99953148e05fbc315e12b107f322ccbc6c0c555c
[strongswan.git] / NEWS
1 strongswan-5.7.0
2 ----------------
3
4 - The pki tool accepts a xmppAddr otherName as a subjectAlternativeName using
5   the syntax --san xmppaddr:<jid>.
6
7
8 strongswan-5.6.3
9 ----------------
10
11 - Fixed a DoS vulnerability in the IKEv2 key derivation if the openssl plugin is
12   used in FIPS mode and HMAC-MD5 is negotiated as PRF.
13   This vulnerability has been registered as CVE-2018-10811.
14
15 - Fixed a vulnerability in the stroke plugin, which did not check the received
16   length before reading a message from the socket. Unless a group is configured,
17   root privileges are required to access that socket, so in the default
18   configuration this shouldn't be an issue.
19   This vulnerability has been registered as CVE-2018-5388.
20
21 ⁻ CRLs that are not yet valid are now ignored to avoid problems in scenarios
22   where expired certificates are removed from CRLs and the clock on the host
23   doing the revocation check is trailing behind that of the host issuing CRLs.
24
25 - The issuer of fetched CRLs is now compared to the issuer of the checked
26   certificate.
27
28 - CRL validation results other than revocation (e.g. a skipped check because
29   the CRL couldn't be fetched) are now stored also for intermediate CA
30   certificates and not only for end-entity certificates, so a strict CRL policy
31   can be enforced in such cases.
32
33 - In compliance with RFC 4945, section 5.1.3.2, certificates used for IKE must
34   now either not contain a keyUsage extension (like the ones generated by pki)
35   or have at least one of the digitalSignature or nonRepudiation bits set.
36
37 - New options for vici/swanctl allow forcing the local termination of an IKE_SA.
38   This might be useful in situations where it's known the other end is not
39   reachable anymore, or that it already removed the IKE_SA, so retransmitting a
40   DELETE and waiting for a response would be pointless.  Waiting only a certain
41   amount of time for a response before destroying the IKE_SA is also possible
42   by additionally specifying a timeout.
43
44 - When removing routes, the kernel-netlink plugin now checks if it tracks other
45   routes for the same destination and replaces the installed route instead of
46   just removing it.  Same during installation, where existing routes previously
47   weren't replaced.  This should allow using traps with virtual IPs on Linux.
48
49 - The dhcp plugin only sends the client identifier option if identity_lease is
50   enabled.  It can also send identities of up to 255 bytes length, instead of
51   the previous 64 bytes.  If a server address is configured, DHCP requests are
52   now sent from port 67 instead of 68 to avoid ICMP port unreachables.
53
54 - Roam events are now completely ignored for IKEv1 SAs.
55
56 - ChaCha20/Poly1305 is now correctly proposed without key length. For
57   compatibility with older releases the chacha20poly1305compat keyword may be
58   included in proposals to also propose the algorithm with a key length.
59
60 - Configuration of hardware offload of IPsec SAs is now more flexible and allows
61   a new mode, which automatically uses it if the kernel and device support it.
62
63 - SHA-2 based PRFs are supported in PKCS#8 files as generated by OpenSSL 1.1.
64
65 - The pki --verify tool may load CA certificates and CRLs from directories.
66
67 - Fixed an issue with DNS servers passed to NetworkManager in charon-nm.
68
69
70 strongswan-5.6.2
71 ----------------
72
73 - Fixed a DoS vulnerability in the parser for PKCS#1 RSASSA-PSS signatures that
74   was caused by insufficient input validation.  One of the configurable
75   parameters in algorithm identifier structures for RSASSA-PSS signatures is the
76   mask generation function (MGF).  Only MGF1 is currently specified for this
77   purpose.  However, this in turn takes itself a parameter that specifies the
78   underlying hash function.  strongSwan's parser did not correctly handle the
79   case of this parameter being absent, causing an undefined data read.
80   This vulnerability has been registered as CVE-2018-6459.
81
82 - The previously negotiated DH group is reused when rekeying an SA, instead of
83   using the first group in the configured proposals, which avoids an additional
84   exchange if the peer selected a different group via INVALID_KE_PAYLOAD when
85   the SA was created initially.
86   The selected DH group is also moved to the front of all sent proposals that
87   contain it and all proposals that don't are moved to the back in order to
88   convey the preference for this group to the peer.
89
90 - Handling of MOBIKE task queuing has been improved. In particular, the response
91   to an address update is not ignored anymore if only an address list update or
92   DPD is queued.
93
94 - The fallback drop policies installed to avoid traffic leaks when replacing
95   addresses in installed policies are now replaced by temporary drop policies,
96   which also prevent acquires because we currently delete and reinstall IPsec
97   SAs to update their addresses.
98
99 - Access X.509 certificates held in non-volatile storage of a TPM 2.0
100   referenced via the NV index.
101
102 - Adding the --keyid parameter to pki --print allows to print private keys
103   or certificates stored in a smartcard or a TPM 2.0.
104
105 - Fixed proposal selection if a peer incorrectly sends DH groups in the ESP
106   proposals during IKE_AUTH and also if a DH group is configured in the local
107   ESP proposal and charon.prefer_configured_proposals is disabled.
108
109 - MSKs received via RADIUS are now padded to 64 bytes to avoid compatibility
110   issues with EAP-MSCHAPv2 and PRFs that have a block size < 64 bytes (e.g.
111   AES-XCBC-PRF-128).
112
113 - The tpm_extendpcr command line tool extends a digest into a TPM PCR.
114
115 - Ported the NetworkManager backend from the deprecated libnm-glib to libnm.
116
117 - The save-keys debugging/development plugin saves IKE and/or ESP keys to files
118   compatible with Wireshark.
119
120
121 strongswan-5.6.1
122 ----------------
123
124 - In compliance with RFCs 8221 and 8247 several algorithms were removed from the
125   default ESP/AH and IKEv2 proposals, respectively (3DES, Blowfish and MD5 from
126   ESP/AH, MD5 and MODP-1024 from IKEv2).  These algorithms may still be used in
127   custom proposals.
128
129 - Added support for RSASSA-PSS signatures.  For backwards compatibility they are
130   not used automatically by default, enable charon.rsa_pss to change that.  To
131   explicitly use or require such signatures with IKEv2 signature authentication
132   (RFC 7427), regardless of whether that option is enabled, use ike:rsa/pss...
133   authentication constraints.
134
135 - The pki tool can optionally sign certificates/CRLs with RSASSA-PSS via the
136   `--rsa-padding pss` option.
137
138 - The sec-updater tool checks for security updates in dpkg-based repositories
139   (e.g. Debian/Ubuntu) and sets the security flags in the IMV policy database
140   accordingly. Additionally for each new package version a SWID tag for the
141   given OS and HW architecture is created and stored in the database.
142   Using the sec-updater.sh script template the lookup can be automated
143   (e.g. via an hourly cron job).
144
145 - The introduction of file versions in the IMV database scheme broke file
146   reference hash measurements. This has been fixed by creating generic product
147   versions having an empty package name.
148
149 - A new timeout option for the systime-fix plugin stops periodic system time
150   checks after a while and enforces a certificate verification, closing or
151   reauthenticating all SAs with invalid certificates.
152
153 - The IKE event counters, previously only available via ipsec listcounters, may
154   now be queried/reset via vici and the new swanctl --counters command. They are
155   provided by the new optional counters plugin.
156
157 - Class attributes received in RADIUS Access-Accept messages may optionally be
158   added to RADIUS accounting messages.
159
160 - Inbound marks may optionally be installed on the SA again (was removed with
161   5.5.2) by enabling the mark_in_sa option in swanctl.conf.
162
163
164 strongswan-5.6.0
165 ----------------
166
167 - Fixed a DoS vulnerability in the gmp plugin that was caused by insufficient
168   input validation when verifying RSA signatures, which requires decryption
169   with the operation m^e mod n, where m is the signature, and e and n are the
170   exponent and modulus of the public key.  The value m is an integer between
171   0 and n-1, however, the gmp plugin did not verify this.  So if m equals n the
172   calculation results in 0, in which case mpz_export() returns NULL.  This
173   result wasn't handled properly causing a null-pointer dereference.
174   This vulnerability has been registered as CVE-2017-11185.
175
176 - New SWIMA IMC/IMV pair implements the "draft-ietf-sacm-nea-swima-patnc"
177   Internet Draft and has been demonstrated at the IETF 99 Prague Hackathon.
178
179 - The IMV database template has been adapted to achieve full compliance
180   with the ISO 19770-2:2015 SWID tag standard.
181
182 - The sw-collector tool extracts software events from apt history logs
183   and stores them in an SQLite database to be used by the SWIMA IMC.
184   The tool can also generate SWID tags both for installed and removed
185   package versions.
186
187 - The pt-tls-client can attach and use TPM 2.0 protected private keys
188   via the --keyid parameter.
189
190 - libtpmtss supports Intel's TSS2 Architecture Broker and Resource
191   Manager interface (tcti-tabrmd).
192
193 - The new eap-aka-3gpp plugin implements the 3GPP MILENAGE algorithms
194   in software.  K (optionally concatenated with OPc) may be configured as
195   binary EAP secret.
196
197 - CHILD_SA rekeying was fixed in charon-tkm and was slightly changed: The
198   switch to the new outbound IPsec SA now happens via SPI on the outbound
199   policy on Linux, and in case of lost rekey collisions no outbound SA/policy
200   is temporarily installed for the redundant CHILD_SA.
201
202 - The new %unique-dir value for mark* settings allocates separate unique marks
203   for each CHILD_SA direction (in/out).
204
205
206 strongswan-5.5.3
207 ----------------
208
209 - Fixed a DoS vulnerability in the gmp plugin that was caused by insufficient
210   input validation when verifying RSA signatures.  More specifically,
211   mpz_powm_sec() has two requirements regarding the passed exponent and modulus
212   that the plugin did not enforce, if these are not met the calculation will
213   result in a floating point exception that crashes the whole process.
214   This vulnerability has been registered as CVE-2017-9022.
215
216 - Fixed a DoS vulnerability in the x509 plugin that was caused because the ASN.1
217   parser didn't handle ASN.1 CHOICE types properly, which could result in an
218   infinite loop when parsing X.509 extensions that use such types.
219   This vulnerability has been registered as CVE-2017-9023.
220
221 - The behavior during IKEv2 CHILD_SA rekeying has been changed in order to avoid
222   traffic loss. The responder now only installs the new inbound SA and delays
223   installing the outbound SA until it receives the DELETE for the replaced
224   CHILD_SA.  Similarly, the inbound SA of the replaced CHILD_SA is not removed
225   for a configurable amount of seconds (charon.delete_rekeyed_delay) after the
226   DELETE has been processed to reduce the chance of dropping delayed packets.
227
228 - The code base has been ported to Apple's ARM64 iOS platform, whose calling
229   conventions for variadic and regular functions are different.  This means
230   assigning non-variadic functions to variadic function pointers does not work.
231   To avoid this issue the enumerator_t interface has been changed and the
232   signatures of the callback functions for enumerator_create_filter(), and the
233   invoke_function() and find_first() methods on linked_list_t have been changed.
234   The return type of find_first() also changed from status_t to bool.
235
236 - Added support for fuzzing the certificate parser provided by the default
237   plugins (x509, pem, gmp etc.) on Google's OSS-Fuzz infrastructure. Several
238   issues found while fuzzing these plugins were fixed.
239
240 - Two new options have been added to charon's retransmission settings:
241   retransmit_limit and retransmit_jitter.  The former adds an upper limit to the
242   calculated retransmission timeout, the latter randomly reduces it.
243
244 - A bug in swanctl's --load-creds command was fixed that caused unencrypted
245   private keys to get unloaded if the command was called multiple times. The
246   load-key VICI command now returns the key ID of the loaded key on success.
247
248 - The credential manager now enumerates local credential sets before global
249   ones. This means certificates supplied by the peer will now be preferred over
250   certificates with the same identity that may be locally stored (e.g. in the
251   certificate cache).
252
253 - Added support for hardware offload of IPsec SAs as introduced by Linux 4.11
254   for hardware that supports this.
255
256 - When building the libraries monolithically and statically the plugin
257   constructors are now hard-coded in each library so the plugin code is not
258   removed by the linker because it thinks none of their symbols are ever
259   referenced.
260
261 - The pki tool loads the curve25519 plugin by default.
262
263
264 strongswan-5.5.2
265 ----------------
266
267 - Support of Diffie-Hellman group 31 using Curve25519 for IKE as defined
268   by RFC 8031.
269
270 - Support of Ed25519 digital signature algorithm for IKEv2 as defined by
271   draft-ietf-ipsecme-eddsa. Ed25519-based public key pairs, X.509 certificates
272   and CRLs can be generated and printed by the pki tool.
273
274 - The new "tpm" libtpmtss plugin allows to use persistent private RSA and ECDSA
275   keys bound to a TPM 2.0 for both IKE and TLS authentication. Using the
276   TPM 2.0 object handle as keyid parameter, the pki --pub tool can extract
277   the public key from the TPM thereby replacing the aikpub2 tool. In a similar
278   fashion pki --req can generate a PKCS#10 certificate request signed with
279   the TPM private key.
280
281 - The pki tool gained support for generating certificates with the RFC 3779
282   addrblock extension. The charon addrblock plugin now dynamically narrows
283   traffic selectors based on the certificate addrblocks instead of rejecting
284   non-matching selectors completely. This allows generic connections, where
285   the allowed selectors are defined by the used certificates only.
286
287 - In-place update of cached base and delta CRLs does not leave dozens
288   of stale copies in cache memory.
289
290 - Several new features for the VICI interface and the swanctl utility: Querying
291   specific pools, enumerating and unloading keys and shared secrets, loading
292   keys and certificates from PKCS#11 tokens, the ability to initiate, install
293   and uninstall connections and policies by their exact name (if multiple child
294   sections in different connections share the same name), a command to initiate
295   the rekeying of IKE and IPsec SAs, support for settings previously only
296   supported by the old config files (plain pubkeys, dscp, certificate policies,
297   IPv6 Transport Proxy Mode, NT Hash secrets, mediation extension).
298
299   Important:  Due to issues with VICI bindings that map sub-sections to
300   dictionaries the CHILD_SA sections returned via list-sas now have a unique
301   name, the original name of a CHILD_SA is returned in the "name" key of its
302   section.
303
304
305 strongswan-5.5.1
306 ----------------
307
308 - The newhope plugin implements the post-quantum NewHope key exchange algorithm
309   proposed in their 2015 paper by Erdem Alkim, Léo Ducas, Thomas Pöppelmann and
310   Peter Schwabe.
311
312 - The libstrongswan crypto factory now offers the registration of Extended
313   Output Functions (XOFs). Currently supported XOFs are SHAKE128 and SHAKE256
314   implemented by the sha3 plugin, ChaCHa20 implemented by the chapoly plugin
315   and the more traditional MGF1 Mask Generation Functions based on the SHA-1,
316   SHA-256 and SHA-512 hash algorithms implemented by the new mgf1 plugin.
317
318 - The pki tool, with help of the pkcs1 or openssl plugins, can parse private
319   keys in any of the supported formats without having to know the exact type.
320   So instead of having to specify rsa or ecdsa explicitly the keyword priv may
321   be used to indicate a private key of any type. Similarly, swanctl can load
322   any type of private key from the swanctl/private directory.
323
324 - The pki tool can handle RSASSA-PKCS1v1.5-with-SHA-3 signatures using the
325   sha3 and gmp plugins.
326
327 - The VICI flush-certs command flushes certificates from the volatile
328   certificate cache. Optionally the type of the certificates to be
329   flushed  (e.g. type = x509_crl) can be specified.
330
331 - Setting cache_crls = yes in strongswan.conf the vici plugin saves regular,
332   base and delta CRLs to disk.
333
334 - IKE fragmentation is now enabled by default with the default fragment size
335   set to 1280 bytes for both IP address families.
336
337 - libtpmtss: In the TSS2 API the function TeardownSocketTcti() was replaced by
338   tss2_tcti_finalize().
339
340
341 strongswan-5.5.0
342 ----------------
343
344 - The new libtpmtss library offers support for both TPM 1.2 and TPM 2.0
345   Trusted Platform Modules. This allows the Attestation IMC/IMV pair to
346   do TPM 2.0 based attestation.
347
348 - The behavior during IKEv2 exchange collisions has been improved/fixed in
349   several corner cases and support for TEMPORARY_FAILURE and CHILD_SA_NOT_FOUND
350   notifies, as defined by RFC 7296, has been added.
351
352 - IPsec policy priorities can be set manually (e.g. for high-priority drop
353   policies) and outbound policies may be restricted to a network interface.
354
355 - The scheme for the automatically calculated default priorities has been
356   changed and now also considers port masks, which were added with 5.4.0.
357
358 - FWD policies are now installed in both directions in regards to the traffic
359   selectors.  Because such "outbound" FWD policies could conflict with "inbound"
360   FWD policies of other SAs they are installed with a lower priority and don't
361   have a reqid set, which allows kernel plugins to distinguish between the two
362   and prefer those with a reqid.
363
364 - For outbound IPsec SAs no replay window is configured anymore.
365
366 - Enhanced the functionality of the swanctl --list-conns command by listing
367   IKE_SA and CHILD_SA reauthentication and rekeying settings, and EAP/XAuth
368   identities and EAP types.
369
370 - DNS servers installed by the resolve plugin are now refcounted, which should
371   fix its use with make-before-break reauthentication.  Any output written to
372   stderr/stdout by resolvconf is now logged.
373
374 - The methods in the kernel interfaces have been changed to take structs instead
375   of long lists of arguments.  Similarly the constructors for peer_cfg_t and
376   child_cfg_t now take structs.
377
378
379 strongswan-5.4.0
380 ----------------
381
382 - Support for IKEv2 redirection (RFC 5685) has been added.  Plugins may
383   implement the redirect_provider_t interface to decide if and when to redirect
384   connecting clients.  It is also possible to redirect established IKE_SAs based
385   on different selectors via VICI/swanctl.  Unless disabled in strongswan.conf
386   the charon daemon will follow redirect requests received from servers.
387
388 - The ike: prefix enables the explicit configuration of signature scheme
389   constraints against IKEv2 authentication in rightauth, which allows the use
390   of different signature schemes for trustchain verification and authentication.
391
392 - The initiator of an IKEv2 make-before-break reauthentication now suspends
393   online certificate revocation checks (OCSP, CRLs) until the new IKE_SA and all
394   CHILD_SAs are established.  This is required if the checks are done over the
395   CHILD_SA established with the new IKE_SA.  This is not possible until the
396   initiator installs this SA and that only happens after the authentication is
397   completed successfully.  So we suspend the checks during the reauthentication
398   and do them afterwards, if they fail the IKE_SA is closed.  This change has no
399   effect on the behavior during the authentication of the initial IKE_SA.
400
401 - For the vici plugin a Vici:Session Perl CPAN module has been added to allow
402   Perl applications to control and/or monitor the IKE daemon using the VICI
403   interface, similar to the existing Python egg or Ruby gem.
