* protect-tool.c (export_p12_file): New.
[gnupg.git] / agent / protect-tool.c
1 /* protect-tool.c - A tool to test the secret key protection
2  *      Copyright (C) 2002 Free Software Foundation, Inc.
3  *
4  * This file is part of GnuPG.
5  *
6  * GnuPG is free software; you can redistribute it and/or modify
7  * it under the terms of the GNU General Public License as published by
8  * the Free Software Foundation; either version 2 of the License, or
9  * (at your option) any later version.
10  *
11  * GnuPG is distributed in the hope that it will be useful,
12  * but WITHOUT ANY WARRANTY; without even the implied warranty of
13  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
14  * GNU General Public License for more details.
15  *
16  * You should have received a copy of the GNU General Public License
17  * along with this program; if not, write to the Free Software
18  * Foundation, Inc., 59 Temple Place - Suite 330, Boston, MA 02111-1307, USA
19  */
20
21 #include <config.h>
22
23 #include <stdio.h>
24 #include <stdlib.h>
25 #include <stddef.h>
26 #include <stdarg.h>
27 #include <string.h>
28 #include <errno.h>
29 #include <assert.h>
30 #include <sys/stat.h>
31 #include <unistd.h>
32
33 #include <gcrypt.h>
34
35 #define JNLIB_NEED_LOG_LOGV
36 #include "agent.h"
37 #include "minip12.h"
38 #include "simple-pwquery.h"
39
40 #define N_(a) a
41 #define _(a) a
42
43
44 enum cmd_and_opt_values 
45 { aNull = 0,
46   oVerbose        = 'v',
47   oArmor          = 'a',
48   oPassphrase     = 'P',
49
50   oProtect        = 'p',
51   oUnprotect      = 'u',
52   
53   oNoVerbose = 500,
54   oShadow,
55   oShowShadowInfo,
56   oShowKeygrip,
57
58   oP12Import,
59   oP12Export,
60   oStore,
61   oForce,
62
63 aTest };
64
65 struct rsa_secret_key_s 
66   {
67     MPI n;          /* public modulus */
68     MPI e;          /* public exponent */
69     MPI d;          /* exponent */
70     MPI p;          /* prime  p. */
71     MPI q;          /* prime  q. */
72     MPI u;          /* inverse of p mod q. */
73   };
74
75
76 static int opt_armor;
77 static int opt_store;
78 static int opt_force;
79 static const char *passphrase;
80
81 static const char *get_passphrase (void);
82 static int store_private_key (const unsigned char *grip,
83                               const void *buffer, size_t length, int force);
84
85
86 static ARGPARSE_OPTS opts[] = {
87   
88   { 301, NULL, 0, N_("@Options:\n ") },
89
90   { oVerbose, "verbose",   0, "verbose" },
91   { oArmor,   "armor",     0, "write output in advanced format" },
92   { oPassphrase, "passphrase", 2, "|STRING|use passphrase STRING" },
93   { oProtect, "protect",     256, "protect a private key"},
94   { oUnprotect, "unprotect", 256, "unprotect a private key"},
95   { oShadow,  "shadow", 256, "create a shadow entry for a priblic key"},
96   { oShowShadowInfo,  "show-shadow-info", 256, "return the shadow info"},
97   { oShowKeygrip, "show-keygrip", 256, "show the \"keygrip\""},
98
99   { oP12Import, "p12-import", 256, "import a PKCS-12 encoded private key"},
100   { oP12Export, "p12-export", 256, "export a private key PKCS-12 encoded"},
101   { oStore,     "store", 0, "store the created key in the appropriate place"},
102   { oForce,     "force", 0, "force overwriting"},
103   {0}
104 };
105
106 static const char *
107 my_strusage (int level)
108 {
109   const char *p;
110   switch (level)
111     {
112     case 11: p = "protect-tool (GnuPG)";
113       break;
114     case 13: p = VERSION; break;
115     case 17: p = PRINTABLE_OS_NAME; break;
116     case 19: p = _("Please report bugs to <" PACKAGE_BUGREPORT ">.\n");
117       break;
118     case 1:
119     case 40: p =  _("Usage: protect-tool [options] (-h for help)\n");
