/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to mandos-keygen

  • Committer: Teddy Hogeborn
  • Date: 2015-01-25 00:02:51 UTC
  • mto: (237.7.304 trunk)
  • mto: This revision was merged to the branch mainline in revision 325.
  • Revision ID: teddy@recompile.se-20150125000251-j2bw50gfq9smqyxe
mandos.xml (SEE ALSO): Update links.

Update link to GnuPG home page, change reference from TLS 1.1 to TLS
1.2, and change to latest RFC for using OpenPGP keys with TLS (and use
its correct title).

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
1
#!/bin/sh -e
2
2
3
 
# Mandos key generator - create new keys for a Mandos client
4
 
5
 
# Copyright © 2008-2019 Teddy Hogeborn
6
 
# Copyright © 2008-2019 Björn Påhlsson
7
 
8
 
# This file is part of Mandos.
9
 
#
10
 
# Mandos is free software: you can redistribute it and/or modify it
11
 
# under the terms of the GNU General Public License as published by
 
3
# Mandos key generator - create a new OpenPGP key for a Mandos client
 
4
 
5
# Copyright © 2008-2014 Teddy Hogeborn
 
6
# Copyright © 2008-2014 Björn Påhlsson
 
7
 
8
# This program is free software: you can redistribute it and/or modify
 
9
# it under the terms of the GNU General Public License as published by
12
10
# the Free Software Foundation, either version 3 of the License, or
13
11
# (at your option) any later version.
14
12
#
15
 
#     Mandos is distributed in the hope that it will be useful, but
16
 
#     WITHOUT ANY WARRANTY; without even the implied warranty of
 
13
#     This program is distributed in the hope that it will be useful,
 
14
#     but WITHOUT ANY WARRANTY; without even the implied warranty of
17
15
#     MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
18
16
#     GNU General Public License for more details.
19
17
20
18
# You should have received a copy of the GNU General Public License
21
 
# along with Mandos.  If not, see <http://www.gnu.org/licenses/>.
 
19
# along with this program.  If not, see <http://www.gnu.org/licenses/>.
22
20
23
21
# Contact the authors at <mandos@recompile.se>.
24
22
25
23
 
26
 
VERSION="1.8.17"
 
24
VERSION="1.6.9"
27
25
 
28
26
KEYDIR="/etc/keys/mandos"
29
27
KEYTYPE=RSA
34
32
KEYEMAIL=""
35
33
KEYCOMMENT=""
36
34
KEYEXPIRE=0
37
 
TLS_KEYTYPE=ed25519
38
35
FORCE=no
39
36
SSH=yes
40
37
KEYCOMMENT_ORIG="$KEYCOMMENT"
45
42
fi
46
43
 
47
44
# Parse options
48
 
TEMP=`getopt --options vhpF:d:t:l:s:L:n:e:c:x:T:fS \
49
 
    --longoptions version,help,password,passfile:,dir:,type:,length:,subtype:,sublength:,name:,email:,comment:,expire:,tls-keytype:,force,no-ssh \
 
45
TEMP=`getopt --options vhpF:d:t:l:s:L:n:e:c:x:fS \
 
46
    --longoptions version,help,password,passfile:,dir:,type:,length:,subtype:,sublength:,name:,email:,comment:,expire:,force,no-ssh \
50
47
    --name "$0" -- "$@"`
51
48
 
52
49
help(){
64
61
  -v, --version         Show program's version number and exit
65
62
  -h, --help            Show this help message and exit
66
63
  -d DIR, --dir DIR     Target directory for key files
67
 
  -t TYPE, --type TYPE  OpenPGP key type.  Default is RSA.
 
64
  -t TYPE, --type TYPE  Key type.  Default is RSA.
68
65
  -l BITS, --length BITS
69
 
                        OpenPGP key length in bits.  Default is 4096.
 
66
                        Key length in bits.  Default is 4096.
70
67
  -s TYPE, --subtype TYPE
71
 
                        OpenPGP subkey type.  Default is RSA.
 
68
                        Subkey type.  Default is RSA.
72
69
  -L BITS, --sublength BITS
73
 
                        OpenPGP subkey length in bits.  Default 4096.
 
70
                        Subkey length in bits.  Default is 4096.
74
71
  -n NAME, --name NAME  Name of key.  Default is the FQDN.
75
72
  -e ADDRESS, --email ADDRESS
76
 
                        Email address of OpenPGP key.  Default empty.
 
73
                        Email address of key.  Default is empty.
77
74
  -c TEXT, --comment TEXT
78
 
                        Comment field for OpenPGP key.  Default empty.
 
75
                        Comment field for key.  The default is empty.
79
76
  -x TIME, --expire TIME
80
 
                        OpenPGP key expire time.  Default is none.
 
