Enforce uniqueids=keep based on XAuth identity
[strongswan.git] / NEWS
1 strongswan-5.0.0
2 ----------------
3
4 - The charon IKE daemon gained experimental support for the IKEv1 protocol.
5   Pluto has been removed from the 5.x series, and unless strongSwan is
6   configured with --disable-ikev1 or --disable-ikev2, charon handles both
7   keying protocols. The feature-set of IKEv1 in charon is almost on par with
8   pluto, but currently does not support AH or bundled AH+ESP SAs. Beside
9   RSA/ECDSA, PSK and XAuth, charon also supports the Hybrid authentication
10   mode. Informations for interoperability and migration is available at
11   http://wiki.strongswan.org/projects/strongswan/wiki/CharonPlutoIKEv1.
12
13 - Charon's bus_t has been refactored so that loggers and other listeners are
14   now handled separately.  The single lock was previously cause for deadlocks
15   if extensive listeners, such as the one provided by the updown plugin, wanted
16   to acquire locks that were held by other threads which in turn tried to log
17   messages, and thus were waiting to acquire the same lock currently held by
18   the thread calling the listener.
19   The implemented changes also allow the use of a read/write-lock for the
20   loggers which increases performance if multiple loggers are registered.
21   Besides several interface changes this last bit also changes the semantics
22   for loggers as these may now be called by multiple threads at the same time.
23
24 - Source routes are reinstalled if interfaces are reactivated or IP addresses
25   reappear.
26
27 - In addition to trustchain key strength definitions for different public key
28   systems, the rightauth option now takes a list of signature hash algorithms
29   considered save for trustchain validation. For example, the setting
30   rightauth=rsa-2048-ecdsa-256-sha256-sha384-sha512 requires a trustchain
31   that uses at least RSA-2048 or ECDSA-256 keys and certificate signatures
32   using SHA-256 or better.
33
34
35 strongswan-4.6.4
36 ----------------
37
38 - Fixed a security vulnerability in the gmp plugin.  If this plugin was used
39   for RSA signature verification an empty or zeroed signature was handled as
40   a legitimate one.
41
42 - Fixed several issues with reauthentication and address updates.
43
44
45 strongswan-4.6.3
46 ----------------
47
48 - The tnc-pdp plugin implements a RADIUS server interface allowing
49   a strongSwan TNC server to act as a Policy Decision Point.
50
51 - The eap-radius authentication backend enforces Session-Timeout attributes
52   using RFC4478 repeated authentication and acts upon RADIUS Dynamic
53   Authorization extensions, RFC 5176. Currently supported are disconnect
54   requests and CoA messages containing a Session-Timeout.
55
56 - The eap-radius plugin can forward arbitrary RADIUS attributes from and to
57   clients using custom IKEv2 notify payloads. The new radattr plugin reads
58   attributes to include from files and prints received attributes to the
59   console.
60
61 - Added support for untruncated MD5 and SHA1 HMACs in ESP as used in
62   RFC 4595.
63
64 - The cmac plugin implements the AES-CMAC-96 and AES-CMAC-PRF-128 algorithms
65   as defined in RFC 4494 and RFC 4615, respectively.
66
67 - The resolve plugin automatically installs nameservers via resolvconf(8),
68   if it is installed, instead of modifying /etc/resolv.conf directly.
69
70 - The IKEv2 charon daemon supports now raw RSA public keys in RFC 3110
71   DNSKEY and PKCS#1 file format.
72
73
74 strongswan-4.6.2
75 ----------------
76
77 - Upgraded the TCG IF-IMC and IF-IMV C API to the upcoming version 1.3
78   which supports IF-TNCCS 2.0 long message types, the exclusive flags
79   and multiple IMC/IMV IDs. Both the TNC Client and Server as well as
80   the "Test", "Scanner", and "Attestation" IMC/IMV pairs were updated.
81
82 - Fully implemented the "TCG Attestation PTS Protocol: Binding to IF-M"
83   standard (TLV-based messages only). TPM-based remote attestation of
84   Linux IMA (Integrity Measurement Architecture) possible. Measurement
85   reference values are automatically stored in an SQLite database.
86
87 - The EAP-RADIUS authentication backend supports RADIUS accounting. It sends
88   start/stop messages containing Username, Framed-IP and Input/Output-Octets
89   attributes and has been tested against FreeRADIUS and Microsoft NPS.
90
91 - Added support for PKCS#8 encoded private keys via the libstrongswan
92   pkcs8 plugin.  This is the default format used by some OpenSSL tools since
93   version 1.0.0 (e.g. openssl req with -keyout).
94
95 - Added session resumption support to the strongSwan TLS stack.
96
97
98 strongswan-4.6.1
99 ----------------
100
101 - Because of changing checksums before and after installation which caused
102   the integrity tests to fail we avoided directly linking libsimaka, libtls and
103   libtnccs to those libcharon plugins which make use of these dynamic libraries.
104   Instead we linked the libraries to the charon daemon. Unfortunately Ubuntu
105   11.10 activated the --as-needed ld option which discards explicit links
106   to dynamic libraries that are not actually used by the charon daemon itself,
107   thus causing failures during the loading of the plugins which depend on these
108   libraries for resolving external symbols.
109
110 -  Therefore our approach of computing  integrity checksums for plugins had to be
111    changed radically by moving the hash generation from the compilation to the
112    post-installation phase.
113
114
115 strongswan-4.6.0
116 ----------------
117
118 - The new libstrongswan certexpire plugin collects expiration information of
119   all used certificates and exports them to CSV files. It either directly
120   exports them or uses cron style scheduling for batch exports.
121
122 - starter passes unresolved hostnames to charon, allowing it to do name
123   resolution not before the connection attempt. This is especially useful with
124   connections between hosts using dynamic IP addresses. Thanks to Mirko Parthey
125   for the initial patch.
126
127 - The android plugin can now be used without the Android frontend patch and
128   provides DNS server registration and logging to logcat.
129
130 - Pluto and starter (plus stroke and whack) have been ported to Android.
131
132 - Support for ECDSA private and public key operations has been added to the
133   pkcs11 plugin.  The plugin now also provides DH and ECDH via PKCS#11 and can
134   use tokens as random number generators (RNG).  By default only private key
135   operations are enabled, more advanced features have to be enabled by their
136   option in strongswan.conf.  This also applies to public key operations (even
137   for keys not stored on the token) which were enabled by default before.
138
139 - The libstrongswan plugin system now supports detailed plugin dependencies.
140   Many plugins have been extended to export its capabilities and requirements.
141   This allows the plugin loader to resolve plugin loading order automatically,
142   and in future releases, to dynamically load the required features on demand.
143   Existing third party plugins are source (but not binary) compatible if they
144   properly initialize the new get_features() plugin function to NULL.
145
146 - The tnc-ifmap plugin implements a TNC IF-MAP 2.0 client which can deliver
147   metadata about IKE_SAs via a SOAP interface to a MAP server. The tnc-ifmap
148   plugin requires the Apache Axis2/C library.
149
150
151 strongswan-4.5.3
152 ----------------
153
154 - Our private libraries (e.g. libstrongswan) are not installed directly in
155   prefix/lib anymore.  Instead a subdirectory is used (prefix/lib/ipsec/ by
156   default).  The plugins directory is also moved from libexec/ipsec/ to that
157   directory.
158
159 - The dynamic IMC/IMV libraries were moved from the plugins directory to
160   a new imcvs directory in the prefix/lib/ipsec/ subdirectory.
161
162 - Job priorities were introduced to prevent thread starvation caused by too
163   many threads handling blocking operations (such as CRL fetching).  Refer to
164   strongswan.conf(5) for details.
165
166 - Two new strongswan.conf options allow to fine-tune performance on IKEv2
167   gateways by dropping IKE_SA_INIT requests on high load.
168
169 - IKEv2 charon daemon supports start PASS and DROP shunt policies
170   preventing traffic to go through IPsec connections. Installation of the
171   shunt policies either via the XFRM netfilter or PFKEYv2 IPsec kernel
172   interfaces.
173
174 - The history of policies installed in the kernel is now tracked so that e.g.
175   trap policies are correctly updated when reauthenticated SAs are terminated.
176
177 - IMC/IMV Scanner pair implementing the RFC 5792 PA-TNC (IF-M) protocol.
178   Using "netstat -l" the IMC scans open listening ports on the TNC client
179   and sends a port list to the IMV which based on a port policy decides if
180   the client is admitted to the network.
181   (--enable-imc-scanner/--enable-imv-scanner).
182
183 - IMC/IMV Test pair implementing the RFC 5792 PA-TNC (IF-M) protocol.
184   (--enable-imc-test/--enable-imv-test).
185
186 - The IKEv2 close action does not use the same value as the ipsec.conf dpdaction
187   setting, but the value defined by its own closeaction keyword. The action
188   is triggered if the remote peer closes a CHILD_SA unexpectedly.
189
190
191 strongswan-4.5.2
192 ----------------
193
194 - The whitelist plugin for the IKEv2 daemon maintains an in-memory identity
195   whitelist. Any connection attempt of peers not whitelisted will get rejected.
196   The 'ipsec whitelist' utility provides a simple command line frontend for
197   whitelist administration.
198
199 - The duplicheck plugin provides a specialized form of duplicate checking,
200   doing a liveness check on the old SA and optionally notify a third party
201   application about detected duplicates.
202
203 - The coupling plugin permanently couples two or more devices by limiting
204   authentication to previously used certificates.
205
206 - In the case that the peer config and child config don't have the same name
207   (usually in SQL database defined connections), ipsec up|route <peer config>
208   starts|routes all associated child configs and ipsec up|route <child config>
209   only starts|routes the specific child config.
210
211 - fixed the encoding and parsing of X.509 certificate policy statements (CPS).
212
213 - Duncan Salerno contributed the eap-sim-pcsc plugin implementing a
214   pcsc-lite based SIM card backend.
215
216 - The eap-peap plugin implements the EAP PEAP protocol. Interoperates
217   successfully with a FreeRADIUS server and Windows 7 Agile VPN clients.
218
219 - The IKEv2 daemon charon rereads strongswan.conf on SIGHUP and instructs
220   all plugins to reload. Currently only the eap-radius and the attr plugins
221   support configuration reloading.
222
223 - Added userland support to the IKEv2 daemon for Extended Sequence Numbers
224   support coming with Linux 2.6.39. To enable ESN on a connection, add
225   the 'esn' keyword to the proposal. The default proposal uses 32-bit sequence
226   numbers only ('noesn'), and the same value is used if no ESN mode is
227   specified. To negotiate ESN support with the peer, include both, e.g.
228   esp=aes128-sha1-esn-noesn.
229
230 - In addition to ESN, Linux 2.6.39 gained support for replay windows larger
231   than 32 packets. The new global strongswan.conf option 'charon.replay_window'
232   configures the size of the replay window, in packets.
233
234
235 strongswan-4.5.1
236 ----------------
237
238 - Sansar Choinyambuu implemented the RFC 5793 Posture Broker Protocol (BP)
239   compatible with Trusted Network Connect (TNC). The TNCCS 2.0 protocol
240   requires the tnccs_20, tnc_imc and tnc_imv plugins but does not depend
241   on the libtnc library. Any available IMV/IMC pairs conforming to the
242   Trusted Computing Group's TNC-IF-IMV/IMC 1.2 interface specification
243   can be loaded via /etc/tnc_config.
244
245 - Re-implemented the TNCCS 1.1 protocol by using the tnc_imc and tnc_imv
246   in place of the external libtnc library.
247
248 - The tnccs_dynamic plugin loaded on a TNC server in addition to the
249   tnccs_11 and tnccs_20 plugins, dynamically detects the IF-TNCCS
250   protocol version used by a TNC client and invokes an instance of
251   the corresponding protocol stack.
252
253 - IKE and ESP proposals can now be stored in an SQL database using a
254   new proposals table. The start_action field in the child_configs
255   tables allows the automatic starting or routing of connections stored
256   in an SQL database.
257
258 - The new certificate_authorities and certificate_distribution_points
259   tables make it possible to store CRL and OCSP Certificate Distribution
260   points in an SQL database.
261
262 - The new 'include' statement allows to recursively include other files in
263   strongswan.conf.  Existing sections and values are thereby extended and
264   replaced, respectively.
