/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to mandos-keygen

  • Committer: Teddy Hogeborn
  • Date: 2011-12-31 20:07:11 UTC
  • mfrom: (535.1.9 wireless-network-hook)
  • Revision ID: teddy@recompile.se-20111231200711-6dli3r8drftem57r
Merge new wireless network hook.  Fix bridge network hook to use
hardware addresses instead of interface names.  Implement and document
new "CONNECT" environment variable for network hooks.

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
1
#!/bin/sh -e
2
2
3
 
# Mandos key generator - create new keys for a Mandos client
4
 
5
 
# Copyright © 2008-2019 Teddy Hogeborn
6
 
# Copyright © 2008-2019 Björn Påhlsson
7
 
8
 
# This file is part of Mandos.
9
 
#
10
 
# Mandos is free software: you can redistribute it and/or modify it
11
 
# under the terms of the GNU General Public License as published by
 
3
# Mandos key generator - create a new OpenPGP key for a Mandos client
 
4
 
5
# Copyright © 2008-2011 Teddy Hogeborn
 
6
# Copyright © 2008-2011 Björn Påhlsson
 
7
 
8
# This program is free software: you can redistribute it and/or modify
 
9
# it under the terms of the GNU General Public License as published by
12
10
# the Free Software Foundation, either version 3 of the License, or
13
11
# (at your option) any later version.
14
12
#
15
 
#     Mandos is distributed in the hope that it will be useful, but
16
 
#     WITHOUT ANY WARRANTY; without even the implied warranty of
 
13
#     This program is distributed in the hope that it will be useful,
 
14
#     but WITHOUT ANY WARRANTY; without even the implied warranty of
17
15
#     MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
18
16
#     GNU General Public License for more details.
19
17
20
18
# You should have received a copy of the GNU General Public License
21
 
# along with Mandos.  If not, see <http://www.gnu.org/licenses/>.
 
19
# along with this program.  If not, see <http://www.gnu.org/licenses/>.
22
20
23
21
# Contact the authors at <mandos@recompile.se>.
24
22
25
23
 
26
 
VERSION="1.8.3"
 
24
VERSION="1.4.1"
27
25
 
28
26
KEYDIR="/etc/keys/mandos"
29
 
KEYTYPE=RSA
30
 
KEYLENGTH=4096
31
 
SUBKEYTYPE=RSA
32
 
SUBKEYLENGTH=4096
 
27
KEYTYPE=DSA
 
28
KEYLENGTH=2048
 
29
SUBKEYTYPE=ELG-E
 
30
SUBKEYLENGTH=2048
33
31
KEYNAME="`hostname --fqdn 2>/dev/null || hostname`"
34
32
KEYEMAIL=""
35
 
KEYCOMMENT=""
 
33
KEYCOMMENT="Mandos client key"
36
34
KEYEXPIRE=0
37
 
TLS_KEYTYPE=ed25519
38
35
FORCE=no
39
 
SSH=yes
40
36
KEYCOMMENT_ORIG="$KEYCOMMENT"
41
37
mode=keygen
42
38
 
45
41
fi
46
42
 
47
43
# Parse options
48
 
TEMP=`getopt --options vhpF:d:t:l:s:L:n:e:c:x:T:fS \
49
 
    --longoptions version,help,password,passfile:,dir:,type:,length:,subtype:,sublength:,name:,email:,comment:,expire:,tls-keytype:,force,no-ssh \
 
44
TEMP=`getopt --options vhpF:d:t:l:s:L:n:e:c:x:f \
 
45
    --longoptions version,help,password,passfile:,dir:,type:,length:,subtype:,sublength:,name:,email:,comment:,expire:,force \
50
46
    --name "$0" -- "$@"`
51
47
 
52
48
help(){
53
 
basename="`basename "$0"`"
 
49
basename="`basename $0`"
54
50
cat <<EOF
55
51
Usage: $basename [ -v | --version ]
56
52
       $basename [ -h | --help ]
64
60
  -v, --version         Show program's version number and exit
65
61
  -h, --help            Show this help message and exit
66
62
  -d DIR, --dir DIR     Target directory for key files
67
 
  -t TYPE, --type TYPE  OpenPGP key type.  Default is RSA.
 
63
  -t TYPE, --type TYPE  Key type.  Default is DSA.
68
64
  -l BITS, --length BITS
69
 
                        OpenPGP key length in bits.  Default is 4096.
 
