Added IKEv1 ID payload <-> traffic selector conversion functions

ts.get_subnet() returns TRUE if the selector actually is a subnet

Implemented first two exchanges of Main Mode as initiator

Added enum name for MAIN_MODE task

Do not ignore configs for IKEv1 in charon anymore

Added missing task manager factory declaration

Re-enable static inclusion of PSK auth method into IKEv1 proposal

Added IKEv1 support to delete payload

Added IKEv1 support to notify payload

Memory leak fixed.

Added factory function to create task_manager_t implementations.

Added factory function to create keymat_t implementations.

Store IKE version of an SA on ike_sa_t.

Added stub for IKEv1 keymat_t implementation.

Use keymat_t as common interface, renamed current implementation to _v2.

Use a generic list encoding rule we can use to specify the wrapped payload type

Use a generic encoding type for all variable length chunks

Implemented IKEv1 hash payload

Extended ID payload for (non-TS) IKEv1 use

Implement second exchange in IKEv1 main mode

Add a payload.get_header_length() method, remove header length definitions

Simplify signature of get_encoding_rules(), make all rules static

Extended KE payload for IKEv1 support

Extended nonce payload for IKEv1 support

Add fixed PSK authentication method to IKEv1 proposal for now

Handle first exchange in IKEv1 main mode as responder

Added limiting encoding of IKEv1 SA payloads

Added SA payload IKEv1 encoding types to generator

Don't set IKEv2 only header flags when using IKEv1

Set default IKE header initiator flag in IKEv2 only

Added an IKEv1 main mode task stub

Added a stub for a IKEv1 task manager

Use task manager as generic interface, renamed implementation to _v2.

Fix unaligned aliasing warning in raw socket

Use enum to define IKE version on peer_cfg_t.

Replaced all those magic numbers.

Fix init message arrival check.

Compile error fixed.

Message parsing slightly refactored, allows parsing of unencrypted IKEv1 messages.

Allow creation of message_t objects for IKEv1 packets.

Certificate request payloads can be sent in pretty much any IKEv1 message.

Implemented limited payload parsing for IKEv1 SA payloads

Added additional IKEv1 payload and encoding identifiers

Extend sa_payload for IKEv1 support

Message rules for IKEv1 INFORMATIONAL exchange added.

Since INFORMATIONAL "exchanges" are actually unidirectionally sent
message we don't have any responder rules.

Message rules for IKEv1 AGGRESSIVE exchange added.

These are basically the same as for ID_PROT but no payloads are expected
to be encrypted (at least if using PSK or signatures for authentication).

Message rules for IKEv1 ID_PROT exchange added.

These rules are quite broad and cover main mode with at least PSK and
signature based authentication.

Typo fixed.

Use vendor id payload for IKEv1 payloads, too

Added IKEv1 payload identifiers to "known" payload list

Handle IKEv1 messages in managers checkout_by_message

Added IKEv1 payload identifiers

Accept and process IKEv1 messages in receiver

Extended IKE header for IKEv1 support

Added configure option for the IKEv1 implementation in charon.

gcrypt does not support MD2

added dummy libsimaka_init() function needed for integrity testing

version bump to 4.6.1

added dummy libtls_init() function needed for integrity testing

Fixed monolithic build of libcharon with libtnccs enabled.

Correctly refer to tnc-tnccs plugin when building monolithically.

Calculate checksums for libsimaka and libtls.

These are currently not checked though. And because they don't define a
<libname>_init function an warning is reported when the checksum is
calculated.

Defer calculation of checksums until installation.

The checksum is now calculated from the installed libraries and plugins.
This allows to calculate checksums for plugins linking to libraries like
libtls as these are relinked during installation.

Fixed formatting for longer plugin names in checksum_builder output.

Don't link libtnccs to checksum_builder.

Linking is only required for libraries defining global symbols used by
plugins to which the plugins do not link themselves.

Revert "fixed integrity tests of plugins using libtls or libtnccs"

This reverts commit b597ac4a4cbcd9197b886d743c75d58293264580 (not
completely).

Revert "fixed integrity tests of plugins using libsimaka"

This reverts commit 8c42f16deeeffa1ae305b18306b0796f49c9922c.

Conflicts:

src/charon/Makefile.am

maemo: New upstream release.

assign get_features method

moved random plugin in front of openssl in order to prefer gmp

Allow support for CA-certificate retrieval in scepclient

I think somehow this functionality got lost in the way from
strongswan-2.7.0...

Fix 'ipsec pool --status' for empty pools.

Syntax error in sqlite.sql fixed.

Some Android NEWS added.

Don't build pluto and starter by default on Android.

if available link libsimaka to checksum_builder

use the correct USE_SIMAKA conditional

added integrity test to rw-eap-sim-rsa and rw-eap-aka-rsa scenarios

fixed integrity tests of plugins using libsimaka

Change order of ocsp uris when parsing a cert

Handle certificates being on hold in a CRL

Certificates which are set on hold in a CRL might be removed from any
subsequent CRL. Hence you cannot conclude that a certificate is revoked
for good in this case, you would try to retrieve an update CRL to see if
the certificate on hold is still on it or not.

Memwipe request after sa update, too

Use chunk_clear to memwipe shared secret

Change order of destroy/get_ref function calls

Since DESTROY_IF might destroy the peer_cfg, a get_ref on a freed object
is subject to fail.

Fix resource leak in x509_ocsp_response

Extend xfrm_attr_type_names by newly added enum values

Silently install route again, even if it did not change.

Address/interface changes can cause the route to disappear. Afterwards
the route might look the same but that does not mean it is still installed.

Compile warning fixed in kernel interfaces.

Common spelling errors fixed.

NEWS about pkcs11 plugin added.

pkcs11: Documented use_pubkey option in strongswan.conf(5).

pkcs11: Make public key operations on tokens optional.

pkcs11: Make sure a key can be used for a given signature scheme.

pkcs11: Register ECDSA feature.

pkcs11: We have to create our own hashes for some signature schemes.

pkcs11: Lookup the public key of a private key by CKA_ID.

Currently this only works if a public key object with the same ID is
available, if there isn't one we could search for a certificate with the
same ID and extract the key from there.

pkcs11: Search for private keys in a more generic way.

Also, don't extract the public key directly from the private key. Some
tokens actually do not return the public exponent (it's not required).
We have to find a different way to get the public key.

pkcs11: Added support to encode ECDSA public keys.

pkcs11: Parse ECDSA public keys and find/create them on tokens.

pkcs11: Added generic functions to find/create public keys on tokens.

pkcs11: Store public key length in bits.