agent: Stop scdaemon after reload when disable_scdaemon.
[gnupg.git] / sm / gpgsm.h
1 /* gpgsm.h - Global definitions for GpgSM
2  * Copyright (C) 2001, 2003, 2004, 2007, 2009,
3  *               2010 Free Software Foundation, Inc.
4  *
5  * This file is part of GnuPG.
6  *
7  * GnuPG is free software; you can redistribute it and/or modify
8  * it under the terms of the GNU General Public License as published by
9  * the Free Software Foundation; either version 3 of the License, or
10  * (at your option) any later version.
11  *
12  * GnuPG is distributed in the hope that it will be useful,
13  * but WITHOUT ANY WARRANTY; without even the implied warranty of
14  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
15  * GNU General Public License for more details.
16  *
17  * You should have received a copy of the GNU General Public License
18  * along with this program; if not, see <https://www.gnu.org/licenses/>.
19  */
20
21 #ifndef GPGSM_H
22 #define GPGSM_H
23
24 #ifdef GPG_ERR_SOURCE_DEFAULT
25 #error GPG_ERR_SOURCE_DEFAULT already defined
26 #endif
27 #define GPG_ERR_SOURCE_DEFAULT  GPG_ERR_SOURCE_GPGSM
28 #include <gpg-error.h>
29
30
31 #include <ksba.h>
32 #include "../common/util.h"
33 #include "../common/status.h"
34 #include "../common/audit.h"
35 #include "../common/session-env.h"
36 #include "../common/ksba-io-support.h"
37 #include "../common/compliance.h"
38
39
40 #define MAX_DIGEST_LEN 64
41
42 struct keyserver_spec
43 {
44   struct keyserver_spec *next;
45
46   char *host;
47   int port;
48   char *user;
49   char *pass;
50   char *base;
51 };
52
53
54 /* A large struct named "opt" to keep global flags. */
55 struct
56 {
57   unsigned int debug; /* debug flags (DBG_foo_VALUE) */
58   int verbose;      /* verbosity level */
59   int quiet;        /* be as quiet as possible */
60   int batch;        /* run in batch mode, i.e w/o any user interaction */
61   int answer_yes;   /* assume yes on most questions */
62   int answer_no;    /* assume no on most questions */
63   int dry_run;      /* don't change any persistent data */
64   int no_homedir_creation;
65
66   const char *config_filename; /* Name of the used config file. */
67   const char *agent_program;
68
69   session_env_t session_env;
70   char *lc_ctype;
71   char *lc_messages;
72
73   int autostart;
74   const char *dirmngr_program;
75   int disable_dirmngr;        /* Do not do any dirmngr calls.  */
76   const char *protect_tool_program;
77   char *outfile;    /* name of output file */
78
79   int with_key_data;/* include raw key in the column delimited output */
80
81   int fingerprint;  /* list fingerprints in all key listings */
82
83   int with_md5_fingerprint; /* Also print an MD5 fingerprint for
84                                standard key listings. */
85
86   int with_keygrip; /* Option --with-keygrip active.  */
87
88   int with_key_screening; /* Option  --with-key-screening active.  */
89
90   int pinentry_mode;
91   int request_origin;
92
93   int armor;        /* force base64 armoring (see also ctrl.with_base64) */
94   int no_armor;     /* don't try to figure out whether data is base64 armored*/
95
96   const char *p12_charset; /* Use this charset for encoding the
97                               pkcs#12 passphrase.  */
98
99
100   const char *def_cipher_algoid;  /* cipher algorithm to use if
101                                      nothing else is specified */
102
103   int def_compress_algo;  /* Ditto for compress algorithm */
104
105   int forced_digest_algo; /* User forced hash algorithm. */
106
107   char *def_recipient;    /* userID of the default recipient */
108   int def_recipient_self; /* The default recipient is the default key */
109
110   int no_encrypt_to;      /* Ignore all as encrypt to marked recipients. */
111
112   char *local_user;       /* NULL or argument to -u */
113
114   int extra_digest_algo;  /* A digest algorithm also used for
115                              verification of signatures.  */
116
117   int always_trust;       /* Trust the given keys even if there is no
