[BACK]Return to ssh-keygen.c CVS log [TXT][DIR] Up to [local] / src / usr.bin / ssh

Diff for /src/usr.bin/ssh/ssh-keygen.c between version 1.463 and 1.472

version 1.463, 2023/02/28 08:45:24 version 1.472, 2024/01/11 01:45:36
Line 61 
Line 61 
 #include "ssh-pkcs11.h"  #include "ssh-pkcs11.h"
 #endif  #endif
   
 #ifdef WITH_OPENSSL  #define DEFAULT_KEY_TYPE_NAME "ed25519"
 # define DEFAULT_KEY_TYPE_NAME "rsa"  
 #else  
 # define DEFAULT_KEY_TYPE_NAME "ed25519"  
 #endif  
   
 /*  /*
  * Default number of bits in the RSA, DSA and ECDSA keys.  These value can be   * Default number of bits in the RSA, DSA and ECDSA keys.  These value can be
Line 252 
Line 248 
         char *name = NULL;          char *name = NULL;
   
         if (key_type_name == NULL)          if (key_type_name == NULL)
                 name = _PATH_SSH_CLIENT_ID_RSA;                  name = _PATH_SSH_CLIENT_ID_ED25519;
         else {          else {
                 switch (sshkey_type_from_name(key_type_name)) {                  switch (sshkey_type_from_name(key_type_name)) {
   #ifdef WITH_DSA
                 case KEY_DSA_CERT:                  case KEY_DSA_CERT:
                 case KEY_DSA:                  case KEY_DSA:
                         name = _PATH_SSH_CLIENT_ID_DSA;                          name = _PATH_SSH_CLIENT_ID_DSA;
                         break;                          break;
   #endif
                 case KEY_ECDSA_CERT:                  case KEY_ECDSA_CERT:
                 case KEY_ECDSA:                  case KEY_ECDSA:
                         name = _PATH_SSH_CLIENT_ID_ECDSA;                          name = _PATH_SSH_CLIENT_ID_ECDSA;
Line 367 
Line 365 
                 if (!PEM_write_RSA_PUBKEY(stdout, k->rsa))                  if (!PEM_write_RSA_PUBKEY(stdout, k->rsa))
                         fatal("PEM_write_RSA_PUBKEY failed");                          fatal("PEM_write_RSA_PUBKEY failed");
                 break;                  break;
   #ifdef WITH_DSA
         case KEY_DSA:          case KEY_DSA:
                 if (!PEM_write_DSA_PUBKEY(stdout, k->dsa))                  if (!PEM_write_DSA_PUBKEY(stdout, k->dsa))
                         fatal("PEM_write_DSA_PUBKEY failed");                          fatal("PEM_write_DSA_PUBKEY failed");
                 break;                  break;
   #endif
         case KEY_ECDSA:          case KEY_ECDSA:
                 if (!PEM_write_EC_PUBKEY(stdout, k->ecdsa))                  if (!PEM_write_EC_PUBKEY(stdout, k->ecdsa))
                         fatal("PEM_write_EC_PUBKEY failed");                          fatal("PEM_write_EC_PUBKEY failed");
Line 389 
Line 389 
                 if (!PEM_write_RSAPublicKey(stdout, k->rsa))                  if (!PEM_write_RSAPublicKey(stdout, k->rsa))
                         fatal("PEM_write_RSAPublicKey failed");                          fatal("PEM_write_RSAPublicKey failed");
                 break;                  break;
   #ifdef WITH_DSA
         case KEY_DSA:          case KEY_DSA:
                 if (!PEM_write_DSA_PUBKEY(stdout, k->dsa))                  if (!PEM_write_DSA_PUBKEY(stdout, k->dsa))
                         fatal("PEM_write_DSA_PUBKEY failed");                          fatal("PEM_write_DSA_PUBKEY failed");
                 break;                  break;
   #endif
         case KEY_ECDSA:          case KEY_ECDSA:
                 if (!PEM_write_EC_PUBKEY(stdout, k->ecdsa))                  if (!PEM_write_EC_PUBKEY(stdout, k->ecdsa))
                         fatal("PEM_write_EC_PUBKEY failed");                          fatal("PEM_write_EC_PUBKEY failed");
Line 459 
Line 461 
 {  {
         struct sshkey *key = NULL;          struct sshkey *key = NULL;
         char *type, *cipher;          char *type, *cipher;
           const char *alg = NULL;
         u_char e1, e2, e3, *sig = NULL, data[] = "abcde12345";          u_char e1, e2, e3, *sig = NULL, data[] = "abcde12345";
         int r, rlen, ktype;          int r, rlen, ktype;
         u_int magic, i1, i2, i3, i4;          u_int magic, i1, i2, i3, i4;
         size_t slen;          size_t slen;
         u_long e;          u_long e;
   #ifdef WITH_DSA
         BIGNUM *dsa_p = NULL, *dsa_q = NULL, *dsa_g = NULL;          BIGNUM *dsa_p = NULL, *dsa_q = NULL, *dsa_g = NULL;
         BIGNUM *dsa_pub_key = NULL, *dsa_priv_key = NULL;          BIGNUM *dsa_pub_key = NULL, *dsa_priv_key = NULL;
   #endif
         BIGNUM *rsa_n = NULL, *rsa_e = NULL, *rsa_d = NULL;          BIGNUM *rsa_n = NULL, *rsa_e = NULL, *rsa_d = NULL;
         BIGNUM *rsa_p = NULL, *rsa_q = NULL, *rsa_iqmp = NULL;          BIGNUM *rsa_p = NULL, *rsa_q = NULL, *rsa_iqmp = NULL;
   
