- Installation (dagen innan)
- Rigga (start 8:00)
- Koppla in kortäsare och RNG i APUn
- Koppla in konsolsladd till splitter.
- Koppla splitter till skrivare
- Koppla splitter till laptop via USB-serie-adapter
- Installera terminalemulator på laptop
- Anslut laptop till Adobe Connect och initiera skärmdelning av terminalemulatorn
- Boota APUn
- Nyckelgenerering
- Utrustning som krävs:
- 6 nyckelkort och förse med klistermärken.
- 2 USB minnen
- Ta fram 9 tamperpåsar:
- 6 påsar till nyckelkort
- 2 påsar till USB-minnen
- 1 påse till APUn
- Pärm med loggen för APUn
Verifiera att RNGn startar genom att köra följande:
Code Block language bash # ps auxww | grep rngd # dd if=/dev/urandom count=10 bs=1M | ent
Starta nyckelgenereringsprocessen
Code Block # swamid
- Under genereringen kommer scriptet fråga efter 6 nyckelkort. Mata in ett kort i taget (vid prompt) och lägg varje kort i en plastpåse som förseglas. Varje påses serienummer noteras i loggen. Påsarna delas ut till följande personer: Leif, Valter, Pål, Paul, Fredrik, Eskil
- Scriptet visar fingerprint på publika nyckeln. Alla som vill tar en bild.
- Scriptet bootar om APUn
- Nyckelgenereringen är avslutad
- Utrustning som krävs:
- Backup
- Boota APUn
Starta backup-processen:
Code Block language bash # swamid-backup
Scriptet promptar efter 2 USB minnen. När backup är klar, läggs varje USB-minne i var sin påse som förseglas. Påsarna placeras i kassaskåpen i KAS och TUG. Påsarnas serienummer noteras i loggen.
- Export
Starta export-processen:
Code Block language bash # swamid-export
Scriptet kommer att propta efter 1 USB minne. När exporten är klar verifieras innehållet på USB-minnet på valfri annan laptop varifrån den publika nyckeln läggs upp på mds.swamid.se tillsammans med information om den nya nyckelns fingerprint.
- Avslut
- Gör shutdown på APUn
- Lägg APUn i en påse som förselgas och placeras i kassaskåpet i TUG
SWAMID:s nuvarande Certifikat för signerng av Metadata upphör att gälla 1 Maj 2017. Innan dess måste ett nytt certifikat genereras och signeras. Nedan är ett förlag på hur det nya Certifikatet skall skapas och hur vi lägger in det i SUNET:s 2 HSM:er.
Definitioner
...
Följande schema planerar vi att arbeta efter för att geomföra nyckelrullningen.
- Nyckelgenereringsdator setup
- Installera Linus-Linux på nyckelgenereringsdatorn. En installation med openssl programvaror för entropi och att överföra nyckel till HSM:en Kopiera iso-imagen till USB-stickorna. Detta för at kunna återskapa datorn vid behov.
- Starta presentation och börja filma, alla vittnen med presenteras med namn och organisation.
- Ansluta en serial-breakup-box till nyckelgenereringsdatorn
- Ansluta en rs232-logger till outputen från serial-breakup-boxen
- Anslut en kommandodator med serie-consol till serial-breakup-boxen och projicera till vittnen, även denna skärm spelas in. Nyckelgenereringsdatorn startas upp
- Entropikällan ansluts till nyckelgenereringsdatorn Entropikällan testas
- Allt arbete med nycklar fram till 5d med undantag av 4h sker mot en ramdisk, inget sparas till ssd-disk!!
- Generera ett nyckelpar (Pu+Pr)
- Generera ett självsignerat certifikat (Ce)
- Fingerprint av certifikatet skrivs ut på skärmen
- Alla erbjuds att ta en bild på fingerprinten
- Certifikatet (Ce) skrivs ut på skärmen så att alla kan se det.
- Copy-paste av certifikatet till en fil på presentations datorn, md-signer-2.0.crt. Denna fil publiseras senare på md.swamid.se Kopiera certifikatet till SSD-disken
- Nyckelkryptering
- Generera SeedA från entropikällan och lägg in i YubiA (med ykpersonalize)
- Generera SeedB från entropikällan och lägg in i YubiB (med ykpersonalize)
- Kryptera Pr till Pk med ett lösenord som består av konkatineringen av ett tryck från YubiA och ett tryck från YubiB
- Spara ner Pk på ssd-disk.
- Reboot. Denna reboot görs för att rensa ramdisken från sitt innehåll
- Nyckelbackup
- Starta upp datorn
- Kopiera ut Ce och Pk till USB-stickorna. Kopia på ios-imagen finns redan på dessa USB-stickor
- Lägg en USB-sticka i en förseglad påse som skall lagras på Vetenskapsrådet
- Lägg den andra en förseglad påse som skall lagras i Köpenhamn
- Lägg nyckelgenereringsdatorn i en förseglad påse som skall lagras i kassaskåpet på Tulegatan
- Notera påsarnas nummer i loggen
- HSM-initering (en gång på Tulegatan, en gång på Fredhäll)
- Plocka fram påsen med nyckelgenereringsdatorn från kassaskåpet.
- Kör 2a
- Kontrollerar påsens nummer jämfört med loggen
- Plocka upp nyckelgenereringsdatorn från påsen
- Notera att påsen brutits i loggen
- Kör 2b-e
- Koppla en ethernetkabel från nyckelgenereringsdatorn till det sekundära HSM-interfacet
- Konfigurera IP på nyckelgenereringsdatorn
- Skapa en RAM-disk att arbeta emot.
- Dekryptera Pk till Pr på RAM-disk genom ett tryck från YubiA resp YubiB
- Importera Pr in i HSM:en genom "cmu -importkey -in Pr ..."
- Lägg nyckelgenereringsdatorn i en ny förseglad påse som sedan lagras i i kassaskåpetet på Tulegatan
- Notera påsens nummer i loggen
Presentationsförberedelser
Entropi-setup
Nyckelgenerering