118                              valid certification chain */
119   int skip_verify;        /* do not check signatures on data */
120
121   int lock_once;          /* Keep lock once they are set */
122
123   int ignore_time_conflict; /* Ignore certain time conflicts */
124
125   int no_crl_check;         /* Don't do a CRL check */
126   int no_trusted_cert_crl_check; /* Don't run a CRL check for trusted certs. */
127   int force_crl_refresh;    /* Force refreshing the CRL. */
128   int enable_ocsp;          /* Default to use OCSP checks. */
129
130   char *policy_file;        /* full pathname of policy file */
131   int no_policy_check;      /* ignore certificate policies */
132   int no_chain_validation;  /* Bypass all cert chain validity tests */
133   int ignore_expiration;    /* Ignore the notAfter validity checks. */
134
135   int auto_issuer_key_retrieve; /* try to retrieve a missing issuer key. */
136
137   int qualsig_approval;     /* Set to true if this software has
138                                officially been approved to create an
139                                verify qualified signatures.  This is a
140                                runtime option in case we want to check
141                                the integrity of the software at
142                                runtime. */
143
144   struct keyserver_spec *keyserver;
145
146   /* A list of certificate extension OIDs which are ignored so that
147      one can claim that a critical extension has been handled.  One
148      OID per string.  */
149   strlist_t ignored_cert_extensions;
150
151   enum gnupg_compliance_mode compliance;
152
153   /* Enable creation of authenticode signatures.  */
154   int authenticode;
155
156   /* A list of extra attributes put into a signed data object.  For a
157    * signed each attribute each string has the format:
158    *   <oid>:s:<hex_or_filename>
159    * and for an unsigned attribute
160    *   <oid>:u:<hex_or_filename>
161    * The OID is in the usual dotted decimal for. The HEX_OR_FILENAME
162    * is either a list of hex digits or a filename with the DER encoded
163    * value.  A filename is detected by the presence of a slash in the
164    * HEX_OR_FILENAME.  The actual value needs to be encoded as a SET OF
165    * attribute values.  */
166   strlist_t attributes;
167 } opt;
168
169 /* Debug values and macros.  */
170 #define DBG_X509_VALUE    1     /* debug x.509 data reading/writing */
171 #define DBG_MPI_VALUE     2     /* debug mpi details */
172 #define DBG_CRYPTO_VALUE  4     /* debug low level crypto */
173 #define DBG_MEMORY_VALUE  32    /* debug memory allocation stuff */
174 #define DBG_CACHE_VALUE   64    /* debug the caching */
175 #define DBG_MEMSTAT_VALUE 128   /* show memory statistics */
176 #define DBG_HASHING_VALUE 512   /* debug hashing operations */
177 #define DBG_IPC_VALUE     1024  /* debug assuan communication */
178 #define DBG_CLOCK_VALUE   4096
179 #define DBG_LOOKUP_VALUE  8192  /* debug the key lookup */
180
181 #define DBG_X509    (opt.debug & DBG_X509_VALUE)
182 #define DBG_CRYPTO  (opt.debug & DBG_CRYPTO_VALUE)
183 #define DBG_MEMORY  (opt.debug & DBG_MEMORY_VALUE)
184 #define DBG_CACHE   (opt.debug & DBG_CACHE_VALUE)
185 #define DBG_HASHING (opt.debug & DBG_HASHING_VALUE)
186 #define DBG_IPC     (opt.debug & DBG_IPC_VALUE)
187 #define DBG_CLOCK   (opt.debug & DBG_CLOCK_VALUE)
188 #define DBG_LOOKUP  (opt.debug & DBG_LOOKUP_VALUE)
189
190 /* Forward declaration for an object defined in server.c */
191 struct server_local_s;
192
193 /* Session control object.  This object is passed down to most
194    functions.  Note that the default values for it are set by
195    gpgsm_init_default_ctrl(). */
196 struct server_control_s
197 {
198   int no_server;      /* We are not running under server control */
199   int  status_fd;     /* Only for non-server mode */
200   struct server_local_s *server_local;
201
202   audit_ctx_t audit;  /* NULL or a context for the audit subsystem.  */
203   int agent_seen;     /* Flag indicating that the gpg-agent has been
