/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to mandos-keygen

  • Committer: Teddy Hogeborn
  • Date: 2018-08-15 09:26:02 UTC
  • Revision ID: teddy@recompile.se-20180815092602-xoyb5s6gf8376i7u
mandos-client: Set system clock if necessary

* plugins.d/mandos-client.c (init_gpgme/import_key): If the system
  clock is not set, or set to january 1970, set the system clock to
  the more plausible value that is the mtime of the key file.  This is
  required by GnuPG to be able to import the keys.  (We can't pass the
  --ignore-time-conflict or the --ignore-valid-from options though
  GPGME.)

Show diffs side-by-side

added added

removed removed

Lines of Context:
2
2
3
3
# Mandos key generator - create a new OpenPGP key for a Mandos client
4
4
5
 
# Copyright © 2007-2008 Teddy Hogeborn & Björn Påhlsson
 
5
# Copyright © 2008-2018 Teddy Hogeborn
 
6
# Copyright © 2008-2018 Björn Påhlsson
6
7
7
 
# This program is free software: you can redistribute it and/or modify
8
 
# it under the terms of the GNU General Public License as published by
 
8
# This file is part of Mandos.
 
9
#
 
10
# Mandos is free software: you can redistribute it and/or modify it
 
11
# under the terms of the GNU General Public License as published by
9
12
# the Free Software Foundation, either version 3 of the License, or
10
13
# (at your option) any later version.
11
14
#
12
 
#     This program is distributed in the hope that it will be useful,
13
 
#     but WITHOUT ANY WARRANTY; without even the implied warranty of
 
15
#     Mandos is distributed in the hope that it will be useful, but
 
16
#     WITHOUT ANY WARRANTY; without even the implied warranty of
14
17
#     MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
15
18
#     GNU General Public License for more details.
16
19
17
20
# You should have received a copy of the GNU General Public License
18
 
# along with this program.  If not, see <http://www.gnu.org/licenses/>.
 
21
# along with Mandos.  If not, see <http://www.gnu.org/licenses/>.
19
22
20
 
# Contact the authors at <mandos@fukt.bsnet.se>.
 
23
# Contact the authors at <mandos@recompile.se>.
21
24
22
25
 
23
 
VERSION="1.0"
 
26
VERSION="1.7.19"
24
27
 
25
28
KEYDIR="/etc/keys/mandos"
26
 
KEYTYPE=DSA
27
 
KEYLENGTH=2048
28
 
SUBKEYTYPE=ELG-E
29
 
SUBKEYLENGTH=2048
30
 
KEYNAME="`hostname --fqdn`"
 
29
KEYTYPE=RSA
 
30
KEYLENGTH=4096
 
31
SUBKEYTYPE=RSA
 
32
SUBKEYLENGTH=4096
 
33
KEYNAME="`hostname --fqdn 2>/dev/null || hostname`"
31
34
KEYEMAIL=""
32
 
KEYCOMMENT="Mandos client key"
 
35
KEYCOMMENT=""
33
36
KEYEXPIRE=0
34
37
FORCE=no
 
38
SSH=yes
35
39
KEYCOMMENT_ORIG="$KEYCOMMENT"
36
40
mode=keygen
37
41
 
40
44
fi
41
45
 
42
46
# Parse options
43
 
TEMP=`getopt --options vhd:t:l:n:e:c:x:f \
44
 
    --longoptions version,help,password,dir:,type:,length:,subtype:,sublength:,name:,email:,comment:,expire:,force \
 
47
TEMP=`getopt --options vhpF:d:t:l:s:L:n:e:c:x:fS \
 
48
    --longoptions version,help,password,passfile:,dir:,type:,length:,subtype:,sublength:,name:,email:,comment:,expire:,force,no-ssh \
45
49
    --name "$0" -- "$@"`
46
50
 
47
51
help(){
48
 
basename="`basename $0`"
 
52
basename="`basename "$0"`"
49
53
cat <<EOF
50
54
Usage: $basename [ -v | --version ]
51
55
       $basename [ -h | --help ]
53
57
       $basename [ OPTIONS ]
54
58
   Encrypted password creation:
55
59
       $basename { -p | --password } [ --name NAME ] [ --dir DIR]
 
60
       $basename { -F | --passfile } FILE [ --name NAME ] [ --dir DIR]
56
61
 
57
62
Key creation options:
58
63
  -v, --version         Show program's version number and exit
59
64
  -h, --help            Show this help message and exit
60
65
  -d DIR, --dir DIR     Target directory for key files
61
 
  -t TYPE, --type TYPE  Key type.  Default is DSA.
 