Line 493 
Line 498 
         }          }
         free(cipher);          free(cipher);
   
         if (strstr(type, "dsa")) {          if (strstr(type, "rsa")) {
                 ktype = KEY_DSA;  
         } else if (strstr(type, "rsa")) {  
                 ktype = KEY_RSA;                  ktype = KEY_RSA;
   #ifdef WITH_DSA
           } else if (strstr(type, "dsa")) {
                   ktype = KEY_DSA;
   #endif
         } else {          } else {
                 free(type);                  free(type);
                 return NULL;                  return NULL;
Line 506 
Line 513 
         free(type);          free(type);
   
         switch (key->type) {          switch (key->type) {
   #ifdef WITH_DSA
         case KEY_DSA:          case KEY_DSA:
                 if ((dsa_p = BN_new()) == NULL ||                  if ((dsa_p = BN_new()) == NULL ||
                     (dsa_q = BN_new()) == NULL ||                      (dsa_q = BN_new()) == NULL ||
Line 525 
Line 533 
                         fatal_f("DSA_set0_key failed");                          fatal_f("DSA_set0_key failed");
                 dsa_pub_key = dsa_priv_key = NULL; /* transferred */                  dsa_pub_key = dsa_priv_key = NULL; /* transferred */
                 break;                  break;
   #endif
         case KEY_RSA:          case KEY_RSA:
                 if ((r = sshbuf_get_u8(b, &e1)) != 0 ||                  if ((r = sshbuf_get_u8(b, &e1)) != 0 ||
                     (e1 < 30 && (r = sshbuf_get_u8(b, &e2)) != 0) ||                      (e1 < 30 && (r = sshbuf_get_u8(b, &e2)) != 0) ||
Line 567 
Line 576 
                 if ((r = ssh_rsa_complete_crt_parameters(key, rsa_iqmp)) != 0)                  if ((r = ssh_rsa_complete_crt_parameters(key, rsa_iqmp)) != 0)
                         fatal_fr(r, "generate RSA parameters");                          fatal_fr(r, "generate RSA parameters");
                 BN_clear_free(rsa_iqmp);                  BN_clear_free(rsa_iqmp);
                   alg = "rsa-sha2-256";
                 break;                  break;
         }          }
         rlen = sshbuf_len(b);          rlen = sshbuf_len(b);
Line 575 
Line 585 
   