265
266 - Due to the changes in the parser for strongswan.conf, the configuration
267   syntax for the attr plugin has changed.  Previously, it was possible to
268   specify multiple values of a specific attribute type by adding multiple
269   key/value pairs with the same key (e.g. dns) to the plugins.attr section.
270   Because values with the same key now replace previously defined values
271   this is not possible anymore.  As an alternative, multiple values can be
272   specified by separating them with a comma (e.g. dns = 1.2.3.4, 2.3.4.5).
273
274 - ipsec listalgs now appends (set in square brackets) to each crypto
275   algorithm listed the plugin that registered the function.
276
277 - Traffic Flow Confidentiality padding supported with Linux 2.6.38 can be used
278   by the IKEv2 daemon. The ipsec.conf 'tfc' keyword pads all packets to a given
279   boundary, the special value '%mtu' pads all packets to the path MTU.
280
281 - The new af-alg plugin can use various crypto primitives of the Linux Crypto
282   API using the AF_ALG interface introduced with 2.6.38. This removes the need
283   for additional userland implementations of symmetric cipher, hash, hmac and
284   xcbc algorithms.
285
286 - The IKEv2 daemon supports the INITIAL_CONTACT notify as initiator and
287   responder. The notify is sent when initiating configurations with a unique
288   policy, set in ipsec.conf via the global 'uniqueids' option.
289
290 - The conftest conformance testing framework enables the IKEv2 stack to perform
291   many tests using a distinct tool and configuration frontend. Various hooks
292   can alter reserved bits, flags, add custom notifies and proposals, reorder
293   or drop messages and much more. It is enabled using the --enable-conftest
294   ./configure switch.
295
296 - The new libstrongswan constraints plugin provides advanced X.509 constraint
297   checking. In additon to X.509 pathLen constraints, the plugin checks for
298   nameConstraints and certificatePolicies, including policyMappings and
299   policyConstraints. The x509 certificate plugin and the pki tool have been
300   enhanced to support these extensions. The new left/rightcertpolicy ipsec.conf
301   connection keywords take OIDs a peer certificate must have.
302
303 - The left/rightauth ipsec.conf keywords accept values with a minimum strength
304   for trustchain public keys in bits, such as rsa-2048 or ecdsa-256.
305
306 - The revocation and x509 libstrongswan plugins and the pki tool gained basic
307   support for delta CRLs.
308
309
310 strongswan-4.5.0
311 ----------------
312
313 - IMPORTANT: the default keyexchange mode 'ike' is changing with release 4.5
314   from 'ikev1' to 'ikev2', thus commemorating the five year anniversary of the
315   IKEv2 RFC 4306 and its mature successor RFC 5996. The time has definitively
316   come for IKEv1 to go into retirement and to cede its place to the much more
317   robust, powerful and versatile IKEv2 protocol!
318
319 - Added new ctr, ccm and gcm plugins providing Counter, Counter with CBC-MAC
320   and Galois/Counter Modes based on existing CBC implementations. These
321   new plugins bring support for AES and Camellia Counter and CCM algorithms
322   and the AES GCM algorithms for use in IKEv2.
323
324 - The new pkcs11 plugin brings full Smartcard support to the IKEv2 daemon and
325   the pki utility using one or more PKCS#11 libraries. It currently supports
326   RSA private and public key operations and loads X.509 certificates from
327   tokens.
328
329 - Implemented a general purpose TLS stack based on crypto and credential
330   primitives of libstrongswan. libtls supports TLS versions 1.0, 1.1 and 1.2,
331   ECDHE-ECDSA/RSA, DHE-RSA and RSA key exchange algorithms and RSA/ECDSA based
332   client authentication.
333
334 - Based on libtls, the eap-tls plugin brings certificate based EAP
335   authentication for client and server. It is compatible to Windows 7 IKEv2
336   Smartcard authentication and the OpenSSL based FreeRADIUS EAP-TLS backend.
337
338 - Implemented the TNCCS 1.1 Trusted Network Connect protocol using the
339   libtnc library on the strongSwan client and server side via the tnccs_11
340   plugin and optionally connecting to a TNC@FHH-enhanced FreeRADIUS AAA server.
341   Depending on the resulting TNC Recommendation, strongSwan clients are granted
342   access to a network behind a strongSwan gateway (allow), are put into a
343   remediation zone (isolate) or are blocked (none), respectively. Any number
344   of Integrity Measurement Collector/Verifier pairs can be attached
345   via the tnc-imc and tnc-imv charon plugins.
346
347 - The IKEv1 daemon pluto now uses the same kernel interfaces as the IKEv2
348   daemon charon. As a result of this, pluto now supports xfrm marks which
349   were introduced in charon with 4.4.1.
350
351 - Applets for Maemo 5 (Nokia) allow to easily configure and control IKEv2
352   based VPN connections with EAP authentication on supported devices.
353
354 - The RADIUS plugin eap-radius now supports multiple RADIUS servers for
355   redundant setups. Servers are selected by a defined priority, server load and
356   availability.
357
358 - The simple led plugin controls hardware LEDs through the Linux LED subsystem.
359   It currently shows activity of the IKE daemon and is a good example how to
360   implement a simple event listener.
361
362 - Improved MOBIKE behavior in several corner cases, for instance, if the
363   initial responder moves to a different address.
364
365 - Fixed left-/rightnexthop option, which was broken since 4.4.0.
366
367 - Fixed a bug not releasing a virtual IP address to a pool if the XAUTH
368   identity was different from the IKE identity.
369
370 - Fixed the alignment of ModeConfig messages on 4-byte boundaries in the
371   case where the attributes are not a multiple of 4 bytes (e.g. Cisco's
372   UNITY_BANNER).
373
374 - Fixed the interoperability of the socket_raw and socket_default
375   charon plugins.
376
377 - Added man page for strongswan.conf
378
379
380 strongswan-4.4.1
381 ----------------
382
383 - Support of xfrm marks in IPsec SAs and IPsec policies introduced
384   with the Linux 2.6.34 kernel. For details see the example scenarios
385   ikev2/nat-two-rw-mark, ikev2/rw-nat-mark-in-out and ikev2/net2net-psk-dscp.
386
387 - The PLUTO_MARK_IN and PLUTO_ESP_ENC environment variables can be used
388   in a user-specific updown script to set marks on inbound ESP or
389   ESP_IN_UDP packets.
390
391 - The openssl plugin now supports X.509 certificate and CRL functions.
392
393 - OCSP/CRL checking in IKEv2 has been moved to the revocation plugin, enabled
394   by default. Plase update manual load directives in strongswan.conf.
395
396 - RFC3779 ipAddrBlock constraint checking has been moved to the addrblock
397   plugin, disabled by default. Enable it and update manual load directives
398   in strongswan.conf, if required.
399
400 - The pki utility supports CRL generation using the --signcrl command.
401
402 - The ipsec pki --self, --issue and --req commands now support output in
403   PEM format using the --outform pem option.
404
405 - The major refactoring of the IKEv1 Mode Config functionality now allows
406   the transport and handling of any Mode Config attribute.
407
408 - The RADIUS proxy plugin eap-radius now supports multiple servers. Configured
409   servers are chosen randomly, with the option to prefer a specific server.
410   Non-responding servers are degraded by the selection process.
411
412 - The ipsec pool tool manages arbitrary configuration attributes stored
413   in an SQL database. ipsec pool --help gives the details.
414
415 - The new eap-simaka-sql plugin acts as a backend for EAP-SIM and EAP-AKA,
416   reading triplets/quintuplets from an SQL database.
417
418 - The High Availability plugin now supports a HA enabled in-memory address
419   pool and Node reintegration without IKE_SA rekeying. The latter allows
420   clients without IKE_SA rekeying support to keep connected during
421   reintegration. Additionally, many other issues have been fixed in the ha
422   plugin.
423
424 - Fixed a potential remote code execution vulnerability resulting from
425   the misuse of snprintf(). The vulnerability is exploitable by
426   unauthenticated users.
427
428
429 strongswan-4.4.0
430 ----------------
431
432 - The IKEv2 High Availability plugin has been integrated. It provides
433   load sharing and failover capabilities in a cluster of currently two nodes,
434   based on an extend ClusterIP kernel module. More information is available at
435   http://wiki.strongswan.org/projects/strongswan/wiki/HighAvailability.
436   The development of the High Availability functionality was sponsored by
437   secunet Security Networks AG.
438
439 - Added IKEv1 and IKEv2 configuration support for the AES-GMAC
440   authentication-only ESP cipher. Our aes_gmac kernel patch or a Linux
441   2.6.34 kernel is required to make AES-GMAC available via the XFRM
442   kernel interface.
443
444 - Added support for Diffie-Hellman groups 22, 23 and 24 to the gmp, gcrypt
445   and openssl plugins, usable by both pluto and charon. The new proposal
446   keywords are modp1024s160, modp2048s224 and modp2048s256. Thanks to Joy Latten
447   from IBM for his contribution.
448
449 - The IKEv1 pluto daemon supports RAM-based virtual IP pools using
450   the rightsourceip directive with a subnet from which addresses
451   are allocated.
452
453 - The ipsec pki --gen and --pub commands now allow the output of
454   private and public keys in PEM format using the --outform pem
455   command line option.
456
457 - The new DHCP plugin queries virtual IP addresses for clients from a DHCP
458   server using broadcasts, or a defined server using the
459   charon.plugins.dhcp.server strongswan.conf option. DNS/WINS server information
460   is additionally served to clients if the DHCP server provides such
461   information. The plugin is used in ipsec.conf configurations having
462   rightsourceip set to %dhcp.
463
464 - A new plugin called farp fakes ARP responses for virtual IP addresses
465   handed out to clients from the IKEv2 daemon charon. The plugin lets a
466   road-warrior act as a client on the local LAN if it uses a virtual IP
467   from the responders subnet, e.g. acquired using the DHCP plugin.
468
469 - The existing IKEv2 socket implementations have been migrated to the
470   socket-default and the socket-raw plugins. The new socket-dynamic plugin
471   binds sockets dynamically to ports configured via the left-/rightikeport
472   ipsec.conf connection parameters.
473
474 - The android charon plugin stores received DNS server information as "net.dns"
475   system properties, as used by the Android platform.
476
477
478 strongswan-4.3.6
479 ----------------
480
481 - The IKEv2 daemon supports RFC 3779 IP address block constraints
482   carried as a critical X.509v3 extension in the peer certificate.
483
484 - The ipsec pool --add|del dns|nbns command manages DNS and NBNS name
485   server entries that are sent via the IKEv1 Mode Config or IKEv2
486   Configuration Payload to remote clients.
487
488 - The Camellia cipher can be used as an IKEv1 encryption algorithm.
489
490 - The IKEv1 and IKEV2 daemons now check certificate path length constraints.
491
492 - The new ipsec.conf conn option "inactivity" closes a CHILD_SA if no traffic
493   was sent or received within the given interval. To close the complete IKE_SA
494   if its only CHILD_SA was inactive, set the global strongswan.conf option
495   "charon.inactivity_close_ike" to yes.
496
497 - More detailed IKEv2 EAP payload information in debug output
498
499 - IKEv2 EAP-SIM and EAP-AKA share joint libsimaka library
500
501 - Added required userland changes for proper SHA256 and SHA384/512 in ESP that
502   will be introduced with Linux 2.6.33. The "sha256"/"sha2_256" keyword now
503   configures the kernel with 128 bit truncation, not the non-standard 96
504   bit truncation used by previous releases. To use the old 96 bit truncation
505   scheme, the new "sha256_96" proposal keyword has been introduced.
506
507 - Fixed IPComp in tunnel mode, stripping out the duplicated outer header. This
508   change makes IPcomp tunnel mode connections incompatible with previous
509   releases; disable compression on such tunnels.
510
511 - Fixed BEET mode connections on recent kernels by installing SAs with
512   appropriate traffic selectors, based on a patch by Michael Rossberg.
513
514 - Using extensions (such as BEET mode) and crypto algorithms (such as twofish,
515   serpent, sha256_96) allocated in the private use space now require that we
516   know its meaning, i.e. we are talking to strongSwan. Use the new
517   "charon.send_vendor_id" option in strongswan.conf to let the remote peer know
518   this is the case.