404
405 - Traffic selectors with port ranges can now be configured in the Linux kernel:
406   e.g. remote_ts = 10.1.0.0/16[tcp/20-23] local_ts = dynamic[tcp/32768-65535].
407   The port range must map to a port mask, though since the kernel does not
408   support arbitrary ranges.
409
410 - The vici plugin allows the configuration of IPv4 and IPv6 address ranges
411   in local and remote traffic selectors. Since both the Linux kernel and
412   iptables cannot handle arbitrary ranges, address ranges are mapped to the next
413   larger CIDR subnet by the kernel-netlink and updown plugins, respectively.
414
415 - Implemented IKEv1 IPv4/IPv6 address subnet and range identities that can be
416   used as owners of shared secrets.
417
418
419 strongswan-5.3.5
420 ----------------
421
422 - Properly handle potential EINTR errors in sigwaitinfo(2) calls that replaced
423   sigwait(3) calls with 5.3.4.
424
425 - RADIUS retransmission timeouts are now configurable, courtesy of Thom Troy.
426
427
428 strongswan-5.3.4
429 ----------------
430
431 - Fixed an authentication bypass vulnerability in the eap-mschapv2 plugin that
432   was caused by insufficient verification of the internal state when handling
433   MSCHAPv2 Success messages received by the client.
434   This vulnerability has been registered as CVE-2015-8023.
435
436 - The sha3 plugin implements the SHA3 Keccak-F1600 hash algorithm family.
437   Within the strongSwan framework SHA3 is currently used for BLISS signatures
438   only because the OIDs for other signature algorithms haven't been defined
439   yet. Also the use of SHA3 for IKEv2 has not been standardized yet.
440
441
442 strongswan-5.3.3
443 ----------------
444
445 - Added support for the ChaCha20/Poly1305 AEAD cipher specified in RFC 7539 and
446   RFC 7634 using the chacha20poly1305 ike/esp proposal keyword. The new chapoly
447   plugin implements the cipher, if possible SSE-accelerated on x86/x64
448   architectures. It is usable both in IKEv2 and the strongSwan libipsec ESP
449   backend. On Linux 4.2 or newer the kernel-netlink plugin can configure the
450   cipher for ESP SAs.
451
452 - The vici interface now supports the configuration of auxiliary certification
453   authority information as CRL and OCSP URIs.
454
455 - In the bliss plugin the c_indices derivation using a SHA-512 based random
456   oracle has been fixed, generalized and standardized by employing the MGF1 mask
457   generation function with SHA-512. As a consequence BLISS signatures unsing the
458   improved oracle are not compatible with the earlier implementation.
459
460 - Support for auto=route with right=%any for transport mode connections has
461   been added (the ikev2/trap-any scenario provides examples).
462
463 - The starter daemon does not flush IPsec policies and SAs anymore when it is
464   stopped.  Already existing duplicate policies are now overwritten by the IKE
465   daemon when it installs its policies.
466
467 - Init limits (like charon.init_limit_half_open) can now optionally be enforced
468   when initiating SAs via VICI. For this, IKE_SAs initiated by the daemon are
469   now also counted as half-open SAs, which, as a side-effect, fixes the status
470   output while connecting (e.g. in ipsec status).
471
472 - Symmetric configuration of EAP methods in left|rightauth is now possible when
473   mutual EAP-only authentication is used (previously, the client had to
474   configure rightauth=eap or rightauth=any, which prevented it from using this
475   same config as responder).
476
477 - The initiator flag in the IKEv2 header is compared again (wasn't the case
478   since 5.0.0) and packets that have the flag set incorrectly are again ignored.
479
480 - Implemented a demo Hardcopy Device IMC/IMV pair based on the "Hardcopy
481   Device Health Assessment Trusted Network Connect Binding" (HCD-TNC)
482   document drafted by the IEEE Printer Working Group (PWG).
483
484 - Fixed IF-M segmentation which failed in the presence of multiple small
485   attributes in front of a huge attribute to be segmented.
486
487
488 strongswan-5.3.2
489 ----------------
490
491 - Fixed a vulnerability that allowed rogue servers with a valid certificate
492   accepted by the client to trick it into disclosing its username and even
493   password (if the client accepts EAP-GTC).  This was caused because constraints
494   against the responder's authentication were enforced too late.
495   This vulnerability has been registered as CVE-2015-4171.
496
497
498 strongswan-5.3.1
499 ----------------
500
501 - Fixed a denial-of-service and potential remote code execution vulnerability
502   triggered by IKEv1/IKEv2 messages that contain payloads for the respective
503   other IKE version. Such payload are treated specially since 5.2.2 but because
504   they were still identified by their original payload type they were used as
505   such in some places causing invalid function pointer dereferences.
506   The vulnerability has been registered as CVE-2015-3991.
507
508 - The new aesni plugin provides CBC, CTR, XCBC, CMAC, CCM and GCM crypto
509   primitives for AES-128/192/256. The plugin requires AES-NI and PCLMULQDQ
510   instructions and works on both x86 and x64 architectures. It provides
511   superior crypto performance in userland without any external libraries.
512
513
514 strongswan-5.3.0
515 ----------------
516
517 - Added support for IKEv2 make-before-break reauthentication. By using a global
518   CHILD_SA reqid allocation mechanism, charon supports overlapping CHILD_SAs.
519   This allows the use of make-before-break instead of the previously supported
520   break-before-make reauthentication, avoiding connectivity gaps during that
521   procedure. As the new mechanism may fail with peers not supporting it (such
522   as any previous strongSwan release) it must be explicitly enabled using
523   the charon.make_before_break strongswan.conf option.
524
525 - Support for "Signature Authentication in IKEv2" (RFC 7427) has been added.
526   This allows the use of stronger hash algorithms for public key authentication.
527   By default, signature schemes are chosen based on the strength of the
528   signature key, but specific hash algorithms may be configured in leftauth.
529
530 - Key types and hash algorithms specified in rightauth are now also checked
531   against IKEv2 signature schemes.  If such constraints are used for certificate
532   chain validation in existing configurations, in particular with peers that
533   don't support RFC 7427, it may be necessary to disable this feature with the
534   charon.signature_authentication_constraints setting, because the signature
535   scheme used in classic IKEv2 public key authentication may not be strong
536   enough.
537
538 - The new connmark plugin allows a host to bind conntrack flows to a specific
539   CHILD_SA by applying and restoring the SA mark to conntrack entries. This
540   allows a peer to handle multiple transport mode connections coming over the
541   same NAT device for client-initiated flows. A common use case is to protect
542   L2TP/IPsec, as supported by some systems.
543
544 - The forecast plugin can forward broadcast and multicast messages between
545   connected clients and a LAN. For CHILD_SA using unique marks, it sets up
546   the required Netfilter rules and uses a multicast/broadcast listener that
547   forwards such messages to all connected clients. This plugin is designed for
548   Windows 7 IKEv2 clients, which announces its services over the tunnel if the
549   negotiated IPsec policy allows it.
550
551 - For the vici plugin a Python Egg has been added to allow Python applications
552   to control or monitor the IKE daemon using the VICI interface, similar to the
553   existing ruby gem. The Python library has been contributed by Björn Schuberg.
554
555 - EAP server methods now can fulfill public key constraints, such as rightcert
556   or rightca. Additionally, public key and signature constraints can be
557   specified for EAP methods in the rightauth keyword. Currently the EAP-TLS and
558   EAP-TTLS methods provide verification details to constraints checking.
559
560 - Upgrade of the BLISS post-quantum signature algorithm to the improved BLISS-B
561   variant. Can be used in conjunction with the SHA256, SHA384 and SHA512 hash
562   algorithms with SHA512 being the default.
563
564 - The IF-IMV 1.4 interface now makes the IP address of the TNC access requestor
565   as seen by the TNC server available to all IMVs. This information can be
566   forwarded to policy enforcement points (e.g. firewalls or routers).
567
568 - The new mutual tnccs-20 plugin parameter activates mutual TNC measurements
569   in PB-TNC half-duplex mode between two endpoints over either a PT-EAP or
570   PT-TLS transport medium.
571
572
573 strongswan-5.2.2
574 ----------------
575
576 - Fixed a denial-of-service vulnerability triggered by an IKEv2 Key Exchange
577   payload that contains the Diffie-Hellman group 1025.  This identifier was
578   used internally for DH groups with custom generator and prime.  Because
579   these arguments are missing when creating DH objects based on the KE payload
580   an invalid pointer dereference occurred.  This allowed an attacker to crash
581   the IKE daemon with a single IKE_SA_INIT message containing such a KE
582   payload.  The vulnerability has been registered as CVE-2014-9221.
583
584 - The left/rightid options in ipsec.conf, or any other identity in strongSwan,
585   now accept prefixes to enforce an explicit type, such as email: or fqdn:.
586   Note that no conversion is done for the remaining string, refer to
587   ipsec.conf(5) for details.
588
589 - The post-quantum Bimodal Lattice Signature Scheme (BLISS) can be used as
590   an IKEv2 public key authentication method. The pki tool offers full support
591   for the generation of BLISS key pairs and certificates.
592
593 - Fixed mapping of integrity algorithms negotiated for AH via IKEv1. This could
594   cause interoperability issues when connecting to older versions of charon.
595
596
597 strongswan-5.2.1
598 ----------------
599
600 - The new charon-systemd IKE daemon implements an IKE daemon tailored for use
601   with systemd. It avoids the dependency on ipsec starter and uses swanctl
602   as configuration backend, building a simple and lightweight solution. It
603   supports native systemd journal logging.
604
605 - Support for IKEv2 fragmentation as per RFC 7383 has been added.  Like IKEv1
606   fragmentation it can be enabled by setting fragmentation=yes in ipsec.conf.
607
608 - Support of the TCG TNC IF-M Attribute Segmentation specification proposal.
609   All attributes can be segmented. Additionally TCG/SWID Tag, TCG/SWID Tag ID
610   and IETF/Installed Packages attributes can be processed incrementally on a
611   per segment basis.
612
613 - The new ext-auth plugin calls an external script to implement custom IKE_SA
614   authorization logic, courtesy of Vyronas Tsingaras.
615
616 - For the vici plugin a ruby gem has been added to allow ruby applications
617   to control or monitor the IKE daemon. The vici documentation has been updated
618   to include a description of the available operations and some simple examples
619   using both the libvici C interface and the ruby gem.
620
621
622 strongswan-5.2.0
623 ----------------
624
625 - strongSwan has been ported to the Windows platform. Using a MinGW toolchain,
626   many parts of the strongSwan codebase run natively on Windows 7 / 2008 R2
627   and newer releases. charon-svc implements a Windows IKE service based on
628   libcharon, the kernel-iph and kernel-wfp plugins act as networking and IPsec
629   backend on the Windows platform. socket-win provides a native IKE socket
630   implementation, while winhttp fetches CRL and OCSP information using the
631   WinHTTP API.
632
633 - The new vici plugin provides a Versatile IKE Configuration Interface for
634   charon. Using the stable IPC interface, external applications can configure,
635   control and monitor the IKE daemon. Instead of scripting the ipsec tool
636   and generating ipsec.conf, third party applications can use the new interface
637   for more control and better reliability.
638
639 - Built upon the libvici client library, swanctl implements the first user of
640   the VICI interface. Together with a swanctl.conf configuration file,
641   connections can be defined, loaded and managed. swanctl provides a portable,
642   complete IKE configuration and control interface for the command line.
643   The first six swanctl example scenarios have been added.
644
645 - The SWID IMV implements a JSON-based REST API which allows the exchange
646   of SWID tags and Software IDs with the strongTNC policy manager.
647
648 - The SWID IMC can extract all installed packages from the dpkg (Debian,
649   Ubuntu, Linux Mint etc.), rpm (Fedora, RedHat, OpenSUSE, etc.), or
650   pacman (Arch Linux, Manjaro, etc.) package managers, respectively, using the
651   swidGenerator (https://github.com/strongswan/swidGenerator) which generates
652   SWID tags according to the new ISO/IEC 19770-2:2014 standard.
653
654 - All IMVs now share the access requestor ID, device ID and product info
655   of an access requestor via a common imv_session object.
656
657 - The Attestation IMC/IMV pair supports the IMA-NG measurement format
658   introduced with the Linux 3.13 kernel.
659
660 - The aikgen tool generates an Attestation Identity Key bound to a TPM.
661
662 - Implemented the PT-EAP transport protocol (RFC 7171) for Trusted Network
663   Connect.
664
665 - The ipsec.conf replay_window option defines connection specific IPsec replay
666   windows. Original patch courtesy of Zheng Zhong and Christophe Gouault from
667   6Wind.
668
669
670 strongswan-5.1.3
671 ----------------
672
673 - Fixed an authentication bypass vulnerability triggered by rekeying an
674   unestablished IKEv2 SA while it gets actively initiated.  This allowed an
675   attacker to trick a peer's IKE_SA state to established, without the need to
676   provide any valid authentication credentials.  The vulnerability has been
677   registered as CVE-2014-2338.
678
679 - The acert plugin evaluates X.509 Attribute Certificates. Group membership
680   information encoded as strings can be used to fulfill authorization checks
681   defined with the rightgroups option. Attribute Certificates can be loaded
682   locally or get exchanged in IKEv2 certificate payloads.
683
684 - The pki command gained support to generate X.509 Attribute Certificates
685   using the --acert subcommand, while the --print command supports the ac type.
686   The openac utility has been removed in favor of the new pki functionality.
687
688 - The libtls TLS 1.2 implementation as used by EAP-(T)TLS and other protocols
689   has been extended by AEAD mode support, currently limited to AES-GCM.
690
691
692 strongswan-5.1.2
693 ----------------
694
695 - A new default configuration file layout is introduced.  The new default
696   strongswan.conf file mainly includes config snippets from the strongswan.d
697   and strongswan.d/charon directories (the latter containing snippets for all
698   plugins).  The snippets, with commented defaults, are automatically
699   generated and installed, if they don't exist yet.  They are also installed
700   in $prefix/share/strongswan/templates so existing files can be compared to
701   the current defaults.
702
703 - As an alternative to the non-extensible charon.load setting, the plugins
704   to load in charon (and optionally other applications) can now be determined
705   via the charon.plugins.<name>.load setting for each plugin (enabled in the
706   new default strongswan.conf file via the charon.load_modular option).
707   The load setting optionally takes a numeric priority value that allows
708   reordering the plugins (otherwise the default plugin order is preserved).
709
710 - All strongswan.conf settings that were formerly defined in library specific
711   "global" sections are now application specific (e.g. settings for plugins in
712   libstrongswan.plugins can now be set only for charon in charon.plugins).
713   The old options are still supported, which now allows to define defaults for
714   all applications in the libstrongswan section.
715
716 - The ntru libstrongswan plugin supports NTRUEncrypt as a post-quantum
717   computer IKE key exchange mechanism. The implementation is based on the
718   ntru-crypto library from the NTRUOpenSourceProject. The supported security
719   strengths are ntru112, ntru128, ntru192, and ntru256. Since the private DH
720   group IDs 1030..1033 have been assigned, the strongSwan Vendor ID must be
721   sent (charon.send_vendor_id = yes) in order to use NTRU.
722
723 - Defined a TPMRA remote attestation workitem and added support for it to the
724   Attestation IMV.
725
726 - Compatibility issues between IPComp (compress=yes) and leftfirewall=yes as
727   well as multiple subnets in left|rightsubnet have been fixed.
728
729 - When enabling its "session" strongswan.conf option, the xauth-pam plugin opens
730   and closes a PAM session for each established IKE_SA. Patch courtesy of
731   Andrea Bonomi.
732
733 - The strongSwan unit testing framework has been rewritten without the "check"
734   dependency for improved flexibility and portability. It now properly supports
735   multi-threaded and memory leak testing and brings a bunch of new test cases.
736
737
738 strongswan-5.1.1
739 ----------------
740
741 - Fixed a denial-of-service vulnerability and potential authorization bypass
742   triggered by a crafted ID_DER_ASN1_DN ID payload. The cause is an insufficient
743   length check when comparing such identities. The vulnerability has been
744   registered as CVE-2013-6075.
745
746 - Fixed a denial-of-service vulnerability triggered by a crafted IKEv1
747   fragmentation payload. The cause is a NULL pointer dereference. The
748   vulnerability has been registered as CVE-2013-6076.
749
750 - The lean stand-alone pt-tls-client can set up a RFC 6876 PT-TLS session
751   with a strongSwan policy enforcement point which uses the tnc-pdp charon
752   plugin.
753
754 - The new TCG TNC SWID IMC/IMV pair supports targeted SWID requests for either
755   full SWID Tag or concise SWID Tag ID inventories.
756
757 - The XAuth backend in eap-radius now supports multiple XAuth exchanges for
758   different credential types and display messages. All user input gets
759   concatenated and verified with a single User-Password RADIUS attribute on
760   the AAA. With an AAA supporting it, one for example can implement
761   Password+Token authentication with proper dialogs on iOS and OS X clients.
762
763 - charon supports IKEv1 Mode Config exchange in push mode. The ipsec.conf
764   modeconfig=push option enables it for both client and server, the same way
765   as pluto used it.
766
767 - Using the "ah" ipsec.conf keyword on both IKEv1 and IKEv2 connections,
768   charon can negotiate and install Security Associations integrity-protected by
769   the Authentication Header protocol. Supported are plain AH(+IPComp) SAs only,
770   but not the deprecated RFC2401 style ESP+AH bundles.
771
772 - The generation of initialization vectors for IKE and ESP (when using libipsec)
773   is now modularized and IVs for e.g. AES-GCM are now correctly allocated
774   sequentially, while other algorithms like AES-CBC still use random IVs.
775
776 - The left and right options in ipsec.conf can take multiple address ranges
777   and subnets. This allows connection matching against a larger set of
778   addresses, for example to use a different connection for clients connecting
779   from a internal network.
780
781 - For all those who have a queasy feeling about the NIST elliptic curve set,
782   the Brainpool curves introduced for use with IKE by RFC 6932 might be a
783   more trustworthy alternative.
784
785 - The kernel-libipsec userland IPsec backend now supports usage statistics,
786   volume based rekeying and accepts ESPv3 style TFC padded packets.
787
788 - With two new strongswan.conf options fwmarks can be used to implement
789   host-to-host tunnels with kernel-libipsec.
790
791 - load-tester supports transport mode connections and more complex traffic
792   selectors, including such using unique ports for each tunnel.
793
794 - The new dnscert plugin provides support for authentication via CERT RRs that
795   are protected via DNSSEC.  The plugin was created by Ruslan N. Marchenko.
796
797 - The eap-radius plugin supports forwarding of several Cisco Unity specific
798   RADIUS attributes in corresponding configuration payloads.
799
800 - Database transactions are now abstracted and implemented by the two backends.