65
                        Key length in bits.  Default is 2048.
70
66
  -s TYPE, --subtype TYPE
71
 
                        OpenPGP subkey type.  Default is RSA.
 
67
                        Subkey type.  Default is ELG-E.
72
68
  -L BITS, --sublength BITS
73
 
                        OpenPGP subkey length in bits.  Default 4096.
 
69
                        Subkey length in bits.  Default is 2048.
74
70
  -n NAME, --name NAME  Name of key.  Default is the FQDN.
75
71
  -e ADDRESS, --email ADDRESS
76
 
                        Email address of OpenPGP key.  Default empty.
 
72
                        Email address of key.  Default is empty.
77
73
  -c TEXT, --comment TEXT
78
 
                        Comment field for OpenPGP key.  Default empty.
 
74
                        Comment field for key.  The default value is
 
75
                        "Mandos client key".
79
76
  -x TIME, --expire TIME
80
 
                        OpenPGP key expire time.  Default is none.
 
77
                        Key expire time.  Default is no expiration.
81
78
                        See gpg(1) for syntax.
82
 
  -T TYPE, --tls-keytype TYPE
83
 
                        TLS key type.  Default is ed25519.
84
79
  -f, --force           Force overwriting old key files.
85
80
 
86
81
Password creation options:
91
86
                        Encrypt a password from FILE using the key in
92
87
                        the key directory.  All options other than
93
88
                        --dir and --name are ignored.
94
 
  -S, --no-ssh          Don't get SSH key or set "checker" option.
95
89
EOF
96
90
}
97
91
 
109
103
        -e|--email) KEYEMAIL="$2"; shift 2;;
110
104
        -c|--comment) KEYCOMMENT="$2"; shift 2;;
111
105
        -x|--expire) KEYEXPIRE="$2"; shift 2;;
112
 
        -T|--tls-keytype) TLS_KEYTYPE="$2"; shift 2;;
113
106
        -f|--force) FORCE=yes; shift;;
114
 
        -S|--no-ssh) SSH=no; shift;;
115
107
        -v|--version) echo "$0 $VERSION"; exit;;
116
108
        -h|--help) help; exit;;
117
109
        --) shift; break;;
119
111
    esac
120
112
done
121
113
if [ "$#" -gt 0 ]; then
122
 
    echo "Unknown arguments: '$*'" >&2
 
114
    echo "Unknown arguments: '$@'" >&2
123
115
    exit 1
124
116
fi
125
117
 
126
118
SECKEYFILE="$KEYDIR/seckey.txt"
127
119
PUBKEYFILE="$KEYDIR/pubkey.txt"
128
 
TLS_PRIVKEYFILE="$KEYDIR/tls-privkey.pem"
129
 
TLS_PUBKEYFILE="$KEYDIR/tls-pubkey.pem"
130
120
 
131
121
# Check for some invalid values
132
122
if [ ! -d "$KEYDIR" ]; then
169
159
        [Nn][Oo]|[Ff][Aa][Ll][Ss][Ee]|*) FORCE=0;;
170
160
    esac
171
161
    
172
 
    if { [ -e "$SECKEYFILE" ] || [ -e "$PUBKEYFILE" ] \
173
 
             || [ -e "$TLS_PRIVKEYFILE" ] \
174
 
             || [ -e "$TLS_PUBKEYFILE" ]; } \
175
 
        && [ "$FORCE" -eq 0 ]; then
 
162
    if [ \( -e "$SECKEYFILE" -o -e "$PUBKEYFILE" \) \
 
163
        -a "$FORCE" -eq 0 ]; then
176
164
        echo "Refusing to overwrite old key files; use --force" >&2
177
165
        exit 1
178
166
    fi
187
175
    
188
176
    # Create temporary gpg batch file
189
177
    BATCHFILE="`mktemp -t mandos-keygen-batch.XXXXXXXXXX`"
190
 
    TLS_PRIVKEYTMP="`mktemp -t mandos-keygen-privkey.XXXXXXXXXX`"
191
178
fi
192
179
 
193
180
if [ "$mode" = password ]; then
202
189
trap "
203
190
set +e; \
204
191
test -n \"$SECFILE\" && shred --remove \"$SECFILE\"; \
205
 
test -n \"$TLS_PRIVKEYTMP\" && shred --remove \"$TLS_PRIVKEYTMP\"; \
206
 
shred --remove \"$RINGDIR\"/sec* 2>/dev/null;
 