519
520 - Experimental support for draft-eronen-ipsec-ikev2-eap-auth, where the
521   responder omits public key authentication in favor of a mutual authentication
522   method. To enable EAP-only authentication, set rightauth=eap on the responder
523   to rely only on the MSK constructed AUTH payload. This not-yet standardized
524   extension requires the strongSwan vendor ID introduced above.
525
526 - The IKEv1 daemon ignores the Juniper SRX notification type 40001, thus
527   allowing interoperability.
528
529
530 strongswan-4.3.5
531 ----------------
532
533 - The IKEv1 pluto daemon can now use SQL-based address pools to deal out
534   virtual IP addresses as a Mode Config server. The pool capability has been
535   migrated from charon's sql plugin to a new attr-sql plugin which is loaded
536   by libstrongswan and which can be used by both daemons either with a SQLite
537   or MySQL database and the corresponding plugin.
538
539 - Plugin names have been streamlined: EAP plugins now have a dash after eap
540   (e.g. eap-sim), as it is used with the --enable-eap-sim ./configure option.
541   Plugin configuration sections in strongswan.conf now use the same name as the
542   plugin itself (i.e. with a dash). Make sure to update "load" directives and
543   the affected plugin sections in existing strongswan.conf files.
544
545 - The private/public key parsing and encoding has been split up into
546   separate pkcs1, pgp, pem and dnskey plugins. The public key implementation
547   plugins gmp, gcrypt and openssl can all make use of them.
548
549 - The EAP-AKA plugin can use different backends for USIM/quintuplet
550   calculations, very similar to the EAP-SIM plugin. The existing 3GPP2 software
551   implementation has been migrated to a separate plugin.
552
553 - The IKEv2 daemon charon gained basic PGP support. It can use locally installed
554   peer certificates and can issue signatures based on RSA private keys.
555
556 - The new 'ipsec pki' tool provides a set of commands to maintain a public
557   key infrastructure. It currently supports operations to create RSA and ECDSA
558   private/public keys, calculate fingerprints and issue or verify certificates.
559
560 - Charon uses a monotonic time source for statistics and job queueing, behaving
561   correctly if the system time changes (e.g. when using NTP).
562
563 - In addition to time based rekeying, charon supports IPsec SA lifetimes based
564   on processed volume or number of packets. They new ipsec.conf paramaters
565   'lifetime' (an alias to 'keylife'), 'lifebytes' and 'lifepackets' handle
566   SA timeouts, while the parameters 'margintime' (an alias to rekeymargin),
567   'marginbytes' and 'marginpackets' trigger the rekeying before a SA expires.
568   The existing parameter 'rekeyfuzz' affects all margins.
569
570 - If no CA/Gateway certificate is specified in the NetworkManager plugin,
571   charon uses a set of trusted root certificates preinstalled by distributions.
572   The directory containing CA certificates can be specified using the
573   --with-nm-ca-dir=path configure option.
574
575 - Fixed the encoding of the Email relative distinguished name in left|rightid
576   statements.
577
578 - Fixed the broken parsing of PKCS#7 wrapped certificates by the pluto daemon.
579
580 - Fixed smartcard-based authentication in the pluto daemon which was broken by
581   the ECDSA support introduced with the 4.3.2 release.
582
583 - A patch contributed by Heiko Hund fixes mixed IPv6 in IPv4 and vice versa
584   tunnels established with the IKEv1 pluto daemon.
585
586 - The pluto daemon now uses the libstrongswan x509 plugin for certificates and
587   CRls and the struct id type was replaced by identification_t used by charon
588   and the libstrongswan library.
589
590
591 strongswan-4.3.4
592 ----------------
593
594 - IKEv2 charon daemon ported to FreeBSD and Mac OS X. Installation details can
595   be found on wiki.strongswan.org.
596
597 - ipsec statusall shows the number of bytes transmitted and received over
598   ESP connections configured by the IKEv2 charon daemon.
599
600 - The IKEv2 charon daemon supports include files in ipsec.secrets.
601
602
603 strongswan-4.3.3
604 ----------------
605
606 - The configuration option --enable-integrity-test plus the strongswan.conf
607   option libstrongswan.integrity_test = yes activate integrity tests
608   of the IKE daemons charon and pluto, libstrongswan and all loaded
609   plugins. Thus dynamic library misconfigurations and non-malicious file
610   manipulations can be reliably detected.
611
612 - The new default setting libstrongswan.ecp_x_coordinate_only=yes allows
613   IKEv1 interoperability with MS Windows using the ECP DH groups 19 and 20.
614
615 - The IKEv1 pluto daemon now supports the AES-CCM and AES-GCM ESP
616   authenticated encryption algorithms.
617
618 - The IKEv1 pluto daemon now supports V4 OpenPGP keys.
619
620 - The RDN parser vulnerability discovered by Orange Labs research team
621   was not completely fixed in version 4.3.2. Some more modifications
622   had to be applied to the asn1_length() function to make it robust.
623
624
625 strongswan-4.3.2
626 ----------------
627
628 - The new gcrypt plugin provides symmetric cipher, hasher, RNG, Diffie-Hellman
629   and RSA crypto primitives using the LGPL licensed GNU gcrypt library.
630
631 - libstrongswan features an integrated crypto selftest framework for registered
632   algorithms. The test-vector plugin provides a first set of test vectors and
633   allows pluto and charon to rely on tested crypto algorithms.
634
635 - pluto can now use all libstrongswan plugins with the exception of x509 and xcbc.
636   Thanks to the openssl plugin, the ECP Diffie-Hellman groups 19, 20, 21, 25, and
637   26 as well as ECDSA-256, ECDSA-384, and ECDSA-521 authentication can be used
638   with IKEv1.
639
640 - Applying their fuzzing tool, the Orange Labs vulnerability research team found
641   another two DoS vulnerabilities, one in the rather old ASN.1 parser of Relative
642   Distinguished Names (RDNs) and a second one in the conversion of ASN.1 UTCTIME
643   and GENERALIZEDTIME strings to a time_t value.
644
645
646 strongswan-4.3.1
647 ----------------
648
649 - The nm plugin now passes DNS/NBNS server information to NetworkManager,
650   allowing a gateway administrator to set DNS/NBNS configuration on clients
651   dynamically.
652
653 - The nm plugin also accepts CA certificates for gateway authentication. If
654   a CA certificate is configured, strongSwan uses the entered gateway address
655   as its idenitity, requiring the gateways certificate to contain the same as
656   subjectAltName. This allows a gateway administrator to deploy the same
657   certificates to Windows 7 and NetworkManager clients.
658
659 - The command ipsec purgeike deletes IKEv2 SAs that don't have a CHILD SA.
660   The command ipsec down <conn>{n} deletes CHILD SA instance n of connection
661   <conn> whereas ipsec down <conn>{*} deletes all CHILD SA instances.
662   The command ipsec down <conn>[n] deletes IKE SA instance n of connection
663   <conn> plus dependent CHILD SAs whereas ipsec down <conn>[*] deletes all
664   IKE SA instances of connection <conn>.
665
666 - Fixed a regression introduced in 4.3.0 where EAP authentication calculated
667   the AUTH payload incorrectly. Further, the EAP-MSCHAPv2 MSK key derivation
668   has been updated to be compatible with the Windows 7 Release Candidate.
669
670 - Refactored installation of triggering policies. Routed policies are handled
671   outside of IKE_SAs to keep them installed in any case. A tunnel gets
672   established only once, even if initiation is delayed due network outages.
673
674 - Improved the handling of multiple acquire signals triggered by the kernel.
675
676 - Fixed two DoS vulnerabilities in the charon daemon that were discovered by
677   fuzzing techniques: 1) Sending a malformed IKE_SA_INIT request leaved an
678   incomplete state which caused a null pointer dereference if a subsequent
679   CREATE_CHILD_SA request was sent. 2) Sending an IKE_AUTH request with either
680   a missing TSi or TSr payload caused a null pointer derefence because the
681   checks for TSi and TSr were interchanged. The IKEv2 fuzzer used was
682   developed by the Orange Labs vulnerability research team. The tool was
683   initially written by Gabriel Campana and is now maintained by Laurent Butti.
684
685 - Added support for AES counter mode in ESP in IKEv2 using the proposal
686   keywords aes128ctr, aes192ctr and aes256ctr.
687
688 - Further progress in refactoring pluto: Use of the curl and ldap plugins
689   for fetching crls and OCSP. Use of the random plugin to get keying material
690   from /dev/random or /dev/urandom. Use of the openssl plugin as an alternative
691   to the aes, des, sha1, sha2, and md5 plugins. The blowfish, twofish, and
692   serpent encryption plugins are now optional and are not enabled by default.
693
694
695 strongswan-4.3.0
696 ----------------
697
698 - Support for the IKEv2 Multiple Authentication Exchanges extension (RFC4739).
699   Initiators and responders can use several authentication rounds (e.g. RSA
700   followed by EAP) to authenticate. The new ipsec.conf leftauth/rightauth and
701   leftauth2/rightauth2 parameters define own authentication rounds or setup
702   constraints for the remote peer. See the ipsec.conf man page for more detials.
703
704 - If glibc printf hooks (register_printf_function) are not available,
705   strongSwan can use the vstr string library to run on non-glibc systems.
706
707 - The IKEv2 charon daemon can now configure the ESP CAMELLIA-CBC cipher
708   (esp=camellia128|192|256).
709
710 - Refactored the pluto and scepclient code to use basic functions (memory
711   allocation, leak detective, chunk handling, printf_hooks, strongswan.conf
712   attributes, ASN.1 parser, etc.) from the libstrongswan library.
713
714 - Up to two DNS and WINS servers to be sent via IKEv1 ModeConfig can be
715   configured in the pluto section of strongswan.conf.
716
717
718 strongswan-4.2.14
719 -----------------
720
721 - The new server-side EAP RADIUS plugin (--enable-eap-radius)
722   relays EAP messages to and from a RADIUS server. Successfully
723   tested with with a freeradius server using EAP-MD5 and EAP-SIM.
724
725 - A vulnerability in the Dead Peer Detection (RFC 3706) code was found by
726   Gerd v. Egidy <gerd.von.egidy@intra2net.com> of Intra2net AG affecting
727   all Openswan and strongSwan releases. A malicious (or expired ISAKMP)
728   R_U_THERE or R_U_THERE_ACK Dead Peer Detection packet can cause the
729   pluto IKE daemon to crash and restart. No authentication or encryption
730   is required to trigger this bug. One spoofed UDP packet can cause the
731   pluto IKE daemon to restart and be unresponsive for a few seconds while
732   restarting. This DPD null state vulnerability has been officially
733   registered as CVE-2009-0790 and is fixed by this release.
734
735 - ASN.1 to time_t conversion caused a time wrap-around for
736   dates after Jan 18 03:14:07 UTC 2038 on 32-bit platforms.
737   As a workaround such dates are set to the maximum representable
738   time, i.e. Jan 19 03:14:07 UTC 2038.
739
740 - Distinguished Names containing wildcards (*) are not sent in the
741   IDr payload anymore.
742
743
744 strongswan-4.2.13
745 -----------------
746
747 - Fixed a use-after-free bug in the DPD timeout section of the
748   IKEv1 pluto daemon which sporadically caused a segfault.
749
750 - Fixed a crash in the IKEv2 charon daemon occurring with
751   mixed RAM-based and SQL-based virtual IP address pools.
752
753 - Fixed ASN.1 parsing of algorithmIdentifier objects where the
754   parameters field is optional.
755
756 - Ported nm plugin to NetworkManager 7.1.
757
758
759 strongswan-4.2.12
760 -----------------
761
762 - Support of the EAP-MSCHAPv2 protocol enabled by the option
763   --enable-eap-mschapv2. Requires the MD4 hash algorithm enabled
764   either by --enable-md4 or --enable-openssl.
765
766 - Assignment of up to two DNS and up to two WINS servers to peers via
767   the IKEv2 Configuration Payload (CP). The IPv4 or IPv6 nameserver
768   addresses are defined in strongswan.conf.
769
770 - The strongSwan applet for the Gnome NetworkManager is now built and
771   distributed as a separate tarball under the name NetworkManager-strongswan.
772
773
774 strongswan-4.2.11
775 -----------------
776
777 - Fixed ESP NULL encryption broken by the refactoring of keymat.c.