801   If you use MySQL make sure all tables use the InnoDB engine.
802
803 - libstrongswan now can provide an experimental custom implementation of the
804   printf family functions based on klibc if neither Vstr nor glibc style printf
805   hooks are available. This can avoid the Vstr dependency on some systems at
806   the cost of slower and less complete printf functions.
807
808
809 strongswan-5.1.0
810 ----------------
811
812 - Fixed a denial-of-service vulnerability triggered by specific XAuth usernames
813   and EAP identities (since 5.0.3), and PEM files (since 4.1.11).  The crash
814   was caused by insufficient error handling in the is_asn1() function.
815   The vulnerability has been registered as CVE-2013-5018.
816
817 - The new charon-cmd command line IKE client can establish road warrior
818   connections using IKEv1 or IKEv2 with different authentication profiles.
819   It does not depend on any configuration files and can be configured using a
820   few simple command line options.
821
822 - The kernel-pfroute networking backend has been greatly improved. It now
823   can install virtual IPs on TUN devices on OS X and FreeBSD, allowing these
824   systems to act as a client in common road warrior scenarios.
825
826 - The new kernel-libipsec plugin uses TUN devices and libipsec to provide IPsec
827   processing in userland on Linux, FreeBSD and Mac OS X.
828
829 - The eap-radius plugin can now serve as an XAuth backend called xauth-radius,
830   directly verifying XAuth credentials using RADIUS User-Name/User-Password
831   attributes. This is more efficient than the existing xauth-eap+eap-radius
832   combination, and allows RADIUS servers without EAP support to act as AAA
833   backend for IKEv1.
834
835 - The new osx-attr plugin installs configuration attributes (currently DNS
836   servers) via SystemConfiguration on Mac OS X. The keychain plugin provides
837   certificates from the OS X keychain service.
838
839 - The sshkey plugin parses SSH public keys, which, together with the --agent
840   option for charon-cmd, allows the use of ssh-agent for authentication.
841   To configure SSH keys in ipsec.conf the left|rightrsasigkey options are
842   replaced with left|rightsigkey, which now take public keys in one of three
843   formats: SSH (RFC 4253, ssh: prefix), DNSKEY (RFC 3110, dns: prefix), and
844   PKCS#1 (the default, no prefix).
845
846 - Extraction of certificates and private keys from PKCS#12 files is now provided
847   by the new pkcs12 plugin or the openssl plugin.  charon-cmd (--p12) as well
848   as charon (via P12 token in ipsec.secrets) can make use of this.
849
850 - IKEv2 can now negotiate transport mode and IPComp in NAT situations.
851
852 - IKEv2 exchange initiators now properly close an established IKE or CHILD_SA
853   on error conditions using an additional exchange, keeping state in sync
854   between peers.
855
856 - Using a SQL database interface a Trusted Network Connect (TNC) Policy Manager
857   can  generate specific measurement workitems for an arbitrary number of
858   Integrity Measurement Verifiers (IMVs) based on the history of the VPN user
859   and/or device.
860
861 - Several core classes in libstrongswan are now tested with unit tests.  These
862   can be enabled with --enable-unit-tests and run with 'make check'.  Coverage
863   reports can be generated with --enable-coverage and 'make coverage' (this
864   disables any optimization, so it should not be enabled when building
865   production releases).
866
867 - The leak-detective developer tool has been greatly improved. It works much
868   faster/stabler with multiple threads, does not use deprecated malloc hooks
869   anymore and has been ported to OS X.
870
871 - chunk_hash() is now based on SipHash-2-4 with a random key.  This provides
872   better distribution and prevents hash flooding attacks when used with
873   hashtables.
874
875 - All default plugins implement the get_features() method to define features
876   and their dependencies.  The plugin loader has been improved, so that plugins
877   in a custom load statement can be ordered freely or to express preferences
878   without being affected by dependencies between plugin features.
879
880 - A centralized thread can take care for watching multiple file descriptors
881   concurrently. This removes the need for a dedicated listener threads in
882   various plugins. The number of "reserved" threads for such tasks has been
883   reduced to about five, depending on the plugin configuration.
884
885 - Plugins that can be controlled by a UNIX socket IPC mechanism gained network
886   transparency. Third party applications querying these plugins now can use
887   TCP connections from a different host.
888
889 - libipsec now supports AES-GCM.
890
891
892 strongswan-5.0.4
893 ----------------
894
895 - Fixed a security vulnerability in the openssl plugin which was reported by
896   Kevin Wojtysiak. The vulnerability has been registered as CVE-2013-2944.
897   Before the fix, if the openssl plugin's ECDSA signature verification was used,
898   due to a misinterpretation of the error code returned by the OpenSSL
899   ECDSA_verify() function, an empty or zeroed signature was accepted as a
900   legitimate one.
901
902 - The handling of a couple of other non-security relevant openssl return codes
903   was fixed as well.
904
905 - The tnc_ifmap plugin now publishes virtual IPv4 and IPv6 addresses via its
906   TCG TNC IF-MAP 2.1 interface.
907
908 - The charon.initiator_only option causes charon to ignore IKE initiation
909   requests.
910
911 - The openssl plugin can now use the openssl-fips library.
912
913
914 strongswan-5.0.3
915 ----------------
916
917 - The new ipseckey plugin enables authentication based on trustworthy public
918   keys stored as IPSECKEY resource records in the DNS and protected by DNSSEC.
919   To do so it uses a DNSSEC enabled resolver, like the one provided by the new
920   unbound plugin, which is based on libldns and libunbound.  Both plugins were
921   created by Reto Guadagnini.
922
923 - Implemented the TCG TNC IF-IMV 1.4 draft making access requestor identities
924   available to an IMV. The OS IMV stores the AR identity together with the
925   device ID in the attest database.
926
927 - The openssl plugin now uses the AES-NI accelerated version of AES-GCM
928   if the hardware supports it.
929
930 - The eap-radius plugin can now assign virtual IPs to IKE clients using the
931   Framed-IP-Address attribute by using the "%radius" named pool in the
932   rightsourceip ipsec.conf option. Cisco Banner attributes are forwarded to
933   Unity-capable IKEv1 clients during mode config. charon now sends Interim
934   Accounting updates if requested by the RADIUS server, reports
935   sent/received packets in Accounting messages, and adds a Terminate-Cause
936   to Accounting-Stops.
937
938 - The recently introduced "ipsec listcounters" command can report connection
939   specific counters by passing a connection name, and global or connection
940   counters can be reset by the "ipsec resetcounters" command.
941
942 - The strongSwan libpttls library provides an experimental implementation of
943   PT-TLS (RFC 6876), a Posture Transport Protocol over TLS.
944
945 - The charon systime-fix plugin can disable certificate lifetime checks on
946   embedded systems if the system time is obviously out of sync after bootup.
947   Certificates lifetimes get checked once the system time gets sane, closing
948   or reauthenticating connections using expired certificates.
949
950 - The "ikedscp" ipsec.conf option can set DiffServ code points on outgoing
951   IKE packets.
952
953 - The new xauth-noauth plugin allows to use basic RSA or PSK authentication with
954   clients that cannot be configured without XAuth authentication.  The plugin
955   simply concludes the XAuth exchange successfully without actually performing
956   any authentication.  Therefore, to use this backend it has to be selected
957   explicitly with rightauth2=xauth-noauth.
958
959 - The new charon-tkm IKEv2 daemon delegates security critical operations to a
960   separate process. This has the benefit that the network facing daemon has no
961   knowledge of keying material used to protect child SAs. Thus subverting
962   charon-tkm does not result in the compromise of cryptographic keys.
963   The extracted functionality has been implemented from scratch in a minimal TCB
964   (trusted computing base) in the Ada programming language. Further information
965   can be found at http://www.codelabs.ch/tkm/.
966
967 strongswan-5.0.2
968 ----------------
969
970 - Implemented all IETF Standard PA-TNC attributes and an OS IMC/IMV
971   pair using them to transfer operating system information.
972
973 - The new "ipsec listcounters" command prints a list of global counter values
974   about received and sent IKE messages and rekeyings.
975
976 - A new lookip plugin can perform fast lookup of tunnel information using a
977   clients virtual IP and can send notifications about established or deleted
978   tunnels. The "ipsec lookip" command can be used to query such information
979   or receive notifications.
980
981 - The new error-notify plugin catches some common error conditions and allows
982   an external application to receive notifications for them over a UNIX socket.
983
984 - IKE proposals can now use a PRF algorithm different to that defined for
985   integrity protection. If an algorithm with a "prf" prefix is defined
986   explicitly (such as prfsha1 or prfsha256), no implicit PRF algorithm based on
987   the integrity algorithm is added to the proposal.
988
989 - The pkcs11 plugin can now load leftcert certificates from a smartcard for a
990   specific ipsec.conf conn section and cacert CA certificates for a specific ca
991   section.
992
993 - The load-tester plugin gained additional options for certificate generation
994   and can load keys and multiple CA certificates from external files. It can
995   install a dedicated outer IP address for each tunnel and tunnel initiation
996   batches can be triggered and monitored externally using the
997   "ipsec load-tester" tool.
998
999 - PKCS#7 container parsing has been modularized, and the openssl plugin
1000   gained an alternative implementation to decrypt and verify such files.
1001   In contrast to our own DER parser, OpenSSL can handle BER files, which is
1002   required for interoperability of our scepclient with EJBCA.
1003
1004 - Support for the proprietary IKEv1 fragmentation extension has been added.
1005   Fragments are always handled on receipt but only sent if supported by the peer
1006   and if enabled with the new fragmentation ipsec.conf option.
1007
1008 - IKEv1 in charon can now parse certificates received in PKCS#7 containers and
1009   supports NAT traversal as used by Windows clients. Patches courtesy of
1010   Volker Rümelin.
1011
1012 - The new rdrand plugin provides a high quality / high performance random
1013   source using the Intel rdrand instruction found on Ivy Bridge processors.
1014
1015 - The integration test environment was updated and now uses KVM and reproducible
1016   guest images based on Debian.
1017
1018
1019 strongswan-5.0.1
1020 ----------------
1021
1022 - Introduced the sending of the standard IETF Assessment Result
1023   PA-TNC attribute by all strongSwan Integrity Measurement Verifiers.
1024
1025 - Extended PTS Attestation IMC/IMV pair to provide full evidence of
1026   the Linux IMA measurement process. All pertinent file information
1027   of a Linux OS can be collected and stored in an SQL database.
1028
1029 - The PA-TNC and PB-TNC protocols can now process huge data payloads
1030   >64 kB by distributing PA-TNC attributes over multiple PA-TNC messages
1031   and these messages over several PB-TNC batches. As long as no
1032   consolidated recommandation from all IMVs can be obtained, the TNC
1033   server requests more client data by sending an empty SDATA batch.
1034
1035 - The rightgroups2 ipsec.conf option can require group membership during
1036   a second authentication round, for example during XAuth authentication
1037   against a RADIUS server.
1038
1039 - The xauth-pam backend can authenticate IKEv1 XAuth and Hybrid authenticated
1040   clients against any PAM service. The IKEv2 eap-gtc plugin does not use
1041   PAM directly anymore, but can use any XAuth backend to verify credentials,
1042   including xauth-pam.
1043
1044 - The new unity plugin brings support for some parts of the IKEv1 Cisco Unity
1045   Extension. As client, charon narrows traffic selectors to the received
1046   Split-Include attributes and automatically installs IPsec bypass policies
1047   for received Local-LAN attributes. As server, charon sends Split-Include
1048   attributes for leftsubnet definitions containing multiple subnets to Unity-
1049   aware clients.
1050
1051 - An EAP-Nak payload is returned by clients if the gateway requests an EAP
1052   method that the client does not support.  Clients can also request a specific
1053   EAP method by configuring that method with leftauth.
1054
1055 - The eap-dynamic plugin handles EAP-Nak payloads returned by clients and uses
1056   these to select a different EAP method supported/requested by the client.
1057   The plugin initially requests the first registered method or the first method
1058   configured with charon.plugins.eap-dynamic.preferred.
1059
1060 - The new left/rightdns options specify connection specific DNS servers to
1061   request/respond in IKEv2 configuration payloads or IKEv2 mode config. leftdns
1062   can be any (comma separated) combination of %config4 and %config6 to request
1063   multiple servers, both for IPv4 and IPv6. rightdns takes a list of DNS server
1064   IP addresses to return.
1065
1066 - The left/rightsourceip options now accept multiple addresses or pools.
1067   leftsourceip can be any (comma separated) combination of %config4, %config6
1068   or fixed IP addresses to request. rightsourceip accepts multiple explicitly
1069   specified or referenced named pools.
1070
1071 - Multiple connections can now share a single address pool when they use the
1072   same definition in one of the rightsourceip pools.
1073
1074 - The options charon.interfaces_ignore and charon.interfaces_use allow one to
1075   configure the network interfaces used by the daemon.
1076
1077 - The kernel-netlink plugin supports the charon.install_virtual_ip_on option,
1078   which specifies the interface on which virtual IP addresses will be installed.
1079   If it is not specified the current behavior of using the outbound interface
1080   is preserved.
1081
1082 - The kernel-netlink plugin tries to keep the current source address when
1083   looking for valid routes to reach other hosts.
1084
1085 - The autotools build has been migrated to use a config.h header. strongSwan
1086   development headers will get installed during "make install" if
1087   --with-dev-headers has been passed to ./configure.
1088
1089 - All crypto primitives gained return values for most operations, allowing
1090   crypto backends to fail, for example when using hardware accelerators.
1091
1092
1093 strongswan-5.0.0
1094 ----------------
1095
1096 - The charon IKE daemon gained experimental support for the IKEv1 protocol.
1097   Pluto has been removed from the 5.x series, and unless strongSwan is
1098   configured with --disable-ikev1 or --disable-ikev2, charon handles both
1099   keying protocols. The feature-set of IKEv1 in charon is almost on par with
1100   pluto, but currently does not support AH or bundled AH+ESP SAs. Beside
1101   RSA/ECDSA, PSK and XAuth, charon also supports the Hybrid authentication
1102   mode. Information for interoperability and migration is available at
1103   http://wiki.strongswan.org/projects/strongswan/wiki/CharonPlutoIKEv1.
1104
1105 - Charon's bus_t has been refactored so that loggers and other listeners are
1106   now handled separately.  The single lock was previously cause for deadlocks
1107   if extensive listeners, such as the one provided by the updown plugin, wanted
1108   to acquire locks that were held by other threads which in turn tried to log
1109   messages, and thus were waiting to acquire the same lock currently held by
1110   the thread calling the listener.
1111   The implemented changes also allow the use of a read/write-lock for the
1112   loggers which increases performance if multiple loggers are registered.
1113   Besides several interface changes this last bit also changes the semantics
1114   for loggers as these may now be called by multiple threads at the same time.
1115
1116 - Source routes are reinstalled if interfaces are reactivated or IP addresses
1117   reappear.
1118
1119 - The thread pool (processor_t) now has more control over the lifecycle of
1120   a job (see job.h for details).  In particular, it now controls the destruction
1121   of jobs after execution and the cancellation of jobs during shutdown.  Due to
1122   these changes the requeueing feature, previously available to callback_job_t
1123   only, is now available to all jobs (in addition to a new rescheduling
1124   feature).
1125
1126 - In addition to trustchain key strength definitions for different public key
1127   systems, the rightauth option now takes a list of signature hash algorithms
1128   considered save for trustchain validation. For example, the setting
1129   rightauth=rsa-2048-ecdsa-256-sha256-sha384-sha512 requires a trustchain
1130   that uses at least RSA-2048 or ECDSA-256 keys and certificate signatures
1131   using SHA-256 or better.
1132
1133
1134 strongswan-4.6.4
1135 ----------------
1136
1137 - Fixed a security vulnerability in the gmp plugin.  If this plugin was used
1138   for RSA signature verification an empty or zeroed signature was handled as
1139   a legitimate one.
1140
1141 - Fixed several issues with reauthentication and address updates.
1142
1143
1144 strongswan-4.6.3
1145 ----------------
1146
1147 - The tnc-pdp plugin implements a RADIUS server interface allowing
1148   a strongSwan TNC server to act as a Policy Decision Point.
1149
1150 - The eap-radius authentication backend enforces Session-Timeout attributes
1151   using RFC4478 repeated authentication and acts upon RADIUS Dynamic
1152   Authorization extensions, RFC 5176. Currently supported are disconnect
1153   requests and CoA messages containing a Session-Timeout.
1154
1155 - The eap-radius plugin can forward arbitrary RADIUS attributes from and to
1156   clients using custom IKEv2 notify payloads. The new radattr plugin reads
1157   attributes to include from files and prints received attributes to the
1158   console.
1159
1160 - Added support for untruncated MD5 and SHA1 HMACs in ESP as used in
1161   RFC 4595.
1162
1163 - The cmac plugin implements the AES-CMAC-96 and AES-CMAC-PRF-128 algorithms
1164   as defined in RFC 4494 and RFC 4615, respectively.
1165
1166 - The resolve plugin automatically installs nameservers via resolvconf(8),
1167   if it is installed, instead of modifying /etc/resolv.conf directly.
1168
1169 - The IKEv2 charon daemon supports now raw RSA public keys in RFC 3110
1170   DNSKEY and PKCS#1 file format.
1171
1172
1173 strongswan-4.6.2
1174 ----------------
1175
1176 - Upgraded the TCG IF-IMC and IF-IMV C API to the upcoming version 1.3
1177   which supports IF-TNCCS 2.0 long message types, the exclusive flags
1178   and multiple IMC/IMV IDs. Both the TNC Client and Server as well as
1179   the "Test", "Scanner", and "Attestation" IMC/IMV pairs were updated.
1180
1181 - Fully implemented the "TCG Attestation PTS Protocol: Binding to IF-M"
1182   standard (TLV-based messages only). TPM-based remote attestation of
1183   Linux IMA (Integrity Measurement Architecture) possible. Measurement
1184   reference values are automatically stored in an SQLite database.
1185
1186 - The EAP-RADIUS authentication backend supports RADIUS accounting. It sends
1187   start/stop messages containing Username, Framed-IP and Input/Output-Octets
1188   attributes and has been tested against FreeRADIUS and Microsoft NPS.
1189
1190 - Added support for PKCS#8 encoded private keys via the libstrongswan
1191   pkcs8 plugin.  This is the default format used by some OpenSSL tools since
1192   version 1.0.0 (e.g. openssl req with -keyout).
1193
1194 - Added session resumption support to the strongSwan TLS stack.
1195
1196
1197 strongswan-4.6.1
1198 ----------------
1199
1200 - Because of changing checksums before and after installation which caused
1201   the integrity tests to fail we avoided directly linking libsimaka, libtls and
1202   libtnccs to those libcharon plugins which make use of these dynamic libraries.
1203   Instead we linked the libraries to the charon daemon. Unfortunately Ubuntu
1204   11.10 activated the --as-needed ld option which discards explicit links
1205   to dynamic libraries that are not actually used by the charon daemon itself,
1206   thus causing failures during the loading of the plugins which depend on these
1207   libraries for resolving external symbols.