120       break;
121     case 41: p =  _("Syntax: protect-tool [options] [args]]\n"
122                     "INTERNAL USE ONLY!\n");
123     break;
124     
125     default: p = NULL;
126     }
127   return p;
128 }
129
130
131
132 static void
133 i18n_init (void)
134 {
135 #ifdef USE_SIMPLE_GETTEXT
136     set_gettext_file( PACKAGE );
137 #else
138 #ifdef ENABLE_NLS
139     /* gtk_set_locale (); HMMM: We have not yet called gtk_init */
140     bindtextdomain( PACKAGE, GNUPG_LOCALEDIR );
141     textdomain( PACKAGE );
142 #endif
143 #endif
144 }
145
146
147
148 /* Used by gcry for logging */
149 static void
150 my_gcry_logger (void *dummy, int level, const char *fmt, va_list arg_ptr)
151 {
152   /* translate the log levels */
153   switch (level)
154     {
155     case GCRY_LOG_CONT: level = JNLIB_LOG_CONT; break;
156     case GCRY_LOG_INFO: level = JNLIB_LOG_INFO; break;
157     case GCRY_LOG_WARN: level = JNLIB_LOG_WARN; break;
158     case GCRY_LOG_ERROR:level = JNLIB_LOG_ERROR; break;
159     case GCRY_LOG_FATAL:level = JNLIB_LOG_FATAL; break;
160     case GCRY_LOG_BUG:  level = JNLIB_LOG_BUG; break;
161     case GCRY_LOG_DEBUG:level = JNLIB_LOG_DEBUG; break;
162     default:            level = JNLIB_LOG_ERROR; break;      }
163   log_logv (level, fmt, arg_ptr);
164 }
165
166
167 /*  static void */
168 /*  print_mpi (const char *text, GcryMPI a) */
169 /*  { */
170 /*    char *buf; */
171 /*    void *bufaddr = &buf; */
172 /*    int rc; */
173
174 /*    rc = gcry_mpi_aprint (GCRYMPI_FMT_HEX, bufaddr, NULL, a); */
175 /*    if (rc) */
176 /*      log_info ("%s: [error printing number: %s]\n", text, gcry_strerror (rc)); */
177 /*    else */
178 /*      { */
179 /*        log_info ("%s: %s\n", text, buf); */
180 /*        gcry_free (buf); */
181 /*      } */
182 /*  } */
183
184
185 \f
186 static unsigned char *
187 make_canonical (const char *fname, const char *buf, size_t buflen)
188 {
189   int rc;
190   size_t erroff, len;
191   GCRY_SEXP sexp;
192   unsigned char *result;
193
194   rc = gcry_sexp_sscan (&sexp, &erroff, buf, buflen);
195   if (rc)
196     {
197       log_error ("invalid S-Expression in `%s' (off=%u): %s\n",
198                  fname, (unsigned int)erroff, gcry_strerror (rc));
199       return NULL;
200     }
201   len = gcry_sexp_sprint (sexp, GCRYSEXP_FMT_CANON, NULL, 0);
202   assert (len);
203   result = xmalloc (len);
204   len = gcry_sexp_sprint (sexp, GCRYSEXP_FMT_CANON, result, len);
205   assert (len);
206   gcry_sexp_release (sexp);
207   return result;
208 }
209
210 static char *
211 make_advanced (const unsigned char *buf, size_t buflen)
212 {
213   int rc;
214   size_t erroff, len;
215   GCRY_SEXP sexp;
216   unsigned char *result;
217
218   rc = gcry_sexp_sscan (&sexp, &erroff, buf, buflen);
219   if (rc)
220     {
221       log_error ("invalid canonical S-Expression (off=%u): %s\n",
222                  (unsigned int)erroff, gcry_strerror (rc));
223       return NULL;
224     }
225   len = gcry_sexp_sprint (sexp, GCRYSEXP_FMT_ADVANCED, NULL, 0);
226   assert (len);
227   result = xmalloc (len);
228   len = gcry_sexp_sprint (sexp, GCRYSEXP_FMT_ADVANCED, result, len);
229   assert (len);
230   gcry_sexp_release (sexp);
231   return result;
232 }
233
234
235 static char *
236 read_file (const char *fname, size_t *r_length)
237 {
238   FILE *fp;
239   struct stat st;
240   char *buf;
241   size_t buflen;
242   
243   fp = fopen (fname, "rb");
244   if (!fp)
245     {
246       log_error ("can't open `%s': %s\n", fname, strerror (errno));
247       return NULL;
248     }
249   
250   if (fstat (fileno(fp), &st))
251     {
252       log_error ("can't stat `%s': %s\n", fname, strerror (errno));
