/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to mandos-keygen

  • Committer: Teddy Hogeborn
  • Date: 2018-08-15 09:26:02 UTC
  • Revision ID: teddy@recompile.se-20180815092602-xoyb5s6gf8376i7u
http://bugs.debian.org/894495
mandos-client: Set system clock if necessary

* plugins.d/mandos-client.c (init_gpgme/import_key): If the system
  clock is not set, or set to january 1970, set the system clock to
  the more plausible value that is the mtime of the key file.  This is
  required by GnuPG to be able to import the keys.  (We can't pass the
  --ignore-time-conflict or the --ignore-valid-from options though
  GPGME.)

Show diffs side-by-side

added added

removed removed

Lines of Context:
mandos-keygen
1
1
#!/bin/sh -e
2
2
3
 
# Mandos key generator - create new keys for a Mandos client
 
3
# Mandos key generator - create a new OpenPGP key for a Mandos client
4
4
5
 
# Copyright © 2008-2019 Teddy Hogeborn
6
 
# Copyright © 2008-2019 Björn Påhlsson
 
5
# Copyright © 2008-2018 Teddy Hogeborn
 
6
# Copyright © 2008-2018 Björn Påhlsson
7
7
8
8
# This file is part of Mandos.
9
9
#
23
23
# Contact the authors at <mandos@recompile.se>.
24
24
25
25
 
26
 
VERSION="1.8.18"
 
26
VERSION="1.7.19"
27
27
 
28
28
KEYDIR="/etc/keys/mandos"
29
29
KEYTYPE=RSA
34
34
KEYEMAIL=""
35
35
KEYCOMMENT=""
36
36
KEYEXPIRE=0
37
 
TLS_KEYTYPE=ed25519
38
37
FORCE=no
39
38
SSH=yes
40
39
KEYCOMMENT_ORIG="$KEYCOMMENT"
45
44
fi
46
45
 
47
46
# Parse options
48
 
TEMP=`getopt --options vhpF:d:t:l:s:L:n:e:c:x:T:fS \
49
 
    --longoptions version,help,password,passfile:,dir:,type:,length:,subtype:,sublength:,name:,email:,comment:,expire:,tls-keytype:,force,no-ssh \
 
47
TEMP=`getopt --options vhpF:d:t:l:s:L:n:e:c:x:fS \
 
48
    --longoptions version,help,password,passfile:,dir:,type:,length:,subtype:,sublength:,name:,email:,comment:,expire:,force,no-ssh \
50
49
    --name "$0" -- "$@"`
51
50
 
52
51
help(){
64
63
  -v, --version         Show program's version number and exit
65
64
  -h, --help            Show this help message and exit
66
65
  -d DIR, --dir DIR     Target directory for key files
67
 
  -t TYPE, --type TYPE  OpenPGP key type.  Default is RSA.
 
66
  -t TYPE, --type TYPE  Key type.  Default is RSA.
68
67
  -l BITS, --length BITS
69
 
                        OpenPGP key length in bits.  Default is 4096.
 
68
                        Key length in bits.  Default is 4096.
70
69
  -s TYPE, --subtype TYPE
71
 
                        OpenPGP subkey type.  Default is RSA.
 
70
                        Subkey type.  Default is RSA.
72
71
  -L BITS, --sublength BITS
73
 
                        OpenPGP subkey length in bits.  Default 4096.
 
72
                        Subkey length in bits.  Default is 4096.
74
73
  -n NAME, --name NAME  Name of key.  Default is the FQDN.
75
74
  -e ADDRESS, --email ADDRESS
76
 
                        Email address of OpenPGP key.  Default empty.
 
75
                        Email address of key.  Default is empty.
77
76
  -c TEXT, --comment TEXT
78
 
                        Comment field for OpenPGP key.  Default empty.
 
77
                        Comment field for key.  The default is empty.
79
78
  -x TIME, --expire TIME
80
 
                        OpenPGP key expire time.  Default is none.
 
