翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
初期キー (KEK) 交換
AS2805 では、各側には独自の KEK があります。KEK (複数可) は、送信側がキーを保護/ラップして node2 に送信する必要がある場合に使用される送信側キーを指します。KEK(r) は、反対側 (node2) 側で作成されたキーです。
注記
これらの用語は相対的です。一方の側がキーを作成し (送信側)、もう一方の側がキーを受け取ります。したがって、KEY1 を指定すると、node1 では KEK (複数可)、node2 では KEK (r) と呼ばれます。
AS2805 の KEK は常にキータイプ = TR31_K0_KEY_ENCRYPTION_KEY です。これは、キーブロックではなく暗号文を保護するために使用されるためです。AS2805 6.1 で定義されているように、これは TERMINAL_MAJOR_KEY_VARIANT_00 にマッピングされます
手順:
- 1. キーを作成する
-
CreateKey API を使用してキーを作成します。TR31_K0_KEY_ENCRYPTION_KEY タイプのキーを作成します。
- 2.node2 とキーを交換する方法を決定する
-
KEK をカウンターパーティと交換する方法を決定します。AS2805 の場合、最も一般的な相互運用可能な方法は RSA ラップです。
- 3.KEKsエクスポート
-
上記の選択に基づいて、node2 からパブリックキー証明書を受け取ります。その証明書を使用してエクスポートを実行し、キーを保護します (ECDH を使用している場合はキーを取得します)。
- 4. KEKr をインポートする
-
上記の選択に基づいて、パブリックキー証明書を node2 に送信します。その証明書を使用してインポートを に実行し、ノード 2 の KEKr を サービスにロードします。
