profile.d/00base: Make `%FOO-secrecy' include the right base sections.

Copy and paste error.

keyfunc.sh.in: Don't let `userv' gobble our input.

Unfortunately, `userv' has a bad habit of eating our stdin, whether it
needs it or not.  (This is a result of the `cat' processes and pipes
strung between the calling and service environments.)  To prevent this
from gobbling our input, which we might actually want to process
ourselves in some way, make sure that we let it chew on something less
important.  Like `/dev/null', say.

Makefile.am: Distinctive `SUBST' indicator for `confsubst' rules.

Rather than use the generic `GEN' indicator.

keys.new-keeper: Use `$quis' in errors, rather than `$0'.

keys.keeper-cards: Fallback plan in case `mdwfonts' doesn't exist.

Just don't fiddle with the fonts in that case.

Programs invoke themselves via `userv' if necessary.

This will prevent the permissions in the key store being messed up.  To
this end:

  * Move `cryptop' to @bindir@ where we can expect users to find it, and
    move `keys' to @sbindir@ where only administrators are likely to
    look.

  * Add a new userv service for `keys', with some configuration files
    listing the permitted users.

keys.*: Enforce separation between user's files and the system.

  * keys.new-keeper now writes its nubs into $SAFE rather than the
    caller's current directory.

  * keys.reveal and keys.stash insist on reading their input from stdin
    rather than a file name.

  * keys.keeper-cards writes its output to stdout, and collects input
    nubs from $SAFE.

  * keys.keeper-nub is a new tool which extracts a keeper nub on demand.

Some of the tools have also had their error messages improved.

debian: About time, really.

Makefile: Do the release hook thing.

profile.d/*: Base configuration files.

Fairly detailed commentary.  Makes up for the lack of useful
documentation in my dreams, at least.

userv/distorted-keys.in: Reformat, with backslashes in their own column.

A whitespace-only change, empty under `diff -b'.

userv/distorted-keys.in: Rename from distorted-keys.userv.in.

This way it gets created with the right name.  It makes Debianizing
easier.

keyfunc.sh: Check ACLs for good characters.

keyfunc.sh: Protect arguments to expr(1).

Make sure they don't look like operators or functions.

keys.stash: Shebang line.

I'm an idiot.

extract-profile: Allow `%' characters in internal property names.

Now we don't have to spam the caller with uninteresting properties.

cryptop.list: Search the requested user's keys only; sort the output.

cryptop.list: Fix up the column-spec documentation.

It got a bit out of date with respect to the actual implementation.

Whitespace fixing.

cryptop.list: New tool for listing keys.

Surprisingly nice output format.

keyfunc.sh.in, cryptop.{genkey,recover}: Care over key ownership.

Interpret profiles relative to the key owner, not the caller!  Only allow
the key owner to recover a key.

keys.archive: New program to capture and sign an archive.

Doesn't include the key nubs.

distorted-keys.userv: Add userv configuration snippet.

Needs a configured user name, and sbindir.

Makefile.am: Move cryptop stuff after keys stuff.

Makes more sense this way.

extract-profile.in: Allow empty sections.

Create a section as soon as we see a section header; we no longer need
the more complicated lazy creation code.

cryptop.in, keyfunc.sh.in: Move userv variable setup into keyfunc.sh.

We'll need these set up in a later program.

cryptop.public: Don't check an ACL.

It's not worthwhile: public keys will be clearly visible in an archive
copy.

keyfunc.sh.in (prepare): Indicate that an ACL check isn't necessary.

keyfunc.sh.in: Add come commentary to the configuration section.

keys.new-recov, keys.reveal, keyfunc.sh.in: Don't put @bindir@ on the PATH.

Call `shamir' using an explicit pathname instead.

keyfunc.sh.in: Rename the nub computation properties.

These names are more consistent with the longer names used elsewhere.

extract-profile.in: Property name fixup wasn't applied to ${...} tokens.

Move it into the common replacement code.

keyfunc.sh.in (prepare): Exit nonzero if ACL check fails.

Just a missing return code.

cryptop.verify: Use the correct operations.

Stupid copy-and-paste error.

keyfunc.sh.in, extract-profile.in: Put profile name before the filenames.

This is the way it was originally, but that version wasn't checked in.
I had some crazy idea that this ordering made interfacing to userv
easier, but it doesn't.

cryptop.*, extract-profile.in: Set execute bits.

Multiple key types, key profiles, and user key storage.

  * Introduce multiple key types (currently GnuPG and Seccure, but maybe
    more later, e.g., OpenSSL).

  * Parameters are provided via time-varying profiles.

  * Profiles can be chosen for keeper and recovery keys.

  * Allow users to generate and use keys.

more progress.  recovery seems to be working now.

initial checkin: still somewhat sketchy