79
                        Key expire time.  Default is no expiration.
81
80
                        See gpg(1) for syntax.
82
 
  -T TYPE, --tls-keytype TYPE
83
 
                        TLS key type.  Default is ed25519.
84
81
  -f, --force           Force overwriting old key files.
85
82
 
86
83
Password creation options:
109
106
        -e|--email) KEYEMAIL="$2"; shift 2;;
110
107
        -c|--comment) KEYCOMMENT="$2"; shift 2;;
111
108
        -x|--expire) KEYEXPIRE="$2"; shift 2;;
112
 
        -T|--tls-keytype) TLS_KEYTYPE="$2"; shift 2;;
113
109
        -f|--force) FORCE=yes; shift;;
114
110
        -S|--no-ssh) SSH=no; shift;;
115
111
        -v|--version) echo "$0 $VERSION"; exit;;
125
121
 
126
122
SECKEYFILE="$KEYDIR/seckey.txt"
127
123
PUBKEYFILE="$KEYDIR/pubkey.txt"
128
 
TLS_PRIVKEYFILE="$KEYDIR/tls-privkey.pem"
129
 
TLS_PUBKEYFILE="$KEYDIR/tls-pubkey.pem"
130
124
 
131
125
# Check for some invalid values
132
126
if [ ! -d "$KEYDIR" ]; then
147
141
        echo "Empty key type" >&2
148
142
        exit 1
149
143
    fi
150
 
 
 
144
    
151
145
    if [ -z "$KEYNAME" ]; then
152
146
        echo "Empty key name" >&2
153
147
        exit 1
154
148
    fi
155
 
 
 
149
    
156
150
    if [ -z "$KEYLENGTH" ] || [ "$KEYLENGTH" -lt 512 ]; then
157
151
        echo "Invalid key length" >&2
158
152
        exit 1
159
153
    fi
160
 
 
 
154
    
161
155
    if [ -z "$KEYEXPIRE" ]; then
162
156
        echo "Empty key expiration" >&2
163
157
        exit 1
164
158
    fi
165
 
 
 
159
    
166
160
    # Make FORCE be 0 or 1
167
161
    case "$FORCE" in
168
162
        [Yy][Ee][Ss]|[Tt][Rr][Uu][Ee]) FORCE=1;;
169
163
        [Nn][Oo]|[Ff][Aa][Ll][Ss][Ee]|*) FORCE=0;;
170
164
    esac
171
 
 
172
 
    if { [ -e "$SECKEYFILE" ] || [ -e "$PUBKEYFILE" ] \
173
 
             || [ -e "$TLS_PRIVKEYFILE" ] \
174
 
             || [ -e "$TLS_PUBKEYFILE" ]; } \
 
165
    
 
166
    if { [ -e "$SECKEYFILE" ] || [ -e "$PUBKEYFILE" ]; } \
175
167
        && [ "$FORCE" -eq 0 ]; then
176
168
        echo "Refusing to overwrite old key files; use --force" >&2
177
169
        exit 1
178
170
    fi
179
 
 
 
171
    
180
172
    # Set lines for GnuPG batch file
181
173
    if [ -n "$KEYCOMMENT" ]; then
182
174
        KEYCOMMENTLINE="Name-Comment: $KEYCOMMENT"
184
176
    if [ -n "$KEYEMAIL" ]; then
185
177
        KEYEMAILLINE="Name-Email: $KEYEMAIL"
186
178
    fi
187
 
 
 
179
    
188
180
    # Create temporary gpg batch file
189
181
    BATCHFILE="`mktemp -t mandos-keygen-batch.XXXXXXXXXX`"
190
 
    TLS_PRIVKEYTMP="`mktemp -t mandos-keygen-privkey.XXXXXXXXXX`"
191
182
fi
192
183
 
193
184
if [ "$mode" = password ]; then
202
193
trap "
203
194
set +e; \
204
195
test -n \"$SECFILE\" && shred --remove \"$SECFILE\"; \
205
 
test -n \"$TLS_PRIVKEYTMP\" && shred --remove \"$TLS_PRIVKEYTMP\"; \
206
196
shred --remove \"$RINGDIR\"/sec* 2>/dev/null;
207
197
test -n \"$BATCHFILE\" && rm --force \"$BATCHFILE\"; \
208
198
rm --recursive --force \"$RINGDIR\";
233
223
        %no-protection
234
224
        %commit
235
225
        EOF
236
 
 
 
226
    
237
227
    if tty --quiet; then
238
228
        cat <<-EOF
239
229
        Note: Due to entropy requirements, key generation could take
243
233
        echo -n "Started: "
244
234
        date
245
235
    fi
246
 
