Added tags table and some tag samples

swid_inventory object has a get_count method

Count collected SWID tags or tag IDs

Proceed with attestation only if Attestation IMC returns a discovery response

libipsec: Properly initialize variables when creating AEAD wrapper

android: Fix compilation after PTS header files were moved

libpts: Android.mk updated

Version bump to 5.1.1dr3

NEWS: 5.1.1 update for merged branches

load-tester: support extended traffic selector syntax, as in leftsubnet

In addition the initiator may use %unique as port, using a distinct port for
each connection, starting from 1025.

load-tester: add an option to test transport/beet connections

Merge branch 'ike-address-ranges'

Adds support for multiple subnets and address ranges in left/right ipsec.conf
options. As responder the connection is acceptable if the address is in one of
the ranges/subnets. To initiate connections, at least one single IP or hostname
is required for the peer address.

man: add support for multiple addresses/ranges/subnets in ipsec.conf left=

ike: support multiple addresses, ranges and subnets in IKE address config

Replace the allowany semantic by a more powerful subnet and IP range matching.
Multiple addresses, DNS names, subnets and ranges can be specified in a comma
separated list. Initiators ignore the ranges/subnets, responders match
configurations against all addresses, ranges and subnets.

ike-cfg: remove the to be obsoleted allow any parameter in get_my/other_addr

backends: use ike_cfg host matching functions

ike-cfg: add methods to match a host against configured local/remote addresses

trap-manager: use ike_cfg resolver functions

ike-sa: use ike_cfg resolver functions

ike-cfg: add a method to resolve local/remote hosts with port

Merge branch 'ikev1-pushmode'

Implements Mode Config Push mode in IKEv1 using the existing modeconfig=push
ipsec.conf option.

stroke: ignore a leftsourceip if a rightsourceip is given as well

As we always negotiate virtual IPs in charon, having both left- and
rightsourceip is not allowed. Both in IKEv1 and IKEv2 we support a single
configuration payload exchange only.

man: update ipsec.conf modeconfig keyword

ikev1: implement mode config push mode

stroke: re-enable modeconfig keyword

peer-cfg: add a pull/push mode option to use with mode config

pubkey_speed: Add missing plugins

The pkcs1 plugin is required to test the gmp/gcrypt plugins. Likewise,
the pem plugin is required when testing the openssl plugin.

Fixes #401.

pubkey_speed: sudo is not required

Also, refer to pubkey_speed properly when not being called from the same
directory.

pubkey_speed: Add header and fix usage

Merge branch 'xauth-radius-multi'

Introduces multiple rounds in the eap-radius XAuth backend, concatenating
answers to a single password to verify using a RADIUS User-Password attribute.
This is known to work fine with iOS and OS X clients, allowing two-factor
authentication with proper dialogs.

Different XAuth "profiles" for each backend can be selected using a generic
colon sperated suffix for the XAuth string.

charon-cmd: support prompting for a PIN

To support a Password and PIN XAuth combo, additionally support multiple
prompts for different credential types.

xauth-generic: honor requested XAuth credential types as a client

Support requesting of XAuth PINs and print XAuth messages.

attributes: shorten some Unity and XAuth attribute short names

message: print type of configuration payload

message: print attributes for IKEv1 configuration payloads as well

eap-radius: support XAuth configuration profiles, defining multiple XAuth rounds

xauth: add a configuration string option to be passed to XAuth instances

The configuration string is appended to the XAuth backend name, separated by
a colon. The configuration string is passed untouched to the backend, where
it can change the behavior of the XAuth module.

Use ipsec_DATA destination

Install SWID tag also in /share/

Generate strongSwan SWID tag

Added regids table and some sample reqid data

Pull dave for OS info

Corrected debug class to DBG_IMC

autoconf: Split PACKAGE_VERSION in four parts

The parts can be accessed with the variables:

PACKAGE_VERSION_MAJOR
PACKAGE_VERSION_MINOR
PACKAGE_VERSION_BUILD
PACKAGE_VERSION_REVIEW

The last part will be empty for regular releases.

conftest: Fix hook constructor resolution via dlsym()

AM_CPPFLAGS only takes preprocessor flags like -I or -D, so it did not
forward -rdynamic to the linker (--export-dynamic), which meant that the
symbols defined in the executable itself were not resolvable via dlsym().

Fixes #394.

SWID IMC implements recursive tag collection in /usr/share

aes-test: Rename crypt() as it conflicts with a library function on Mac OS X

unistd.h on Linux defines this only if _XOPEN_SOURCE is defined.

kernel-pfroute: Fix mixed up memset() call in get_route()

The retry code introduced in dc8b083 got the memset() arguments wrong.
Fix this to ensure the buffer gets zeroed, for real.

