/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to mandos-keygen

  • Committer: Björn Påhlsson
  • Date: 2008-07-20 02:52:20 UTC
  • Revision ID: belorn@braxen-20080720025220-r5u0388uy9iu23h6
Added following support:
Pluginbased client handler
rewritten Mandos client
       Avahi instead of udp server discovery
       openpgp encrypted key support
Passprompt stand alone application for direct console input
Added logging for Mandos server

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
 
#!/bin/sh -e
2
 
3
 
# Mandos key generator - create new keys for a Mandos client
4
 
5
 
# Copyright © 2008-2019 Teddy Hogeborn
6
 
# Copyright © 2008-2019 Björn Påhlsson
7
 
8
 
# This file is part of Mandos.
9
 
#
10
 
# Mandos is free software: you can redistribute it and/or modify it
11
 
# under the terms of the GNU General Public License as published by
12
 
# the Free Software Foundation, either version 3 of the License, or
13
 
# (at your option) any later version.
14
 
#
15
 
#     Mandos is distributed in the hope that it will be useful, but
16
 
#     WITHOUT ANY WARRANTY; without even the implied warranty of
17
 
#     MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
18
 
#     GNU General Public License for more details.
19
 
20
 
# You should have received a copy of the GNU General Public License
21
 
# along with Mandos.  If not, see <http://www.gnu.org/licenses/>.
22
 
23
 
# Contact the authors at <mandos@recompile.se>.
24
 
25
 
 
26
 
VERSION="1.8.17"
27
 
 
28
 
KEYDIR="/etc/keys/mandos"
29
 
KEYTYPE=RSA
30
 
KEYLENGTH=4096
31
 
SUBKEYTYPE=RSA
32
 
SUBKEYLENGTH=4096
33
 
KEYNAME="`hostname --fqdn 2>/dev/null || hostname`"
34
 
KEYEMAIL=""
35
 
KEYCOMMENT=""
36
 
KEYEXPIRE=0
37
 
TLS_KEYTYPE=ed25519
38
 
FORCE=no
39
 
SSH=yes
40
 
KEYCOMMENT_ORIG="$KEYCOMMENT"
41
 
mode=keygen
42
 
 
43
 
if [ ! -d "$KEYDIR" ]; then
44
 
    KEYDIR="/etc/mandos/keys"
45
 
fi
46
 
 
47
 
# Parse options
48
 
TEMP=`getopt --options vhpF:d:t:l:s:L:n:e:c:x:T:fS \
49
 
    --longoptions version,help,password,passfile:,dir:,type:,length:,subtype:,sublength:,name:,email:,comment:,expire:,tls-keytype:,force,no-ssh \
50
 
