pki: Choose default digest based on the signature key

pki: Use SHA-256 as default for signatures

Since the BLISS private key supports this we don't do any special
handling anymore (if the user choses a digest that is not supported,
signing will simply fail later because no signature scheme will be found).

trap-manager: Add option to ignore traffic selectors from acquire events

The specific traffic selectors from the acquire events, which are derived
from the triggering packet, are usually prepended to those from the
config.  Some implementations might not be able to handle these properly.

References #860.

unit-tests: Fix settings test after merging multi-line strings

swanctl: Append /ESN to proposal for a CHILD_SA using Extended Sequence Numbers

We previously printed just the value for the "esn" keyword, which is "1", and
not helpful as such.

Fixes #904.

unit-tests: Depend on SHA1/SHA256 features for mgf1 test cases

man: More accurately describe features of the new parser in ipsec.conf(5)

settings: Merge quoted strings that span multiple lines

starter: Merge quoted strings that span multiple lines

encoding: Don't verify length of IKEv1 KE payloads

The verification introduced with 84738b1aed95 ("encoding: Verify the length
of KE payload data for known groups") can't be done for IKEv1 as the KE
payload does not contain the DH group.

charon-systemd: Optionally load plugin list from charon-systemd.load

apidoc: Limit INPUT to src subdirectory and README.md

While 0909bf6c explicitly includes the whole source tree (to cover README.md),
this has the unpleasant side effect of covering a workspace under "testing"
with all its sources, or any other potential subdirectory that exists.

utils: Fix enum_flags_to_string parameter name to match Doxygen description

attr-sql: Rename sql_attribute_t to attr_sql_provider_t

As the plugin has its origins in the sql plugin, it still uses the naming
scheme for the attribute provider implementation. Rename the class to better
match the naming scheme we use in any other plugin

ikev1: Adopt virtual IPs on new IKE_SA during re-authentication

Some clients like iOS/Mac OS X don't do a mode config exchange on the
new SA during re-authentication.  If we don't adopt the previous virtual
IP Quick Mode rekeying will later fail.

If a client does do Mode Config we directly reassign the VIPs we migrated
from the old SA, without querying the attributes framework.

Fixes #807, #810.

ikev1: Mark rekeyed CHILD_SAs as INSTALLED

Since we keep them around until they finally expire they otherwise would block
IKE_SA rekeying/reauthentication.

mem-pool: Remove entries without online or offline leases

This avoids filling up the hash table with unused/old identities.

References #841.

kernel-handler: Log new endpoint if NAT mapping changed

child-sa: Remove policies before states to avoid acquire events for untrapped policies

Merge branch 'vici-python'

Introduce a Python Egg for the vici plugin, contributed by Björn Schuberg.

NEWS: Introduce vici Python Egg

travis: Install pip to install pytest in "all" tests

This allows ./configure to detect py.test, and execute python unit tests we
provide in the vici python egg.

vici: Add support for python 3

vici: Execute python tests during "check" if py.test is available

configure: Check optional py.test availability when building with python eggs

vici: Add test of Packet layer in python library

vici: Add test of Message (de)serialization in python library

vici: Evaluate Python streamed command results, and raise CommandException

vici: Catch Python GeneratorExit to properly cancel streamed event iteration

vici: Fall back to heap buffer when vararg printing on stack fails

This avoids failures when building log event messages including larger hexdumps.

vici: Return a Python generator instead of a list for streamed responses

In addition that it may reduce memory usage and improve performance for large
responses, it returns immediate results. This is important for longer lasting
commands, such as initiate/terminate, where immediate log feedback is preferable
when interactively calling such commands.

vici: Raise a Python CommandException instead of returning a CommandResult

vici: Add initial Python egg documentation to README

vici: Use OrderedDict to handle vici responses in Python library

The default Python dictionaries are unordered, but order is important for some
vici trees (for example the order of authentication rounds).

vici: Return authentication rounds with unique names

To simplify handling of authentication rounds in dictionaries/hashtables on the
client side, we assign unique names to each authentication round when listing
connection.

vici: Rebuild ruby gem on source file changes

vici: Use default Unix vici socket if none passed to ruby constructor

While we currently have a static path instead of one generated with Autotools,
this at least is congruent to what we have in the Python library.