192
shred --remove \"$RINGDIR\"/sec*;
207
193
test -n \"$BATCHFILE\" && rm --force \"$BATCHFILE\"; \
208
194
rm --recursive --force \"$RINGDIR\";
209
195
tty --quiet && stty echo; \
218
204
    cat >"$BATCHFILE" <<-EOF
219
205
        Key-Type: $KEYTYPE
220
206
        Key-Length: $KEYLENGTH
221
 
        Key-Usage: sign,auth
 
207
        #Key-Usage: encrypt,sign,auth
222
208
        Subkey-Type: $SUBKEYTYPE
223
209
        Subkey-Length: $SUBKEYLENGTH
224
 
        Subkey-Usage: encrypt
 
210
        #Subkey-Usage: encrypt,sign,auth
225
211
        Name-Real: $KEYNAME
226
212
        $KEYCOMMENTLINE
227
213
        $KEYEMAILLINE
230
216
        #Handle: <no-spaces>
231
217
        #%pubring pubring.gpg
232
218
        #%secring secring.gpg
233
 
        %no-protection
234
219
        %commit
235
220
        EOF
236
221
    
243
228
        echo -n "Started: "
244
229
        date
245
230
    fi
246
 
 
247
 
    # Generate TLS private key
248
 
    if certtool --generate-privkey --password='' \
249
 
                --outfile "$TLS_PRIVKEYTMP" --sec-param ultra \
250
 
                --key-type="$TLS_KEYTYPE" --pkcs8 --no-text 2>/dev/null; then
251
 
        
252
 
        # Backup any old key files
253
 
        if cp --backup=numbered --force "$TLS_PRIVKEYFILE" "$TLS_PRIVKEYFILE" \
254
 
              2>/dev/null; then
255
 
            shred --remove "$TLS_PRIVKEYFILE" 2>/dev/null || :
256
 
        fi
257
 
        if cp --backup=numbered --force "$TLS_PUBKEYFILE" "$TLS_PUBKEYFILE" \
258
 
              2>/dev/null; then
259
 
            rm --force "$TLS_PUBKEYFILE"
260
 
        fi
261
 
        cp --archive "$TLS_PRIVKEYTMP" "$TLS_PRIVKEYFILE"
262
 
        shred --remove "$TLS_PRIVKEYTMP" 2>/dev/null || :
263
 
 
264
 
        ## TLS public key
265
 
 
266
 
        # First try certtool from GnuTLS
267
 
        if ! certtool --password='' --load-privkey="$TLS_PRIVKEYFILE" \
268
 
             --outfile="$TLS_PUBKEYFILE" --pubkey-info --no-text \
269
 
             2>/dev/null; then
270
 
            # Otherwise try OpenSSL
271
 
            if ! openssl pkey -in "$TLS_PRIVKEYFILE" \
272
 
                 -out "$TLS_PUBKEYFILE" -pubout; then
273
 
                rm --force "$TLS_PUBKEYFILE"
274
 
                # None of the commands succeded; give up
275
 
                return 1
276
 
            fi
277
 
        fi
278
 
    fi
279
231
    
280
 
    # Make sure trustdb.gpg exists;
281
 
    # this is a workaround for Debian bug #737128
282
 
    gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
283
 
        --homedir "$RINGDIR" \
284
 
        --import-ownertrust < /dev/null
285
232
    # Generate a new key in the key rings
286
233
    gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
287
234
        --homedir "$RINGDIR" --trust-model always \
296
243
    # Backup any old key files
297
244
    if cp --backup=numbered --force "$SECKEYFILE" "$SECKEYFILE" \
298
245
        2>/dev/null; then
299
 
        shred --remove "$SECKEYFILE" 2>/dev/null || :
 
246
        shred --remove "$SECKEYFILE"
300
247
    fi
301
248
    if cp --backup=numbered --force "$PUBKEYFILE" "$PUBKEYFILE" \
302
249
        2>/dev/null; then
323
270
fi
324
271
 