778   Also introduced proper initialization and disposal of keying material.
779
780 - Fixed the missing listing of connection definitions in ipsec statusall
781   broken by an unfortunate local variable overload.
782
783
784 strongswan-4.2.10
785 -----------------
786
787 - Several performance improvements to handle thousands of tunnels with almost
788   linear upscaling. All relevant data structures have been replaced by faster
789   counterparts with better lookup times.
790
791 - Better parallelization to run charon on multiple cores. Due to improved
792   ressource locking and other optimizations the daemon can take full
793   advantage of 16 or even more cores.
794
795 - The load-tester plugin can use a NULL Diffie-Hellman group and simulate
796   unique identities and certificates by signing peer certificates using a CA
797   on the fly.
798
799 - The redesigned stroke in-memory IP pool handles leases. The "ipsec leases"
800   command queries assigned leases.
801
802 - Added support for smartcards in charon by using the ENGINE API provided by
803   OpenSSL, based on patches by Michael Ro├čberg.
804
805 - The Padlock plugin supports the hardware RNG found on VIA CPUs to provide a
806   reliable source of randomness.
807
808 strongswan-4.2.9
809 ----------------
810
811 - Flexible configuration of logging subsystem allowing to log to multiple
812   syslog facilities or to files using fine-grained log levels for each target.
813
814 - Load testing plugin to do stress testing of the IKEv2 daemon against self
815   or another host. Found and fixed issues during tests in the multi-threaded
816   use of the OpenSSL plugin.
817
818 - Added profiling code to synchronization primitives to find bottlenecks if
819   running on multiple cores. Found and fixed an issue where parts of the
820   Diffie-Hellman calculation acquired an exclusive lock. This greatly improves
821   parallelization to multiple cores.
822
823 - updown script invocation has been separated into a plugin of its own to
824   further slim down the daemon core.
825
826 - Separated IKE_SA/CHILD_SA key derivation process into a closed system,
827   allowing future implementations to use a secured environment in e.g. kernel
828   memory or hardware.
829
830 - The kernel interface of charon has been modularized. XFRM NETLINK (default)
831   and PFKEY (--enable-kernel-pfkey) interface plugins for the native IPsec
832   stack of the Linux 2.6 kernel as well as a PFKEY interface for the KLIPS
833   IPsec stack (--enable-kernel-klips) are provided.
834
835 - Basic Mobile IPv6 support has been introduced, securing Binding Update
836   messages as well as tunneled traffic between Mobile Node and Home Agent.
837   The installpolicy=no option allows peaceful cooperation with a dominant
838   mip6d daemon and the new type=transport_proxy implements the special MIPv6
839   IPsec transport proxy mode where the IKEv2 daemon uses the Care-of-Address
840   but the IPsec SA is set up for the Home Address.
841
842 - Implemented migration of Mobile IPv6 connections using the KMADDRESS
843   field contained in XFRM_MSG_MIGRATE messages sent by the mip6d daemon
844   via the Linux 2.6.28 (or appropriately patched) kernel.
845
846
847 strongswan-4.2.8
848 ----------------
849
850 - IKEv2 charon daemon supports authentication based on raw public keys
851   stored in the SQL database backend. The ipsec listpubkeys command
852   lists the available raw public keys via the stroke interface.
853
854 - Several MOBIKE improvements: Detect changes in NAT mappings in DPD exchanges,
855   handle events if kernel detects NAT mapping changes in UDP-encapsulated
856   ESP packets (requires kernel patch), reuse old addesses in MOBIKE updates as
857   long as possible and other fixes.
858
859 - Fixed a bug in addr_in_subnet() which caused insertion of wrong source
860   routes for destination subnets having netwmasks not being a multiple of 8 bits.
861   Thanks go to Wolfgang Steudel, TU Ilmenau for reporting this bug.
862
863
864 strongswan-4.2.7
865 ----------------
866
867 - Fixed a Denial-of-Service vulnerability where an IKE_SA_INIT message with
868   a KE payload containing zeroes only can cause a crash of the IKEv2 charon
869   daemon due to a NULL pointer returned by the mpz_export() function of the
870   GNU Multiprecision Library (GMP). Thanks go to Mu Dynamics Research Labs
871   for making us aware of this problem.
872
873 - The new agent plugin provides a private key implementation on top of an
874   ssh-agent.
875
876 - The NetworkManager plugin has been extended to support certificate client
877   authentication using RSA keys loaded from a file or using ssh-agent.
878
879 - Daemon capability dropping has been ported to libcap and must be enabled
880   explicitly --with-capabilities=libcap. Future version will support the
881   newer libcap2 library.
882
883 - ipsec listalgs lists the IKEv2 cryptografic algorithms registered with the
884   charon keying daemon.
885
886
887 strongswan-4.2.6
888 ----------------
889
890 - A NetworkManager plugin allows GUI-based configuration of road-warrior
891   clients in a simple way. It features X509 based gateway authentication
892   and EAP client authentication, tunnel setup/teardown and storing passwords
893   in the Gnome Keyring.
894
895 - A new EAP-GTC plugin implements draft-sheffer-ikev2-gtc-00.txt and allows
896   username/password authentication against any PAM service on the gateway.
897   The new EAP method interacts nicely with the NetworkManager plugin and allows
898   client authentication against e.g. LDAP.
899
900 - Improved support for the EAP-Identity method. The new ipsec.conf eap_identity
901   parameter defines an additional identity to pass to the server in EAP
902   authentication.
903
904 - The "ipsec statusall" command now lists CA restrictions, EAP
905   authentication types and EAP identities.
906
907 - Fixed two multithreading deadlocks occurring when starting up
908   several hundred tunnels concurrently.
909
910 - Fixed the --enable-integrity-test configure option which
911   computes a SHA-1 checksum over the libstrongswan library.
912
913
914 strongswan-4.2.5
915 ----------------
916
917 - Consistent logging of IKE and CHILD SAs at the audit (AUD) level.
918
919 - Improved the performance of the SQL-based virtual IP address pool
920   by introducing an additional addresses table. The leases table
921   storing only history information has become optional and can be
922   disabled by setting charon.plugins.sql.lease_history = no in
923   strongswan.conf.
924
925 - The XFRM_STATE_AF_UNSPEC flag added to xfrm.h allows IPv4-over-IPv6
926   and IPv6-over-IPv4 tunnels with the 2.6.26 and later Linux kernels.
927
928 - management of different virtual IP pools for different
929   network interfaces have become possible.
930
931 - fixed a bug which prevented the assignment of more than 256
932   virtual IP addresses from a pool managed by an sql database.
933
934 - fixed a bug which did not delete own IPCOMP SAs in the kernel.
935
936
937 strongswan-4.2.4
938 ----------------
939
940 - Added statistics functions to ipsec pool --status and ipsec pool --leases
941   and input validation checks to various ipsec pool commands.
942
943 - ipsec statusall now lists all loaded charon plugins and displays
944   the negotiated IKEv2 cipher suite proposals.
945
946 - The openssl plugin supports the elliptic curve Diffie-Hellman groups
947   19, 20, 21, 25, and 26.
948
949 - The openssl plugin supports ECDSA authentication using elliptic curve
950   X.509 certificates.
951
952 - Fixed a bug in stroke which caused multiple charon threads to close
953   the file descriptors during packet transfers over the stroke socket.
954
955 - ESP sequence numbers are now migrated in IPsec SA updates handled by
956   MOBIKE. Works only with Linux kernels >= 2.6.17.
957
958
959 strongswan-4.2.3
960 ----------------
961
962 - Fixed the strongswan.conf path configuration problem that occurred when
963   --sysconfig was not set explicitly in ./configure.
964
965 - Fixed a number of minor bugs that where discovered during the 4th
966   IKEv2 interoperability workshop in San Antonio, TX.
967
968
969 strongswan-4.2.2
970 ----------------
971
972 - Plugins for libstrongswan and charon can optionally be loaded according
973   to a configuration in strongswan.conf. Most components provide a
974   "load = " option followed by a space separated list of plugins to load.
975   This allows e.g. the fallback from a hardware crypto accelerator to
976   to software-based crypto plugins.
977
978 - Charons SQL plugin has been extended by a virtual IP address pool.
979   Configurations with a rightsourceip=%poolname setting query a SQLite or
980   MySQL database for leases. The "ipsec pool" command helps in administrating
981   the pool database. See ipsec pool --help for the available options
982
983 - The Authenticated Encryption Algorithms AES-CCM-8/12/16 and AES-GCM-8/12/16
984   for ESP are now supported starting with the Linux 2.6.25 kernel. The
985   syntax is e.g. esp=aes128ccm12 or esp=aes256gcm16.
986
987
988 strongswan-4.2.1
989 ----------------
990
991 - Support for "Hash and URL" encoded certificate payloads has been implemented
992   in the IKEv2 daemon charon. Using the "certuribase" option of a CA section
993   allows to assign a base URL to all certificates issued by the specified CA.
994   The final URL is then built by concatenating that base and the hex encoded
995   SHA1 hash of the DER encoded certificate. Note that this feature is disabled
996   by default and must be enabled using the option "charon.hash_and_url".
997
998 - The IKEv2 daemon charon now supports the "uniqueids" option to close multiple
999   IKE_SAs with the same peer. The option value "keep" prefers existing
1000   connection setups over new ones, where the value "replace" replaces existing
1001   connections.
1002
1003 - The crypto factory in libstrongswan additionally supports random number
1004   generators, plugins may provide other sources of randomness. The default
1005   plugin reads raw random data from /dev/(u)random.
1006
1007 - Extended the credential framework by a caching option to allow plugins
1008   persistent caching of fetched credentials. The "cachecrl" option has been
1009   re-implemented.
1010
1011 - The new trustchain verification introduced in 4.2.0 has been parallelized.
1012   Threads fetching CRL or OCSP information no longer block other threads.
1013
1014 - A new IKEv2 configuration attribute framework has been introduced allowing
1015   plugins to provide virtual IP addresses, and in the future, other
1016   configuration attribute services (e.g. DNS/WINS servers).
1017
1018 - The stroke plugin has been extended to provide virtual IP addresses from
1019   a pool defined in ipsec.conf. The "rightsourceip" parameter now accepts
1020   address pools in CIDR notation (e.g. 10.1.1.0/24). The parameter also accepts
1021   the value "%poolname", where "poolname" identifies a pool provided by a
1022   separate plugin.
1023
1024 - Fixed compilation on uClibc and a couple of other minor bugs.
1025
1026 - Set DPD defaults in ipsec starter to dpd_delay=30s and dpd_timeout=150s.
1027
1028 - The IKEv1 pluto daemon now supports the ESP encryption algorithm CAMELLIA
1029   with key lengths of 128, 192, and 256 bits, as well as the authentication
1030   algorithm AES_XCBC_MAC. Configuration example: esp=camellia192-aesxcbc.
1031
1032
1033 strongswan-4.2.0
1034 ----------------
1035
1036 - libstrongswan has been modularized to attach crypto algorithms,
1037   credential implementations (keys, certificates) and fetchers dynamically
1038   through plugins. Existing code has been ported to plugins:
1039     - RSA/Diffie-Hellman implementation using the GNU Multi Precision library
1040     - X509 certificate system supporting CRLs, OCSP and attribute certificates
1041     - Multiple plugins providing crypto algorithms in software
1042     - CURL and OpenLDAP fetcher
1043
1044 - libstrongswan gained a relational database API which uses pluggable database
1045   providers. Plugins for MySQL and SQLite are available.
1046
1047 - The IKEv2 keying daemon charon is more extensible. Generic plugins may provide
1048   connection configuration, credentials and EAP methods or control the daemon.
1049   Existing code has been ported to plugins:
1050     - EAP-AKA, EAP-SIM, EAP-MD5 and EAP-Identity
1051     - stroke configuration, credential and control (compatible to pluto)
1052     - XML bases management protocol to control and query the daemon
1053   The following new plugins are available:
1054     - An experimental SQL configuration, credential and logging plugin on
1055       top of either MySQL or SQLite
1056     - A unit testing plugin to run tests at daemon startup
1057
1058 - The authentication and credential framework in charon has been heavily
1059   refactored to support modular credential providers, proper
1060   CERTREQ/CERT payload exchanges and extensible authorization rules.
1061
1062 - The framework of strongSwan Manager has envolved to the web application
1063   framework libfast (FastCGI Application Server w/ Templates) and is usable
1064   by other applications.