204                          accessed.  */
205
206   int with_colons;    /* Use column delimited output format */
207   int with_secret;    /* Mark secret keys in a public key listing.  */
208   int with_chain;     /* Include the certifying certs in a listing */
209   int with_validation;/* Validate each key while listing. */
210   int with_ephemeral_keys;  /* Include ephemeral flagged keys in the
211                                keylisting. */
212
213   int autodetect_encoding; /* Try to detect the input encoding */
214   int is_pem;         /* Is in PEM format */
215   int is_base64;      /* is in plain base-64 format */
216
217   int create_base64;  /* Create base64 encoded output */
218   int create_pem;     /* create PEM output */
219   const char *pem_name; /* PEM name to use */
220
221   int include_certs;  /* -1 to send all certificates in the chain
222                          along with a signature or the number of
223                          certificates up the chain (0 = none, 1 = only
224                          signer) */
225   int use_ocsp;       /* Set to true if OCSP should be used. */
226   int validation_model; /* 0 := standard model (shell),
227                            1 := chain model,
228                            2 := STEED model. */
229   int offline;        /* If true gpgsm won't do any network access.  */
230 };
231
232
233 /* An object to keep a list of certificates. */
234 struct certlist_s
235 {
236   struct certlist_s *next;
237   ksba_cert_t cert;
238   int is_encrypt_to; /* True if the certificate has been set through
239                         the --encrypto-to option. */
240   int hash_algo;     /* Used to track the hash algorithm to use.  */
241   const char *hash_algo_oid;  /* And the corresponding OID.  */
242 };
243 typedef struct certlist_s *certlist_t;
244
245
246 /* A structure carrying information about trusted root certificates. */
247 struct rootca_flags_s
248 {
249   unsigned int valid:1;  /* The rest of the structure has valid
250                             information.  */
251   unsigned int relax:1;  /* Relax checking of root certificates.  */
252   unsigned int chain_model:1; /* Root requires the use of the chain model.  */
253 };
254
255
256 \f
257 /*-- gpgsm.c --*/
258 void gpgsm_exit (int rc);
259 void gpgsm_init_default_ctrl (struct server_control_s *ctrl);
260 int  gpgsm_parse_validation_model (const char *model);
261
262 /*-- server.c --*/
263 void gpgsm_server (certlist_t default_recplist);
264 gpg_error_t gpgsm_status (ctrl_t ctrl, int no, const char *text);
265 gpg_error_t gpgsm_status2 (ctrl_t ctrl, int no, ...) GPGRT_ATTR_SENTINEL(0);
266 gpg_error_t gpgsm_status_with_err_code (ctrl_t ctrl, int no, const char *text,
267                                         gpg_err_code_t ec);
268 gpg_error_t gpgsm_status_with_error (ctrl_t ctrl, int no, const char *text,
269                                      gpg_error_t err);
270 gpg_error_t gpgsm_proxy_pinentry_notify (ctrl_t ctrl,
271                                          const unsigned char *line);
272
273 /*-- fingerprint --*/
274 unsigned char *gpgsm_get_fingerprint (ksba_cert_t cert, int algo,
275                                       unsigned char *array, int *r_len);
276 char *gpgsm_get_fingerprint_string (ksba_cert_t cert, int algo);
277 char *gpgsm_get_fingerprint_hexstring (ksba_cert_t cert, int algo);
278 unsigned long gpgsm_get_short_fingerprint (ksba_cert_t cert,
279                                            unsigned long *r_high);
280 unsigned char *gpgsm_get_keygrip (ksba_cert_t cert, unsigned char *array);
281 char *gpgsm_get_keygrip_hexstring (ksba_cert_t cert);
282 int  gpgsm_get_key_algo_info (ksba_cert_t cert, unsigned int *nbits);
283 gcry_mpi_t gpgsm_get_rsa_modulus (ksba_cert_t cert);
284 char *gpgsm_get_certid (ksba_cert_t cert);
285
286
287 /*-- certdump.c --*/
288 void gpgsm_print_serial (estream_t fp, ksba_const_sexp_t p);
289 void gpgsm_print_time (estream_t fp, ksba_isotime_t t);
290 void gpgsm_print_name2 (FILE *fp, const char *string, int translate);