253       fclose (fp);
254       return NULL;
255     }
256
257   buflen = st.st_size;
258   buf = xmalloc (buflen+1);
259   if (fread (buf, buflen, 1, fp) != 1)
260     {
261       log_error ("error reading `%s': %s\n", fname, strerror (errno));
262       fclose (fp);
263       xfree (buf);
264       return NULL;
265     }
266   fclose (fp);
267
268   *r_length = buflen;
269   return buf;
270 }
271
272
273 static unsigned char *
274 read_key (const char *fname)
275 {
276   char *buf;
277   size_t buflen;
278   unsigned char *key;
279   
280   buf = read_file (fname, &buflen);
281   key = make_canonical (fname, buf, buflen);
282   xfree (buf);
283   return key;
284 }
285
286
287 \f
288 static void
289 read_and_protect (const char *fname)
290 {
291   int  rc;
292   unsigned char *key;
293   unsigned char *result;
294   size_t resultlen;
295   
296   key = read_key (fname);
297   if (!key)
298     return;
299
300   rc = agent_protect (key, get_passphrase (), &result, &resultlen);
301   xfree (key);
302   if (rc)
303     {
304       log_error ("protecting the key failed: %s\n", gnupg_strerror (rc));
305       return;
306     }
307   
308   if (opt_armor)
309     {
310       char *p = make_advanced (result, resultlen);
311       xfree (result);
312       if (!p)
313         return;
314       result = p;
315       resultlen = strlen (p);
316     }
317
318   fwrite (result, resultlen, 1, stdout);
319   xfree (result);
320 }
321
322
323 static void
324 read_and_unprotect (const char *fname)
325 {
326   int  rc;
327   unsigned char *key;
328   unsigned char *result;
329   size_t resultlen;
330   
331   key = read_key (fname);
332   if (!key)
333     return;
334
335   rc = agent_unprotect (key, get_passphrase (), &result, &resultlen);
336   xfree (key);
337   if (rc)
338     {
339       log_error ("unprotecting the key failed: %s\n", gnupg_strerror (rc));
340       return;
341     }
342   
343   if (opt_armor)
344     {
345       char *p = make_advanced (result, resultlen);
346       xfree (result);
347       if (!p)
348         return;
349       result = p;
350       resultlen = strlen (p);
351     }
352
353   fwrite (result, resultlen, 1, stdout);
354   xfree (result);
355 }
356
357
358 \f
359 static void
360 read_and_shadow (const char *fname)
361 {
362   int  rc;
363   unsigned char *key;
364   unsigned char *result;
365   size_t resultlen;
366   
367   key = read_key (fname);
368   if (!key)
369     return;
370
371   rc = agent_shadow_key (key, "(8:313233342:43)", &result);
372   xfree (key);
373   if (rc)
374     {
375       log_error ("shadowing the key failed: %s\n", gnupg_strerror (rc));
376       return;
377     }
378   resultlen = gcry_sexp_canon_len (result, 0, NULL,NULL);
379   assert (resultlen);
380   
381   if (opt_armor)
382     {
383       char *p = make_advanced (result, resultlen);
384       xfree (result);
385       if (!p)
386         return;
387       result = p;
388       resultlen = strlen (p);
389     }
390
391   fwrite (result, resultlen, 1, stdout);
392   xfree (result);
393 }
394
395 static void
396 show_shadow_info (const char *fname)
397 {
398   int  rc;
399   unsigned char *key;
400   const unsigned char *info;
401   size_t infolen;
402   
403   key = read_key (fname);
404   if (!key)
405     return;
406
407   rc = agent_get_shadow_info (key, &info);
408   xfree (key);
409   if (rc)
410     {
411       log_error ("get_shadow_info failed: %s\n", gnupg_strerror (rc));
412       return;
413     }
414   infolen = gcry_sexp_canon_len (info, 0, NULL,NULL);
415   assert (infolen);
416   
417   if (opt_armor)
418     {
419       char *p = make_advanced (info, infolen);
420       if (!p)