1208
1209 -  Therefore our approach of computing  integrity checksums for plugins had to be
1210    changed radically by moving the hash generation from the compilation to the
1211    post-installation phase.
1212
1213
1214 strongswan-4.6.0
1215 ----------------
1216
1217 - The new libstrongswan certexpire plugin collects expiration information of
1218   all used certificates and exports them to CSV files. It either directly
1219   exports them or uses cron style scheduling for batch exports.
1220
1221 - starter passes unresolved hostnames to charon, allowing it to do name
1222   resolution not before the connection attempt. This is especially useful with
1223   connections between hosts using dynamic IP addresses. Thanks to Mirko Parthey
1224   for the initial patch.
1225
1226 - The android plugin can now be used without the Android frontend patch and
1227   provides DNS server registration and logging to logcat.
1228
1229 - Pluto and starter (plus stroke and whack) have been ported to Android.
1230
1231 - Support for ECDSA private and public key operations has been added to the
1232   pkcs11 plugin.  The plugin now also provides DH and ECDH via PKCS#11 and can
1233   use tokens as random number generators (RNG).  By default only private key
1234   operations are enabled, more advanced features have to be enabled by their
1235   option in strongswan.conf.  This also applies to public key operations (even
1236   for keys not stored on the token) which were enabled by default before.
1237
1238 - The libstrongswan plugin system now supports detailed plugin dependencies.
1239   Many plugins have been extended to export its capabilities and requirements.
1240   This allows the plugin loader to resolve plugin loading order automatically,
1241   and in future releases, to dynamically load the required features on demand.
1242   Existing third party plugins are source (but not binary) compatible if they
1243   properly initialize the new get_features() plugin function to NULL.
1244
1245 - The tnc-ifmap plugin implements a TNC IF-MAP 2.0 client which can deliver
1246   metadata about IKE_SAs via a SOAP interface to a MAP server. The tnc-ifmap
1247   plugin requires the Apache Axis2/C library.
1248
1249
1250 strongswan-4.5.3
1251 ----------------
1252
1253 - Our private libraries (e.g. libstrongswan) are not installed directly in
1254   prefix/lib anymore.  Instead a subdirectory is used (prefix/lib/ipsec/ by
1255   default).  The plugins directory is also moved from libexec/ipsec/ to that
1256   directory.
1257
1258 - The dynamic IMC/IMV libraries were moved from the plugins directory to
1259   a new imcvs directory in the prefix/lib/ipsec/ subdirectory.
1260
1261 - Job priorities were introduced to prevent thread starvation caused by too
1262   many threads handling blocking operations (such as CRL fetching).  Refer to
1263   strongswan.conf(5) for details.
1264
1265 - Two new strongswan.conf options allow to fine-tune performance on IKEv2
1266   gateways by dropping IKE_SA_INIT requests on high load.
1267
1268 - IKEv2 charon daemon supports start PASS and DROP shunt policies
1269   preventing traffic to go through IPsec connections. Installation of the
1270   shunt policies either via the XFRM netfilter or PFKEYv2 IPsec kernel
1271   interfaces.
1272
1273 - The history of policies installed in the kernel is now tracked so that e.g.
1274   trap policies are correctly updated when reauthenticated SAs are terminated.
1275
1276 - IMC/IMV Scanner pair implementing the RFC 5792 PA-TNC (IF-M) protocol.
1277   Using "netstat -l" the IMC scans open listening ports on the TNC client
1278   and sends a port list to the IMV which based on a port policy decides if
1279   the client is admitted to the network.
1280   (--enable-imc-scanner/--enable-imv-scanner).
1281
1282 - IMC/IMV Test pair implementing the RFC 5792 PA-TNC (IF-M) protocol.
1283   (--enable-imc-test/--enable-imv-test).
1284
1285 - The IKEv2 close action does not use the same value as the ipsec.conf dpdaction
1286   setting, but the value defined by its own closeaction keyword. The action
1287   is triggered if the remote peer closes a CHILD_SA unexpectedly.
1288
1289
1290 strongswan-4.5.2
1291 ----------------
1292
1293 - The whitelist plugin for the IKEv2 daemon maintains an in-memory identity
1294   whitelist. Any connection attempt of peers not whitelisted will get rejected.
1295   The 'ipsec whitelist' utility provides a simple command line frontend for
1296   whitelist administration.
1297
1298 - The duplicheck plugin provides a specialized form of duplicate checking,
1299   doing a liveness check on the old SA and optionally notify a third party
1300   application about detected duplicates.
1301
1302 - The coupling plugin permanently couples two or more devices by limiting
1303   authentication to previously used certificates.
1304
1305 - In the case that the peer config and child config don't have the same name
1306   (usually in SQL database defined connections), ipsec up|route <peer config>
1307   starts|routes all associated child configs and ipsec up|route <child config>
1308   only starts|routes the specific child config.
1309
1310 - fixed the encoding and parsing of X.509 certificate policy statements (CPS).
1311
1312 - Duncan Salerno contributed the eap-sim-pcsc plugin implementing a
1313   pcsc-lite based SIM card backend.
1314
1315 - The eap-peap plugin implements the EAP PEAP protocol. Interoperates
1316   successfully with a FreeRADIUS server and Windows 7 Agile VPN clients.
1317
1318 - The IKEv2 daemon charon rereads strongswan.conf on SIGHUP and instructs
1319   all plugins to reload. Currently only the eap-radius and the attr plugins
1320   support configuration reloading.
1321
1322 - Added userland support to the IKEv2 daemon for Extended Sequence Numbers
1323   support coming with Linux 2.6.39. To enable ESN on a connection, add
1324   the 'esn' keyword to the proposal. The default proposal uses 32-bit sequence
1325   numbers only ('noesn'), and the same value is used if no ESN mode is
1326   specified. To negotiate ESN support with the peer, include both, e.g.
1327   esp=aes128-sha1-esn-noesn.
1328
1329 - In addition to ESN, Linux 2.6.39 gained support for replay windows larger
1330   than 32 packets. The new global strongswan.conf option 'charon.replay_window'
1331   configures the size of the replay window, in packets.
1332
1333
1334 strongswan-4.5.1
1335 ----------------
1336
1337 - Sansar Choinyambuu implemented the RFC 5793 Posture Broker Protocol (BP)
1338   compatible with Trusted Network Connect (TNC). The TNCCS 2.0 protocol
1339   requires the tnccs_20, tnc_imc and tnc_imv plugins but does not depend
1340   on the libtnc library. Any available IMV/IMC pairs conforming to the
1341   Trusted Computing Group's TNC-IF-IMV/IMC 1.2 interface specification
1342   can be loaded via /etc/tnc_config.
1343
1344 - Re-implemented the TNCCS 1.1 protocol by using the tnc_imc and tnc_imv
1345   in place of the external libtnc library.
1346
1347 - The tnccs_dynamic plugin loaded on a TNC server in addition to the
1348   tnccs_11 and tnccs_20 plugins, dynamically detects the IF-TNCCS
1349   protocol version used by a TNC client and invokes an instance of
1350   the corresponding protocol stack.
1351
1352 - IKE and ESP proposals can now be stored in an SQL database using a
1353   new proposals table. The start_action field in the child_configs
1354   tables allows the automatic starting or routing of connections stored
1355   in an SQL database.
1356
1357 - The new certificate_authorities and certificate_distribution_points
1358   tables make it possible to store CRL and OCSP Certificate Distribution
1359   points in an SQL database.
1360
1361 - The new 'include' statement allows to recursively include other files in
1362   strongswan.conf.  Existing sections and values are thereby extended and
1363   replaced, respectively.
1364
1365 - Due to the changes in the parser for strongswan.conf, the configuration
1366   syntax for the attr plugin has changed.  Previously, it was possible to
1367   specify multiple values of a specific attribute type by adding multiple
1368   key/value pairs with the same key (e.g. dns) to the plugins.attr section.
1369   Because values with the same key now replace previously defined values
1370   this is not possible anymore.  As an alternative, multiple values can be
1371   specified by separating them with a comma (e.g. dns = 1.2.3.4, 2.3.4.5).
1372
1373 - ipsec listalgs now appends (set in square brackets) to each crypto
1374   algorithm listed the plugin that registered the function.
1375
1376 - Traffic Flow Confidentiality padding supported with Linux 2.6.38 can be used
1377   by the IKEv2 daemon. The ipsec.conf 'tfc' keyword pads all packets to a given
1378   boundary, the special value '%mtu' pads all packets to the path MTU.
1379
1380 - The new af-alg plugin can use various crypto primitives of the Linux Crypto
1381   API using the AF_ALG interface introduced with 2.6.38. This removes the need
1382   for additional userland implementations of symmetric cipher, hash, hmac and
1383   xcbc algorithms.
1384
1385 - The IKEv2 daemon supports the INITIAL_CONTACT notify as initiator and
1386   responder. The notify is sent when initiating configurations with a unique
1387   policy, set in ipsec.conf via the global 'uniqueids' option.
1388
1389 - The conftest conformance testing framework enables the IKEv2 stack to perform
1390   many tests using a distinct tool and configuration frontend. Various hooks
1391   can alter reserved bits, flags, add custom notifies and proposals, reorder
1392   or drop messages and much more. It is enabled using the --enable-conftest
1393   ./configure switch.
1394
1395 - The new libstrongswan constraints plugin provides advanced X.509 constraint
1396   checking. In addition to X.509 pathLen constraints, the plugin checks for
1397   nameConstraints and certificatePolicies, including policyMappings and
1398   policyConstraints. The x509 certificate plugin and the pki tool have been
1399   enhanced to support these extensions. The new left/rightcertpolicy ipsec.conf
1400   connection keywords take OIDs a peer certificate must have.
1401
1402 - The left/rightauth ipsec.conf keywords accept values with a minimum strength
1403   for trustchain public keys in bits, such as rsa-2048 or ecdsa-256.
1404
1405 - The revocation and x509 libstrongswan plugins and the pki tool gained basic
1406   support for delta CRLs.
1407
1408
1409 strongswan-4.5.0
1410 ----------------
1411
1412 - IMPORTANT: the default keyexchange mode 'ike' is changing with release 4.5
1413   from 'ikev1' to 'ikev2', thus commemorating the five year anniversary of the
1414   IKEv2 RFC 4306 and its mature successor RFC 5996. The time has definitively
1415   come for IKEv1 to go into retirement and to cede its place to the much more
1416   robust, powerful and versatile IKEv2 protocol!
1417
1418 - Added new ctr, ccm and gcm plugins providing Counter, Counter with CBC-MAC
1419   and Galois/Counter Modes based on existing CBC implementations. These
1420   new plugins bring support for AES and Camellia Counter and CCM algorithms
1421   and the AES GCM algorithms for use in IKEv2.
1422
1423 - The new pkcs11 plugin brings full Smartcard support to the IKEv2 daemon and
1424   the pki utility using one or more PKCS#11 libraries. It currently supports
1425   RSA private and public key operations and loads X.509 certificates from
1426   tokens.
1427
1428 - Implemented a general purpose TLS stack based on crypto and credential
1429   primitives of libstrongswan. libtls supports TLS versions 1.0, 1.1 and 1.2,
1430   ECDHE-ECDSA/RSA, DHE-RSA and RSA key exchange algorithms and RSA/ECDSA based
1431   client authentication.
1432
1433 - Based on libtls, the eap-tls plugin brings certificate based EAP
1434   authentication for client and server. It is compatible to Windows 7 IKEv2
1435   Smartcard authentication and the OpenSSL based FreeRADIUS EAP-TLS backend.
1436
1437 - Implemented the TNCCS 1.1 Trusted Network Connect protocol using the
1438   libtnc library on the strongSwan client and server side via the tnccs_11
1439   plugin and optionally connecting to a TNC@FHH-enhanced FreeRADIUS AAA server.
1440   Depending on the resulting TNC Recommendation, strongSwan clients are granted
1441   access to a network behind a strongSwan gateway (allow), are put into a
1442   remediation zone (isolate) or are blocked (none), respectively. Any number
1443   of Integrity Measurement Collector/Verifier pairs can be attached
1444   via the tnc-imc and tnc-imv charon plugins.
1445
1446 - The IKEv1 daemon pluto now uses the same kernel interfaces as the IKEv2
1447   daemon charon. As a result of this, pluto now supports xfrm marks which
1448   were introduced in charon with 4.4.1.
1449
1450 - Applets for Maemo 5 (Nokia) allow to easily configure and control IKEv2
1451   based VPN connections with EAP authentication on supported devices.
1452
1453 - The RADIUS plugin eap-radius now supports multiple RADIUS servers for
1454   redundant setups. Servers are selected by a defined priority, server load and
1455   availability.
1456
1457 - The simple led plugin controls hardware LEDs through the Linux LED subsystem.
1458   It currently shows activity of the IKE daemon and is a good example how to
1459   implement a simple event listener.
1460
1461 - Improved MOBIKE behavior in several corner cases, for instance, if the
1462   initial responder moves to a different address.
1463
1464 - Fixed left-/rightnexthop option, which was broken since 4.4.0.
1465
1466 - Fixed a bug not releasing a virtual IP address to a pool if the XAUTH
1467   identity was different from the IKE identity.
1468
1469 - Fixed the alignment of ModeConfig messages on 4-byte boundaries in the
1470   case where the attributes are not a multiple of 4 bytes (e.g. Cisco's
1471   UNITY_BANNER).
1472
1473 - Fixed the interoperability of the socket_raw and socket_default
1474   charon plugins.
1475
1476 - Added man page for strongswan.conf
1477
1478
1479 strongswan-4.4.1
1480 ----------------
1481
1482 - Support of xfrm marks in IPsec SAs and IPsec policies introduced
1483   with the Linux 2.6.34 kernel. For details see the example scenarios
1484   ikev2/nat-two-rw-mark, ikev2/rw-nat-mark-in-out and ikev2/net2net-psk-dscp.
1485
1486 - The PLUTO_MARK_IN and PLUTO_ESP_ENC environment variables can be used
1487   in a user-specific updown script to set marks on inbound ESP or
1488   ESP_IN_UDP packets.
1489
1490 - The openssl plugin now supports X.509 certificate and CRL functions.
1491
1492 - OCSP/CRL checking in IKEv2 has been moved to the revocation plugin, enabled
1493   by default. Please update manual load directives in strongswan.conf.
1494
1495 - RFC3779 ipAddrBlock constraint checking has been moved to the addrblock
1496   plugin, disabled by default. Enable it and update manual load directives
1497   in strongswan.conf, if required.
1498
1499 - The pki utility supports CRL generation using the --signcrl command.
1500
1501 - The ipsec pki --self, --issue and --req commands now support output in
1502   PEM format using the --outform pem option.
1503
1504 - The major refactoring of the IKEv1 Mode Config functionality now allows
1505   the transport and handling of any Mode Config attribute.
1506
1507 - The RADIUS proxy plugin eap-radius now supports multiple servers. Configured
1508   servers are chosen randomly, with the option to prefer a specific server.
1509   Non-responding servers are degraded by the selection process.
1510
1511 - The ipsec pool tool manages arbitrary configuration attributes stored
1512   in an SQL database. ipsec pool --help gives the details.
1513
1514 - The new eap-simaka-sql plugin acts as a backend for EAP-SIM and EAP-AKA,
1515   reading triplets/quintuplets from an SQL database.
1516
1517 - The High Availability plugin now supports a HA enabled in-memory address
1518   pool and Node reintegration without IKE_SA rekeying. The latter allows
1519   clients without IKE_SA rekeying support to keep connected during
1520   reintegration. Additionally, many other issues have been fixed in the ha
1521   plugin.
1522
1523 - Fixed a potential remote code execution vulnerability resulting from
1524   the misuse of snprintf(). The vulnerability is exploitable by
1525   unauthenticated users.
1526
1527
1528 strongswan-4.4.0
1529 ----------------
1530
1531 - The IKEv2 High Availability plugin has been integrated. It provides
1532   load sharing and failover capabilities in a cluster of currently two nodes,
1533   based on an extend ClusterIP kernel module. More information is available at
1534   http://wiki.strongswan.org/projects/strongswan/wiki/HighAvailability.
1535   The development of the High Availability functionality was sponsored by
1536   secunet Security Networks AG.
1537
1538 - Added IKEv1 and IKEv2 configuration support for the AES-GMAC
1539   authentication-only ESP cipher. Our aes_gmac kernel patch or a Linux
1540   2.6.34 kernel is required to make AES-GMAC available via the XFRM
1541   kernel interface.
1542
1543 - Added support for Diffie-Hellman groups 22, 23 and 24 to the gmp, gcrypt
1544   and openssl plugins, usable by both pluto and charon. The new proposal
1545   keywords are modp1024s160, modp2048s224 and modp2048s256. Thanks to Joy Latten
1546   from IBM for his contribution.
1547
1548 - The IKEv1 pluto daemon supports RAM-based virtual IP pools using
1549   the rightsourceip directive with a subnet from which addresses
1550   are allocated.
1551
1552 - The ipsec pki --gen and --pub commands now allow the output of
1553   private and public keys in PEM format using the --outform pem
1554   command line option.
1555
1556 - The new DHCP plugin queries virtual IP addresses for clients from a DHCP
1557   server using broadcasts, or a defined server using the
1558   charon.plugins.dhcp.server strongswan.conf option. DNS/WINS server information
1559   is additionally served to clients if the DHCP server provides such
1560   information. The plugin is used in ipsec.conf configurations having
1561   rightsourceip set to %dhcp.
1562
1563 - A new plugin called farp fakes ARP responses for virtual IP addresses
1564   handed out to clients from the IKEv2 daemon charon. The plugin lets a
1565   road-warrior act as a client on the local LAN if it uses a virtual IP
1566   from the responders subnet, e.g. acquired using the DHCP plugin.
1567
1568 - The existing IKEv2 socket implementations have been migrated to the
1569   socket-default and the socket-raw plugins. The new socket-dynamic plugin
1570   binds sockets dynamically to ports configured via the left-/rightikeport
1571   ipsec.conf connection parameters.
1572
1573 - The android charon plugin stores received DNS server information as "net.dns"
1574   system properties, as used by the Android platform.
1575
1576
1577 strongswan-4.3.6
1578 ----------------
1579
1580 - The IKEv2 daemon supports RFC 3779 IP address block constraints
1581   carried as a critical X.509v3 extension in the peer certificate.
1582
1583 - The ipsec pool --add|del dns|nbns command manages DNS and NBNS name
1584   server entries that are sent via the IKEv1 Mode Config or IKEv2
1585   Configuration Payload to remote clients.
1586
1587 - The Camellia cipher can be used as an IKEv1 encryption algorithm.
1588
1589 - The IKEv1 and IKEV2 daemons now check certificate path length constraints.
1590
1591 - The new ipsec.conf conn option "inactivity" closes a CHILD_SA if no traffic
1592   was sent or received within the given interval. To close the complete IKE_SA
1593   if its only CHILD_SA was inactive, set the global strongswan.conf option
1594   "charon.inactivity_close_ike" to yes.