291 void gpgsm_print_name (FILE *fp, const char *string);
292 void gpgsm_es_print_name (estream_t fp, const char *string);
293 void gpgsm_es_print_name2 (estream_t fp, const char *string, int translate);
294
295 void gpgsm_cert_log_name (const char *text, ksba_cert_t cert);
296
297 void gpgsm_dump_cert (const char *text, ksba_cert_t cert);
298 void gpgsm_dump_serial (ksba_const_sexp_t p);
299 void gpgsm_dump_time (ksba_isotime_t t);
300 void gpgsm_dump_string (const char *string);
301
302 char *gpgsm_format_serial (ksba_const_sexp_t p);
303 char *gpgsm_format_name2 (const char *name, int translate);
304 char *gpgsm_format_name (const char *name);
305 char *gpgsm_format_sn_issuer (ksba_sexp_t sn, const char *issuer);
306
307 char *gpgsm_fpr_and_name_for_status (ksba_cert_t cert);
308
309 char *gpgsm_format_keydesc (ksba_cert_t cert);
310
311
312 /*-- certcheck.c --*/
313 int gpgsm_check_cert_sig (ksba_cert_t issuer_cert, ksba_cert_t cert);
314 int gpgsm_check_cms_signature (ksba_cert_t cert, ksba_const_sexp_t sigval,
315                                gcry_md_hd_t md, int hash_algo, int *r_pkalgo);
316 /* fixme: move create functions to another file */
317 int gpgsm_create_cms_signature (ctrl_t ctrl,
318                                 ksba_cert_t cert, gcry_md_hd_t md, int mdalgo,
319                                 unsigned char **r_sigval);
320
321
322 /*-- certchain.c --*/
323
324 /* Flags used with  gpgsm_validate_chain.  */
325 #define VALIDATE_FLAG_NO_DIRMNGR  1
326 #define VALIDATE_FLAG_CHAIN_MODEL 2
327 #define VALIDATE_FLAG_STEED       4
328
329 int gpgsm_walk_cert_chain (ctrl_t ctrl,
330                            ksba_cert_t start, ksba_cert_t *r_next);
331 int gpgsm_is_root_cert (ksba_cert_t cert);
332 int gpgsm_validate_chain (ctrl_t ctrl, ksba_cert_t cert,
333                           ksba_isotime_t checktime,
334                           ksba_isotime_t r_exptime,
335                           int listmode, estream_t listfp,
336                           unsigned int flags, unsigned int *retflags);
337 int gpgsm_basic_cert_check (ctrl_t ctrl, ksba_cert_t cert);
338
339 /*-- certlist.c --*/
340 int gpgsm_cert_use_sign_p (ksba_cert_t cert);
341 int gpgsm_cert_use_encrypt_p (ksba_cert_t cert);
342 int gpgsm_cert_use_verify_p (ksba_cert_t cert);
343 int gpgsm_cert_use_decrypt_p (ksba_cert_t cert);
344 int gpgsm_cert_use_cert_p (ksba_cert_t cert);
345 int gpgsm_cert_use_ocsp_p (ksba_cert_t cert);
346 int gpgsm_cert_has_well_known_private_key (ksba_cert_t cert);
347 int gpgsm_certs_identical_p (ksba_cert_t cert_a, ksba_cert_t cert_b);
348 int gpgsm_add_cert_to_certlist (ctrl_t ctrl, ksba_cert_t cert,
349                                 certlist_t *listaddr, int is_encrypt_to);
350 int gpgsm_add_to_certlist (ctrl_t ctrl, const char *name, int secret,
351                            certlist_t *listaddr, int is_encrypt_to);
352 void gpgsm_release_certlist (certlist_t list);
353 int gpgsm_find_cert (ctrl_t ctrl, const char *name, ksba_sexp_t keyid,
354                      ksba_cert_t *r_cert, int allow_ambiguous);
355
356 /*-- keylist.c --*/
357 gpg_error_t gpgsm_list_keys (ctrl_t ctrl, strlist_t names,
358                              estream_t fp, unsigned int mode);
359
360 /*-- import.c --*/
361 int gpgsm_import (ctrl_t ctrl, int in_fd, int reimport_mode);
362 int gpgsm_import_files (ctrl_t ctrl, int nfiles, char **files,
363                         int (*of)(const char *fname));
364
365 /*-- export.c --*/
366 void gpgsm_export (ctrl_t ctrl, strlist_t names, estream_t stream);
367 void gpgsm_p12_export (ctrl_t ctrl, const char *name, estream_t stream,
368                        int rawmode);
369
370 /*-- delete.c --*/
371 int gpgsm_delete (ctrl_t ctrl, strlist_t names);
372
373 /*-- verify.c --*/
374 int gpgsm_verify (ctrl_t ctrl, int in_fd, int data_fd, estream_t out_fp);
375
376 /*-- sign.c --*/
377 int gpgsm_get_default_cert (ctrl_t ctrl, ksba_cert_t *r_cert);
378 int gpgsm_sign (ctrl_t ctrl, certlist_t signerlist,
379                 int data_fd, int detached, estream_t out_fp);
380
381 /*-- encrypt.c --*/