421         return;
422       fwrite (p, strlen (p), 1, stdout);
423       xfree (p);
424     }
425   else
426     fwrite (info, infolen, 1, stdout);
427 }
428
429
430 static void
431 show_file (const char *fname)
432 {
433   unsigned char *key;
434   size_t keylen;
435   char *p;
436   
437   key = read_key (fname);
438   if (!key)
439     return;
440
441   keylen = gcry_sexp_canon_len (key, 0, NULL,NULL);
442   assert (keylen);
443
444   p = make_advanced (key, keylen);
445   xfree (key);
446   if (p)
447     {
448       fwrite (p, strlen (p), 1, stdout);
449       xfree (p);
450     }
451 }
452
453 static void
454 show_keygrip (const char *fname)
455 {
456   unsigned char *key;
457   GcrySexp private;
458   unsigned char grip[20];
459   int i;
460   
461   key = read_key (fname);
462   if (!key)
463     return;
464
465   if (gcry_sexp_new (&private, key, 0, 0))
466     {
467       log_error ("gcry_sexp_new failed\n");
468       return;
469     } 
470   xfree (key);
471
472   if (!gcry_pk_get_keygrip (private, grip))
473     {
474       log_error ("can't calculate keygrip\n");
475       return;
476     }
477   gcry_sexp_release (private);
478
479   for (i=0; i < 20; i++)
480     printf ("%02X", grip[i]);
481   putchar ('\n');
482 }
483
484 \f
485 static int
486 rsa_key_check (struct rsa_secret_key_s *skey)
487 {
488   int err = 0;
489   MPI t = gcry_mpi_snew (0);
490   MPI t1 = gcry_mpi_snew (0);
491   MPI t2 = gcry_mpi_snew (0);
492   MPI phi = gcry_mpi_snew (0);
493
494   /* check that n == p * q */
495   gcry_mpi_mul (t, skey->p, skey->q);
496   if (gcry_mpi_cmp( t, skey->n) )
497     {
498       log_error ("RSA oops: n != p * q\n");
499       err++;
500     }
501
502   /* check that p is less than q */
503   if (gcry_mpi_cmp (skey->p, skey->q) > 0)
504     {
505       GcryMPI tmp;
506
507       log_info ("swapping secret primes\n");
508       tmp = gcry_mpi_copy (skey->p);
509       gcry_mpi_set (skey->p, skey->q);
510       gcry_mpi_set (skey->q, tmp);
511       gcry_mpi_release (tmp);
512       /* and must recompute u of course */
513       gcry_mpi_invm (skey->u, skey->p, skey->q);
514     }
515
516   /* check that e divides neither p-1 nor q-1 */
517   gcry_mpi_sub_ui (t, skey->p, 1 );
518   gcry_mpi_div (NULL, t, t, skey->e, 0);
519   if (!gcry_mpi_cmp_ui( t, 0) )
520     {
521       log_error ("RSA oops: e divides p-1\n");
522       err++;
523     }
524   gcry_mpi_sub_ui (t, skey->q, 1);
525   gcry_mpi_div (NULL, t, t, skey->e, 0);
526   if (!gcry_mpi_cmp_ui( t, 0))
527     {
528       log_info ( "RSA oops: e divides q-1\n" );
529       err++;
530     }
531
532   /* check that d is correct. */
533   gcry_mpi_sub_ui (t1, skey->p, 1);
534   gcry_mpi_sub_ui (t2, skey->q, 1);
535   gcry_mpi_mul (phi, t1, t2);
536   gcry_mpi_invm (t, skey->e, phi);
537   if (gcry_mpi_cmp (t, skey->d))
538     { /* no: try universal exponent. */
539       gcry_mpi_gcd (t, t1, t2);
540       gcry_mpi_div (t, NULL, phi, t, 0);
541       gcry_mpi_invm (t, skey->e, t);
542       if (gcry_mpi_cmp (t, skey->d))
543         {
544           log_error ("RSA oops: bad secret exponent\n");
545           err++;
546         }
547     }
548
549   /* check for correctness of u */
550   gcry_mpi_invm (t, skey->p, skey->q);
551   if (gcry_mpi_cmp (t, skey->u))
552     {
553       log_info ( "RSA oops: bad u parameter\n");
554       err++;
555     }
556
557   if (err)
558     log_info ("RSA secret key check failed\n");
559
560   gcry_mpi_release (t);
561   gcry_mpi_release (t1);
562   gcry_mpi_release (t2);
563   gcry_mpi_release (phi);
564
565   return err? -1:0;
566 }
567
568
569 static void
570 import_p12_file (const char *fname)
571 {
572   char *buf;