vici: Support non-Unix sockets for vici connections using Python

vici: Add python egg setuptools building and installation using easy_install

An uninstall target is currently not supported, as there is no trivial way with
either plain setuptools or with easy_install. pip would probably be the best
choice, but we currently don't depend on it.

vici: Generate a version specific setup.py for setuptools installation

vici: Include python package in distribution

configure: Add --enable-python-eggs and --with-pythoneggdir options

Detect easy_install for Python egg installation to install any egg we provide
in strongSwan.

vici: Add python package MIT license

vici: Expose Session as a top-level symbol in python package

vici: Introduce main API Session class in python package

vici: Add a python vici command execution handler

vici: Add vici python protocol handler

Merge branch 'swanctl-pkcs12'

Add support for loading PKCS#12 containers from a swanctl/pkcs12 directory.

Fixes #815.

swanctl: Cache entered PKCS#12 decryption secret

It is usually used more than once, but most likely the same for decryption and
MAC verification.

swanctl: Support loading PKCS#12 containers from a pkcs12 swanctl directory

swanctl: Generalize private key decryption to support other credential types

encoding: Verify the length of KE payload data for known groups

IKE is very strict in the length of KE payloads, and it should be safe to
strictly verify their length. Not doing so is no direct threat, but allows DDoS
amplification by sending short KE payloads for large groups using the target
as the source address.

ikev2: Migrate MOBIKE additional peer addresses to new SA after IKE_SA rekeying

ikev2: Immediately initiate queued tasks after establishing rekeyed IKE_SA

If additional tasks get queued before/while rekeying an IKE_SA, these get
migrated to the new IKE_SA. We previously did not trigger initiation of these
tasks, though, leaving the task unexecuted until a new task gets queued.

Version bump to 5.3.0dr2

Replace kid by aik_id in ITA TBOOT functional component

Fixed two BLISS key type identifier strings

charon-systemd: Add missing semicolon

References #887, fixes f3c83322.

osx: Include eap-gtc plugin in build instructions

Added availability of TNC AR IP address to IMVs to NEWS

Create TPM TBOOT Measurement group

vici: Use %u to print stats returned by mallinfo(3)

Fixes #886.

stroke: Use %u to print stats returned by mallinfo(3)

References #886.

charon-systemd: Add support to configure user and group via strongswan.conf

Fixes #887.

eap-radius: Increase Acct-Session-ID string buffer

As the startup timestamp needs 10 characters, we only have left 4 characters
for the IKE_SA unique identifier. This is insufficient when having 10000 IKE_SAs
or more established, resulting in non-unique session identifiers.

Fixes #889.

testing: Remove obsolete leftnexthop option from configs

ikev2: Don't set old IKE_SA to REKEYING state during make-before-break reauth

We are actually not in rekeying state, but just trigger a separate, new IKE_SA
as a replacement for the current IKE_SA. Switching to the REKEYING state
disables the invocation of both IKE and CHILD_SA updown hooks as initiator,
preventing the removal of any firewall rules.

Fixes #885.

ha: Destroy synced IKE_SA if no configuration is found during update

ikev1: Don't handle DPD timeout job if IKE_SA got passive

While a passively installed IKE_SA does not queue a DPD timeout job, one that
switches from active to passive might execute it. Ignore such a queued job if
the IKE_SA is in passive state.

testing: Don't check for exact IKEv1 fragment size

Similar to 7a9c0d51, the exact packet size depends on many factors we don't
want to consider in this test case.

testing: Fix active/passive role description in ha/both-active test case

libipsec: Pass separate inbound/update flags to the IPsec SA manager

Similar to other kernel interfaces, the libipsec backends uses the flag for
different purposes, and therefore should get separate flags.

kernel-interface: Add a separate "update" flag to add_sa()

The current "inbound" flag is used for two purposes: To define the actual
direction of the SA, but also to determine the operation used for SA
installation. If an SPI has been allocated, an update operation is required
instead of an add.

While the inbound flag normally defines the kind of operation required, this
is not necessarily true in all cases. On the HA passive node, we install inbound
SAs without prior SPI allocation.

tkm: Use the inbound flag do determine peer role in CHILD_SA exchange

This was not available during initial implementation, but fits just fine to
avoid reconstructing the peer role.