1065
1066
1067 strongswan-4.1.11
1068 -----------------
1069
1070 - IKE rekeying in NAT situations did not inherit the NAT conditions
1071   to the rekeyed IKE_SA so that the UDP encapsulation was lost with
1072   the next CHILD_SA rekeying.
1073
1074 - Wrong type definition of the next_payload variable in id_payload.c
1075   caused an INVALID_SYNTAX error on PowerPC platforms.
1076
1077 - Implemented IKEv2 EAP-SIM server and client test modules that use
1078   triplets stored in a file. For details on the configuration see
1079   the scenario 'ikev2/rw-eap-sim-rsa'.
1080
1081
1082 strongswan-4.1.10
1083 -----------------
1084
1085 - Fixed error in the ordering of the certinfo_t records in the ocsp cache that
1086   caused multiple entries of the same serial number to be created.
1087
1088 - Implementation of a simple EAP-MD5 module which provides CHAP
1089   authentication. This may be interesting in conjunction with certificate
1090   based server authentication, as weak passwords can't be brute forced
1091   (in contradiction to traditional IKEv2 PSK).
1092
1093 - A complete software based implementation of EAP-AKA, using algorithms
1094   specified in 3GPP2 (S.S0055). This implementation does not use an USIM,
1095   but reads the secrets from ipsec.secrets. Make sure to read eap_aka.h
1096   before using it.
1097
1098 - Support for vendor specific EAP methods using Expanded EAP types. The
1099   interface to EAP modules has been slightly changed, so make sure to
1100   check the changes if you're already rolling your own modules.
1101
1102
1103 strongswan-4.1.9
1104 ----------------
1105
1106 - The default _updown script now dynamically inserts and removes ip6tables
1107   firewall rules if leftfirewall=yes is set in IPv6 connections. New IPv6
1108   net-net and roadwarrior (PSK/RSA) scenarios for both IKEv1 and IKEV2 were
1109   added.
1110
1111 - Implemented RFC4478 repeated authentication to force EAP/Virtual-IP clients
1112   to reestablish an IKE_SA within a given timeframe.
1113
1114 - strongSwan Manager supports configuration listing, initiation and termination
1115   of IKE and CHILD_SAs.
1116
1117 - Fixes and improvements to multithreading code.
1118
1119 - IKEv2 plugins have been renamed to libcharon-* to avoid naming conflicts.
1120   Make sure to remove the old plugins in $libexecdir/ipsec, otherwise they get
1121   loaded twice.
1122
1123
1124 strongswan-4.1.8
1125 ----------------
1126
1127 - Removed recursive pthread mutexes since uClibc doesn't support them.
1128
1129
1130 strongswan-4.1.7
1131 ----------------
1132
1133 - In NAT traversal situations and multiple queued Quick Modes,
1134   those pending connections inserted by auto=start after the
1135   port floating from 500 to 4500 were erronously deleted.
1136
1137 - Added a "forceencaps" connection parameter to enforce UDP encapsulation
1138   to surmount restrictive firewalls. NAT detection payloads are faked to
1139   simulate a NAT situation and trick the other peer into NAT mode (IKEv2 only).
1140
1141 - Preview of strongSwan Manager, a web based configuration and monitoring
1142   application. It uses a new XML control interface to query the IKEv2 daemon
1143   (see http://wiki.strongswan.org/wiki/Manager).
1144
1145 - Experimental SQLite configuration backend which will provide the configuration
1146   interface for strongSwan Manager in future releases.
1147
1148 - Further improvements to MOBIKE support.
1149
1150
1151 strongswan-4.1.6
1152 ----------------
1153
1154 - Since some third party IKEv2 implementations run into
1155   problems with strongSwan announcing MOBIKE capability per
1156   default, MOBIKE can be disabled on a per-connection-basis
1157   using the mobike=no option. Whereas mobike=no disables the
1158   sending of the MOBIKE_SUPPORTED notification and the floating
1159   to UDP port 4500 with the IKE_AUTH request even if no NAT
1160   situation has been detected, strongSwan will still support
1161   MOBIKE acting as a responder.
1162
1163 - the default ipsec routing table plus its corresponding priority
1164   used for inserting source routes has been changed from 100 to 220.
1165   It can be configured using the --with-ipsec-routing-table and
1166   --with-ipsec-routing-table-prio options.
1167
1168 - the --enable-integrity-test configure option tests the
1169   integrity of the libstrongswan crypto code during the charon
1170   startup.
1171
1172 - the --disable-xauth-vid configure option disables the sending
1173   of the XAUTH vendor ID. This can be used as a workaround when
1174   interoperating with some Windows VPN clients that get into
1175   trouble upon reception of an XAUTH VID without eXtended
1176   AUTHentication having been configured.
1177
1178 - ipsec stroke now supports the rereadsecrets, rereadaacerts,
1179   rereadacerts, and listacerts options.
1180
1181
1182 strongswan-4.1.5
1183 ----------------
1184
1185 - If a DNS lookup failure occurs when resolving right=%<FQDN>
1186   or right=<FQDN> combined with rightallowany=yes then the
1187   connection is not updated by ipsec starter thus preventing
1188   the disruption of an active IPsec connection. Only if the DNS
1189   lookup successfully returns with a changed IP address the
1190   corresponding connection definition is updated.
1191
1192 - Routes installed by the keying daemons are now in a separate
1193   routing table with the ID 100 to avoid conflicts with the main
1194   table. Route lookup for IKEv2 traffic is done in userspace to ignore
1195   routes installed for IPsec, as IKE traffic shouldn't get encapsulated.
1196
1197
1198 strongswan-4.1.4
1199 ----------------
1200
1201 - The pluto IKEv1 daemon now exhibits the same behaviour as its
1202   IKEv2 companion charon by inserting an explicit route via the
1203   _updown script only if a sourceip exists. This is admissible
1204   since routing through the IPsec tunnel is handled automatically
1205   by NETKEY's IPsec policies. As a consequence the left|rightnexthop
1206   parameter is not required any more.
1207
1208 - The new IKEv1 parameter right|leftallowany parameters helps to handle
1209   the case where both peers possess dynamic IP addresses that are
1210   usually resolved using DynDNS or a similar service. The configuration
1211
1212     right=peer.foo.bar
1213     rightallowany=yes
1214
1215   can be used by the initiator to start up a connection to a peer
1216   by resolving peer.foo.bar into the currently allocated IP address.
1217   Thanks to the rightallowany flag the connection behaves later on
1218   as
1219
1220    right=%any
1221
1222   so that the peer can rekey the connection as an initiator when his
1223   IP address changes. An alternative notation is
1224
1225     right=%peer.foo.bar
1226
1227   which will implicitly set rightallowany=yes.
1228
1229 - ipsec starter now fails more gracefully in the presence of parsing
1230   errors. Flawed ca and conn section are discarded and pluto is started
1231   if non-fatal errors only were encountered. If right=%peer.foo.bar
1232   cannot be resolved by DNS then right=%any will be used so that passive
1233   connections as a responder are still possible.
1234
1235 - The new pkcs11initargs parameter that can be placed in the
1236   setup config section of /etc/ipsec.conf allows the definition
1237   of an argument string that is used with the PKCS#11 C_Initialize()
1238   function. This non-standard feature is required by the NSS softoken
1239   library. This patch was contributed by Robert Varga.
1240
1241 - Fixed a bug in ipsec starter introduced by strongswan-2.8.5
1242   which caused a segmentation fault in the presence of unknown
1243   or misspelt keywords in ipsec.conf. This bug fix was contributed
1244   by Robert Varga.
1245
1246 - Partial support for MOBIKE in IKEv2. The initiator acts on interface/
1247   address configuration changes and updates IKE and IPsec SAs dynamically.
1248
1249
1250 strongswan-4.1.3
1251 ----------------
1252
1253 - IKEv2 peer configuration selection now can be based on a given
1254   certification authority using the rightca= statement.
1255
1256 - IKEv2 authentication based on RSA signatures now can handle multiple
1257   certificates issued for a given peer ID. This allows a smooth transition
1258   in the case of a peer certificate renewal.
1259
1260 - IKEv2: Support for requesting a specific virtual IP using leftsourceip on the
1261   client and returning requested virtual IPs using rightsourceip=%config
1262   on the server. If the server does not support configuration payloads, the
1263   client enforces its leftsourceip parameter.
1264
1265 - The ./configure options --with-uid/--with-gid allow pluto and charon
1266   to drop their privileges to a minimum and change to an other UID/GID. This
1267   improves the systems security, as a possible intruder may only get the
1268   CAP_NET_ADMIN capability.
1269
1270 - Further modularization of charon: Pluggable control interface and
1271   configuration backend modules provide extensibility. The control interface
1272   for stroke is included, and further interfaces using DBUS (NetworkManager)
1273   or XML are on the way. A backend for storing configurations in the daemon
1274   is provided and more advanced backends (using e.g. a database) are trivial
1275   to implement.
1276
1277  - Fixed a compilation failure in libfreeswan occurring with Linux kernel
1278    headers > 2.6.17.
1279
1280
1281 strongswan-4.1.2
1282 ----------------
1283
1284 - Support for an additional Diffie-Hellman exchange when creating/rekeying
1285   a CHILD_SA in IKEv2 (PFS). PFS is enabled when the proposal contains a
1286   DH group (e.g. "esp=aes128-sha1-modp1536"). Further, DH group negotiation
1287   is implemented properly for rekeying.
1288
1289 - Support for the AES-XCBC-96 MAC algorithm for IPsec SAs when using IKEv2
1290   (requires linux >= 2.6.20). It is enabled using e.g. "esp=aes256-aesxcbc".
1291
1292 - Working IPv4-in-IPv6 and IPv6-in-IPv4 tunnels for linux >= 2.6.21.
1293
1294 - Added support for EAP modules which do not establish an MSK.
1295
1296 - Removed the dependencies from the /usr/include/linux/ headers by
1297   including xfrm.h, ipsec.h, and pfkeyv2.h in the distribution.
1298
1299 - crlNumber is now listed by ipsec listcrls
1300
1301 - The xauth_modules.verify_secret() function now passes the
1302   connection name.
1303
1304
1305 strongswan-4.1.1
1306 ----------------
1307
1308 - Server side cookie support. If to may IKE_SAs are in CONNECTING state,
1309   cookies are enabled and protect against DoS attacks with faked source
1310   addresses. Number of IKE_SAs in CONNECTING state is also limited per
1311   peer address to avoid resource exhaustion. IKE_SA_INIT messages are
1312   compared to properly detect retransmissions and incoming retransmits are
1313   detected even if the IKE_SA is blocked (e.g. doing OCSP fetches).
1314
1315 - The IKEv2 daemon charon now supports dynamic http- and ldap-based CRL
1316   fetching enabled by crlcheckinterval > 0 and caching fetched CRLs
1317   enabled by cachecrls=yes.
1318
1319 - Added the configuration options --enable-nat-transport which enables
1320   the potentially insecure NAT traversal for IPsec transport mode and
1321   --disable-vendor-id which disables the sending of the strongSwan
1322   vendor ID.
1323
1324 - Fixed a long-standing bug in the pluto IKEv1 daemon which caused
1325   a segmentation fault if a malformed payload was detected in the
1326   IKE MR2 message and pluto tried to send an encrypted notification
1327   message.
1328
1329 - Added the NATT_IETF_02_N Vendor ID in order to support IKEv1 connections
1330   with Windows 2003 Server which uses a wrong VID hash.
1331
1332
1333 strongswan-4.1.0
1334 ----------------
1335
1336 - Support of SHA2_384 hash function for protecting IKEv1
1337   negotiations and support of SHA2 signatures in X.509 certificates.
1338
1339 - Fixed a serious bug in the computation of the SHA2-512 HMAC
1340   function. Introduced automatic self-test of all IKEv1 hash
1341   and hmac functions during pluto startup. Failure of a self-test
1342   currently issues a warning only but does not exit pluto [yet].
1343
1344 - Support for SHA2-256/384/512 PRF and HMAC functions in IKEv2.
1345
1346 - Full support of CA information sections. ipsec listcainfos
1347   now shows all collected crlDistributionPoints and OCSP
1348   accessLocations.
1349
1350 - Support of the Online Certificate Status Protocol (OCSP) for IKEv2.
