/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to mandos-keygen

  • Committer: Teddy Hogeborn
  • Date: 2015-07-20 03:03:33 UTC
  • Revision ID: teddy@recompile.se-20150720030333-203m2aeblypcsfte
Bug fix for GnuTLS 3: be compatible with old 2048-bit DSA keys.

The mandos-keygen program in Mandos version 1.6.0 and older generated
2048-bit DSA keys, and when GnuTLS uses these it has trouble
connecting using the Mandos default priority string.  This was
previously fixed in Mandos 1.6.2, but the bug reappeared when using
GnuTLS 3, so the default priority string has to change again; this
time also the Mandos client has to change its default, so now the
server and the client should use the same default priority string:

SECURE256:!CTYPE-X.509:+CTYPE-OPENPGP:!RSA:+SIGN-DSA-SHA256

* mandos (main/server_defaults): Changed default priority string.
* mandos-options.xml (/section/para[id="priority_compat"]): Removed.
  (/section/para[id="priority"]): Changed default priority string.
* mandos.conf ([DEFAULT]/priority): - '' -
* mandos.conf.xml (OPTIONS/priority): Refer to the id "priority"
                                      instead of "priority_compat".
* mandos.xml (OPTIONS/--priority): - '' -
* plugins.d/mandos-client.c (main): Changed default priority string.

Show diffs side-by-side

added added

removed removed

Lines of Context:
2
2
3
3
# Mandos key generator - create a new OpenPGP key for a Mandos client
4
4
5
 
# Copyright © 2008 Teddy Hogeborn & Björn Påhlsson
 
5
# Copyright © 2008-2015 Teddy Hogeborn
 
6
# Copyright © 2008-2015 Björn Påhlsson
6
7
7
8
# This program is free software: you can redistribute it and/or modify
8
9
# it under the terms of the GNU General Public License as published by
17
18
# You should have received a copy of the GNU General Public License
18
19
# along with this program.  If not, see <http://www.gnu.org/licenses/>.
19
20
20
 
# Contact the authors at <mandos@fukt.bsnet.se>.
 
21
# Contact the authors at <mandos@recompile.se>.
21
22
22
23
 
23
 
VERSION="1.0"
 
24
VERSION="1.6.9"
24
25
 
25
26
KEYDIR="/etc/keys/mandos"
26
 
KEYTYPE=DSA
27
 
KEYLENGTH=2048
28
 
SUBKEYTYPE=ELG-E
29
 
SUBKEYLENGTH=2048
 
27
KEYTYPE=RSA
 
28
KEYLENGTH=4096
 
29
SUBKEYTYPE=RSA
 
30
SUBKEYLENGTH=4096
30
31
KEYNAME="`hostname --fqdn 2>/dev/null || hostname`"
31
32
KEYEMAIL=""
32
 
KEYCOMMENT="Mandos client key"
 
33
KEYCOMMENT=""
33
34
KEYEXPIRE=0
34
35
FORCE=no
 
36
SSH=yes
35
37
KEYCOMMENT_ORIG="$KEYCOMMENT"
36
38
mode=keygen
37
39
 
40
42
fi
41
43
 
42
44
# Parse options
43
 
TEMP=`getopt --options vhpF:d:t:l:s:L:n:e:c:x:f \
44
 
    --longoptions version,help,password,passfile:,dir:,type:,length:,subtype:,sublength:,name:,email:,comment:,expire:,force \
 
45
TEMP=`getopt --options vhpF:d:t:l:s:L:n:e:c:x:fS \
 
46
    --longoptions version,help,password,passfile:,dir:,type:,length:,subtype:,sublength:,name:,email:,comment:,expire:,force,no-ssh \
45
47
    --name "$0" -- "$@"`
46
48
 
47
49
help(){
48
 
basename="`basename $0`"
 
50
basename="`basename "$0"`"
49
51
cat <<EOF
50
52
Usage: $basename [ -v | --version ]
51
53
       $basename [ -h | --help ]
59
61
  -v, --version         Show program's version number and exit
60
62
  -h, --help            Show this help message and exit
61
63
  -d DIR, --dir DIR     Target directory for key files
62
 
  -t TYPE, --type TYPE  Key type.  Default is DSA.
 
64
  -t TYPE, --type TYPE  Key type.  Default is RSA.
63
65
  -l BITS, --length BITS
64
 
                        Key length in bits.  Default is 2048.
 
66
                        Key length in bits.  Default is 4096.
65
67
  -s TYPE, --subtype TYPE
66
 
                        Subkey type.  Default is ELG-E.
 
68
                        Subkey type.  Default is RSA.
67
69
  -L BITS, --sublength BITS
68
 
                        Subkey length in bits.  Default is 2048.
 
70
                        Subkey length in bits.  Default is 4096.
69
71
  -n NAME, --name NAME  Name of key.  Default is the FQDN.
70
72
  -e ADDRESS, --email ADDRESS
71
73
                        Email address of key.  Default is empty.
72
74
  -c TEXT, --comment TEXT
73
 
                        Comment field for key.  The default value is
74
 
                        "Mandos client key".
 
