/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to initramfs-tools-script

  • Committer: Teddy Hogeborn
  • Date: 2019-02-09 23:23:26 UTC
  • Revision ID: teddy@recompile.se-20190209232326-z1z2kzpgfixz7iaj
Add support for using raw public keys in TLS (RFC 7250)

Since GnuTLS removed support for OpenPGP keys in TLS (RFC 6091), and
no other library supports it, we have to change the protocol to use
something else.  We choose to use "raw public keys" (RFC 7250).  Since
we still use OpenPGP keys to decrypt the secret password, this means
that each client will have two keys: One OpenPGP key and one TLS
public/private key, and the key ID of the latter key is used to
identify clients instead of the fingerprint of the OpenPGP key.

Note that this code is still compatible with GnuTLS before version
3.6.0 (when OpenPGP key support was removed).  This commit merely adds
support for using raw pulic keys instead with GnuTLS 3.6.6. or later.

* DBUS-API (Signals/ClientNotFound): Change name of first parameter
                                     from "Fingerprint" to "KeyID".
  (Mandos Client Interface/Properties/KeyID): New.
* INSTALL: Document conflict with GnuTLS 3.6.0 (which removed OpenPGP
           key support) up until 3.6.6, when support for raw public
           keys was added.  Also document new dependency of client on
           "gnutls-bin" package (for certtool).
* Makefile (run-client): Depend on TLS key files, and also pass them
                         as arguments to client.
  (keydir/tls-privkey.pem, keydir/tls-pubkey.pem): New.
  (confdir/clients.conf): Add dependency on TLS public key.
  (purge-client): Add removal of TLS key files.
* clients.conf ([foo]/key_id, [bar]/key_id): New.
* debian/control (Source: mandos/Build-Depends): Also allow
                                                 libgnutls30 (>= 3.6.6)
  (Package: mandos/Depends): - '' -
  (Package: mandos/Description): Alter description to match new
                                 design.
  (Package: mandos-client/Description): - '' -
  (Package: mandos-client/Depends): Move "gnutls-bin | openssl" to
                                    here from "Recommends".
* debian/mandos-client.README.Debian: Add --tls-privkey and
                                      --tls-pubkey options to test
                                      command.
* debian/mandos-client.postinst (create_key): Renamed to "create_keys"
                                             (all callers changed),
                                             and also create TLS key.
* debian/mandos-client.postrm (purge): Also remove TLS key files.
* intro.xml (DESCRIPTION): Describe new dual-key design.
* mandos (GnuTLS): Define different functions depending on whether
                   support for raw public keys is detected.
  (Client.key_id): New attribute.
  (ClientDBus.KeyID_dbus_property): New method.
  (ProxyClient.__init__): Take new "key_id" parameter.
  (ClientHandler.handle): Use key IDs when using raw public keys and
                          use fingerprints when using OpenPGP keys.
  (ClientHandler.peer_certificate): Also handle raw public keys.
  (ClientHandler.key_id): New.
  (MandosServer.handle_ipc): Pass key ID over the pipe IPC.  Also
                             check for key ID matches when looking up
                             clients.
  (main): Default GnuTLS priority string depends on whether we are
          using raw public keys or not.  When unpickling clients, set
          key_id if not set in the pickle.
  (main/MandosDBusService.ClientNotFound): Change name of first
                                           parameter from
                                           "Fingerprint" to "KeyID".
* mandos-clients.conf.xml (OPTIONS): Document new "key_id" option.
  (OPTIONS/secret): Mention new key ID matchning.
  (EXPANSION/RUNTIME EXPANSION): Add new "key_id" option.
  (EXAMPLE): - '' -
* mandos-ctl (tablewords, main/keywords): Add new "KeyID" property.
* mandos-keygen: Create TLS key files.  New "--tls-keytype" (-T)
                 option.  Alter help text to be more clear about key
                 types.  When in password mode, also output "key_id"
                 option.
* mandos-keygen.xml (SYNOPSIS): Add new "--tls-keytype" (-T) option.
  (DESCRIPTION): Alter to match new dual-key design.
  (OVERVIEW): - '' -
  (FILES): Add TLS key files.
* mandos-options.xml (priority): Document new default priority string
                                 when using raw public keys.
* mandos.xml (NETWORK PROTOCOL): Describe new protocol using key ID.
  (BUGS): Remove issue about checking expire times of OpenPGP keys,
          since TLS public keys do not have expiration times.
  (SECURITY/CLIENT): Alter description to match new design.
  (SEE ALSO/GnuTLS): - '' -
  (SEE ALSO): Add reference to RFC 7250, and alter description of when
              RFC 6091 is used.
* overview.xml: Alter text to match new design.
* plugin-runner.xml (EXAMPLE): Add --tls-pubkey and --tls-privkey
                               options to mandos-client options.
* plugins.d/mandos-client.c: Use raw public keys when compiling with
                             supporting GnuTLS versions. Add new
                             "--tls-pubkey" and "--tls-privkey"
                             options (which do nothing if GnuTLS
                             library does not support raw public
                             keys).  Alter text throughout to reflect
                             new design.  Only generate new DH
                             parameters (based on size of OpenPGP key)
                             when using OpenPGP in TLS.  Default
                             GnuTLS priority string depends on whether
                             we are using raw public keys or not.
* plugins.d/mandos-client.xml (SYNOPSIS): Add new "--tls-privkey" (-t)
                                          and "--tls-pubkey" (-T)
                                          options.
  (DESCRIPTION): Describe new dual-key design.
  (OPTIONS): Document new "--tls-privkey" (-t) and "--tls-pubkey" (-T)
             options.
  (OPTIONS/--dh-bits): No longer necessarily depends on OpenPGP key
                       size.
  (FILES): Add default locations for TLS public and private key files.
  (EXAMPLE): Use new --tls-pubkey and --tls-privkey options.
  (SECURITY): Alter wording slightly to reflect new dual-key design.
  (SEE ALSO/GnuTLS): Alter description to match new design.
  (SEE ALSO): Add reference to RFC 7250, and alter description of when
              RFC 6091 is used.

