version bump to 4.6.3dr1

make the mppe salt unique

straightene radius_mppe header file

implemented MS_MPPE encryption

use predefined Microsoft PEN

use MAX_RADIUS_ATTRIBUTE_SIZE constant

use RADIUS_TUNNEL_TYPE_ESP defined in header file

implemented RADIUS Filter-ID attribute

removed double library entry

adapted debug output

keep a list of RADIUS connections with EAP method states

apply maximum RADIUS attribute size to outbound EAP messages

read PDP server name from strongswan.conf

define MAX_RADIUS_ATTRIBUTE_SIZE

define peer and server identities

added EAP_SUCCESS/FAILURE message to RADIUS Accept/Reject

added msg_auth flag in radius_message_t sign() method

allow debug of raw RADIUS data

simple RADIUS server example works

first use of libradius

created libradius shared by eap-radius and tnc-pdp plugins

created tnc-pdp policy decision point plugin

Fixed crash and locking issues while unrouting connections via stroke

Clear peer addresses during HA update.

Simplified some route lookups now that we store all peer addresses in a list.

Renamed list of additional peer addresses as it now stores all known addresses.

Store the peer's current address as additional known address on the IKE_SA.

This allows to switch back to the original address after switching to
any of the additional addresses.

Include radattr RADIUS attribute only if an EAP payload is present

By default include radattr RADIUS attribute in any IKE_AUTH exchange

farp plugin sends ARP responses for any tunneled address, not only virtual IPs

Be less verbose if we don't have a local address for a tunnel

Re-resolve hosts on additional keyingtries

Renamed radius_server to radius_config, as some real RADIUS server functionality is coming

Prefer EAP-Identity to read radattr RADIUS attribute file

Invoke ike_updown hook on authentication failure not before response sent

Build libradius if radattr plugin is enabled

Inject RADIUS attribute in radattr plugin read from an identity specific file

Added a radattr plugin that prints any received RADIUS notify to console

Moved generic RADIUS protocol support to a dedicated libradius

Removed libcharon dependencies from generic RADIUS protocol support

Forward specifcied RADIUS attributes between AAA backend and client

Defined a private status notify to transport arbitrary RADIUS attributes

Implemented RADIUS DAE response retransmission

Be a little more verbose before starting IKE_SA reauthentication

Process RADIUS DAE CoA updates, updating lifetimes

Send an AUTH_LIFETIME update after updating the lifetime, but can not reauth actively

Use faster ike_sa_id and a delete job to handle RADIUS DAE Delete-Request

Refactored RADIUS DAE IKE_SA lookup

Pass RADIUS DAE client address a host_t instead of sockaddr struct

Send RADIUS DAE Disconnect-ACK/NAK on Disconnect-Request

Support signing of RADIUS response messages

Act on RADIUS DAE Disconnect requests

Verify received RADIUS DAE requests

Support verification of RADIUS request messages

Rename RADIUS message constructors to handle both, requests and responses

Enable RADIUS DAE listening if configured

Added infrastructure to listen to RADIUS Dynamic Authorization Extension requests

Added Dynamic Authorization Extension RADIUS message codes

Set IKE_SA lifetime based on RADIUS Session-Timeout attribute

Set hard timeouts when setting a lifetime

Fix IKE_SA timeout debug output on 64bit platforms

maemo: New upstream release.

Added support for untruncated MD5 and SHA1 HMACs in ESP as used in RFC 4595.

This requires a Linux kernel >= 2.6.33.

Encode IPv6 virtual IPs in a Framed-IPv6-Prefix attribute

Refactored construction of RADIUS accounting messages

Include port numbers in Calling-Station-Id, too

Use large enough buffers for IPv6 addresses in Calling-Station-Id

Send client external address as Calling-Station-Id in RADIUS accounting

added missing x character

handle case where subject = NULL but keyid is set

libtnccs is required by the eap_tnc plugin

charon does not depend on libtncif any more but tnc_tnccs does

build libstrongswan if libimcv is built

version bump to 4.6.2

fixed attest sql query in list_measurements()

Compiler warnings fixed.

pluto: Print expiry time more properly.

pluto: Drop support for legacy PSK format.

Any line in ipsec.secrets starting with " or ' was treated as PSK
without ID selectors by pluto.  This prevented it from supporting DNs
like "C=CH, O=Linux strongSwan, OU=Sales, CN=alice@strongswan.org" as
ID selectors.

PSKs defined in this legacy format can easily be updated by changing

"thisIsASecret"

into

: PSK "thisIsASecret"

completed imc/imv-attestation settings

adapted debug output check in openssl-ikev2/rw-eap-tls-only scenario

Double check if a cached suite is available, overwrite any old suite state

Some Doxygen fixes.

Fix TLS EAP-MSK derivation, uses different order of randoms than key expansion

Filter TLS suite MAC by HMAC algorithm, as the hash is not necessarily the same

open RADIUS accounting port in firewall

added ikev2/rw-radius-accounting scenario

Update usage for all children in RADIUS accounting just before sending Stop

Check if ClusterIP directory could be opened before enumerating it

version bump to 4.6.2rc1

ipsec attest adds and deletes key/component pairs

check if TNC client has a valid and registered AIK

reformulated some NEWS entries

added openssl-ikev2/ecdsa-pkcs8 scenario

added ikev2/rw-pkcs8 scenario

version bump to 4.6.2dr4

Trigger DPD not before IKE_SA state gets updated

Don't retransmit, rekey, reauth or DPD check SAs when in PASSIVE state

Moved and clarified NEWS about PKCS#8 plugin.

Moved log message for unexpected ASN.1 objects to level 2.

This avoids error messages if later builders can successfully decode something.

Added support for PKCS#5 v2 schemes when decrypting PKCS#8 files.