573   unsigned char *result;
574   size_t buflen, resultlen;
575   int i;
576   int rc;
577   GcryMPI *kparms;
578   struct rsa_secret_key_s sk;
579   GcrySexp s_key;
580   unsigned char *key;
581   unsigned char grip[20];
582
583   /* fixme: we should release some stuff on error */
584   
585   buf = read_file (fname, &buflen);
586   if (!buf)
587     return;
588
589   kparms = p12_parse (buf, buflen, get_passphrase ());
590   xfree (buf);
591   if (!kparms)
592     {
593       log_error ("error parsing or decrypting the PKCS-1 file\n");
594       return;
595     }
596   for (i=0; kparms[i]; i++)
597     ;
598   if (i != 8)
599     {
600       log_error ("invalid structure of private key\n");
601       return;
602     }
603
604
605 /*    print_mpi ("   n", kparms[0]); */
606 /*    print_mpi ("   e", kparms[1]); */
607 /*    print_mpi ("   d", kparms[2]); */
608 /*    print_mpi ("   p", kparms[3]); */
609 /*    print_mpi ("   q", kparms[4]); */
610 /*    print_mpi ("dmp1", kparms[5]); */
611 /*    print_mpi ("dmq1", kparms[6]); */
612 /*    print_mpi ("   u", kparms[7]); */
613
614   sk.n = kparms[0];
615   sk.e = kparms[1];
616   sk.d = kparms[2];
617   sk.q = kparms[3];
618   sk.p = kparms[4];
619   sk.u = kparms[7];
620   if (rsa_key_check (&sk))
621     return;
622 /*    print_mpi ("   n", sk.n); */
623 /*    print_mpi ("   e", sk.e); */
624 /*    print_mpi ("   d", sk.d); */
625 /*    print_mpi ("   p", sk.p); */
626 /*    print_mpi ("   q", sk.q); */
627 /*    print_mpi ("   u", sk.u); */
628
629   /* Create an S-expresion from the parameters. */
630   rc = gcry_sexp_build (&s_key, NULL,
631                         "(private-key(rsa(n%m)(e%m)(d%m)(p%m)(q%m)(u%m)))",
632                         sk.n, sk.e, sk.d, sk.p, sk.q, sk.u, NULL);
633   for (i=0; i < 8; i++)
634     gcry_mpi_release (kparms[i]);
635   gcry_free (kparms);
636   if (rc)
637     {
638       log_error ("failed to created S-expression from key: %s\n",
639                  gcry_strerror (rc));
640       return;
641     }
642
643   /* Compute the keygrip. */
644   if (!gcry_pk_get_keygrip (s_key, grip))
645     {
646       log_error ("can't calculate keygrip\n");
647       return;
648     }
649   log_info ("keygrip: ");
650   for (i=0; i < 20; i++)
651     log_printf ("%02X", grip[i]);
652   log_printf ("\n");
653
654   /* convert to canonical encoding */
655   buflen = gcry_sexp_sprint (s_key, GCRYSEXP_FMT_CANON, NULL, 0);
656   assert (buflen);
657   key = gcry_xmalloc_secure (buflen);
658   buflen = gcry_sexp_sprint (s_key, GCRYSEXP_FMT_CANON, key, buflen);
659   assert (buflen);
660   gcry_sexp_release (s_key);
661
662
663   rc = agent_protect (key, get_passphrase (), &result, &resultlen);
664   xfree (key);
665   if (rc)
666     {
667       log_error ("protecting the key failed: %s\n", gnupg_strerror (rc));
668       return;
669     }
670   
671   if (opt_armor)
672     {
673       char *p = make_advanced (result, resultlen);
674       xfree (result);
675       if (!p)
676         return;
677       result = p;
678       resultlen = strlen (p);
679     }
680
681   if (opt_store)
682     store_private_key (grip, result, resultlen, opt_force);
683   else
684     fwrite (result, resultlen, 1, stdout);
685
686   xfree (result);
687 }
688
689 \f
690
691 static GcryMPI *
692 sexp_to_kparms (GCRY_SEXP sexp)
693 {
694   GcrySexp list, l2;
695   const char *name;
696   const char *s;
697   size_t n;
698   int i, idx;
699   const char *elems;
700   GcryMPI *array;
701
702   list = gcry_sexp_find_token (sexp, "private-key", 0 );
703   if(!list)
704     return NULL; 
705   l2 = gcry_sexp_cadr (list);
706   gcry_sexp_release (list);
707   list = l2;
708   name = gcry_sexp_nth_data (list, 0, &n);