1351   This feature requires the HTTP fetching capabilities of the libcurl
1352   library which must be enabled by setting the --enable-http configure
1353   option.
1354
1355 - Refactored core of the IKEv2 message processing code, allowing better
1356   code reuse and separation.
1357
1358 - Virtual IP support in IKEv2 using INTERNAL_IP4/6_ADDRESS configuration
1359   payload. Additionally, the INTERNAL_IP4/6_DNS attribute is interpreted
1360   by the requestor and installed in a resolv.conf file.
1361
1362 - The IKEv2 daemon charon installs a route for each IPsec policy to use
1363   the correct source address even if an application does not explicitly
1364   specify it.
1365
1366 - Integrated the EAP framework into charon which loads pluggable EAP library
1367   modules. The ipsec.conf parameter authby=eap initiates EAP authentication
1368   on the client side, while the "eap" parameter on the server side defines
1369   the EAP method to use for client authentication.
1370   A generic client side EAP-Identity module and an EAP-SIM authentication
1371   module using a third party card reader implementation are included.
1372
1373 - Added client side support for cookies.
1374
1375 - Integrated the fixes done at the IKEv2 interoperability bakeoff, including
1376   strict payload order, correct INVALID_KE_PAYLOAD rejection and other minor
1377   fixes to enhance interoperability with other implementations.
1378
1379
1380 strongswan-4.0.7
1381 ----------------
1382
1383 - strongSwan now interoperates with the NCP Secure Entry Client,
1384   the Shrew Soft VPN Client, and the Cisco VPN client, doing both
1385   XAUTH and Mode Config.
1386
1387 - UNITY attributes are now recognized and UNITY_BANNER is set
1388   to a default string.
1389
1390
1391 strongswan-4.0.6
1392 ----------------
1393
1394 - IKEv1: Support for extended authentication (XAUTH) in combination
1395   with ISAKMP Main Mode RSA or PSK authentication. Both client and
1396   server side were implemented. Handling of user credentials can
1397   be done by a run-time loadable XAUTH module. By default user
1398   credentials are stored in ipsec.secrets.
1399
1400 - IKEv2: Support for reauthentication when rekeying
1401
1402 - IKEv2: Support for transport mode
1403
1404 - fixed a lot of bugs related to byte order
1405
1406 - various other bugfixes
1407
1408
1409 strongswan-4.0.5
1410 ----------------
1411
1412 - IKEv1: Implementation of ModeConfig push mode via the new connection
1413   keyword modeconfig=push allows interoperability with Cisco VPN gateways.
1414
1415 - IKEv1: The command ipsec statusall now shows "DPD active" for all
1416   ISAKMP SAs that are under active Dead Peer Detection control.
1417
1418 - IKEv2: Charon's logging and debugging framework has been completely rewritten.
1419   Instead of logger, special printf() functions are used to directly
1420   print objects like hosts (%H) identifications (%D), certificates (%Q),
1421   etc. The number of debugging levels have been reduced to:
1422
1423     0 (audit), 1 (control), 2 (controlmore),  3 (raw), 4 (private)
1424
1425   The debugging levels can either be specified statically in ipsec.conf as
1426
1427     config setup
1428            charondebug="lib 1, cfg 3, net 2"
1429
1430   or changed at runtime via stroke as
1431
1432     ipsec stroke loglevel cfg 2
1433
1434
1435 strongswan-4.0.4
1436 ----------------
1437
1438 - Implemented full support for IPv6-in-IPv6 tunnels.
1439
1440 - Added configuration options for dead peer detection in IKEv2. dpd_action
1441   types "clear", "hold" and "restart" are supported. The dpd_timeout
1442   value is not used, as the normal retransmission policy applies to
1443   detect dead peers. The dpd_delay parameter enables sending of empty
1444   informational message to detect dead peers in case of inactivity.
1445
1446 - Added support for preshared keys in IKEv2. PSK keys configured in
1447   ipsec.secrets are loaded. The authby parameter specifies the authentication
1448   method to authentificate ourself, the other peer may use PSK or RSA.
1449
1450 - Changed retransmission policy to respect the keyingtries parameter.
1451
1452 - Added private key decryption. PEM keys encrypted with AES-128/192/256
1453   or 3DES are supported.
1454
1455 - Implemented DES/3DES algorithms in libstrongswan. 3DES can be used to
1456   encrypt IKE traffic.
1457
1458 - Implemented SHA-256/384/512 in libstrongswan, allows usage of certificates
1459   signed with such a hash algorithm.
1460
1461 - Added initial support for updown scripts. The actions up-host/client and
1462   down-host/client are executed. The leftfirewall=yes parameter
1463   uses the default updown script to insert dynamic firewall rules, a custom
1464   updown script may be specified with the leftupdown parameter.
1465
1466
1467 strongswan-4.0.3
1468 ----------------
1469
1470 - Added support for the auto=route ipsec.conf parameter and the
1471   ipsec route/unroute commands for IKEv2. This allows to set up IKE_SAs and
1472   CHILD_SAs dynamically on demand when traffic is detected by the
1473   kernel.
1474
1475 - Added support for rekeying IKE_SAs in IKEv2 using the ikelifetime parameter.
1476   As specified in IKEv2, no reauthentication is done (unlike in IKEv1), only
1477   new keys are generated using perfect forward secrecy. An optional flag
1478   which enforces reauthentication will be implemented later.
1479
1480 - "sha" and "sha1" are now treated as synonyms in the ike= and esp=
1481   algorithm configuration statements.
1482
1483
1484 strongswan-4.0.2
1485 ----------------
1486
1487 - Full X.509 certificate trust chain verification has been implemented.
1488   End entity certificates can be exchanged via CERT payloads. The current
1489   default is leftsendcert=always, since CERTREQ payloads are not supported
1490   yet. Optional CRLs must be imported locally into /etc/ipsec.d/crls.
1491
1492 - Added support for leftprotoport/rightprotoport parameters in IKEv2. IKEv2
1493   would offer more possibilities for traffic selection, but the Linux kernel
1494   currently does not support it. That's why we stick with these simple
1495   ipsec.conf rules for now.
1496
1497 - Added Dead Peer Detection (DPD) which checks liveliness of remote peer if no
1498   IKE or ESP traffic is received. DPD is currently hardcoded (dpdaction=clear,
1499   dpddelay=60s).
1500
1501 - Initial NAT traversal support in IKEv2. Charon includes NAT detection
1502   notify payloads to detect NAT routers between the peers. It switches
1503   to port 4500, uses UDP encapsulated ESP packets, handles peer address
1504   changes gracefully and sends keep alive message periodically.
1505
1506 - Reimplemented IKE_SA state machine for charon, which allows simultaneous
1507   rekeying, more shared code, cleaner design, proper retransmission
1508   and a more extensible code base.
1509
1510 - The mixed PSK/RSA roadwarrior detection capability introduced by the
1511   strongswan-2.7.0 release necessitated the pre-parsing of the IKE proposal
1512   payloads by the responder right before any defined IKE Main Mode state had
1513   been established. Although any form of bad proposal syntax was being correctly
1514   detected by the payload parser, the subsequent error handler didn't check
1515   the state pointer before logging current state information, causing an
1516   immediate crash of the pluto keying daemon due to a NULL pointer.
1517
1518
1519 strongswan-4.0.1
1520 ----------------
1521
1522 - Added algorithm selection to charon: New default algorithms for
1523   ike=aes128-sha-modp2048, as both daemons support it. The default
1524   for IPsec SAs is now esp=aes128-sha,3des-md5. charon handles
1525   the ike/esp parameter the same way as pluto. As this syntax does
1526   not allow specification of a pseudo random function, the same
1527   algorithm as for integrity is used (currently sha/md5). Supported
1528   algorithms for IKE:
1529     Encryption: aes128, aes192, aes256
1530     Integrity/PRF: md5, sha (using hmac)
1531     DH-Groups: modp768, 1024, 1536, 2048, 4096, 8192
1532   and for ESP:
1533     Encryption: aes128, aes192, aes256, 3des, blowfish128,
1534                 blowfish192, blowfish256
1535     Integrity: md5, sha1
1536   More IKE encryption algorithms will come after porting libcrypto into
1537   libstrongswan.
1538
1539 - initial support for rekeying CHILD_SAs using IKEv2. Currently no
1540   perfect forward secrecy is used. The rekeying parameters rekey,
1541   rekeymargin, rekeyfuzz and keylife from ipsec.conf are now supported
1542   when using IKEv2. WARNING: charon currently is unable to handle
1543   simultaneous rekeying. To avoid such a situation, use a large
1544   rekeyfuzz, or even better, set rekey=no on one peer.
1545
1546 - support for host2host, net2net, host2net (roadwarrior) tunnels
1547   using predefined RSA certificates (see uml scenarios for
1548   configuration examples).
1549
1550 - new build environment featuring autotools. Features such
1551   as HTTP, LDAP and smartcard support may be enabled using
1552   the ./configure script. Changing install directories
1553   is possible, too. See ./configure --help for more details.
1554
1555 - better integration of charon with ipsec starter, which allows
1556   (almost) transparent operation with both daemons. charon
1557   handles ipsec commands up, down, status, statusall, listall,
1558   listcerts and allows proper load, reload and delete of connections
1559   via ipsec starter.
1560
1561
1562 strongswan-4.0.0
1563 ----------------
1564
1565 - initial support of the IKEv2 protocol. Connections in
1566   ipsec.conf designated by keyexchange=ikev2 are negotiated
1567   by the new IKEv2 charon keying daemon whereas those marked
1568   by keyexchange=ikev1 or the default keyexchange=ike are
1569   handled thy the IKEv1 pluto keying daemon. Currently only
1570   a limited subset of functions are available with IKEv2
1571   (Default AES encryption, authentication based on locally
1572   imported X.509 certificates, unencrypted private RSA keys
1573   in PKCS#1 file format, limited functionality of the ipsec
1574   status command).
1575
1576
1577 strongswan-2.7.0
1578 ----------------
1579
1580 - the dynamic iptables rules from the _updown_x509 template
1581   for KLIPS and the _updown_policy template for NETKEY have
1582   been merged into the default _updown script. The existing
1583   left|rightfirewall keyword causes the automatic insertion
1584   and deletion of ACCEPT rules for tunneled traffic upon
1585   the successful setup and teardown of an IPsec SA, respectively.
1586   left|rightfirwall can be used with KLIPS under any Linux 2.4
1587   kernel or with NETKEY under a Linux kernel version >= 2.6.16
1588   in conjunction with iptables >= 1.3.5. For NETKEY under a Linux
1589   kernel version < 2.6.16 which does not support IPsec policy
1590   matching yet, please continue to use a copy of the _updown_espmark
1591   template loaded via the left|rightupdown keyword.
1592
1593 - a new left|righthostaccess keyword has been introduced which
1594   can be used in conjunction with left|rightfirewall and the
1595   default _updown script. By default leftfirewall=yes inserts
1596   a bi-directional iptables FORWARD rule for a local client network
1597   with a netmask different from 255.255.255.255 (single host).
1598   This does not allow to access the VPN gateway host via its
1599   internal network interface which is part of the client subnet
1600   because an iptables INPUT and OUTPUT rule would be required.
1601   lefthostaccess=yes will cause this additional ACCEPT rules to
1602   be inserted.
1603
1604 - mixed PSK|RSA roadwarriors are now supported. The ISAKMP proposal
1605   payload is preparsed in order to find out whether the roadwarrior
1606   requests PSK or RSA so that a matching connection candidate can
1607   be found.
1608
1609
1610 strongswan-2.6.4
1611 ----------------
1612
1613 - the new _updown_policy template allows ipsec policy based
1614   iptables firewall rules. Required are iptables version
1615   >= 1.3.5 and linux kernel >= 2.6.16. This script obsoletes
1616   the _updown_espmark template, so that no INPUT mangle rules
1617   are required any more.
1618
1619 - added support of DPD restart mode
1620
1621 - ipsec starter now allows the use of wildcards in include
1622   statements as e.g. in "include /etc/my_ipsec/*.conf".
1623   Patch courtesy of Matthias Haas.
1624
1625 - the Netscape OID 'employeeNumber' is now recognized and can be
1626   used as a Relative Distinguished Name in certificates.
