You are viewing an old version of this page. View the current version.

Compare with Current View Page History

Version 1 Next »

SWAMID:s nuvarande Certifikat för signerng av Metadata upphör att gälla 1 Maj 2017. Innan dess måste ett nytt certifikat genereras och signeras. Nedan är ett förlag på hur det nya Certifikatet skall skapas och hur vi lägger in det i SUNET:s 2 HSM:er.

Definitioner

  • Pu - publik nyckel
  • Pr - okrypterad privat nyckel
  • Pk - krypterad privat nyckel
  • Ce - certifikatet med Pu signerat av Pr

  • SeedA - seed för Yubikeys i grupp A
  • SeedB - seed för Yubikeys i grupp B
  • YubiA - Yubikeys i grupp A (med SeedA i static-mode)
  • YubiB - Yubikeys i grupp B (med SeedB i static-mode)

Följande schema planerar vi att arbeta efter för att geomföra nyckelrullningen.

  1. Nyckelgenereringsdator setup
    1. Installera Linus-Linux på nyckelgenereringsdatorn. En installation med openssl programvaror för entropi och att överföra nyckel till HSM:en  
    2. Kopiera iso-imagen till USB-stickorna. Detta för at kunna återskapa datorn vid behov.

  2. Presentationsförberedelser
    1. Starta presentation och börja filma, alla vittnen med presenteras med namn och organisation.
    2. Ansluta en serial-breakup-box till nyckelgenereringsdatorn
    3. Ansluta en rs232-logger till outputen från serial-breakup-boxen
    4. Anslut en kommandodator med serie-consol till serial-breakup-boxen och projicera till vittnen, även denna skärm spelas in.
    5. Nyckelgenereringsdatorn startas upp

  3. Entropi-setup
    1. Entropikällan ansluts till nyckelgenereringsdatorn
    2. Entropikällan testas

  4. Nyckelgenerering
    1. Allt arbete med nycklar fram till 5d med undantag av 4h sker mot en ramdisk, inget sparas till ssd-disk!!
    2. Generera ett nyckelpar (Pu+Pr)
    3. Generera ett självsignerat certifikat (Ce)
    4. Fingerprint av certifikatet skrivs ut på skärmen
    5. Alla erbjuds att ta en bild på fingerprinten
    6. Certifikatet (Ce) skrivs ut på skärmen så att alla kan se det.
    7. Copy-paste av certifikatet till en fil på presentations datorn, md-signer-2.0.crt. Denna fil publiseras senare på md.swamid.se
    8. Kopiera certifikatet till SSD-disken

  5. Nyckelkryptering
    1. Generera SeedA från entropikällan och lägg in i YubiA (med ykpersonalize)
    2. Generera SeedB från entropikällan och lägg in i YubiB (med ykpersonalize)
    3. Kryptera Pr till Pk med ett lösenord som består av konkatineringen av ett tryck från YubiA och ett tryck från YubiB
    4. Spara ner Pk på ssd-disk.
    5. Reboot. Denna reboot görs för att rensa ramdisken från sitt innehåll
  6. Nyckelbackup
    1. Starta upp datorn
    2. Kopiera ut Ce och Pk till USB-stickorna. Kopia på ios-imagen finns redan på dessa USB-stickor
    3. Lägg en USB-sticka i en förseglad påse som skall lagras på Vetenskapsrådet
    4. Lägg den andra en förseglad påse som skall lagras i Köpenhamn
    5. Lägg nyckelgenereringsdatorn i en förseglad påse som skall lagras i kassaskåpet på Tulegatan
    6. Notera påsarnas nummer i loggen
  7. HSM-initering (en gång på Tulegatan, en gång på Fredhäll)
    1. Plocka fram påsen med nyckelgenereringsdatorn från kassaskåpet.
    2. Kör 2a
    3. Kontrollerar påsens nummer jämfört med loggen
    4. Plocka upp nyckelgenereringsdatorn från påsen
    5. Notera att påsen brutits i loggen
    6. Kör 2b-e
    7. Koppla en ethernetkabel från nyckelgenereringsdatorn till det sekundära HSM-interfacet
    8. Konfigurera IP på nyckelgenereringsdatorn
    9. Skapa en RAM-disk att arbeta emot.
    10. Dekryptera Pk till Pr på RAM-disk genom ett tryck från YubiA resp YubiB
    11. Importera Pr in i HSM:en genom "cmu -importkey -in Pr ..."
    12. Lägg nyckelgenereringsdatorn i en ny förseglad påse som sedan lagras i i kassaskåpetet på Tulegatan
    13. Notera påsens nummer i loggen
  • No labels