- Installation (dagen innan)
- Rigga (start 8:00)
- Koppla in kortäsare och RNG i APUn
- Koppla in konsolsladd till splitter.
- Koppla splitter till skrivare
- Koppla splitter till laptop via USB-serie-adapter
- Installera terminalemulator på laptop
- Anslut laptop till Adobe Connect och initiera skärmdelning av terminalemulatorn
- Verifiera att skärmdelning och inspelning funkar
- Boota APUn
- Utrustning
- 6 nyckelkort och förse med klistermärken.
- 3 USB minnen (2 för kopia på den privata nyckeln, 1 för överföring av certifikatet)
- Ta fram 9 tamperpåsar:
- 6 påsar till nyckelkort
- 2 påsar till USB-minnen
- 1 påse till APUn
- Pärm med loggen för APUn
- swamid scriptet hämtat från https://github.com/SUNET/keykeeper
- Nyckelgenerering (startar 10:00)
- Boota APUn
Kontrollera slumptalsgeneratorn
Code Block language bash # swamid entStarta nyckelgenereringsprocessen
Code Block language bash # swamid new- Under genereringen kommer scriptet fråga efter 6 nyckelkort. Mata in ett kort i taget (vid prompt)
- Scriptet visar fingerprint på publika nyckeln. Alla som vill tar en bild.
- Scriptet testar nyckelkorten - välj ut 3 slumpmässiga kort
Scriptet dekrypterar den privata nyckeln och startar ett under-skal. Verifiera den privata nyckeln genom att köra följande två kommandon och verifiera okulärt att output matchar.
Code Block language bash # swamid verify- Lägg varje kort i en plastpåse som förseglas. Varje påses serienummer noteras i loggen. Påsarna delas ut till följande personer: Leif, Valter, Pål, Björn, Fredrik, Eskil.
- Boota om APUn
- Nyckelgenereringen är avslutad
- Backup
- Boota APUn
Starta backup-processen:
Code Block language bash # swamid backupScriptet promptar efter ett USB minne. Kör backup 2 ggr. När backup är klar, läggs varje USB-minne i var sin påse som förseglas. Påsarna placeras i kassaskåpen på Nordunet, Kastrup (KAS) och hos SUNET på Tulegatan (TUG). Påsarnas serienummer noteras i loggen.
- Export
Starta export-processen:
Code Block language bash # swamid exportScriptet kommer att prompta efter ett USB minne. När exporten är klar verifieras innehållet på USB-minnet på valfri laptop varifrån den publika nyckeln läggs upp på mds.swamid.se tillsammans med information om den nya nyckelns fingerprint.
- Avslut
- Gör shutdown på APUn
- Lägg APUn i en påse som förselgas och placeras i kassaskåpet på TUG. Notera påsens serienummer i loggen.
Inspelning av nyckelceremonin
- Inspelning av nyckelceremonin (Sunet Play) - Importerad i Sunet Play 2024-06-03
Resultat
Det nya certifikatet:
- SHA256 fingerprint: A6:78:5A:37:C9:C9:0C:25:AD:5F:1F:69:22:EF:76:7B:C9:78:67:67:3A:AF:4F:8B:EA:A1:A7:6D:A3:A8:E5:85
- Subject: C=SE, ST=Stockholm, L=Stockholm, O=SUNET, OU=SWAMID, CN=SWAMID metadata signer v2.0
- Expire: Dec 6 09:28:20 2036 GMT
- md-signer2.crt, https://mds.swamid.se/md-signer2.crt
SWAMID:s nuvarande Certifikat för signerng av Metadata upphör att gälla 1 Maj 2017. Innan dess måste ett nytt certifikat genereras och signeras. Nedan är ett förlag på hur det nya Certifikatet skall skapas och hur vi lägger in det i SUNET:s 2 HSM:er.
Definitioner
...
Följande schema planerar vi att arbeta efter för att geomföra nyckelrullningen.
...
- Generera SeedA från entropikällan och lägg in i YubiA (med ykpersonalize)
- Generera SeedB från entropikällan och lägg in i YubiB (med ykpersonalize)
- Kryptera Pr till Pk med ett lösenord som består av konkatineringen av ett tryck från YubiA och ett tryck från YubiB
- Spara ner Pk på ssd-disk.
- Reboot. Denna reboot görs för att rensa ramdisken från sitt innehåll
...
- Starta upp datorn
- Kopiera ut Ce och Pk till USB-stickorna. Kopia på ios-imagen finns redan på dessa USB-stickor
- Lägg en USB-sticka i en förseglad påse som skall lagras på Vetenskapsrådet
- Lägg den andra en förseglad påse som skall lagras i Köpenhamn
- Lägg nyckelgenereringsdatorn i en förseglad påse som skall lagras i kassaskåpet på Tulegatan
- Notera påsarnas nummer i loggen
...