updated for 4.0.1 release
[strongswan.git] / ChangeLog
1  strongswan-4.0.1 / R:1144 
2 ===========================
3
4 fixed whitelist detection
5 reworked function ignore mechanism to not-report whitelist
6   rather than overriding functions
7 fixed execv call args to work when using strictcrl and syslog
8 fixed bug: usage of already freed mem
9 readded local_credential_store
10 added sendcert policy to connection
11 some other cleanups
12 implemented rereadcrls rereadcacerts
13 implemented rereadcrls rereadcacerts
14 implemented rereadcrls rereadcacerts
15 removed local_credential_store
16 fixed SPI when acting as initiator of rekeying
17 fixed SPI when rekeying and deleting CHILD_SAs
18 change key derivation order to fullfill RFC
19 added crl support
20 added listcrls
21 added chunk_equals_or_null()
22 added crl support
23 changed tabs from 8 to 4 spaces
24 added crl support
25 cosmetics
26 cosmetics (space)
27 fixed compilation error
28 updated for release
29 fixed aes code, we support now aes128, aes192, aes256 in IKE
30 added support for "ike" and "esp" keywords
31 fixed bugs in proposal code
32 algorithm selection for charon works now with ipsec.conf
33 a lot of other fixes
34 implemented clean spi allocation behavior when using multiple proposals
35 fixed logleve(l) keyword typo
36 handling of "rekey=no" parameter added
37 changed default algorithms to:
38   ike: aes128-sha-modp2048
39   esp: aes128-sha1, 3des-md5
40 added default CRL directory path
41 added strictcrlpolicy command line argument
42 added option parsing
43 added local CRLs
44 added rekeying parameters
45 corrected some descriptions
46 moved RSA key size constraints to definitions.h
47 fixed down keyword
48 debug and logging improvements
49 support for stroke listcerts|listcacerts|listcrls|listall
50 support for stroke listcerts|listcacerts|listall and left|rightca=
51 gperf creates optimum hash table for stroke keywords
52 using same reqid if a child sa rekeys an existing one
53 NULL string argument is treated as %any
54 add_certificate() now returns pointer to added cert
55 cosmetics
56 single tests now start up faster
57 workaround for peers rekeying at the same time
58 loading lifetime policies from ipsec.conf
59 old child_sa gets deleted after rekeying
60 rekeying almost complete, but:
61         IKE_SA get in an invalid state when both initiate rekeying at the same time,
62 corrected type
63 improved kernel interface logging
64 fixed clone/destroy behavior when not using CAs
65 specifying keysize in bits, as it is required in IKEv2
66 added generic kernel SA algorithm handling, which brings us:
67         aes-128, aes-256, blowfish, des, 3des and null encryption for CHILD_SAs
68 added support for leftsendcert= and left|rightca= parameters
69 discard cert if CA basic constraints flag is not set and warn if cert is not valide
70 added public methods is_ca() and is_valid()
71 changed ASN.1 CONTROL log output to LEVEL2
72 cosmetics
73 removed unused Makefile
74 stroke.h requires libstrongswan/types.h
75 fixed compile warnings when using -Wall
76 further CHILD_SA rekeying work done:
77         creation of a new CHILD_SA on a expire from a kernel works
78         delete of old CHILD_SA still missing
79         some issues when both initiate rekeing 
80 updated INSTALL to conform with autotools
81 added a short HACKING introduction
82 further work for rekeying:
83   get liftimes from policy
84   added new state
85   initiation of rekeying done
86 proposal redone:
87   removed support for AH+ESP proposals
88 proper leak detective hook for realloc
89 excluded pthread_setspecific from leak detective
90 fixed a memleak
91 cosmetics
92 ipv6-host2host scenario added
93 created IPv6 environment
94 job management:
95   moved job code from thread_pool to job, jobs have an "execute" method now
96   added two new jobs: delete_child_sa & rekey_child_sa
97 kernel interface:
98   listens now for ACQUIRE & EXPIRE
99   supports hard and soft lifetimes
100   fires jobs for delete and rekey child sa
101 ike sa manager:
102   can checkout IKE SAs by requid of owned CHILD SAs
103 we have now the infrastructure to do the rekeying... :-)
104 fixed some memleaks/freebugs
105 leak detective works almost usable now (?!)