It probably doesn't matter as we do reset the message length on retry, so
the stale data shouldn't be seen by anyone.

Found-by: git grep 'memset\s*\([^,]*,\s*[^,]*,\s*0\s*\)'

testing: support a .gitignored testing.conf.local for site-local configurations

charon-xpc: add a note how to build the source tarball

charon-xpc: include and prefer AES-GCM algorithms in ESP proposal

Version bump to 5.1.1dr2

Added TCG-SWID error handling

Added scripts/aes-test to .gitignore

Added tzset memory leak to whitelist

Selectively enable PT-TLS and/or RADIUS sockets in tnc-pdp plugin

aes-test: Support test vectors at the end of a file

aes-test: Add script to test AES implementations according to AESAVS/GCMVS

chunk: Print chunks without separator if + modifier is used

utils: Add case-insensitive version of strpfx()

stroke: stop enumerating IKE_SAs in statusall if output stream gets closed

If the output stream is not interested in more information, it can close the
the stream. Checking for stream errors avoids useless enumeration of IKE_SAs,
saving resources. This allows to use "ipsec statusall | head" to monitor the
daemon, or stop enumerating IKE_SAs after a specific entry has been found.

Cleaned configuration files in PT-TLS client scenario

kernel: Restore enumeration of all addresses when searching for address in TS

Since f52cf07532 addresses on ignored, down or loopback interfaces were
not considered as valid addresses anymore when searching for an address
contained in the local traffic selector.  This meant that route
installation failed, for instance, if charon.install_virtual_ip_on was
set to 'lo', or, on gateways, if internal interfaces were ignored with
the charon.interfaces_* options.

conftest: Disable reset_seq hook on systems other than Linux

Fixes #386.

kernel-netlink: Fix calculation of ESN bitmap length

While bmp_len stores the number of u_int32_t the allocated bitmap
actually consists of those integers.

Added stand-alone pt-tls-client to NEWS

Flush iptables rules on alice

Fixes in tnc scenarios

Added tnc/tnccs-20-pt-tls scenario

Version bump to 5.1.1dr1

Process PB-TNC batches received via PT-TLS asynchronously

Optimize TLS socket buffer for TLS_MAX_FRAGMENT_LEN

Output handler of a given workitem

Implemented SWID Tag Inventory attribute

deleted moved files

Implemented SWID prototype IMC/IMV pair

Updated the SWID attributes

Optimized PT-TLS data transfer

Show host address of peer connecting to PT-TLS socket

Set client identity with TLS certificate authentication

Fixed memory leak in SASL PLAIN

added --optionsfrom capability

Use client identities from successful authentications, only

Add pt-tls-client to .gitignore

Extract client identity and authentication type from SASL authentication

Added some debug statements

enabled SASL PLAIN authentication

PT-TLS connection is properly terminated

moved tnc_imv plugin to libtnccs thanks to recommendation callback function

Documented plugin move from libcharon to libtnccs in strongswan.conf

Moved tnc-tnccs, tnc-imc, tnccs-11, tnccs-20 and tnccs-dynamic libcharon plugins to libtnccs

rapid PT-TLS AR/PDP prototype

Add PT-TLS interface to strongSwan PDP

ikev1: Fix calculation of the number of fragments

The old code resulted in too few fragments in some cases.

ikev1: When sending fragments, use ports to decide if a non-ESP marker is added

This is same same logic used by sender and might apply in some cases (e.g.
when initiating to port 4500).

ikev2: Fix segfault when reestablishing CHILD_SAs due to closeaction=restart|hold

This regression was introduced with c949a4d5.

libipsec: Don't limit traditional algorithms to AES and SHA1/2

Closes #377.

kernel-netlink,pfroute: Properly update address flag within ROAM_DELAY

77d4a02 and 55da01f only updated the address flag when a job was created,
which obviously had the same limitation as the old code.

Fixes #374.

kernel-pfroute: Implement roam event handling like in the kernel-netlink plugin

There was no proper locking and the issue regarding the address
flag also existed.

kernel-netlink: Ensure address changes are not missed in roam events

If multiple roam events are triggered within ROAM_DELAY, only one job is
created.  The old code set the address flag to the value of the last
triggering call.  So if a route change followed an address change within
ROAM_DELAY the address change was missed by the upper layers, e.g. causing
it not to update the list of addresses via MOBIKE.

The new code now keeps the state of the address flag until the job is
actually executed, which still has some issues.  For instance, if an
address disappears and reappears within ROAM_RELAY, the flag would not
have to be set to TRUE.  So address updates might occasionally get
triggered where none would actually be required.

Fixes #374.