709   if(!name || n != 3 || memcmp (name, "rsa", 3))
710     {
711       gcry_sexp_release (list);
712       return NULL;
713     }
714
715   /* Paramter names used with RSA. */
716   elems = "nedpqu";
717   array = xcalloc (strlen(elems) + 1, sizeof *array);
718   for (idx=0, s=elems; *s; s++, idx++ ) 
719     {
720       l2 = gcry_sexp_find_token (list, s, 1);
721       if (!l2)
722         {
723           for (i=0; i<idx; i++)
724             gcry_mpi_release (array[i]);
725           xfree (array);
726           gcry_sexp_release (list);
727           return NULL; /* required parameter not found */
728         }
729       array[idx] = gcry_sexp_nth_mpi (l2, 1, GCRYMPI_FMT_USG);
730       gcry_sexp_release (l2);
731       if (!array[idx])
732         {
733           for (i=0; i<idx; i++)
734             gcry_mpi_release (array[i]);
735           xfree (array);
736           gcry_sexp_release (list);
737           return NULL; /* required parameter is invalid */
738         }
739     }
740   
741   gcry_sexp_release (list);
742   return array;
743 }
744
745
746
747
748 static void
749 export_p12_file (const char *fname)
750 {
751   GcryMPI kparms[9], *kp;
752   unsigned char *key;
753   size_t keylen;
754   GcrySexp private;
755   struct rsa_secret_key_s sk;
756   int i;
757   
758   key = read_key (fname);
759   if (!key)
760     return;
761
762   if (gcry_sexp_new (&private, key, 0, 0))
763     {
764       log_error ("gcry_sexp_new failed\n");
765       return;
766     } 
767   xfree (key);
768
769   kp = sexp_to_kparms (private);
770   gcry_sexp_release (private);
771   if (!kp)
772     {
773       log_error ("error converting key parameters\n");
774       return;
775     } 
776   sk.n = kp[0];
777   sk.e = kp[1];
778   sk.d = kp[2];
779   sk.p = kp[3];
780   sk.q = kp[4];
781   sk.u = kp[5];
782   xfree (kp);
783
784  
785   kparms[0] = sk.n;
786   kparms[1] = sk.e;
787   kparms[2] = sk.d;
788   kparms[3] = sk.q;
789   kparms[4] = sk.p;
790   kparms[5] = gcry_mpi_snew (0);  /* compute d mod (p-1) */
791   gcry_mpi_sub_ui (kparms[5], kparms[3], 1);
792   gcry_mpi_mod (kparms[5], sk.d, kparms[5]);   
793   kparms[6] = gcry_mpi_snew (0);  /* compute d mod (q-1) */
794   gcry_mpi_sub_ui (kparms[6], kparms[4], 1);
795   gcry_mpi_mod (kparms[6], sk.d, kparms[6]);   
796   kparms[7] = sk.u;
797   kparms[8] = NULL;
798
799   key = p12_build (kparms, get_passphrase (), &keylen);
800   for (i=0; i < 8; i++)
801     gcry_mpi_release (kparms[i]);
802   if (!key)
803     return;
804   
805   fwrite (key, keylen, 1, stdout);
806   xfree (key);
807 }
808
809 \f
810 int
811 main (int argc, char **argv )
812 {
813   ARGPARSE_ARGS pargs;
814   int cmd = 0;
815
816   set_strusage (my_strusage);
817   gcry_control (GCRYCTL_SUSPEND_SECMEM_WARN);
818   log_set_prefix ("protect-tool", 1); 
819   i18n_init ();
820
821   if (!gcry_check_version ( "1.1.5" ) )
822     {
823       log_fatal( _("libgcrypt is too old (need %s, have %s)\n"),
824                  "1.1.5", gcry_check_version (NULL) );
825     }
826
827   gcry_set_log_handler (my_gcry_logger, NULL);
828   
829   gcry_control (GCRYCTL_INIT_SECMEM, 16384, 0);
830
831   pargs.argc = &argc;
832   pargs.argv = &argv;
833   pargs.flags=  1;  /* do not remove the args */
834   while (arg_parse (&pargs, opts) )
835     {
836       switch (pargs.r_opt)
837         {
838         case oVerbose: opt.verbose++; break;
839         case oArmor:   opt_armor=1; break;
840
841         case oProtect: cmd = oProtect; break;
842         case oUnprotect: cmd = oUnprotect; break;
843         case oShadow: cmd = oShadow; break;
844         case oShowShadowInfo: cmd = oShowShadowInfo; break;