 
247
 
    # Generate TLS private key
248
 
    if certtool --generate-privkey --password='' \
249
 
                --outfile "$TLS_PRIVKEYTMP" --sec-param ultra \
250
 
                --key-type="$TLS_KEYTYPE" --pkcs8 --no-text 2>/dev/null; then
251
 
        
252
 
        # Backup any old key files
253
 
        if cp --backup=numbered --force "$TLS_PRIVKEYFILE" "$TLS_PRIVKEYFILE" \
254
 
              2>/dev/null; then
255
 
            shred --remove "$TLS_PRIVKEYFILE" 2>/dev/null || :
256
 
        fi
257
 
        if cp --backup=numbered --force "$TLS_PUBKEYFILE" "$TLS_PUBKEYFILE" \
258
 
              2>/dev/null; then
259
 
            rm --force "$TLS_PUBKEYFILE"
260
 
        fi
261
 
        cp --archive "$TLS_PRIVKEYTMP" "$TLS_PRIVKEYFILE"
262
 
        shred --remove "$TLS_PRIVKEYTMP" 2>/dev/null || :
263
 
 
264
 
        ## TLS public key
265
 
 
266
 
        # First try certtool from GnuTLS
267
 
        if ! certtool --password='' --load-privkey="$TLS_PRIVKEYFILE" \
268
 
             --outfile="$TLS_PUBKEYFILE" --pubkey-info --no-text \
269
 
             2>/dev/null; then
270
 
            # Otherwise try OpenSSL
271
 
            if ! openssl pkey -in "$TLS_PRIVKEYFILE" \
272
 
                 -out "$TLS_PUBKEYFILE" -pubout; then
273
 
                rm --force "$TLS_PUBKEYFILE"
274
 
                # None of the commands succeded; give up
275
 
                return 1
276
 
            fi
277
 
        fi
278
 
    fi
279
 
 
 
236
    
280
237
    # Make sure trustdb.gpg exists;
281
238
    # this is a workaround for Debian bug #737128
282
239
    gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
287
244
        --homedir "$RINGDIR" --trust-model always \
288
245
        --gen-key "$BATCHFILE"
289
246
    rm --force "$BATCHFILE"
290
 
 
 
247
    
291
248
    if tty --quiet; then
292
249
        echo -n "Finished: "
293
250
        date
294
251
    fi
295
 
 
 
252
    
296
253
    # Backup any old key files
297
254
    if cp --backup=numbered --force "$SECKEYFILE" "$SECKEYFILE" \
298
255
        2>/dev/null; then
299
 
        shred --remove "$SECKEYFILE" 2>/dev/null || :
 
256
        shred --remove "$SECKEYFILE"
300
257
    fi
301
258
    if cp --backup=numbered --force "$PUBKEYFILE" "$PUBKEYFILE" \
302
259
        2>/dev/null; then
303
260
        rm --force "$PUBKEYFILE"
304
261
    fi
305
 
 
 
262
    
306
263
    FILECOMMENT="Mandos client key for $KEYNAME"
307
264
    if [ "$KEYCOMMENT" != "$KEYCOMMENT_ORIG" ]; then
308
265
        FILECOMMENT="$FILECOMMENT ($KEYCOMMENT)"
309
266
    fi
310
 
 
 
267
    
311
268
    if [ -n "$KEYEMAIL" ]; then
312
269
        FILECOMMENT="$FILECOMMENT <$KEYEMAIL>"
313
270
    fi
314
 
 
 
271
    
315
272
    # Export key from key rings to key files
316
273
    gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
317
274
        --homedir "$RINGDIR" --armor --export-options export-minimal \
323
280
fi
324
281
 
325
282
if [ "$mode" = password ]; then
326
 
 
 
283
    
327
284
    # Make SSH be 0 or 1
328
285
    case "$SSH" in
329
286
        [Yy][Ee][Ss]|[Tt][Rr][Uu][Ee]) SSH=1;;
330
287
        [Nn][Oo]|[Ff][Aa][Ll][Ss][Ee]|*) SSH=0;;
331
288
    esac
332
 
 
 
289
    
333
290
    if [ $SSH -eq 1 ]; then
334
 
        # The -q option is new in OpenSSH 9.8
335
 
        for ssh_keyscan_quiet in "-q " ""; do
336
 
            for ssh_keytype in ecdsa-sha2-nistp256 ed25519 rsa; do
337
 
                set +e
338
 
                ssh_fingerprint="`ssh-keyscan ${ssh_keyscan_quiet}-t $ssh_keytype localhost 2>/dev/null`"
339
 
                err=$?
340
 
                set -e
341
 
                if [ $err -ne 0 ]; then
342
 
                    ssh_fingerprint=""
343
 
                    continue
344
 
                fi
345
 
                if [ -n "$ssh_fingerprint" ]; then
346
 
                    ssh_fingerprint="${ssh_fingerprint#localhost }"
347
 
                    break 2
348
 
                fi
349
 
            done
 
291
        for ssh_keytype in ecdsa-sha2-nistp256 ed25519 rsa; do
 
292
            set +e
 
293
            ssh_fingerprint="`ssh-keyscan -t $ssh_keytype localhost 2>/dev/null`"
 
294
            err=$?
 