77
                        Key expire time.  Default is no expiration.
81
78
                        See gpg(1) for syntax.
82
 
  -T TYPE, --tls-keytype TYPE
83
 
                        TLS key type.  Default is ed25519.
84
79
  -f, --force           Force overwriting old key files.
85
80
 
86
81
Password creation options:
109
104
        -e|--email) KEYEMAIL="$2"; shift 2;;
110
105
        -c|--comment) KEYCOMMENT="$2"; shift 2;;
111
106
        -x|--expire) KEYEXPIRE="$2"; shift 2;;
112
 
        -T|--tls-keytype) TLS_KEYTYPE="$2"; shift 2;;
113
107
        -f|--force) FORCE=yes; shift;;
114
108
        -S|--no-ssh) SSH=no; shift;;
115
109
        -v|--version) echo "$0 $VERSION"; exit;;
125
119
 
126
120
SECKEYFILE="$KEYDIR/seckey.txt"
127
121
PUBKEYFILE="$KEYDIR/pubkey.txt"
128
 
TLS_PRIVKEYFILE="$KEYDIR/tls-privkey.pem"
129
 
TLS_PUBKEYFILE="$KEYDIR/tls-pubkey.pem"
130
122
 
131
123
# Check for some invalid values
132
124
if [ ! -d "$KEYDIR" ]; then
147
139
        echo "Empty key type" >&2
148
140
        exit 1
149
141
    fi
150
 
 
 
142
    
151
143
    if [ -z "$KEYNAME" ]; then
152
144
        echo "Empty key name" >&2
153
145
        exit 1
154
146
    fi
155
 
 
 
147
    
156
148
    if [ -z "$KEYLENGTH" ] || [ "$KEYLENGTH" -lt 512 ]; then
157
149
        echo "Invalid key length" >&2
158
150
        exit 1
159
151
    fi
160
 
 
 
152
    
161
153
    if [ -z "$KEYEXPIRE" ]; then
162
154
        echo "Empty key expiration" >&2
163
155
        exit 1
164
156
    fi
165
 
 
 
157
    
166
158
    # Make FORCE be 0 or 1
167
159
    case "$FORCE" in
168
160
        [Yy][Ee][Ss]|[Tt][Rr][Uu][Ee]) FORCE=1;;
169
161
        [Nn][Oo]|[Ff][Aa][Ll][Ss][Ee]|*) FORCE=0;;
170
162
    esac
171
 
 
172
 
    if { [ -e "$SECKEYFILE" ] || [ -e "$PUBKEYFILE" ] \
173
 
             || [ -e "$TLS_PRIVKEYFILE" ] \
174
 
             || [ -e "$TLS_PUBKEYFILE" ]; } \
175
 
        && [ "$FORCE" -eq 0 ]; then
 
163
    
 
164
    if [ \( -e "$SECKEYFILE" -o -e "$PUBKEYFILE" \) \
 
165
        -a "$FORCE" -eq 0 ]; then
176
166
        echo "Refusing to overwrite old key files; use --force" >&2
177
167
        exit 1
178
168
    fi
179
 
 
 
169
    
180
170
    # Set lines for GnuPG batch file
181
171
    if [ -n "$KEYCOMMENT" ]; then
182
172
        KEYCOMMENTLINE="Name-Comment: $KEYCOMMENT"
184
174
    if [ -n "$KEYEMAIL" ]; then
185
175
        KEYEMAILLINE="Name-Email: $KEYEMAIL"
186
176
    fi
187
 
 
 
177
    
188
178
    # Create temporary gpg batch file
189
179
    BATCHFILE="`mktemp -t mandos-keygen-batch.XXXXXXXXXX`"
190
 
    TLS_PRIVKEYTMP="`mktemp -t mandos-keygen-privkey.XXXXXXXXXX`"
191
180
fi
192
181
 
193
182
if [ "$mode" = password ]; then
202
191
trap "
203
192
set +e; \
204
193
test -n \"$SECFILE\" && shred --remove \"$SECFILE\"; \
205
 
test -n \"$TLS_PRIVKEYTMP\" && shred --remove \"$TLS_PRIVKEYTMP\"; \
206
194
shred --remove \"$RINGDIR\"/sec* 2>/dev/null;
207
195
test -n \"$BATCHFILE\" && rm --force \"$BATCHFILE\"; \
208
196
rm --recursive --force \"$RINGDIR\";
230
218
        #Handle: <no-spaces>
231
219
        #%pubring pubring.gpg
232
220
        #%secring secring.gpg
233
 
        %no-protection
234
221
        %commit
235
222
        EOF
236
 
 
 
223
    
237
224
    if tty --quiet; then
238
225
        cat <<-EOF
239
226
        Note: Due to entropy requirements, key generation could take
243
230
        echo -n "Started: "
244
231
        date
245
232
    fi
246
 