845         case oShowKeygrip: cmd = oShowKeygrip; break;
846         case oP12Import: cmd = oP12Import; break;
847         case oP12Export: cmd = oP12Export; break;
848
849         case oPassphrase: passphrase = pargs.r.ret_str; break;
850         case oStore: opt_store = 1; break;
851         case oForce: opt_force = 1; break;
852
853         default : pargs.err = 2; break;
854         }
855     }
856   if (log_get_errorcount(0))
857     exit(2);
858
859   if (argc != 1)
860     usage (1);
861
862   if (cmd == oProtect)
863     read_and_protect (*argv);
864   else if (cmd == oUnprotect)
865     read_and_unprotect (*argv);
866   else if (cmd == oShadow)
867     read_and_shadow (*argv);
868   else if (cmd == oShowShadowInfo)
869     show_shadow_info (*argv);
870   else if (cmd == oShowKeygrip)
871     show_keygrip (*argv);
872   else if (cmd == oP12Import)
873     import_p12_file (*argv);
874   else if (cmd == oP12Export)
875     export_p12_file (*argv);
876   else
877     show_file (*argv);
878
879   agent_exit (0);
880   return 8; /*NOTREACHED*/
881 }
882
883 void
884 agent_exit (int rc)
885 {
886   rc = rc? rc : log_get_errorcount(0)? 2 : 0;
887   exit (rc);
888 }
889
890
891 /* Return the passphrase string and ask the agent if it has not been
892    set from the command line. */
893 static const char *
894 get_passphrase (void)
895 {
896   char *pw;
897   int err;
898
899   if (passphrase)
900     return passphrase;
901
902   pw = simple_pwquery (NULL,NULL, 
903                        _("Enter passphrase:"),
904                        _("Please enter the passphrase or the PIN\n"
905                          "needed to complete this operation."),
906                        &err);
907   if (!pw)
908     {
909       if (err)
910         log_error ("error while asking for the passphrase\n");
911       else
912         log_info ("cancelled\n");
913       agent_exit (0);
914     }
915   passphrase = pw;
916   return passphrase;
917 }
918
919
920 static int
921 store_private_key (const unsigned char *grip,
922                    const void *buffer, size_t length, int force)
923 {
924   int i;
925   const char *homedir;
926   char *fname;
927   FILE *fp;
928   char hexgrip[40+4+1];
929   
930   for (i=0; i < 20; i++)
931     sprintf (hexgrip+2*i, "%02X", grip[i]);
932   strcpy (hexgrip+40, ".key");
933
934   homedir = getenv("GNUPGHOME");
935   if (!homedir || !*homedir)
936     homedir = GNUPG_DEFAULT_HOMEDIR;
937
938   fname = make_filename (homedir, GNUPG_PRIVATE_KEYS_DIR, hexgrip, NULL);
939   if (force)
940     fp = fopen (fname, "wb");
941   else
942     {
943       if (!access (fname, F_OK))
944       {
945         log_error ("secret key file `%s' already exists\n", fname);
946         xfree (fname);
947         return -1;
948       }
949       fp = fopen (fname, "wbx");  /* FIXME: the x is a GNU extension - let
950                                      configure check whether this actually
951                                      works */
952     }
953
954   if (!fp) 
955     { 
956       log_error ("can't create `%s': %s\n", fname, strerror (errno));
957       xfree (fname);
958       return -1;
959     }
960
961   if (fwrite (buffer, length, 1, fp) != 1)
962     {
963       log_error ("error writing `%s': %s\n", fname, strerror (errno));
964       fclose (fp);
965       remove (fname);
966       xfree (fname);
967       return -1;
968     }
969   if ( fclose (fp) )
970     {
971       log_error ("error closing `%s': %s\n", fname, strerror (errno));
972       remove (fname);
973       xfree (fname);
974       return -1;
975     }
976   log_info ("secret key stored as `%s'\n", fname);
977
978   xfree (fname);
979   return 0;
980 }