/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to mandos-keygen

  • Committer: Teddy Hogeborn
  • Date: 2018-08-15 09:26:02 UTC
  • Revision ID: teddy@recompile.se-20180815092602-xoyb5s6gf8376i7u
mandos-client: Set system clock if necessary

* plugins.d/mandos-client.c (init_gpgme/import_key): If the system
  clock is not set, or set to january 1970, set the system clock to
  the more plausible value that is the mtime of the key file.  This is
  required by GnuPG to be able to import the keys.  (We can't pass the
  --ignore-time-conflict or the --ignore-valid-from options though
  GPGME.)

Show diffs side-by-side

added added

removed removed

Lines of Context:
2
2
3
3
# Mandos key generator - create a new OpenPGP key for a Mandos client
4
4
5
 
# Copyright © 2008,2009 Teddy Hogeborn
6
 
# Copyright © 2008,2009 Björn Påhlsson
 
5
# Copyright © 2008-2018 Teddy Hogeborn
 
6
# Copyright © 2008-2018 Björn Påhlsson
7
7
8
 
# This program is free software: you can redistribute it and/or modify
9
 
# it under the terms of the GNU General Public License as published by
 
8
# This file is part of Mandos.
 
9
#
 
10
# Mandos is free software: you can redistribute it and/or modify it
 
11
# under the terms of the GNU General Public License as published by
10
12
# the Free Software Foundation, either version 3 of the License, or
11
13
# (at your option) any later version.
12
14
#
13
 
#     This program is distributed in the hope that it will be useful,
14
 
#     but WITHOUT ANY WARRANTY; without even the implied warranty of
 
15
#     Mandos is distributed in the hope that it will be useful, but
 
16
#     WITHOUT ANY WARRANTY; without even the implied warranty of
15
17
#     MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
16
18
#     GNU General Public License for more details.
17
19
18
20
# You should have received a copy of the GNU General Public License
19
 
# along with this program.  If not, see <http://www.gnu.org/licenses/>.
 
21
# along with Mandos.  If not, see <http://www.gnu.org/licenses/>.
20
22
21
 
# Contact the authors at <mandos@fukt.bsnet.se>.
 
23
# Contact the authors at <mandos@recompile.se>.
22
24
23
25
 
24
 
VERSION="1.0.14"
 
26
VERSION="1.7.19"
25
27
 
26
28
KEYDIR="/etc/keys/mandos"
27
 
KEYTYPE=DSA
28
 
KEYLENGTH=2048
29
 
SUBKEYTYPE=ELG-E
30
 
SUBKEYLENGTH=2048
 
29
KEYTYPE=RSA
 
30
KEYLENGTH=4096
 
31
SUBKEYTYPE=RSA
 
32
SUBKEYLENGTH=4096
31
33
KEYNAME="`hostname --fqdn 2>/dev/null || hostname`"
32
34
KEYEMAIL=""
33
 
KEYCOMMENT="Mandos client key"
 
35
KEYCOMMENT=""
34
36
KEYEXPIRE=0
35
37
FORCE=no
 
38
SSH=yes
36
39
KEYCOMMENT_ORIG="$KEYCOMMENT"
37
40
mode=keygen
38
41
 
41
44
fi
42
45
 
43
46
# Parse options
44
 
TEMP=`getopt --options vhpF:d:t:l:s:L:n:e:c:x:f \
45
 
    --longoptions version,help,password,passfile:,dir:,type:,length:,subtype:,sublength:,name:,email:,comment:,expire:,force \
 
47
TEMP=`getopt --options vhpF:d:t:l:s:L:n:e:c:x:fS \
 
48
    --longoptions version,help,password,passfile:,dir:,type:,length:,subtype:,sublength:,name:,email:,comment:,expire:,force,no-ssh \
46
49
    --name "$0" -- "$@"`
47
50
 
48
51
help(){
49
 
basename="`basename $0`"
 
52
basename="`basename "$0"`"
50
53
cat <<EOF
51
54
Usage: $basename [ -v | --version ]
52
55
       $basename [ -h | --help ]
60
63
  -v, --version         Show program's version number and exit
61
64
  -h, --help            Show this help message and exit
62
65
  -d DIR, --dir DIR     Target directory for key files
63
 
  -t TYPE, --type TYPE  Key type.  Default is DSA.
 
66
  -t TYPE, --type TYPE  Key type.  Default is RSA.
64
67
  -l BITS, --length BITS
65
 
                        Key length in bits.  Default is 2048.
 
68
                        Key length in bits.  Default is 4096.
66
69
  -s TYPE, --subtype TYPE
67
 
                        Subkey type.  Default is ELG-E.
 
70
                        Subkey type.  Default is RSA.
68
71
  -L BITS, --sublength BITS
69
 
                        Subkey length in bits.  Default is 2048.
 