1595
1596 - More detailed IKEv2 EAP payload information in debug output
1597
1598 - IKEv2 EAP-SIM and EAP-AKA share joint libsimaka library
1599
1600 - Added required userland changes for proper SHA256 and SHA384/512 in ESP that
1601   will be introduced with Linux 2.6.33. The "sha256"/"sha2_256" keyword now
1602   configures the kernel with 128 bit truncation, not the non-standard 96
1603   bit truncation used by previous releases. To use the old 96 bit truncation
1604   scheme, the new "sha256_96" proposal keyword has been introduced.
1605
1606 - Fixed IPComp in tunnel mode, stripping out the duplicated outer header. This
1607   change makes IPcomp tunnel mode connections incompatible with previous
1608   releases; disable compression on such tunnels.
1609
1610 - Fixed BEET mode connections on recent kernels by installing SAs with
1611   appropriate traffic selectors, based on a patch by Michael Rossberg.
1612
1613 - Using extensions (such as BEET mode) and crypto algorithms (such as twofish,
1614   serpent, sha256_96) allocated in the private use space now require that we
1615   know its meaning, i.e. we are talking to strongSwan. Use the new
1616   "charon.send_vendor_id" option in strongswan.conf to let the remote peer know
1617   this is the case.
1618
1619 - Experimental support for draft-eronen-ipsec-ikev2-eap-auth, where the
1620   responder omits public key authentication in favor of a mutual authentication
1621   method. To enable EAP-only authentication, set rightauth=eap on the responder
1622   to rely only on the MSK constructed AUTH payload. This not-yet standardized
1623   extension requires the strongSwan vendor ID introduced above.
1624
1625 - The IKEv1 daemon ignores the Juniper SRX notification type 40001, thus
1626   allowing interoperability.
1627
1628
1629 strongswan-4.3.5
1630 ----------------
1631
1632 - The IKEv1 pluto daemon can now use SQL-based address pools to deal out
1633   virtual IP addresses as a Mode Config server. The pool capability has been
1634   migrated from charon's sql plugin to a new attr-sql plugin which is loaded
1635   by libstrongswan and which can be used by both daemons either with a SQLite
1636   or MySQL database and the corresponding plugin.
1637
1638 - Plugin names have been streamlined: EAP plugins now have a dash after eap
1639   (e.g. eap-sim), as it is used with the --enable-eap-sim ./configure option.
1640   Plugin configuration sections in strongswan.conf now use the same name as the
1641   plugin itself (i.e. with a dash). Make sure to update "load" directives and
1642   the affected plugin sections in existing strongswan.conf files.
1643
1644 - The private/public key parsing and encoding has been split up into
1645   separate pkcs1, pgp, pem and dnskey plugins. The public key implementation
1646   plugins gmp, gcrypt and openssl can all make use of them.
1647
1648 - The EAP-AKA plugin can use different backends for USIM/quintuplet
1649   calculations, very similar to the EAP-SIM plugin. The existing 3GPP2 software
1650   implementation has been migrated to a separate plugin.
1651
1652 - The IKEv2 daemon charon gained basic PGP support. It can use locally installed
1653   peer certificates and can issue signatures based on RSA private keys.
1654
1655 - The new 'ipsec pki' tool provides a set of commands to maintain a public
1656   key infrastructure. It currently supports operations to create RSA and ECDSA
1657   private/public keys, calculate fingerprints and issue or verify certificates.
1658
1659 - Charon uses a monotonic time source for statistics and job queueing, behaving
1660   correctly if the system time changes (e.g. when using NTP).
1661
1662 - In addition to time based rekeying, charon supports IPsec SA lifetimes based
1663   on processed volume or number of packets. They new ipsec.conf parameters
1664   'lifetime' (an alias to 'keylife'), 'lifebytes' and 'lifepackets' handle
1665   SA timeouts, while the parameters 'margintime' (an alias to rekeymargin),
1666   'marginbytes' and 'marginpackets' trigger the rekeying before a SA expires.
1667   The existing parameter 'rekeyfuzz' affects all margins.
1668
1669 - If no CA/Gateway certificate is specified in the NetworkManager plugin,
1670   charon uses a set of trusted root certificates preinstalled by distributions.
1671   The directory containing CA certificates can be specified using the
1672   --with-nm-ca-dir=path configure option.
1673
1674 - Fixed the encoding of the Email relative distinguished name in left|rightid
1675   statements.
1676
1677 - Fixed the broken parsing of PKCS#7 wrapped certificates by the pluto daemon.
1678
1679 - Fixed smartcard-based authentication in the pluto daemon which was broken by
1680   the ECDSA support introduced with the 4.3.2 release.
1681
1682 - A patch contributed by Heiko Hund fixes mixed IPv6 in IPv4 and vice versa
1683   tunnels established with the IKEv1 pluto daemon.
1684
1685 - The pluto daemon now uses the libstrongswan x509 plugin for certificates and
1686   CRls and the struct id type was replaced by identification_t used by charon
1687   and the libstrongswan library.
1688
1689
1690 strongswan-4.3.4
1691 ----------------
1692
1693 - IKEv2 charon daemon ported to FreeBSD and Mac OS X. Installation details can
1694   be found on wiki.strongswan.org.
1695
1696 - ipsec statusall shows the number of bytes transmitted and received over
1697   ESP connections configured by the IKEv2 charon daemon.
1698
1699 - The IKEv2 charon daemon supports include files in ipsec.secrets.
1700
1701
1702 strongswan-4.3.3
1703 ----------------
1704
1705 - The configuration option --enable-integrity-test plus the strongswan.conf
1706   option libstrongswan.integrity_test = yes activate integrity tests
1707   of the IKE daemons charon and pluto, libstrongswan and all loaded
1708   plugins. Thus dynamic library misconfigurations and non-malicious file
1709   manipulations can be reliably detected.
1710
1711 - The new default setting libstrongswan.ecp_x_coordinate_only=yes allows
1712   IKEv1 interoperability with MS Windows using the ECP DH groups 19 and 20.
1713
1714 - The IKEv1 pluto daemon now supports the AES-CCM and AES-GCM ESP
1715   authenticated encryption algorithms.
1716
1717 - The IKEv1 pluto daemon now supports V4 OpenPGP keys.
1718
1719 - The RDN parser vulnerability discovered by Orange Labs research team
1720   was not completely fixed in version 4.3.2. Some more modifications
1721   had to be applied to the asn1_length() function to make it robust.
1722
1723
1724 strongswan-4.3.2
1725 ----------------
1726
1727 - The new gcrypt plugin provides symmetric cipher, hasher, RNG, Diffie-Hellman
1728   and RSA crypto primitives using the LGPL licensed GNU gcrypt library.
1729
1730 - libstrongswan features an integrated crypto selftest framework for registered
1731   algorithms. The test-vector plugin provides a first set of test vectors and
1732   allows pluto and charon to rely on tested crypto algorithms.
1733
1734 - pluto can now use all libstrongswan plugins with the exception of x509 and xcbc.
1735   Thanks to the openssl plugin, the ECP Diffie-Hellman groups 19, 20, 21, 25, and
1736   26 as well as ECDSA-256, ECDSA-384, and ECDSA-521 authentication can be used
1737   with IKEv1.
1738
1739 - Applying their fuzzing tool, the Orange Labs vulnerability research team found
1740   another two DoS vulnerabilities, one in the rather old ASN.1 parser of Relative
1741   Distinguished Names (RDNs) and a second one in the conversion of ASN.1 UTCTIME
1742   and GENERALIZEDTIME strings to a time_t value.
1743
1744
1745 strongswan-4.3.1
1746 ----------------
1747
1748 - The nm plugin now passes DNS/NBNS server information to NetworkManager,
1749   allowing a gateway administrator to set DNS/NBNS configuration on clients
1750   dynamically.
1751
1752 - The nm plugin also accepts CA certificates for gateway authentication. If
1753   a CA certificate is configured, strongSwan uses the entered gateway address
1754   as its idenitity, requiring the gateways certificate to contain the same as
1755   subjectAltName. This allows a gateway administrator to deploy the same
1756   certificates to Windows 7 and NetworkManager clients.
1757
1758 - The command ipsec purgeike deletes IKEv2 SAs that don't have a CHILD SA.
1759   The command ipsec down <conn>{n} deletes CHILD SA instance n of connection
1760   <conn> whereas ipsec down <conn>{*} deletes all CHILD SA instances.
1761   The command ipsec down <conn>[n] deletes IKE SA instance n of connection
1762   <conn> plus dependent CHILD SAs whereas ipsec down <conn>[*] deletes all
1763   IKE SA instances of connection <conn>.
1764
1765 - Fixed a regression introduced in 4.3.0 where EAP authentication calculated
1766   the AUTH payload incorrectly. Further, the EAP-MSCHAPv2 MSK key derivation
1767   has been updated to be compatible with the Windows 7 Release Candidate.
1768
1769 - Refactored installation of triggering policies. Routed policies are handled
1770   outside of IKE_SAs to keep them installed in any case. A tunnel gets
1771   established only once, even if initiation is delayed due network outages.
1772
1773 - Improved the handling of multiple acquire signals triggered by the kernel.
1774
1775 - Fixed two DoS vulnerabilities in the charon daemon that were discovered by
1776   fuzzing techniques: 1) Sending a malformed IKE_SA_INIT request leaved an
1777   incomplete state which caused a null pointer dereference if a subsequent
1778   CREATE_CHILD_SA request was sent. 2) Sending an IKE_AUTH request with either
1779   a missing TSi or TSr payload caused a null pointer derefence because the
1780   checks for TSi and TSr were interchanged. The IKEv2 fuzzer used was
1781   developed by the Orange Labs vulnerability research team. The tool was
1782   initially written by Gabriel Campana and is now maintained by Laurent Butti.
1783
1784 - Added support for AES counter mode in ESP in IKEv2 using the proposal
1785   keywords aes128ctr, aes192ctr and aes256ctr.
1786
1787 - Further progress in refactoring pluto: Use of the curl and ldap plugins
1788   for fetching crls and OCSP. Use of the random plugin to get keying material
1789   from /dev/random or /dev/urandom. Use of the openssl plugin as an alternative
1790   to the aes, des, sha1, sha2, and md5 plugins. The blowfish, twofish, and
1791   serpent encryption plugins are now optional and are not enabled by default.
1792
1793
1794 strongswan-4.3.0
1795 ----------------
1796
1797 - Support for the IKEv2 Multiple Authentication Exchanges extension (RFC4739).
1798   Initiators and responders can use several authentication rounds (e.g. RSA
1799   followed by EAP) to authenticate. The new ipsec.conf leftauth/rightauth and
1800   leftauth2/rightauth2 parameters define own authentication rounds or setup
1801   constraints for the remote peer. See the ipsec.conf man page for more detials.
1802
1803 - If glibc printf hooks (register_printf_function) are not available,
1804   strongSwan can use the vstr string library to run on non-glibc systems.
1805
1806 - The IKEv2 charon daemon can now configure the ESP CAMELLIA-CBC cipher
1807   (esp=camellia128|192|256).
1808
1809 - Refactored the pluto and scepclient code to use basic functions (memory
1810   allocation, leak detective, chunk handling, printf_hooks, strongswan.conf
1811   attributes, ASN.1 parser, etc.) from the libstrongswan library.
1812
1813 - Up to two DNS and WINS servers to be sent via IKEv1 ModeConfig can be
1814   configured in the pluto section of strongswan.conf.
1815
1816
1817 strongswan-4.2.14
1818 -----------------
1819
1820 - The new server-side EAP RADIUS plugin (--enable-eap-radius)
1821   relays EAP messages to and from a RADIUS server. Successfully
1822   tested with with a freeradius server using EAP-MD5 and EAP-SIM.
1823
1824 - A vulnerability in the Dead Peer Detection (RFC 3706) code was found by
1825   Gerd v. Egidy <gerd.von.egidy@intra2net.com> of Intra2net AG affecting
1826   all Openswan and strongSwan releases. A malicious (or expired ISAKMP)
1827   R_U_THERE or R_U_THERE_ACK Dead Peer Detection packet can cause the
1828   pluto IKE daemon to crash and restart. No authentication or encryption
1829   is required to trigger this bug. One spoofed UDP packet can cause the
1830   pluto IKE daemon to restart and be unresponsive for a few seconds while
1831   restarting. This DPD null state vulnerability has been officially
1832   registered as CVE-2009-0790 and is fixed by this release.
1833
1834 - ASN.1 to time_t conversion caused a time wrap-around for
1835   dates after Jan 18 03:14:07 UTC 2038 on 32-bit platforms.
1836   As a workaround such dates are set to the maximum representable
1837   time, i.e. Jan 19 03:14:07 UTC 2038.
1838
1839 - Distinguished Names containing wildcards (*) are not sent in the
1840   IDr payload anymore.
1841
1842
1843 strongswan-4.2.13
1844 -----------------
1845
1846 - Fixed a use-after-free bug in the DPD timeout section of the
1847   IKEv1 pluto daemon which sporadically caused a segfault.
1848
1849 - Fixed a crash in the IKEv2 charon daemon occurring with
1850   mixed RAM-based and SQL-based virtual IP address pools.
1851
1852 - Fixed ASN.1 parsing of algorithmIdentifier objects where the
1853   parameters field is optional.
1854
1855 - Ported nm plugin to NetworkManager 7.1.
1856
1857
1858 strongswan-4.2.12
1859 -----------------
1860
1861 - Support of the EAP-MSCHAPv2 protocol enabled by the option
1862   --enable-eap-mschapv2. Requires the MD4 hash algorithm enabled
1863   either by --enable-md4 or --enable-openssl.
1864
1865 - Assignment of up to two DNS and up to two WINS servers to peers via
1866   the IKEv2 Configuration Payload (CP). The IPv4 or IPv6 nameserver
1867   addresses are defined in strongswan.conf.
1868
1869 - The strongSwan applet for the Gnome NetworkManager is now built and
1870   distributed as a separate tarball under the name NetworkManager-strongswan.
1871
1872
1873 strongswan-4.2.11
1874 -----------------
1875
1876 - Fixed ESP NULL encryption broken by the refactoring of keymat.c.
1877   Also introduced proper initialization and disposal of keying material.
1878
1879 - Fixed the missing listing of connection definitions in ipsec statusall
1880   broken by an unfortunate local variable overload.
1881
1882
1883 strongswan-4.2.10
1884 -----------------
1885
1886 - Several performance improvements to handle thousands of tunnels with almost
1887   linear upscaling. All relevant data structures have been replaced by faster
1888   counterparts with better lookup times.
1889
1890 - Better parallelization to run charon on multiple cores. Due to improved
1891   resource locking and other optimizations the daemon can take full
1892   advantage of 16 or even more cores.
1893
1894 - The load-tester plugin can use a NULL Diffie-Hellman group and simulate
1895   unique identities and certificates by signing peer certificates using a CA
1896   on the fly.
1897
1898 - The redesigned stroke in-memory IP pool handles leases. The "ipsec leases"
1899   command queries assigned leases.
1900
1901 - Added support for smartcards in charon by using the ENGINE API provided by
1902   OpenSSL, based on patches by Michael Roßberg.
1903
1904 - The Padlock plugin supports the hardware RNG found on VIA CPUs to provide a
1905   reliable source of randomness.
1906
1907 strongswan-4.2.9
1908 ----------------
1909
1910 - Flexible configuration of logging subsystem allowing to log to multiple
1911   syslog facilities or to files using fine-grained log levels for each target.
1912
1913 - Load testing plugin to do stress testing of the IKEv2 daemon against self
1914   or another host. Found and fixed issues during tests in the multi-threaded
1915   use of the OpenSSL plugin.
1916
1917 - Added profiling code to synchronization primitives to find bottlenecks if
1918   running on multiple cores. Found and fixed an issue where parts of the
1919   Diffie-Hellman calculation acquired an exclusive lock. This greatly improves
1920   parallelization to multiple cores.
1921
1922 - updown script invocation has been separated into a plugin of its own to
1923   further slim down the daemon core.
1924
1925 - Separated IKE_SA/CHILD_SA key derivation process into a closed system,
1926   allowing future implementations to use a secured environment in e.g. kernel
1927   memory or hardware.
1928
1929 - The kernel interface of charon has been modularized. XFRM NETLINK (default)
1930   and PFKEY (--enable-kernel-pfkey) interface plugins for the native IPsec
1931   stack of the Linux 2.6 kernel as well as a PFKEY interface for the KLIPS
1932   IPsec stack (--enable-kernel-klips) are provided.
1933
1934 - Basic Mobile IPv6 support has been introduced, securing Binding Update
1935   messages as well as tunneled traffic between Mobile Node and Home Agent.
1936   The installpolicy=no option allows peaceful cooperation with a dominant
1937   mip6d daemon and the new type=transport_proxy implements the special MIPv6
1938   IPsec transport proxy mode where the IKEv2 daemon uses the Care-of-Address
1939   but the IPsec SA is set up for the Home Address.
1940
1941 - Implemented migration of Mobile IPv6 connections using the KMADDRESS
1942   field contained in XFRM_MSG_MIGRATE messages sent by the mip6d daemon
1943   via the Linux 2.6.28 (or appropriately patched) kernel.
1944
1945
1946 strongswan-4.2.8
1947 ----------------
1948
1949 - IKEv2 charon daemon supports authentication based on raw public keys
1950   stored in the SQL database backend. The ipsec listpubkeys command
1951   lists the available raw public keys via the stroke interface.
1952
1953 - Several MOBIKE improvements: Detect changes in NAT mappings in DPD exchanges,
1954   handle events if kernel detects NAT mapping changes in UDP-encapsulated
1955   ESP packets (requires kernel patch), reuse old addresses in MOBIKE updates as
1956   long as possible and other fixes.
1957
1958 - Fixed a bug in addr_in_subnet() which caused insertion of wrong source
1959   routes for destination subnets having netwmasks not being a multiple of 8 bits.
1960   Thanks go to Wolfgang Steudel, TU Ilmenau for reporting this bug.
1961
1962
1963 strongswan-4.2.7
1964 ----------------
1965
1966 - Fixed a Denial-of-Service vulnerability where an IKE_SA_INIT message with
1967   a KE payload containing zeroes only can cause a crash of the IKEv2 charon
1968   daemon due to a NULL pointer returned by the mpz_export() function of the
1969   GNU Multiprecision Library (GMP). Thanks go to Mu Dynamics Research Labs
1970   for making us aware of this problem.
1971
1972 - The new agent plugin provides a private key implementation on top of an
1973   ssh-agent.
1974
1975 - The NetworkManager plugin has been extended to support certificate client
1976   authentication using RSA keys loaded from a file or using ssh-agent.
1977
1978 - Daemon capability dropping has been ported to libcap and must be enabled
1979   explicitly --with-capabilities=libcap. Future version will support the
1980   newer libcap2 library.