66
  -t TYPE, --type TYPE  Key type.  Default is RSA.
62
67
  -l BITS, --length BITS
63
 
                        Key length in bits.  Default is 2048.
 
68
                        Key length in bits.  Default is 4096.
64
69
  -s TYPE, --subtype TYPE
65
 
                        Subkey type.  Default is ELG-E.
 
70
                        Subkey type.  Default is RSA.
66
71
  -L BITS, --sublength BITS
67
 
                        Subkey length in bits.  Default is 2048.
 
72
                        Subkey length in bits.  Default is 4096.
68
73
  -n NAME, --name NAME  Name of key.  Default is the FQDN.
69
74
  -e ADDRESS, --email ADDRESS
70
75
                        Email address of key.  Default is empty.
71
76
  -c TEXT, --comment TEXT
72
 
                        Comment field for key.  The default value is
73
 
                        "Mandos client key".
 
77
                        Comment field for key.  The default is empty.
74
78
  -x TIME, --expire TIME
75
79
                        Key expire time.  Default is no expiration.
76
80
                        See gpg(1) for syntax.
77
 
  -f, --force           Force overwriting old keys.
 
81
  -f, --force           Force overwriting old key files.
78
82
 
79
83
Password creation options:
80
 
  -p, --password        Create an encrypted password using the keys in
81
 
                        the key directory.  All options other than
82
 
                        --dir and --name are ignored.
 
84
  -p, --password        Create an encrypted password using the key in
 
85
                        the key directory.  All options other than
 
86
                        --dir and --name are ignored.
 
87
  -F FILE, --passfile FILE
 
88
                        Encrypt a password from FILE using the key in
 
89
                        the key directory.  All options other than
 
90
                        --dir and --name are ignored.
 
91
  -S, --no-ssh          Don't get SSH key or set "checker" option.
83
92
EOF
84
93
}
85
94
 
87
96
while :; do
88
97
    case "$1" in
89
98
        -p|--password) mode=password; shift;;
 
99
        -F|--passfile) mode=password; PASSFILE="$2"; shift 2;;
90
100
        -d|--dir) KEYDIR="$2"; shift 2;;
91
101
        -t|--type) KEYTYPE="$2"; shift 2;;
92
102
        -s|--subtype) SUBKEYTYPE="$2"; shift 2;;
97
107
        -c|--comment) KEYCOMMENT="$2"; shift 2;;
98
108
        -x|--expire) KEYEXPIRE="$2"; shift 2;;
99
109
        -f|--force) FORCE=yes; shift;;
 
110
        -S|--no-ssh) SSH=no; shift;;
100
111
        -v|--version) echo "$0 $VERSION"; exit;;
101
112
        -h|--help) help; exit;;
102
113
        --) shift; break;;
104
115
    esac
105
116
done
106
117
if [ "$#" -gt 0 ]; then
107
 
    echo "Unknown arguments: '$@'" >&2
 
118
    echo "Unknown arguments: '$*'" >&2
108
119
    exit 1
109
120
fi
110
121
 
140
151
        echo "Invalid key length" >&2
141
152
        exit 1
142
153
    fi
143
 
 
 
154
    
144
155
    if [ -z "$KEYEXPIRE" ]; then
145
156
        echo "Empty key expiration" >&2
146
157
        exit 1
152
163
        [Nn][Oo]|[Ff][Aa][Ll][Ss][Ee]|*) FORCE=0;;
153
164
    esac
154
165
    
155
 
    if [ \( -e "$SECKEYFILE" -o -e "$PUBKEYFILE" \) \
156
 
        -a "$FORCE" -eq 0 ]; then
 
166
    if { [ -e "$SECKEYFILE" ] || [ -e "$PUBKEYFILE" ]; } \
 
167
        && [ "$FORCE" -eq 0 ]; then
157
168
        echo "Refusing to overwrite old key files; use --force" >&2
158
169
        exit 1
159
170
    fi
165
176
    if [ -n "$KEYEMAIL" ]; then
166
177
        KEYEMAILLINE="Name-Email: $KEYEMAIL"
167
178
    fi
168
 
