/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to mandos-keygen

  • Committer: Teddy Hogeborn
  • Date: 2015-07-20 03:03:33 UTC
  • Revision ID: teddy@recompile.se-20150720030333-203m2aeblypcsfte
Bug fix for GnuTLS 3: be compatible with old 2048-bit DSA keys.

The mandos-keygen program in Mandos version 1.6.0 and older generated
2048-bit DSA keys, and when GnuTLS uses these it has trouble
connecting using the Mandos default priority string.  This was
previously fixed in Mandos 1.6.2, but the bug reappeared when using
GnuTLS 3, so the default priority string has to change again; this
time also the Mandos client has to change its default, so now the
server and the client should use the same default priority string:

SECURE256:!CTYPE-X.509:+CTYPE-OPENPGP:!RSA:+SIGN-DSA-SHA256

* mandos (main/server_defaults): Changed default priority string.
* mandos-options.xml (/section/para[id="priority_compat"]): Removed.
  (/section/para[id="priority"]): Changed default priority string.
* mandos.conf ([DEFAULT]/priority): - '' -
* mandos.conf.xml (OPTIONS/priority): Refer to the id "priority"
                                      instead of "priority_compat".
* mandos.xml (OPTIONS/--priority): - '' -
* plugins.d/mandos-client.c (main): Changed default priority string.

Show diffs side-by-side

added added

removed removed

Lines of Context:
2
2
3
3
# Mandos key generator - create a new OpenPGP key for a Mandos client
4
4
5
 
# Copyright © 2008-2013 Teddy Hogeborn
6
 
# Copyright © 2008-2013 Björn Påhlsson
 
5
# Copyright © 2008-2015 Teddy Hogeborn
 
6
# Copyright © 2008-2015 Björn Påhlsson
7
7
8
8
# This program is free software: you can redistribute it and/or modify
9
9
# it under the terms of the GNU General Public License as published by
21
21
# Contact the authors at <mandos@recompile.se>.
22
22
23
23
 
24
 
VERSION="1.6.3"
 
24
VERSION="1.6.9"
25
25
 
26
26
KEYDIR="/etc/keys/mandos"
27
27
KEYTYPE=RSA
33
33
KEYCOMMENT=""
34
34
KEYEXPIRE=0
35
35
FORCE=no
 
36
SSH=yes
36
37
KEYCOMMENT_ORIG="$KEYCOMMENT"
37
38
mode=keygen
38
39
 
41
42
fi
42
43
 
43
44
# Parse options
44
 
TEMP=`getopt --options vhpF:d:t:l:s:L:n:e:c:x:f \
45
 
    --longoptions version,help,password,passfile:,dir:,type:,length:,subtype:,sublength:,name:,email:,comment:,expire:,force \
 
45
TEMP=`getopt --options vhpF:d:t:l:s:L:n:e:c:x:fS \
 
46
    --longoptions version,help,password,passfile:,dir:,type:,length:,subtype:,sublength:,name:,email:,comment:,expire:,force,no-ssh \
46
47
    --name "$0" -- "$@"`
47
48
 
48
49
help(){
49
 
basename="`basename $0`"
 
50
basename="`basename "$0"`"
50
51
cat <<EOF
51
52
Usage: $basename [ -v | --version ]
52
53
       $basename [ -h | --help ]
85
86
                        Encrypt a password from FILE using the key in
86
87
                        the key directory.  All options other than
87
88
                        --dir and --name are ignored.
 