    --name "$0" -- "$@"`
51
 
 
52
 
help(){
53
 
basename="`basename "$0"`"
54
 
cat <<EOF
55
 
Usage: $basename [ -v | --version ]
56
 
       $basename [ -h | --help ]
57
 
   Key creation:
58
 
       $basename [ OPTIONS ]
59
 
   Encrypted password creation:
60
 
       $basename { -p | --password } [ --name NAME ] [ --dir DIR]
61
 
       $basename { -F | --passfile } FILE [ --name NAME ] [ --dir DIR]
62
 
 
63
 
Key creation options:
64
 
  -v, --version         Show program's version number and exit
65
 
  -h, --help            Show this help message and exit
66
 
  -d DIR, --dir DIR     Target directory for key files
67
 
  -t TYPE, --type TYPE  OpenPGP key type.  Default is RSA.
68
 
  -l BITS, --length BITS
69
 
                        OpenPGP key length in bits.  Default is 4096.
70
 
  -s TYPE, --subtype TYPE
71
 
                        OpenPGP subkey type.  Default is RSA.
72
 
  -L BITS, --sublength BITS
73
 
                        OpenPGP subkey length in bits.  Default 4096.
74
 
  -n NAME, --name NAME  Name of key.  Default is the FQDN.
75
 
  -e ADDRESS, --email ADDRESS
76
 
                        Email address of OpenPGP key.  Default empty.
77
 
  -c TEXT, --comment TEXT
78
 
                        Comment field for OpenPGP key.  Default empty.
79
 
  -x TIME, --expire TIME
80
 
                        OpenPGP key expire time.  Default is none.
81
 
                        See gpg(1) for syntax.
82
 
  -T TYPE, --tls-keytype TYPE
83
 
                        TLS key type.  Default is ed25519.
84
 
  -f, --force           Force overwriting old key files.
85
 
 
86
 
Password creation options:
87
 
  -p, --password        Create an encrypted password using the key in
88
 
                        the key directory.  All options other than
89
 
                        --dir and --name are ignored.
90
 
  -F FILE, --passfile FILE
91
 
                        Encrypt a password from FILE using the key in
92
 
                        the key directory.  All options other than
93
 
                        --dir and --name are ignored.
94
 
  -S, --no-ssh          Don't get SSH key or set "checker" option.
95
 
EOF
96
 
}
97
 
 
98
 
eval set -- "$TEMP"
99
 
while :; do
100
 
    case "$1" in
101
 
        -p|--password) mode=password; shift;;
102
 
        -F|--passfile) mode=password; PASSFILE="$2"; shift 2;;
103
 
        -d|--dir) KEYDIR="$2"; shift 2;;
104
 
        -t|--type) KEYTYPE="$2"; shift 2;;
105
 
        -s|--subtype) SUBKEYTYPE="$2"; shift 2;;
106
 
        -l|--length) KEYLENGTH="$2"; shift 2;;
107
 
        -L|--sublength) SUBKEYLENGTH="$2"; shift 2;;
108
 
        -n|--name) KEYNAME="$2"; shift 2;;
109
 
        -e|--email) KEYEMAIL="$2"; shift 2;;
110
 
        -c|--comment) KEYCOMMENT="$2"; shift 2;;
111
 
        -x|--expire) KEYEXPIRE="$2"; shift 2;;
112
 
        -T|--tls-keytype) TLS_KEYTYPE="$2"; shift 2;;
113
 
        -f|--force) FORCE=yes; shift;;
114
 
        -S|--no-ssh) SSH=no; shift;;
115
 
        -v|--version) echo "$0 $VERSION"; exit;;
116
 
        -h|--help) help; exit;;
117
 
        --) shift; break;;
118
 
        *) echo "Internal error" >&2; exit 1;;
119
 
    esac
120
 
done
121
 
if [ "$#" -gt 0 ]; then
122
 
    echo "Unknown arguments: '$*'" >&2
123
 
    exit 1
124
 
fi
125
 
 
126
 
SECKEYFILE="$KEYDIR/seckey.txt"
127
 
PUBKEYFILE="$KEYDIR/pubkey.txt"
128
 
TLS_PRIVKEYFILE="$KEYDIR/tls-privkey.pem"
129
 
TLS_PUBKEYFILE="$KEYDIR/tls-pubkey.pem"
130
 
 
131
 
# Check for some invalid values
132
 
if [ ! -d "$KEYDIR" ]; then
133
 
    echo "$KEYDIR not a directory" >&2
134
 
    exit 1
135
 
fi
136
 
if [ ! -r "$KEYDIR" ]; then
137
 
    echo "Directory $KEYDIR not readable" >&2