 
 
179
    
169
180
    # Create temporary gpg batch file
170
181
    BATCHFILE="`mktemp -t mandos-keygen-batch.XXXXXXXXXX`"
171
182
fi
182
193
trap "
183
194
set +e; \
184
195
test -n \"$SECFILE\" && shred --remove \"$SECFILE\"; \
185
 
shred --remove \"$RINGDIR\"/sec*;
 
196
shred --remove \"$RINGDIR\"/sec* 2>/dev/null;
186
197
test -n \"$BATCHFILE\" && rm --force \"$BATCHFILE\"; \
187
198
rm --recursive --force \"$RINGDIR\";
188
 
stty echo; \
 
199
tty --quiet && stty echo; \
189
200
" EXIT
190
201
 
 
202
set -e
 
203
 
191
204
umask 077
192
205
 
193
206
if [ "$mode" = keygen ]; then
195
208
    cat >"$BATCHFILE" <<-EOF
196
209
        Key-Type: $KEYTYPE
197
210
        Key-Length: $KEYLENGTH
198
 
        #Key-Usage: encrypt,sign,auth
 
211
        Key-Usage: sign,auth
199
212
        Subkey-Type: $SUBKEYTYPE
200
213
        Subkey-Length: $SUBKEYLENGTH
201
 
        #Subkey-Usage: encrypt,sign,auth
 
214
        Subkey-Usage: encrypt
202
215
        Name-Real: $KEYNAME
203
216
        $KEYCOMMENTLINE
204
217
        $KEYEMAILLINE
207
220
        #Handle: <no-spaces>
208
221
        #%pubring pubring.gpg
209
222
        #%secring secring.gpg
 
223
        %no-protection
210
224
        %commit
211
225
        EOF
212
226
    
 
227
    if tty --quiet; then
 
228
        cat <<-EOF
 
229
        Note: Due to entropy requirements, key generation could take
 
230
        anything from a few minutes to SEVERAL HOURS.  Please be
 
231
        patient and/or supply the system with more entropy if needed.
 
232
        EOF
 
233
        echo -n "Started: "
 
234
        date
 
235
    fi
 
236
    
 
237
    # Make sure trustdb.gpg exists;
 
238
    # this is a workaround for Debian bug #737128
 
239
    gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
 
240
        --homedir "$RINGDIR" \
 
241
        --import-ownertrust < /dev/null
213
242
    # Generate a new key in the key rings
214
243
    gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
215
244
        --homedir "$RINGDIR" --trust-model always \
216
245
        --gen-key "$BATCHFILE"
217
246
    rm --force "$BATCHFILE"
218
247
    
 
248
    if tty --quiet; then
 
249
        echo -n "Finished: "
 
250
        date
 
251
    fi
 
252
    
219
253
    # Backup any old key files
220
254
    if cp --backup=numbered --force "$SECKEYFILE" "$SECKEYFILE" \
221
255
        2>/dev/null; then
235
269
        FILECOMMENT="$FILECOMMENT <$KEYEMAIL>"
236
270
    fi
237
271
    
238
 
    # Export keys from key rings to key files
 
272
    # Export key from key rings to key files
239
273
    gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
240
274
        --homedir "$RINGDIR" --armor --export-options export-minimal \
241
275
        --comment "$FILECOMMENT" --output "$SECKEYFILE" \
246
280
fi
247
281
 
248
282
if [ "$mode" = password ]; then
249
 
    # Import keys into temporary key rings
 
283
    
 
284
    # Make SSH be 0 or 1
 
285
    case "$SSH" in
 
286
        [Yy][Ee][Ss]|[Tt][Rr][Uu][Ee]) SSH=1;;
 
287
        [Nn][Oo]|[Ff][Aa][Ll][Ss][Ee]|*) SSH=0;;
 
288
    esac
 
289
    
 
290
    if [ $SSH -eq 1 ]; then
 
291
        for ssh_keytype in ecdsa-sha2-nistp256 ed25519 rsa; do
 
292
            set +e
 
293
            ssh_fingerprint="`ssh-keyscan -t $ssh_keytype localhost 2>/dev/null`"
 
294
            err=$?
 
