SWAMID:s nuvarande Certifikat för signerng av Metadata upphör att gälla 1 Maj 2017. Innan dess måste ett nytt certifikat genereras och signeras. Nedan är ett förlag på hur det nya Certifikatet skall skapas och hur vi lägger in det i SUNET:s 2 HSM:er.
Definitioner
- Pu - publik nyckel
- Pr - okrypterad privat nyckel
- Pk - krypterad privat nyckel
- Ce - certifikatet med Pu signerat av Pr
- SeedA - seed för Yubikeys i grupp A
- SeedB - seed för Yubikeys i grupp B
- YubiA - Yubikeys i grupp A (med SeedA i static-mode)
- YubiB - Yubikeys i grupp B (med SeedB i static-mode)
Följande schema planerar vi att arbeta efter för att geomföra nyckelrullningen.
- Nyckelgenereringsdator setup
- Installera Linus-Linux på nyckelgenereringsdatorn. En installation med openssl programvaror för entropi och att överföra nyckel till HSM:en
- Kopiera iso-imagen till USB-stickorna. Detta för at kunna återskapa datorn vid behov.
- Presentationsförberedelser
- Starta presentation och börja filma, alla vittnen med presenteras med namn och organisation.
- Ansluta en serial-breakup-box till nyckelgenereringsdatorn
- Ansluta en rs232-logger till outputen från serial-breakup-boxen
- Anslut en kommandodator med serie-consol till serial-breakup-boxen och projicera till vittnen, även denna skärm spelas in.
- Nyckelgenereringsdatorn startas upp
- Entropi-setup
- Entropikällan ansluts till nyckelgenereringsdatorn
- Entropikällan testas
- Nyckelgenerering
- Allt arbete med nycklar fram till 5d med undantag av 4h sker mot en ramdisk, inget sparas till ssd-disk!!
- Generera ett nyckelpar (Pu+Pr)
- Generera ett självsignerat certifikat (Ce)
- Fingerprint av certifikatet skrivs ut på skärmen
- Alla erbjuds att ta en bild på fingerprinten
- Certifikatet (Ce) skrivs ut på skärmen så att alla kan se det.
- Copy-paste av certifikatet till en fil på presentations datorn, md-signer-2.0.crt. Denna fil publiseras senare på md.swamid.se
- Kopiera certifikatet till SSD-disken
- Nyckelkryptering
- Generera SeedA från entropikällan och lägg in i YubiA (med ykpersonalize)
- Generera SeedB från entropikällan och lägg in i YubiB (med ykpersonalize)
- Kryptera Pr till Pk med ett lösenord som består av konkatineringen av ett tryck från YubiA och ett tryck från YubiB
- Spara ner Pk på ssd-disk.
- Reboot. Denna reboot görs för att rensa ramdisken från sitt innehåll
- Nyckelbackup
- Starta upp datorn
- Kopiera ut Ce och Pk till USB-stickorna. Kopia på ios-imagen finns redan på dessa USB-stickor
- Lägg en USB-sticka i en förseglad påse som skall lagras på Vetenskapsrådet
- Lägg den andra en förseglad påse som skall lagras i Köpenhamn
- Lägg nyckelgenereringsdatorn i en förseglad påse som skall lagras i kassaskåpet på Tulegatan
- Notera påsarnas nummer i loggen
- HSM-initering (en gång på Tulegatan, en gång på Fredhäll)
- Plocka fram påsen med nyckelgenereringsdatorn från kassaskåpet.
- Kör 2a
- Kontrollerar påsens nummer jämfört med loggen
- Plocka upp nyckelgenereringsdatorn från påsen
- Notera att påsen brutits i loggen
- Kör 2b-e
- Koppla en ethernetkabel från nyckelgenereringsdatorn till det sekundära HSM-interfacet
- Konfigurera IP på nyckelgenereringsdatorn
- Skapa en RAM-disk att arbeta emot.
- Dekryptera Pk till Pr på RAM-disk genom ett tryck från YubiA resp YubiB
- Importera Pr in i HSM:en genom "cmu -importkey -in Pr ..."
- Lägg nyckelgenereringsdatorn i en ny förseglad påse som sedan lagras i i kassaskåpetet på Tulegatan
- Notera påsens nummer i loggen