295
            set -e
 
296
            if [ $err -ne 0 ]; then
 
297
                ssh_fingerprint=""
 
298
                continue
 
299
            fi
 
300
            if [ -n "$ssh_fingerprint" ]; then
 
301
                ssh_fingerprint="${ssh_fingerprint#localhost }"
 
302
                break
 
303
            fi
350
304
        done
351
305
    fi
352
 
 
 
306
    
353
307
    # Import key into temporary key rings
354
308
    gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
355
309
        --homedir "$RINGDIR" --trust-model always --armor \
357
311
    gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
358
312
        --homedir "$RINGDIR" --trust-model always --armor \
359
313
        --import "$PUBKEYFILE"
360
 
 
 
314
    
361
315
    # Get fingerprint of key
362
316
    FINGERPRINT="`gpg --quiet --batch --no-tty --no-options \
363
317
        --enable-dsa2 --homedir "$RINGDIR" --trust-model always \
364
318
        --fingerprint --with-colons \
365
319
        | sed --quiet \
366
320
        --expression='/^fpr:/{s/^fpr:.*:\\([0-9A-Z]*\\):\$/\\1/p;q}'`"
367
 
 
 
321
    
368
322
    test -n "$FINGERPRINT"
369
 
 
370
 
    if [ -r "$TLS_PUBKEYFILE" ]; then
371
 
       KEY_ID="$(certtool --key-id --hash=sha256 \
372
 
                       --infile="$TLS_PUBKEYFILE" 2>/dev/null || :)"
373
 
 
374
 
       if [ -z "$KEY_ID" ]; then
375
 
           KEY_ID=$(openssl pkey -pubin -in "$TLS_PUBKEYFILE" \
376
 
                            -outform der \
377
 
                        | openssl sha256 \
378
 
                        | sed --expression='s/^.*[^[:xdigit:]]//')
379
 
       fi
380
 
       test -n "$KEY_ID"
381
 
    fi
382
 
 
 
323
    
383
324
    FILECOMMENT="Encrypted password for a Mandos client"
384
 
 
 
325
    
385
326
    while [ ! -s "$SECFILE" ]; do
386
327
        if [ -n "$PASSFILE" ]; then
387
 
            cat -- "$PASSFILE"
 
328
            cat "$PASSFILE"
388
329
        else
389
330
            tty --quiet && stty -echo
390
331
            echo -n "Enter passphrase: " >/dev/tty
400
341
                echo "Passphrase mismatch" >&2
401
342
                touch "$RINGDIR"/mismatch
402
343
            else
403
 
                printf "%s" "$first"
 
344
                echo -n "$first"
404
345
            fi
405
346
        fi | gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
406
347
            --homedir "$RINGDIR" --trust-model always --armor \
415
356
            fi
416
357
        fi
417
358
    done
418
 
 
 
359
    
419
360
    cat <<-EOF
420
361
        [$KEYNAME]
421
362
        host = $KEYNAME
422
 
        EOF
423
 
    if [ -n "$KEY_ID" ]; then
424
 
        echo "key_id = $KEY_ID"
425
 
    fi
426
 
    cat <<-EOF
427
363
        fingerprint = $FINGERPRINT
428
364
        secret =
429
365
        EOF
437
373
            }
438
374
        }' < "$SECFILE"
439
375
    if [ -n "$ssh_fingerprint" ]; then
440
 
        if [ -n "$ssh_keyscan_quiet" ]; then
441
 
            echo "# Note: if the Mandos server has OpenSSH older than 9.8, the ${ssh_keyscan_quiet}"
442
 
            echo "# option *must* be removed from the 'checker' setting below"
443
 
        fi
444
 
        echo 'checker = ssh-keyscan '"$ssh_keyscan_quiet"'-t '"$ssh_keytype"' %%(host)s 2>/dev/null | grep --fixed-strings --line-regexp --quiet --regexp=%%(host)s" %(ssh_fingerprint)s"'
 
376
        echo 'checker = ssh-keyscan -t '"$ssh_keytype"' %%(host)s 2>/dev/null | grep --fixed-strings --line-regexp --quiet --regexp=%%(host)s" %(ssh_fingerprint)s"'
445
377
        echo "ssh_fingerprint = ${ssh_fingerprint}"
446
378
    fi
447
379
fi
451
383
set +e
452
384
# Remove the password file, if any
453
385
if [ -n "$SECFILE" ]; then
454
 
    shred --remove "$SECFILE" 2>/dev/null
 
386
    shred --remove "$SECFILE"
455
387
fi
456
388
# Remove the key rings
457
389
shred --remove "$RINGDIR"/sec* 2>/dev/null