1627
1628
1629 strongswan-2.6.3
1630 ----------------
1631
1632 - /etc/init.d/ipsec or /etc/rc.d/ipsec is now a copy of the ipsec
1633   command and not of ipsec setup any more.
1634
1635 - ipsec starter now supports AH authentication in conjunction with
1636   ESP encryption. AH authentication is configured in ipsec.conf
1637   via the auth=ah parameter.
1638
1639 - The command ipsec scencrypt|scdecrypt <args> is now an alias for
1640   ipsec whack --scencrypt|scdecrypt <args>.
1641
1642 - get_sa_info() now determines for the native netkey IPsec stack
1643   the exact time of the last use of an active eroute. This information
1644   is used by the Dead Peer Detection algorithm and is also displayed by
1645   the ipsec status command.
1646
1647
1648 strongswan-2.6.2
1649 ----------------
1650
1651 - running under the native Linux 2.6 IPsec stack, the function
1652   get_sa_info() is called by ipsec auto --status to display the current
1653   number of transmitted bytes per IPsec SA.
1654
1655 - get_sa_info() is also used  by the Dead Peer Detection process to detect
1656   recent ESP activity. If ESP traffic was received from the peer within
1657   the last dpd_delay interval then no R_Y_THERE notification must be sent.
1658
1659 - strongSwan now supports the Relative Distinguished Name "unstructuredName"
1660   in ID_DER_ASN1_DN identities. The following notations are possible:
1661
1662     rightid="unstructuredName=John Doe"
1663     rightid="UN=John Doe"
1664
1665 - fixed a long-standing bug which caused PSK-based roadwarrior connections
1666   to segfault in the function id.c:same_id() called by keys.c:get_secret()
1667   if an FQDN, USER_FQDN, or Key ID was defined, as in the following example.
1668
1669   conn rw
1670        right=%any
1671        rightid=@foo.bar
1672        authby=secret
1673
1674 - the ipsec command now supports most ipsec auto commands (e.g. ipsec listall).
1675
1676 - ipsec starter didn't set host_addr and client.addr ports in whack msg.
1677
1678 - in order to guarantee backwards-compatibility with the script-based
1679   auto function (e.g. auto --replace), the ipsec starter scripts stores
1680   the defaultroute information in the temporary file /var/run/ipsec.info.
1681
1682 - The compile-time option USE_XAUTH_VID enables the sending of the XAUTH
1683   Vendor ID which is expected by Cisco PIX 7 boxes that act as IKE Mode Config
1684   servers.
1685
1686 - the ipsec starter now also recognizes the parameters authby=never and
1687   type=passthrough|pass|drop|reject.
1688
1689
1690 strongswan-2.6.1
1691 ----------------
1692
1693 - ipsec starter now supports the also parameter which allows
1694   a modular structure of the connection definitions. Thus
1695   "ipsec start" is now ready to replace "ipsec setup".
1696
1697
1698 strongswan-2.6.0
1699 ----------------
1700
1701 - Mathieu Lafon's popular ipsec starter tool has been added to the
1702   strongSwan distribution. Many thanks go to Stephan Scholz from astaro
1703   for his integration work. ipsec starter is a C program which is going
1704   to replace the various shell and awk starter scripts (setup, _plutoload,
1705   _plutostart, _realsetup, _startklips, _confread, and auto). Since
1706   ipsec.conf is now parsed only once, the starting of multiple tunnels is
1707   accelerated tremedously.
1708
1709 - Added support of %defaultroute to the ipsec starter. If the IP address
1710   changes, a HUP signal to the ipsec starter will automatically
1711   reload pluto's connections.
1712
1713 - moved most compile time configurations from pluto/Makefile to
1714   Makefile.inc by defining the options USE_LIBCURL, USE_LDAP,
1715   USE_SMARTCARD, and USE_NAT_TRAVERSAL_TRANSPORT_MODE.
1716
1717 - removed the ipsec verify and ipsec newhostkey commands
1718
1719 - fixed some 64-bit issues in formatted print statements
1720
1721 - The scepclient functionality implementing the Simple Certificate
1722   Enrollment Protocol (SCEP) is nearly complete but hasn't been
1723   documented yet.
1724
1725
1726 strongswan-2.5.7
1727 ----------------
1728
1729 - CA certicates are now automatically loaded from a smartcard
1730   or USB crypto token and appear in the ipsec auto --listcacerts
1731   listing.
1732
1733
1734 strongswan-2.5.6
1735 ----------------
1736
1737 - when using "ipsec whack --scencrypt <data>" with  a PKCS#11
1738   library that does not support the C_Encrypt() Cryptoki
1739   function (e.g. OpenSC), the RSA encryption is done in
1740   software using the public key fetched from the smartcard.
1741
1742 - The scepclient function now allows to define the
1743   validity of a self-signed certificate using the --days,
1744   --startdate, and --enddate options. The default validity
1745   has been changed from one year to five years.
1746
1747
1748 strongswan-2.5.5
1749 ----------------
1750
1751 - the config setup parameter pkcs11proxy=yes opens pluto's PKCS#11
1752   interface to other applications for RSA encryption and decryption
1753   via the whack interface. Notation:
1754
1755   ipsec whack --scencrypt <data>
1756              [--inbase  16|hex|64|base64|256|text|ascii]
1757              [--outbase 16|hex|64|base64|256|text|ascii]
1758              [--keyid <keyid>]
1759
1760   ipsec whack --scdecrypt <data>
1761              [--inbase  16|hex|64|base64|256|text|ascii]
1762              [--outbase 16|hex|64|base64|256|text|ascii]
1763              [--keyid <keyid>]
1764
1765   The default setting for inbase and outbase is hex.
1766
1767   The new proxy interface can be used for securing symmetric
1768   encryption keys required by the cryptoloop or dm-crypt
1769   disk encryption schemes, especially in the case when
1770   pkcs11keepstate=yes causes pluto to lock the pkcs11 slot
1771   permanently.
1772
1773 - if the file /etc/ipsec.secrets is lacking during the startup of
1774   pluto then the root-readable file /etc/ipsec.d/private/myKey.der
1775   containing a 2048 bit RSA private key and a matching self-signed
1776   certificate stored in the file /etc/ipsec.d/certs/selfCert.der
1777   is automatically generated by calling the function
1778
1779   ipsec scepclient --out pkcs1 --out cert-self
1780
1781   scepclient was written by Jan Hutter and Martin Willi, students
1782   at the University of Applied Sciences in Rapperswil, Switzerland.
1783
1784
1785 strongswan-2.5.4
1786 ----------------
1787
1788 - the current extension of the PKCS#7 framework introduced
1789   a parsing error in PKCS#7 wrapped X.509 certificates that are
1790   e.g. transmitted by Windows XP when multi-level CAs are used.
1791   the parsing syntax has been fixed.
1792
1793 - added a patch by Gerald Richter which tolerates multiple occurrences
1794   of the ipsec0 interface when using KLIPS.
1795
1796
1797 strongswan-2.5.3
1798 ----------------
1799
1800 - with gawk-3.1.4 the word "default2 has become a protected
1801   keyword for use in switch statements and cannot be used any
1802   more in the strongSwan scripts. This problem has been
1803   solved by renaming "default" to "defaults" and "setdefault"
1804   in the scripts _confread and auto, respectively.
1805
1806 - introduced the parameter leftsendcert with the values
1807
1808   always|yes (the default, always send a cert)
1809   ifasked    (send the cert only upon a cert request)
1810   never|no   (never send a cert, used for raw RSA keys and
1811               self-signed certs)
1812
1813 - fixed the initialization of the ESP key length to a default of
1814   128 bits in the case that the peer does not send a key length
1815    attribute for AES encryption.
1816
1817 - applied Herbert Xu's uniqueIDs patch
1818
1819 - applied Herbert Xu's CLOEXEC patches
1820
1821
1822 strongswan-2.5.2
1823 ----------------
1824
1825 - CRLs can now be cached also in the case when the issuer's
1826   certificate does not contain a subjectKeyIdentifier field.
1827   In that case the subjectKeyIdentifier is computed by pluto as the
1828   160 bit SHA-1 hash of the issuer's public key in compliance
1829   with section 4.2.1.2 of RFC 3280.
1830
1831 - Fixed a bug introduced by strongswan-2.5.1 which eliminated
1832   not only multiple Quick Modes of a given connection but also
1833   multiple connections between two security gateways.
1834
1835
1836 strongswan-2.5.1
1837 ----------------
1838
1839 - Under the native IPsec of the Linux 2.6 kernel, a %trap eroute
1840   installed either by setting auto=route in ipsec.conf or by
1841   a connection put into hold, generates an XFRM_AQUIRE event
1842   for each packet that wants to use the not-yet exisiting
1843   tunnel. Up to now each XFRM_AQUIRE event led to an entry in
1844   the Quick Mode queue, causing multiple IPsec SA to be
1845   established in rapid succession. Starting with strongswan-2.5.1
1846   only a single IPsec SA is established per host-pair connection.
1847
1848 - Right after loading the PKCS#11 module, all smartcard slots are
1849   searched for certificates. The result can be viewed using
1850   the command
1851
1852     ipsec auto --listcards
1853
1854   The certificate objects found in the slots are numbered
1855   starting with #1, #2, etc. This position number can be used to address
1856   certificates (leftcert=%smartcard) and keys (: PIN %smartcard)
1857   in ipsec.conf and ipsec.secrets, respectively:
1858
1859     %smartcard      (selects object #1)
1860     %smartcard#1    (selects object #1)
1861     %smartcard#3    (selects object #3)
1862
1863   As an alternative the existing retrieval scheme can be used:
1864
1865     %smartcard:45   (selects object with id=45)
1866     %smartcard0     (selects first object in slot 0)
1867     %smartcard4:45  (selects object in slot 4 with id=45)
1868
1869 - Depending on the settings of CKA_SIGN and CKA_DECRYPT
1870   private key flags either C_Sign() or C_Decrypt() is used
1871   to generate a signature.
1872
1873 - The output buffer length parameter siglen in C_Sign()
1874   is now initialized to the actual size of the output
1875   buffer prior to the function call. This fixes the
1876   CKR_BUFFER_TOO_SMALL error that could occur when using
1877   the OpenSC PKCS#11 module.
1878
1879 - Changed the initialization of the PKCS#11 CK_MECHANISM in
1880   C_SignInit() to mech  = { CKM_RSA_PKCS, NULL_PTR, 0 }.
1881
1882 - Refactored the RSA public/private key code and transferred it
1883   from keys.c to the new pkcs1.c file as a preparatory step
1884   towards the release of the SCEP client.
1885
1886
1887 strongswan-2.5.0
1888 ----------------
1889
1890 - The loading of a PKCS#11 smartcard library module during
1891   runtime does not require OpenSC library functions any more
1892   because the corresponding code has been integrated into
1893   smartcard.c. Also the RSAREF pkcs11 header files have been
1894   included in a newly created pluto/rsaref directory so that
1895   no external include path has to be defined any longer.
1896
1897 - A long-awaited feature has been implemented at last:
1898   The local caching of CRLs fetched via HTTP or LDAP, activated
1899   by the parameter cachecrls=yes in the config setup section
1900   of ipsec.conf. The dynamically fetched CRLs are stored under
1901   a unique file name containing the issuer's subjectKeyID
1902   in /etc/ipsec.d/crls.
1903
1904 - Applied a one-line patch courtesy of Michael Richardson
1905   from the Openswan project which fixes the kernel-oops
1906   in KLIPS when an snmp daemon is running on the same box.
1907
1908
1909 strongswan-2.4.4
1910 ----------------
1911
1912 - Eliminated null length CRL distribution point strings.
1913
1914 - Fixed a trust path evaluation bug introduced with 2.4.3
1915
1916
1917 strongswan-2.4.3
1918 ----------------
1919
1920 - Improved the joint OCSP / CRL revocation policy.
1921   OCSP responses have precedence over CRL entries.
1922
1923 - Introduced support of CRLv2 reason codes.
1924
1925 - Fixed a bug with key-pad equipped readers which caused
1926   pluto to prompt for the pin via the console when the first
1927   occasion to enter the pin via the key-pad was missed.
1928
1929 - When pluto is built with LDAP_V3 enabled, the library
1930   liblber required by newer versions of openldap is now
1931   included.
