Inhaltsverzeichnis
Werbung
Die Verschlüsselungsfunktion existiert nur auf der z196 und wird von z/OS und z/
VM unterstützt.
• Algorithmus für digitale Signaturen mit Elliptic Curve Cryptography
(ECC) – ein Public Key-Algorithmus, der in vielen Anwendungen die RSA-
Verschlüsselung ersetzen soll. ECC besitzt Funktionen für digitale Signaturen
und Schlüsselvereinbarung. Die neuen CCA-Funktionen unterstützen ECC-
Schlüsselgenerierung und -verwaltung sowie Signaturgenerierung und -
verifizierung in Übereinstimmung mit den ECDSA-Verfahren aus ANSI X9.62
"Public Key Cryptography for the Financial Services Industry: The Elliptical
Curve Digital Signature Algorithm (ECDSA)." ECC-Schlüssel sind kürzer als
RSA-Schlüssel bei gleicher Stärke pro Schlüssel-Bit. Die Stärke pro Schlüssel-
Bit von RSA ist bei Schlüssellängen bei einer mit AES-192 und AES-256
übereinstimmenden Stärke pro Schlüssel-Bit ist deutlich größer als in Algorithmen
mit Elliptic Curve Cryptography (ECC).
Die Verschlüsselungsfunktion existiert nur auf der z196 und wird von z/OS und z/
VM unterstützt. Informationen hierzu enthält der Abschnitt .
Wenn einer oder beide der kryptografischen PCI-E Adapter einer Funktion
von Crypto Express3 als Coprozessor konfiguriert sind, werden die folgenden
kryptografischen Erweiterungen unterstützt:
• Modulus Exponent (ME) und Chinese Remainder Theorem (CRT), RSA-Ver-
und Entschlüsselung mit Schlüssellängen zwischen 2048 Bit und 4096 Bit.
Die Verschlüsselungsfunktion existiert nur auf der z196 und wird von z/OS und z/
VM unterstützt. Informationen hierzu enthält der Abschnitt .
Trusted Key Entry 7.0 Licensed Internal Code (LIC)
• Unterstützung für ECC Master Key: Administratoren können an der Trusted-Key-
Entry-(TKE-)Workstation Schlüsseldaten erzeugen, das neue Master Key Register
laden bzw. löschen oder das alte ECC Master Key Register löschen. Die ECC-
Schlüsseldaten können auf der TKE oder auf einer Smart Card gespeichert werden
• Unterstützung für CBC-Standardeinstellungen: Die TKE bietet Funktionen, mit
denen der Benutzer das Standardverfahren zum Key Wrapping festlegen kann, das
vom Verschlüsselungsmodul genutzt wird
• TKE Audit Record Upload Configuration Utility: Das TKE Audit Record Upload
Configuration Utility erlaubt der TKE-Workstation, Prüfberichte an einen
System z Host zu senden und dort als z/OS System-Management-Facilities-
(SMF-)Datensätze zu speichern. Die SMF-Datensätze haben den Datentyp 82
(ICSF) und den Subtyp 29. Die Prüfberichte der TKE-Workstations werden zu dem
Programm zur Host-Transaktionsverarbeitung gesendet, das auch bei Trusted-Key-
Entry-(TKE-)Aufgaben eingesetzt wird
• Unterstützung für USB Flash Memory-Laufwerke: Die TKE-Workstation unterstützt
jetzt USB Flash Memory-Laufwerke als Wechseldatenträger. Wenn die TKE-
Anwendung zur Auswahl eines Mediums auffordert, ist auch die Auswahl eines
USB Flash Memory-Laufwerks möglich. Dabei muss das von IBM unterstützte
Laufwerk in den USB-Anschluss der TKE eingesteckt und für die jeweilige Aufgabe
formatiert worden sein.
• Unterstützung starker PINs: TKE Smart Cards, die unter TKE 7.0 erzeugt wurden,
erfordern eine PIN aus sechs Ziffern anstatt nur aus vier. TKE Smart Cards, die vor
Version TKE 7.0 erzeugt wurden, nutzen auch weiterhin eine PIN aus vier Ziffern
und arbeiten unter TKE 7.0 wie gewohnt. Sie können die Vorteile der stärkeren
PINs nutzen, indem Sie eine neue TKE Smart Card initialisieren und die Daten von
der alten auf die neue Karte kopieren.
• Stärkere Kennwörter für die Unterstützung von TKE-Passphrase-Benutzerprofilen:
Bei der Anmeldung am Crypto-Adapter der TKE-Workstation mittels Passphrase
gelten neue Regeln für die Passphrase. Die Passphrase muss:
– Zwischen 8 und 64 Zeichen lang sein
– Mindestens 2 numerische und 2 nicht-numerische Zeichen besitzen
– Sie darf außerdem nicht die Benutzer-ID enthalten
IBM Vertriebsfreigabe für Europa, den Nahen Osten und
Afrika
IBM ist eine eingetragene Marke der International Business Machines Corporation
11
Werbung
Inhaltsverzeichnis