89
  -S, --no-ssh          Don't get SSH key or set "checker" option.
88
90
EOF
89
91
}
90
92
 
103
105
        -c|--comment) KEYCOMMENT="$2"; shift 2;;
104
106
        -x|--expire) KEYEXPIRE="$2"; shift 2;;
105
107
        -f|--force) FORCE=yes; shift;;
 
108
        -S|--no-ssh) SSH=no; shift;;
106
109
        -v|--version) echo "$0 $VERSION"; exit;;
107
110
        -h|--help) help; exit;;
108
111
        --) shift; break;;
110
113
    esac
111
114
done
112
115
if [ "$#" -gt 0 ]; then
113
 
    echo "Unknown arguments: '$@'" >&2
 
116
    echo "Unknown arguments: '$*'" >&2
114
117
    exit 1
115
118
fi
116
119
 
188
191
trap "
189
192
set +e; \
190
193
test -n \"$SECFILE\" && shred --remove \"$SECFILE\"; \
191
 
shred --remove \"$RINGDIR\"/sec*;
 
194
shred --remove \"$RINGDIR\"/sec* 2>/dev/null;
192
195
test -n \"$BATCHFILE\" && rm --force \"$BATCHFILE\"; \
193
196
rm --recursive --force \"$RINGDIR\";
194
197
tty --quiet && stty echo; \
228
231
        date
229
232
    fi
230
233
    
 
234
    # Make sure trustdb.gpg exists;
 
235
    # this is a workaround for Debian bug #737128
 
236
    gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
 
237
        --homedir "$RINGDIR" \
 
238
        --import-ownertrust < /dev/null
231
239
    # Generate a new key in the key rings
232
240
    gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
233
241
        --homedir "$RINGDIR" --trust-model always \
269
277
fi
270
278
 
271
279
if [ "$mode" = password ]; then
 
280
    
 
281
    # Make SSH be 0 or 1
 
282
    case "$SSH" in
 
283
        [Yy][Ee][Ss]|[Tt][Rr][Uu][Ee]) SSH=1;;
 
284
        [Nn][Oo]|[Ff][Aa][Ll][Ss][Ee]|*) SSH=0;;
 
285
    esac
 
286
    
 
287
    if [ $SSH -eq 1 ]; then
 
288
        for ssh_keytype in ed25519 rsa; do
 
289
            set +e
 
290
            ssh_fingerprint="`ssh-keyscan -t $ssh_keytype localhost 2>/dev/null`"
 
291
            set -e
 
292
            if [ $? -ne 0 ]; then
 
293
                ssh_fingerprint=""
 
294
                continue
 
295
            fi
 
296
            if [ -n "$ssh_fingerprint" ]; then
 
297
                ssh_fingerprint="${ssh_fingerprint#localhost }"
 
298
                break
 
299
            fi
 
300
        done
 
301
    fi
 
302
    
272
303
    # Import key into temporary key rings
273
304
    gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
274
305
        --homedir "$RINGDIR" --trust-model always --armor \
279
310
    
280
311
    # Get fingerprint of key
281
312
    FINGERPRINT="`gpg --quiet --batch --no-tty --no-options \
282
 
        --enable-dsa2 --homedir \"$RINGDIR\" --trust-model always \
 
313
        --enable-dsa2 --homedir "$RINGDIR" --trust-model always \
283
314
        --fingerprint --with-colons \
284
315
        | sed --quiet \
285
316
        --expression='/^fpr:/{s/^fpr:.*:\\([0-9A-Z]*\\):\$/\\1/p;q}'`"
337
368
                /^[^-]/s/^/    /p
338
369
            }
339
370
        }' < "$SECFILE"
 
371
    if [ -n "$ssh_fingerprint" ]; then
 
372
        echo 'checker = ssh-keyscan -t '"$ssh_keytype"' %%(host)s 2>/dev/null | grep --fixed-strings --line-regexp --quiet --regexp=%%(host)s" %(ssh_fingerprint)s"'
 
373
        echo "ssh_fingerprint = ${ssh_fingerprint}"
 
374
    fi
340
375
fi
341
376
 
342
377
trap - EXIT
347
382
    shred --remove "$SECFILE"
348
383
fi
349
384
# Remove the key rings
350
 
shred --remove "$RINGDIR"/sec*
 
385
shred --remove "$RINGDIR"/sec* 2>/dev/null
351
386
rm --recursive --force "$RINGDIR"