力KEK1’KKの部分 認証された形である128ビツト ”KKNIの右部分である。
注: KEKと部分認証KEKはす べて128ビツトの形でCAに記 憶される。
説明: ANS I認証は、通信対、すなわち、キーの
送信側と受信側の識別でキーをシールする方法である。
キーは、認証されると元のキー暗号化キーと通信対の識
別を知らないと回復できない。データ・キーまたはキー
暗号化キーは、伝送の前に認証キー(”)KNを用いた
暗号化によって認証できる。
ANSIでは、(”)KNは、KEK (”)KKと認
証シールNSの排他的論理和を取ることによって形成さ
れる。認証シールNSは、キー送信側の識別、所期のキ
ー受信側の識別及び(”)KKに関連するキー・メツセ
ージ・カウンタの現在値から構成される。カウンタ値は
動的量であり、すなわち、(”)KKの使用ごとに増分
されるので、各伝送ごとに(’)KNを再計算しなけれ
ばならないことに留意されたい。
CAでは、(”)KNを形成する処理は、2つの別々の
ステップに分かれている。まずAPNOTRを呼び出し
て、”KKNIと呼ばれる(0)KNの中間形を計算す
る。”KKNIは、NSの静的量、すなわち、送信側の
識別、所期の受信側の識別及び(”)KK自体だけに基
づいている。オフセット化と呼ばれる最終ステップでは
、”KKNIと(”)KKに関連する現カウンタ値を組
み合わせて、(”)KNを形成する。CAで(0)KN
の形成を2ステツプに分ける理由は2つある。
1、効率性 (”)KNは3つの静的量(1対の識別と
(”)KK自体)及び1つの動的量((”)KKに関連
するカウンタ)から構成されるので、(”)KKカウン
タが更新されるたびに(e′)KNを完全に再計算する
必要はない。したがって、(”)KNを計算する処理は
、静的量を使用する一時事象と動的量を使用するより単
純な繰り返し事象とに分けられる。
2、透過性 ANSIでは、認証が使用される場合もそ
うでない場合も、伝送のためにKEKを使ってキー(K
Dまたは(”)KK)を暗号化する前に、すべてのKE
Kをオフセットさせなければならない。すなわち、オフ
セラト化は、ARTMK、ARFMK、AXLTKEY
など他のキーを暗号化または非暗号化(復号化)するた
めにKEKを使用するすべてのCA  ANSINS中
に暗黙動作として含まれている。(”)KNの形成を所
定の方式で分割することにより、認証が命令ARTMK
1ARFMK及びAXLTKEYに対して透過性になる
APNOTRは所与のKEK用の部分認証キー”KKN
Iを生成するために使用される。部分認証キーが使用さ
れるのは、認証済みキー(KDまたは(”)KK)がA
RTMKを使って搬入され、AXLTKEYを使って変
換され、あるいはARFMKを使って搬出されるときで
ある。たとえば、データ・キーDKIを、オフセットK
EK、”KKlによる暗号化から他のKEKl”KK2
の認証形による暗号化に変換すると仮定する。t′KK
2の部分認証形である”KKNIIを作成すために、c
′KK2、及び呼出側と所期の受取側の識別を使って、
APNOTRが呼び出される。次いで零KKIと”KK
NI2が、それぞれ人力KEK及び出力KEKとしてA
XLTKEYに渡される。
AXLTKEYは、”KKIと”KKNI2を当該の各
カウンタ値でオフセットさせ、その結果得られるKEK
を使ってMDIを内部で回復し、出力のためにそれを再
暗号化する。(APNOTRは”KK2に対して一度呼
び出せばよいことに留意されたい。”KKN I 2は
、後で認証が望ましいときに使用できるようにCKDS
 (キー記憶機構)にセーブすることができる。ただし
、APNOTRをこのキー管理手法で動的に行なうか、
それとも各(”)KKごとに一度行なうかは実施者の責
任である。)この同じ例を使って、”KK2のもとての
認証が不要な場合、KDlのオフセット化、回復及び再
暗号化のために、”KKl及び”KK2を直接AXLT
KEYに渡すことができる。
すべてのANSI  KEKの使用の際にオフセット化
が常に暗示されており、したがってオフセット機能がハ
ードウェア内に埋め込まれ、暗号機能内でARTMK、
ARFMK及びAXLTKEY命令によって暗黙に実施
される。この方法は、オフセットのための別個の命令が
不要となり、これらの機能に対する認証キーの透過性を
容易にする。
APNOTRは、各通信ノード対間で共用される別個の
(”)KKがあり、ノードIDは変更されないものと仮
定すると、認証性能が改善されるように設計されている
部分認証キー形成アルゴリズムが、第27図と第28図
に示されている。このアルゴリズムは、単長及び倍長K
EK用の個々のアルゴリズム間で共通のステップを利用
するように設計されている。
入力KEK及び出力部分認証KEKが128ビツトとし
て処理される場合、唯一の相違は、”KKNIを形成す
るために入力KEKと排他的論理和が取られる量NSI
とNSrの形成にある。入力KEKの実際のキー・サイ
ズを示すモード・パラメータが、NSl及びNSrの形
成を制御する。
MUXは、モードの制御下でNSIの右半分を形成する
のに使用するため2つの32ビツト入力の一方を選択す
る。同様に、MUXは、N S rの左半分を形成する
のに使用するため2つの入力の一方を選択する。この選
択処理を第28図に示す。
モード・パラメータとMUXの使用により、f−KKN
Iが形成される。”KKNIは入力”KKの実際のキー
・サイズとは無関係で、ANSI  X9゜17で(オ
フセット化の後に)定義された認証キーと等価であり、
他のCA  ANSI  KEKと記憶上互換性がある
APNOTRへの入力は常に128ビツトKEKである
。その出力は常に128ビツトである。
APNOTRに複製された64ビツトKEKが渡される
場合、モード・パラメータを1に設定しなければならな
い。APNOTRは出力線上に複製された64ビツト部
分認証KEKを戻す。CIL。
CIR,C2L、C2Rのキー形式フィールドは、渡さ
れたモード・パラメータの値と整合しなければならない
。(下記の「Cv検査」を参照のこと)部分認証キーは
APNOTRに再入力できない。
キー管理設計のこの態様は、制御ベクトルCIL1CI
R1C2L1C2R及び”KKNIの左右の64ビツト
に対するハードウェア検査によって実施され、部分認証
キーを作成するために一度呼び出される。これは、12
8ビツトKEKの各64ビツト部分ごとに呼出しを必要
とする他のCA機能とは対照的である。
CC: 1、動作成功 2、CILまたはCIR無効 3、C2LまたはC2R無効 4、動作失敗(エラー) 制御ベクトル検査: 1、CILの検査 CVタイプ=”KEK/ANSI“ APNOTR使用ビット使用ビッ ト−+1′CIL)=−1−一形式(C2L)予約(4
8:63)=X’ 0 ’ 2、CIRの検査 Cvタイプ=” KEK/ANS I ”APNOTR
使用ビット使用ビッ ト−11′CIR)=キー形式(C2R)予約(48:
 64)=X“0“ 3.C2Lの検査 Cvタイプ−″KEK/ANSI″ APNOTR使用ビット=IO“ 予約(48: C33)=X“0“ 4、C2Rの検査 CVタイプ=9“KEK/ANSI” APNOTR使用ビット二“0′ 予約(48:63)=X’ 0 ’ マスク・キーからのANS I再暗号化(ARPMK) 式: %式%) : e”KM、cIL (KKL)制御ベクトルCI Lを
用いてマスタ・キーのもとて暗号化された、 KKLと呼ばれる”KKの左64 ビット。ぐKKは、128ビツト のキー暗号化キーまたは部分認証 キーである。
e”KM、cIR(KKR)制御ベクトルCIRを用い
てマスク・キーのもとて暗号化された、 KKRと呼ばれる”KKの右64 ビット。”KKは、128ビツト のキー暗号化キーまたは部分認証 キーである。
注:CAでは、(ANSIキーを 含めて)すべてのKEKが、12 8ビツト形式で左右の64ビツト 部分として記憶される。(64ピツ )KEKは複製されて128ビツ トを形成する。この場合、左部分 と右部分は等しい。)”KKの左 部分は、左制御ベクトルを用いて マスク・キーのもとて暗号化され e’″KM、C2(K) ntr てCKDSに記憶される。同様に、 ”KKの右部分は、右制御ベクト ルを用いてマスク・キーのもとて 暗号化されてCKDSに記憶され る。制御ベクトル中のキー形式ビッ トは、左右の部分間及び64ピツ )KEKと128ビツトKEKの 間で異なる。
搬出される64ビツトANSIキー に;には制御ベクトルC2を用い てマスク・キーのもとて3重暗号 化される。このキーは、データ・ キー 64ビツト・キー暗号化 キー、あるいは128ビツト・キー 暗号化キーの左半分または右半分 でよい。
キー暗号化キー”KKに関連する 64ビツトの平文送信カウンタ値。
この値は、通常所期の受信側に搬 出キーと一緒に送られる。受信側 4l− key−type は、受信したカウンタを使って、 再生を検出し、”KK用のそのロー カル受信カウンタを同期させ、搬 出キーを回復する。ローカル・カ ウンタはCFAPによって保全性 を保って維持される。
搬出されるキーのタイプを指定す る。
注:データ・キーでは、ARFM Kの暗号化出力は2つの形をとる。
出力の1つの形は、所期の受信側 への搬出用である。そのキーはオ フセットされた形の指定されたキー 暗号化キーのもとて暗号化される。
もう1つの形は、C8MをMAC するために直接使用でき(単一K Dが搬出される場合)、また後で 他のこうしたキーと組み合わせて C8M  MACキーを形成する (2つのKDが同時に搬出される CIL、CIR C2 出カニ e”KKo (K) 場合)こともできる。ACOMB KD命令を使って、これらの「部 公的JMACキーを組み合わせて C8M  MAC:キーにする。
0:KD 1:KK それぞれキー暗号化キーまたは部 分認証キー”KKの左右の部分用 の64ビツト制御ベクトル。
大カキ−に用の64ビツト制御ベ クトル。
KMのもとで記憶されるC8M MACキーまたは部分C8M  M ACキー用の64ビツト制御ベク トル。この入力はkey−type二〇 のときだけ有
効にある。
キー暗号化キーまたは認証キー ”KKoのもとて3重暗号化され た64ビツト・キーに、”KK。
e”KM、C3(K) cntr はcntrでオフセットされた零K Kである。”KKが”KKNIと呼 ばれる部分認証キーの場合、。K Koは、”KNと呼ばれる認証キー であり、Kは「認証された」と言 われる。
制御ベクトルC3を用いてマスク・ キーKMのもとて3重暗号化され た64ビツト・データ・キーに0 この出力はkey−type=0のときだけ有効であり
、C8MをMACす るために直接使用され、またAC OMBKDを用いて他のこうした キーと組み合わされて、MAC C3Mを形成する。
キー暗号化キー”KKに関連する 64ビット平文送信カウンタ値。
この値は、通常所期の受信側に搬 出キーと一緒に送られる。受信側 は、受信したカウンタを使って、 key=type 再生を検出し、”KK用のそのロー カル受信カウンタを同期させ、搬 出キーを回復する。ローカル・カ ウンタはCFAPによって保全性 を保って維持される。
搬出されるキーのタイプを指定す る。
注:データ・キーでは、ARFM Kの暗号化出力は2つの形をとる。
出力の1つの形は、所期の受信側 への搬出用である。キーは、オフ セットされた形の指定されたキー 暗号化キーのもとて暗号化される。
もう1つの形式は、C8MをMA Cするために直接使用でき(単一 KDが搬出される場合)、また後 で他のこうしたキーと組み合わせ てC8M  MACキーを形成する (2つのKDが同時に搬出される 場合)こともできる。ACOMB KD命令を使って、これらの「部 公的JMACキーを組み合わせて CSM  MACキーにする。
0:KD CIL、CIR 1:KK それぞれキー暗号化キーまたは部 分認証キー”KKの左右の部分用 の64ビツト制御ベクトル。
入カキ−に用の64ビツト制御ベ クトル。
KMのもとで記憶されるC8M MACキーまたは部分C8M  M ACキー用の64ビツト制御ベク トル。この入力はkey−type=o の時だけ有効
になる。
出力; e”KKo (K) キー暗号化キーまたは認証キー ”KKoのもとで3重暗号化され た64ビツト・キーKo”KK。
はcntr でオフセットされた0に にである。”KKが’KKNIと呼 ばれる部分認証キーの場合、t′K Koは、”KNと呼ばれる認証キー であり、Kは「認証された」と言 われる。
e”KM、C3(K)    制御ベクトルC3を用い
てマスク・キーKMのもとて3重暗号化され た64ビツト・データ・キーにで ある。この出力はkey−type=oのときだけ有効
であり、C8MをM ACするのに直接使用され、ある いはACOMBKDを用いて他の こうしたキーと組み合わされ、M ACC8Mを形成する。
説明:ARFMK命令は、マスク・キーによる暗号化か
ら128ビツトまたは複製64ビツト・キー暗号化キー
”KK(搬出キーと呼ばれる)による暗号化に64ビツ
ト・キーKを再暗号化する。
128ビツト・キーには、64ビツトの各半分ごとに1
回、合計2回ARFMKを呼び出すことによって搬出で
きるが、この場合”KKは真の128ピツ)KEKでな
ければならない。この規則はハードウェアによって実施
される(下記の「Cv検査」を参照のこと)。
ARFMKは、ANSI  X9.17に従って認証さ
れた形または認証されない形でキーを搬出するのに使用
される。ANS Iキーは、所期の受信側と共用される
キー暗号化キーを用いてARFMKを呼び出すことによ
り、認証されない形で搬出される。ARFMKは指定さ
れたキー暗号化キーに対するオフセット化を内部で実行
する。ANS■キーは、所期の受信側と共用される部分
認証形のキー暗号化キーを用いてARFMNを呼び出す
ことにより、認証された形で搬出される。ARFMKは
、特殊な部分認証キーに対するオフセット化を内部で実
行して、認証キーを作成する。部分認証キーはAPNO
TR命令によってキー暗号化キーから形成される。
たとえば、ノードAとBが共用するキー暗号化キーを”
KKabとする。APNOTRを呼び出すことによって
’KKabから形成される部分認証キーを”KK I 
a bとする。キーには、キー暗号化キーとして”KK
abを用いてARFMKを呼び出すことにより、Aから
Bに認証されない形で搬出される。キーには、キー暗号
化キーとして”KKNIabを用いてARFMKを呼び
出すことにより、認証された形でAからBに搬出される
ANSI  X9.17では、1つまたは2つのKDが
単一〇SMで搬出される。1つのKDが送られると、そ
れは最終的にプライバシ・キーまたはMACキーとして
使用される。C8M自体は送られたKDを用いて確認さ
れる。2つのKDが送られる場合、第1のKDはMAC
キーであり、第2のKDはプライバシ・キーである。C
8Mは2つのKDの排他的論理和を用いて確認される。
ARFMKは2つの形で搬出されたデータ・キーを出力
することにより、C8M確認を支援する。
KDの第1の形は、搬出用であり、すなわち、オフセッ
トされた形の指定されたキー暗号化キーのもとて暗号化
される。KDの第2の形はC8MをMACするために直
接動的に使用でき(上記の単−KDの場合のように)、
またこの形の他のKDと組み合わされて(排他的論理和
を取られ)C8MをMACするためのキーを形成する。
後者の使用は単一C8M中に2つのKDがある場合に対
応する。パラメータC3は、第2の出力形がMACキー
かそれともr部分的JMACキーかを制御する。ACO
MBKDは、2回のARFMK呼出しからの部分的MA
Cキーを組み合わせて単一のC8M  MACキーにす
るのに使用される。
第29図はARFMK機能ブロック構成図を示す。
CC: 1、動作成功 2、CILまたはCIR無効 3.02無効 4、動作失敗(エラー) 制御ベクトル検査 1、CILの検査 CVタイプ=″KEK/ANSI″ ARFMK使用ビット二′1′ 予約(48: 63)=X’ O’ 2、CIRの検査 CVタイプ−KEK/ANSI” ARFMK使用ビット=+1′ 予約(48: f33)=X’ O’ 3.02の検査 Cvタイプ=″KEK/ANSI”または“データ/A
NSI″ 搬出制御ビット1=0 (RFMK許可)CVタイプ=
”データ/ANSI″の場合、以下の検査を行なう。第
22表は、検査しなければならないC2属性の有効な組
合せを示す。表の組合せ以外のどの組合せも暗号方上無
効なので、許してはならない。ElD、MC,MVlA
CMBは、データ・キー制御ベクトルの使用ビットであ
る。
4.02とCILlCIRの検査 第23表は、02タイプ及びキー形式とCILおよびC
IRキー形式属性の有効な組合せを示す。
左半分と右半分の分離を実施し、真の128ビン)KE
Kだけが128ビツトKEKのもと搬送されるようにす
るため、これらの属性が検査される。
表中の組合せ以外の属性のどの組合せも暗号上無効なの
で、許されない。
5.03の検査: CVタイプ二″デデー/ANSI” 予約(48: 63)=X“0“ 搬出制御ビット1=1(搬出なし) 第24表は検査しなければならないC3属性の有効な組
合せを示す。表の組合せ以外のどの組合せも暗号上無効
なので、許されない。E、DlMGlMV、ACMBは
データ・キー制御ベクトルの使用ビットである。
マスク・キーへのANS I再暗号化(ARTM−につ
− 式: %式%) : e”KM、cIL (KKI、)制御ベクトルCILを
用いてマスク・キーのもとて暗号化された、 KKLと呼ばれる”KKの左64 ビット。”KKは、128ビツト のキー暗号化キーまたは部分認証 キーである。
e”KM、cIR(KKR)制御ベクトルCIRを用い
てマスク・キーのもとて暗号化された、 KKRと呼ばれる’KKの右64 ビット。”KKは128ビツト・ キー暗号化キーまたは部分認証キー である。
注:CAでは、(ANS Iキーを 含めて)すべてのKEKが128 ビットの形で左右の64ビット部 分として記憶される。(64ピツ e”KKo(K) )KEKは複製されて128ビツ トを形成する。この場合、左部分 と右部分は等しい。)”KKの左 部分は左制御ベクトルを用いてマ スフ・キーのもとて暗号化されて CKDSに記憶される。同様に、 ”KKの右部分は右制御ベクトル を用いてマスク・キーのもとて暗 帰化されてCKDSに記憶される。
制御ベクトルのキー形式ビットは、 左右の部分間及び64ピツ)KE Kと128ビツトKEKの間で異 なる。
搬入される64ビツトANSIキー に、にはキー暗号化キーまたは認 証キー”KKoのもとて3重暗号 化される。”KKoはcntrでオ フセットされた”KKである。*K Kが*KKNIと呼ばれる部分認 証キーの場合、”KKoは、1KN cntr と呼ばれる認証キーであり、Kは 「認証された」と言われる。′K Kが複製された64ビツト・キー である場合、すなわち、*KK= KK//KKの場合、e”Kにo (K)は、オフセッ
トされた64ビツト・ キーのもとて1重暗号化されたA NSIキーにであるeKKo (K)  と等価である
キー暗号化キー”KKに関連する 64ビット平文送信カウンタ値。
この値は、通常所期の受信側から 供給され、Kを暗号化する前に0 KKをオフセットさせるのに使わ れるカウンタである。ARTMK を呼び出して受信キーを搬入する 前に、ANSI  X9.17カウ ント管理に従ってN cntr を”KK用の対応する
ローカル受信カラン タと比較する必要がある。この比 key−tYPe 較ステップとARTMK呼出しス テップは、保全性を保つためCF AP内で自動的に実行すべきであ る。ローカル・カウンタはCFA Pによって保全性を保って維持さ れる。
搬出されるキーの形式を指定する。
注:データ・キーでは、ARFM Kの暗号化された出力は2つの形 をとる。出力の1つの形は、搬入 キーの最終使用用である。このキー はプライバシ・キーまたはMAC キーとして使用できる。もう1つ の形は、C8MをMAMするため に直接使用でき(単一KDが搬入 される場合)、また後でこうした キーと組み合わせてC8M  MA Cキーを形成する(2つのKDが 同時に搬入される場合)ことがで きる。ACOMBKD命令を使っ CIL、CIR 出カニ e”KM、c2(に) て、これらの「部分的J MACキー を組み合わせてC8M  MACキー にする。
0:KD 1:KK それぞれキー暗号化キーまたは部 公認証キー’KKの左右の部分の 64ビツト制御ベクトル。
KMのもとで記憶されるキーに用 の64ビツト制御ベクトル。この 制御ベクトルは搬入キーにの所期 の最終的使用を指定する。
KMのもとで記憶されるC8M MACキーまたは部分C8M  M ACキー用の64ビツト制御ベク トル。この入力はkey−type=oのときだけ有効
である。
制御ベクトルC2を用いてマスク・ キーKMのもとて3重暗号化され = 257 た64ビツト受信キーK。
e”KM、 C3(に)   制御ベクトルc3を用い
てマスク・キーKMのもとて3重暗号化され た64ビツト受信データ・キーに0 この出力は、key−type=0の場合だけ有効であ
り、C8MをMACす るために直接使用され、あるいは ACOMBKDを用いて他のこう したキーと組み合わされて、MA CC8Mを形成する。
説明:ARTMK命令は、128ビツトまたは複製64
ビツト・キー暗号化キー”KK (搬入キーと呼ばれる
)による暗号化からマスク・キーによる暗号化に64ビ
ツト・キーKを再暗号化する。
128ビツト・キーには、各64ビツトの各半分ごとに
1回、合計2回ARTMKを呼び出すことによって搬入
できる。
A RT M K ハ、ANSI  X9.17に従ッ
テ認証されたキーまたは認証されないキーを搬入するの
に使用される。ANS I非認証キーは、キー送信側と
共用されるキー暗号化キーを用いてARTMKを呼び出
すことによって搬入される。ARTMKは、指定された
カウンタ値を使って指定されたキー暗号化キーに対する
オフセット化を内部で実行する。ANSI認証キーは、
キー送信側と共用される部分認証形のキー暗号化キーを
用いてARFMKを呼び出すことによって搬入される。
ARTMKは、指定されたカウンタ値を使って指定され
た部分認証キーに対するオフセット化を実行して、認証
キーを内部で形成する。部分認証キーは、APNOTR
命令によってキー暗号化キーから形成される。
ANSI  X9.17では、1つまたは2つのKDが
単一C8M中で受信される。1つのKDが受信される場
合、それはブライバシ・キーまたはMACACMBて最
終的に使用できる。C8M自体は受信されたKDで確認
される。2つのKDが受信される場合、第1のKDはM
ACACMBり、第2のKDはプライバシ・キーである
。C8Mは2つのKDの排他的論理和で確認される。
ARTMKは、搬入されたデータ・キーを2つの動作形
で出力することにより、C8M確認を支援する。KDの
第1の形は、パラメータC2で指定されるその最終的使
用、すなわちプライバシまたはMACである。KDの第
2の形は、(上記の単一KDの場合と同様に)C8Mを
MACするために直接使用でき、またこの形の他の搬入
KDと組み合わせて(排他的論理和を取って)、C8M
をMACするためのキーを作成することができる。
後者の使用は、単一〇SMに2つのKDがある場合に対
応する。パラメータC3は、第2の出力形がMACAC
MBれとも「部分JMACキーかを制御する。ACOM
BKDを使って、2回のARTMK命令呼出しで得られ
る部分MACキーを組み合わせて単一〇SM  MAC
ACMB成される。
第30図はARTMK機能の構成図である。
CC: 1、動作成功 2、CILまたはCIR無効 3.02無効 4.03無効 5、動作失敗(エラー) 制御ベクトル検査: 1、OILの検査 Cvタイプ= ”KEK/AHSI” ARTMK使用ビット=°1゜ 予約(48:63)=X“0“ 2、CIHの検査 CVタイプ= ”KEK/ANSI“′ARTMK使用
ヒッ) = ’ 1 ’予約(48: 63)=X“0
“ 3.02の検査 Cvタイプ= ”KEK/ANSI”またハ”DATA
/AHSI” ARTMK使用ビット=111 Cvタイプ= ”DATA/ANSI ” (7)場合
、以下の検査を行なう。
第25表は、検査しなければならないC2属性の有効な
組合せを示す。表の組合せ以外のどの組合せも暗号上無
効なので許されない。E1D、MGlMV、IACMB
はデー1− +−制alベクトルの使用ビットである。
4、C2とCIL、C:IRの検査 第26表は、02タイプ及びキー形式とCIL及びCI
Rキー形式属性の有効な組合せを示す。左半分と右半分
の分離を実施し、真の128ビツトKEKだけが128
ビツトKEKのもとで搬入されるようにするため、これ
らの属性が検査される。この表の組合せ以外のこれらの
属性の他のどの組合せも暗号上無効なので許されない。
5.03の検査 −Cvタイプ= ” DATA/ANSI ”−予約(
48:63)=X’O“ −搬出制御ビット1=1(搬出なし) 第27表は、検査しなければならないC3属性の有効な
組合せを示す。表の組合せ以外のどの組合せも暗号上無
効なので許されない。ElDlMGlMV、ACMBは
データ・キー制御ベクトルの使用ビットである。
キーのANS I変換(AXLTKEY)式:  e”
KM、cIL(KKIL)、 e”KM、cIR(KK
IR)。
e”KH,c2L(KK2L)、  e”KM、c2R
(KK2R)。
e”KKlo((”)K)、  (e(”)Ko(KD
mac))。
cntrl、cntr2.key−type。
CIL、CIR,C2L、C2R,C3” e’KK2
o(K)、  e”KM、c3(K)(key−typ
e=o、KD) または e”KK2o((”)K)、 e”KM、c3(KDm
ac)(key−type=1. KEK) 入カニ e”KM、cIL(KKIL)制御ベクトルCILを用
いてマスク・キーのもとて暗号化された、 KKILで表される”KKIの左 64ビツト。’KK 1は128ピツ )KEKまたは部分認証KEKで ある。
e”KM、cIR(KKIR)制御ベクトルCIRを用
