pki: Optionally generate RSA/PSS signatures

pki: Indent usage lines properly automatically

Treat RSASSA-PSS keys like rsaEncryption RSA keys

In theory we should treat any parameters and the identifier itself as
restriction to only use the key to create signatures accordingly (e.g.
only use RSA with PSS padding or even use specific hash algorithms).
But that's currently tricky as we'd have to store and pass this information
along with our private keys (i.e. use PKCS#8 to store them and change the
builder calls to pass along the identifier and parameters). That would
require quite some work.

openssl: Add support for signature schemes with parameters

pki: Properly forward digest to attribute certificate builder

x509: Add support for signature schemes with parameters

Also adds support for specifying the hash algorithm for attribute
certificate signatures.

builder: Add builder option to pass signature scheme and params

ikev2: Use helpers to build signature auth data

signature-params: Add helpers to parse/build ASN.1 algorithmIdentifier for signature schemes

ikev2: Enumerate RSA/PSS schemes and use them if enabled

ikev2: Support signing with RSASSA-PSS via RFC 7427 signature auth

signature-params: Use helper to build MGF1 algorithmIdentifier

asn1: Add helper function to create algorithmIdentifier with parameters

ikev2: Verify RSASSA-PSS signatures via RFC 7427 signature auth

keymat_v2: Pass/receive signature schemes as signature_param_t objects

auth-cfg: Parse rsa/pss auth tokens

auth-cfg: Store signature schemes as signature_params_t objects

Due to circular references the hasher_from_signature_scheme() helper
does not take a signature_params_t object.

certificate: Return signature scheme and parameters from issued_by() method

This also required some include restructuring (avoid including library.h
in headers) to avoid unresolvable circular dependencies.

signature-params: Add helper struct for signature scheme and parameters

android: Add support for creating RSASSA-PSS signatures via JNI

unit-tests: Add RSA-PSS signature tests with specific salts

gcrypt: Add support for static salts when signing with RSA-PSS

gmp: Add support for static salts when signing with RSA-PSS

signature-params: Optionally pass a specific salt value when signing

unit-tests: Warn if we skip RSA tests due to dependencies

unit-tests: Add ability to issue a warning message for a test case

This way we can warn if we e.g. skipped actually doing something due to
dependencies (otherwise the test case would just appear to have succeeded).

mgf1: Add support for SHA-224/384 based MGF1

xof: Add identifiers for MGF1 XOFs based on SHA-224/384

gmp: Use helper to determine XOF type

xof: Add helper to determine MGF1 XOF type from hash algorithm

gcrypt: Add support for RSA-PSS signatures

For salt lengths other than 20 this requires 0bd8137e68c2 ("cipher:
Add option to specify salt length for PSS verification."), which was
included in libgcrypt 1.7.0 (for Ubuntu requires 17.04).  As that makes
it pretty much useless for us (SHA-1 is a MUST NOT), we require that version
to even provide the feature.

gcrypt: Register supported RSA signature/verification schemes

configure: Enable mgf1 plugin if gmp plugin is enabled

gmp: Add support for RSASSA-PSS signature verification

gmp: Add support for RSASSA-PSS signature creation

unit-tests: Add FIPS 186-4 RSASSA-PSS test vectors

Since not all implementations allow setting a specific salt value when
generating signatures (e.g. OpenSSL doesn't), we are often limited to
only using the test vectors with salt length of 0.

We also exclude test vectors with SHA-1, SHA-224 and SHA-384.

unit-tests: Create and verify some RSA PSS signatures

openssl: Add support for verifying RSASSA-PSS signatures

openssl: Add support for creating RSASSA-PSS signatures

openssl: Add helper to determine EVP_MD from hash_algorithm_t

unit-tests: Add FIPS 186-4 RSA test vectors

Excluding SHA-224 and the stuff from FIPS 186-2 (SHA-1, 1024 bit keys).

gcrypt: Determine missing RSA private key parameters

We only need n, e, and d.  The primes p and q and the coefficient
for the Chinese remainder algorithm can be determined from these.

gmp: Determine missing RSA private key parameters

We only need n, e, and d.  The parameters for the Chinese remainder
algorithm and even p and q can be determined from these.

openssl: Add functions to determine missing RSA private key parameters

We only need n, e, and d.  The parameters for the Chinese remainder
algorithm and even p and q can be determined from these.