325
272
if [ "$mode" = password ]; then
326
 
    
327
 
    # Make SSH be 0 or 1
328
 
    case "$SSH" in
329
 
        [Yy][Ee][Ss]|[Tt][Rr][Uu][Ee]) SSH=1;;
330
 
        [Nn][Oo]|[Ff][Aa][Ll][Ss][Ee]|*) SSH=0;;
331
 
    esac
332
 
    
333
 
    if [ $SSH -eq 1 ]; then
334
 
        for ssh_keytype in ecdsa-sha2-nistp256 ed25519 rsa; do
335
 
            set +e
336
 
            ssh_fingerprint="`ssh-keyscan -t $ssh_keytype localhost 2>/dev/null`"
337
 
            err=$?
338
 
            set -e
339
 
            if [ $err -ne 0 ]; then
340
 
                ssh_fingerprint=""
341
 
                continue
342
 
            fi
343
 
            if [ -n "$ssh_fingerprint" ]; then
344
 
                ssh_fingerprint="${ssh_fingerprint#localhost }"
345
 
                break
346
 
            fi
347
 
        done
348
 
    fi
349
 
    
350
273
    # Import key into temporary key rings
351
274
    gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
352
275
        --homedir "$RINGDIR" --trust-model always --armor \
357
280
    
358
281
    # Get fingerprint of key
359
282
    FINGERPRINT="`gpg --quiet --batch --no-tty --no-options \
360
 
        --enable-dsa2 --homedir "$RINGDIR" --trust-model always \
 
283
        --enable-dsa2 --homedir \"$RINGDIR\" --trust-model always \
361
284
        --fingerprint --with-colons \
362
285
        | sed --quiet \
363
286
        --expression='/^fpr:/{s/^fpr:.*:\\([0-9A-Z]*\\):\$/\\1/p;q}'`"
364
287
    
365
288
    test -n "$FINGERPRINT"
366
289
    
367
 
    if [ -r "$TLS_PUBKEYFILE" ]; then
368
 
       KEY_ID="$(certtool --key-id --hash=sha256 \
369
 
                       --infile="$TLS_PUBKEYFILE" 2>/dev/null || :)"
370
 
 
371
 
       if [ -z "$KEY_ID" ]; then
372
 
           KEY_ID=$(openssl pkey -pubin -in "$TLS_PUBKEYFILE" \
373
 
                            -outform der \
374
 
                        | openssl sha256 \
375
 
                        | sed --expression='s/^.*[^[:xdigit:]]//')
376
 
       fi
377
 
       test -n "$KEY_ID"
378
 
    fi
379
 
    
380
290
    FILECOMMENT="Encrypted password for a Mandos client"
381
291
    
382
292
    while [ ! -s "$SECFILE" ]; do
384
294
            cat "$PASSFILE"
385
295
        else
386
296
            tty --quiet && stty -echo
387
 
            echo -n "Enter passphrase: " >/dev/tty
388
 
            read -r first
 
297
            read -p "Enter passphrase: " first
389
298
            tty --quiet && echo >&2
390
 
            echo -n "Repeat passphrase: " >/dev/tty
391
 
            read -r second
 
299
            read -p "Repeat passphrase: " second
392
300
            if tty --quiet; then
393
301
                echo >&2
394
302
                stty echo
416
324
    cat <<-EOF
417
325
        [$KEYNAME]
418
326
        host = $KEYNAME
419
 
        EOF
420
 
    if [ -n "$KEY_ID" ]; then
421
 
        echo "key_id = $KEY_ID"
422
 
    fi
423
 
    cat <<-EOF
424
327
        fingerprint = $FINGERPRINT
425
328
        secret =
426
329
        EOF
433
336
                /^[^-]/s/^/    /p
434
337
            }
435
338
        }' < "$SECFILE"
436
 
    if [ -n "$ssh_fingerprint" ]; then
437
 
        echo 'checker = ssh-keyscan -t '"$ssh_keytype"' %%(host)s 2>/dev/null | grep --fixed-strings --line-regexp --quiet --regexp=%%(host)s" %(ssh_fingerprint)s"'
438
 
        echo "ssh_fingerprint = ${ssh_fingerprint}"
439
 
    fi
440
339
fi
441
340
 
442
341
trap - EXIT
444
343
set +e
445
344
# Remove the password file, if any
446
345
if [ -n "$SECFILE" ]; then
447
 
    shred --remove "$SECFILE" 2>/dev/null
 
346
    shred --remove "$SECFILE"
448
347
fi
449
348
# Remove the key rings
450
 
shred --remove "$RINGDIR"/sec* 2>/dev/null
 
349
shred --remove "$RINGDIR"/sec*
451
350
rm --recursive --force "$RINGDIR"