いてマスク・キーのもとて暗号化された、 KKIRで表される”KKIの右 64ビツト。”KKIは128ピツ )KEKまたは部分認証KEKで ある。
注:”KKIはカウンタcntrlでオフセットされて
、入力キー暗号化 キー”KK 1 oを内部で形成する。
変換すべきキーが認証された形で 入力される場合、t′KK1は、A PNOTR命令によって作成され た、”KKNIIで表される部 公認証キーでなければならない。
この場合の”KKloは認証キー である。
e”KM、c2L(KK2L)制御ベクトルC2Lを用
いてマスク・キーのもとて暗号化された、 KK2Lで表される”KK2の左 64ビツト。”KK2は128ピツ )KEKまたは部分認証KEKで ある。
e”KM、c2R(Kに2R)制御ベクトルC2Rを用
いてマスク・キーのもとて暗号化された KK2Rで表される”KK2の右 64ビツト。”KK2は128ピツ )KEKまたは部分認証KEKで ある。
注:”KK2はカウンタcntr2でオフセットされて
、出力キー暗号化 キー”KK2oを内部で形成する。
変換すべきキーが認証された形で 入力される場合、”KK2は、A PNOTR命令によって作成され た、”KKNI2で表される部分 認証キーでなければならない。こ の場合t′KK2oは認証キーであ る。
e”KKlo((”)K)変換される(”)Kで表され
る64ビツトまたは128ビツトA NSIキー(KDまたはKEK)。
(0)Kは”KKloのもとで3重 e (”)Ko (KDmac) 暗号化される。*KK 1 oは cntrlでオフセットされた”KKIである。(:)
Kが128ビツト の場合、すなわちI”=に1// Krの場合、このパラメータは e”KKlo (Kl)//e”KKlo (Kr)と
して入力される。そうではなく、(0) Kが64ビツトの場合、このパラ メータはe”KKlo (K)として入力される。
(K)Koのもとて暗号化された すなわちゼロでオフセットされた 64ビツトにのもとて1重暗号化 され、あるいはゼロでオフセット された128ビツトt′にのもとて 3重暗号化された、任意選択の6 4ビットMACキーKDiacoこ の場合、(”)Ko= (”)KlL。
たがってe (’)Ko (KDmac) =e (”
)K (KDmac)である。KDmacは、 cntrl キー変換センタ(KTC)で暗号 サービス・メツセージ(C5M) を確認するために、ANSI  X 9.17で使用される一時MAC キーである。KDmacは、KT CでKEKを変換することを求め るC8M要求に常に付随する。K TCとの間でC3Mを確認するた めにデータ・キー自体がMACキー として使用されるので、KDma Cは、KDを変換することを求め るC8M要求に付随しない。した がって、このパラメータは、キー・ タイプが1、すなわち(#)Kが KEKの場合にだけ有効である。
キー暗号化キー”KKIに関連す る64ビット乎文カウンタ値。こ の値は、通常キー送信側によって 供給され、(”)Kを暗号化する前 に’KKIをオフセットするのに ntr2 使用されるカウンタを表す。受信 されたキーを変換するためにAX LTKEYを呼び出す前に、AN SiI2.17カウンタ管理に 従って、Cntrlを”KK用の対応するローカル受信
カウンタと比較す べきである。比較及びAXLTK EY呼出しステップは、保全性を 保持するためにCFAP内で原子 的に実行する必要がある。KEK カウンタはCFAPによって保全 性を保って維持される。
キー暗号化キー零KK2に関連す る64ビット平文送信カウンタ値。
この値は、通常、所期の受領者へ 変換キーと一緒に送られる。受領 者は、受信したカウンタを使って 再生を検出し、”KM2のそのロー カル受信カウンタを同期させ、変 換されたキーを回復する。ローカ 1(ey−type CIL、CIR C2L、C2R ル・カウンタはCFAPによって 保全性を保持して維持される。
変換されるキーのタイプを指定する。
0:KD 1 :(’)KKlすなわち64 ビットまたは128ピツ )KEK それぞれ入力キー暗号化キーまた は部分認証キーの左右の部分の6 4ビツト制御ベクトル。
それぞれ出力キー暗号化キーまた は部分認証キーの左右の部分の6 4ビツト制御ベクトル。
KMのもとで記憶される部分MA Cキーに対するC3M  MACキー 用の64ビツト制御ベクトル。1 つのKEKまたはちょうど1つの KDが変換される場合、C3はM ACGEN及びMA CV E R属性を指定しなけれ
ばならない。2つ のKDが変換される場合、C3は 「部分JMACキーを作成するた めACOMBKD属性を指定しな ければならない。2つのKDを変 換するのにAXLTKEYの呼出 しが2回必要である。その結果得 られる2つの部分MACキーを八 〇〇MBKD命令を使って組み合 わせ、MACGEN及びMACV ER属性を用いてC8M  MAC キーを形成することができる。
出カニ e”KK2o((”)K)  ” K K 2 oのも
とて3重暗号化された64ビツトまたは128ビツ ト・キー (3)Kは、カウンタ cntr2でオフセットされた出力キー暗号化キー”K
M2である。キー・ タイプが00場合、(0)Kは64 ビツト・データ・キー(すなわち、 (”)K=K)であり、このパラメー e”KM、 C3(K) 夕はe”KK2o(”)  と呼ばれる。(0)Kは”
KKloから”KK2oに変 換される。
制御ベクトルC3を用いてマスク・ キーのもとて3重暗号化された、 変換されたデータ・キーKに等し い64ビツトMACキーまたは部 分MACキー。この出力は、KD が変換された場合、すなわち、 キー・タイプが0の場合に限り有 効である。ANSI  X9.17 では、変換されるKDもKTCと の間で暗号サービス・メツセージ を確認するために使用される。1 つのKDだけが変換される場合、 MACキーはKD自体である。こ の場合、e”KM、C3(K)は、KDすなわちC3M
をMACするためにG ENMACとVERMACが直接 使用できる形のKになる。2つの KDが変換される場合、MACキー は2つのKDを排他的論理和を取 ることによって形成される。この 場合、AXLTKEYは、各KD を変換するのに、1回ずつ、合計 2回呼び出さなければならない。
その場合、各呼出しからのe”KM。
C3(K)は、部分MACキーである。
2つの部分MACキーをACOM BKD命令と組み合わせて、C8 MをMACするためにGENMA CとVERMACが直接使用でき るキーを形成する。
e*KM、C3(KDmac)制御ベクトルC3を用い
てマスク・キーのもとて3重暗号化され た64ビツトMACキーKDma coこの出力はKEKが変換され る場合、すなわち、キー・タイプ が1の場合に限りを効である。A NSI  A9.17では、KDm acはKTCとの間でC8Mを確 認するために使用される。
説明: AXLTKEY命令は、げ)Kで表される、6
4ビツトまたは128ビツト・キーを、オフセットされ
たキー暗号化キー”KKIによる暗号化からオフセット
されたキー暗号化キー”KK2による暗号化に変換する
。オフセット化以外に、AXLTKEYは、認証された
キー型式との間の変換を支援する。(0)Kが認証され
た形で入力される場合、”KK 1は部分認証キーでな
ければならない。同様に、(”)Kが認証された形で出
力される場合、*KK2は部分認証キーでなければなら
ない。部分認証キーはAPNOTR命令によってKEK
から形成される。
AXLTKEYは2次出カニMACキーまたはMACキ
ー構成要素も作成する。これは、変換要求側とKTCの
間で暗号サービス・メツセージを確認するのに使用でき
る。MACキーの形成はキー形式パラメータによって制
御される。
キー・タイプが1の場合、すなわち、KEK変換の場合
、MACキーは、KEK自体(0でオフセットされる)
のもとて暗号化された任意選択のパラメータKDmac
として命令に供給される。
AXLTKEYは内部でKDmacを回復し、パラメー
タC3で指定された制御ベクトルを用いてKMのもとて
それを再暗号化して出力する。通常、C3はG E N
MA C及びV E RMA C使用属性で指定される
。ハードウェアは搬出制御を実施しない。
キー・タイプが0の場合、すなわち、KD変換の場合、
MACキーは変換されるKDに基づく。
AXLTKEYは内部でKDを回復し、それを03で制
御された属性を用いてKMのもとて再暗号化して出力す
る。ちょうど1つのKDが変換される場合、MACキー
はKD自体であり、C3は通常G E NMA C及び
V E RMA C使用で指定される。この場合も、ハ
ードウェアが搬出制御を実施する。2つのKD、KDI
とKD2が変換される場合、AXLTKEYは2回呼び
出さなければなラス、MAC−1−−はKDI  XO
RKD2であリ、C3はACOMBKD属性で指定され
なければならない。その結果得られるMACキー構成要
素、e”KM、C3(KDI)とe”(KD、C3(K
D2))がACOMBKD命令に渡される。ACOMB
KD命令は、内部でそれらを回復して、必要なMACキ
ーであるe”KM、cxKDI  XORKD2)を作
成する。
第31図及び第32図はAXLTKEY機能の構成図を
示す。
AXLTKEY命令はANSI  X9.17KTC環
境で使用される。この命令は、サービス(RFS)C8
M要求の処理及び(RTR)C8Mの要求に対する対応
する応答の生成を支援する。
RFSは以下の変換要求の1つを含むことができる。
1つのデータ・キー”Diを変換する。KDIを使って
CMSをMACする。
2つのデータ・キーKD1、KD2を変換する。(KD
I XORKD2)を使ってC8MをMACする。
1つのKKまたはt′KKを変換する。供給されたデー
タ・キーKDmacを使ってC8MをMACする。
1つのデータ・キーKDIを変換しなければならないと
き、AXLTKEY機能はキーを変換し、またe”KM
、 C3(KDI )も出力する。出力されたキーは、
RFS中のMACを検査し対応するRTR用のMACを
生成するために使用できる。
2つのデータ・キーKDIとKD2を変換しなければな
らないときは、AXLTKEY機能が2回呼び出される
。この機能は、e”KM、C3(KDI)とe”KM、
C3(KD2)を2つの各セルで中間出力として生成す
る。CFAPは次にACOMBKDを呼び出して、2つ
の出力を組み合わせて1つのMACキーe”KM、cX
(KDI  XORKD2)にする。そのキーは、RF
SとRTRC8MをMACするのに使用できる。AXL
TKEYによって生成された中間出力は、搬出権限なし
でローカルでしか使用できない。これは制御ベクトル検
査によって実施される。
1つの(”)KKを変換しなければならないときは、A
XLTKEY機能はそのキーを変換し、やはりC8Mを
MACi n tするのに使用できるe″KM、C3(
KDmac)も出力する。KDmacはRFS内で変換
される(”)KKに付随する。それは、定数ゼロでオフ
セットされた(”)KKのもとて暗号化される。e”K
M、C3(KDmac)はローカルでしか使用できない
ことに留意されたい。搬出制御は命令中の制御ベクトル
検査によって実施される。
CC: 1、動作成功 2、CILまたはCIR無効 3、C2LまたはC2R無効 4.03無効 5、動作失敗(エラー) 制御ベクトル検査: 1、CILの検査 Cvタイプ= ” KEK/AHSI”AXLTKEY
使用ビット=1 予約(48: 63)=X“0“ 2、CIRの検査 Cvタイプ= ”KEK/AHSI” AXLTKEY使用ビット=1 予約(48:63)=X’ O“ 3、C2Lの検査 CVタイプ= ”KEK/AHSI” AXLTKEY使用ヒツト=1 予約(48:C33)=X’ O’ 4.024の検査 CV タイプ= ”KEK/ANSI”AXLTKEY
使用ビット=1 予約(48:83)=X’O’ 5、CILとC2Lの検査 キー形式(CIL)=キー形式(C2L)6、CIRと
C2Rの検査 キー形式(CIR)=キー形式(C2L)7.03の検
査 キー・タイプ=“kataキー 搬出制御ビット1=1(搬出なし) 第28表は、検査しなければならないC3属性の有効な
組合せを示す。表の組合せ以外のどの組合せも暗号上無
効なので許されてはならない。E1D、MGlMV、A
CMBはデータ・キー制御ベクトル用の使用ビットであ
る。
KDのANS I組合せKDS (ACOMBKD)式
: %式% : 制御ベクトルC1を用いてマスク・ キーKMのもとて3重暗号化され た64ビツトANSIデータ・ キー 制御ベクトルC2を用いてマスク・ キーKMのもとて3重暗号化され た64ビツトANSIデータ・ キー データ・キーKDI用の64ビツ ト制御ベクトル。
データ・キーKD2用の64ビツ ト制御ベクトル。
出力MACキー、KD用の64ビツ ト制御ベクトル。
出カニ eoにM、C3(KD)   制御ベクトルC3を用い
てマスク・キーのもとて3重暗号化された6 4ビツトANSIデータ・キー このキーは、GMAC及びVMA C命令を使ってANSI  X9゜ 17暗号サービス・メツセージを 確認するために使用できる。
説明:ANSI  X9.17では、キーは、暗号サー
ビス・メツセージ(C8M)のシーケンスを介してパリ
テブーを通信することによって交換される。すべての交
換は1つまたは2つのデータ・キーを含む。ある種のC
8Mの保全性は、csMを、1つのKDが交換される場
合は、データ自体と、また2つのKDが交換される場合
は2つのデータ・キーの排他的論理和とMACすること
によって保護される。ACOMBKD命令は、後者の場
合、すなわち、2つのデータ・キーからのC8MMAC
キーの計算を処理する。
ACOMBKDは2つのr部分JMACキーすなわち、
ACOMBKD中でのその使用を可能にする制御ベクト
ルを用いてマスク・キーのもとて暗号化されたデータ・
キーを受け入れる。部分MACキーは、ANSIデータ
・キーをそれぞれARTMKまたはARFMKで搬入ま
たは搬出する任意選択の副産物として作成される。
ACOMBKDは、内部でデータ・キーKDIとKD2
を回復し、(KDI  XORKD2)を、GMAC及
びVMACと共に操作で使用できる制御ベクトルを用い
てマスク・キーのもとて暗号化して出力する。これらの
命令は、ANSI  X9.1000Mプロトコルによ
って必要とされる入力及び出力C8Mを確認するのに使
用できる。
注:ACOMBKDは、入力KDが等しくなく、等価で
もなく、(KD I  XORKD2)がゼロに等しく
ないことを検査しなければならない。
これは、既知の値(ゼロ)を用いたMACキーの作成を
防止するためである。
第33図は、ACOMBKD命令の構成図を示す。
CC: 1、動作成功 2.01無効 3.02無効 4.03無効 5、動作失敗(エラー) 制御ベクトル検査: 1.01の検査: CVタイプ=”データ/AHSI″ ACMB使用ビット=1 予約(48:63)=X’O” 第29表は、検査しなければならないC1属性の有効な
組合せを示す。表の組合せ以外のどの組合せも暗号上無
効なので許されてはならない。ElDlGlMV、AC
MBはデー9 ・−]−一制御ヘクトル用の使用ビット
である。
2.02の検査 キー・タイプ=”データ/AHSI ”ACMB使用ビ
ット=1 予約(48: 63)=X’ O’ 第30表は、検査しなければならないC2属性の有効な
組合せを示す。表の組合せ以外のどの組合せも暗号上無
効なので許されてはならない。ElDlMGlMV、A
CMBはデータ・キー制御ベクトル用の使用ビットであ
る。
3.03の検査 CVタイプ=“データ/ANSI“ 搬出制御ビットに1(搬出なし) 予約(48:63)=X’0’ 第31表は、検査しなければならないC3属性の有効な
組合せを示す。表の組合せ以外のどの組合せも暗号上無
効なので許されてはならない。ElD、MGlMVlA
CMBは、5’−タ制御ヘクトル用の使用ビットである
ICVloCVの管理 初期連鎖値(ICV)とは、DEAの暗号ブロック連鎖
(CBC)暗号化モード及びメツセージ確認コード(M
AC)を計算する一部のアルゴリズムと共に使用される
、64ビツトの乱数、疑似乱数、または、場合によって
は、非反復値である。
ICV管理には、平文及び暗号化されたICVの電子伝
送及びローカル記憶のためのオプションが含まれる。し
かし、暗号化されたICVは、いずれかの暗号機構への
入力パラメータとして使用する前に、まず非暗号化(復
号化)しなければならない。
出力連鎖値(OCv)とは、G E NMA C及びV
ERMAC暗号命令によって、ある種の条件のもとで戻
される64ビツト値である。同じ暗号命令が再び呼び出
され、OCvがICVとして渡される。OCVは常にe
KM、cV (OCV)の形で暗号化される。ただし、
CVは中間ICV用の制御ベクトルである。V E R
MA C命令にとって、暗号化さるたOCvが安全保護
のために不可欠である。平文OCvは、この場合は、M
ACを露出させるために使用できる。これは、VERM
AC命令ではできないと思われる。暗号化OCvもG 
E NMAC命令に対して定義される。これは、GEN
MAC及びVERMAC命令をできるだけ同じにして、
ハードウェア面で可能な機能上のオーバーラツプを許す
ためである。
暗号機構外部でのICV管理 この通信アーキテクチャでは、ICvの次の3つの電子
伝送モードが可能である。
1、平文rcv:平文で送られる。
2、暗号化ICV:送信側と受信側の間で共用されるデ
ータ・キー(KD)を用いて暗号化される。
3、私用プロトコルICV:送信側と受信側の間の私用
プロトコルによって確立されるICV。
CAのもとで、CFAPは平文及び暗号化されたICV
の両方を処理しなければならない。しかし、アプリケー
ションはそれ自体の暗号化ICVを管理することを選ぶ
ことができ、平文ICVをCFAPに渡して、伝送のた
めICVを暗号化し、他のノードから受信したすべての
暗号化IDVを非暗号化(復号化)する。任意選択とし
て、暗号支援プログラムも私用プロトコルを使ってIC
Vを確立することができる。
暗号機構内部でのrev管理 制御ベクトルは、IDvの電子的配布には使用されず、
またICVの配布を制御するために暗号機構(ハードウ
ェア)が使用できるビットも制御ベクトル中にない。I
CV配布モードの暗号機構による検査や実施はない。す
なわち、ICV管理は、厳密に暗号支援プログラム(す
なわち、暗号機構の外部のソフトウェア)の役割である
暗号機構に暗号機構入力パラメータとして渡されるすべ
てのICVは、平文ICVでなければならない。GEN
MAC及びvERMAC命令で必要とされるICV=O
は、平文ICVのサブケースである。影響を受ける暗号
命令には次のものがある。
1、暗号化 2、非暗号化(復号化) 3、MAC生成 4、MAC検査 5、暗号テキスト変換 キーの管理 暗号アーキテクチャのキー管理は、暗号機構の命令セッ
ト及び他の機能(たとえば、キー・ロード機能、レジス
タなど)の効果的な利用を通じてキーを管理するための
1組の技術、規則、及び手順である。
特定の暗号機構を使って上記の方法でキー管理を実行す
ることが、この暗号アーキテクチャの意図である。こう
すると、共通暗号アーキテクチャを実施するシステムが
、1つの共通の方法で互いに通信できるようになる。C
Aキー管理のいくつかの特徴を以下に示す。
キー管理は、制御ベクトルの概念に基づいている。これ
は、いくつかの利点の1つとして、キーの使用を強力に
実施して、キーが所期の通り分離され使用されるよう保
証する。
システムの内部では、キー管理は、暗号機構によって実
施される2段階層概念である。マスク・キーだけが、安
全保護された暗号機構内に平文で記憶される。他のキー
は、各キーに関連する制御ベクトルとマスク・キーの排
他的論理和のもとて暗号化され、暗号機構の外部に記憶
できる。暗号機構の外部では平文キーは許されない。
キー管理はまた、CFAP (暗号機構アクセス・プロ
グラム)によって実施される通信態様では3段階層であ
る。マスク・キーを使って、キー暗号化キーが暗号化さ
れる。キー暗号化キーはノード間で共用され、それを使
ってノード間で交換される他のキーが暗号化される。
キー管理は、システム及びネットワーク上でキーを初期
設定するための手順をもたらす。
キー管理は、キーの生成、配布、交換及び記憶を行なう
ための手順をもたらす。
キー管理は、ノード間でのキー及び制御ベクトルの伝送
のための通信プロトコルをもたらす。
制御ベクトル・システムは、CAを実施する暗号システ
ムである。
キーと暗号 数の記憶 すべてのキーはeKM、c(K)の形で記憶される。す
なわち、マスク・キーと制御ベクトルの排他的論理和を
取ることによって形成されるキーのもとて暗号化される
。中間MACIC:V及びトークンも同様に暗号化され
る。
キーと暗号変数のタイプ 制御ベクトル中のCvタイプ/サブタイプ・フィールド
は、暗号化されたキーまたは暗号変数を指定する。13
のCvタイプ/サブタイプがCAに対して定義される。
CVタイプ/サブタイプ データ/プライバフ データ/MAC データ/変換 データ/互換性 データ/ANSI Kek/送信側 KeK/受信側 Kek/ANSI PIN/暗号化 P I N/生成 ICV/中間M A C キ一部分/ トークン/ Cvタイプ/サブタイプは、3つの範喘に分けられる。
1、CA:他のCAシステムとだけ共用されるキーを定
義する。
2、互換性:他のCA及び非CAシステムと共用される
キーを定義する。
3、ANSI:ANSI  X9.17キー配布を介し
て送受信されるキーを定義する。
範嘔 CA CVタイプ/サブタイプ データ/プライバフ データ/MAC データ/変換 KeK/送信側 Kek/受信側 Kek/ANSI PIN/暗号化 PIN/生成 ICV/中間MAC キ一部分/ トークン/ 互換性    データ/互換性 ANSI    データ/ANSI K e k/ANS I キー階層 1、マスク・キー・:暗号機構の外部にローカルに記憶
されるすべてのキーを暗号化する。
2、キー暗号化キー:暗号機構間で通信される(マスク
・キー以外の)すべてのキーを暗号化する。
3、データ・キー:データ及びICVを暗号化する。
4、PIN暗号化キー:PINブロックを暗号化する。
キー配布プロトコル: CAは3つのキー配布プロトコルを支援する。
1、制御ベクトル・モード(CVと指定)リンク上で通
信されるすべてのキーがeKEK、C(K)の形である
2、互換性モード(CV=0と指定) リンク上で通信されるすべてのキーがeKEK (K)
の形である。
3、ANSI  X9.17 (ANSIと指定)リン
ク上で通信されるすべてのキーがANSI標準X9.1
7に合致する。
キー配布規則 キー及び暗号変数は、キー配布プロトコルにキー範喘を
関連付ける次のような1組の規則に応じて配布(搬出/
搬入)される。
1、CA主キー暗号変数は、制御ベクトル・モードを使
って搬出または搬入しなければならない。
2、互換性キーは、(リンク上の制御ベクトルを用いる
)制御ベクトル・モードまたは(リンク上のCV=Oを
用いる)互換性モードを使って搬入または搬出できる。
3、ANSIキーは、ANSI  X9.17モードを
使って搬出または搬入されなければならない。
これらの規則を次の表に要約する。
Cvタイプ/   キー配布プロトコルサフタイプ  
   CV  CV=OANSIデータデーライバシ データ/MACy データ/変換    y Kek/送信側   y Kek/受信側   y Kek/ANSI   y PIN/暗号化   y PIN/生成    y ICV/中間MACy キ一部分/     y トークン/     y 互換性 データ/互換性   y    yCA 範嗜 ANSI   データ/ANS I 凡例:「y」は、示されているキー配布プロトコルを使
って変数が配布できることを示す。
キー状態(非ANSi) CAは次の3つのキー状態を定義する。
1、動作:キーはKMのもとで、すなわちローカル使用
に適した形で暗号化される。
2、搬出:キーは、KEK/送信側のもとで、すなわち
他の装置への搬出に適した形で暗号化される。
3、搬入:キーは、KEK/受信側のもとで、すなわち
この装置への搬入に適した形で暗号化される。
キーの生成 1、制御ベクトル・システムによって生成されるすべて
のキーは、それに関連した制御ベクトルをもつ。
2、キーは、生成されたキーを暗号化するのに使用され
るキーのCvタイプ/サブタイプ(このリストの項G)
に応じて、a)動作状態、b)搬出状態、c)搬入状態
で生成される。
3、キーは、GKS及びKGEN命令を使って生成され
る。
GKSは、2つの制御ベクトルを用いて2つの形でキー
を生成する。Cvタイプ/サブタイプは、共にCA範喘
でなければならない。
(キー管理では、キーがCA及び互換性の範喀のキーに
なることは許されない。) KGENは、CAまたは互換性のどちらかの範叶の制御
ベクトルを用いて1つの形でキーを生成する。
キー状態の 換(非ANSI) 以下の(示された命令を使った)キー状態の変換がCA
によって支援される。
入力状態        出力状態 動作  搬入  搬出 動作       −−RFMK 搬入       RTMK   −変換キー搬出 凡例二″−”は支援されないことを示す。
キー管理を実行する命令列 第32表、第33表、第34表及び第35表の表は、キ
ー管理のために使用されるCA機能を指定する。詳細な
説明は以下の項に示す。
キー状態及び命令 第34図は、動作、搬出及び搬入キーの関係、及びこれ
らのキーが暗号機構の様々な命令によってどのように作
成または変換されるかを示す。
動作キーは、キー記憶機構に保持され、暗号命令に対す
る入力パラメータとして使用できる。これはeKM、c
(K)の形をとる。KMは暗号機構に保持されたマスク
・キーであり、CはキーKに関連するCVである。搬出
キーは、他のシステムにキーを送るために使用されるチ
ャネルを定義する動作キーである。搬入キーは、他のシ
ステムまたはそれ自体からキーを受け取るために使用さ
れるチャネルを定義する動作キーである。搬出キーは、
eKEK、C(に)の形のキーである。ただし、KEK