138
 
    exit 1
139
 
fi
140
 
 
141
 
if [ "$mode" = keygen ]; then
142
 
    if [ ! -w "$KEYDIR" ]; then
143
 
        echo "Directory $KEYDIR not writeable" >&2
144
 
        exit 1
145
 
    fi
146
 
    if [ -z "$KEYTYPE" ]; then
147
 
        echo "Empty key type" >&2
148
 
        exit 1
149
 
    fi
150
 
 
151
 
    if [ -z "$KEYNAME" ]; then
152
 
        echo "Empty key name" >&2
153
 
        exit 1
154
 
    fi
155
 
 
156
 
    if [ -z "$KEYLENGTH" ] || [ "$KEYLENGTH" -lt 512 ]; then
157
 
        echo "Invalid key length" >&2
158
 
        exit 1
159
 
    fi
160
 
 
161
 
    if [ -z "$KEYEXPIRE" ]; then
162
 
        echo "Empty key expiration" >&2
163
 
        exit 1
164
 
    fi
165
 
 
166
 
    # Make FORCE be 0 or 1
167
 
    case "$FORCE" in
168
 
        [Yy][Ee][Ss]|[Tt][Rr][Uu][Ee]) FORCE=1;;
169
 
        [Nn][Oo]|[Ff][Aa][Ll][Ss][Ee]|*) FORCE=0;;
170
 
    esac
171
 
 
172
 
    if { [ -e "$SECKEYFILE" ] || [ -e "$PUBKEYFILE" ] \
173
 
             || [ -e "$TLS_PRIVKEYFILE" ] \
174
 
             || [ -e "$TLS_PUBKEYFILE" ]; } \
175
 
        && [ "$FORCE" -eq 0 ]; then
176
 
        echo "Refusing to overwrite old key files; use --force" >&2
177
 
        exit 1
178
 
    fi
179
 
 
180
 
    # Set lines for GnuPG batch file
181
 
    if [ -n "$KEYCOMMENT" ]; then
182
 
        KEYCOMMENTLINE="Name-Comment: $KEYCOMMENT"
183
 
    fi
184
 
    if [ -n "$KEYEMAIL" ]; then
185
 
        KEYEMAILLINE="Name-Email: $KEYEMAIL"
186
 
    fi
187
 
 
188
 
    # Create temporary gpg batch file
189
 
    BATCHFILE="`mktemp -t mandos-keygen-batch.XXXXXXXXXX`"
190
 
    TLS_PRIVKEYTMP="`mktemp -t mandos-keygen-privkey.XXXXXXXXXX`"
191
 
fi
192
 
 
193
 
if [ "$mode" = password ]; then
194
 
    # Create temporary encrypted password file
195
 
    SECFILE="`mktemp -t mandos-keygen-secfile.XXXXXXXXXX`"
196
 
fi
197
 
 
198
 
# Create temporary key ring directory
199
 
RINGDIR="`mktemp -d -t mandos-keygen-keyrings.XXXXXXXXXX`"
200
 
 
201
 
# Remove temporary files on exit
202
 
trap "
203
 
set +e; \
204
 
test -n \"$SECFILE\" && shred --remove \"$SECFILE\"; \
205
 
test -n \"$TLS_PRIVKEYTMP\" && shred --remove \"$TLS_PRIVKEYTMP\"; \
206
 
shred --remove \"$RINGDIR\"/sec* 2>/dev/null;
207
 
test -n \"$BATCHFILE\" && rm --force \"$BATCHFILE\"; \
208
 
rm --recursive --force \"$RINGDIR\";
209
 
tty --quiet && stty echo; \
210
 
" EXIT
211
 
 
212
 
set -e
213
 
 
214
 
umask 077
215
 
 
216
 
if [ "$mode" = keygen ]; then
217
 
    # Create batch file for GnuPG
218
 
    cat >"$BATCHFILE" <<-EOF
219
 
        Key-Type: $KEYTYPE
220
 
        Key-Length: $KEYLENGTH
221
 
        Key-Usage: sign,auth
222
 
        Subkey-Type: $SUBKEYTYPE
223
 
        Subkey-Length: $SUBKEYLENGTH
224
 
        Subkey-Usage: encrypt
225
 
        Name-Real: $KEYNAME
226
 
        $KEYCOMMENTLINE
227
 
        $KEYEMAILLINE
228
 
        Expire-Date: $KEYEXPIRE
229
 
        #Preferences: <string>
230
 
        #Handle: <no-spaces>
231
 
        #%pubring pubring.gpg
232
 
        #%secring secring.gpg
233
 
        %no-protection
234
 
        %commit
235
 
        EOF
236
 
 
237
 
    if tty --quiet; then
238
 
        cat <<-EOF
239
 
        Note: Due to entropy requirements, key generation could take
240
 
        anything from a few minutes to SEVERAL HOURS.  Please be
241
 
        patient and/or supply the system with more entropy if needed.
242
 
        EOF
243
 
        echo -n "Started: "
244
 
        date
245
 
    fi
246
 
 
247
 
    # Generate TLS private key
248
 
    if certtool --generate-privkey --password='' \
249
 
                --outfile "$TLS_PRIVKEYTMP" --sec-param ultra \
250
 