signature-params: Add functions to parse/build ASN.1 RSASSA-PSS params

hasher: Add function to determine length of hashes

asn1: Add function to generate an ASN.1 integer from an uint64_t

asn1: Add OID for MGF1

signature-params: Add struct for RSASSA-PSS parameters

private-key: Add optional parameters argument to sign() method

public-key: Add optional parameters argument to verify() method

public-key: Add RSASSA-PSS signature scheme identifier

asn1: Add OID for RSASSA-PSS

ikev2: Don't use SHA-1 for RFC 7427 signature authentication

RFC 8247 demoted it to MUST NOT.

References #2427.

proposal: Remove MODP-1024 from default IKE proposal

RFC 8247 demoted it to SHOULD NOT. This might break connections with
Windows clients unless they are configured to use a stronger group or
matching weak proposals are configured explicitly on the server.

References #2427.

proposal: Remove MD5 from default IKE proposal

RFC 8247 demoted MD5 to MUST NOT.

References #2427.

proposal: Remove deprecated algorithms from default ESP and AH proposals

This removes algorithms that were deprecated by RFC 8221 (3DES, BF, MD5)
from the default proposals for ESP and AH.

References #8247.

configure: Fix check for libtpmtss to build it only when needed

Testing for x$tpm always yields true, hence libtpmtss is built even if it
is unneeded. Properly test against xtrue as we do in all other tests.

pool: Destroy enumerator before deleting existing pool

The MySQL client doesn't like overlapping queries on the same
connection, so we make sure to destroy the enumerator used to check for
an existing pool before deleting it when --replace is used.

kernel-pfkey: Support anti-replay windows > 2k

FreeBSD 11.1 supports a new extension to configure larger anti-replay
windows, now configured as number of packets.

Fixes #2461.

kernel-pfkey: Don't include keys in SADB_UPDATE message to update IPs on FreeBSD

The FreeBSD kernel explicitly rejects messages containing keys for mature SAs.

Fixes #2457.

Merge branch 'vici-counters'

Refactors the IKE event counters feature of the stroke plugin into a separate
plugin, which allows to publish the numbers also via vici/swanctl.

swanctl: Add --counters command

vici: Add 'get|reset-counters' commands

counters: Move IKE event counter collection from stroke to a separate plugin

systime-fix: Add timeout option to stop waiting for valid system time

A certificate check is forced once the timeout is reached even if the
system time appears to be invalid.

android: Add log message if failed to retrieve user certificate encoding

testing: Fix output matching of lease time in ipsec pool utility

shunt-mananger: Make outbound FWD shunt policies optional

ike: Do not send initial contact only for UNIQUE_NEVER

Signed-off-by: Thomas Egerer <thomas.egerer@secunet.com>

pkcs11: Call C_Finalize() to cancel jobs waiting in C_WaitForSlotEvent()

This is not ideal as the call to C_Finalize() should be the last one via
the PKCS#11 API.  Since the order in which jobs are canceled is undefined
we can't be sure there is no other thread still using the library (it could
even be the canceled job that still handles a previous slot event).
According to PKCS#11 the behavior of C_Finalize() is undefined while other
threads still make calls over the API.

However, canceling the thread, as done previously, could also be problematic
as PKCS#11 libraries could hold locks while in the C_WaitForSlotEvent() call,
which might not get released properly when the thread is just canceled,
and which then might cause later calls to other API functions to block.

Fixes #2437.

pool: Make pool timeout configurable in other units than hours

utils: Add helper function to parse time spans from strings

asn1: Add additional OIDs seen in certificate DNs

scripts: Add -d option to oid2der to decode DER encoded OIDs

man: Fix documentation of inbound mark behavior in ipsec.conf(5)

vici: Make setting mark on inbound SA configurable

child-cfg: Optionally set mark on inbound SA

eap-radius: Optionally send Class attributes in RADIUS accounting messages

If enabled, add the RADIUS Class attributes received in Access-Accept messages
to RADIUS accounting messages as suggested by RFC 2865 section 5.25.

Fixes #2451.

ikev2: Abort make-before-break reauth if we don't find children to recreate

We do something similar in reestablish() for break-before-make reauth.
If we don't abort we'd be sending an IKE_AUTH without any TS payloads.