はKEK/送信側であり、CはキーKに関連するCVで
ある。搬入キーは、eKEK、C(に)の形のキーであ
る。ただし、KEKはKEK/受信側であり、Cはキー
Kに関連するCvである。
RFMKは動作キーを搬出キーに変換する。RTMKは
搬入キーを動作キーに変換する。KGENは動作キーの
1つの形を生成する。XLATEKEYは搬入キーを搬
出キーに変換する。GKSは、一般に、2つの形でキー
を生成する。1つの形は、他の形と異なる使用属性をも
っことがある。
GKS  0P−OPは、動作形と搬出形の2つの形で
キーを生成する。GKS  OP−IMは、動作形と搬
入形の2つの形でキーを生成する。GKS  IM−E
Xは、搬入形と搬出形の2つの形でキーを生成する。G
KS  EX−EXは、搬出形と搬出形の2つの形でキ
ーを生成する。
キー・タイプの概要 CA命令は、以下に示すキー・タイプに対して作用する
1、キー暗号化キー これは他のキーを暗号化するために使用されるキーであ
る。マスク・キー、定義域間キー及び端末マスク・キー
がキー暗号化キーである。マスク・キーを除いて、すべ
てのキー暗号化キーは以下のサブタイプに分類できる。
キー暗号化キー/送信側(KEK/送信側):他のノー
ドにキーを送るのに使用されるキー キー暗号化キー/受信側(KEK/受信側):他のノー
ドから送られたキーを受は取るのに使用されるキー ANSIキー暗号化キー(ANSI  KEK):AN
SI  X9.17キー管理環境で使用されるキー。A
NSI  KEKは正規のCA  KEK(すなわち、
KEK/送信側及びKEK/受信側)の−方向特性をも
たない。
マスター・キー マスク・キーは、システム内の他のすべてのキーを保護
するために使用されるキーである。マスク・キーだけは
安全保護された暗号機構内で平文で記憶する必要がある
。他のキーは、各キーに関連する制御ベクトルがマスク
・キーと排他的論理和を取った形で保護される。
それらは暗号化されているので、暗号機構の外部の記憶
域に記憶することができる。
CAでは、マスク・キーが倍長キーであることが必要で
ある。すなわち、マスク・キーは、128ビツト長でな
ければならない。そのうちの112ビツトは実際の値を
表し、16ビツトはパリティ・ビットである。
定義域間キー キー管理には、通信しようとする各Cvタイプ(制御ベ
クトル・タイプ)ノードと共用される固有の倍長キー・
パリティ(それぞれ128ビツト)が必要である。
このことは、非CVタイプのシステム・ノードにも当て
はまる。ただし、単長キーのみを利用するシステムでは
、倍長キ一対が、左半分と右半分が等しくなるように記
憶される。
定義域間キーは、定義域間キーを共用するノード間で交
換されたキーを暗号化(または発送)し検索するのに使
用される。
端末マスク・キー キー管理には、通信しようとする各端末と共用される固
をの端末マスク・キーが必要である。キーを端末に送る
だけでよくキーを受け取る必要のない端末では、端末は
、通常単長端末マスク・キー(64ビツト)だけを記憶
する。こうした場合、倍長キーは、左半分と右半分が等
しくなるようにキー記憶機構に記憶される。
端末が倍長キーを記憶する場合は、このキーはそのまま
キー記憶機構に記憶される。
2、データ・キー データ・キーは、データを暗号化するのに使用される。
確認キー、ファイル・キー及びセツション・キーがこの
範噛に含まれる。
3゜ 4゜ 5゜ PINキー PINキーは次の2つのサブタイプに分類される。
PIN暗号化キー:PINを暗号化するのに使用される
キーである。
PIN生成キー:PINを生成するためにPIN生成ア
ルゴリズム中で使用されるキーである。
キ一部分 キ一部分は、キーの一部分または構成要素であり、キー
と同じ長さをもつ。たとえば、キーには、Ka  XO
RKb=にとなる2つのキ一部分KaとKbをもつ。
中間ICV 中間ICVは、データまたはメツセージのセグメントの
中間出力連鎖ベクトルを暗号化するために使用される。
このOC■はデータの次のセグメントに送られて、IC
Vとして使用される。これが行なわれるのは、それに対
してMACが生成/検査されるメツセージまたはデータ
が長く、より短いセグメントに分割しなければならない
ときである。
6、トークン トークンはデータ・キー・データ・セット(データ・キ
ー用のキー記憶機構)に記憶されたデータ・キーの保全
性を保護するために使用される変数である。これらは、
無許可ユーザによるデータ・キーへのアクセスを禁止す
るのに役立つ。
キーの初期設定 以下に、キー初期設定のための機構に関して考察する。
システムが最初にセット・アップされるとき、マスク・
キーが最初に導入される。次に、定義域間キーや移送キ
ーなどある種のキー暗号化キーが、手動で導入される。
定義域間キーが利用可能になると、システムは、他のシ
ステムとキー及び暗号化されたデータを交換することが
できる。
マスク・キー及び他のキー暗号化キーは適切なアクセス
制御下で手動で導入される。
キーを暗号機構に入力するためのキー人力装置は、(キ
ー人力装置の一部ではない場合)パネル表示装置と同様
に暗号機構に対する安全なインターフェースをもたなけ
ればならない。これについては、「物理機能及びインタ
ーフェース」のところで考察する。
マスク・キーまたは他のいずれかのキー暗号化キーが手
動で導入されるとき、個人がキーについて完全に知るこ
とを妨げることを目指した2重キー人力が極めて望まし
い。2重キー人力手順では、キーが2つの部分に分けて
入力される。各キ一部分は長さがキーと等しく、別々の
人によって入力される。実際のキーは2つのキ一部分の
排他的論理和である。
CAは複数キー人力も支援する(すなわち、キーKが3
つ以上のキ一部分をもつとき。たとえば、キーが、K=
KPI  XORKP2.、、XORKpnとなるn個
のキ一部分KP1.KP2゜00.をもつことができる
)。
2重キー人力がシステムに必要なときは、キー・ロード
機能及び暗号機構の他の機能を、2重キー人力を容易に
支援できるように設計すべきである。
たとえば、各キ一部分の入力を個別に可能にする2つの
物理キー・ロック(または2つの位置用の2つの個別キ
ーをもつ1つのキー・ロック)を設けるべきである。物
理キーがないシステムでは、各キ一部分ごとに1つのパ
スワードを入力する方式が利用できる。キーまたはキー
の任意の部分が入力されるとき、それを入力する人だけ
がそれを視覚的に確認すべきである。その人は、その表
示が自分がタイプしたものと一致していると確かめた後
、(たとえば、キー・レジスタをもつキー人力装置とイ
ンターフェースを取るボタンを用いて)キーまたはキ一
部分の暗号機構内のレジスタへのロードを活動化する。
入力すべきすべてのキーまたはキ一部分は、16ビツト
の奇数パリティを含む倍長でなければならない。パリテ
ィはエラー検査のために含まれている。
マスク・キーの手動入力 CAでは、マスク・キーの手動導入の方法は具体的に規
定されていない。本節に概要を示す方法は、指針として
示したものである。入力されたマスク・キー・ベツドを
新マスク・キー・レジスタに一時的に記憶させ、マスク
・キー設定命令が発行されるまで活動状態にならないよ
うにすることを推奨する。
この方法を用いると、入力されたマスク・キーを検査し
、必要なら再入力することが可能になる。
入力されたマスク・キーは、入力されたキーが正しいと
の判定が下されて、現マスク・キーから新マスク・キー
への他のキーの再暗号化などすべての処理要件が行なわ
れた後まで、活動化する必要はない。
マスク・キーの手動入力の一環として、32ないし64
ビツトの秘密でない検査パターン(入力マスク・キーの
関数)を物理インターフェースまたはプログラミング・
インターフェースあるいはその両方で戻すべきである。
別法として、キー導入ユーティリティが命令を呼び出す
のに応答して、検査パターンを生成することもできる。
この検査パターンは、入力されたキーをユーザが検査す
るためにパネルまたは操作卓上に表示するのが安全でな
い環境で有益である。どの検査技術を使用するかは、本
発明の範囲に含まれない。
(マスク・キーまたはキー暗号化キーの)手動キー人力
は、物理的に安全な不ンターフェースを介してCFに接
続されたキーバッドで実施できる。
物理キー・スイッチまたはパスワードあるいはその両方
を使って、キーバッドからのキーのロードを可能にした
り不可能にしたりすることができる。
マスク・キーの活動化 入力されたマスク・キーは、マスク・キー設定命令を発
行することによって活動化される。これは、新マスク・
キー・レジスタの内容をマスク・キー・レジスタ(すな
わち、現マスク・キー・レジスタ)に転送させる。
任意選択として、CAは、旧マスク・キー・レジスタを
備えることができる。その場合、マスク・キー設定命令
は、まずマスク・キー・レジスタの内容を旧マスク・キ
ー・レジスタに記憶させ、新マスク・キー・レジスタの
内容をマスク・キー・レジスタに記憶させる。
各マスク・キー・レジスタ(新、現及び任意選択として
旧マスク・キー・レジスタ)は関連するフラグをもつ。
そのフラグは、キーがレジスタに現在記憶されていると
きセット(=1)され、キーが非活動化されるか、また
は暗号機構が電源遮断状態の後で電源投入されるときは
リセット(二〇)される。
プログラム・インターフェースを介するキーのl入 キーはプログラム・インターフェースを介して導入する
こともできる。しかし、この方法では、物理キーまたは
アクセス・パスワードをもつ安全保護担当者による手動
介入が必要になる。この方法では、ユーザは、物理キー
(またはパスワード)を使って暗号機構の動作状態を超
安全モードと呼ばれる状態に変更し、次に、平文キー及
び関連する制御ベクトルを、このモードでのみ動作する
EMK命令に送る。EMK機能は制御ベクトルと排他的
論理和を取られたマスク・キーのもとて平文キーを暗号
化する。暗号化キーと制御ベクトルはシステム上で使用
するため記憶される。
奇数キー・パリティの設定、検査及び実施のための規則
案 すべての短キーは64ビツトからなり、規約に従って0
ないし63の番号を付けられる。ただし、ビット0が最
上位ビットである。パリティ・ビットは、ビット7.1
5.23.31.39.47.55及び63である。た
だし、ビット7はキー・ビットOないし6のパリティ・
ビット、ビット15はキー・ビット8ないし14のパリ
ティ・ビットであり、以下同様である。
奇数キー・パリティの設定 システムに搬入されたすべての非データ・キーは、キー
に対して奇数パリティで調整される必要がある。こうし
たキーには、マスク・キーとすべてのキー暗号化キー、
暗号化されてキー記憶機構に記憶されるPIN暗号化キ
ー及びPIN生成キーが含まれる。
すべての生成キーは奇数パリティで調整されている。た
だし、キーが乱数として生成され、他のキーのもとてす
でに暗号化された望ましいキーとして定義されている場
合を除く。
キー・パリティの検査 暗号機構はキーを使用する前に、奇数キー・パリティか
どうかキーを検査する必要がある。キーが奇数パリティ
をもつかどうかを示す条件コードが設定されている必要
がある。CFAPは、奇数キー・パリティの欠乏がエラ
ーかどうか、及びキーを使用する要求された機能の出力
が信用できるか否かの判定を下す。
奇数キー・パリティのハードウェアによる実施ハードウ
ェアは、マスク・キーに対する奇数パリティを実施する
必要がある。パリティ・エラーが検出された場合、要求
された暗号命令は打ち切られなければならない。ハード
ウェアは(たとえば、マスク・キーのバックアップ・コ
ピーヲ使って)回復を試み、回復不能なマスク・キー・
パリティ・エラーが発生したことを示す条件コードを3
09= 設定しなければならない。
特定のある種のケースでは、キー暗号化キーまたは他の
非データ・キーのパリティ・エラーによって、要求され
た暗号機構が打ち切られることがある。
キーの生成 キーはランダムに生成される必要がある。すなわち、キ
ーの電子的生成のために、ハードウェアの乱数生成機能
または受入れ可能なアルゴリズムのソフトウェアによる
実施が必要である。キーは、コインを投げるなど手動で
ランダムに生成することもできる。生成キーはパリティ
調整されたものでも、非パリテイのものでもよい。パリ
ティが望ましい場合、キーは奇数パリティをもたなけれ
ばならない。
キーの手動生成 CAでは、マスク・キーとキー暗号化キーを手動で導入
し生成することが推奨される。キーの手動生成のよい方
法は、コインまたはサイコロを投げる方法である。サイ
コロ投げを行なう1つの方31〇− 法は以下の通りである。
関係するキー運搬者または安全保護担当者が、8つの偏
りのない16面サイコロを選び、サイコロの各面に16
進数の0ないし15の値を割り当てる。たとえば、面1
に0の値を割り当て、面16にFの値を割り当て、以下
同様にする。以後のステップは次のように実行する。
1、(固く水平な表面上で)サイコロを投げて、8つの
16進数でその結果を記録する。
2.16進僅による結果をそれぞれ8つの2進数ビツト
からなる8バイトに書き直す。
3、各バイトの最初の7ビツトの奇数パリティを計算す
る。8バイトに対して合計8つのパリティ・ビットが形
成される。
4、各バイトの8番目のビット(最後のビット)を前記
のステップで計算した対応する各パリティ・ビットで置
き換える。2進値を8つの16進数に書き直す。その結
果が、手動で生成された16進数によるキーである。
キーの電子的生成 キーは、「命令セット」の節で定義したキー生成及びと
キー・セット生成命令によって生成することができる。
キー生成命令によるキー生成 キー生成命令は、システム上で直接使用するためのキー
を生成する。
キー生成命令を使って平文キーが生成できる。
このモードはキー運搬者が関係する場合に使用される。
キー生成命令を使って、特定の制御ベクトルと排他的論
理和を取られたマスク・キーのもとて暗号化されたキー
が生成できる。この制御ベクトルは、CFAPによって
この命令に供給され、この命令によって有効な組合せか
どうか検査される。
キー・セット生成命令によるキー生成 キー・セット生成命令は暗号化された形でキーを生成し
て出力する。この命令は常に対を(すなわち、以下のよ
うにしてキーの2つのコピーを)生成する。
−モードO: 0P−OP (動作−動作)モードこの
モードは、システム上でローカルで使用するためのデー
タ・キーだけを生成する。データ・キーの2つのコピー
が生成される。キーの各コピーは異なる属性をもつ関連
する制御ベクトルを有する。たとえば、キーの1つのコ
ピーはMG (GENMAC)属性をもち、もう1つの
コピーはMV (VMAC)属性をもつ。各コピーは対
応する制御ベクトルと排他的論理和を取られたマスク・
キーのもとて暗号化される。
−モード1 : 0P−EX (動作−搬出)モードこ
のモードは、ローカルで使用され(かつ記憶され)るキ
ーのコピー1つと、別の制御ベクトル・ノードにすぐ搬
出できる形のキーのコピーを1つ生成する。最初のコピ
ーは、本明細書ではローカル(または動作)コピーと呼
ぶが、(関連制御ベクトルと排他的論理和を取られた)
マスク・キーのもとて暗号化され、搬出制御フィールド
での指定により搬出が許されるかどうかに応じて、後で
(RFMKによって)他のノードに搬出することができ
る。(生成時に、キーの所有者は、生成キーが搬出でき
るかどうかを知っているものと仮定する。)もう一方の
コピーは、本明細書では搬出コピーと呼ぶが、(そのコ
ピーの制御ベクトルと排他的論理和を取られた)生成ノ
ードのKEK/送信側のもとて暗号化される。
一モード2 : EX−EX (搬出−搬出)モードこ
のモードで生成されたキーは、システム上でローカルで
使用できない。このモードは、2つの制御ベクトル・ノ
ードにすぐ搬出できる形のキーのコピーを2つ生成する
。生成されるキーの各コピーは、搬出コピーと呼ぶが、
(対応する制御ベクトルと排他的論理和を取られた)異
なるKEK/送信側のもとて暗号化される。キーの1つ
のコピーに関連する制御ベクトルは、もう1つのコピー
の制御ベクトルとは異なる使用属性をもつ。
このモードは、キー配布センタとして働くノードによっ
てキーを配布するのに有用である。
−モード3:OP−IM(動作−搬入)モードこのモー
ドは、ローカルで使用されるキーのコピー1つと生成ノ
ードにすぐ搬入できる形のキーのコピー1つを生成する
。最初のコピー(動作コピーまたはローカル・コピーと
呼ぶ)は、(関連する制御ベクトルと排他的論理和を取
られた)マスク・キーのもとて暗号化され、搬出制御フ
ィールドでの指定により搬出が許されるかどうかに応じ
て、後で(RFMKによって)他のノードに搬出するこ
とができる。もう一方のコピー(搬入コピーと呼ぶ)は
、(そのコピーの制御ベクトルと排他的論理和を取られ
た)KEK/受信側のもとて暗号化される。
このモードは、ファイル・アプリケーションに有用であ
る。たとえば、検知データを保存する際、暗号化された
データと(暗号化された)データ・キーがテープに記憶
される。しかし、データ・キーをどのキーのもとて暗号
化してテープに記憶しなければならないか。マスク・キ
ーのもとて暗号化されたデータ・キーを記憶するのは、
マスク・キーは後で変更されることがあるので望ましく
ない。KEKは寿命がより長いので、(この場合のファ
イル・マスク・キーである)KEK/送信側のもとてデ
ータ・キーを暗号化する方がより実用的である。あるア
プリケーションでは、キー・セット生成命令、モードO
P−IMが、1対のデータ・キーを生成する。動作コピ
ーは、CVタイプ:データ/プライバラ及び暗号化使用
属性をもつ。搬入コピーはCVタイプ=デデー/変換及
びxDin=1属性をもつ。データは次に(暗号化命令
を使って)ローカル・コピーによって暗号化される。次
いで暗号化されたデータと搬入コピーが保存される。
後で、データを検索し新しいキーのもとてデータを再暗
号化するのが望ましいときに、搬入コピーはテープから
引き出されて(RTMK命令を使って)回復される。搬
入コピーはxDin=1属性をもつので、それを暗号テ
キスト変換命令中で使ってデータを新しいキーによる暗
号化に変換することができる。識別された他のアプリケ
ーションは、動作コピーを必要とするものであり、搬入
コピーは第20表で指定するような使用属性をもつ。
このモードは、データ・キーを作成することしかできな
いことに留意されたい。
−モード4 : IM−EX (搬入−搬出)モードこ
のモードは、生成ノードによって後で搬入されるキーの
コピー1つと、他のノードにすぐ搬入できる形のキーの
コピー1つを生成する。
最初のコピー(搬入コピーと呼ぶ)は、(関連する制御
ベクトルと排他的論理和を取られた)KEK/受信側の
もとて暗号化される。これは後で、RTMK命令を使っ
て生成ノードにより検索することができる。もう一方の
コピー(搬出コピーと呼ぶ)は、(コピーの制御ベクト
ルと排他的論理和を取られた’)KEK/送信側のもと
で暗号化される。
このモードは、たとえばセツション・キーが生成され配
布される、IBMSNA複数定義域アプリケーションに
有用である。
生成キーのすべてのコピーについて、CFAPは関連す
る制御ベクトルをキー・セット生成命令に供給しなけれ
ばならないことに留意されたい。キー・セット生成命令
は、その命令のモードに応じて、生成キーのコピーの制
御ベクトルを、他の属性の使用と組合せが有効かどうか
検査する。
キーの配布 キーは手動(たとえば、キー運搬者による)でも電子的
に配布できる。キー運搬者による配布は、多数のノード
をもつネットワークでは配布コストが高くなりうるので
望ましくない。多くの場合、キーの電子的配布が好まし
い方法である。
キー配布プロトコル ネットワーク内の暗号ノードは通常、制御ベクトル機能
をもつノードと制御ベクトル機能をもたない他のノード
が混り合っている。第1のタイプのノードは本明細書で
は、制御ベクトル・ノードと呼び、第2のタイプは非制
御ベクトル・ノードと呼ぶ。非制御ベクトル・ノードの
例は、4700.3848/CUSPなどの既存のIB
M暗号プロダクトである。同じタイプまたは異なるタイ
プのノード間のキー配布用のプロトコルには次のものが
ある。
a、制御ベクトル・モード(Cvで表す)b、互換性モ
ード(CV=Oで表す) c、ANSI  X9.17モード(ANSIで表す) 各配布プロトコルは、以下のようなものである。
a) 制御ベクトル・モードは、(リンク上の)暗号機
構間で通信されるすべてのキーが、キー・タイプと指定
されたキー使用に応じて別々に暗号的に分離される方法
である。リンク上で通信されるすべてのキーは、eKE
K、C(K)の形をとる。ただし、Kは通信中のキーで
あり、KEKは、キーKを暗号化するのに使われるキー
暗号化キーであり、CはキーKに関連する制御ベクトル
である。制御ベクトルCは送信の際に暗号キーeKEに
、C(K)を伴う場合も伴わない場合もある。このモー
ドは、制御ベクトルがリンク上で維持されるのでCvで
ある。
b) 互換性モードは、(リンク上の)暗号機構間で通
信されるすべてのキーがeKEK (K)の形をとる方
法である。互換性モードでは暗号分離は行なわれない。
互換性モードは、このキー配布法を使用する既存のIB
M暗号システム(PCFlCUS P/3848.47
’00 )にキーが配布できるように設けられている。
現在、SNA暗号支援は、このモードを使ったキー配布
に限られている。このモードでのキーの配布は、(暗号
化及び非暗号化使用属性をもつ)データ・キーと(MA
CGEH及びMACVER使用属性をもつ)MACキー
に限られている。このモードは、リンク上ですべてゼロ
の制御ベクトルを使うのと等価なので、CV=0で表さ
れる。キー配布は、CV=Oオブシロンで実施されるリ
ンクを使って実行される。キー配布は、CA暗号命令及
びCA  CFAPマクロによって実施されるCV=O
オプションによって実行される。
c)  ANSI  X9.17モードは、ANSI特
有のCAで提供される暗号命令及びANS I特をのD
DAで提供されるCFAPマクロに適合するキー配布の
方法である。
各キー配布モードは、そのキー配布法を集合的に定義す
る1組の関連する規則及びプロシージャをもつ。当該の
暗号機構間でキーを伝送するために暗号機構間で共用さ
れる各キー暗号化キーは、暗号通信CI(ANNELま
たはキー配布チャネルを定義する。こうしたチャネルは
、そのチャネルによって支援される2つの暗号機構間で
使用されるキー配布プロトコルに応じて、Cvチャネル
、Cv=0チャネルまたはANSIチャネルである。し
たがって、CVチャネルは、そのチャネルを介して通信
されるキーが、制御ベクトル・キー配布モードに適合す
ることを意味する。CV=Oチャネルは、そのチャネル
を介して通信されるキーが、互換性キー配布モードに適
合することを意味する。
ANS Iチャネルは、そのチャネルを介して通信され
るキーが、ANSI  X9.17キー配布モードに適
合することを意味する。同じキー暗号化キーを代わりに
使って2つのチャネルを定義するのも好都合である(た
とえば、KEKは、アプリケーションによって選択され
るモードに応じて、CvチャネルまたはCV=Oチャネ
ルとして使用でき、最終的に暗号命令レベルでパラメー
タとして下方に反映される)。
キー配布チャネルは好都合な概念である。キー配布方法
は、必ずしも各暗号装置の暗号機構で実施されるキー管
理方法を反映しあるいはそれに依存しないので、とりわ
けそうである。たとえば、キー管理は、制御ベクトル、
バリアント、または他の何かに基づいて行なうことがで
きるが、キー伝送のために選択されるキー配布法は、そ
の時に誰と話しているか、通信相手がどのキー配布法を
支援しまたは必要としているか、標準及び慣行の遵守、
従来のネットワーク協定など操作上の考慮事項に基づく
ものとすることができる。
CAに適合する暗号機構(CAノードと呼ばれる)は、
他のCAノードと通信するためにCVチャネルを確立す
ることができる。CAノードは、IBM  PCFl 
IBM  CUSP/3848またはIBM4700シ
ステム・ノードと通信するためにCV=Oチャネルを確
立することができる。
CAノードはまた、ANSIキー配布を支援する他のノ
ードと通信するためにANSIチャネルを確立すること
もできる。CAは、1対のKEKが共用できるが、互換
性モードで走行する現アプリケーションと、CAノード
で並列に走行する新しく書かれたアプリケーションが、
1対のKEK対を使って他のCAノードと通信できるよ
うに、混合チャネル(CVまたはCV=0)を可能にす
る。
キー・タイプとチャネル・タイプ CAのもとでは、すべてのCVは指定されたタイプとサ
ブタイプをもつ。それらは制御ベクトル中のコード化フ
ィールドである。キーを合法的に伝送するためのキー配
布モードも、そのタイプ/サブタイプによって暗黙に定
義される。(この暗黙の定義は、許されるチャネル・タ
イプを制御ベクトル中の別個のフィールドでコード化す
る代わりに使用されることに留意されたい。こうすると
、制御ベクトル中に冗長フィールドが生じる状況が回避
される。)第36表は、どのチャネル・タイプ(すなわ
ち、キー配布モード)を使ってどのCVタイプ/サブタ
イプと通信できるかの記述である。
(暗号命令を使って宣言されるキー配布モードキーの搬
出及び搬入に関係するすべての命令(すなわち、GKS
lRFMK及びRTMK)では、チャネル・タイプ(ま
たはキー配布モード)は、命令の(キー配布モード、省
略してMODEと呼ばれる)パラメータを介して宣言し
なければならない。ANSI暗号命令は他のCA命令か
ら分離されているので、モード・パラメータでCVとC
V=Oを分離することだけが必要である。すなわち、モ
ード・パラメータは、モード=Cvまたはモード= (
CV=O)の形をとる。
リンク制御フィールド Cvタイプ=″kek”の場合、リンク制御と呼ばれる
CVフィールドが定義される。リンク制御フィールドは
、KEKがそのもとで動作するのに許されるチャネルの
タイプを定義する。リンク制御フィールドは以下のよう
に定義される。
リンク制御コード化    解釈 00       適用されない oi        cvのみ io        cv=oのみ 11        CVまたはCV=O「適用されな