382 int gpgsm_encrypt (ctrl_t ctrl, certlist_t recplist,
383                    int in_fd, estream_t out_fp);
384
385 /*-- decrypt.c --*/
386 int gpgsm_decrypt (ctrl_t ctrl, int in_fd, estream_t out_fp);
387
388 /*-- certreqgen.c --*/
389 int gpgsm_genkey (ctrl_t ctrl, estream_t in_stream, estream_t out_stream);
390
391 /*-- certreqgen-ui.c --*/
392 void gpgsm_gencertreq_tty (ctrl_t ctrl, estream_t out_stream);
393
394
395 /*-- qualified.c --*/
396 gpg_error_t gpgsm_is_in_qualified_list (ctrl_t ctrl, ksba_cert_t cert,
397                                         char *country);
398 gpg_error_t gpgsm_qualified_consent (ctrl_t ctrl, ksba_cert_t cert);
399 gpg_error_t gpgsm_not_qualified_warning (ctrl_t ctrl, ksba_cert_t cert);
400
401 /*-- call-agent.c --*/
402 int gpgsm_agent_pksign (ctrl_t ctrl, const char *keygrip, const char *desc,
403                         unsigned char *digest,
404                         size_t digestlen,
405                         int digestalgo,
406                         unsigned char **r_buf, size_t *r_buflen);
407 int gpgsm_scd_pksign (ctrl_t ctrl, const char *keyid, const char *desc,
408                       unsigned char *digest, size_t digestlen, int digestalgo,
409                       unsigned char **r_buf, size_t *r_buflen);
410 int gpgsm_agent_pkdecrypt (ctrl_t ctrl, const char *keygrip, const char *desc,
411                            ksba_const_sexp_t ciphertext,
412                            char **r_buf, size_t *r_buflen);
413 int gpgsm_agent_genkey (ctrl_t ctrl,
414                         ksba_const_sexp_t keyparms, ksba_sexp_t *r_pubkey);
415 int gpgsm_agent_readkey (ctrl_t ctrl, int fromcard, const char *hexkeygrip,
416                          ksba_sexp_t *r_pubkey);
417 int gpgsm_agent_scd_serialno (ctrl_t ctrl, char **r_serialno);
418 int gpgsm_agent_scd_keypairinfo (ctrl_t ctrl, strlist_t *r_list);
419 int gpgsm_agent_istrusted (ctrl_t ctrl, ksba_cert_t cert, const char *hexfpr,
420                            struct rootca_flags_s *rootca_flags);
421 int gpgsm_agent_havekey (ctrl_t ctrl, const char *hexkeygrip);
422 int gpgsm_agent_marktrusted (ctrl_t ctrl, ksba_cert_t cert);
423 int gpgsm_agent_learn (ctrl_t ctrl);
424 int gpgsm_agent_passwd (ctrl_t ctrl, const char *hexkeygrip, const char *desc);
425 gpg_error_t gpgsm_agent_get_confirmation (ctrl_t ctrl, const char *desc);
426 gpg_error_t gpgsm_agent_send_nop (ctrl_t ctrl);
427 gpg_error_t gpgsm_agent_keyinfo (ctrl_t ctrl, const char *hexkeygrip,
428                                  char **r_serialno);
429 gpg_error_t gpgsm_agent_ask_passphrase (ctrl_t ctrl, const char *desc_msg,
430                                         int repeat, char **r_passphrase);
431 gpg_error_t gpgsm_agent_keywrap_key (ctrl_t ctrl, int forexport,
432                                      void **r_kek, size_t *r_keklen);
433 gpg_error_t gpgsm_agent_import_key (ctrl_t ctrl,
434                                     const void *key, size_t keylen);
435 gpg_error_t gpgsm_agent_export_key (ctrl_t ctrl, const char *keygrip,
436                                     const char *desc,
437                                     unsigned char **r_result,
438                                     size_t *r_resultlen);
439
440 /*-- call-dirmngr.c --*/
441 int gpgsm_dirmngr_isvalid (ctrl_t ctrl,
442                            ksba_cert_t cert, ksba_cert_t issuer_cert,
443                            int use_ocsp);
444 int gpgsm_dirmngr_lookup (ctrl_t ctrl, strlist_t names, int cache_only,
445                           void (*cb)(void*, ksba_cert_t), void *cb_value);
446 int gpgsm_dirmngr_run_command (ctrl_t ctrl, const char *command,
447                                int argc, char **argv);
448
449
450 /*-- misc.c --*/
451 void setup_pinentry_env (void);
452 gpg_error_t transform_sigval (const unsigned char *sigval, size_t sigvallen,
453                               int mdalgo,
454                               unsigned char **r_newsigval,
455                               size_t *r_newsigvallen);
456
457
458
459 #endif /*GPGSM_H*/