References #2430.

openssl: Also load EC keys from an ENGINE

libcharon: Added Cisco FlexVPN Supported VID

unit-tests: Fix "using integer constants in boolean context" warning

This warning has been seen in GCC 7.x with -Wall, however, because == has
higher precedence than ?: the code was actually not correct.

streams: Remove registered systemd stream service

Fixes: 59db98fb941c ("stream: Add basic stream service for systemd sockets")

streams: Named systemd sockets are only supported since systemd v227

starter: Add the correct keywords header file to EXTRA_DIST

The fix for gperf in 0ae19f0ced8d added the generated header to
EXTRA_DIST but that's already added to the distribution because it is
contained in *_SOURCES, what was not added, though, was the .h.in file.

Also fixes the reference to the header file in the .c rule here and for
stroke in out-of-tree builds.

Fixes: 0ae19f0ced8d ("configure: Fix gperf length parameter determination")

watcher: Don't notify watcher if removed FD was not found

This can happen if a stream is used blocking exclusively (the FD is
never registered with watcher, but is removed in the stream's destructor
just in case it ever was - doing this conditionally would require an
additional flag in streams).  There may be no thread reading from
the read end of the notify pipe (e.g. in starter), causing the write
to the notify pipe to block after it's full.  Anyway, doing a relatively
expensive FD update is unnecessary if there were no changes.

Fixes #1453.

stream: Add basic stream service for systemd sockets

This allows systemd socket activation by passing URIs such as systemd://foo
to plugins such as VICI.

For example setting charon.plugins.vici.socket = systemd://vici, a
systemd socket file descriptor with the name "vici" will be picked up.

So these would be the corresponding unit options:

  [Socket]
  FileDescriptorName=vici
  Service=strongswan.service

  ListenStream=/run/charon.vici

The implementation currently is very basic and right now only the first
file descriptor for a particular identifier is picked up if there are
multiple socket units with the same FileDescriptorName.

Signed-off-by: aszlig <aszlig@redmoonstudios.org>
Closes strongswan/strongswan#79.

starter: Don't define any hard-coded proposal strings

Just rely on the default proposals by charon if nothing is defined. The
hard-coded IKE proposal used curve25519, which depends on an optional
plugin (while enabled by default it might still not be loaded, or, like
on Debian, shipped in an optional package). With charon's default
proposal only loaded algorithms are proposed for IKE avoiding this issue.

configure: Also check for libcrypto on Windows

With OpenSSL 1.1.0 the library is now named libcrypto too on Windows.
Check for libeay32 first so we don't link against the build environment's
version of OpenSSL instead of the native one that might be available.

openssl: Fix call of X509_CRL_get0_signature() with OpenSSL 1.1.0

The order of arguments in X509_CRL_get0_signature() is not the same as that
of X509_get0_signature().

Fixes: 989ba4b6cd16 ("openssl: Update CRL API to OpenSSL 1.1.0")

kernel-netlink: Add strings for newer XFRM attribute types

configure: Fix gperf length parameter determination

gperf is not actually a build dependency as the generated files are
shipped in the tarball.  So the type depends on the gperf version on
the host that ran gperf and created the tarball, which might not be
the same as that on the actual build host, and gperf might not even
be installed there, leaving the type undetermined.

Fixes: e0e43229736a ("configure: Detect type of length parameter for gperf generated function")

libimcv: Renamed SW Request to SWIMA Request

Version bump to 5.6.1dr3

SWIMA attribute name changes

draft-ietf-sacm-nea-swima-patnc-01 changes some SWIMA attribute
names.

kernel-pfroute: Delay call to if_indextoname(3) when handling RTM_IFINFO

It seems that there is a race, at least in 10.13, that lets
if_indextoname() fail for the new TUN device. So we delay the call a bit,
which seems to "fix" the issue. It's strange anyway that the previous
delay was only applied when an iface entry was already found.

controller: Consider any IKE_SA destruction as success when terminating

configure: Detect type of length parameter for gperf generated function

Since 3.1 gperf uses size_t for the length parameter instead of an
unsigned int.

utils: Include stdint.h

Recent releases of glibc don't include the full stdint.h header in some
network headers included by utils.h.  So uintptr_t might not be defined.
Since we use fixed width integers, including the latter, all over the place
we make sure the complete file is included.

Fixes #2425.