い」フィールドは、リンク制御が意味を持たない(すな
わち、適用されない)KEKサブタイプの現在及び将来
の定義が可能となるように定義される。たとえば、Cv
タイプ/サブタイプ=”KEK/ANS I ”の場合
、リンク制御は意味をもたず、したがって、このフィー
ルドは、常に100gに設定される。リンク制御=°1
1°は、暗号命令中でどの配布モードが指定されるかに
応じて、CvチャネルまたはCV=Oチャネルを用いて
キーを配布するのにKEKが使用できることを意味する
キー 布モードとリンク制御 暗号命令によって指定されるキー配布モードは、常に許
可されたモードでなければならない。すなわち、送信さ
れたキーを暗号化するのに使用されるKEKの制御ベク
トル中のリンク制御フィールドで、指定されたキー配布
モードが許可されなければならない。それらの規則を第
37表に記述する。
一般検査規則 上述の考察から、1組の規則がもたらされる。
次にそれらの規則について要約し、例を挙げて考察する
結果としてキーの搬入または搬出をもたらすあらゆる暗
号命令では、次の3つの重要なパラメータがある。
a、暗号命令中で指定される配布モード(Mと呼ぶ) b、キーの伝送に使用されるKEKの制御ベクトル中の
リンク制御フィールド(Lと呼ぶ)C0伝送されるキー
の制御ベクトル中のCvタイプ/サブタイプ・フィール
ド(Tと呼ぶ)その命令が実行できるかどうか判定する
ために、2つの検査が実行される(他の検査も実行され
るが、この考察では無関係である)。その2つの検査は
次の通りである。
a、TはMによって許可されなければならない。
b、MはLによって許可されなければならない。
すなわち、Cvタイプ/サブタイプは、Mで指定される
キー配布モードを用いて伝送可能でなければならず、M
で指定されるモードは、Lによって支援または許可され
るモードでなければならない。
CVタイプ/ サブタイプ データ/ブライバラ データ/MAC データ/変換 データ/互換性 データ/ANSI KEK/送信側 チャネル・タイプ CV   CV=OANSI y       n        ny      
 n        ny       n     
   ny”   y    n n       n         yy     
  n KEK/受信側 KEK/ANSI P I N/暗号化 PIN/生成 ICV/中間 MACICV * タイプ/サブタイプ=データ/互換性のキー(すな
わち、互換性モード・データ・キー)は、制御ベクトル
を除去することによって制御ベクトルを使用するCvチ
ャネルまたはCv=0チャネルで通信できることに留意
されたい。
キー配布センタの概念 キー配布センタ(KDC)は、キーが生成されてネット
ワークの他のノードに配布されるセンタである。ただし
、KDCは、自分で使用するためにこれらのキーのロー
カル・コピーを保持することはできない。
−2つの制御ベクトル・ノードに対するキーの配布 2つのノードAとBに対してキーを配布するKDCセン
タをCとする。さらに、CからAにキーを送るのに使用
される定義域間キーをKKCaとし、CからBにキーを
送るのに使用される定義域間キーをKKcbとする。キ
ー・セット生成命令、搬出−搬出モードをKDCで使っ
て、キーにの2つのコピーを生成し、それをノードAと
Bに発送することができる。生成されたキーにの2つの
コピーは、e’KKca、C3(K)及びe’KKcb
、C4(K)の形で暗号化され発送される。ただし、C
3と04は、それぞれノードAとBでのキーにの使用を
指定する2つの制御ベクトルである。制御ベクトルC3
と04は、生成時にユーザの指定に基づいてCFAPに
よって生成される。C3と04の属性は、次の規則に従
わなければならない。
■、配布されるキーKがデータ・キーである場合、 一両方のCvタイプ属性は主タイプ=「データ・キー」
で、サブタイプが同じでなければならない。
−C3と04は同じまたは逆の使用属性をもつことがで
きる。たとえば、ノードAとBは共に、暗号化及び非暗
号化(復号化)のためにキーKを使用でき(C3と04
の使用属性が同じ)、あるいはノードAは、MACを生
成するためだけにキーKを使用でき、ノードBはMAC
を検査するためだけにキーKを使用できる(C3と04
の使用属性が異なる)。第17表に、C3と04の使用
属性の許されるすべての組合せを記述する。
2、Kがキー暗号化キーの場合、 −C3のCVタイプ属性がrK E K/送信側」であ
る場合、C4のCVタイフ属性はrKEK/受信側」で
なければならず、その逆も成り立つ。すなわち、キーK
をノードAで使ってキーを送る場合、キーにはノードB
でキーを受け取るために使用されなければならず、その
逆も成り立つ。
−C3と04の両方のリンク制御属性が同じでなければ
ならない。
3、KがPIN暗号化キーである場合、C3と04のC
Vタイプ属性はどちらもrPIN暗号化キー」でなけれ
ばならない。
上記の属性以外に、CFAPは、受信ノードAとBがこ
のキーにの今後の搬出をどのように制御することをKD
Cが望むかに応じて、C3及びC4中で搬出制御属性フ
ィールドも設定する。「制御ベクトル」の節に、搬出制
御フィールドの意味を説明する。
受信ノードAとBで、RTMK命令を使ってキーKが検
索できる。たとえば、Aは、RTMKを使って、そのシ
ステム上で使用するためにe’KKca、C3(K)を
(制御ベクトルと排他的論理和を取られた)マスク・キ
ーのもとての暗号化に変換する。
注:キー・セット生成命令によってCvノードからCv
ノードに発送されるキーは、C■チャネルを使用しなけ
ればならない。すなわち、定義域間キーKKca及びK
Kcbに関連する制御ベクトルのリンク制御フィールド
は、「CVのみ」属性または[CVまたはCV=OJ属
性をもたなければならない。
−3つ以上の制御ベクトル・ノードに対するキーの配布 キー配布センタの主目的は、2つのノードが通信するた
めのキーをセットアツプすることである。キーを3つ以
上のノードに配布する必要が生じることはほとんどない
。しかし、発送されるキーのコピーに関連する制御ベク
トルが同じであるという条件の下では、KDCがキーを
3つ以上のノードに配布することは可能である。
KDCとして動作するノードCからノード1(i=1,
2110.n)にキーを送るために使用される定義域間
キーをKKciとする。KDCは、以下の方法により、
キーKをn個のノード(nコ2)に配布することができ
る。
1、キー生成命令を使ってキーKを生成する。
Kは、KDCのマスタ・キーKMのもとて暗号化される
。すなわち、Kはe”KM、cl (K)の形をとる、
ただし、C1はKの属性を指定する制御ベクトルである
。C1の搬出制御フィールドは、KがRFMKによって
搬出できるように最後のビット(1)が「1」に等しく
なければならない。
2、RFMK機能をn回使って、e’KM、cl (K
)をe”KKci、C2(K) (i= L 2+ −
、+ n)に変換する。ただし、C2は、受信ノードで
使用するためのキーにの属性を指定する新しい制御ベク
トルである。次いでこの形が、各ノードiに送られる。
各受信ノードで、RTMK命令を使ってキーKが検索で
きる。
このアプリケーションでは、生成されたキーにのローカ
ル・コピーが、KDCで利用できることに留意されたい
。これは、露出が起こらないないある種のアプリケーシ
ョン以外では認められるべきではない。すなわち、この
アプリケーションは非常に限られている。
将来は、KDCが生成キーのローカル・コピーをもつ必
要のない代替方法が、次のようにして実施できる。
1、KDCが、キー・セット生成命令を搬出−搬出モー
ドで使って、キーを1つまたは2つのノードに発送する
2、KDCが、(CCAがこれを許可すると仮定して)
 XLTKEYin及びXLTKEYout属性をもつ
KEKのもとてキーの1つのコピーを再搬入し、次いで
そのコピーを、残りのノードに発送するのに適した形に
変換する。
−非C■ノードに対するキーの配布 KDCは、データ・キーだけを2つまたはそれ以上の非
Cvノードに配布することができる。
非C■ノードへの他のタイプのキーの配布は許されない
。まずキー生成命令によってデータ・キーが生成され、
次いでRFMK命令により互換性チャネルを介して非C
Vノードに配布される。すなわち、キーを発送するのに
使われるKEKに関連する制御ベクトルは、リンク制御
フィールドの属性がrcV=OJでなければならない。
生成されたデータ・キーに関連する制御ベクトルの搬出
制御フィールドは、もちろんキーを配布するために(R
FMK命令を使って)データ・キーを搬出できなければ
ならない。
上記のケースと同様に、生成されたキーにのローカル・
コピーはKDCで利用できることに留意されたい。これ
は、露出が起こらない限られたアプリケーション以外で
は認められるべきでない。すなわち、このアプリケーシ
ョンは非常に限られている。前記のケースで提案したキ
ー・セット生成命令とキー変換命令の組合せを使用する
代替方法がこの場合にも適用できる。
−制御ベクトル・ノード及び非制御ベクトル・ノードへ
のキーの配布 KDCは、データ・キーのコピーをCvノードと非C■
ノードの両方に配布することができるたけである。これ
は、非Cvノードにはデータ・キーしか配布できないか
らである。配布は、キー生成命令とRFMKの組合せま
たはキー・セット生成命令とRFMKの組合せを使って
行なうことができる。すなわち、まずキー生成命令また
はキー・セット生成命令を用いてデータ・キーが生成さ
れる。次にRFMK命令またはキー・セット生成命令(
モード0P−EX)自体によって1つのコピーがCvノ
ードに送られる(CVチャネルを必ず使用しなければな
らない)。もう1つのコピーは、RFMK命令によりC
V=Oチャネルで非Cvノードに送られる。
この場合も、生成されたキーのローカル・コピーは、K
DCが利用できる。この問題を回避するために、キー・
セット生成/キー変換命令による代替方法を実施するこ
ともできる。
キーの変換 キーは、キー変換機能を使っであるキー暗号化キーによ
る暗号化から別のキー暗号化キーによる暗号化に変換す
ることができる。この機能は、キー変換センタ(KTC
)環境、すなわち、1つまたは複数のノードが他のノー
ド用のキーを変換するメートとして働く環境で有用であ
る。たとえば、第35図に示す3つの暗号ノードA1B
1Cを考える。暗号ノードとしての通常の機能の他に、
CはA及びBのKTCとしても働く。Aは、定義域間キ
ーKEKacとKEKcaを用いてCと通信することが
できる。同様に、Bは、KEKbcとKEKcbを用い
てCと通信することができる。
Aは、データ・キーKDのもとて暗号化されたBデータ
を送り、かつAとBは最初通信するための共通の定義域
間キーをもたないものと仮定する。
データを非暗号化(復号化)するには、BはKDを知る
必要がある。AとBは共通の定義域間キーをもたないの
で、Aは、Bで回復できる暗号化されたキーを送ること
ができない。Cは、KTCとして動作することによりB
がKDを受け取るのを助ける。まず、AはN K E 
K a cのもとて暗号化されたKD(すなわち、e”
KEKac、cl (KD) )のコピーをCに送る。
Cはキー変換機能を呼び出して、e”KEKac、cl
 (KD)をe”KEKcb、cl (KD)に変換し
、次いでef″KEKcb 、 CI (KD)をBに
送る。ノードBでは、TRMK機能を用いてKDが回復
され、受信したKDと共に非暗号命令を用いて暗号化デ
ータが非暗号化(復号化)できる。
キー変換命令は、KTCがKDのコピーを保持できない
ように設計されていることに留意されたい。さらに、安
全保護上の理由から、CAは、変換されるキーが出たり
(入力チャネル)入ったり(出力チャネル)するチャネ
ルの混合及び一致を許さない。すなわち、変換されるキ
ーがCVチャネルに入る場合、変換されたキーはCvチ
ャネルで出なければならない。入力チャネルがCV=O
チャネルである場合、出力チャネルはCV=Oチャネル
である。すなわち、入力チャネル及び出力チャネル(上
記の例のKEKacとKEKcb)に関連するKEKの
制御ベクトルは、キー変換命令に記載されている有効な
組合せの1つに一致するリンク制御属性をもたなければ
ならない。
キーの搬出 キーの搬出とは、他のノードに送るのに適した形でキー
を暗号化することである。すなわち、そのキーは、通信
ノード間で共用されるキー暗号化キーのもとて暗号化さ
れる。
制御ベクトル・システムは、他方のシステムが制御ベク
トル構造をもっていてもいなくても、他のシステムとキ
ーを交換することができる。CAによって定義されるキ
ーの搬出に関する規則は以下の通りである。
Cvシステムに対するキーの搬出 制御ベクトル・システムは、データ・キー、キー暗号化
キー、PINキー、中間C■、キ一部分及びトークンを
他のノードに搬出することができる。
以下に説明するように、キーは、RFMK命令またはG
KS命令を使ってC■ノードに搬出される。
RFMK命令によるキーの搬出 システム上でローカルで使用されるキーは、それらのキ
ーの制御ベクトルの搬出制御フィールドがそれを許す場
合、RFMK機能を用いて他のCVノードに搬出するこ
とができる。通常、これらのキーは、キー生成命令また
はGKS命令によって生成され、あるいは他のノードか
ら受信される。
システム上でローカルで使用される、e”KM、c (
K)の形で暗号化されたキーをKとする。ただし、Cは
、CFAPによって作成され供給される、Aの使用を指
定する制御ベクトルである。Kがシステム上で生成され
たか、他のノードから受信されたか、あるいは(たとえ
ば、LCVA命令を使った)既存のキーに対するローカ
ル変換によって形成されたか、Kの搬出に関する判定は
、制御ベクトルCの搬出制御で示されなければならない
。Cの搬出制御フィールドが、Kを他のCvノードに発
送することを許す場合、RFMKを使ってKを搬出する
ことができる。Aからそのノードにキーを発送するのに
使用される定義域間キーをKKとする。
発送されるキーにの形は、それが発送されるチャネル・
タイプに依存する。チャネル・タイプは、それが呼び出
されるときRFMK命令の配布モードで指定される。R
FMK命令を実行するには、RFMK命令の配布モード
・パラメータと(KKに関連する)制御ベクトルCkk
のリンク制御フィールドが、第37表で指定された有効
な組合せの1つでなければならない。
一配布モードがC■チャネルを指定し、Ckkのリンク
制御フィールドがrcVJまたは[CVまたはCV=O
Jである場合、その組合せは有効である。Kは、e”K
に、C1(K)の形で搬出される。
ただし、C1はCに基づいてCFAPによって作成され
RFMK命令に供給される制御ベクトルである。
一配布モードがCV=Oチャネルを指定し、ckkのリ
ンク制御フィールドがrcV=OJまたは「CVまたは
CV=OJである場合、その組合せは有効である。Kは
、e”KK(K)の形で搬出される。この場合、制御ベ
クトルは除去される。
CVタイプがデータ/互換性のキーだけがCv=0チャ
ネルで発送できることに留意されたい。
他のキーは安全保護上の理由から禁止される(「攻撃」
の節を参照のこと)。制御ベクトル構造をもたない既存
のアプリケーション(たとえば、IBM  CUSP/
384Bで走行するアプリケーション)は、OCAノー
ドに対して保護されているとき、CV=Oチャネルを使
用してキーを搬出する。
GKS命令によるキーの搬出 キーは、0P−EXモード、OP−IMモード及びIM
−EXモードでGKS命令により生成時に他のC■ノー
ドに搬出することができる。この命令のモードは、「キ
ーの電子的生成」で説明されている。これらのモードで
は、搬出コピーだけが他のノードに発送される。搬入コ
ピーは他のノードに発送されず、後で生成ノード自体が
受け取る。
動作コピーは生成ノードでのローカル使用のためのもの
である。
RFMK命令とは異なり、GKS命令は、CVチャネル
だけで搬出コピーを他のCvノードに搬出する。すなわ
ち、搬出コピーを暗号化するのに使用したキー暗号化キ
ーに関連する制御ベクトルのリンク制御フィールドはr
cVJまたは「CvまたはCV=OJ属性をもたなけれ
ばならない。
上記と同じ表記法を用いると、搬出コピーは、e”KK
、cl (K)の形で搬出される。
キー・セット生成組合せ機能は、CVシステムにキーを
搬出する安全な方法をもたらす。これは、キーを非CV
システムに送るために直接使用できない。
注: 1、RFMKまたはGKSがCvチャネルでキーを搬出
するとき、キーに関連する制御ベクトルがリンク上で送
られない場合がある。受信ノードは、正しいキーを回復
するために、制御ベクトルを正しく再構成することがで
きなければならない。「リンク上の制御ベクトル」に、
送信ノードで制御ベクトルをセットアツプし、それがリ
ンク上で送られないときに受信ノードでそれを再構成す
る手順が説明しである。
2、キーを送るとき、送信ノードは、受信ノードがキー
をさらに他のノードに送ることを許可または禁止すると
いうオプションをもつ。
−受信ノードがキーをさらに他のノードに送ることを送
信ノードが望まない場合、CFAPは、搬出されるキー
に関連する制御ベクトルの搬出制御フィールドをB′1
0“に設定する。
一受信ノードがこのキーをさらに搬出することに対する
制御を行なうことを送信ノードが許す場合、CFAPは
、搬出制御フィールドのビット0を0に設定し、残りの
ビットは「どうでもよい」。受信ノードはキーを受け取
ったとき、搬出制御フィールドの2つのビットを任意の
所望の値に設定することができる。
3、CAはLCVA命令を用いた搬出制御の権限低下を
可能にする。たとえば、ノードAがキーKを他のノード
に搬出した後で、そのキーを再び搬出しないように決定
することができる。
ノードAは、キーにとその制御ベクトルにLOVA命令
を適用することによってこのキーの搬出を禁止し、搬出
制御権限をB“00′またはB’10’(搬出なし)に
低下させることができる。
Cvシステムに対するキーの搬出 RFMK命令だけが、関連する制御ベクトルの搬出制御
フィールドがそれを許可することを条件として、キーを
非Cvシステムに直接搬出するのに使用できる。また安
全保護上の理由から、Cvタイプがデータ/互換性のキ
ーしか非Cvノードに搬出できない。RFMK命令がキ
ーを非Cvノードに搬出するとき、Cv=0チャネルだ
けがキーを発送するのに使用できる。すなわち、RFM
K命令の配布モード・パラメータはCV=Oチャネルを
指定しなければならず、キーを発送するのに使用される
キー暗号化キーに関連する制御ベクトルのリンク制御フ
ィールドはrcV=OJまたは[CVまたはCV=OJ
属性をもたなければならない。上記と同じ注記法を用い
ると、キーはe”KK (K)の形で非CVノードに発
送される。
キーの搬入 キーの搬入とは、キー暗号化キーによる暗号化から受信
ノードのマスク・キーによる暗号化にキーを再暗号化す
ることである。搬入不能(すなわち、キー暗号化キーの
もとて暗号化された)な形のキーは、他のノードから送
られ、あるいはGKS命令によって(OP−IMモード
またはIM−EXモードで)生成される。RTMK命令
は、キーを搬入するのに使用できる唯一の命令である。
CVシステムからのキーの搬入 Cvシステムは、CVノードから送られた任意のCA平
キータイプのキーを受け取ることができる。別のCvノ
ードから送られたキーは、CvチャネルまたはCV=O
チャネルで到着でき、対応するチャネルが受け取られな
ければならない。チャネル・タイプは、RTMK命令が
呼び出されるとき、その配布モード・パラメータで指定
される。
−配布モードがCVチャネルを指定する場合、キーはC
Vチャネルで送受信される。キーはe’にに。
C3(K)の形で送信ノードから到着する。ただし、K
Kは通信ノード間で共用される定義域間キーであり、C
3は送信中のキーKに関連する制御ベクトルである。制
御ベクトルC3は、キーと一緒に送られる場合も送られ
ない場合もある。
−C3がキーと共に送られるとき、(受信ノードの)C
FAPは、送られた制御ベクトルC3に基づいて、C2
と呼ばれる新しい制御ベクトルを作成する。CFAPは
C2、C3及び他のパラメータをRTMK命令に供給す
る。RTMKはC3を使ってキーKを回復し、次いでC
2の妥当性検査を行なって、それを使って回復されたキ
ーKをマスク・キーによる暗号化に再暗号化する。検索
されたキーは、このときすぐにローカル使用できる形e
”KM、C2(K)の形にある。
−制御ベクトルC3が送られないときは、(受信ノード
の)CFAPはまずC3を再構成し、C3に基づいて新
しい制御ベクトルC2を作成し、それら及び他のパラメ
ータをRTMK命令に供給する。上記と同様に、キーは
e”KM、C23(K)として検索される。
CFAPは、C3の搬出制御に応じて、異なるC2の搬
出制御フィールドを03のそれとは異なるように設定す
る。
−C3の搬出制御がB”lY“であり、Yが0または1
である場合、CFAPは、C2の搬出制御を03のそれ
に等しく設定しなければならない。Yが0の場合、送信
ノードは、受信ノードがキーをさらに搬出することを許
可しない。Yが1の場合、キーはさらに他のノードに搬
出できる。
−C3の搬出制御がB’OY“であり、Yが0または1
である場合、CFAPは、C2の搬出制御を任意の所望
の値に設定できる。すなわち、この場合にはC2と03
の搬出制御は異なってもよい。C3の搬出制御フィール
ドの第2ビツトは受信されたキーの搬出を制御しないこ
とに留意されたい。たとえば、C3の搬出制御がB“O
Y’=B“00゛(すなわち、Y二〇)の場合、受信ノ
ードは、C2の搬出制御をB±01°またはB’11’
に設定することにより、受信されたキーの搬出を許可す
ることができる。
RTMK命令を実行するには、KKに関連する制御ベク
トルのリンク制御フィールドが「CV」または「Cvま
たはCV=OJ属性をもたなければならないことに留意
されたい。
−配布モードがCV=Oチャネルを指定する場合、キー
はCV=Oチャネルで送受信される。キーはe”KK 
(K)の形で送信モードから到着する。受信ノードでは
、キーは、e”KM、C2(K)の形で検索される。た
だし、C2は、CFAPによって作成されRTMKに供
給されたKに関連する制御ベクトルである。C2の搬出
制御フィールドはCFAPによって任意の所望の値に設
定できる。
データ/互換性キー・タイプだけがCV=Oチャネルで
送受信されることに留意されたい。
したがって、C2はCVタイプがデータ/互換性であり
、その使用属性は暗号化、非暗号化(復号化)、MAC
生成及びMAC検査命令の組合せに限られている。また
、TRMK命令を実行するには、KKに関連する制御ベ
クトルのリンク制御フィールドがrcV=OJまたは「
CvまたはCV=OJ属性を持っていなければならない
非Cvシステムからのキーの受信 Cvシステムは非Cvシステムからデータ/互換性キー
・タイプだけを受信することができる。
送られたキーは、Cv=0チャネルでのみ送信ノードか
ら到着する(すなわち、e”KK(K)の形で到着する
)。このキーが受信される方式は、上記のように、キー
がCV=OチャネルでCVノードから送られる場合と同
じである。
暗号アーキテクチャには、暗号機構間で暗号キーを電子
的に伝送するための通信プロトコルが含まれる。このC
A通信プロトコルには、リンク上の制御ベクトル定義と
、暗号キーの電子伝送にこの制御ベクトルの定義を使用
するための許容されるプロトコルの指定が含まれる。
基本的に、CA通信プロトコルは、キー・タイプまたは
所期のキー用途に応じて電子的に伝送されるキーを暗号
分離する手段をもたらす。この通信プロトコルは、伝送
中にあるタイプのキーの代わりに異なるタイプのキーを
使用した場合、置換されたキーが受信側で正しく回復さ
れなくなるようになっている。その場合、送信側と受信
側の暗号機構は、一致するキーをもたないので、こうし
たキ一対での通信は不可能である。不正使用者は、せい
ぜい暗号システムを破壊することはできるが、不正使用
者が受信側暗号機構に送信側暗号機構が意図しない形で
キーを使用させようと試みる類いの暗号攻撃は防止され
る。
通信CFに対するキー管理要件 CA通信プロトコルは、通信する暗号機構対iとjに対
して以下のキー管理要件をもつ。
1、iとjは、KEKijとKEKj iのキー暗号対
を共用しなければならない。ただし、KEKijはiか
らjにキーを送るのに使用され、KEKjiはjからi
にキーを送るのに使用され、KEKijとKEKj i
は共に倍長キー(128ビツト)である。任意選択とし
て、iとjは、iからjにキーを送るためのKEKij
またはjからiにキーを送るためのKEKj iだけを
共用することもできる。また任意選択として、iとjは
、キー電子的に配布するために追加のキー暗号化キーま
たはキ一対を共用することができる。これらのキー暗号
化キーは一般に定義域間キーと呼ばれる。
2.1及びjで、キーKEKijとKEKj iは、(
キー・セット生成、RFMK及びRTMK命令を用いて
)キーを電子的に搬出及び搬入するためにキーを使用す
る際に、このアーキテクチャでの定義に従って、必ず制
御ベクトルの使用が必要となるように「マーク」しなけ
ればならない。追加の任意選択の共用されるキー暗号化
キーまたはキ一対もこの規則に適合しなければならない
iとjは、キーを電子的に配布するために1つまたは複
数のキー暗号化キー(またはキ一対)を共用することも
できる。ただし、共用されるキーは制御ベクトルを必要
としない方法を使用する。
そうする必要があるのは、iまたはjあるいはその両方
で既存のハードウェアまたはソフトウェア機能との互換
性を維持するためである。しかし、そのキーは、(キー
・セット生成、RFMK及びRTMK命令を用いて)キ
ーを電子的に搬出及び搬入するためにキーを使用する際
に特に、このアーキテクチャでの定義に従って、制御ベ
クトルの除外が必要となるようにマークしなければなら
ない。
制御ベクトルが暗号機構の内部で使用される場合、共通
の1組の暗号機構での定義に従って、(「51項で必要