1932
1933
1934 strongswan-2.4.2
1935 ----------------
1936
1937 - Added the _updown_espmark template which requires all
1938   incoming ESP traffic to be marked with a default mark
1939   value of 50.
1940
1941 - Introduced the pkcs11keepstate parameter in the config setup
1942   section of ipsec.conf. With pkcs11keepstate=yes the PKCS#11
1943   session and login states are kept as long as possible during
1944   the lifetime of pluto. This means that a PIN entry via a key
1945   pad has to be done only once.
1946
1947 - Introduced the pkcs11module parameter in the config setup
1948   section of ipsec.conf which specifies the PKCS#11 module
1949   to be used with smart cards. Example:
1950
1951     pkcs11module=/usr/lib/pkcs11/opensc-pkcs11.lo
1952
1953 - Added support of smartcard readers equipped with a PIN pad.
1954
1955 - Added patch by Jay Pfeifer which detects when netkey
1956   modules have been statically built into the Linux 2.6 kernel.
1957
1958 - Added two patches by Herbert Xu. The first uses ip xfrm
1959   instead of setkey to flush the IPsec policy database. The
1960   second sets the optional flag in inbound IPComp SAs only.
1961
1962 - Applied Ulrich Weber's patch which fixes an interoperability
1963   problem between native IPsec and KLIPS systems caused by
1964   setting the replay window to 32 instead of 0 for ipcomp.
1965
1966
1967 strongswan-2.4.1
1968 ----------------
1969
1970 - Fixed a bug which caused an unwanted Mode Config request
1971   to be initiated in the case where "right" was used to denote
1972   the local side in ipsec.conf and "left" the remote side,
1973   contrary to the recommendation that "right" be remote and
1974   "left" be"local".
1975
1976
1977 strongswan-2.4.0a
1978 -----------------
1979
1980 - updated Vendor ID to strongSwan-2.4.0
1981
1982 - updated copyright statement to include David Buechi and
1983   Michael Meier
1984
1985
1986 strongswan-2.4.0
1987 ----------------
1988
1989 - strongSwan now communicates with attached smartcards and
1990   USB crypto tokens via the standardized PKCS #11 interface.
1991   By default the OpenSC library from www.opensc.org is used
1992   but any other PKCS#11 library could be dynamically linked.
1993   strongSwan's PKCS#11 API was implemented by David Buechi
1994   and Michael Meier, both graduates of the Zurich University
1995   of Applied Sciences in Winterthur, Switzerland.
1996
1997 - When a %trap eroute is triggered by an outgoing IP packet
1998   then the native IPsec stack of the Linux 2.6 kernel [often/
1999   always?] returns an XFRM_ACQUIRE message with an undefined
2000   protocol family field and the connection setup fails.
2001   As a workaround IPv4 (AF_INET) is now assumed.
2002
2003 - the results of the UML test scenarios are now enhanced
2004   with block diagrams of the virtual network topology used
2005   in a particular test.
2006
2007
2008 strongswan-2.3.2
2009 ----------------
2010
2011 - fixed IV used to decrypt informational messages.
2012   This bug was introduced with Mode Config functionality.
2013
2014 - fixed NCP Vendor ID.
2015
2016 - undid one of Ulrich Weber's maximum udp size patches
2017   because it caused a segmentation fault with NAT-ed
2018   Delete SA messages.
2019
2020 - added UML scenarios wildcards and attr-cert which
2021   demonstrate the implementation of IPsec policies based
2022   on wildcard parameters contained in Distinguished Names and
2023   on X.509 attribute certificates, respectively.
2024
2025
2026 strongswan-2.3.1
2027 ----------------
2028
2029 - Added basic Mode Config functionality
2030
2031 - Added Mathieu Lafon's patch which upgrades the status of
2032   the NAT-Traversal implementation to RFC 3947.
2033
2034 - The _startklips script now also loads the xfrm4_tunnel
2035   module.
2036
2037 - Added Ulrich Weber's netlink replay window size and
2038   maximum udp size patches.
2039
2040 - UML testing now uses the Linux 2.6.10 UML kernel by default.
2041
2042
2043 strongswan-2.3.0
2044 ----------------
2045
2046 - Eric Marchionni and Patrik Rayo, both recent graduates from
2047   the Zuercher Hochschule Winterthur in Switzerland, created a
2048   User-Mode-Linux test setup for strongSwan. For more details
2049   please read the INSTALL and README documents in the testing
2050   subdirectory.
2051
2052 - Full support of group attributes based on X.509 attribute
2053   certificates. Attribute certificates can be generated
2054   using the openac facility. For more details see
2055
2056   man ipsec_openac.
2057
2058   The group attributes can be used in connection definitions
2059   in order to give IPsec access to specific user groups.
2060   This is done with the new parameter left|rightgroups as in
2061
2062   rightgroups="Research, Sales"
2063
2064   giving access to users possessing the group attributes
2065   Research or Sales, only.
2066
2067 - In Quick Mode clients with subnet mask /32 are now
2068   coded as IP_V4_ADDRESS or IP_V6_ADDRESS. This should
2069   fix rekeying problems with the SafeNet/SoftRemote and NCP
2070   Secure Entry Clients.
2071
2072 - Changed the defaults of the ikelifetime and keylife parameters
2073   to 3h and 1h, respectively. The maximum allowable values are
2074   now both set to 24 h.
2075
2076 - Suppressed notification wars between two IPsec peers that
2077   could e.g. be triggered by incorrect ISAKMP encryption.
2078
2079 - Public RSA keys can now have identical IDs if either the
2080   issuing CA or the serial number is different. The serial
2081   number of a certificate is now shown by the command
2082
2083   ipsec auto --listpubkeys
2084
2085
2086 strongswan-2.2.2
2087 ----------------
2088
2089 - Added Tuomo Soini's sourceip feature which allows a strongSwan
2090   roadwarrior to use a fixed Virtual IP (see README section 2.6)
2091   and reduces the well-known four tunnel case on VPN gateways to
2092   a single tunnel definition (see README section 2.4).
2093
2094 - Fixed a bug occurring with NAT-Traversal enabled when the responder
2095   suddenly turns initiator and the initiator cannot find a matching
2096   connection because of the floated IKE port 4500.
2097
2098 - Removed misleading ipsec verify command from barf.
2099
2100 - Running under the native IP stack, ipsec --version now shows
2101   the Linux kernel version (courtesy to the Openswan project).
2102
2103
2104 strongswan-2.2.1
2105 ----------------
2106
2107 - Introduced the ipsec auto --listalgs monitoring command which lists
2108   all currently registered IKE and ESP algorithms.
2109
2110 - Fixed a bug in the ESP algorithm selection occurring when the strict flag
2111   is set and the first proposed transform does not match.
2112
2113 - Fixed another deadlock in the use of the lock_certs_and_keys() mutex,
2114   occurring when a smartcard is present.
2115
2116 - Prevented that a superseded Phase1 state can trigger a DPD_TIMEOUT event.
2117
2118 - Fixed the printing of the notification names (null)
2119
2120 - Applied another of Herbert Xu's Netlink patches.
2121
2122
2123 strongswan-2.2.0
2124 ----------------
2125
2126 - Support of Dead Peer Detection. The connection parameter
2127
2128     dpdaction=clear|hold
2129
2130   activates DPD for the given connection.
2131
2132 - The default Opportunistic Encryption (OE) policy groups are not
2133   automatically included anymore. Those wishing to activate OE can include
2134   the policy group with the following statement in ipsec.conf:
2135
2136     include /etc/ipsec.d/examples/oe.conf
2137
2138   The default for [right|left]rsasigkey is now set to %cert.
2139
2140 - strongSwan now has a Vendor ID of its own which can be activated
2141   using the compile option VENDORID
2142
2143 - Applied Herbert Xu's patch which sets the compression algorithm correctly.
2144
2145 - Applied Herbert Xu's patch fixing an ESPINUDP problem
2146
2147 - Applied Herbert Xu's patch setting source/destination port numbers.
2148
2149 - Reapplied one of Herbert Xu's NAT-Traversal patches which got
2150   lost during the migration from SuperFreeS/WAN.
2151
2152 - Fixed a deadlock in the use of the lock_certs_and_keys() mutex.
2153
2154 - Fixed the unsharing of alg parameters when instantiating group
2155   connection.
2156
2157
2158 strongswan-2.1.5
2159 ----------------
2160
2161 - Thomas Walpuski made me aware of a potential DoS attack via
2162   a PKCS#7-wrapped certificate bundle which could overwrite valid CA
2163   certificates in Pluto's authority certificate store. This vulnerability
2164   was fixed by establishing trust in CA candidate certificates up to a
2165   trusted root CA prior to insertion into Pluto's chained list.
2166
2167 - replaced the --assign option by the -v option in the auto awk script
2168   in order to make it run with mawk under debian/woody.
2169
2170
2171 strongswan-2.1.4
2172 ----------------
2173
2174 - Split of the status information between ipsec auto  --status (concise)
2175   and ipsec auto --statusall (verbose). Both commands can be used with
2176   an optional connection selector:
2177
2178     ipsec auto --status[all] <connection_name>
2179
2180 - Added the description of X.509 related features to the ipsec_auto(8)
2181   man page.
2182
2183 - Hardened the ASN.1 parser in debug mode, especially the printing
2184   of malformed distinguished names.
2185
2186 - The size of an RSA public key received in a certificate is now restricted to
2187
2188     512 bits <= modulus length <= 8192 bits.
2189
2190 - Fixed the debug mode enumeration.
2191
2192
2193 strongswan-2.1.3
2194 ----------------
2195
2196 - Fixed another PKCS#7 vulnerability which could lead to an
2197   endless loop while following the X.509 trust chain.
2198
2199
2200 strongswan-2.1.2
2201 ----------------
2202
2203 - Fixed the PKCS#7 vulnerability discovered by Thomas Walpuski
2204   that accepted end certificates having identical issuer and subject
2205   distinguished names in a multi-tier X.509 trust chain.
2206
2207
2208 strongswan-2.1.1
2209 ----------------
2210
2211 - Removed all remaining references to ipsec_netlink.h in KLIPS.
2212
2213
2214 strongswan-2.1.0
2215 ----------------
2216
2217 - The new "ca" section allows to define the following parameters:
2218
2219   ca kool
2220      cacert=koolCA.pem                   # cacert of kool CA
2221      ocspuri=http://ocsp.kool.net:8001   # ocsp server
2222      ldapserver=ldap.kool.net            # default ldap server
2223      crluri=http://www.kool.net/kool.crl # crl distribution point
2224      crluri2="ldap:///O=Kool, C= .."     # crl distribution point #2
2225      auto=add                            # add, ignore
2226
2227   The ca definitions can be monitored via the command
2228
2229      ipsec auto --listcainfos
2230
2231 - Fixed cosmetic corruption of /proc filesystem by integrating
2232   D. Hugh Redelmeier's freeswan-2.06 kernel fixes.
2233
2234
2235 strongswan-2.0.2
2236 ----------------
2237
2238 - Added support for the 818043 NAT-Traversal update of Microsoft's
2239   Windows 2000/XP IPsec client which sends an ID_FQDN during Quick Mode.
2240
2241 - A symbolic link to libcrypto is now added in the kernel sources
2242   during kernel compilation
2243
2244 - Fixed a couple of 64 bit issues (mostly casts to int).
2245   Thanks to Ken Bantoft who checked my sources on a 64 bit platform.
2246
2247 - Replaced s[n]printf() statements in the kernel by ipsec_snprintf().
2248   Credits go to D. Hugh Redelmeier, Michael Richardson, and Sam Sgro
2249   of the FreeS/WAN team who solved this problem with the 2.4.25 kernel.
2250
2251
2252 strongswan-2.0.1
2253 ----------------
2254
2255 - an empty ASN.1 SEQUENCE OF or SET OF object (e.g. a subjectAltName
2256   certificate extension which contains no generalName item)  can cause
2257   a pluto crash. This bug has been fixed. Additionally the ASN.1 parser has
2258   been hardened to make it more robust against malformed ASN.1 objects.
2259
2260 - applied Herbert Xu's NAT-T patches which fixes NAT-T under the native
2261   Linux 2.6 IPsec stack.
2262
2263
2264 strongswan-2.0.0
2265 ----------------
2266
2267 - based on freeswan-2.04, x509-1.5.3, nat-0.6c, alg-0.8.1rc12