Versions Compared

Old Version 3

changes.mady.by.user Pål Axelsson

Saved on

compared with

New Version 4

changes.mady.by.user Leif Johansson

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
  1. Installation (dagen innan)
  2. Rigga (start 8:00)
    1. Koppla in kortäsare och RNG i APUn
    2. Koppla in konsolsladd till splitter. 
    3. Koppla splitter till skrivare
    4. Koppla splitter till laptop via USB-serie-adapter
    5. Installera terminalemulator på laptop
    6. Anslut laptop till Adobe Connect och initiera skärmdelning av terminalemulatorn
    7. Boota APUn
  3. Nyckelgenerering
    1. Utrustning som krävs:
      1. 6 nyckelkort och förse med klistermärken.
      2. 2 USB minnen
      3. Ta fram 9 tamperpåsar:
        1. 6 påsar till nyckelkort
        2. 2 påsar till USB-minnen
        3. 1 påse till APUn
      4. Pärm med loggen för APUn

    2. Verifiera att RNGn startar genom att köra följande:

      Code Block
      languagebash
      # ps auxww | grep rngd
# dd if=/dev/urandom count=10 bs=1M | ent

    3. Starta nyckelgenereringsprocessen

      Code Block
      # swamid
    4. Under genereringen kommer scriptet fråga efter 6 nyckelkort. Mata in ett kort i taget (vid prompt) och lägg varje kort i en plastpåse som förseglas. Varje påses serienummer noteras i loggen. Påsarna delas ut till följande personer: Leif, Valter, Pål, Paul, Fredrik, Eskil
    5. Scriptet visar fingerprint på publika nyckeln. Alla som vill tar en bild.
    6. Scriptet bootar om APUn
    7. Nyckelgenereringen är avslutad
  4. Backup
    1. Boota APUn

    2. Starta backup-processen:

      Code Block
      languagebash
      # swamid-backup

      Scriptet promptar efter 2 USB minnen. När backup är klar, läggs varje USB-minne i var sin påse som förseglas. Påsarna placeras i kassaskåpen i KAS och TUG. Påsarnas serienummer noteras i loggen.

  5. Export

    1. Starta export-processen:

      Code Block
      languagebash
      # swamid-export

      Scriptet kommer att propta efter 1 USB minne. När exporten är klar verifieras innehållet på USB-minnet på valfri annan laptop varifrån den publika nyckeln läggs upp på mds.swamid.se tillsammans med information om den nya nyckelns fingerprint.

  6. Avslut
    1. Gör shutdown på APUn
    2. Lägg APUn i en påse som förselgas och placeras i kassaskåpet i TUG

SWAMID:s nuvarande Certifikat för signerng av Metadata upphör att gälla 1 Maj 2017. Innan dess måste ett nytt certifikat genereras och signeras. Nedan är ett förlag på hur det nya Certifikatet skall skapas och hur vi lägger in det i SUNET:s 2 HSM:er.

Definitioner

...

Följande schema planerar vi att arbeta efter för att geomföra nyckelrullningen.

    Nyckelgenereringsdator setup
  1. Installera Linus-Linux på nyckelgenereringsdatorn. En installation med openssl programvaror för entropi och att överföra nyckel till HSM:en  
    2. Kopiera iso-imagen till USB-stickorna. Detta för at kunna återskapa datorn vid behov.
    Presentationsförberedelser
  2. Starta presentation och börja filma, alla vittnen med presenteras med namn och organisation.
  3. Ansluta en serial-breakup-box till nyckelgenereringsdatorn
  4. Ansluta en rs232-logger till outputen från serial-breakup-boxen
  5. Anslut en kommandodator med serie-consol till serial-breakup-boxen och projicera till vittnen, även denna skärm spelas in.
    6. Nyckelgenereringsdatorn startas upp
    Entropi-setup
  6. Entropikällan ansluts till nyckelgenereringsdatorn
    7. Entropikällan testas
    Nyckelgenerering
  7. Allt arbete med nycklar fram till 5d med undantag av 4h sker mot en ramdisk, inget sparas till ssd-disk!!
  8. Generera ett nyckelpar (Pu+Pr)
  9. Generera ett självsignerat certifikat (Ce)
  10. Fingerprint av certifikatet skrivs ut på skärmen
  11. Alla erbjuds att ta en bild på fingerprinten
  12. Certifikatet (Ce) skrivs ut på skärmen så att alla kan se det.
  13. Copy-paste av certifikatet till en fil på presentations datorn, md-signer-2.0.crt. Denna fil publiseras senare på md.swamid.se
    14. Kopiera certifikatet till SSD-disken
  14. Nyckelkryptering
    1. Generera SeedA från entropikällan och lägg in i YubiA (med ykpersonalize)
    2. Generera SeedB från entropikällan och lägg in i YubiB (med ykpersonalize)
    3. Kryptera Pr till Pk med ett lösenord som består av konkatineringen av ett tryck från YubiA och ett tryck från YubiB
    4. Spara ner Pk på ssd-disk.
    5. Reboot. Denna reboot görs för att rensa ramdisken från sitt innehåll
  15. Nyckelbackup
    1. Starta upp datorn
    2. Kopiera ut Ce och Pk till USB-stickorna. Kopia på ios-imagen finns redan på dessa USB-stickor
    3. Lägg en USB-sticka i en förseglad påse som skall lagras på Vetenskapsrådet
    4. Lägg den andra en förseglad påse som skall lagras i Köpenhamn
    5. Lägg nyckelgenereringsdatorn i en förseglad påse som skall lagras i kassaskåpet på Tulegatan
    6. Notera påsarnas nummer i loggen
  16. HSM-initering (en gång på Tulegatan, en gång på Fredhäll)
    1. Plocka fram påsen med nyckelgenereringsdatorn från kassaskåpet.
    2. Kör 2a
    3. Kontrollerar påsens nummer jämfört med loggen
    4. Plocka upp nyckelgenereringsdatorn från påsen
    5. Notera att påsen brutits i loggen
    6. Kör 2b-e
    7. Koppla en ethernetkabel från nyckelgenereringsdatorn till det sekundära HSM-interfacet
    8. Konfigurera IP på nyckelgenereringsdatorn
    9. Skapa en RAM-disk att arbeta emot.
    10. Dekryptera Pk till Pr på RAM-disk genom ett tryck från YubiA resp YubiB
    11. Importera Pr in i HSM:en genom "cmu -importkey -in Pr ..."
    12. Lägg nyckelgenereringsdatorn i en ny förseglad påse som sedan lagras i i kassaskåpetet på Tulegatan
    13. Notera påsens nummer i loggen