とされる)KEKを「マーク」する方法はすでに指定さ
れている。そうでない場合、「マーキング」を他の手段
で行なわなければならない。
御ベクトルを いたキーの電子的伝送用の形ム 暗号機構、キー生成機能、キー配布機能またはキー変換
機能から受信側暗号機構に送られるすべての電子伝送キ
ーは、以下に記載する形式を使って暗号化しなければな
らない。
”KEK =送信側から受信側機能にキーを伝送するた
めに送信側及び受信側機能が共用する128ビツト・キ
ー C=64ビット制御ベクトル K  =送信される64ビツト・キー Kl、に2=送信される128ビツト・キーと置くと、
単長及び倍長キーに対して以下の形式が指定される。
K         e”KEK、c(K)KCA通信
フロトコルハ、3848/CUSP。
PCF、4700など既存のIBM暗号プロダクトとの
互換性を維持する目的で64ゼロ・ビットの省略時制御
ベクトルも定義する。この通信モードでは、ゼロの制御
ベクトルを用いて(すなわち、制御ベクトルを使用せず
に有効に)キーが送受信できる。この場合、キーには、
eKEK、C(K)の代わりにeKEK (K)の形で
送られる。
メツセージの形式 CA通信プロトコルは、暗号化されたキーを2つの形式
を用いて送信することができる。送られる情報は、メツ
セージ内に含まれるものと仮定する。通信プロトコルは
、現在メツセージ形式の指定を含んでいない。本明細書
で期待または定義すべき範囲に含まれない設計要件に応
じて、受入れ可能なまたは望ましいメツセージ形式が多
数あり得る。通信プロトコルは、どの形式が選択される
かに応じて、こうしたメツセージ中で送られなければな
らない情報を定義するだけである。
第1の形式 %式%() b、128ビットKl、に2: C、e’KEK、c(Kl)、e’KEK、C(K2)
第2の形式 %式%() b、128ビットKl、に2: e”KEK、c(Kl)、e”KEK、c(K2)CV
=Oという縮退したケースも上記の2つの形式でカバー
されることに留意されたい。
第1の形式−CV低伝 送1の形式は、制御ベクトルが暗号化されたキーで伝送
される場合をカバーする。受信側暗号アプリケーション
または暗号支援プログラムは、受信されるキーの目的は
何かを必ず知っていなければならないので、制御ベクト
ルは、送信端末から受信端末に搬送されるすべての必要
なキー使用情報のための便利で簡略な方法であることが
わかる。
さらに、受信された制御ベクトルは、受信側アプリケー
ション・プログラムから暗号支援プログラム(たとえば
、IBM  CUSP)に渡され、そこからRTMK機
能がどのように実施されるかに応じて、RTMK機能の
パラメータとして暗号支援プログラムから暗号機構(す
なわち、ハードウェア)に直接波される。したがって、
ソフトウェア(すなわち、CFAP)による制御ベクト
ルの管理はそれほど複雑でなくなる。
第2の形式−非伝送Cv 第2の形式では2つのケースが可能である。第1のケー
スは、送信端末と受信端末が制御ベクトルの再構成のた
めの協定を以前に結んでいないケースをカバーする。こ
の場合、受信端末は、制御ベクトルを再構成するための
所定の1組のステップに従う。それらのステップでは、
いくつかの省略時制御ベクトル値の使用が必要である。
第2のケースは、送信端末と受信端末が制御ベクトルを
再構成するための協定を以前に結んでいる場合である。
このケースでは、受信端末は、以前に確立された1組の
私的規則に応じて、制御ベクトルを再構成する。
第2の形式の第1のケースと第2のケースの基本的な相
違点は、第1のケースでは、受信端末がベンダーから供
給されたいくつかの省略時仮定を用いて制御ベクトルを
再構成するが、第2のケースでは、受信端末が協定した
1組の私的規則に応じて制御ベクトルを再構成すること
である。
制御ベクトルの指定 リンク上で使用するための制御ベクトルの指定は、「キ
ー管理」の節に示した内部制御ベクトルの指定と同じで
ある。すなわち、CFAPマクロ定義とCF命令によっ
て指定される、制御ベクトルの作成及び修正を支配する
規則も、リンク上で適用される規則と同じである。これ
らの規則は、キーの円滑な回復を容易にするために採用
されたものである。非暗号化(復号化)によるキー回復
では、制御ベクトルのすべてのビットが、キーの暗号化
のために最初に指定されたものと全く同じに指定されな
ければならないことを想起されたい。
基本的に、その規則は次のようなものである。
−一般に、CFAPはすべての制御ベクトルを作成し、
場合によっては、制御ベクトルのいくつかのビットを検
査/実施する責任を負う。一般に、暗号機構は制御ベク
トルの検査/実施ピットに対する責任を負う。
一制御ベクトルが作成されるとき、制御ベクトルのすべ
てのビットを指定しなければならない。
制御ベクトル・ビットは次のようにして確立される。
a、すべての予約ビットがゼロに設定される。
(これは最初にCV=Oと設定することにより容易に実
施できる。) 50反バリアント・ビットまたは固定ビットが設定され
る。
c、8パリテイ・ビット(すなわち、アーキテクチャの
もとで定義されるビット)を除く残りのビットは、呼び
出されたCFAPマクロのアプリケーションによって指
定されたパラメータ値から、またはマクロで指定される
省略時の値に応じて設定される。
−キーがeKEK、C(K)の形で送信側から受信側に
伝送される場合、(ただし、Cは0の縮退制御ベクトル
ではなく、Cはリンク上で送られない)以下の制御ベク
トルの省略時の値が受信側で定義される。
1、省略時Cvバージョン=0 2、省略時キー・タイプ=「データ・キー」3、省略時
搬出制御=「0000」、すなわち制限なし。
4、キー・タイプ=「データ・キー」の場合、省略時の
使用ピッ)=r1100J、すなわちEとDo 5、キー・タイプ= rKEK/送信側」の場合、省略
時の目的システム=「00」、すなわち、「Cvまたは
Cv=0」、省略時の使用ビット=rllllJ、すな
わち制限なし。
6、キー・タイプ= rKEK/受信側」の場合、省略
時の目的システム=「00」、すなわち、「CVまたは
Cv=0」、省略時の使用ビット=「11」、すなわち
制限なし。
7、キー・タイプ=rPIN暗号化キー」の場合、省略
時の使用ビット=rO10101」、すなわちPINブ
ロックkey in及びkey out再書式化及びP
IN検査。
8、キー・タイプ=rPIN生成キー」の場合、省略時
の使用ビット=「01」、すなわち、PIN検査。これ
らは、キー・セット生成、RFMK1キー変換、キー生
成、EMKl及びRTMK命令で使用される省略時の値
である。
CA  CVの省略時の値 送信側がCvシステム 送信a動(CVシステム CvタイプがDATA CV9イブがPINE CvタイプがPING CvタイプがKEKS CV9イブがKEKS CVり(ブがKEKR CV’14ブがKEKR CV9イブがKEYP CV9イブがIICV 予約ビット      全ての2進佃を使用Cvタイプ
              DATAタイプを使用属
性       ED 属性       RPB−I RPB−OVP属性 
      vP 属性       GKS−LRGKS−RRRFMK
 XLT−0 目的システム      CvまたはCV=O属性  
     RTMK XLT−I目的システム    
  CvまたはCV=O属性       (省略時の
値なし)(属性が存在しない) キーの記憶 暗号機構の外部のすべてのキーは、制御ベクトルとマス
ク・キーの論理和を取ることによって形成されたキーの
もとてそれらを暗号化することにより、暗号化された形
で維持される。
暗号機構の外部に記憶された暗号化キーは、任意選択と
して記憶されたキーを暗号化するのに使用される制御ベ
クトルと一緒に記憶される。しかし、キーと共に記憶さ
れた他の情報に基づいて、あるいは暗号化されたキーが
使用される状況から制御ベクトルが動的に再構成できる
限り、平文制御ベクトルを記憶する必要はない。
生成されたキー及び搬入されたキーはすべて、暗号機構
の外部で暗号化され大容量キー記憶機構に記憶される。
キー記憶機構は、さらに別々の2つの記憶域に区分され
る。KKDS (KEKデータ・セット)とDKDS 
(データ・キー・データ・セット)である。これらの2
つの記憶域が区別されるのは、データ・キー及びキー暗
号化キー(及びPIN関連キー)を管理するためにCA
中で異なる機構が使用されるためである。
暗号化されたキー暗号化キー、PIN暗号化キー及びP
IN生成キーは、KKDSに記憶し、秘密でないキー・
ラベルを使ってアドレスすることができる。
暗号化されたデータ・キーはDKDSに記憶することが
でき、平文データ・キーは暗号機構に記憶することがで
きる。ただし、これらのキーにアクセスするアプリケー
ションが、約56個の秘密の独立ビットをもつ秘密のト
ークン値を使って、それにアクセスすることが条件であ
る。暗号化されたデータ・キーにアクセスするために使
用される秘密のトークンの1方向機能に等しいマスクと
各暗号化キーの排他的論理和を取ることにより、DKD
Sに記憶された暗号化されたキーに追加の安全保護を与
えることができる。
第38表は、複数のKEK項目をもつKKDSを示す。
すべてのキー暗号化キー(KEKiで表す)は2つの6
4ビツト・キ一部分から構成され、2つの64ビツト・
キ一部分の形で暗号化され記憶される。最初の部分は、
KM  XORCLによって形成されたキーによるキー
の左半分の暗号化(KEKi L)である。ただし、C
LはKEK iLに関連する制御ベクトルである。同様
に、第2の部分は、KM  XORCRによって形成さ
れたキーによるキーの右半分の暗号化(KEKiR)で
ある。ただし、CRはKEKiRに関連する制御ベクト
ルである。制御ベクトルCLとCRは、キーの半分が左
半分かそれとも右半分かを示すKEY  FORMOR
−ルドの値以外は同じである。
キーKEK iが短い(すなわち、単長)場合、それは
依然として2つの64ビット半分の形で記憶される。た
だし、KEK i I、−KEK i R及びCL=C
R=Cなので、左半分と右半分は等しい。
キーの左半分及び右半分を、キーのその半分の位置が左
か右かを示す対応する制御ベクトルに結合することが、
「キー半分複製」攻撃と呼ばれているタイプの攻撃に対
して防御するのに不可欠である。この種の攻撃では、こ
うした結合がないと仮定すると、不正使用者は、暗号化
された一方の半分の代わりに他方の半分を使用する(す
なわち、1つのキー半分を複製する)ので、暗号化され
たキーの2つの半分は等しくなる。不正使用者は、キー
の半分を徹底的に探索するためにキー半分に対して暗号
演算を実行することができる。不正使用者は、その後、
他のキー半分について処理を繰り返す。要するに、長い
キーの作業ファクタが、短いキーの作業ファクタの大き
さにまで減少する。
どの暗号化動作でも、CFAPはキー記憶機構から暗号
化キーを取り出して、それを実行中の命令に供給する。
これらのキーは、CF内部でだけ非暗号化(復号化)さ
れ命令によって使用される。
キーが平文の形でCFの外部に現れることない。
キー暗号化キーに対して通常作用する大部分のキー管理
命令では、各命令が呼び出されるとき、倍長のキー暗号
化キーの2つのキー半分を操作または作成するために、
その命令を2度呼び出さなければならない。各呼出しが
、キー暗号化キーの各キー半分に作用しまたはそれを作
成する。したがって、CFAPまたはアプリケーション
は、正しい結果を保証するため、(暗号化されたキー半
分とキー形式フィールドの適切な値に関連する制御ベク
トルなどの)パラメータの適切な値を提供しなければな
らない。
キーが頻繁にアクセスされる大容量システムでは、キー
のアクセス速度を上げるため、キャッシュ機構を実施す
ることができる。
外部者の攻撃と内部者の攻撃 外部者の攻撃及びある種の内部者の攻撃に対する安全保
護を提供することがキー管理の意図である。
ANSI  X9.17キー管理 どちらのキー管理に対する安全保護も失わずに、ANS
I  X9.17キー管理と共存できるようにすること
がキー管理の意図である。
現在のプロダクトとの互換性 現在のプロダクト、たとえばIBM  3848/CU
SPとの互換性は、2つのレベルで処理される。キー生
成、RTMK及びRFMK命令を組み合わせると、デー
タ・キーが異なる4つの形で作成できる。これら4つの
形は、IBM3848/CUSPで現在利用可能なキー
生成マクロによって作成できる異なる4つの形と直接対
応するものである。たとえば、セラシロン・キーの生成
時にIBM  3848/CUSPと互換性を保つため
、キー生成機能を使って、乱数を作成することができ、
それらの乱数はマスク・キーのもとて暗号化されたセラ
シロン・キーとみなされる。次いで、RFMK機能を使
ってそれを他のノードに発送することができる。同様に
、まずキー生成命令を使って乱数を獲得することによっ
て、ファイル・キーを互換性を保って生成することがで
きる。それらの乱数は、ファイル・マスク・キーのもと
て暗号化されたファイル・キーとみなされる。次いでR
TMK機能を使って、システムで使用するためそれをマ
スク・キーのもとて暗号化されたファイル・キーに変換
することができる。RTMK及びRFMK機能は、制御
ベクトルが64ゼロ・ビット(すなわち、制御ベクトル
なし)であるデータ・キーの搬入及び搬出という特殊な
ケースを宵効に許容する。
ソフトウェア・インターフェース CFAPは暗号機構へのアプリケーション・インターフ
ェースをもたらす。このインターフェースはマクロまた
はサブルーチン呼出しの形で実施でき、キー記憶機構デ
ータ・セットに記憶されたキーの記憶と検索を扱うキー
記憶マネージャ構成要素を含むことができる。
ANSI  X9.17管理 概要: ANSIノードのアーキテクチャ 第36図は、ANSI  X9.17ノードの基本構成
要素を示す。このアーキテクチャは、第1図、第2図及
び第3図に示す基本的システム図に基づくものである。
ANSIキー・マネージャは、キーを生成し、搬入し、
搬出し、暗号サービス・メツセージ(C8M)を確認す
るために暗号機構アクセス・プログラム(CFAP)の
暗号サービスを利用するアプリケーション・プログラム
である。C8Mは、通信中のANSIノード間でキー作
成用資料または関連情報を交換するのに使用されるAN
SIX9.17定義メツセージである。
CFAPは、キー記憶マネージャのサービスを使って、
暗号機構(CF)の外部に記憶されたANSIキーにア
クセスする。この記憶域はキー記憶機構と呼ばれる。こ
うしたキーは、適切な制御ベクトルを用いてシステム・
マスク・キー(KM)のもとて暗号化された状態で常に
記憶される。CFは、CFAPに原始暗号機能(暗号化
、非暗号化、MAC作成機能など)を供給する。CFは
また、平文KM及び少数の作業用キーのための限られた
内部記憶域も提供する。
ANSIキー・マネージャは、システムで提供される通
信サービス(たとえば、VTAMまたは装置ドライバ)
を使って、他のANSIノードとの間でC8Mを送受す
る。
ANSIノード 能インターフェース 第37図は、ANSIノードの構成要素間の一部の機能
インターフェースを示す。ANS Iキー・マネージャ
はマクロ呼出しによってCFAPサービスにアクセスす
る。CFAPは、キー記憶機構マネージャに対する機能
呼出しによって、ANSエキ−を検索し記憶する。キー
記憶機構マネージャは、システム入出カサ−ビス(また
はメモリ・アクセス命令)を使って、キー記憶機構と呼
ばれる2次(または1次)記憶機構から要求されたキー
を検索/記憶する。キー記憶機構マネージャはまた、C
FAPのためにキー保全性を検査する。キー記憶機構中
の各キー項目のレコードは、識別用ラベル、暗号化され
たキー、それが記憶される明示の制御ベクトル(CV)
 、送受信カウンタ(KEK用のみ)、及び他のキー関
連パラメータから構成される。CFAPは、原始暗号機
能を実行するためCF命令を参照する。
土二旦布星鷹 ANSI  X9.17は、キー配布の3つの基本環境
=2地点間、キー配布センタ及びキー変換センタを支援
する。
2地点r  (P−P)環 この環境では、1つのノード(たとえば、ノードB)が
、他のノード(ノードA)と通信しようとするが、デー
タ・キーを作成したり、あるいはそれにアクセスするこ
とができない。ただし、ノードAとBは手動で導入した
キー暗号化キー(0)KKabをすでに共用しているも
のと仮定する。
(表記“(0)′は、単長キー暗号化キーKKまたは倍
長キー暗号化キー”KKのどちらがを意味する。)ノー
ドAは、ノードBが要求する1つまたは複数のキーを生
成し、ローカル・コピーを記憶し、(”)KKabのも
とて暗号化された複製をノードBに戻す。
第38図は、2地点間環境にある2つのANSIノード
を示す。これらのノードは、キー暗号化キー”KKab
を共用する。そのキーは、各ノードのキー記憶機構に関
連する送受信カウンタと一緒に記憶される。e”KM、
 C1(”KK a b)は、実際にはそれぞれ”KK
abの左側及び右側の64ビツトであるe”KM、 C
1(KK a b l )及びe”KM、C1(KKa
br)として記憶されることに留意されたい。他のキー
関連パラメータも、このキー用のキー記憶機構レコード
に存在することがある。
2地点間キー配布を表すC8M伝送のシーケンスを示す
。ノードBはR8I(サービス初期設定要求)によって
ノードAから1つまたは複数のキーを要求し、ノードA
はKSM (キー・サービス・メツセージ)によって要
求されたキーを戻し、ノードBはKSM (サービス・
メツセージ応答)で受信を肯定応答する。エラー処理及
びキー中断要求を支援する他のC8M)ランザクジョン
も同様に2地点間環境で定義されている。
たとえば、ノードBが、ノードAから単一データ暗号化
キーKDを要求する。次に、この要求に対する可能なR
8Iのメツセージ形式は以下の通りである。
CSM (MCL/RS I ) RCV/ノードA ORG/ノードB SVR/ EDC/aKDX(MCL/RS1.、、SVR/))
a K D J (X)はキーKDjを使用するXのメ
ツセージ確認コード(MAC)を表すことに留意された
い。KDXはKDjの特殊なケース、すなわち固定され
た秘密でない16進キー’0123456789ABC
DEF“を表す。ノードAは、単一KDを生成し、”K
Kabに関連する送信カウンタでオフセットされた、ノ
ードBと共用される”KKabのもとてそれを暗号化し
て、ノードBに送るべきKSMを形成する。
CSM (MCL/KSM RCV/ノードB ORG/ノードA KD/e*KKAB+5end Ctr *KKab(
KD)CTP/5end Ctr :KKabMAC/
aKD(MCL/KSM、、、CTP/5end Ct
r :KKab))ここで、e’KKab+5end 
 Ctr  ”KKab (KD)は、”KKabを、
5end  Ctr  ”KKabと名付けるその送信
カウンタの現在位でオフセットさせることによって形成
されたキーによる、KDの3重暗号化によって得られる
暗号テキストである。オフセット化はANSIX9.1
7−1985の第7.4節に記載されている。
ノードBはKSMを受信して、KD/フィールドを取り
出し、新しいKDを回復し、キー記憶機構中のノードB
のマスク・キーのもとてそれを記憶し、次いでノードA
に対する肯定応答としてKSMを定式化する。
CSM (MCL/RSM RCV/ノードA ORG/ノードB MAC/aに直MCL/RSM、、、ORG/ノードB
))キー配布センタ(KDC) 第39図は、KDC環境における3つのANSIノード
を示す。
この環境で、ノードBが、それとキーを共用していない
ノードAと通信しようとしている。ただし、ノードBは
手動で導入されたキー暗号化キー(”)KKbcを、キ
ー配布センタとして機能するノードCと共用しているも
のと仮定する。さらに、ノードCは、キー配布センタと
して機能するノードCと、手動で導入されたキー暗号化
キーC→KKbcを共用している。さらに、ノードCは
、手動で導入されたキー暗号化キー(0)KKaCをノ
ードAと共用している。ノードAはノードBのキー要求
をノードCに渡し、ノードCは2つの複製キー・セット
を生成する。最初のセットは、(”) KK a cの
もとて暗号化され、第2のセットはC→KKbcのもと
て暗号化される。
次いで両方のセットがノードAに戻される。ノードAは
、最初のキー・セットを回復して記憶し、第2のキー・
セットをノードBに渡す。ノードBも同様にそのキー・
セットを回復し記憶する。
キー 換センタ(KTC) 第40図は、KTC環境における3つのANSIノード
を示す。
この環境で、ノードBが、それをキーを共用してないノ
ードAと通信しようとしている。ノードAはキーを生成
またはそれにアクセスすることができ、キー変換センタ
として機能するノードCと、手動で導入されたキー暗号
化キー(”)KKacを共用しているものと仮定する。
さらに、ノードCは、手動で導入されたキー暗号化キー
(”) KKbcをノードBと共用している。ノードA
は、要求されたキー・セットを生成し、ローカル・コピ
ーを記憶し、(”) KK a cのもとて暗号化され
た複製セットをノードCに送る。ノードCはキー・セッ
トを回復しN  (”) KK b cのもとてキーを
再暗号化して、変換されたキー・セットをノードAに戻
す。ノードAは、回復し記憶するためにキー・セットを
ノードBに渡す。
キー配布のシナリオ 本節ではANSI  X9.17で定義されたキー配布
のシナリオを要約する。これらのシナリオは、キー暗号
化キー用のもの1つとデータ暗号化キー用のもの1つを
表形式で示す。
さらに、各表は、2地点間、キー変換センタ及びキー配
布センタの3つの環境に分かれている。
各暗号交換に1つの環境だけが適用される。一般に、所
与の環境に対する配布のシナリオは、左から右、上から
下に提示される。オプションが存在する場合は、所与の
欄を、選択されたオプションに対する選択及び結果を反
映するよう水平に分ける。CAはすべてのANSI  
X9.17オブシロンを支援しない。支援されないオプ
ションは「SUP?J欄に「ノー」とマークする。
欄は以下のように定義される。
ENV:    ANSI  X9.17配布環境、す
なわち2地点間、キー配布セン タまたはキー変換センタ。
NOD :    配布シナリオにおける関係ノード。
規約により、ノードBは通常初期 キー要求側、ノー1’Aは被要求側、 KTCまたはKDCは支援キー・ センタである。
RCVS:   NODが受ケ取ル+−ノーt−−−タ
イプ(KK、”KKlKDまた はKDmacl−時MACキー) を指定する。
受信キーを生成または変換したノー ド。X via  Yは、XがノードYを介してNOD
にキーを渡すこと を示す。
キーを受信するのに使われる単長 または倍長KEK、添え字はKE Kを共用するノードを示す(aは ノードA1bはノードB1 Cは キー・センタ)。オフセット化は 暗示され、認証は(”)KNxY の形のキーで表される。「新」は 受信キーに付随する新しいKEK を表す。
NODによって生成されたキーの キー・タイプ(KK、”KK、K DlまたはKDmac)を指定す る。
5TORES :NODで記憶される受信または生成さ
れたキーの形式;KK//に FROM: GENS  : UNDI?−’: UNDR2: 5NDS: To = には、単長KKを複製して疑似倍 長KEKを形成することを示す。
(temp)は−時的記憶機構だ けを表す。このキーは、C8Mを 処理するためだけに保持される。
受信または生成されたキーをNO Dで記憶するのに使われるキー 通常、KMxの形で、ノードXの マスク・キーを表す(aはノード A、bはノードB%Cはキー・セ ンタ);制御ベクトルの変更は暗 示による。
TOで指定されたノードに送られ る生成または変換されたキーの形 式。
生成または変換されたキーが送ら れる先のノード。X via Yは、 NODがノードYを介してXにキー を送ることを示す。X and Yは NODがキーを(異なるKEKの UNDR3: SUP?: もとで)XとYに送ることを表す。
生成または変換されたキーを送る のに使われる単長または倍長KE K0オフセット化は暗示による。
認証は(”)KNxYの形のKE Kで表される。KK 1 and KK2は、キーが欄
rTOJの指定に 対応する異なる2つのKEKのも とで送られることを表す。「新」 は生成または変換されたキーに付 随する新しいKEKを表す。
NODでANSIのCA実施態様 がシナリオのこのオプションを支 援するかどうかを示す。
”KKの配布 キー暗号化キーの暗号交換を要約した表を第39表に示
す。
KDの配布 データ・キーの暗号交換を要約した表を第40表と第4
1表に示す。
ANSI  X9.17を支援する命令セット1、AN
SI  X9.17を支援するため、以下の新しい命令
がCAに追加されている。
a、ANsIキ一部分認証(APNOTR)b、ANs
Iマスタ・キーからの再暗号化(ARFMK) c、ANsIマスク・キーへの再暗号化(ARTMK) d、ANSIキー変換(AXLTKEY)e、ANSI
データ・キー組合せ(ACOMBKD) 2、ANSI  X9.17を支援するために、以下の
既存のCA命令が必要である。
a、キー生成 タイプANSI  KEKの制御ベクトルを許容するた
めに、キー生成命令の拡張が追加される。
b、暗号化 変更不要 C0非暗号化(復号化) 変更不要 d、MAC生成 変更不要 e、MAC検査 変更不要 キーのオフセット化とは、キーと記憶されたカウンタの
排他的論理和を取ることによってキー暗号化キー(K 
E K)を変換する処理である。オフセット化は、必ず
そのKEKによるキーの暗号化の前に、KEKを変換す
るために使用される。
認証とは、送信側と所期の受信側の識別でKEKをシー
ルする方法である。通常、認証キーKNは、KEK1送
信側と受信側の識別、及びこのKEKに対するオフセッ
ト・カウンタの関数として認証シールNSを計算し、次
いでNSとKEKの排他的論理和を取ることによって形
成される。所与のKEKに対するカウンタ値が時間の経
