/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to mandos-keygen

  • Committer: Teddy Hogeborn
  • Date: 2011-12-31 20:07:11 UTC
  • mfrom: (535.1.9 wireless-network-hook)
  • Revision ID: teddy@recompile.se-20111231200711-6dli3r8drftem57r
Merge new wireless network hook.  Fix bridge network hook to use
hardware addresses instead of interface names.  Implement and document
new "CONNECT" environment variable for network hooks.

Show diffs side-by-side

added added

removed removed

Lines of Context:
mandos-keygen
2
2
3
3
# Mandos key generator - create a new OpenPGP key for a Mandos client
4
4
5
 
# Copyright © 2007-2008 Teddy Hogeborn & Björn Påhlsson
 
5
# Copyright © 2008-2011 Teddy Hogeborn
 
6
# Copyright © 2008-2011 Björn Påhlsson
6
7
7
8
# This program is free software: you can redistribute it and/or modify
8
9
# it under the terms of the GNU General Public License as published by
17
18
# You should have received a copy of the GNU General Public License
18
19
# along with this program.  If not, see <http://www.gnu.org/licenses/>.
19
20
20
 
# Contact the authors at <mandos@fukt.bsnet.se>.
 
21
# Contact the authors at <mandos@recompile.se>.
21
22
22
23
 
23
 
VERSION="1.0"
 
24
VERSION="1.4.1"
24
25
 
25
26
KEYDIR="/etc/keys/mandos"
26
27
KEYTYPE=DSA
27
28
KEYLENGTH=2048
28
29
SUBKEYTYPE=ELG-E
29
30
SUBKEYLENGTH=2048
30
 
KEYNAME="`hostname --fqdn`"
 
31
KEYNAME="`hostname --fqdn 2>/dev/null || hostname`"
31
32
KEYEMAIL=""
32
33
KEYCOMMENT="Mandos client key"
33
34
KEYEXPIRE=0
40
41
fi
41
42
 
42
43
# Parse options
43
 
TEMP=`getopt --options vhd:t:l:n:e:c:x:f \
44
 
    --longoptions version,help,password,dir:,type:,length:,subtype:,sublength:,name:,email:,comment:,expire:,force \
 
44
TEMP=`getopt --options vhpF:d:t:l:s:L:n:e:c:x:f \
 
45
    --longoptions version,help,password,passfile:,dir:,type:,length:,subtype:,sublength:,name:,email:,comment:,expire:,force \
45
46
    --name "$0" -- "$@"`
46
47
 
47
48
help(){
53
54
       $basename [ OPTIONS ]
54
55
   Encrypted password creation:
55
56
       $basename { -p | --password } [ --name NAME ] [ --dir DIR]
 
57
       $basename { -F | --passfile } FILE [ --name NAME ] [ --dir DIR]
56
58
 
57
59
Key creation options:
58
60
  -v, --version         Show program's version number and exit
74
76
  -x TIME, --expire TIME
75
77
                        Key expire time.  Default is no expiration.
76
78
                        See gpg(1) for syntax.
77
 
  -f, --force           Force overwriting old keys.
 
79
  -f, --force           Force overwriting old key files.
78
80
 
79
81
Password creation options:
80
 
  -p, --password        Create an encrypted password using the keys in
 
82
  -p, --password        Create an encrypted password using the key in
 
83
                        the key directory.  All options other than
 
84
                        --dir and --name are ignored.
 
85
  -F FILE, --passfile FILE
 
86
                        Encrypt a password from FILE using the key in
81
87
                        the key directory.  All options other than
82
88
                        --dir and --name are ignored.
83
89
EOF
87
93
while :; do
88
94
    case "$1" in
89
95
        -p|--password) mode=password; shift;;
 
96
        -F|--passfile) mode=password; PASSFILE="$2"; shift 2;;
90
97
        -d|--dir) KEYDIR="$2"; shift 2;;
91
98
        -t|--type) KEYTYPE="$2"; shift 2;;
92
99
        -s|--subtype) SUBKEYTYPE="$2"; shift 2;;
140
147
        echo "Invalid key length" >&2
141
148
        exit 1
142
149
    fi
143
 
 
 
150
    
144
151
    if [ -z "$KEYEXPIRE" ]; then
145
152
        echo "Empty key expiration" >&2
146
153
        exit 1
165
172
    if [ -n "$KEYEMAIL" ]; then
166
173
        KEYEMAILLINE="Name-Email: $KEYEMAIL"
167
174
    fi
168
 
 
 