1981
1982 - ipsec listalgs lists the IKEv2 cryptografic algorithms registered with the
1983   charon keying daemon.
1984
1985
1986 strongswan-4.2.6
1987 ----------------
1988
1989 - A NetworkManager plugin allows GUI-based configuration of road-warrior
1990   clients in a simple way. It features X509 based gateway authentication
1991   and EAP client authentication, tunnel setup/teardown and storing passwords
1992   in the Gnome Keyring.
1993
1994 - A new EAP-GTC plugin implements draft-sheffer-ikev2-gtc-00.txt and allows
1995   username/password authentication against any PAM service on the gateway.
1996   The new EAP method interacts nicely with the NetworkManager plugin and allows
1997   client authentication against e.g. LDAP.
1998
1999 - Improved support for the EAP-Identity method. The new ipsec.conf eap_identity
2000   parameter defines an additional identity to pass to the server in EAP
2001   authentication.
2002
2003 - The "ipsec statusall" command now lists CA restrictions, EAP
2004   authentication types and EAP identities.
2005
2006 - Fixed two multithreading deadlocks occurring when starting up
2007   several hundred tunnels concurrently.
2008
2009 - Fixed the --enable-integrity-test configure option which
2010   computes a SHA-1 checksum over the libstrongswan library.
2011
2012
2013 strongswan-4.2.5
2014 ----------------
2015
2016 - Consistent logging of IKE and CHILD SAs at the audit (AUD) level.
2017
2018 - Improved the performance of the SQL-based virtual IP address pool
2019   by introducing an additional addresses table. The leases table
2020   storing only history information has become optional and can be
2021   disabled by setting charon.plugins.sql.lease_history = no in
2022   strongswan.conf.
2023
2024 - The XFRM_STATE_AF_UNSPEC flag added to xfrm.h allows IPv4-over-IPv6
2025   and IPv6-over-IPv4 tunnels with the 2.6.26 and later Linux kernels.
2026
2027 - management of different virtual IP pools for different
2028   network interfaces have become possible.
2029
2030 - fixed a bug which prevented the assignment of more than 256
2031   virtual IP addresses from a pool managed by an sql database.
2032
2033 - fixed a bug which did not delete own IPCOMP SAs in the kernel.
2034
2035
2036 strongswan-4.2.4
2037 ----------------
2038
2039 - Added statistics functions to ipsec pool --status and ipsec pool --leases
2040   and input validation checks to various ipsec pool commands.
2041
2042 - ipsec statusall now lists all loaded charon plugins and displays
2043   the negotiated IKEv2 cipher suite proposals.
2044
2045 - The openssl plugin supports the elliptic curve Diffie-Hellman groups
2046   19, 20, 21, 25, and 26.
2047
2048 - The openssl plugin supports ECDSA authentication using elliptic curve
2049   X.509 certificates.
2050
2051 - Fixed a bug in stroke which caused multiple charon threads to close
2052   the file descriptors during packet transfers over the stroke socket.
2053
2054 - ESP sequence numbers are now migrated in IPsec SA updates handled by
2055   MOBIKE. Works only with Linux kernels >= 2.6.17.
2056
2057
2058 strongswan-4.2.3
2059 ----------------
2060
2061 - Fixed the strongswan.conf path configuration problem that occurred when
2062   --sysconfig was not set explicitly in ./configure.
2063
2064 - Fixed a number of minor bugs that where discovered during the 4th
2065   IKEv2 interoperability workshop in San Antonio, TX.
2066
2067
2068 strongswan-4.2.2
2069 ----------------
2070
2071 - Plugins for libstrongswan and charon can optionally be loaded according
2072   to a configuration in strongswan.conf. Most components provide a
2073   "load = " option followed by a space separated list of plugins to load.
2074   This allows e.g. the fallback from a hardware crypto accelerator to
2075   to software-based crypto plugins.
2076
2077 - Charons SQL plugin has been extended by a virtual IP address pool.
2078   Configurations with a rightsourceip=%poolname setting query a SQLite or
2079   MySQL database for leases. The "ipsec pool" command helps in administrating
2080   the pool database. See ipsec pool --help for the available options
2081
2082 - The Authenticated Encryption Algorithms AES-CCM-8/12/16 and AES-GCM-8/12/16
2083   for ESP are now supported starting with the Linux 2.6.25 kernel. The
2084   syntax is e.g. esp=aes128ccm12 or esp=aes256gcm16.
2085
2086
2087 strongswan-4.2.1
2088 ----------------
2089
2090 - Support for "Hash and URL" encoded certificate payloads has been implemented
2091   in the IKEv2 daemon charon. Using the "certuribase" option of a CA section
2092   allows to assign a base URL to all certificates issued by the specified CA.
2093   The final URL is then built by concatenating that base and the hex encoded
2094   SHA1 hash of the DER encoded certificate. Note that this feature is disabled
2095   by default and must be enabled using the option "charon.hash_and_url".
2096
2097 - The IKEv2 daemon charon now supports the "uniqueids" option to close multiple
2098   IKE_SAs with the same peer. The option value "keep" prefers existing
2099   connection setups over new ones, where the value "replace" replaces existing
2100   connections.
2101
2102 - The crypto factory in libstrongswan additionally supports random number
2103   generators, plugins may provide other sources of randomness. The default
2104   plugin reads raw random data from /dev/(u)random.
2105
2106 - Extended the credential framework by a caching option to allow plugins
2107   persistent caching of fetched credentials. The "cachecrl" option has been
2108   re-implemented.
2109
2110 - The new trustchain verification introduced in 4.2.0 has been parallelized.
2111   Threads fetching CRL or OCSP information no longer block other threads.
2112
2113 - A new IKEv2 configuration attribute framework has been introduced allowing
2114   plugins to provide virtual IP addresses, and in the future, other
2115   configuration attribute services (e.g. DNS/WINS servers).
2116
2117 - The stroke plugin has been extended to provide virtual IP addresses from
2118   a pool defined in ipsec.conf. The "rightsourceip" parameter now accepts
2119   address pools in CIDR notation (e.g. 10.1.1.0/24). The parameter also accepts
2120   the value "%poolname", where "poolname" identifies a pool provided by a
2121   separate plugin.
2122
2123 - Fixed compilation on uClibc and a couple of other minor bugs.
2124
2125 - Set DPD defaults in ipsec starter to dpd_delay=30s and dpd_timeout=150s.
2126
2127 - The IKEv1 pluto daemon now supports the ESP encryption algorithm CAMELLIA
2128   with key lengths of 128, 192, and 256 bits, as well as the authentication
2129   algorithm AES_XCBC_MAC. Configuration example: esp=camellia192-aesxcbc.
2130
2131
2132 strongswan-4.2.0
2133 ----------------
2134
2135 - libstrongswan has been modularized to attach crypto algorithms,
2136   credential implementations (keys, certificates) and fetchers dynamically
2137   through plugins. Existing code has been ported to plugins:
2138     - RSA/Diffie-Hellman implementation using the GNU Multi Precision library
2139     - X509 certificate system supporting CRLs, OCSP and attribute certificates
2140     - Multiple plugins providing crypto algorithms in software
2141     - CURL and OpenLDAP fetcher
2142
2143 - libstrongswan gained a relational database API which uses pluggable database
2144   providers. Plugins for MySQL and SQLite are available.
2145
2146 - The IKEv2 keying daemon charon is more extensible. Generic plugins may provide
2147   connection configuration, credentials and EAP methods or control the daemon.
2148   Existing code has been ported to plugins:
2149     - EAP-AKA, EAP-SIM, EAP-MD5 and EAP-Identity
2150     - stroke configuration, credential and control (compatible to pluto)
2151     - XML bases management protocol to control and query the daemon
2152   The following new plugins are available:
2153     - An experimental SQL configuration, credential and logging plugin on
2154       top of either MySQL or SQLite
2155     - A unit testing plugin to run tests at daemon startup
2156
2157 - The authentication and credential framework in charon has been heavily
2158   refactored to support modular credential providers, proper
2159   CERTREQ/CERT payload exchanges and extensible authorization rules.
2160
2161 - The framework of strongSwan Manager has evolved to the web application
2162   framework libfast (FastCGI Application Server w/ Templates) and is usable
2163   by other applications.
2164
2165
2166 strongswan-4.1.11
2167 -----------------
2168
2169 - IKE rekeying in NAT situations did not inherit the NAT conditions
2170   to the rekeyed IKE_SA so that the UDP encapsulation was lost with
2171   the next CHILD_SA rekeying.
2172
2173 - Wrong type definition of the next_payload variable in id_payload.c
2174   caused an INVALID_SYNTAX error on PowerPC platforms.
2175
2176 - Implemented IKEv2 EAP-SIM server and client test modules that use
2177   triplets stored in a file. For details on the configuration see
2178   the scenario 'ikev2/rw-eap-sim-rsa'.
2179
2180
2181 strongswan-4.1.10
2182 -----------------
2183
2184 - Fixed error in the ordering of the certinfo_t records in the ocsp cache that
2185   caused multiple entries of the same serial number to be created.
2186
2187 - Implementation of a simple EAP-MD5 module which provides CHAP
2188   authentication. This may be interesting in conjunction with certificate
2189   based server authentication, as weak passwords can't be brute forced
2190   (in contradiction to traditional IKEv2 PSK).
2191
2192 - A complete software based implementation of EAP-AKA, using algorithms
2193   specified in 3GPP2 (S.S0055). This implementation does not use an USIM,
2194   but reads the secrets from ipsec.secrets. Make sure to read eap_aka.h
2195   before using it.
2196
2197 - Support for vendor specific EAP methods using Expanded EAP types. The
2198   interface to EAP modules has been slightly changed, so make sure to
2199   check the changes if you're already rolling your own modules.
2200
2201
2202 strongswan-4.1.9
2203 ----------------
2204
2205 - The default _updown script now dynamically inserts and removes ip6tables
2206   firewall rules if leftfirewall=yes is set in IPv6 connections. New IPv6
2207   net-net and roadwarrior (PSK/RSA) scenarios for both IKEv1 and IKEV2 were
2208   added.
2209
2210 - Implemented RFC4478 repeated authentication to force EAP/Virtual-IP clients
2211   to reestablish an IKE_SA within a given timeframe.
2212
2213 - strongSwan Manager supports configuration listing, initiation and termination
2214   of IKE and CHILD_SAs.
2215
2216 - Fixes and improvements to multithreading code.
2217
2218 - IKEv2 plugins have been renamed to libcharon-* to avoid naming conflicts.
2219   Make sure to remove the old plugins in $libexecdir/ipsec, otherwise they get
2220   loaded twice.
2221
2222
2223 strongswan-4.1.8
2224 ----------------
2225
2226 - Removed recursive pthread mutexes since uClibc doesn't support them.
2227
2228
2229 strongswan-4.1.7
2230 ----------------
2231
2232 - In NAT traversal situations and multiple queued Quick Modes,
2233   those pending connections inserted by auto=start after the
2234   port floating from 500 to 4500 were erroneously deleted.
2235
2236 - Added a "forceencaps" connection parameter to enforce UDP encapsulation
2237   to surmount restrictive firewalls. NAT detection payloads are faked to
2238   simulate a NAT situation and trick the other peer into NAT mode (IKEv2 only).
2239
2240 - Preview of strongSwan Manager, a web based configuration and monitoring
2241   application. It uses a new XML control interface to query the IKEv2 daemon
2242   (see http://wiki.strongswan.org/wiki/Manager).
2243
2244 - Experimental SQLite configuration backend which will provide the configuration
2245   interface for strongSwan Manager in future releases.
2246
2247 - Further improvements to MOBIKE support.
2248
2249
2250 strongswan-4.1.6
2251 ----------------
2252
2253 - Since some third party IKEv2 implementations run into
2254   problems with strongSwan announcing MOBIKE capability per
2255   default, MOBIKE can be disabled on a per-connection-basis
2256   using the mobike=no option. Whereas mobike=no disables the
2257   sending of the MOBIKE_SUPPORTED notification and the floating
2258   to UDP port 4500 with the IKE_AUTH request even if no NAT
2259   situation has been detected, strongSwan will still support
2260   MOBIKE acting as a responder.
2261
2262 - the default ipsec routing table plus its corresponding priority
2263   used for inserting source routes has been changed from 100 to 220.
2264   It can be configured using the --with-ipsec-routing-table and
2265   --with-ipsec-routing-table-prio options.
2266
2267 - the --enable-integrity-test configure option tests the
2268   integrity of the libstrongswan crypto code during the charon
2269   startup.
2270
2271 - the --disable-xauth-vid configure option disables the sending
2272   of the XAUTH vendor ID. This can be used as a workaround when
2273   interoperating with some Windows VPN clients that get into
2274   trouble upon reception of an XAUTH VID without eXtended
2275   AUTHentication having been configured.
2276
2277 - ipsec stroke now supports the rereadsecrets, rereadaacerts,
2278   rereadacerts, and listacerts options.
2279
2280
2281 strongswan-4.1.5
2282 ----------------
2283
2284 - If a DNS lookup failure occurs when resolving right=%<FQDN>
2285   or right=<FQDN> combined with rightallowany=yes then the
2286   connection is not updated by ipsec starter thus preventing
2287   the disruption of an active IPsec connection. Only if the DNS
2288   lookup successfully returns with a changed IP address the
2289   corresponding connection definition is updated.
2290
2291 - Routes installed by the keying daemons are now in a separate
2292   routing table with the ID 100 to avoid conflicts with the main
2293   table. Route lookup for IKEv2 traffic is done in userspace to ignore
2294   routes installed for IPsec, as IKE traffic shouldn't get encapsulated.
2295
2296
2297 strongswan-4.1.4
2298 ----------------
2299
2300 - The pluto IKEv1 daemon now exhibits the same behaviour as its
2301   IKEv2 companion charon by inserting an explicit route via the
2302   _updown script only if a sourceip exists. This is admissible
2303   since routing through the IPsec tunnel is handled automatically
2304   by NETKEY's IPsec policies. As a consequence the left|rightnexthop
2305   parameter is not required any more.
2306
2307 - The new IKEv1 parameter right|leftallowany parameters helps to handle
2308   the case where both peers possess dynamic IP addresses that are
2309   usually resolved using DynDNS or a similar service. The configuration
2310
2311     right=peer.foo.bar
2312     rightallowany=yes
2313
2314   can be used by the initiator to start up a connection to a peer
2315   by resolving peer.foo.bar into the currently allocated IP address.
2316   Thanks to the rightallowany flag the connection behaves later on
2317   as
2318
2319    right=%any
2320
2321   so that the peer can rekey the connection as an initiator when his
2322   IP address changes. An alternative notation is
2323
2324     right=%peer.foo.bar
2325
2326   which will implicitly set rightallowany=yes.
2327
2328 - ipsec starter now fails more gracefully in the presence of parsing
2329   errors. Flawed ca and conn section are discarded and pluto is started
2330   if non-fatal errors only were encountered. If right=%peer.foo.bar
2331   cannot be resolved by DNS then right=%any will be used so that passive
2332   connections as a responder are still possible.
2333
2334 - The new pkcs11initargs parameter that can be placed in the
2335   setup config section of /etc/ipsec.conf allows the definition
2336   of an argument string that is used with the PKCS#11 C_Initialize()
2337   function. This non-standard feature is required by the NSS softoken
2338   library. This patch was contributed by Robert Varga.
2339
2340 - Fixed a bug in ipsec starter introduced by strongswan-2.8.5
2341   which caused a segmentation fault in the presence of unknown
2342   or misspelt keywords in ipsec.conf. This bug fix was contributed
2343   by Robert Varga.
2344
2345 - Partial support for MOBIKE in IKEv2. The initiator acts on interface/
2346   address configuration changes and updates IKE and IPsec SAs dynamically.
2347
2348
2349 strongswan-4.1.3
2350 ----------------
2351
2352 - IKEv2 peer configuration selection now can be based on a given
2353   certification authority using the rightca= statement.
2354
2355 - IKEv2 authentication based on RSA signatures now can handle multiple
2356   certificates issued for a given peer ID. This allows a smooth transition
2357   in the case of a peer certificate renewal.
2358
2359 - IKEv2: Support for requesting a specific virtual IP using leftsourceip on the
2360   client and returning requested virtual IPs using rightsourceip=%config
2361   on the server. If the server does not support configuration payloads, the
2362   client enforces its leftsourceip parameter.
2363
2364 - The ./configure options --with-uid/--with-gid allow pluto and charon
2365   to drop their privileges to a minimum and change to an other UID/GID. This
2366   improves the systems security, as a possible intruder may only get the
2367   CAP_NET_ADMIN capability.
2368
2369 - Further modularization of charon: Pluggable control interface and
2370   configuration backend modules provide extensibility. The control interface
2371   for stroke is included, and further interfaces using DBUS (NetworkManager)
2372   or XML are on the way. A backend for storing configurations in the daemon
2373   is provided and more advanced backends (using e.g. a database) are trivial
2374   to implement.
2375
2376  - Fixed a compilation failure in libfreeswan occurring with Linux kernel
2377    headers > 2.6.17.
2378
2379
2380 strongswan-4.1.2
2381 ----------------
2382
2383 - Support for an additional Diffie-Hellman exchange when creating/rekeying
2384   a CHILD_SA in IKEv2 (PFS). PFS is enabled when the proposal contains a
2385   DH group (e.g. "esp=aes128-sha1-modp1536"). Further, DH group negotiation
2386   is implemented properly for rekeying.
2387
2388 - Support for the AES-XCBC-96 MAC algorithm for IPsec SAs when using IKEv2
2389   (requires linux >= 2.6.20). It is enabled using e.g. "esp=aes256-aesxcbc".
2390
2391 - Working IPv4-in-IPv6 and IPv6-in-IPv4 tunnels for linux >= 2.6.21.
2392
2393 - Added support for EAP modules which do not establish an MSK.
2394
2395 - Removed the dependencies from the /usr/include/linux/ headers by
2396   including xfrm.h, ipsec.h, and pfkeyv2.h in the distribution.
2397
2398 - crlNumber is now listed by ipsec listcrls
2399
2400 - The xauth_modules.verify_secret() function now passes the
2401   connection name.
2402
2403
2404 strongswan-4.1.1
2405 ----------------
2406
2407 - Server side cookie support. If to may IKE_SAs are in CONNECTING state,
2408   cookies are enabled and protect against DoS attacks with faked source
2409   addresses. Number of IKE_SAs in CONNECTING state is also limited per
2410   peer address to avoid resource exhaustion. IKE_SA_INIT messages are
2411   compared to properly detect retransmissions and incoming retransmits are
2412   detected even if the IKE_SA is blocked (e.g. doing OCSP fetches).
2413
2414 - The IKEv2 daemon charon now supports dynamic http- and ldap-based CRL
2415   fetching enabled by crlcheckinterval > 0 and caching fetched CRLs
2416   enabled by cachecrls=yes.
2417
2418 - Added the configuration options --enable-nat-transport which enables
2419   the potentially insecure NAT traversal for IPsec transport mode and
2420   --disable-vendor-id which disables the sending of the strongSwan
2421   vendor ID.