過につれて増分されるので、通常KEK認証が必要にな
るたびにNSを改めて計算する。
しかし、所与のANSI  KEKは常にちょうど1つ
の送信側と受信側に関連しているので、NSしたがって
KNは、1つの動的な量: KEKに対するオフセット
・カウンタのみの関数となる。
したがって、KEKの静的な量(キー自体及び送信側と
受信側の識別)を使って部分認証キーKN“を計算する
ために、関数APNOTRを定義することができる。K
N”は、それに対応するKEKと共に記憶され、認証が
必要なとき検索され、現カウンタ値でオフセットされる
だけでKNを形成する。APNOTRの説明は、rAN
s I部分認証キー作成(APNOTR)Jにある。
この手法の利点は、必要になるたびにKNを再計算しな
くてすむことであるが、より重要なことに、CA種機能
複雑さも低下する。キーを搬入、変換または搬出するた
めに使用されるCA機能中のKEKの認証及びオフセッ
ト化を支援する代わりに、オフセット化だけを提供すれ
ばよい。認証を行なわなければならない場合は、KEK
の部分認証形が当該のCA種機能供給される。そうでな
い場合は、KEK自体が供給される。にも関わらず、C
A種機能、キーを暗号化または非暗号化(復号化)する
ことを求める前に、特定のキーのオフセット化を実行す
る。
ANSI  X9.17サブセツト 第39表、第40表及び第41表に示したKK及びKD
の配布シナリオには、ANSI  X9゜17で定義さ
れるすべてのオプションが含まれる。
rsUP?Jとラベルが付けられた各表の最後の欄は、
このオプションに対するCA支援が提供されるかどうか
を示す。
この時点で、CAによって支援されないANSI配布オ
プションだけは、単長キー暗号化キーの生成に関係する
ものである。たとえば、第39表では、2地点間環境に
あるANSIノードAは新しい単長KKを生成し、4つ
の(’)KKオプション、すなわちKKabl”KKa
blKNabまたは”KNabのもとでANS Iノー
ドBにそれを送ることができる。しかし、CAは単長K
Kの生成を支援しない。すなわち、4つのANSI配布
オプシeンのrsUP?J欄が「ノー」とマークされて
いる。
非CAノードとのANSINS性をもたらすため、CA
は新しい単長KKの搬入を支援する。たとえば、上記と
同じ表を使うと、ANSIノードBは、他の(”)KK
の4つの形、すなわちKKabl”KKablKNab
または宰KNabのうちの1つのもとでANSIノード
Aから単長KKを受け取ることができる。各オプション
の「SUP?j欄は「イエス」とマークされており、各
オプションが支援されることを示す。搬入された単長K
Kは必ず複製された形(すなわち、KK//KKとして
128ビツト)で記憶されることに留意されたい。
この単長KKに関する制限は、KD配布オプションにも
影響を及ぼす。ANSI  X9.17では、新しい(
”)KKが1つまたは2つの新しいKDと共に配布され
る場合、KDが新しい(”)KKのもとて暗号化される
ことが必要である。しかし、CAは単長KKの生成を支
援しないので、新しい単長KKのもとで新しいKDを配
布するオプションは支援されない。この例は、第40表
のノードAに対する2地点間環境に示されている。この
表は、新しい単長KKabによるKDの配布が支援され
ないことを示す。
ICV管理 ANSI  X9.17は、暗号化されたまたは平文の
テキストの64ビット初期連鎖値(ICVまたはIV)
の配布を支援する。ICVの生成及び記憶を支援するC
AマクロGENIVが定義される。ICVは、それと−
緒に使用されるKDと共にキー記憶機構に記憶される。
GENIVは、CFのキー生成命令を使って、64ビツ
トの平文非パリテイ調整乱数RNを生成する。GEN 
I Vは、KDに対するキー記憶機構の項目にRNとI
Cv モード・フラグを記憶する。ICV−モード・フ
ラグは、RNが暗号化されたICVとして処理されるか
、それとも平文テキストのICVとして処理されるかを
示す。暗号化モードの場合、RNは、暗号化または非暗
号化(復号化)機能中でそれをICVとして使用する前
に、キーKDを使って非暗号化(復号化)されなければ
ならない。
ANSI  X9.17のRTR及びKSMメツセージ
を使って、生成されたICV、及びICVが暗号化され
ているかそれとも平文テキストかを示す同様のフラグが
配布される。GENIVはまた、受信側で受信したIC
Vをキー記憶機構に記憶するために使用される。もちろ
ん受信側は、RTRまたはKSMメツセージのフラグに
基づいてICV モードを指定しなければならない。
頭字語と略語 OC 条件コード 暗号アーキテクチャ 制御ベクトル(ICVまたはOC Vとは無関係) 暗号ブロック連鎖。データ暗号化 標準の暗号化モード 非暗号化(復号化)、暗号化及び 非暗号化(復号化) A CV CBC ED DEA DBS ECB DE ICV Dx EKx M MN MO PEx PGx PVx K  K  N  I KNIL KNIR Dmac データ暗号化アルゴリズム データ暗号化標準 電子コード・ブック、DESの暗 帰化モード 暗号化、非暗号化(復号化)及び 暗号化 入力連鎖値(CVとは無関係) データ・キー(x=整数) キー暗号化キー(x=整数) マスク・キー 新マスク・キー 旧マスク・キー PIN暗号化キー(x=整数) PIN生成キー(X ”整数) PIN妥当性検査キー(x=整数) 中間認証キー 128ビツト KKNIの左64ビツト K K N Iの右64ビツト ANSINS上−ジ用の一時MA Cキー MACメツセージ確認コード MDC修正検出コード OCV    出力連鎖値 PIN     個人識別番号(ATMと共に使用)ア
ルゴリズム コード化及び復号アルゴリズム コード化及び復号命令は、DESのECB (電子コー
ド・ブック)を使用する。このモードでは連鎖やフィー
ドバックはない。第41図は、ECBの暗号化及び非暗
号化(復号化)モードの動作を示す。
暗号アルゴリズム 暗号化/非暗号化(復号化)アルゴリズムは、米国標準
局データ暗号化標準(DBS)局または、それと等価な
米国規格協会データ暗号化アルゴリズム(ANSI  
DEA)X9.92−1981である。暗号化ブロック
の連鎖(CBC)は、ANSI暗号動作モー)’X9.
106−1983で指定されているように行なわれる。
第42図及び第43図は、それぞれCBCの暗号化及び
非暗号化(復号化)モードの動作を示す。
メツセージ確認(MA C) 参考文献(6)で参照されている金融機関メツセージ確
認標準(卸売り)(ANSI  X9.9)は、発送者
から受信者へのメツセージを確認するための処理を定義
する。この処理は、通信媒体及び支払いシステムから独
立している。
この確認処理には、メツセージ確認コード(MAC)の
計算、伝送及び検査が含まれる。MAS=Cは、完全な
メツセージ・テキストまたはテキストの選択されたメツ
セージ要素に基づく。MACは、発送者の手でメツセー
ジに追加されて、受領者に送信される。メツセージまた
はメツセージ要素は、同じアルゴリズム及びプライバシ
・キーで、受け取ったMACと同じMACが生成される
場合、受領者によって本物として受け入れられる。
確認処理の安全保護は、ブライバシ・キーに対して与え
られる安全保護に直接依存する。
MACは、第44図に示すように生成される。
この標準に記載されている確認アルゴリズムは、ANS
I  X3.106−1983に記載されているように
、64ビツトCBCまたはCFB動作モードを使って実
施できる。両方のモードが、等価なMACを生成するよ
うに初期設定される。KEYは64ビツト・キーであり
、AIないしAnは64ビツトのデータ・ブロックであ
る。初期連鎖値はこの標準では°O“であり、CBC動
作モードは第44図に示すように実施すべきである。A
nが64ビツト未満の場合、残りのビットの右側に10
1が付加される(埋め込まれる)。(OH)の一番左側
の32ビツトがMACとみなされる。
注:48ビツト及び64ビツトのMACを生成及び処理
するための互換性が、存在しなければならない。これら
の場合、一番左側の48ビツトまたは最終出力全体(O
n)がMACとみなされる。
このアルゴリズムは2進データのMAC生成を記述する
。「コード化文字セット」のメツセージ確認は、ANS
I  X9.9−1986に記載されているように実施
すべきであり、文字が2進データで表された後にMAC
アルゴリズムが呼び出される。
MDCアルゴリズム 2つのMDCアルゴリズムが存在する。
1、MDC2−8バイトの入力データ・ブロックごとに
2回の暗号化 2、MDC4−8バイトの入力データ・ブロックごとに
4回の暗号化 異なる2つのアルゴリズムを用いると、呼出し側は、そ
のアプリケーションに依存する安全保護のわずかな低下
と引き換えに50%の性能改善を得ることができる。
−MDC2(テキスト) 1、入力テキストにX″FF’を埋め込んで8バイトの
倍数にする。
2、入力テキストを[n1個の8バイト・ブロックT8
[1コないしT8 [nコに区分する。
3、n=1の場合、n=2及びT8 [2] =8バイ
トのX′00“と設定する。
4、KDlとID2の初期値を設定する(下記参照)。
5、[i]=L 2.、、、+ nについて、a、MD
COP (KD 1、ID2、T8[i]、T8  [
i]) b、KD 1 : =OUT 1 c、ID2:=OUT2 d、FORループの終わり 8、MDC2(7)出方は、16バイトMDc:= (
KD1//KD2)である。
−MDC4(テキスト) 1、′入力テキストにX’FF’を埋め込んで8バイト
の倍数にする。
2、入力テキストを[n1個の8バイト・ブロックT8
[エコないしT8 [nコに区分する。
3、n=1の場合、n=2及びT8 [2] =8バイ
トのx’OO”に設定する。
4、KDlとID2の初期値を設定する(下記参照)。
5、[エコ”1121 、、、Hについて、a、MDC
OP (KDI、ID2、T8[i コ 、 T8  
[i]) b、   KDI   int   :=OUT1c、
  ID2int  :=OUT2d、MDCOP  
(KD 1  i  n tl ID2  in tl
 ID2、KDl) e、  KDl  :=OUT1 f、  ID2:=OUT2 g、FORループの終わり 8、MDC4の出力は、16バイトMDC:= (KD
 1//KD2)である。
KDlとID2の初期値は以下の通りである。
1 、 KDC=X’525252525252525
2’2 、 ID2:=X’252525252525
5252゜MDCテスト・パターン − 実行予定認証
アルゴリズム KK使用 認証キーを計算するために使用されるキーをKKとする
。そうすると、 KKR=KK+FM1 (+は排他的論理和演算、FM
IはIDからの最初の8バイト) KKL=KK+TO1(To 1はIDへの最初の8バ
イト) NS 1=eKKR(To2)  To2はIDへの第
2の8バイト N5r==eKKL (FM2)  FM2はIDがら
の第2の8バイト NS=  (NSIの左側32ビツト)//NSrの右
側32ビツト) +CT (CTはKKに関連する64ビツトのカウンタ) KN=  KK+NS  KNはKDまたはKKを暗号
化するのに使用される認証キー ”KK使用 認証キーを計算するために使用されるキーを0KKとす
る。そうすると、 ”KK  =KK l//KK r KKR=KKr+FM1 (+は排他的論理和演算、F
MIはIDからの最初の8バイト) KKL=KKl+TO1(To 1はIDへの最初の8
バイト) NS I−eKKR(To2)+CT (To2はID
への第2の8バイト、CTは”KKに関連する64バイ
トのカウンタ) NSr=eKKL (FM2)+CT (FM2はより
からの第2の8バイト) ”KN= (KK1+NS I)// (KKr+N5
r)  ”KNはKDまたは(”)KKを暗号化するの
に使用される認証キー 標準及び定義 崖! ANSI  N2.92−1981  rデータ暗号化
アルゴリズム」 ANSI  N9.1(N3−1983  rDEA動
作モード」 ANSI  N9.2−198X  r金融機関同士の
デビット及びクレジット・カード・メツセージ交換用の
交換メツセージの指定」この標準は、金融トランザクシ
ョンに関係するバンク・カードから発されるメツセージ
を私用システム間で交換するのに使われる共通インター
フェースを指定する。これは、メツセージの構造、形式
、内容、データ要素とデータ要素の値を指定したもので
ある。
ANSI  N9.8−1982  r個人識別番号C
PIN)管理及び安全保護に関する米国標準」 この標
準は、個人識別番号 (PIN)のライフ・サイクルの管理及び安全保護に関
する標準及び指針を確立したものである。
ANSI  N9.9−1986  r金融機関メツセ
ージ確認(卸売り)に関する米国標準」この標準は、振
替(たとえば、電信振 替)、信用状、有価証券書換え、借款協定、外国為替予
約などの金融メツセージ(卸売り)を確認する方法を確
立したものである。
ANSI  N9.17−1985  r金融機関キー
管理(卸売り)」 この標準は、暗号キーの生成、交換
、及び確認及び暗号化のための使用の(プロトコルを含
む)方法を確立したものである。
ANSI  N9.19−198X  r金融機関小売
メツセージ確認」 この標準は、小売取引の金融メツセ
ージを確認する方法を確立したものである。
ANSI  N9.23−198X  r卸売り金融メ
ツセージ暗号化」 この標準は、機密(たとえば、電信
振替、信用状など)を保持するために卸売り金融メツセ
ージを暗号化する方法を確立したものである。
ISOD工58583 「バンク・カードから発するメ
ツセージ−メツセージ交換指定−金融トランザクジョン
用の内容」 この国際標準は、金融トランザクションに
関係スるバンク・カードがら発するメツセージを私用シ
ステム間で交換するのに使用する共通インターフェース
を指定したものである。
ISODIs8720「メツセージ確認」ISODP8
730r金融業務−標準メッセージ確認(卸売り)要件
」 この国際標準は、メツセージ確認コード(MAC)
を用いて金融機関間でパスするメツセージの真正さを保
護するための技術を指定したものであ。
ISODP8731r金融業務−fi −/ セ−シ確
認用の公認アルゴリズム−パート1:DES−1アルゴ
リズムJ  l5O8731のこの部分は、メツセージ
確認コード(MAC)の計算に動用するための方法とし
てのデータ暗号化アルゴリズム (DEA−1)を扱っている。パート−2はその他の非
DEAアルゴリズム。
ISODP8732r金融業務−キー管理卸売り」 こ
の国際標準は、卸売金融トランザクション中に交換され
るメツセージの暗号化及び確認のために使用されるキー
作成資料の管理方法を指定したものである。
ISODP9548  r個人識別番号の管理及び安全
保護パー)1−PIN保護の原理と技術」この標準は、
効果的なPIN管理に必要な最小限の安全保護措置を指
定したものである。PINデータ交換の標準的手段が規
定されている。
命令及びマクロ要約図 第42表、第43表及び第44表には、CA命令のそれ
ぞれの式を要約する。
皇五又戴 1、GC31−2070−Or4700金融通信システ
ム、コントローラ・プログラミング・ライブラリー第5
巻、暗号プログラミング(4700Finance C
ommunicationSystem、 Contr
oller Progra+*+iing Libra
ry。
Volume 5. Cryptographic P
rogramming) J2、情報システム用ANS
 I−DEA−動作モード  (AHSI   for
   Information   Systems 
  −DEA−Modes of 0peration
s) −AN S I  X3.106−1983 3、ANSIデータ暗号化アルゴリズム(AHSIDa
ta  Encryption  Algorithm
)−A N S IX3. 92−1981 4、金融機関メツセージ確認(卸売り)(Financ
ial In5titution MessageAu
thentication (Wholesale) 
) A N S IX9.9−1986 5、金融機関キー管理(卸売り) (Financia
lInstitution Key Manageme
nt (IJholesale))ANSI  X9.
17−1985 (3,R,C,Summe r Jシステムズ・ジャー
ナル誌(Systems Journal) % V 
1.23、No、4 (1984年)、pp。
309−325、rコンピュータ安全保護の概要(An
 Overview of ComputerSecu
rity) J 7、W、L、Prlcel国立物理学研究所技術メモ(
National Physical Laborat
oryTechnical Me+so) 、D I 
TC4/ 86 (1986年1月)、「トランザクシ
ロン装置の物理的安全保護(Physical 5ec
urity ofTransaction  Devi
ces)J8、A、E、Winblad (Sandi
a国立研究所)SAND85−0766G (1985
年12月)、「内部者による脅威に対する物理的保護の
将来の発展(FutureDevelopments 
in Physical ProtectionAga
inst the In5ider Threat) 
J9、John  Horganl IEEEスペクト
ラム(IEEE Spectrum) 、1985年7
月、pl)、30−41、r情報窃盗者の阻止(Thw
arting the Infora+ation T
h1eves) Jl 0 、 T 、 H、D iS
 t e f a n ON N B S特別刊行物(
NBS 5pecial Publication) 
400−23、ARPA/NBSワークショップ■■、
米国メリーランド州ゲイサースパーク(Gaither
sburg)、1976年3月刊、[半導体表面の光電
発光と光起電式撮像(Photoemission a
ndPhotovoltanic Imaging o
f Sem1conductorSurfaces) 
J 11、D、C,5haver等、IEEE電子装置レタ
ーし(IEEE Electron DeviceLe
tters)  、Vo  l 、  EDL−4、N
o。
5 (1983年5月)、「電子線プロゲラ−r−fル
式128 Kビット・ウェハ・スケールE P RO(
Electron−Beam Programmabl
e128に−Bit 1Jafer−Scale EP
ROM) J12、A、Gercekci  (モトロ
ーラ)、米国特許第4394750号、1983年7月
19日、rPROM消去検出装置(PROMErase
 Detector) J 13、D、J、DiMaria  国際トピックス会議
議事録(Proceedings of theInt
ernational Topical Confer
ence) )ニューヨーク州ヨークタウン・ハイツ (Yorktown  Heights))1978年
3月N S、Pantel 1des編、Pergam
on  Press社刊、rsi02とそのインターフ
ェースの物理(The Physics of 5iO
2and 1tsInterfaces)J 14、D、R,Young等、J、AI)1)l。
PhYs、 、50 (10)(1979年10月)、
pp、6136−72、「2951(及び77にの5i
02の電子捕捉 (Electron Trapping in 5i0
2 at 295 and77K)J 15、R,Singh等、IEEE核物理学紀要(IE
EE Trans、 on Nuclear 5cie
nce) NVol、N5−3L No、6 (198
4年12月)、pp、1518−23、rCMO8LS
I用ゲート酸化物の総投与量及び電荷捕捉効果(Tot
al−Dose andCharge−Trappin
g Effects in Gate 0xidesf
or CMOS LSI Devices) J16、
R,Re1ch、IEEE電子デバイス・レターズ(I
EEE Electron Device Lette
rs) NVo 1.EDL−7、No、4 (198
6年4月)、pp、235−7、「放射線依存ホット・
キャリア効果(Radiation−Dependen
t tlot−Carrier Effects) J
17、David  Chaum編、「暗号技術の進歩
(八dvances in Cryptology) 
J 1Crypto83紀要(Proceedings
 ofCrypto83)t  Plenum   P
ress社刊、ニューヨーク、1984年、「反射物応
答システムの設計概念(DesignConcepts
 for Tamper RespondingSys
tems) J 以上、本発明の特定の実施例を開示したが、本発明の精
神と範囲から逸脱することなく、特定の実施例に変更を
加えることができることは、当業者には明らかである。
第4表 第5表 第2表 第3表 第6表 第7表 第8表 第11表 第9表 第10表 第12表 第13表 第14表 第15表 第18表 第16表 第17表 第19表 第22表 第20表 第23表 第25表 第21表 第26表 第28表 第29表 第30表 第31表 すべてのシステムはシステム依存キーロード命令をもっ
ことができる。
第32表 第33表 第35表 データ/MAC データ/変換 データ/圧縮 データ/ANSI kek /送信側 kek /受信側 kek/AHSI PIN/暗号化 PIN/生成 ICV /適用されない キ一部分/適用さ れない なわち、互換性モード・データ・ クトルを使ってCvチャネルで、 トルを取り除くことによりCV=O 信できる)。
キーは制御べ また制御ベク チャネルで通 モード(命令で 指定された) Cv Cv Cv Cv 第37表 リンク制御 (KEK のCv 中) Cv CV=O CvまたはCV=O 適用されない 組合せ はを効か? eS O eS CV=O CV=O CV=O CV=O Cv CV=O CvまたはCV=O 適用されない O eS eS 第39表 第42表 E0発明の詳細 な説明したように、本発明によれば従来に比べて実用的
で融通性の高いキー管理技術を提供することができる。
【図面の簡単な説明】
第1図は、本発明を適用しうる暗号機構(CF)の主要
構成要素を示すシステム図である。 第2図は、CF1ソフトウェア・ドライバCFAP及び
暗号アプリケーション・プログラムの構成要素を示すシ
ステム図である。 第3図は、制御ベクトルが様々なシステム間通信シナリ
オのどこで適用されるかを示す図である。 第4図は、基本的暗号キーの分離を示す説明図である。 第5図は、データ・キーの分離を示す説明図である。 第6図は、PINギーの分離を示す説明図である。 第7図は、キー暗号化キーの分離を示す説明図である。 第8図は、定義された各キー・タイプに対して行なわれ
る分離を要約した図である。 第9図は、拡張制御ベクトルを用いてマスク・キーのも
とてキーKを暗号化する方法を示す説明図である。 第10図は、コード化命令の構成図である。 第11図は、復号命令の構成図である。 第12図は、暗号化命令の構成図である。 第13図は、非暗号化命令の構成図である。 第14図は、メツセージ確認コード生成(Genmac
)命令の構成図である。 第15図は、メツセージ確認コード検査(Vermac
)命令の構成図である。 第16図は、暗号テキスト変換命令の構成図である。 第17図は、GKS命令の構成図である。 第18図は、マスク・キーからの再暗号化命令の構成図
である。 第19図は、マスク・キーへの再暗号化命令の構成図で
ある。 第20図は、キー生成命令の構成図である。 第21図は、マスク・キーのもとての暗号化命令の構成
図である。 第22図は、変換キー命令の構成図である。 第23図は、新マスク・キーへの再暗号化命令のモード
O(キー・モード)の構成図である。 第24図は、新マスク・キーへの再暗号化命令のモード
1(トークン・モード)の構成図である。 第25図は、現マスク・キーへの再暗号化命令のモード
O(キー・モード)の構成図である。 第26図は、現マスク・キーへの再暗号化命令のモード
1(トークン・モード)の構成図である。 第27図及び第28図は、ANSI部分認証キー作成命
令の構成図である。 第29図は、ANSIマスク・キーからの再暗号化命令
(ARFMK)の構成図である。 第30図は、ANSIマスク・キーへの再暗号化命令(
ARTMK)の構成図である。 第31図及び第32図は、ANSIキー変換命令(AX
LTKEY)の構成図である。 第33図は、ANSI  KD組合せ命令(ACOMB
KD)の構成図である。 第34図は、いくつかの命令によって実行されるキー状
態(OP、IM、EX)の変換を示す図である。搬出及
び搬入チャネルは、暗号機構から搬入及び搬出されるキ
ーの1方向搬送路を表す。 第35図は、ノードAとBのためにノードCで実行され
るキー変換処理を示す図である。 第36図は、ANSI  X9.17システム・46一 ノードの図である。 第37図は、ANSI  X9.17ノード内の構成要
素間の機能インターフェースを示す図である。 第38図は、ANSI  2地点間環境のシステム図で
ある。 第39図は、ANSIキー配布センタ(KDC)環境の
システム図である。 第40図は、ANSIキー変換センタ(KTC)環境の
システム図である。 第41図は、DES暗号化の電子コード・ブック(EC
B)モードを示す図である。 第42図は、DES暗号化の暗号ブロック連鎖(CBC
)モードを示す図である。 第43図は、DES非暗号化のCBCモードを示す図で
ある。 第44図は、メツセージ確認(MAC)アルゴリズムを
示す図である。 82:ぽC:lt、ilk。−陣、ケーラ、−ぐ1−z
ζ8訃、、2)瞭、欠−シさ、傅、−□部傘舘 +□州ゼ 一2鄭珈 +zぽ。1、塁よ 一2皓督 一2澄ゆ舘 −2州努 I に KML XORCLI KML XORCL+ 第44図 MAC

