RACF® には、秘密鍵を持つ証明書について、秘密鍵のサイズに関する制約事項があります。
NISTECC 鍵の場合、有効な鍵サイズは 192、224、256、384、および 521 ビットです。BPECC 鍵の場合、有効な鍵サイズは 160、192、224、256、320、384、および 512 ビットです。
DSA 鍵の場合、最小鍵サイズは 512 です。RSA 鍵の場合、公開鍵データ・セット (PKDS) 上のクリア RSA 鍵とセキュア RSA 鍵の最小サイズは 512 ビットです。トークン鍵データ・セット (TKDS) 上のセキュア RSA 鍵の最小サイズは 1024 ビットで、サイズは 256 の倍数でなければなりません。鍵の最大サイズは、アメリカ合衆国輸出規制によって決定され、RACF および z/OS 内の非 RACF コードによって制御されます。使用しているインストール・システムに応じて、非 RACF コードにより、強制的にさらに小さい最大サイズにされる場合があります。
| 秘密鍵タイプ | 鍵の最大サイズ |
|---|---|
| RACF データベース内に保管される RSA 鍵 | 4096 ビット |
| セキュア鍵として ICSF TKDS に保管される RSA 鍵 | 4096 ビット |
| CRT 鍵トークンとして ICSF PKDS 内に保管される RSA 鍵 | 4096 ビット |
| DSA 鍵 | 2048 ビット |
| ME 鍵トークンとして ICSF PKDS 内に保管される RSA 鍵 | 1024 ビット |
| NISTECC 鍵 | 521 ビット |
| BPECC 鍵 | 512 ビット |
現在、RSA 鍵の標準サイズは次のとおりです。
| 鍵サイズ | 鍵の強度 |
|---|---|
| 512 ビット | 低強度鍵 |
| 1024 ビット | 中強度鍵 |
| 2048 ビット | 高強度鍵 |
| 4096 ビット | 超高強度鍵 |
鍵の強度に関する考慮事項: NISTECC または BPECC を指定した場合に生成される ECC タイプの短い鍵は、より長い RSA 鍵と同等の強度を得ることができます。
| RSA 鍵サイズ | NISTECC 鍵サイズ | BPECC 鍵サイズ |
|---|---|---|
| 1024 ビット | 192 ビット | 160 または 192 ビット |
| 2048 ビット | 224 ビット | 224 ビット |
| 3072 ビット | 256 ビット | 256 または 320 ビット |
| 7680 ビット | 384 ビット | 384 ビット |
| 15360 ビット | 521 ビット | 512 ビット |
署名に使用される |
署名鍵のサイズ | ||
|---|---|---|---|
| RSA | NISTECC | BPECC | |
| SHA-1 | 2048 ビット未満 | — | — |
| SHA-256 | 2048 ビット以上 |
192、224、 |
160、192、224、 |
| SHA-384 | — | 384 ビット | 384 ビット |
| SHA-512 | — | 521 ビット | 512 ビット |