2422
2423 - Fixed a long-standing bug in the pluto IKEv1 daemon which caused
2424   a segmentation fault if a malformed payload was detected in the
2425   IKE MR2 message and pluto tried to send an encrypted notification
2426   message.
2427
2428 - Added the NATT_IETF_02_N Vendor ID in order to support IKEv1 connections
2429   with Windows 2003 Server which uses a wrong VID hash.
2430
2431
2432 strongswan-4.1.0
2433 ----------------
2434
2435 - Support of SHA2_384 hash function for protecting IKEv1
2436   negotiations and support of SHA2 signatures in X.509 certificates.
2437
2438 - Fixed a serious bug in the computation of the SHA2-512 HMAC
2439   function. Introduced automatic self-test of all IKEv1 hash
2440   and hmac functions during pluto startup. Failure of a self-test
2441   currently issues a warning only but does not exit pluto [yet].
2442
2443 - Support for SHA2-256/384/512 PRF and HMAC functions in IKEv2.
2444
2445 - Full support of CA information sections. ipsec listcainfos
2446   now shows all collected crlDistributionPoints and OCSP
2447   accessLocations.
2448
2449 - Support of the Online Certificate Status Protocol (OCSP) for IKEv2.
2450   This feature requires the HTTP fetching capabilities of the libcurl
2451   library which must be enabled by setting the --enable-http configure
2452   option.
2453
2454 - Refactored core of the IKEv2 message processing code, allowing better
2455   code reuse and separation.
2456
2457 - Virtual IP support in IKEv2 using INTERNAL_IP4/6_ADDRESS configuration
2458   payload. Additionally, the INTERNAL_IP4/6_DNS attribute is interpreted
2459   by the requestor and installed in a resolv.conf file.
2460
2461 - The IKEv2 daemon charon installs a route for each IPsec policy to use
2462   the correct source address even if an application does not explicitly
2463   specify it.
2464
2465 - Integrated the EAP framework into charon which loads pluggable EAP library
2466   modules. The ipsec.conf parameter authby=eap initiates EAP authentication
2467   on the client side, while the "eap" parameter on the server side defines
2468   the EAP method to use for client authentication.
2469   A generic client side EAP-Identity module and an EAP-SIM authentication
2470   module using a third party card reader implementation are included.
2471
2472 - Added client side support for cookies.
2473
2474 - Integrated the fixes done at the IKEv2 interoperability bakeoff, including
2475   strict payload order, correct INVALID_KE_PAYLOAD rejection and other minor
2476   fixes to enhance interoperability with other implementations.
2477
2478
2479 strongswan-4.0.7
2480 ----------------
2481
2482 - strongSwan now interoperates with the NCP Secure Entry Client,
2483   the Shrew Soft VPN Client, and the Cisco VPN client, doing both
2484   XAUTH and Mode Config.
2485
2486 - UNITY attributes are now recognized and UNITY_BANNER is set
2487   to a default string.
2488
2489
2490 strongswan-4.0.6
2491 ----------------
2492
2493 - IKEv1: Support for extended authentication (XAUTH) in combination
2494   with ISAKMP Main Mode RSA or PSK authentication. Both client and
2495   server side were implemented. Handling of user credentials can
2496   be done by a run-time loadable XAUTH module. By default user
2497   credentials are stored in ipsec.secrets.
2498
2499 - IKEv2: Support for reauthentication when rekeying
2500
2501 - IKEv2: Support for transport mode
2502
2503 - fixed a lot of bugs related to byte order
2504
2505 - various other bugfixes
2506
2507
2508 strongswan-4.0.5
2509 ----------------
2510
2511 - IKEv1: Implementation of ModeConfig push mode via the new connection
2512   keyword modeconfig=push allows interoperability with Cisco VPN gateways.
2513
2514 - IKEv1: The command ipsec statusall now shows "DPD active" for all
2515   ISAKMP SAs that are under active Dead Peer Detection control.
2516
2517 - IKEv2: Charon's logging and debugging framework has been completely rewritten.
2518   Instead of logger, special printf() functions are used to directly
2519   print objects like hosts (%H) identifications (%D), certificates (%Q),
2520   etc. The number of debugging levels have been reduced to:
2521
2522     0 (audit), 1 (control), 2 (controlmore),  3 (raw), 4 (private)
2523
2524   The debugging levels can either be specified statically in ipsec.conf as
2525
2526     config setup
2527            charondebug="lib 1, cfg 3, net 2"
2528
2529   or changed at runtime via stroke as
2530
2531     ipsec stroke loglevel cfg 2
2532
2533
2534 strongswan-4.0.4
2535 ----------------
2536
2537 - Implemented full support for IPv6-in-IPv6 tunnels.
2538
2539 - Added configuration options for dead peer detection in IKEv2. dpd_action
2540   types "clear", "hold" and "restart" are supported. The dpd_timeout
2541   value is not used, as the normal retransmission policy applies to
2542   detect dead peers. The dpd_delay parameter enables sending of empty
2543   informational message to detect dead peers in case of inactivity.
2544
2545 - Added support for preshared keys in IKEv2. PSK keys configured in
2546   ipsec.secrets are loaded. The authby parameter specifies the authentication
2547   method to authentificate ourself, the other peer may use PSK or RSA.
2548
2549 - Changed retransmission policy to respect the keyingtries parameter.
2550
2551 - Added private key decryption. PEM keys encrypted with AES-128/192/256
2552   or 3DES are supported.
2553
2554 - Implemented DES/3DES algorithms in libstrongswan. 3DES can be used to
2555   encrypt IKE traffic.
2556
2557 - Implemented SHA-256/384/512 in libstrongswan, allows usage of certificates
2558   signed with such a hash algorithm.
2559
2560 - Added initial support for updown scripts. The actions up-host/client and
2561   down-host/client are executed. The leftfirewall=yes parameter
2562   uses the default updown script to insert dynamic firewall rules, a custom
2563   updown script may be specified with the leftupdown parameter.
2564
2565
2566 strongswan-4.0.3
2567 ----------------
2568
2569 - Added support for the auto=route ipsec.conf parameter and the
2570   ipsec route/unroute commands for IKEv2. This allows to set up IKE_SAs and
2571   CHILD_SAs dynamically on demand when traffic is detected by the
2572   kernel.
2573
2574 - Added support for rekeying IKE_SAs in IKEv2 using the ikelifetime parameter.
2575   As specified in IKEv2, no reauthentication is done (unlike in IKEv1), only
2576   new keys are generated using perfect forward secrecy. An optional flag
2577   which enforces reauthentication will be implemented later.
2578
2579 - "sha" and "sha1" are now treated as synonyms in the ike= and esp=
2580   algorithm configuration statements.
2581
2582
2583 strongswan-4.0.2
2584 ----------------
2585
2586 - Full X.509 certificate trust chain verification has been implemented.
2587   End entity certificates can be exchanged via CERT payloads. The current
2588   default is leftsendcert=always, since CERTREQ payloads are not supported
2589   yet. Optional CRLs must be imported locally into /etc/ipsec.d/crls.
2590
2591 - Added support for leftprotoport/rightprotoport parameters in IKEv2. IKEv2
2592   would offer more possibilities for traffic selection, but the Linux kernel
2593   currently does not support it. That's why we stick with these simple
2594   ipsec.conf rules for now.
2595
2596 - Added Dead Peer Detection (DPD) which checks liveliness of remote peer if no
2597   IKE or ESP traffic is received. DPD is currently hardcoded (dpdaction=clear,
2598   dpddelay=60s).
2599
2600 - Initial NAT traversal support in IKEv2. Charon includes NAT detection
2601   notify payloads to detect NAT routers between the peers. It switches
2602   to port 4500, uses UDP encapsulated ESP packets, handles peer address
2603   changes gracefully and sends keep alive message periodically.
2604
2605 - Reimplemented IKE_SA state machine for charon, which allows simultaneous
2606   rekeying, more shared code, cleaner design, proper retransmission
2607   and a more extensible code base.
2608
2609 - The mixed PSK/RSA roadwarrior detection capability introduced by the
2610   strongswan-2.7.0 release necessitated the pre-parsing of the IKE proposal
2611   payloads by the responder right before any defined IKE Main Mode state had
2612   been established. Although any form of bad proposal syntax was being correctly
2613   detected by the payload parser, the subsequent error handler didn't check
2614   the state pointer before logging current state information, causing an
2615   immediate crash of the pluto keying daemon due to a NULL pointer.
2616
2617
2618 strongswan-4.0.1
2619 ----------------
2620
2621 - Added algorithm selection to charon: New default algorithms for
2622   ike=aes128-sha-modp2048, as both daemons support it. The default
2623   for IPsec SAs is now esp=aes128-sha,3des-md5. charon handles
2624   the ike/esp parameter the same way as pluto. As this syntax does
2625   not allow specification of a pseudo random function, the same
2626   algorithm as for integrity is used (currently sha/md5). Supported
2627   algorithms for IKE:
2628     Encryption: aes128, aes192, aes256
2629     Integrity/PRF: md5, sha (using hmac)
2630     DH-Groups: modp768, 1024, 1536, 2048, 4096, 8192
2631   and for ESP:
2632     Encryption: aes128, aes192, aes256, 3des, blowfish128,
2633                 blowfish192, blowfish256
2634     Integrity: md5, sha1
2635   More IKE encryption algorithms will come after porting libcrypto into
2636   libstrongswan.
2637
2638 - initial support for rekeying CHILD_SAs using IKEv2. Currently no
2639   perfect forward secrecy is used. The rekeying parameters rekey,
2640   rekeymargin, rekeyfuzz and keylife from ipsec.conf are now supported
2641   when using IKEv2. WARNING: charon currently is unable to handle
2642   simultaneous rekeying. To avoid such a situation, use a large
2643   rekeyfuzz, or even better, set rekey=no on one peer.
2644
2645 - support for host2host, net2net, host2net (roadwarrior) tunnels
2646   using predefined RSA certificates (see uml scenarios for
2647   configuration examples).
2648
2649 - new build environment featuring autotools. Features such
2650   as HTTP, LDAP and smartcard support may be enabled using
2651   the ./configure script. Changing install directories
2652   is possible, too. See ./configure --help for more details.
2653
2654 - better integration of charon with ipsec starter, which allows
2655   (almost) transparent operation with both daemons. charon
2656   handles ipsec commands up, down, status, statusall, listall,
2657   listcerts and allows proper load, reload and delete of connections
2658   via ipsec starter.
2659
2660
2661 strongswan-4.0.0
2662 ----------------
2663
2664 - initial support of the IKEv2 protocol. Connections in
2665   ipsec.conf designated by keyexchange=ikev2 are negotiated
2666   by the new IKEv2 charon keying daemon whereas those marked
2667   by keyexchange=ikev1 or the default keyexchange=ike are
2668   handled thy the IKEv1 pluto keying daemon. Currently only
2669   a limited subset of functions are available with IKEv2
2670   (Default AES encryption, authentication based on locally
2671   imported X.509 certificates, unencrypted private RSA keys
2672   in PKCS#1 file format, limited functionality of the ipsec
2673   status command).
2674
2675
2676 strongswan-2.7.0
2677 ----------------
2678
2679 - the dynamic iptables rules from the _updown_x509 template
2680   for KLIPS and the _updown_policy template for NETKEY have
2681   been merged into the default _updown script. The existing
2682   left|rightfirewall keyword causes the automatic insertion
2683   and deletion of ACCEPT rules for tunneled traffic upon
2684   the successful setup and teardown of an IPsec SA, respectively.
2685   left|rightfirwall can be used with KLIPS under any Linux 2.4
2686   kernel or with NETKEY under a Linux kernel version >= 2.6.16
2687   in conjunction with iptables >= 1.3.5. For NETKEY under a Linux
2688   kernel version < 2.6.16 which does not support IPsec policy
2689   matching yet, please continue to use a copy of the _updown_espmark
2690   template loaded via the left|rightupdown keyword.
2691
2692 - a new left|righthostaccess keyword has been introduced which
2693   can be used in conjunction with left|rightfirewall and the
2694   default _updown script. By default leftfirewall=yes inserts
2695   a bi-directional iptables FORWARD rule for a local client network
2696   with a netmask different from 255.255.255.255 (single host).
2697   This does not allow to access the VPN gateway host via its
2698   internal network interface which is part of the client subnet
2699   because an iptables INPUT and OUTPUT rule would be required.
2700   lefthostaccess=yes will cause this additional ACCEPT rules to
2701   be inserted.
2702
2703 - mixed PSK|RSA roadwarriors are now supported. The ISAKMP proposal
2704   payload is preparsed in order to find out whether the roadwarrior
2705   requests PSK or RSA so that a matching connection candidate can
2706   be found.
2707
2708
2709 strongswan-2.6.4
2710 ----------------
2711
2712 - the new _updown_policy template allows ipsec policy based
2713   iptables firewall rules. Required are iptables version
2714   >= 1.3.5 and linux kernel >= 2.6.16. This script obsoletes
2715   the _updown_espmark template, so that no INPUT mangle rules
2716   are required any more.
2717
2718 - added support of DPD restart mode
2719
2720 - ipsec starter now allows the use of wildcards in include
2721   statements as e.g. in "include /etc/my_ipsec/*.conf".
2722   Patch courtesy of Matthias Haas.
2723
2724 - the Netscape OID 'employeeNumber' is now recognized and can be
2725   used as a Relative Distinguished Name in certificates.
2726
2727
2728 strongswan-2.6.3
2729 ----------------
2730
2731 - /etc/init.d/ipsec or /etc/rc.d/ipsec is now a copy of the ipsec
2732   command and not of ipsec setup any more.
2733
2734 - ipsec starter now supports AH authentication in conjunction with
2735   ESP encryption. AH authentication is configured in ipsec.conf
2736   via the auth=ah parameter.
2737
2738 - The command ipsec scencrypt|scdecrypt <args> is now an alias for
2739   ipsec whack --scencrypt|scdecrypt <args>.
2740
2741 - get_sa_info() now determines for the native netkey IPsec stack
2742   the exact time of the last use of an active eroute. This information
2743   is used by the Dead Peer Detection algorithm and is also displayed by
2744   the ipsec status command.
2745
2746
2747 strongswan-2.6.2
2748 ----------------
2749
2750 - running under the native Linux 2.6 IPsec stack, the function
2751   get_sa_info() is called by ipsec auto --status to display the current
2752   number of transmitted bytes per IPsec SA.
2753
2754 - get_sa_info() is also used  by the Dead Peer Detection process to detect
2755   recent ESP activity. If ESP traffic was received from the peer within
2756   the last dpd_delay interval then no R_Y_THERE notification must be sent.
2757
2758 - strongSwan now supports the Relative Distinguished Name "unstructuredName"
2759   in ID_DER_ASN1_DN identities. The following notations are possible:
2760
2761     rightid="unstructuredName=John Doe"
2762     rightid="UN=John Doe"
2763
2764 - fixed a long-standing bug which caused PSK-based roadwarrior connections
2765   to segfault in the function id.c:same_id() called by keys.c:get_secret()
2766   if an FQDN, USER_FQDN, or Key ID was defined, as in the following example.
2767
2768   conn rw
2769        right=%any
2770        rightid=@foo.bar
2771        authby=secret
2772
2773 - the ipsec command now supports most ipsec auto commands (e.g. ipsec listall).
2774
2775 - ipsec starter didn't set host_addr and client.addr ports in whack msg.
2776
2777 - in order to guarantee backwards-compatibility with the script-based
2778   auto function (e.g. auto --replace), the ipsec starter scripts stores
2779   the defaultroute information in the temporary file /var/run/ipsec.info.
2780
2781 - The compile-time option USE_XAUTH_VID enables the sending of the XAUTH
2782   Vendor ID which is expected by Cisco PIX 7 boxes that act as IKE Mode Config
2783   servers.
2784
2785 - the ipsec starter now also recognizes the parameters authby=never and
2786   type=passthrough|pass|drop|reject.
2787
2788
2789 strongswan-2.6.1
2790 ----------------
2791
2792 - ipsec starter now supports the also parameter which allows
2793   a modular structure of the connection definitions. Thus
2794   "ipsec start" is now ready to replace "ipsec setup".
2795
2796
2797 strongswan-2.6.0
2798 ----------------
2799
2800 - Mathieu Lafon's popular ipsec starter tool has been added to the
2801   strongSwan distribution. Many thanks go to Stephan Scholz from astaro
2802   for his integration work. ipsec starter is a C program which is going
2803   to replace the various shell and awk starter scripts (setup, _plutoload,
2804   _plutostart, _realsetup, _startklips, _confread, and auto). Since
2805   ipsec.conf is now parsed only once, the starting of multiple tunnels is
2806   accelerated tremedously.
2807
2808 - Added support of %defaultroute to the ipsec starter. If the IP address
2809   changes, a HUP signal to the ipsec starter will automatically
2810   reload pluto's connections.
2811
2812 - moved most compile time configurations from pluto/Makefile to
2813   Makefile.inc by defining the options USE_LIBCURL, USE_LDAP,
2814   USE_SMARTCARD, and USE_NAT_TRAVERSAL_TRANSPORT_MODE.
2815
2816 - removed the ipsec verify and ipsec newhostkey commands
2817
2818 - fixed some 64-bit issues in formatted print statements
2819
2820 - The scepclient functionality implementing the Simple Certificate
2821   Enrollment Protocol (SCEP) is nearly complete but hasn't been
2822   documented yet.
2823
2824
2825 strongswan-2.5.7
2826 ----------------
2827
2828 - CA certificates are now automatically loaded from a smartcard
2829   or USB crypto token and appear in the ipsec auto --listcacerts
2830   listing.
2831
2832
2833 strongswan-2.5.6
2834 ----------------
2835
2836 - when using "ipsec whack --scencrypt <data>" with  a PKCS#11
2837   library that does not support the C_Encrypt() Cryptoki
2838   function (e.g. OpenSC), the RSA encryption is done in
2839   software using the public key fetched from the smartcard.
2840
2841 - The scepclient function now allows to define the
2842   validity of a self-signed certificate using the --days,
2843   --startdate, and --enddate options. The default validity
2844   has been changed from one year to five years.
2845
2846
2847 strongswan-2.5.5
2848 ----------------
2849
2850 - the config setup parameter pkcs11proxy=yes opens pluto's PKCS#11
2851   interface to other applications for RSA encryption and decryption
2852   via the whack interface. Notation:
2853
2854   ipsec whack --scencrypt <data>
2855              [--inbase  16|hex|64|base64|256|text|ascii]
2856              [--outbase 16|hex|64|base64|256|text|ascii]
2857              [--keyid <keyid>]
2858
2859   ipsec whack --scdecrypt <data>
2860              [--inbase  16|hex|64|base64|256|text|ascii]
2861              [--outbase 16|hex|64|base64|256|text|ascii]
2862              [--keyid <keyid>]
2863
2864   The default setting for inbase and outbase is hex.
2865
2866   The new proxy interface can be used for securing symmetric
2867   encryption keys required by the cryptoloop or dm-crypt
2868   disk encryption schemes, especially in the case when
2869   pkcs11keepstate=yes causes pluto to lock the pkcs11 slot
2870   permanently.