Claims (2)

    【特許請求の範囲】
  1. (1)制御ベクトルに関連する暗号キーの管理のための
    暗号サービス要求を出力するプログラムを実行するデー
    タ処理システムにおいて、上記プログラムによって暗号
    キーについて要求されたキー管理機能が当該暗号キーの
    創作者によって許可されたことを認証する装置であって
    、 (a)上記暗号サービス要求、暗号キー及び関連する制
    御ベクトルを受け取るための入力経路と、これらに対す
    る応答を供給する出力経路が通る安全保護境界によって
    特徴付けられ、該安全保護境界内に、上記入力経路に接
    続された暗号命令記憶装置と、該暗号命令記憶装置に接
    続された制御ベクトル検査手段及び暗号処理手段と、該
    暗号処理手段に接続されたマスタキー記憶装置とを含み
    、上記暗号サービス要求の受取りに応答してキー管理機
    能のための安全保護区域を提供する暗号機構を有し、 上記暗号命令記憶装置は上記入力経路を介して上記暗号
    サービス要求を受け取って、暗号キーでキー管理機能を
    遂行し、 上記制御ベクトル検査手段は上記暗号キーに関連する制
    御ベクトルを受け取るため上記入力経路に接続された入
    力と、上記暗号命令記憶装置に接続された入力とを有し
    、上記暗号サービス要求によって要求されたキー管理機
    能を上記制御ベクトルが許可することの検査を開始する
    ための制御信号を受け取り、 上記制御ベクトル検査手段は上記キー管理機能が許可さ
    れたことを知らせるため上記暗号処理手段の入力に接続
    された許可出力を有し、 上記暗号処理手段による上記許可出力からの信号の受取
    りによって、要求されたキー管理機能を上記暗号キーで
    遂行することを開始するようにしたことを特徴とする認
    証装置。
  2. (2)制御ベクトルに関連する暗号キーの管理のための
    暗号サービス要求を出力するプログラムを実行するデー
    タ処理システムにおいて、上記プログラムによって暗号
    キーについて要求されたキー管理機能が当該暗号キーの
    創作者によって許可されたことを認証する方法であって
    、 (a)入力経路及び出力経路が通る安全保護境界によっ
    て特徴付けられた暗号機構において暗号キーについてキ
    ー管理機能を遂行するための暗号サービス要求を受け取
    るステップと、 (b)上記暗号キーに関連する制御ベクトルを受け取っ
    て、上記暗号サービス要求によって要求されたキー管理
    機能を上記制御ベクトルが許可することを検査するステ
    ップと、 (c)上記キー管理機能が許可されたことを知らせて、
    要求されたキー管理機能を上記暗号キーで遂行するステ
    ップと、 を有する認証方法。
JP1207112A 1988-08-11 1989-08-11 検証方法及び装置 Expired - Fee Related JPH0820848B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US231114 1988-08-11
US07/231,114 US4941176A (en) 1988-08-11 1988-08-11 Secure management of keys using control vectors