295
            set -e
 
296
            if [ $err -ne 0 ]; then
 
297
                ssh_fingerprint=""
 
298
                continue
 
299
            fi
 
300
            if [ -n "$ssh_fingerprint" ]; then
 
301
                ssh_fingerprint="${ssh_fingerprint#localhost }"
 
302
                break
 
303
            fi
 
304
        done
 
305
    fi
 
306
    
 
307
    # Import key into temporary key rings
250
308
    gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
251
309
        --homedir "$RINGDIR" --trust-model always --armor \
252
310
        --import "$SECKEYFILE"
256
314
    
257
315
    # Get fingerprint of key
258
316
    FINGERPRINT="`gpg --quiet --batch --no-tty --no-options \
259
 
        --enable-dsa2 --homedir \"$RINGDIR\" --trust-model always \
 
317
        --enable-dsa2 --homedir "$RINGDIR" --trust-model always \
260
318
        --fingerprint --with-colons \
261
319
        | sed --quiet \
262
320
        --expression='/^fpr:/{s/^fpr:.*:\\([0-9A-Z]*\\):\$/\\1/p;q}'`"
265
323
    
266
324
    FILECOMMENT="Encrypted password for a Mandos client"
267
325
    
268
 
    stty -echo
269
 
    echo -n "Enter passphrase: " >&2
270
 
    head --lines=1 | tr --delete '\n' \
271
 
        | gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
272
 
        --homedir "$RINGDIR" --trust-model always --armor --encrypt \
273
 
        --recipient "$FINGERPRINT" --comment "$FILECOMMENT" \
274
 
        > "$SECFILE"
275
 
    echo >&2
276
 
    stty echo
 
326
    while [ ! -s "$SECFILE" ]; do
 
327
        if [ -n "$PASSFILE" ]; then
 
328
            cat "$PASSFILE"
 
329
        else
 
330
            tty --quiet && stty -echo
 
331
            echo -n "Enter passphrase: " >/dev/tty
 
332
            read -r first
 
333
            tty --quiet && echo >&2
 
334
            echo -n "Repeat passphrase: " >/dev/tty
 
335
            read -r second
 
336
            if tty --quiet; then
 
337
                echo >&2
 
338
                stty echo
 
339
            fi
 
340
            if [ "$first" != "$second" ]; then
 
341
                echo "Passphrase mismatch" >&2
 
342
                touch "$RINGDIR"/mismatch
 
343
            else
 
344
                echo -n "$first"
 
345
            fi
 
346
        fi | gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
 
347
            --homedir "$RINGDIR" --trust-model always --armor \
 
348
            --encrypt --sign --recipient "$FINGERPRINT" --comment \
 
349
            "$FILECOMMENT" > "$SECFILE"
 
350
        if [ -e "$RINGDIR"/mismatch ]; then
 
351
            rm --force "$RINGDIR"/mismatch
 
352
            if tty --quiet; then
 
353
                > "$SECFILE"
 
354
            else
 
355
                exit 1
 
356
            fi
 
357
        fi
 
358
    done
277
359
    
278
360
    cat <<-EOF
279
361
        [$KEYNAME]
280
362
        host = $KEYNAME
281
363
        fingerprint = $FINGERPRINT
282
364
        secret =
283
 
EOF
 
365
        EOF
284
366
    sed --quiet --expression='
285
367
        /^-----BEGIN PGP MESSAGE-----$/,/^-----END PGP MESSAGE-----$/{
286
368
            /^$/,${
290
372
                /^[^-]/s/^/    /p
291
373
            }
292
374
        }' < "$SECFILE"
 
375
    if [ -n "$ssh_fingerprint" ]; then
 
376
        echo 'checker = ssh-keyscan -t '"$ssh_keytype"' %%(host)s 2>/dev/null | grep --fixed-strings --line-regexp --quiet --regexp=%%(host)s" %(ssh_fingerprint)s"'
 
377
        echo "ssh_fingerprint = ${ssh_fingerprint}"
 
378
    fi
293
379
fi
294
380
 
295
381
trap - EXIT
300
386
    shred --remove "$SECFILE"
301
387
fi
302
388
# Remove the key rings
303
 
shred --remove "$RINGDIR"/sec*
 
389
shred --remove "$RINGDIR"/sec* 2>/dev/null
304
390
rm --recursive --force "$RINGDIR"