Show diffs side-by-side

added added

removed removed

Lines of Context:
51
51
 
52
52
chmod a=rwxt /tmp
53
53
 
54
 
test -r /conf/conf.d/cryptroot
55
 
test -w /conf/conf.d
56
 
 
57
54
# Get DEVICE from /conf/initramfs.conf and other files
58
55
. /conf/initramfs.conf
59
56
for conf in /conf/conf.d/*; do
60
 
    [ -f ${conf} ] && . ${conf}
 
57
    [ -f "${conf}" ] && . "${conf}"
61
58
done
62
59
if [ -e /conf/param.conf ]; then
63
60
    . /conf/param.conf
94
91
# If we are connecting directly, run "configure_networking" (from
95
92
# /scripts/functions); it needs IPOPTS and DEVICE
96
93
if [ "${connect+set}" = set ]; then
 
94
    set +e                      # Required by library functions
97
95
    configure_networking
 
96
    set -e
98
97
    if [ -n "$connect" ]; then
99
98
        cat <<-EOF >>/conf/conf.d/mandos/plugin-runner.conf
100
99
        
103
102
    fi
104
103
fi
105
104
 
106
 
# Do not replace cryptroot file unless we need to.
107
 
replace_cryptroot=no
108
 
 
109
 
# Our keyscript
110
 
mandos=/lib/mandos/plugin-runner
111
 
 
112
 
# parse /conf/conf.d/cryptroot.  Format:
113
 
# target=sda2_crypt,source=/dev/sda2,key=none,keyscript=/foo/bar/baz
114
 
exec 3>/conf/conf.d/cryptroot.mandos
115
 
while read options; do
116
 
    newopts=""
117
 
    # Split option line on commas
118
 
    old_ifs="$IFS"
119
 
    IFS="$IFS,"
120
 
    for opt in $options; do
121
 
        # Find the keyscript option, if any
122
 
        case "$opt" in
123
 
            keyscript=*)
124
 
                keyscript="${opt#keyscript=}"
125
 
                newopts="$newopts,$opt"
126
 
                ;;
127
 
            "") : ;;
128
 
            *)
129
 
                newopts="$newopts,$opt"
 
105
if [ -r /conf/conf.d/cryptroot ]; then
 
106
    test -w /conf/conf.d
 
107
 
 
108
    # Do not replace cryptroot file unless we need to.
 