                --key-type="$TLS_KEYTYPE" --pkcs8 --no-text 2>/dev/null; then
251
 
        
252
 
        # Backup any old key files
253
 
        if cp --backup=numbered --force "$TLS_PRIVKEYFILE" "$TLS_PRIVKEYFILE" \
254
 
              2>/dev/null; then
255
 
            shred --remove "$TLS_PRIVKEYFILE" 2>/dev/null || :
256
 
        fi
257
 
        if cp --backup=numbered --force "$TLS_PUBKEYFILE" "$TLS_PUBKEYFILE" \
258
 
              2>/dev/null; then
259
 
            rm --force "$TLS_PUBKEYFILE"
260
 
        fi
261
 
        cp --archive "$TLS_PRIVKEYTMP" "$TLS_PRIVKEYFILE"
262
 
        shred --remove "$TLS_PRIVKEYTMP" 2>/dev/null || :
263
 
 
264
 
        ## TLS public key
265
 
 
266
 
        # First try certtool from GnuTLS
267
 
        if ! certtool --password='' --load-privkey="$TLS_PRIVKEYFILE" \
268
 
             --outfile="$TLS_PUBKEYFILE" --pubkey-info --no-text \
269
 
             2>/dev/null; then
270
 
            # Otherwise try OpenSSL
271
 
            if ! openssl pkey -in "$TLS_PRIVKEYFILE" \
272
 
                 -out "$TLS_PUBKEYFILE" -pubout; then
273
 
                rm --force "$TLS_PUBKEYFILE"
274
 
                # None of the commands succeded; give up
275
 
                return 1
276
 
            fi
277
 
        fi
278
 
    fi
279
 
 
280
 
    # Make sure trustdb.gpg exists;
281
 
    # this is a workaround for Debian bug #737128
282
 
    gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
283
 
        --homedir "$RINGDIR" \
284
 
        --import-ownertrust < /dev/null
285
 
    # Generate a new key in the key rings
286
 
    gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
287
 
        --homedir "$RINGDIR" --trust-model always \
288
 
        --gen-key "$BATCHFILE"
289
 
    rm --force "$BATCHFILE"
290
 
 
291
 
    if tty --quiet; then
292
 
        echo -n "Finished: "
293
 
        date
294
 
    fi
295
 
 
296
 
    # Backup any old key files
297
 
    if cp --backup=numbered --force "$SECKEYFILE" "$SECKEYFILE" \
298
 
        2>/dev/null; then
299
 
        shred --remove "$SECKEYFILE" 2>/dev/null || :
300
 
    fi
301
 
    if cp --backup=numbered --force "$PUBKEYFILE" "$PUBKEYFILE" \
302
 
        2>/dev/null; then
303
 
        rm --force "$PUBKEYFILE"
304
 
    fi
305
 
 
306
 
    FILECOMMENT="Mandos client key for $KEYNAME"
307
 
    if [ "$KEYCOMMENT" != "$KEYCOMMENT_ORIG" ]; then
308
 
        FILECOMMENT="$FILECOMMENT ($KEYCOMMENT)"
309
 
    fi
310
 
 
311
 
    if [ -n "$KEYEMAIL" ]; then
312
 
        FILECOMMENT="$FILECOMMENT <$KEYEMAIL>"
313
 
    fi
314
 
 
315
 
    # Export key from key rings to key files
316
 
    gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
317
 
        --homedir "$RINGDIR" --armor --export-options export-minimal \
318
 
        --comment "$FILECOMMENT" --output "$SECKEYFILE" \
319
 
        --export-secret-keys
320
 
    gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
321
 
        --homedir "$RINGDIR" --armor --export-options export-minimal \
322
 
        --comment "$FILECOMMENT" --output "$PUBKEYFILE" --export
323
 
fi
324
 
 
325
 
if [ "$mode" = password ]; then
326
 
 
327
 
    # Make SSH be 0 or 1
328
 
    case "$SSH" in
329
 
        [Yy][Ee][Ss]|[Tt][Rr][Uu][Ee]) SSH=1;;
330
 
        [Nn][Oo]|[Ff][Aa][Ll][Ss][Ee]|*) SSH=0;;
331
 
    esac
332
 
 
333
 
    if [ $SSH -eq 1 ]; then
334
 
        # The -q option is new in OpenSSH 9.8
335
 
        for ssh_keyscan_quiet in "-q " ""; do
336
 
            for ssh_keytype in ecdsa-sha2-nistp256 ed25519 rsa; do
337
 
                set +e
338
 
                ssh_fingerprint="`ssh-keyscan ${ssh_keyscan_quiet}-t $ssh_keytype localhost 2>/dev/null`"
339
 