175
    
169
176
    # Create temporary gpg batch file
170
177
    BATCHFILE="`mktemp -t mandos-keygen-batch.XXXXXXXXXX`"
171
178
fi
185
192
shred --remove \"$RINGDIR\"/sec*;
186
193
test -n \"$BATCHFILE\" && rm --force \"$BATCHFILE\"; \
187
194
rm --recursive --force \"$RINGDIR\";
188
 
stty echo; \
 
195
tty --quiet && stty echo; \
189
196
" EXIT
190
197
 
 
198
set -e
 
199
 
191
200
umask 077
192
201
 
193
202
if [ "$mode" = keygen ]; then
210
219
        %commit
211
220
        EOF
212
221
    
 
222
    if tty --quiet; then
 
223
        cat <<-EOF
 
224
        Note: Due to entropy requirements, key generation could take
 
225
        anything from a few minutes to SEVERAL HOURS.  Please be
 
226
        patient and/or supply the system with more entropy if needed.
 
227
        EOF
 
228
        echo -n "Started: "
 
229
        date
 
230
    fi
 
231
    
213
232
    # Generate a new key in the key rings
214
233
    gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
215
234
        --homedir "$RINGDIR" --trust-model always \
216
235
        --gen-key "$BATCHFILE"
217
236
    rm --force "$BATCHFILE"
218
237
    
 
238
    if tty --quiet; then
 
239
        echo -n "Finished: "
 
240
        date
 
241
    fi
 
242
    
219
243
    # Backup any old key files
220
244
    if cp --backup=numbered --force "$SECKEYFILE" "$SECKEYFILE" \
221
245
        2>/dev/null; then
235
259
        FILECOMMENT="$FILECOMMENT <$KEYEMAIL>"
236
260
    fi
237
261
    
238
 
    # Export keys from key rings to key files
 
262
    # Export key from key rings to key files
239
263
    gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
240
264
        --homedir "$RINGDIR" --armor --export-options export-minimal \
241
265
        --comment "$FILECOMMENT" --output "$SECKEYFILE" \
246
270
fi
247
271
 
248
272
if [ "$mode" = password ]; then
249
 
    # Import keys into temporary key rings
 
273
    # Import key into temporary key rings
250
274
    gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
251
275
        --homedir "$RINGDIR" --trust-model always --armor \
252
276
        --import "$SECKEYFILE"
265
289
    
266
290
    FILECOMMENT="Encrypted password for a Mandos client"
267
291
    
268
 
    stty -echo
269
 
    echo -n "Enter passphrase: " >&2
270
 
    head --lines=1 | tr --delete '\n' \
271
 
        | gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
272
 
        --homedir "$RINGDIR" --trust-model always --armor --encrypt \
273
 
        --recipient "$FINGERPRINT" --comment "$FILECOMMENT" \
274
 
        > "$SECFILE"
275
 
    echo >&2
276
 
    stty echo
 
292
    while [ ! -s "$SECFILE" ]; do
 
293
        if [ -n "$PASSFILE" ]; then
 
294
            cat "$PASSFILE"
 
295
        else
 
296
            tty --quiet && stty -echo
 
297
            read -p "Enter passphrase: " first
 
298
            tty --quiet && echo >&2
 
299
            read -p "Repeat passphrase: " second
 
300
            if tty --quiet; then
 
301
                echo >&2
 
302
                stty echo
 
303
            fi
 
304
            if [ "$first" != "$second" ]; then
 
305
                echo "Passphrase mismatch" >&2
 
306
                touch "$RINGDIR"/mismatch
 
307
            else
 
308
                echo -n "$first"
 
309
            fi
 
310
        fi | gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
 
311
            --homedir "$RINGDIR" --trust-model always --armor \
 
312
            --encrypt --sign --recipient "$FINGERPRINT" --comment \
 
313
            "$FILECOMMENT" > "$SECFILE"
 
314
        if [ -e "$RINGDIR"/mismatch ]; then
 
315
            rm --force "$RINGDIR"/mismatch
 
316
            if tty --quiet; then
 
317
                > "$SECFILE"
 
318
            else
 
319
                exit 1
 
320
            fi
 
321
        fi
 
322
    done
277
323
    
278
324
    cat <<-EOF
279
325
        [$KEYNAME]
280
326
        host = $KEYNAME
281
327
        fingerprint = $FINGERPRINT
282
328
        secret =
283
 
EOF
 
329
        EOF
284
330
    sed --quiet --expression='
285
331
        /^-----BEGIN PGP MESSAGE-----$/,/^-----END PGP MESSAGE-----$/{
286
332
            /^$/,${