Revert "child-sa: Remove the obsolete update logic"

While the the meaning of the "inbound" flag on the kernel_interface->add_sa()
call is not very clear, we still need that update logic to allow installation of
inbound SAs without SPI allocation. This is used in the HA plugin as a passive
node.

This reverts commit 698ed656.

Revert "ha: Always install the CHILD_SAs with the inbound flag set to FALSE"

While this change results in the correct add/update flag during installation,
it exchanges all other values in the child_sa->install() call. We should pass
the correct flag, but determine the add/update flag by other means.

This reverts commit e722ee5d.

tkm: Disable RFC 7427 signature authentication

TKM can't verify such signatures so we'd fail in the authorize hook.
Skipping the algorithm identifier doesn't help if the peer uses
anything other than SHA-1, so config changes would be required.

ikev2: Move code in pubkey authenticator's build() method into separate functions

ikev2: Try all eligible signature schemes

Previously, we failed without recovery if a private key did not support
a selected signature scheme (based on key strength and the other peer's
supported hash algorithms).

files: Add simple plugin to load files from file:// URIs

daemon: Remove scheduled jobs before unloading plugins

Especially callback jobs might refer to memory that gets invalid after
the plugins got unlaoded, so make sure we destroy these jobs before.

References #840.

scheduler: Add method to remove all scheduled jobs

References #840.

plugin-loader: Increase log level for warning about plugin features that failed to load

Since we can't get rid of all unmet dependencies (at least not in every
possible plugin configuration) the message is more confusing than
helpful.  In particular because a detailed warning about plugin features
that failed to load due to unmet dependencies is only logged on level 2.

tls-peer: Make sure to use the right trusted public key for peer

In case a CA certificate uses the same subject DN as the server the
previous code could end up trying to verify the server's signature with
the CA certificate's public key.  By comparing the certificate with the
one sent by the peer we make sure to use the right one.

Fixes #849.

pkcs11: Convert RFC 3279 ECDSA signatures when verifying

References #873.

pkcs11: Properly encode RFC 3279 ECDSA signatures

Fixes #873.

pkcs11: Properly encode EC_POINTs created on a token

Some tokens might not fail when creating EC public keys in the incorrect
format, but they will later not be able to use them to verify signatures.

References #872.

pkcs11: Properly handle EC_POINTs returned as ASN.1 octet string

This is the correct encoding but we internally only use unwrapped keys
and some tokens return them unwrapped.

Fixes #872.

Updated products in imv database

attest: output trusted flag and device description

Make access requestor IP address available to TNC server

testing: Update modified updown scripts to the latest template

This avoids confusion and makes identifying the changes needed for each
scenario easier.

Remove obsolete _updown_espmark script

According to NEWS it was created to support kernels < 2.6.16.

_updown: Remove obsolete stuff from default script

ikev1: Set protocol ID and SPIs in INITIAL-CONTACT notification payloads

The payload we sent before is not compliant with RFC 2407 and thus some
peers might abort negotiation (e.g. with an INVALID-PROTOCOL-ID error).

Fixes #819.

x509: Use subjectKeyIdentifier provided by issuer cert when checking CRL issuer

Some CAs don't use SHA-1 hashes of the public key as subjectKeyIdentifier and
authorityKeyIdentifier.  If that's the case we can't force the
calculation of the hash to compare that to authorityKeyIdentifier in the CRL,
instead we use the subjectKeyIdentifier stored in the issuer certificate, if
available.  Otherwise, we fall back to the SHA-1 hash (or comparing the
DNs) as before.

kernel-pfkey: Add option to set receive buffer size of event socket

If many requests are sent to the kernel the events generated by these
requests may fill the receive buffer before the daemon is able to read
these messages.

Fixes #783.

use SHA512 for moon's BLISS signature

Merge branch 'ikev2-signature-authentication'

This adds support for RFC 7427 signature authentication in IKEv2,
enabling the use of stronger signature schemes (e.g. RSA with SHA-2)
for IKE authentication.

Public key constraints defined in `rightauth` are now also checked
against IKEv2 signature schemes (may be disabled via strongswan.conf).

Fixes #863.

NEWS: Introduce RFC 7427 signature authentication