72
                        Subkey length in bits.  Default is 4096.
70
73
  -n NAME, --name NAME  Name of key.  Default is the FQDN.
71
74
  -e ADDRESS, --email ADDRESS
72
75
                        Email address of key.  Default is empty.
73
76
  -c TEXT, --comment TEXT
74
 
                        Comment field for key.  The default value is
75
 
                        "Mandos client key".
 
77
                        Comment field for key.  The default is empty.
76
78
  -x TIME, --expire TIME
77
79
                        Key expire time.  Default is no expiration.
78
80
                        See gpg(1) for syntax.
86
88
                        Encrypt a password from FILE using the key in
87
89
                        the key directory.  All options other than
88
90
                        --dir and --name are ignored.
 
91
  -S, --no-ssh          Don't get SSH key or set "checker" option.
89
92
EOF
90
93
}
91
94
 
104
107
        -c|--comment) KEYCOMMENT="$2"; shift 2;;
105
108
        -x|--expire) KEYEXPIRE="$2"; shift 2;;
106
109
        -f|--force) FORCE=yes; shift;;
 
110
        -S|--no-ssh) SSH=no; shift;;
107
111
        -v|--version) echo "$0 $VERSION"; exit;;
108
112
        -h|--help) help; exit;;
109
113
        --) shift; break;;
111
115
    esac
112
116
done
113
117
if [ "$#" -gt 0 ]; then
114
 
    echo "Unknown arguments: '$@'" >&2
 
118
    echo "Unknown arguments: '$*'" >&2
115
119
    exit 1
116
120
fi
117
121
 
159
163
        [Nn][Oo]|[Ff][Aa][Ll][Ss][Ee]|*) FORCE=0;;
160
164
    esac
161
165
    
162
 
    if [ \( -e "$SECKEYFILE" -o -e "$PUBKEYFILE" \) \
163
 
        -a "$FORCE" -eq 0 ]; then
 
166
    if { [ -e "$SECKEYFILE" ] || [ -e "$PUBKEYFILE" ]; } \
 
167
        && [ "$FORCE" -eq 0 ]; then
164
168
        echo "Refusing to overwrite old key files; use --force" >&2
165
169
        exit 1
166
170
    fi
189
193
trap "
190
194
set +e; \
191
195
test -n \"$SECFILE\" && shred --remove \"$SECFILE\"; \
192
 
shred --remove \"$RINGDIR\"/sec*;
 
196
shred --remove \"$RINGDIR\"/sec* 2>/dev/null;
193
197
test -n \"$BATCHFILE\" && rm --force \"$BATCHFILE\"; \
194
198
rm --recursive --force \"$RINGDIR\";
195
 
stty echo; \
 
199
tty --quiet && stty echo; \
196
200
" EXIT
197
201
 
 
202
set -e
 
203
 
198
204
umask 077
199
205
 
200
206
if [ "$mode" = keygen ]; then
202
208
    cat >"$BATCHFILE" <<-EOF
203
209
        Key-Type: $KEYTYPE
204
210
        Key-Length: $KEYLENGTH
205
 
        #Key-Usage: encrypt,sign,auth
 
211
        Key-Usage: sign,auth
206
212
        Subkey-Type: $SUBKEYTYPE
207
213
        Subkey-Length: $SUBKEYLENGTH
208
 
        #Subkey-Usage: encrypt,sign,auth
 
214
        Subkey-Usage: encrypt
209
215
        Name-Real: $KEYNAME
210
216
        $KEYCOMMENTLINE
211
217
        $KEYEMAILLINE
214
220
        #Handle: <no-spaces>
215
221
        #%pubring pubring.gpg
216
222
        #%secring secring.gpg
 
223
        %no-protection
217
224
        %commit
218
225
        EOF
219
226
    
227
234
        date
228
235
    fi
229
236
    
 
237
    # Make sure trustdb.gpg exists;
 
238
    # this is a workaround for Debian bug #737128
 
239
    gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
 
240
        --homedir "$RINGDIR" \
 
241
        --import-ownertrust < /dev/null
230
242
    # Generate a new key in the key rings
231
243
    gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
232
244
        --homedir "$RINGDIR" --trust-model always \
268
280
fi
269
281
 
270
282
if [ "$mode" = password ]; then
 
283
    
 
284
    # Make SSH be 0 or 1
 
285
    case "$SSH" in
 
286
        [Yy][Ee][Ss]|[Tt][Rr][Uu][Ee]) SSH=1;;
 
287
        [Nn][Oo]|[Ff][Aa][Ll][Ss][Ee]|*) SSH=0;;
 
288
    esac
 
289
    
 
290
    if [ $SSH -eq 1 ]; then
 
291
        for ssh_keytype in ecdsa-sha2-nistp256 ed25519 rsa; do
 
292
            set +e
 
293
            ssh_fingerprint="`ssh-keyscan -t $ssh_keytype localhost 2>/dev/null`"
 
294
            err=$?
 