         /* try the key */          /* try the key */
         if ((r = sshkey_sign(key, &sig, &slen, data, sizeof(data),          if ((r = sshkey_sign(key, &sig, &slen, data, sizeof(data),
             NULL, NULL, NULL, 0)) != 0)              alg, NULL, NULL, 0)) != 0)
                 error_fr(r, "signing with converted key failed");                  error_fr(r, "signing with converted key failed");
         else if ((r = sshkey_verify(key, sig, slen, data, sizeof(data),          else if ((r = sshkey_verify(key, sig, slen, data, sizeof(data),
             NULL, 0, NULL)) != 0)              alg, 0, NULL)) != 0)
                 error_fr(r, "verification with converted key failed");                  error_fr(r, "verification with converted key failed");
         if (r != 0) {          if (r != 0) {
                 sshkey_free(key);                  sshkey_free(key);
Line 687 
Line 697 
                 (*k)->type = KEY_RSA;                  (*k)->type = KEY_RSA;
                 (*k)->rsa = EVP_PKEY_get1_RSA(pubkey);                  (*k)->rsa = EVP_PKEY_get1_RSA(pubkey);
                 break;                  break;
   #ifdef WITH_DSA
         case EVP_PKEY_DSA:          case EVP_PKEY_DSA:
                 if ((*k = sshkey_new(KEY_UNSPEC)) == NULL)                  if ((*k = sshkey_new(KEY_UNSPEC)) == NULL)
                         fatal("sshkey_new failed");                          fatal("sshkey_new failed");
                 (*k)->type = KEY_DSA;                  (*k)->type = KEY_DSA;
                 (*k)->dsa = EVP_PKEY_get1_DSA(pubkey);                  (*k)->dsa = EVP_PKEY_get1_DSA(pubkey);
                 break;                  break;
   #endif
         case EVP_PKEY_EC:          case EVP_PKEY_EC:
                 if ((*k = sshkey_new(KEY_UNSPEC)) == NULL)                  if ((*k = sshkey_new(KEY_UNSPEC)) == NULL)
                         fatal("sshkey_new failed");                          fatal("sshkey_new failed");
Line 760 
Line 772 
                         fprintf(stdout, "\n");                          fprintf(stdout, "\n");
         } else {          } else {
                 switch (k->type) {                  switch (k->type) {
   #ifdef WITH_DSA
                 case KEY_DSA:                  case KEY_DSA:
                         ok = PEM_write_DSAPrivateKey(stdout, k->dsa, NULL,                          ok = PEM_write_DSAPrivateKey(stdout, k->dsa, NULL,
                             NULL, 0, NULL, NULL);                              NULL, 0, NULL, NULL);
                         break;                          break;
   #endif
                 case KEY_ECDSA:                  case KEY_ECDSA:
                         ok = PEM_write_ECPrivateKey(stdout, k->ecdsa, NULL,                          ok = PEM_write_ECPrivateKey(stdout, k->ecdsa, NULL,
                             NULL, 0, NULL, NULL);                              NULL, 0, NULL, NULL);
Line 974 
Line 988 
                  * accept a public key prefixed with a hostname or options.                   * accept a public key prefixed with a hostname or options.
                  * Try a bare key first, otherwise skip the leading stuff.                   * Try a bare key first, otherwise skip the leading stuff.
                  */                   */
                   comment = NULL;
                 if ((public = try_read_key(&cp)) == NULL) {                  if ((public = try_read_key(&cp)) == NULL) {
                         i = strtol(cp, &ep, 10);                          i = strtol(cp, &ep, 10);
                         if (i == 0 || ep == NULL ||                          if (i == 0 || ep == NULL ||
Line 1161 
Line 1176 
         case HKF_STATUS_OK:          case HKF_STATUS_OK:
         case HKF_STATUS_MATCHED:          case HKF_STATUS_MATCHED:
                 /*                  /*
                  * Don't hash hosts already already hashed, with wildcard                   * Don't hash hosts already hashed, with wildcard
                  * characters or a CA/revocation marker.                   * characters or a CA/revocation marker.
                  */                   */
                 if (was_hashed || has_wild || l->marker != MRK_NONE) {                  if (was_hashed || has_wild || l->marker != MRK_NONE) {
Line 2197 
Line 2212 
         if ((r = sshbuf_load_file(path, &krlbuf)) != 0)          if ((r = sshbuf_load_file(path, &krlbuf)) != 0)
                 fatal_r(r, "Unable to load KRL %s", path);                  fatal_r(r, "Unable to load KRL %s", path);
         /* XXX check sigs */          /* XXX check sigs */
         if ((r = ssh_krl_from_blob(krlbuf, krlp, NULL, 0)) != 0 ||          if ((r = ssh_krl_from_blob(krlbuf, krlp)) != 0 ||
             *krlp == NULL)              *krlp == NULL)
                 fatal_r(r, "Invalid KRL file %s", path);                  fatal_r(r, "Invalid KRL file %s", path);
         sshbuf_free(krlbuf);          sshbuf_free(krlbuf);
Line 2220 
Line 2235 
          * OpenSSH base64 hashes omit trailing '='           * OpenSSH base64 hashes omit trailing '='
          * characters; put them back for decode.           * characters; put them back for decode.
          */           */
         tlen = strlen(cp);          if ((tlen = strlen(cp)) >= SIZE_MAX - 5)
                   fatal_f("hash too long: %zu bytes", tlen);
         tmp = xmalloc(tlen + 4 + 1);          tmp = xmalloc(tlen + 4 + 1);
         strlcpy(tmp, cp, tlen + 1);          strlcpy(tmp, cp, tlen + 1);
         while ((tlen % 4) != 0) {          while ((tlen % 4) != 0) {
Line 2262 
Line 2278 
         if (!quiet)          if (!quiet)
                 printf("Revoking from %s\n", path);                  printf("Revoking from %s\n", path);
         while (getline(&line, &linesize, krl_spec) != -1) {          while (getline(&line, &linesize, krl_spec) != -1) {
                   if (linesize >= INT_MAX) {
                           fatal_f("%s contains unparsable line, len=%zu",
                               path, linesize);
                   }
                 lnum++;                  lnum++;
                 was_explicit_key = was_sha1 = was_sha256 = was_hash = 0;                  was_explicit_key = was_sha1 = was_sha256 = was_hash = 0;
                 cp = line + strspn(line, " \t");                  cp = line + strspn(line, " \t");
Line 2435 
Line 2455 
   