109
    replace_cryptroot=no
 
110
 
 
111
    # Our keyscript
 
112
    mandos=/lib/mandos/plugin-runner
 
113
    test -x "$mandos"
 
114
 
 
115
    # parse /conf/conf.d/cryptroot.  Format:
 
116
    # target=sda2_crypt,source=/dev/sda2,rootdev,key=none,keyscript=/foo/bar/baz
 
117
    # Is the root device specially marked?
 
118
    changeall=yes
 
119
    while read -r options; do
 
120
        case "$options" in
 
121
            rootdev,*|*,rootdev,*|*,rootdev)
 
122
                # If the root device is specially marked, don't change all
 
123
                # lines in crypttab by default.
 
124
                changeall=no
130
125
                ;;
131
126
        esac
132
 
    done
133
 
    IFS="$old_ifs"
134
 
    unset old_ifs
135
 
    # If there was no keyscript option, add one.
136
 
    if [ -z "$keyscript" ]; then
137
 
        replace_cryptroot=yes
138
 
        newopts="$newopts,keyscript=$mandos"
 
127
    done < /conf/conf.d/cryptroot
 
128
 
 
129
    exec 3>/conf/conf.d/cryptroot.mandos
 
130
    while read -r options; do
 
131
        newopts=""
 
132
        keyscript=""
 
133
        changethis="$changeall"
 
134
        # Split option line on commas
 
135
        old_ifs="$IFS"
 
136
        IFS="$IFS,"
 
137
        for opt in $options; do
 
138
            # Find the keyscript option, if any
 
139
            case "$opt" in
 
140
                keyscript=*)
 
141
                    keyscript="${opt#keyscript=}"
 
142
                    newopts="$newopts,$opt"
 
143
                    ;;
 
144
                "") : ;;
 
145
                # Always use Mandos on the root device, if marked
 
146
                rootdev)
 
147
                    changethis=yes
 
148
                    newopts="$newopts,$opt"
 
149
                    ;;
 
150
                # Don't use Mandos on resume device, if marked
 
151
                resumedev)
 
152
                    changethis=no
 
153
                    newopts="$newopts,$opt"
 
154
                    ;;
 
155
                *)
 
156
                    newopts="$newopts,$opt"
 
157
                    ;;
 
158
            esac
 
159
        done
 
160
        IFS="$old_ifs"
 
161
        unset old_ifs
 
162
        # If there was no keyscript option, add one.
 
163
        if [ "$changethis" = yes ] && [ -z "$keyscript" ]; then
 
164
            replace_cryptroot=yes
 
165
            newopts="$newopts,keyscript=$mandos"
 
166
        fi
 
167
        newopts="${newopts#,}"
 
168
        echo "$newopts" >&3
 
169
    done < /conf/conf.d/cryptroot
 
170
    exec 3>&-
 
171
 
 
172
    # If we need to, replace the old cryptroot file with the new file.
 
173
    if [ "$replace_cryptroot" = yes ]; then
 
174
        mv /conf/conf.d/cryptroot /conf/conf.d/cryptroot.mandos-old
 
175
        mv /conf/conf.d/cryptroot.mandos /conf/conf.d/cryptroot
 
176
    else
 
177
        rm -f /conf/conf.d/cryptroot.mandos
139
178
    fi
140
 
    newopts="${newopts#,}"
141
 
    echo "$newopts" >&3
142
 
done < /conf/conf.d/cryptroot
143
 
exec 3>&-
144
 
 
145
 
# If we need to, replace the old cryptroot file with the new file.
146
 
if [ "$replace_cryptroot" = yes ]; then
147
 
    mv /conf/conf.d/cryptroot /conf/conf.d/cryptroot.mandos-old
148
 
    mv /conf/conf.d/cryptroot.mandos /conf/conf.d/cryptroot
149
 
else
150
 
    rm /conf/conf.d/cryptroot.mandos
 
179
elif [ -x /usr/bin/cryptroot-unlock ]; then
 
180
    setsid /lib/mandos/mandos-to-cryptroot-unlock &
151
181
fi