 
247
 
    # Generate TLS private key
248
 
    if certtool --generate-privkey --password='' \
249
 
                --outfile "$TLS_PRIVKEYTMP" --sec-param ultra \
250
 
                --key-type="$TLS_KEYTYPE" --pkcs8 --no-text 2>/dev/null; then
251
 
        
252
 
        # Backup any old key files
253
 
        if cp --backup=numbered --force "$TLS_PRIVKEYFILE" "$TLS_PRIVKEYFILE" \
254
 
              2>/dev/null; then
255
 
            shred --remove "$TLS_PRIVKEYFILE" 2>/dev/null || :
256
 
        fi
257
 
        if cp --backup=numbered --force "$TLS_PUBKEYFILE" "$TLS_PUBKEYFILE" \
258
 
              2>/dev/null; then
259
 
            rm --force "$TLS_PUBKEYFILE"
260
 
        fi
261
 
        cp --archive "$TLS_PRIVKEYTMP" "$TLS_PRIVKEYFILE"
262
 
        shred --remove "$TLS_PRIVKEYTMP" 2>/dev/null || :
263
 
 
264
 
        ## TLS public key
265
 
 
266
 
        # First try certtool from GnuTLS
267
 
        if ! certtool --password='' --load-privkey="$TLS_PRIVKEYFILE" \
268
 
             --outfile="$TLS_PUBKEYFILE" --pubkey-info --no-text \
269
 
             2>/dev/null; then
270
 
            # Otherwise try OpenSSL
271
 
            if ! openssl pkey -in "$TLS_PRIVKEYFILE" \
272
 
                 -out "$TLS_PUBKEYFILE" -pubout; then
273
 
                rm --force "$TLS_PUBKEYFILE"
274
 
                # None of the commands succeded; give up
275
 
                return 1
276
 
            fi
277
 
        fi
278
 
    fi
279
 
 
 
233
    
280
234
    # Make sure trustdb.gpg exists;
281
235
    # this is a workaround for Debian bug #737128
282
236
    gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
287
241
        --homedir "$RINGDIR" --trust-model always \
288
242
        --gen-key "$BATCHFILE"
289
243
    rm --force "$BATCHFILE"
290
 
 
 
244
    
291
245
    if tty --quiet; then
292
246
        echo -n "Finished: "
293
247
        date
294
248
    fi
295
 
 
 
249
    
296
250
    # Backup any old key files
297
251
    if cp --backup=numbered --force "$SECKEYFILE" "$SECKEYFILE" \
298
252
        2>/dev/null; then
299
 
        shred --remove "$SECKEYFILE" 2>/dev/null || :
 
253
        shred --remove "$SECKEYFILE"
300
254
    fi
301
255
    if cp --backup=numbered --force "$PUBKEYFILE" "$PUBKEYFILE" \
302
256
        2>/dev/null; then
303
257
        rm --force "$PUBKEYFILE"
304
258
    fi
305
 
 
 
259
    
306
260
    FILECOMMENT="Mandos client key for $KEYNAME"
307
261
    if [ "$KEYCOMMENT" != "$KEYCOMMENT_ORIG" ]; then
308
262
        FILECOMMENT="$FILECOMMENT ($KEYCOMMENT)"
309
263
    fi
310
 
 
 
264
    
311
265
    if [ -n "$KEYEMAIL" ]; then
312
266
        FILECOMMENT="$FILECOMMENT <$KEYEMAIL>"
313
267
    fi
314
 
 
 
268
    
315
269
    # Export key from key rings to key files
316
270
    gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
317
271
        --homedir "$RINGDIR" --armor --export-options export-minimal \
323
277
fi
324
278
 
325
279
if [ "$mode" = password ]; then
326
 
 
 
280
    
327
281
    # Make SSH be 0 or 1
328
282
    case "$SSH" in
329
283
        [Yy][Ee][Ss]|[Tt][Rr][Uu][Ee]) SSH=1;;
330
284
        [Nn][Oo]|[Ff][Aa][Ll][Ss][Ee]|*) SSH=0;;
331
285
    esac
332
 
 
 
286
    
333
287
    if [ $SSH -eq 1 ]; then
334
 
        # The -q option is new in OpenSSH 9.8
335
 
        for ssh_keyscan_quiet in "-q " ""; do
336
 
            for ssh_keytype in ecdsa-sha2-nistp256 ed25519 rsa; do
337
 
                set +e
338
 
                ssh_fingerprint="`ssh-keyscan ${ssh_keyscan_quiet}-t $ssh_keytype localhost 2>/dev/null`"
339
 
                err=$?
340
 
                set -e
341
 
                if [ $err -ne 0 ]; then
342
 
                    ssh_fingerprint=""
343
 
                    continue
344
 
                fi
345
 
                if [ -n "$ssh_fingerprint" ]; then
346
 
                    ssh_fingerprint="${ssh_fingerprint#localhost }"
347
 
                    break 2
348
 
                fi
349
 
            done
350
 
        done
 
288
        set +e
 
289
        ssh_fingerprint="`ssh-keyscan localhost 2>/dev/null`"
 