2871
2872 - if the file /etc/ipsec.secrets is lacking during the startup of
2873   pluto then the root-readable file /etc/ipsec.d/private/myKey.der
2874   containing a 2048 bit RSA private key and a matching self-signed
2875   certificate stored in the file /etc/ipsec.d/certs/selfCert.der
2876   is automatically generated by calling the function
2877
2878   ipsec scepclient --out pkcs1 --out cert-self
2879
2880   scepclient was written by Jan Hutter and Martin Willi, students
2881   at the University of Applied Sciences in Rapperswil, Switzerland.
2882
2883
2884 strongswan-2.5.4
2885 ----------------
2886
2887 - the current extension of the PKCS#7 framework introduced
2888   a parsing error in PKCS#7 wrapped X.509 certificates that are
2889   e.g. transmitted by Windows XP when multi-level CAs are used.
2890   the parsing syntax has been fixed.
2891
2892 - added a patch by Gerald Richter which tolerates multiple occurrences
2893   of the ipsec0 interface when using KLIPS.
2894
2895
2896 strongswan-2.5.3
2897 ----------------
2898
2899 - with gawk-3.1.4 the word "default2 has become a protected
2900   keyword for use in switch statements and cannot be used any
2901   more in the strongSwan scripts. This problem has been
2902   solved by renaming "default" to "defaults" and "setdefault"
2903   in the scripts _confread and auto, respectively.
2904
2905 - introduced the parameter leftsendcert with the values
2906
2907   always|yes (the default, always send a cert)
2908   ifasked    (send the cert only upon a cert request)
2909   never|no   (never send a cert, used for raw RSA keys and
2910               self-signed certs)
2911
2912 - fixed the initialization of the ESP key length to a default of
2913   128 bits in the case that the peer does not send a key length
2914    attribute for AES encryption.
2915
2916 - applied Herbert Xu's uniqueIDs patch
2917
2918 - applied Herbert Xu's CLOEXEC patches
2919
2920
2921 strongswan-2.5.2
2922 ----------------
2923
2924 - CRLs can now be cached also in the case when the issuer's
2925   certificate does not contain a subjectKeyIdentifier field.
2926   In that case the subjectKeyIdentifier is computed by pluto as the
2927   160 bit SHA-1 hash of the issuer's public key in compliance
2928   with section 4.2.1.2 of RFC 3280.
2929
2930 - Fixed a bug introduced by strongswan-2.5.1 which eliminated
2931   not only multiple Quick Modes of a given connection but also
2932   multiple connections between two security gateways.
2933
2934
2935 strongswan-2.5.1
2936 ----------------
2937
2938 - Under the native IPsec of the Linux 2.6 kernel, a %trap eroute
2939   installed either by setting auto=route in ipsec.conf or by
2940   a connection put into hold, generates an XFRM_AQUIRE event
2941   for each packet that wants to use the not-yet existing
2942   tunnel. Up to now each XFRM_AQUIRE event led to an entry in
2943   the Quick Mode queue, causing multiple IPsec SA to be
2944   established in rapid succession. Starting with strongswan-2.5.1
2945   only a single IPsec SA is established per host-pair connection.
2946
2947 - Right after loading the PKCS#11 module, all smartcard slots are
2948   searched for certificates. The result can be viewed using
2949   the command
2950
2951     ipsec auto --listcards
2952
2953   The certificate objects found in the slots are numbered
2954   starting with #1, #2, etc. This position number can be used to address
2955   certificates (leftcert=%smartcard) and keys (: PIN %smartcard)
2956   in ipsec.conf and ipsec.secrets, respectively:
2957
2958     %smartcard      (selects object #1)
2959     %smartcard#1    (selects object #1)
2960     %smartcard#3    (selects object #3)
2961
2962   As an alternative the existing retrieval scheme can be used:
2963
2964     %smartcard:45   (selects object with id=45)
2965     %smartcard0     (selects first object in slot 0)
2966     %smartcard4:45  (selects object in slot 4 with id=45)
2967
2968 - Depending on the settings of CKA_SIGN and CKA_DECRYPT
2969   private key flags either C_Sign() or C_Decrypt() is used
2970   to generate a signature.
2971
2972 - The output buffer length parameter siglen in C_Sign()
2973   is now initialized to the actual size of the output
2974   buffer prior to the function call. This fixes the
2975   CKR_BUFFER_TOO_SMALL error that could occur when using
2976   the OpenSC PKCS#11 module.
2977
2978 - Changed the initialization of the PKCS#11 CK_MECHANISM in
2979   C_SignInit() to mech  = { CKM_RSA_PKCS, NULL_PTR, 0 }.
2980
2981 - Refactored the RSA public/private key code and transferred it
2982   from keys.c to the new pkcs1.c file as a preparatory step
2983   towards the release of the SCEP client.
2984
2985
2986 strongswan-2.5.0
2987 ----------------
2988
2989 - The loading of a PKCS#11 smartcard library module during
2990   runtime does not require OpenSC library functions any more
2991   because the corresponding code has been integrated into
2992   smartcard.c. Also the RSAREF pkcs11 header files have been
2993   included in a newly created pluto/rsaref directory so that
2994   no external include path has to be defined any longer.
2995
2996 - A long-awaited feature has been implemented at last:
2997   The local caching of CRLs fetched via HTTP or LDAP, activated
2998   by the parameter cachecrls=yes in the config setup section
2999   of ipsec.conf. The dynamically fetched CRLs are stored under
3000   a unique file name containing the issuer's subjectKeyID
3001   in /etc/ipsec.d/crls.
3002
3003 - Applied a one-line patch courtesy of Michael Richardson
3004   from the Openswan project which fixes the kernel-oops
3005   in KLIPS when an snmp daemon is running on the same box.
3006
3007
3008 strongswan-2.4.4
3009 ----------------
3010
3011 - Eliminated null length CRL distribution point strings.
3012
3013 - Fixed a trust path evaluation bug introduced with 2.4.3
3014
3015
3016 strongswan-2.4.3
3017 ----------------
3018
3019 - Improved the joint OCSP / CRL revocation policy.
3020   OCSP responses have precedence over CRL entries.
3021
3022 - Introduced support of CRLv2 reason codes.
3023
3024 - Fixed a bug with key-pad equipped readers which caused
3025   pluto to prompt for the pin via the console when the first
3026   occasion to enter the pin via the key-pad was missed.
3027
3028 - When pluto is built with LDAP_V3 enabled, the library
3029   liblber required by newer versions of openldap is now
3030   included.
3031
3032
3033 strongswan-2.4.2
3034 ----------------
3035
3036 - Added the _updown_espmark template which requires all
3037   incoming ESP traffic to be marked with a default mark
3038   value of 50.
3039
3040 - Introduced the pkcs11keepstate parameter in the config setup
3041   section of ipsec.conf. With pkcs11keepstate=yes the PKCS#11
3042   session and login states are kept as long as possible during
3043   the lifetime of pluto. This means that a PIN entry via a key
3044   pad has to be done only once.
3045
3046 - Introduced the pkcs11module parameter in the config setup
3047   section of ipsec.conf which specifies the PKCS#11 module
3048   to be used with smart cards. Example:
3049
3050     pkcs11module=/usr/lib/pkcs11/opensc-pkcs11.lo
3051
3052 - Added support of smartcard readers equipped with a PIN pad.
3053
3054 - Added patch by Jay Pfeifer which detects when netkey
3055   modules have been statically built into the Linux 2.6 kernel.
3056
3057 - Added two patches by Herbert Xu. The first uses ip xfrm
3058   instead of setkey to flush the IPsec policy database. The
3059   second sets the optional flag in inbound IPComp SAs only.
3060
3061 - Applied Ulrich Weber's patch which fixes an interoperability
3062   problem between native IPsec and KLIPS systems caused by
3063   setting the replay window to 32 instead of 0 for ipcomp.
3064
3065
3066 strongswan-2.4.1
3067 ----------------
3068
3069 - Fixed a bug which caused an unwanted Mode Config request
3070   to be initiated in the case where "right" was used to denote
3071   the local side in ipsec.conf and "left" the remote side,
3072   contrary to the recommendation that "right" be remote and
3073   "left" be"local".
3074
3075
3076 strongswan-2.4.0a
3077 -----------------
3078
3079 - updated Vendor ID to strongSwan-2.4.0
3080
3081 - updated copyright statement to include David Buechi and
3082   Michael Meier
3083
3084
3085 strongswan-2.4.0
3086 ----------------
3087
3088 - strongSwan now communicates with attached smartcards and
3089   USB crypto tokens via the standardized PKCS #11 interface.
3090   By default the OpenSC library from www.opensc.org is used
3091   but any other PKCS#11 library could be dynamically linked.
3092   strongSwan's PKCS#11 API was implemented by David Buechi
3093   and Michael Meier, both graduates of the Zurich University
3094   of Applied Sciences in Winterthur, Switzerland.
3095
3096 - When a %trap eroute is triggered by an outgoing IP packet
3097   then the native IPsec stack of the Linux 2.6 kernel [often/
3098   always?] returns an XFRM_ACQUIRE message with an undefined
3099   protocol family field and the connection setup fails.
3100   As a workaround IPv4 (AF_INET) is now assumed.
3101
3102 - the results of the UML test scenarios are now enhanced
3103   with block diagrams of the virtual network topology used
3104   in a particular test.
3105
3106
3107 strongswan-2.3.2
3108 ----------------
3109
3110 - fixed IV used to decrypt informational messages.
3111   This bug was introduced with Mode Config functionality.
3112
3113 - fixed NCP Vendor ID.
3114
3115 - undid one of Ulrich Weber's maximum udp size patches
3116   because it caused a segmentation fault with NAT-ed
3117   Delete SA messages.
3118
3119 - added UML scenarios wildcards and attr-cert which
3120   demonstrate the implementation of IPsec policies based
3121   on wildcard parameters contained in Distinguished Names and
3122   on X.509 attribute certificates, respectively.
3123
3124
3125 strongswan-2.3.1
3126 ----------------
3127
3128 - Added basic Mode Config functionality
3129
3130 - Added Mathieu Lafon's patch which upgrades the status of
3131   the NAT-Traversal implementation to RFC 3947.
3132
3133 - The _startklips script now also loads the xfrm4_tunnel
3134   module.
3135
3136 - Added Ulrich Weber's netlink replay window size and
3137   maximum udp size patches.
3138
3139 - UML testing now uses the Linux 2.6.10 UML kernel by default.
3140
3141
3142 strongswan-2.3.0
3143 ----------------
3144
3145 - Eric Marchionni and Patrik Rayo, both recent graduates from
3146   the Zuercher Hochschule Winterthur in Switzerland, created a
3147   User-Mode-Linux test setup for strongSwan. For more details
3148   please read the INSTALL and README documents in the testing
3149   subdirectory.
3150
3151 - Full support of group attributes based on X.509 attribute
3152   certificates. Attribute certificates can be generated
3153   using the openac facility. For more details see
3154
3155   man ipsec_openac.
3156
3157   The group attributes can be used in connection definitions
3158   in order to give IPsec access to specific user groups.
3159   This is done with the new parameter left|rightgroups as in
3160
3161   rightgroups="Research, Sales"
3162
3163   giving access to users possessing the group attributes
3164   Research or Sales, only.
3165
3166 - In Quick Mode clients with subnet mask /32 are now
3167   coded as IP_V4_ADDRESS or IP_V6_ADDRESS. This should
3168   fix rekeying problems with the SafeNet/SoftRemote and NCP
3169   Secure Entry Clients.
3170
3171 - Changed the defaults of the ikelifetime and keylife parameters
3172   to 3h and 1h, respectively. The maximum allowable values are
3173   now both set to 24 h.
3174
3175 - Suppressed notification wars between two IPsec peers that
3176   could e.g. be triggered by incorrect ISAKMP encryption.
3177
3178 - Public RSA keys can now have identical IDs if either the
3179   issuing CA or the serial number is different. The serial
3180   number of a certificate is now shown by the command
3181
3182   ipsec auto --listpubkeys
3183
3184
3185 strongswan-2.2.2
3186 ----------------
3187
3188 - Added Tuomo Soini's sourceip feature which allows a strongSwan
3189   roadwarrior to use a fixed Virtual IP (see README section 2.6)
3190   and reduces the well-known four tunnel case on VPN gateways to
3191   a single tunnel definition (see README section 2.4).
3192
3193 - Fixed a bug occurring with NAT-Traversal enabled when the responder
3194   suddenly turns initiator and the initiator cannot find a matching
3195   connection because of the floated IKE port 4500.
3196
3197 - Removed misleading ipsec verify command from barf.
3198
3199 - Running under the native IP stack, ipsec --version now shows
3200   the Linux kernel version (courtesy to the Openswan project).
3201
3202
3203 strongswan-2.2.1
3204 ----------------
3205
3206 - Introduced the ipsec auto --listalgs monitoring command which lists
3207   all currently registered IKE and ESP algorithms.
3208
3209 - Fixed a bug in the ESP algorithm selection occurring when the strict flag
3210   is set and the first proposed transform does not match.
3211
3212 - Fixed another deadlock in the use of the lock_certs_and_keys() mutex,
3213   occurring when a smartcard is present.
3214
3215 - Prevented that a superseded Phase1 state can trigger a DPD_TIMEOUT event.
3216
3217 - Fixed the printing of the notification names (null)
3218
3219 - Applied another of Herbert Xu's Netlink patches.
3220
3221
3222 strongswan-2.2.0
3223 ----------------
3224
3225 - Support of Dead Peer Detection. The connection parameter
3226
3227     dpdaction=clear|hold
3228
3229   activates DPD for the given connection.
3230
3231 - The default Opportunistic Encryption (OE) policy groups are not
3232   automatically included anymore. Those wishing to activate OE can include
3233   the policy group with the following statement in ipsec.conf:
3234
3235     include /etc/ipsec.d/examples/oe.conf
3236
3237   The default for [right|left]rsasigkey is now set to %cert.
3238
3239 - strongSwan now has a Vendor ID of its own which can be activated
3240   using the compile option VENDORID
3241
3242 - Applied Herbert Xu's patch which sets the compression algorithm correctly.
3243
3244 - Applied Herbert Xu's patch fixing an ESPINUDP problem
3245
3246 - Applied Herbert Xu's patch setting source/destination port numbers.
3247
3248 - Reapplied one of Herbert Xu's NAT-Traversal patches which got
3249   lost during the migration from SuperFreeS/WAN.
3250
3251 - Fixed a deadlock in the use of the lock_certs_and_keys() mutex.
3252
3253 - Fixed the unsharing of alg parameters when instantiating group
3254   connection.
3255
3256
3257 strongswan-2.1.5
3258 ----------------
3259
3260 - Thomas Walpuski made me aware of a potential DoS attack via
3261   a PKCS#7-wrapped certificate bundle which could overwrite valid CA
3262   certificates in Pluto's authority certificate store. This vulnerability
3263   was fixed by establishing trust in CA candidate certificates up to a
3264   trusted root CA prior to insertion into Pluto's chained list.
3265
3266 - replaced the --assign option by the -v option in the auto awk script
3267   in order to make it run with mawk under debian/woody.
3268
3269
3270 strongswan-2.1.4
3271 ----------------
3272
3273 - Split of the status information between ipsec auto  --status (concise)
3274   and ipsec auto --statusall (verbose). Both commands can be used with
3275   an optional connection selector:
3276
3277     ipsec auto --status[all] <connection_name>
3278
3279 - Added the description of X.509 related features to the ipsec_auto(8)
3280   man page.
3281
3282 - Hardened the ASN.1 parser in debug mode, especially the printing
3283   of malformed distinguished names.
3284
3285 - The size of an RSA public key received in a certificate is now restricted to
3286
3287     512 bits <= modulus length <= 8192 bits.
3288
3289 - Fixed the debug mode enumeration.
3290
3291
3292 strongswan-2.1.3
3293 ----------------
3294
3295 - Fixed another PKCS#7 vulnerability which could lead to an
3296   endless loop while following the X.509 trust chain.
3297
3298
3299 strongswan-2.1.2
3300 ----------------
3301
3302 - Fixed the PKCS#7 vulnerability discovered by Thomas Walpuski
3303   that accepted end certificates having identical issuer and subject
3304   distinguished names in a multi-tier X.509 trust chain.
3305
3306
3307 strongswan-2.1.1
3308 ----------------
3309
3310 - Removed all remaining references to ipsec_netlink.h in KLIPS.
3311
3312
3313 strongswan-2.1.0
3314 ----------------
3315
3316 - The new "ca" section allows to define the following parameters:
3317
3318   ca kool
3319      cacert=koolCA.pem                   # cacert of kool CA
3320      ocspuri=http://ocsp.kool.net:8001   # ocsp server
3321      ldapserver=ldap.kool.net            # default ldap server
3322      crluri=http://www.kool.net/kool.crl # crl distribution point
3323      crluri2="ldap:///O=Kool, C= .."     # crl distribution point #2
3324      auto=add                            # add, ignore
3325
3326   The ca definitions can be monitored via the command
3327
3328      ipsec auto --listcainfos
3329
3330 - Fixed cosmetic corruption of /proc filesystem by integrating
3331   D. Hugh Redelmeier's freeswan-2.06 kernel fixes.
3332
3333
3334 strongswan-2.0.2
3335 ----------------
3336
3337 - Added support for the 818043 NAT-Traversal update of Microsoft's
3338   Windows 2000/XP IPsec client which sends an ID_FQDN during Quick Mode.
3339
3340 - A symbolic link to libcrypto is now added in the kernel sources
3341   during kernel compilation
3342
3343 - Fixed a couple of 64 bit issues (mostly casts to int).
3344   Thanks to Ken Bantoft who checked my sources on a 64 bit platform.
3345
3346 - Replaced s[n]printf() statements in the kernel by ipsec_snprintf().
3347   Credits go to D. Hugh Redelmeier, Michael Richardson, and Sam Sgro
3348   of the FreeS/WAN team who solved this problem with the 2.4.25 kernel.
3349
3350
3351 strongswan-2.0.1
3352 ----------------
3353
3354 - an empty ASN.1 SEQUENCE OF or SET OF object (e.g. a subjectAltName
3355   certificate extension which contains no generalName item)  can cause
3356   a pluto crash. This bug has been fixed. Additionally the ASN.1 parser has
3357   been hardened to make it more robust against malformed ASN.1 objects.
3358
3359 - applied Herbert Xu's NAT-T patches which fixes NAT-T under the native
3360   Linux 2.6 IPsec stack.
3361
3362
3363 strongswan-2.0.0
3364 ----------------
3365
3366 - based on freeswan-2.04, x509-1.5.3, nat-0.6c, alg-0.8.1rc12