Nyckelrullning 2016 - Nyckelceremoni

1. Installation (dagen innan)
2. Rigga (start 8:00)
   1. Koppla in kortäsare och RNG i APUn
   2. Koppla in konsolsladd till splitter. 
   3. Koppla splitter till skrivare
   4. Koppla splitter till laptop via USB-serie-adapter
   5. Installera terminalemulator på laptop
   6. Anslut laptop till Adobe Connect och initiera skärmdelning av terminalemulatorn
   7. Verifiera att skärmdelning och inspelning funkar
   8. Boota APUn
3. Utrustning
   1. 6 nyckelkort och förse med klistermärken.
   2. 3 USB minnen (2 för kopia på den privata nyckeln, 1 för överföring av certifikatet)
   3. Ta fram 9 tamperpåsar:
      1. 6 påsar till nyckelkort
      2. 2 påsar till USB-minnen
      3. 1 påse till APUn
   4. Pärm med loggen för APUn
   5. swamid scriptet hämtat från https://github.com/SUNET/keykeeper
4. Nyckelgenerering (startar 10:00)
   1. Boota APUn

   2. Kontrollera slumptalsgeneratorn

      # swamid ent

   3. Starta nyckelgenereringsprocessen

      # swamid new

   4. Under genereringen kommer scriptet fråga efter 6 nyckelkort. Mata in ett kort i taget (vid prompt)
   5. Scriptet visar fingerprint på publika nyckeln. Alla som vill tar en bild.
   6. Scriptet testar nyckelkorten - välj ut 3 slumpmässiga kort

   7. Scriptet dekrypterar den privata nyckeln och startar ett under-skal. Verifiera den privata nyckeln genom att köra följande två kommandon och verifiera okulärt att output matchar.

      # swamid verify

   8. Lägg varje kort i en plastpåse som förseglas. Varje påses serienummer noteras i loggen. Påsarna delas ut till följande personer: Leif, Valter, Pål, Björn, Fredrik, Eskil.
   9. Boota om APUn
   10. Nyckelgenereringen är avslutad
5. Backup
   
   1. Boota APUn

   2. Starta backup-processen:

      # swamid backup

      Scriptet promptar efter ett USB minne. Kör backup 2 ggr. När backup är klar, läggs varje USB-minne i var sin påse som förseglas. Påsarna placeras i kassaskåpen på Nordunet, Kastrup (KAS) och hos SUNET på Tulegatan (TUG). Påsarnas serienummer noteras i loggen.

6. Export

   1. Starta export-processen:

      # swamid export

      Scriptet kommer att prompta efter ett USB minne. När exporten är klar verifieras innehållet på USB-minnet på valfri laptop varifrån den publika nyckeln läggs upp på mds.swamid.se tillsammans med information om den nya nyckelns fingerprint.

7. Avslut
   
   1. Gör shutdown på APUn
   2. Lägg APUn i en påse som förselgas och placeras i kassaskåpet på TUG. Notera påsens serienummer i loggen.

Inspelning av nyckelceremonin

• Inspelning av nyckelceremonin (Sunet Play) - Importerad i Sunet Play 2024-06-03

• Inspelning av nyckelceremonin (YouTube)

Resultat

nyckelgenerering-logg.txt

Det nya certifikatet:

• SHA256 fingerprint: A6:78:5A:37:C9:C9:0C:25:AD:5F:1F:69:22:EF:76:7B:C9:78:67:67:3A:AF:4F:8B:EA:A1:A7:6D:A3:A8:E5:85
• Subject: C=SE, ST=Stockholm, L=Stockholm, O=SUNET, OU=SWAMID, CN=SWAMID metadata signer v2.0
• Expire: Dec  6 09:28:20 2036 GMT
• md-signer2.crt, https://mds.swamid.se/md-signer2.crt