290
        if [ $? -ne 0 ]; then
 
291
            ssh_fingerprint=""
 
292
        fi
 
293
        set -e
 
294
        ssh_fingerprint="${ssh_fingerprint#localhost }"
351
295
    fi
352
 
 
 
296
    
353
297
    # Import key into temporary key rings
354
298
    gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
355
299
        --homedir "$RINGDIR" --trust-model always --armor \
357
301
    gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
358
302
        --homedir "$RINGDIR" --trust-model always --armor \
359
303
        --import "$PUBKEYFILE"
360
 
 
 
304
    
361
305
    # Get fingerprint of key
362
306
    FINGERPRINT="`gpg --quiet --batch --no-tty --no-options \
363
307
        --enable-dsa2 --homedir "$RINGDIR" --trust-model always \
364
308
        --fingerprint --with-colons \
365
309
        | sed --quiet \
366
310
        --expression='/^fpr:/{s/^fpr:.*:\\([0-9A-Z]*\\):\$/\\1/p;q}'`"
367
 
 
 
311
    
368
312
    test -n "$FINGERPRINT"
369
 
 
370
 
    if [ -r "$TLS_PUBKEYFILE" ]; then
371
 
       KEY_ID="$(certtool --key-id --hash=sha256 \
372
 
                       --infile="$TLS_PUBKEYFILE" 2>/dev/null || :)"
373
 
 
374
 
       if [ -z "$KEY_ID" ]; then
375
 
           KEY_ID=$(openssl pkey -pubin -in "$TLS_PUBKEYFILE" \
376
 
                            -outform der \
377
 
                        | openssl sha256 \
378
 
                        | sed --expression='s/^.*[^[:xdigit:]]//')
379
 
       fi
380
 
       test -n "$KEY_ID"
381
 
    fi
382
 
 
 
313
    
383
314
    FILECOMMENT="Encrypted password for a Mandos client"
384
 
 
 
315
    
385
316
    while [ ! -s "$SECFILE" ]; do
386
317
        if [ -n "$PASSFILE" ]; then
387
 
            cat -- "$PASSFILE"
 
318
            cat "$PASSFILE"
388
319
        else
389
320
            tty --quiet && stty -echo
390
 
            echo -n "Enter passphrase: " >/dev/tty
391
 
            read -r first
 
321
            echo -n "Enter passphrase: " >&2
 
322
            read first
392
323
            tty --quiet && echo >&2
393
 
            echo -n "Repeat passphrase: " >/dev/tty
394
 
            read -r second
 
324
            echo -n "Repeat passphrase: " >&2
 
325
            read second
395
326
            if tty --quiet; then
396
327
                echo >&2
397
328
                stty echo
400
331
                echo "Passphrase mismatch" >&2
401
332
                touch "$RINGDIR"/mismatch
402
333
            else
403
 
                printf "%s" "$first"
 
334
                echo -n "$first"
404
335
            fi
405
336
        fi | gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
406
337
            --homedir "$RINGDIR" --trust-model always --armor \
415
346
            fi
416
347
        fi
417
348
    done
418
 
 
 
349
    
419
350
    cat <<-EOF
420
351
        [$KEYNAME]
421
352
        host = $KEYNAME
422
 
        EOF
423
 
    if [ -n "$KEY_ID" ]; then
424
 
        echo "key_id = $KEY_ID"
425
 
    fi
426
 
    cat <<-EOF
427
353
        fingerprint = $FINGERPRINT
428
354
        secret =
429
355
        EOF
437
363
            }
438
364
        }' < "$SECFILE"
439
365
    if [ -n "$ssh_fingerprint" ]; then
440
 
        echo 'checker = ssh-keyscan '"$ssh_keyscan_quiet"'-t '"$ssh_keytype"' %%(host)s 2>/dev/null | grep --fixed-strings --line-regexp --quiet --regexp=%%(host)s" %(ssh_fingerprint)s"'
 
366
        echo 'checker = ssh-keyscan %%(host)s 2>/dev/null | grep --fixed-strings --line-regexp --quiet --regexp=%%(host)s" %(ssh_fingerprint)s"'
441
367
        echo "ssh_fingerprint = ${ssh_fingerprint}"
442
368
    fi
443
369
fi
447
373
set +e
448
374
# Remove the password file, if any
449
375
if [ -n "$SECFILE" ]; then
450
 
    shred --remove "$SECFILE" 2>/dev/null
 
376
    shred --remove "$SECFILE"
451
377
fi
452
378
# Remove the key rings
453
379
shred --remove "$RINGDIR"/sec* 2>/dev/null