         if ((kbuf = sshbuf_new()) == NULL)          if ((kbuf = sshbuf_new()) == NULL)
                 fatal("sshbuf_new failed");                  fatal("sshbuf_new failed");
         if (ssh_krl_to_blob(krl, kbuf, NULL, 0) != 0)          if (ssh_krl_to_blob(krl, kbuf) != 0)
                 fatal("Couldn't generate KRL");                  fatal("Couldn't generate KRL");
         if ((r = sshbuf_write_file(identity_file, kbuf)) != 0)          if ((r = sshbuf_write_file(identity_file, kbuf)) != 0)
                 fatal("write %s: %s", identity_file, strerror(errno));                  fatal("write %s: %s", identity_file, strerror(errno));
Line 2992 
Line 3012 
                 } else if (strncmp(opts[i], "start-line=", 11) == 0) {                  } else if (strncmp(opts[i], "start-line=", 11) == 0) {
                         start_lineno = strtoul(opts[i]+11, NULL, 10);                          start_lineno = strtoul(opts[i]+11, NULL, 10);
                 } else if (strncmp(opts[i], "checkpoint=", 11) == 0) {                  } else if (strncmp(opts[i], "checkpoint=", 11) == 0) {
                           free(checkpoint);
                         checkpoint = xstrdup(opts[i]+11);                          checkpoint = xstrdup(opts[i]+11);
                 } else if (strncmp(opts[i], "generator=", 10) == 0) {                  } else if (strncmp(opts[i], "generator=", 10) == 0) {
                         generator_wanted = (u_int32_t)strtonum(                          generator_wanted = (u_int32_t)strtonum(
Line 3030 
Line 3051 
             generator_wanted, checkpoint,              generator_wanted, checkpoint,
             start_lineno, lines_to_process) != 0)              start_lineno, lines_to_process) != 0)
                 fatal("modulus screening failed");                  fatal("modulus screening failed");
           if (in != stdin)
                   (void)fclose(in);
           free(checkpoint);
 #else /* WITH_OPENSSL */  #else /* WITH_OPENSSL */
         fatal("Moduli screening is not supported");          fatal("Moduli screening is not supported");
 #endif /* WITH_OPENSSL */  #endif /* WITH_OPENSSL */
Line 3718 
Line 3742 
                         n += do_print_resource_record(pw,                          n += do_print_resource_record(pw,
                             _PATH_HOST_RSA_KEY_FILE, rr_hostname,                              _PATH_HOST_RSA_KEY_FILE, rr_hostname,
                             print_generic, opts, nopts);                              print_generic, opts, nopts);
   #ifdef WITH_DSA
                         n += do_print_resource_record(pw,                          n += do_print_resource_record(pw,
                             _PATH_HOST_DSA_KEY_FILE, rr_hostname,                              _PATH_HOST_DSA_KEY_FILE, rr_hostname,
                             print_generic, opts, nopts);                              print_generic, opts, nopts);
   #endif
                         n += do_print_resource_record(pw,                          n += do_print_resource_record(pw,
                             _PATH_HOST_ECDSA_KEY_FILE, rr_hostname,                              _PATH_HOST_ECDSA_KEY_FILE, rr_hostname,
                             print_generic, opts, nopts);                              print_generic, opts, nopts);
Legend:
Removed from v.1.463  
changed lines
  Added in v.1.472