295
            set -e
 
296
            if [ $err -ne 0 ]; then
 
297
                ssh_fingerprint=""
 
298
                continue
 
299
            fi
 
300
            if [ -n "$ssh_fingerprint" ]; then
 
301
                ssh_fingerprint="${ssh_fingerprint#localhost }"
 
302
                break
 
303
            fi
 
304
        done
 
305
    fi
 
306
    
271
307
    # Import key into temporary key rings
272
308
    gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
273
309
        --homedir "$RINGDIR" --trust-model always --armor \
278
314
    
279
315
    # Get fingerprint of key
280
316
    FINGERPRINT="`gpg --quiet --batch --no-tty --no-options \
281
 
        --enable-dsa2 --homedir \"$RINGDIR\" --trust-model always \
 
317
        --enable-dsa2 --homedir "$RINGDIR" --trust-model always \
282
318
        --fingerprint --with-colons \
283
319
        | sed --quiet \
284
320
        --expression='/^fpr:/{s/^fpr:.*:\\([0-9A-Z]*\\):\$/\\1/p;q}'`"
287
323
    
288
324
    FILECOMMENT="Encrypted password for a Mandos client"
289
325
    
290
 
    if [ -n "$PASSFILE" ]; then
291
 
        cat "$PASSFILE"
292
 
    else
293
 
        stty -echo
294
 
        echo -n "Enter passphrase: " >&2
295
 
        first="$(head --lines=1 | tr --delete '\n')"
296
 
        echo >&2
297
 
        echo -n "Repeat passphrase: " >&2
298
 
        second="$(head --lines=1 | tr --delete '\n')"
299
 
        echo >&2
300
 
        stty echo
301
 
        if [ "$first" != "$second" ]; then
302
 
            echo "Passphrase mismatch" >&2
303
 
            touch "$RINGDIR"/mismatch
 
326
    while [ ! -s "$SECFILE" ]; do
 
327
        if [ -n "$PASSFILE" ]; then
 
328
            cat "$PASSFILE"
304
329
        else
305
 
            echo -n "$first"
 
330
            tty --quiet && stty -echo
 
331
            echo -n "Enter passphrase: " >/dev/tty
 
332
            read -r first
 
333
            tty --quiet && echo >&2
 
334
            echo -n "Repeat passphrase: " >/dev/tty
 
335
            read -r second
 
336
            if tty --quiet; then
 
337
                echo >&2
 
338
                stty echo
 
339
            fi
 
340
            if [ "$first" != "$second" ]; then
 
341
                echo "Passphrase mismatch" >&2
 
342
                touch "$RINGDIR"/mismatch
 
343
            else
 
344
                echo -n "$first"
 
345
            fi
 
346
        fi | gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
 
347
            --homedir "$RINGDIR" --trust-model always --armor \
 
348
            --encrypt --sign --recipient "$FINGERPRINT" --comment \
 
349
            "$FILECOMMENT" > "$SECFILE"
 
350
        if [ -e "$RINGDIR"/mismatch ]; then
 
351
            rm --force "$RINGDIR"/mismatch
 
352
            if tty --quiet; then
 
353
                > "$SECFILE"
 
354
            else
 
355
                exit 1
 
356
            fi
306
357
        fi
307
 
    fi | gpg --quiet --batch --no-tty --no-options --enable-dsa2 \
308
 
        --homedir "$RINGDIR" --trust-model always --armor --encrypt \
309
 
        --sign --recipient "$FINGERPRINT" --comment "$FILECOMMENT" \
310
 
        > "$SECFILE"
311
 
    if [ -e "$RINGDIR"/mismatch ]; then
312
 
        rm --force "$RINGDIR"/mismatch
313
 
        exit 1
314
 
    fi
 
358
    done
315
359
    
316
360
    cat <<-EOF
317
361
        [$KEYNAME]
328
372
                /^[^-]/s/^/    /p
329
373
            }
330
374
        }' < "$SECFILE"
 
375
    if [ -n "$ssh_fingerprint" ]; then
 
376
        echo 'checker = ssh-keyscan -t '"$ssh_keytype"' %%(host)s 2>/dev/null | grep --fixed-strings --line-regexp --quiet --regexp=%%(host)s" %(ssh_fingerprint)s"'
 
377
        echo "ssh_fingerprint = ${ssh_fingerprint}"
 
378
    fi
331
379
fi
332
380
 
333
381
trap - EXIT
338
386
    shred --remove "$SECFILE"
339
387
fi
340
388
# Remove the key rings
341
 
shred --remove "$RINGDIR"/sec*
 
389
shred --remove "$RINGDIR"/sec* 2>/dev/null
342
390
rm --recursive --force "$RINGDIR"