Publications (2)

Publication Number Publication Date
JPH0299984A true JPH0299984A (ja) 1990-04-11
JPH0820848B2 JPH0820848B2 (ja) 1996-03-04

Family

ID=22867787

Family Applications (1)

Application Number Title Priority Date Filing Date
JP1207112A Expired - Fee Related JPH0820848B2 (ja) 1988-08-11 1989-08-11 検証方法及び装置

Country Status (3)

Country Link
US (1) US4941176A (ja)
JP (1) JPH0820848B2 (ja)
CA (1) CA1317677C (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005311490A (ja) * 2004-04-19 2005-11-04 Sony Corp セキュア通信を行う通信システム及び方法

Families Citing this family (113)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4993069A (en) * 1989-11-29 1991-02-12 International Business Machines Corporation Secure key management using control vector translation
US5029206A (en) * 1989-12-27 1991-07-02 Motorola, Inc. Uniform interface for cryptographic services
US5007089A (en) * 1990-04-09 1991-04-09 International Business Machines Corporation Secure key management using programable control vector checking
US5010572A (en) * 1990-04-27 1991-04-23 Hughes Aircraft Company Distributed information system having automatic invocation of key management negotiations protocol and method
JP2689998B2 (ja) * 1990-08-22 1997-12-10 インターナショナル・ビジネス・マシーンズ・コーポレイション 暗号動作を行う装置
US5081677A (en) * 1990-08-31 1992-01-14 International Business Machines Corp. Crypotographic key version control facility
US5073934A (en) * 1990-10-24 1991-12-17 International Business Machines Corporation Method and apparatus for controlling the use of a public key, based on the level of import integrity for the key
DE69227051T2 (de) * 1991-02-27 1999-03-11 Canon K.K., Tokio/Tokyo Verfahren zur Entdeckung inkorrekter Überschreibung gespeicherter Daten
GB9104090D0 (en) * 1991-03-08 1991-04-17 Rolls Royce Plc Improvements in or relating to moulding compositions
US5148482A (en) * 1991-05-30 1992-09-15 Motorola, Inc. Layered session data unit frame
US5142578A (en) * 1991-08-22 1992-08-25 International Business Machines Corporation Hybrid public key algorithm/data encryption algorithm key distribution method based on control vectors
US5200999A (en) * 1991-09-27 1993-04-06 International Business Machines Corporation Public key cryptosystem key management based on control vectors
US5201000A (en) * 1991-09-27 1993-04-06 International Business Machines Corporation Method for generating public and private key pairs without using a passphrase
US5179591A (en) * 1991-10-16 1993-01-12 Motorola, Inc. Method for algorithm independent cryptographic key management
US5164988A (en) * 1991-10-31 1992-11-17 International Business Machines Corporation Method to establish and enforce a network cryptographic security policy in a public key cryptosystem
US5265164A (en) * 1991-10-31 1993-11-23 International Business Machines Corporation Cryptographic facility environment backup/restore and replication in a public key cryptosystem
US5231666A (en) * 1992-04-20 1993-07-27 International Business Machines Corporation Cryptographic method for updating financial records
GB9211648D0 (en) * 1992-06-02 1992-07-15 Racal Datacom Ltd Data communication system
GB9213169D0 (en) * 1992-06-22 1992-08-05 Ncr Int Inc Cryptographic key management apparatus and method
US5317638A (en) * 1992-07-17 1994-05-31 International Business Machines Corporation Performance enhancement for ANSI X3.92 data encryption algorithm standard
US5235642A (en) * 1992-07-21 1993-08-10 Digital Equipment Corporation Access control subsystem and method for distributed computer system using locally cached authentication credentials
US5323464A (en) * 1992-10-16 1994-06-21 International Business Machines Corporation Commercial data masking
US5465300A (en) * 1993-12-27 1995-11-07 Motorola, Inc. Secure communication setup method
US5386471A (en) * 1994-01-25 1995-01-31 Hughes Aircraft Company Method and apparatus for securely conveying network control data across a cryptographic boundary
JPH07271865A (ja) 1994-04-01 1995-10-20 Mitsubishi Corp データベース著作権管理方法
US7302415B1 (en) 1994-09-30 2007-11-27 Intarsia Llc Data copyright management system
DE69532434T2 (de) 1994-10-27 2004-11-11 Mitsubishi Corp. Gerät für Dateiurheberrechte-Verwaltungssystem
US6424715B1 (en) * 1994-10-27 2002-07-23 Mitsubishi Corporation Digital content management system and apparatus
GB9503738D0 (en) * 1995-02-24 1995-04-19 Int Computers Ltd Cryptographic key management
US5696823A (en) * 1995-03-31 1997-12-09 Lucent Technologies Inc. High-bandwidth encryption system with low-bandwidth cryptographic modules
EP0809904A1 (en) * 1995-05-30 1997-12-03 International Business Machines Corporation Apparatus for key management in a secure cryptographic facility
US5615266A (en) * 1995-07-13 1997-03-25 Motorola, Inc Secure communication setup method
US8595502B2 (en) 1995-09-29 2013-11-26 Intarsia Software Llc Data management system
US5720034A (en) * 1995-12-07 1998-02-17 Case; Jeffrey D. Method for secure key production
US5878143A (en) * 1996-08-16 1999-03-02 Net 1, Inc. Secure transmission of sensitive information over a public/insecure communications medium
DE69835924T2 (de) * 1997-01-17 2007-09-20 Ntt Data Corp. Verfahren und system zur schlüsselkontrolle bei elektronischer unterschrift
US7003480B2 (en) * 1997-02-27 2006-02-21 Microsoft Corporation GUMP: grand unified meta-protocol for simple standards-based electronic commerce transactions
US6101255A (en) * 1997-04-30 2000-08-08 Motorola, Inc. Programmable cryptographic processing system and method
US6351536B1 (en) * 1997-10-01 2002-02-26 Minoru Sasaki Encryption network system and method
US6246771B1 (en) * 1997-11-26 2001-06-12 V-One Corporation Session key recovery system and method
US6333983B1 (en) 1997-12-16 2001-12-25 International Business Machines Corporation Method and apparatus for performing strong encryption or decryption data using special encryption functions
US6308266B1 (en) * 1998-03-04 2001-10-23 Microsoft Corporation System and method for enabling different grades of cryptography strength in a product
US6532451B1 (en) * 1998-03-23 2003-03-11 Novell, Inc. Nested strong loader apparatus and method
US6317829B1 (en) * 1998-06-19 2001-11-13 Entrust Technologies Limited Public key cryptography based security system to facilitate secure roaming of users
US6535607B1 (en) * 1998-11-02 2003-03-18 International Business Machines Corporation Method and apparatus for providing interoperability between key recovery and non-key recovery systems
US6307955B1 (en) * 1998-12-18 2001-10-23 Topaz Systems, Inc. Electronic signature management system
US6975728B1 (en) * 1999-06-22 2005-12-13 Digital Video Express, L.P. Hierarchical key management
WO2001025880A2 (de) * 1999-10-07 2001-04-12 Deutsche Post Ag Verfahren zur erstellung und überprüfung fälschungssicherer dokumente
CA2331484C (en) * 1999-10-15 2004-12-07 Ascom Hasler Mailing Systems, Inc. Technique for effectively generating postage indicia using a postal security device
US7131006B1 (en) * 1999-11-15 2006-10-31 Verizon Laboratories Inc. Cryptographic techniques for a communications network
WO2001037477A1 (en) * 1999-11-15 2001-05-25 Verizon Laboratories Inc. Cryptographic techniques for a communications network
US7457414B1 (en) 2000-07-21 2008-11-25 The Directv Group, Inc. Super encrypted storage and retrieval of media programs with smartcard generated keys
US8140859B1 (en) * 2000-07-21 2012-03-20 The Directv Group, Inc. Secure storage and replay of media programs using a hard-paired receiver and storage device
GB2368950B (en) * 2000-11-09 2004-06-16 Ncr Int Inc Encrypting keypad module
US20020141593A1 (en) * 2000-12-11 2002-10-03 Kurn David Michael Multiple cryptographic key linking scheme on a computer system
US6642643B2 (en) * 2000-12-20 2003-11-04 Thomson Licensing S.A. Silicate materials for cathode-ray tube (CRT) applications
US7185205B2 (en) * 2001-03-26 2007-02-27 Galois Connections, Inc. Crypto-pointers for secure data storage
US7159114B1 (en) * 2001-04-23 2007-01-02 Diebold, Incorporated System and method of securely installing a terminal master key on an automated banking machine
US7110986B1 (en) 2001-04-23 2006-09-19 Diebold, Incorporated Automated banking machine system and method
FI112904B (fi) * 2001-06-29 2004-01-30 Nokia Corp Menetelmä suojata elektroninen laite ja elektroninen laite
JP3773431B2 (ja) * 2001-09-20 2006-05-10 松下電器産業株式会社 鍵実装システムおよびこれを実現するためのlsi、並びに鍵実装方法
US7409562B2 (en) * 2001-09-21 2008-08-05 The Directv Group, Inc. Method and apparatus for encrypting media programs for later purchase and viewing
US7007040B1 (en) 2001-12-04 2006-02-28 General Dynamics C4 Systems, Inc. Method and apparatus for storing and updating information in a multi-cast system
US7752459B2 (en) * 2001-12-06 2010-07-06 Novell, Inc. Pointguard: method and system for protecting programs against pointer corruption attacks
JP2003333024A (ja) * 2002-05-09 2003-11-21 Nec Corp 暗号化/復号化システム及びその暗号解読防止/改竄防止方法
US7392384B2 (en) * 2002-06-28 2008-06-24 Hewlett-Packard Development Company, L.P. Method and system for secure storage, transmission and control of cryptographic keys
US7660421B2 (en) * 2002-06-28 2010-02-09 Hewlett-Packard Development Company, L.P. Method and system for secure storage, transmission and control of cryptographic keys
TW576063B (en) * 2002-07-10 2004-02-11 Benq Corp Device and method for securing information associated with a subscriber in a communication apparatus
US7000829B1 (en) * 2002-07-16 2006-02-21 Diebold, Incorporated Automated banking machine key loading system and method
JP2004054834A (ja) 2002-07-24 2004-02-19 Matsushita Electric Ind Co Ltd プログラム開発方法、プログラム開発支援装置およびプログラム実装方法
US7274792B2 (en) * 2002-08-09 2007-09-25 Broadcom Corporation Methods and apparatus for initialization vector processing
US6931133B2 (en) * 2002-09-03 2005-08-16 Verisign, Inc. Method and system of securely escrowing private keys in a public key infrastructure
JP4099039B2 (ja) * 2002-11-15 2008-06-11 松下電器産業株式会社 プログラム更新方法
US8261063B2 (en) * 2003-02-03 2012-09-04 Hewlett-Packard Development Company, L.P. Method and apparatus for managing a hierarchy of nodes
US6996233B2 (en) * 2003-06-19 2006-02-07 International Business Machines Corporation System and method for encrypting and verifying messages using three-phase encryption
US8117273B1 (en) 2003-07-11 2012-02-14 Mcafee, Inc. System, device and method for dynamically securing instant messages
US7681046B1 (en) 2003-09-26 2010-03-16 Andrew Morgan System with secure cryptographic capabilities using a hardware specific digital secret
US7694151B1 (en) * 2003-11-20 2010-04-06 Johnson Richard C Architecture, system, and method for operating on encrypted and/or hidden information
US8139770B2 (en) * 2003-12-23 2012-03-20 Wells Fargo Bank, N.A. Cryptographic key backup and escrow system
CA2793810C (en) 2004-06-14 2014-01-07 Research In Motion Limited Method and system for securing data utilizing redundant secure key storage
US8024572B2 (en) * 2004-12-22 2011-09-20 Aol Inc. Data storage and removal
US7933840B2 (en) * 2004-12-30 2011-04-26 Topaz Systems, Inc. Electronic signature security system
US7813510B2 (en) * 2005-02-28 2010-10-12 Motorola, Inc Key management for group communications
US8291224B2 (en) 2005-03-30 2012-10-16 Wells Fargo Bank, N.A. Distributed cryptographic management for computer systems
US8295492B2 (en) 2005-06-27 2012-10-23 Wells Fargo Bank, N.A. Automated key management system
US9325944B2 (en) 2005-08-11 2016-04-26 The Directv Group, Inc. Secure delivery of program content via a removable storage medium
US8775319B2 (en) 2006-05-15 2014-07-08 The Directv Group, Inc. Secure content transfer systems and methods to operate the same
US8356178B2 (en) * 2006-11-13 2013-01-15 Seagate Technology Llc Method and apparatus for authenticated data storage
JP4930028B2 (ja) * 2006-12-13 2012-05-09 ソニー株式会社 情報処理装置、情報処理方法、プログラム
US20100027790A1 (en) * 2007-12-20 2010-02-04 Balaji Vembu Methods for authenticating a hardware device and providing a secure channel to deliver data
US9742560B2 (en) * 2009-06-11 2017-08-22 Microsoft Technology Licensing, Llc Key management in secure network enclaves
US8352741B2 (en) 2009-06-11 2013-01-08 Microsoft Corporation Discovery of secure network enclaves
US8447983B1 (en) 2011-02-01 2013-05-21 Target Brands, Inc. Token exchange
US9264230B2 (en) 2011-03-14 2016-02-16 International Business Machines Corporation Secure key management
US8619990B2 (en) 2011-04-27 2013-12-31 International Business Machines Corporation Secure key creation
US8634561B2 (en) * 2011-05-04 2014-01-21 International Business Machines Corporation Secure key management
US8755527B2 (en) 2011-05-04 2014-06-17 International Business Machines Corporation Key management policies for cryptographic keys
US8566913B2 (en) 2011-05-04 2013-10-22 International Business Machines Corporation Secure key management
US8789210B2 (en) 2011-05-04 2014-07-22 International Business Machines Corporation Key usage policies for cryptographic keys
KR20130003616A (ko) * 2011-06-30 2013-01-09 한국전자통신연구원 세션 키 및 클러스터 키 생성 방법 및 그 장치
US8918651B2 (en) * 2012-05-14 2014-12-23 International Business Machines Corporation Cryptographic erasure of selected encrypted data
US9954848B1 (en) 2014-04-04 2018-04-24 Wells Fargo Bank, N.A. Central cryptographic management for computer systems
US10185669B2 (en) 2014-08-04 2019-01-22 Oracle International Corporation Secure key derivation functions
US9830479B2 (en) 2014-09-16 2017-11-28 Nxp Usa, Inc. Key storage and revocation in a secure memory system
US20160321133A1 (en) * 2015-05-01 2016-11-03 Microsoft Technology Licensing, Llc Verifying accurate storage in a data storage system
US10644878B2 (en) * 2016-06-24 2020-05-05 NTT Research Key management system and method
JP7073348B2 (ja) 2016-09-19 2022-05-23 エヌ・ティ・ティ リサーチ インコーポレイテッド 脅威スコアリングシステム及び方法
US11757857B2 (en) 2017-01-23 2023-09-12 Ntt Research, Inc. Digital credential issuing system and method
US10615972B2 (en) * 2018-01-19 2020-04-07 Vmware, Inc. System and methods of managing shared keys in a computer cluster with high availability
KR102885076B1 (ko) * 2019-01-10 2025-11-13 삼성전자주식회사 전자 장치, 전자 장치 제어방법 및 네트워크 시스템
US12406185B1 (en) 2020-07-15 2025-09-02 Ntt Research, Inc. System and method for pruning neural networks at initialization using iteratively conserving synaptic flow
US12008150B2 (en) 2021-06-24 2024-06-11 International Business Machines Corporation Encrypted data processing design including cleartext register files
US11868275B2 (en) 2021-06-24 2024-01-09 International Business Machines Corporation Encrypted data processing design including local buffers

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4227253A (en) * 1977-12-05 1980-10-07 International Business Machines Corporation Cryptographic communication security for multiple domain networks
US4218738A (en) * 1978-05-05 1980-08-19 International Business Machines Corporation Method for authenticating the identity of a user of an information system
US4223403A (en) * 1978-06-30 1980-09-16 International Business Machines Corporation Cryptographic architecture for use with a high security personal identification system
US4386233A (en) * 1980-09-29 1983-05-31 Smid Miles E Crytographic key notarization methods and apparatus
US4578530A (en) * 1981-06-26 1986-03-25 Visa U.S.A., Inc. End-to-end encryption system and method of operation
US4503287A (en) * 1981-11-23 1985-03-05 Analytics, Inc. Two-tiered communication security employing asymmetric session keys
US4500750A (en) * 1981-12-30 1985-02-19 International Business Machines Corporation Cryptographic application for interbank verification
US4723284A (en) * 1983-02-14 1988-02-02 Prime Computer, Inc. Authentication system
JPH0685517B2 (ja) * 1985-06-28 1994-10-26 ソニー株式会社 情報サ−ビスシステム
US4683968A (en) * 1985-09-03 1987-08-04 Burroughs Corporation System for preventing software piracy employing multi-encrypted keys and single decryption circuit modules
US4850017A (en) * 1987-05-29 1989-07-18 International Business Machines Corp. Controlled use of cryptographic keys via generating station established control values

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005311490A (ja) * 2004-04-19 2005-11-04 Sony Corp セキュア通信を行う通信システム及び方法

Also Published As

Publication number Publication date
CA1317677C (en) 1993-05-11
JPH0820848B2 (ja) 1996-03-04
US4941176A (en) 1990-07-10

Similar Documents

Publication Publication Date Title
JPH0299984A (ja) 検証方法及び装置
US4918728A (en) Data cryptography operations using control vectors
EP0002390B1 (en) Method for cryptographic file security in multiple domain data processing systems
EP0354774B1 (en) Data cryptography using control vectors
US5265164A (en) Cryptographic facility environment backup/restore and replication in a public key cryptosystem
US4386233A (en) Crytographic key notarization methods and apparatus
EP0002580B1 (en) A process for the verification of cryptographic operational keys used in data communication networks
JP2552061B2 (ja) 公開キー暗号システムにおいてネットワーク安全保証ポリシーが狂わないようにする方法及び装置
US6049612A (en) File encryption method and system
US5745573A (en) System and method for controlling access to a user secret
US4924514A (en) Personal identification number processing using control vectors
US8135132B2 (en) Method and system for secure storage, transmission and control of cryptographic keys
Denning Cryptographic checksums for multilevel database security
EP0534419A2 (en) Public key cryptosystem key management based on control vectors
JPS6016670B2 (ja) 端末ユ−ザの身元を認証するためのシステム
CN106230872A (zh) 对移动中数据进行保护的系统和方法
CN103563325A (zh) 用于保护数据的系统和方法
JPH0669915A (ja) 暗号キー管理装置および管理方法
TWI517653B (zh) 電子裝置及密碼材料供應之方法
WO1998054633A1 (en) Method and apparatus for signing and sealing objects
EP0356065B1 (en) Secure management of keys using control vectors
EP0354771B1 (en) Personal identification number processing using control vectors
CA1322418C (en) Data cryptography operations using control vectors
JP4662799B2 (ja) 暗号化通信システム
JPH0816825B2 (ja) 暗号装置及び方法

Legal Events

Date Code Title Description
LAPS Cancellation because of no payment of annual fees