75
                        Comment field for key.  The default is empty.
75
76
  -x TIME, --expire TIME
76
77
                        Key expire time.  Default is no expiration.
77
78
                        See gpg(1) for syntax.
85
86
                        Encrypt a password from FILE using the key in
86
87
                        the key directory.  All options other than
87
88
                        --dir and --name are ignored.
 
89
  -S, --no-ssh          Don't get SSH key or set "checker" option.
88
90
EOF
89
91
}
90
92
 
103
105
        -c|--comment) KEYCOMMENT="$2"; shift 2;;
104
106
        -x|--expire) KEYEXPIRE="$2"; shift 2;;
105
107
        -f|--force) FORCE=yes; shift;;
 
108
        -S|--no-ssh) SSH=no; shift;;
106
109
        -v|--version) echo "$0 $VERSION"; exit;;
107
110
        -h|--help) help; exit;;
108
111
        --) shift; break;;
110
113
    esac
111
114
done
112
115
if [ "$#" -gt 0 ]; then
113
 
    echo "Unknown arguments: '$@'" >&2
 
116
    echo "Unknown arguments: '$*'" >&2
114
117
    exit 1
115
118
fi
116
119
 
146
149
        echo "Invalid key length" >&2
147
150
        exit 1
148
151
    fi
149
 
 
 
152
    
150
153
    if [ -z "$KEYEXPIRE" ]; then
151
154
        echo "Empty key expiration" >&2
152
155
        exit 1
171
174
    if [ -n "$KEYEMAIL" ]; then
172
175
        KEYEMAILLINE="Name-Email: $KEYEMAIL"
173
176
    fi
174
 
 
 
177
    
175
178
    # Create temporary gpg batch file
176
179
    BATCHFILE="`mktemp -t mandos-keygen-batch.XXXXXXXXXX`"
177
180
fi
188
191
trap "
189
192
set +e; \
190
193
test -n \"$SECFILE\" && shred --remove \"$SECFILE\"; \
191
 
shred --remove \"$RINGDIR\"/sec*;
 
194
shred --remove \"$RINGDIR\"/sec* 2>/dev/null;
192
195
test -n \"$BATCHFILE\" && rm --force \"$BATCHFILE\"; \
193
196
rm --recursive --force \"$RINGDIR\";
194
 
stty echo; \
 
197
tty --quiet && stty echo; \
195
198
" EXIT
196
199
 
 
200
set -e
 
201
 
197
202
umask 077
198
203
 
199
204
if [ "$mode" = keygen ]; then
201
206
    cat >"$BATCHFILE" <<-EOF
202
207
        Key-Type: $KEYTYPE
203
208
        Key-Length: $KEYLENGTH
204
 
        #Key-Usage: encrypt,sign,auth
 
209
        Key-Usage: sign,auth
205
210
        Subkey-Type: $SUBKEYTYPE
206
211
        Subkey-Length: $SUBKEYLENGTH
207
 
        #Subkey-Usage: encrypt,sign,auth
 
212
        Subkey-Usage: encrypt
208
213
        Name-Real: $KEYNAME
209
214
        $KEYCOMMENTLINE
210
215
        $KEYEMAILLINE
216
221
        %commit
217
222
        EOF
218
223
    
 
224
    if tty --quiet; then
 
225
        cat <<-EOF
 
226
        Note: Due to entropy requirements, key generation could take
 
227
        anything from a few minutes to SEVERAL HOURS.  Please be
 
228
        patient and/or supply the system with more entropy if needed.
 
229
        EOF
 
230
        echo -n "Started: "
 
231
        date
 
232
    fi
 
233
    
 
234
    # Make sure trustdb.gpg exists;
 
235
    # this is a workaround for Debian bug #737128
 
236
    gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
 
237
        --homedir "$RINGDIR" \
 
238
        --import-ownertrust < /dev/null
219
239
    # Generate a new key in the key rings
220
240
    gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
221
241
        --homedir "$RINGDIR" --trust-model always \
222
242
        --gen-key "$BATCHFILE"
223
243
    rm --force "$BATCHFILE"
224
244
    
 
245
    if tty --quiet; then
 
246
        echo -n "Finished: "
 
247
        date
 
248
    fi
 
249
    
225
250
    # Backup any old key files
226
251
    if cp --backup=numbered --force "$SECKEYFILE" "$SECKEYFILE" \
227
252
        2>/dev/null; then
252
277
fi
253
278
 
254
279
if [ "$mode" = password ]; then
 
280
    
 
281
    # Make SSH be 0 or 1
 
282
    case "$SSH" in
 
283
        [Yy][Ee][Ss]|[Tt][Rr][Uu][Ee]) SSH=1;;
 