106 added host2host test for ikev2
107 fixed host-host tunnel traffic selection, host-host works now
108 bug fixed circumventing an assertion in delete_connection when ikev1 is not set
109 minimized prefixed on stroke logger output
110 charon outputs strongSwan version
111 tests with subjectAltNames now
112 fixed event queue for events >36min
113 included charons module tests to build & dist
114 full support of ikev1 and ikev2 connection flags
115 cosmetics in log_status output
116 use of streq
117 added testing files to dist
118   required the use of the "ustar" format to support 
119   filenames longer than 99 chars
120 lookup of private key based on keyid of public key
121 new functions to add certificates and retrieve private and public keys
122 changed log level
123 list ca certificates
124 computation of SHA-1 hash over publicKeyInfo object
125 moved abbreviated thread_id in front of brackets
126 added has_key parameter to log_certificates()
127 log_certificates() now shows keyid and availability of matching private key
128 indented loaded file log entry
129 moved TIMETOA_BUF definition to types.h
130 moved TIMETOA_BUF definition from asn1.h
131 define default CA_CERTIFICATE_DIR
132 load all ca certificates
133 fixed daemon destruction order to prevent
134   crashes on termination
135 fixed memleak when deleting a connection
136 updated todo list
137 policies contain a connections name now
138   used for initiate and delete
139 connections won't get initiated twice anymore
140 deleting of connections is now possible, which allows us to use
141   ipsec update and ipsec reload
142 changed iterator->remove behavior
143 ipsec up|down|route|delete require a connection name
144 stroke now uses constant size string buffer
145 changed to standard connection log output
146 reworked parsing and matching of subjectAltNames
147 added memeq() macro
148 moved timetoa() from asn1.c to types.c
149 corrected type
150 some logging improvements and cosmetics
151 handle IKE_SA setup without a piggy-packed CHILD_SA
152   more IKEv2 conform
153 initiate IKE_SA deletion befor manager destruction
154 improved code of chunk_equals
155 added streq() macro and defined default BUF_LEN
156 typo
157 build gets perl and gperf from configure now
158 moved built sources to maintainer-clean
159 show connection templates in status & statusall
160 don't complain on termination of IKEv1 connections
161 updated ipsec.conf manual to reflect actual state of
162   keyexchange-parameter
163 using hubs instead of switches, which allows us
164   to sniff the traffic from the host system.
165 changed config load strategy:
166   starter loads both connections in charon & pluto,
167   charon ignores anything with keyexchange!=ikev2.
168   pluto needs the same behavior.
169  changed build order to fix build error after distclean
170 load_end_certificate() now loads certificates
171 cosmetics
172 moved definition of generalNames_t to identification.h; initialized subjectKeyID, authKeyID and authKeySerialNumber
173 moved definition of generalNames_t to identification.h
174 corrrected description
175 reimplemented proper IKE SA deletion using a seperate state,
176   should conform now to IKEv2
177 fixed build when using --enable-leak-detective
178 added removed files to svn:ignore
179 fixed bug in pluto/Makefile.am
180 removed perl-generated oid.c/h from svn,
181   added them to "dist" and "distclean"
182 removed lex, yacc and gperf output from svn,
183   added them to "dist" and "distclean"
184 storing release revision in svn property "release-revision", because I forget it all the times
185 fixed ignorelist, should work now
186 added ingorelist for builded files
187 re-added doxygen apidoc, buildable with "make apidoc"
188 added missing ipsec.conf.5 to distribution :-/
189 fixed another typo
190 added missing ipsec.conf ipsec.conf.5
191 existing ipsec.conf won't get overwritten anymore
192 fixed typo in Makefile which corrupted the build
193 applied patch from the NAT-T team fixing several typos
194 applied patch from andreas, which allows certificate listing via stroke
195 added ipsec.conf template and man page back
196 removed old Makefiles
197 added new strongswan KDevelop project & startup hack
198 fixed Revision in changelog fo 4.0.0
199 started ChangeLog
200 simple script for ChangeLog update via "svn log"
201 fixed compliation error using --enable-smartcard
202 added test for ikev1-ikev2 mixed mode
203 added test ikev2 roadwarrior scenario
204 applied andreas's patch
205   logger output improvements
206   testin gupdates
207   and a lot more
208 updated testsuite to autotools
209 added random source ./configure options
210 fixed default-pkcs11 option
211 testcommit
212 fixed errors when --enable-pkcs11
213 added autogen script
214 introduced autotools
215   first working version
216   make dist should work
217   things to do:
218     UML testing!
219     more cleanups
220 fixed build
221 started to rebuild source layout
222 fixed stroke error output to starter
223 using random SPIs now, but without collision checks
224 applied some -W's from strongswan
225 fixed that warnings
226 removed IKEV2 ifdefs
227 applied patch from andreas
228   added charonstart option to config
229   new ikev2 tests for UML
230
231  strongSwan-4.0.0 / R:967
232 ==========================
233
234 removed IKEV2 ifdefs
235 applied patch from andreas
236   added charonstart option to config
237   new ikev2 tests for UML
238 applied patch from andreas
239   pem loading
240   secrets file parsing
241   ikev2 testcase
242   some other additions here and there
243 connection termination is handled cleanly by name now
244 fixed bad bug, certs load now cleanly again
245 fixed make install (subdir order)
246 fixed include path
247 added missing script
248 finished initial import of strongswan file tree
249 removed a lot of old and unused stuff
250 moved RFCs from ikev2 into doc dir
251 added missing files for starter
252 applied patch for charon (this time really)
253 import of strongswan-2.7.0
254 applied patch for charon
255 renamed get_block_size of hasher
256 reworked usage of IDs in various states
257 using ID_ANY for any, not NULL as before
258 initiator sends IDr payload in IKE_AUTH when ID unique
259 fixed charon checks
260 using status & statusall
261 patch for 2.7.0 
262 add connection names to connections
263 stroke status / ipsec status shows them
264 added statusall for stroke
265 added status by connection name
266 some tests repaired, more to come
267 fixed spi conversion
268 improved "stroke status" output
269 setup PID file after daemon initilization, to correctly inform
270   starter about daemon startup
271 added separate implementation for connection_store, credential_store, policy_store
272 added folder structure to config
273 credentials are fetched solely on IDs now
274 identification_t supports now almost all id types
275 x509 certificates work with identification_t now
276 fixes here, fixes there
277 fixed doxygen build
278 seperates now in lib and charon
279 library initialization done at a central point (library.c)
280 some leak_detective fixes
281 updated Todos
282 fixed log-to-syslog behavior
283 added patch against strongswan-2.6.4
284 x509 certificate loading with pluto asn1 code
285 x509 needs a lot more attention!
286 renamed some files
287 using asn1 pluto stuff now
288 removed, since we use pluto asn1 stuff
289 leak detective is usable, but does not show static function names
290   a script which gets address via ldd and resolves address via addr2line would be nice
291 fixed a leak in child_sa with new detective ;-)
292 some improvements to new asn1 stuff
293 to be continued
294 fixed bad bugs in kernel interface
295 added some logging info
296 works now much more stable
297 startet importing pluto ASN1 stuff
298 der PKCS#1 key loading works (as it did with der_decoder)
299 split up in libstrong, charon, stroke, testing done
300 new leak detective with malloc hook in library
301   useable, but needs improvements
302 logger_manager has now a single instance per library
303   allows use of loggers from any linking prog
304 a LOT of other things
305 ../svn-commit.tmp
306 added misssing stroke.h
307 improved strokeing
308   down connection
309   status
310 some other tweaks
311 rewrote a lot of RSA stuff
312 done major work for ASN1/decoder
313 allow loading of ASN1 der encoded private keys, public keys and certificates
314 extracting public key from certificates
315 passing certificates from stroke to charon
316 => basic authentication with RSA certificates works!
317 starter work on asn1 with der de/encoder
318 RSA private and public key can load read key from ASN1 DER
319 some other fixes here and there
320 rewrite of logger_manager, uses now one instance per context
321 cleanups for logger here and there
322 removed critical flag check in payload verification (conformance to IKEv2)
323 so thats and theres everywere... ;-)
324 patch for strongswan-2.6.3
325 added charon support for strongswan build process
326 ipsec starter supports charon startup and control
327 removed old diploma thesis scripts
328 some cleanups
329 compatibility to strongswan, Makefile can be called by "make programs"
330   and "make install" (ikev2 patch must be applied to strongswan)
331 first version of stroke control utility
332 moved output to doc/api, since doc is used for other docs now
333 some first documentation in english
334 removed old eclipse project files
335 works quite well now with ipsec.conf & ipsec starter
336 belongs to previous commit ;-)
337 reworked configuration framework completly
338 configuration is now split up in: connections, policies, credentials and daemon config
339 further alloc/free fixes needed!
340 first attempt for connection loading and starting via "stroke"
341 some improvements here and there
342 configuration_manager replaced by configuration_t interface
343 current configuration_manager is now static_configuration (testing)
344 first draft of starter_configuration, which should once interact with ipsec starter (via whack?)
345 some cleanups
346 socket_t uses RAW socket, which allows parallel service of pluto/charon
347 comments and cleanups
348 working policy installation and removal
349 fixed policy setup bug
350 proposal setup implementation begun
351 fixed socket code, so we know on which address we receive traffic
352 AH/ESP setup in kernel is working now!!! :-)))
353 installing of child sa works
354 need correct IP adresses to actually use IPsec
355 new RFCs of IKEv2, IKEv2 algs and IPSec arch added
356 update of IKEv2 clarification document
357 refactored ike proposal
358 uses now proposal_t, wich is also used by child proposals
359 ike key derivation refactored
360 crypter_t api has get_key_size now
361 some other improvements here and there
362 config uses uml hosts alice and bob
363 key derivation for child_sa works
364 some fixes here and there
365 fixed memleaks
366 works with new proposal code
367 still some(!) memleaks
368 fixed alot of bugs in child_proposal
369 near to working state ;-)
370 dead end implementation
371
372 ... there is a lot more of it, but nothing of interest