                err=$?
340
 
                set -e
341
 
                if [ $err -ne 0 ]; then
342
 
                    ssh_fingerprint=""
343
 
                    continue
344
 
                fi
345
 
                if [ -n "$ssh_fingerprint" ]; then
346
 
                    ssh_fingerprint="${ssh_fingerprint#localhost }"
347
 
                    break 2
348
 
                fi
349
 
            done
350
 
        done
351
 
    fi
352
 
 
353
 
    # Import key into temporary key rings
354
 
    gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
355
 
        --homedir "$RINGDIR" --trust-model always --armor \
356
 
        --import "$SECKEYFILE"
357
 
    gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
358
 
        --homedir "$RINGDIR" --trust-model always --armor \
359
 
        --import "$PUBKEYFILE"
360
 
 
361
 
    # Get fingerprint of key
362
 
    FINGERPRINT="`gpg --quiet --batch --no-tty --no-options \
363
 
        --enable-dsa2 --homedir "$RINGDIR" --trust-model always \
364
 
        --fingerprint --with-colons \
365
 
        | sed --quiet \
366
 
        --expression='/^fpr:/{s/^fpr:.*:\\([0-9A-Z]*\\):\$/\\1/p;q}'`"
367
 
 
368
 
    test -n "$FINGERPRINT"
369
 
 
370
 
    if [ -r "$TLS_PUBKEYFILE" ]; then
371
 
       KEY_ID="$(certtool --key-id --hash=sha256 \
372
 
                       --infile="$TLS_PUBKEYFILE" 2>/dev/null || :)"
373
 
 
374
 
       if [ -z "$KEY_ID" ]; then
375
 
           KEY_ID=$(openssl pkey -pubin -in "$TLS_PUBKEYFILE" \
376
 
                            -outform der \
377
 
                        | openssl sha256 \
378
 
                        | sed --expression='s/^.*[^[:xdigit:]]//')
379
 
       fi
380
 
       test -n "$KEY_ID"
381
 
    fi
382
 
 
383
 
    FILECOMMENT="Encrypted password for a Mandos client"
384
 
 
385
 
    while [ ! -s "$SECFILE" ]; do
386
 
        if [ -n "$PASSFILE" ]; then
387
 
            cat -- "$PASSFILE"
388
 
        else
389
 
            tty --quiet && stty -echo
390
 
            echo -n "Enter passphrase: " >/dev/tty
391
 
            read -r first
392
 
            tty --quiet && echo >&2
393
 
            echo -n "Repeat passphrase: " >/dev/tty
394
 
            read -r second
395
 
            if tty --quiet; then
396
 
                echo >&2
397
 
                stty echo
398
 
            fi
399
 
            if [ "$first" != "$second" ]; then
400
 
                echo "Passphrase mismatch" >&2
401
 
                touch "$RINGDIR"/mismatch
402
 
            else
403
 
                printf "%s" "$first"
404
 
            fi
405
 
        fi | gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
406
 
            --homedir "$RINGDIR" --trust-model always --armor \
407
 
            --encrypt --sign --recipient "$FINGERPRINT" --comment \
408
 
            "$FILECOMMENT" > "$SECFILE"
409
 
        if [ -e "$RINGDIR"/mismatch ]; then
410
 
            rm --force "$RINGDIR"/mismatch
411
 
            if tty --quiet; then
412
 
                > "$SECFILE"
413
 
            else
414
 
                exit 1
415
 
            fi
416
 
        fi
417
 
    done
418
 
 
419
 
    cat <<-EOF
420
 
        [$KEYNAME]
421
 
        host = $KEYNAME
422
 
        EOF
423
 
    if [ -n "$KEY_ID" ]; then
424
 
        echo "key_id = $KEY_ID"
425
 
    fi
426
 
    cat <<-EOF
427
 
        fingerprint = $FINGERPRINT
428
 
        secret =
429
 
        EOF
430
 
    sed --quiet --expression='
431
 
        /^-----BEGIN PGP MESSAGE-----$/,/^-----END PGP MESSAGE-----$/{
432
 
            /^$/,${
433
 
                # Remove 24-bit Radix-64 checksum
434
 
                s/=....$//
435
 
                # Indent four spaces
436
 
                /^[^-]/s/^/    /p
437
 
            }
438
 
        }' < "$SECFILE"
439
 
    if [ -n "$ssh_fingerprint" ]; then
440
 
        echo 'checker = ssh-keyscan '"$ssh_keyscan_quiet"'-t '"$ssh_keytype"' %%(host)s 2>/dev/null | grep --fixed-strings --line-regexp --quiet --regexp=%%(host)s" %(ssh_fingerprint)s"'
441
 
        echo "ssh_fingerprint = ${ssh_fingerprint}"
442
 
    fi
443
 
fi
444
 
 
445
 
trap - EXIT
446
 
 
447
 
set +e
448
 
# Remove the password file, if any
449
 
if [ -n "$SECFILE" ]; then
450
 
    shred --remove "$SECFILE" 2>/dev/null
451
 
fi
452
 
# Remove the key rings
453
 
shred --remove "$RINGDIR"/sec* 2>/dev/null
454
 
rm --recursive --force "$RINGDIR"