284
        [Nn][Oo]|[Ff][Aa][Ll][Ss][Ee]|*) SSH=0;;
 
285
    esac
 
286
    
 
287
    if [ $SSH -eq 1 ]; then
 
288
        for ssh_keytype in ed25519 rsa; do
 
289
            set +e
 
290
            ssh_fingerprint="`ssh-keyscan -t $ssh_keytype localhost 2>/dev/null`"
 
291
            set -e
 
292
            if [ $? -ne 0 ]; then
 
293
                ssh_fingerprint=""
 
294
                continue
 
295
            fi
 
296
            if [ -n "$ssh_fingerprint" ]; then
 
297
                ssh_fingerprint="${ssh_fingerprint#localhost }"
 
298
                break
 
299
            fi
 
300
        done
 
301
    fi
 
302
    
255
303
    # Import key into temporary key rings
256
304
    gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
257
305
        --homedir "$RINGDIR" --trust-model always --armor \
262
310
    
263
311
    # Get fingerprint of key
264
312
    FINGERPRINT="`gpg --quiet --batch --no-tty --no-options \
265
 
        --enable-dsa2 --homedir \"$RINGDIR\" --trust-model always \
 
313
        --enable-dsa2 --homedir "$RINGDIR" --trust-model always \
266
314
        --fingerprint --with-colons \
267
315
        | sed --quiet \
268
316
        --expression='/^fpr:/{s/^fpr:.*:\\([0-9A-Z]*\\):\$/\\1/p;q}'`"
271
319
    
272
320
    FILECOMMENT="Encrypted password for a Mandos client"
273
321
    
274
 
    if [ -n "$PASSFILE" ]; then
275
 
        cat "$PASSFILE"
276
 
    else
277
 
        stty -echo
278
 
        echo -n "Enter passphrase: " >&2
279
 
        first="$(head --lines=1 | tr --delete '\n')"
280
 
        echo -n -e "\nRepeat passphrase: " >&2
281
 
        second="$(head --lines=1 | tr --delete '\n')"
282
 
        echo >&2
283
 
        stty echo
284
 
        if [ "$first" != "$second" ]; then
285
 
            echo -e "Passphrase mismatch" >&2
286
 
            false
 
322
    while [ ! -s "$SECFILE" ]; do
 
323
        if [ -n "$PASSFILE" ]; then
 
324
            cat "$PASSFILE"
287
325
        else
288
 
            echo -n "$first"
 
326
            tty --quiet && stty -echo
 
327
            echo -n "Enter passphrase: " >&2
 
328
            read first
 
329
            tty --quiet && echo >&2
 
330
            echo -n "Repeat passphrase: " >&2
 
331
            read second
 
332
            if tty --quiet; then
 
333
                echo >&2
 
334
                stty echo
 
335
            fi
 
336
            if [ "$first" != "$second" ]; then
 
337
                echo "Passphrase mismatch" >&2
 
338
                touch "$RINGDIR"/mismatch
 
339
            else
 
340
                echo -n "$first"
 
341
            fi
 
342
        fi | gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
 
343
            --homedir "$RINGDIR" --trust-model always --armor \
 
344
            --encrypt --sign --recipient "$FINGERPRINT" --comment \
 
345
            "$FILECOMMENT" > "$SECFILE"
 
346
        if [ -e "$RINGDIR"/mismatch ]; then
 
347
            rm --force "$RINGDIR"/mismatch
 
348
            if tty --quiet; then
 
349
                > "$SECFILE"
 
350
            else
 
351
                exit 1
 
352
            fi
289
353
        fi
290
 
    fi | gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
291
 
        --homedir "$RINGDIR" --trust-model always --armor --encrypt \
292
 
        --recipient "$FINGERPRINT" --comment "$FILECOMMENT" \
293
 
        > "$SECFILE"
294
 
    status="${PIPESTATUS[0]}"
295
 
    if [ "$status" -ne 0 ]; then
296
 
        exit "$status"
297
 
    fi
 
354
    done
298
355
    
299
356
    cat <<-EOF
300
357
        [$KEYNAME]
311
368
                /^[^-]/s/^/    /p
312
369
            }
313
370
        }' < "$SECFILE"
 
371
    if [ -n "$ssh_fingerprint" ]; then
 
372
        echo 'checker = ssh-keyscan -t '"$ssh_keytype"' %%(host)s 2>/dev/null | grep --fixed-strings --line-regexp --quiet --regexp=%%(host)s" %(ssh_fingerprint)s"'
 
373
        echo "ssh_fingerprint = ${ssh_fingerprint}"
 
374
    fi
314
375
fi
315
376
 
316
377
trap - EXIT
321
382
    shred --remove "$SECFILE"
322
383
fi
323
384
# Remove the key rings
324
 
shred --remove "$RINGDIR"/sec*
 
385
shred --remove "$RINGDIR"/sec* 2>/dev/null
325
386
rm --recursive --force "$RINGDIR"