pki: Add generic 'priv' key type that loads any type of private key

openssl: Add a generic private key loader

pkcs1: Support building of KEY_ANY private keys

We try to detect the type of key by parsing the basic structure of the
passed ASN.1 blob.

pki: Drop -priv suffix to specify private key types

ikev2: Only add NAT-D notifies to DPDs as initiator

If a responder is natted it will usually be a static NAT (unless it's a
mediated connection) in which case adding these notifies makes not much
sense (if the initiator's NAT mapping had changed the responder wouldn't
be able to reach it anyway).  It's also problematic as some clients refuse
to respond to DPDs if they contain such notifies.

Fixes #2126.

pkcs11: Look for the CKA_ID of the cert if it doesn't match the subjectKeyId

charon-nm fails to find the private key when its CKA_ID doesn't match the
subjectKeyIdentifier of the X.509 certificate.  In such cases, the private
key builder now falls back to enumerating all the certificates, looking for
one that matches the supplied subjectKeyIdentifier.  It then uses the CKA_ID
of that certificate to find the corresponding private key.

It effectively means that PKCS#11 tokens where the only identifier to relate
the certificate, the public key, and the private key is the CKA_ID are now
supported by charon-nm.

Fixes #490.

nm: Make global CA directory configurable

Merge branch 'ikev1-rekey-deletion'

Sends a DELETE when rekeyed IKE_SAs are deleted. This fixes issues with
peers (e.g. Cisco) that continue to send DPDs on the old SA and then
delete all SAs if no response is received.  But since the DELETE could get
dropped this might not fix the issue in all cases.

Also, when terminating an IKE_SA DELETES for all CHILD_SAs are now sent
before sending one for the IKE_SA and destroying it.

Fixes #2090.

ikev1: Activate task to delete the IKE_SA in state IKE_REKEYING

It does not have any CHILD_SAs attached at that point.

ikev1: Delete Quick Mode SAs before the ISAKMP SA

After the ISAKMP_DELETE task has been executed the IKE_SA is destroyed
so we wouldn't be able to send deletes for the Quick Mode SAs.

ikev1: Send DELETE for rekeyed IKE_SAs

If we silently delete the IKE_SA the other peer might still use it even
if only to send DPDs.  If we don't answer to DPDs that might result in the
deletion of the new IKE_SA too.

starter: Install an empty ipsec.secrets file

starter: Don't generate a key/certificate if ipsec.secrets does not exist

watcher: Avoid allocations due to enumerators

Since the FD set could get rebuilt quite often this change avoids having
to allocate memory just to enumerate the registered FDs.

Merge branch 'enable-fragmentation'

This enables IKE fragmentation by default. And also increases the
default fragment size to 1280 bytes (the default for IPv6).

vici: Enable IKE fragmentation by default

starter: Enable IKE fragmentation by default

ike: Set default IKE fragment size to 1280

This is the minimum size an IPv6 implementation must support.  This makes
it the default for IPv4 too, which presumably is also generally routable
(otherwise, setting this to 0 falls back to the minimum of 576 for IPv4).

Merge commit 'derived-keys'

Adds new listener hooks that work similar to the existing ike|child_keys
hooks but receive the derived IKE and CHILD_SA keys.

ikev2: Send derived CHILD_SA keys to the bus

ikev2: Send derived IKE_SA keys to bus

ikev1: Send derived CHILD_SA keys to the bus

ikev1: Send derived IKE_SA keys to bus

bus: Add new hooks for derived IKE_SA and CHILD_SA keys

nm: Remove dummy TUN device

Recent NM releases don't insist on getting a device back from VPN
plugins.

nm: Fix comment in service file in /etc/NetworkManager/VPN

nm: Remove generated service file in `make clean`

nm: Don't add generated AppStream metadata to tarball

bus: Fix maximum log levels when mixing log/vlog implementing loggers

The maximum would not get set correctly when a logger is removed and the
first remaining logger in the list (the one with the highest log level) does
e.g. only implement vlog() while there are other loggers that implement log().
This would result in only max_vlevel getting set correctly while max_level
would incorrectly get set to -1 so that log() would not get called for any
of the loggers anymore.

References #574.

kernel-netlink: Pass zero mark to kernel if mask is set

The kernel will apply the mask to the mark on the packet and then
compare it to the configured mark.  So to match only unmarked packets we
have to be able to set 0/0xffffffff.

kernel-netlink: Support configuring XFRM policy hashing thresholds

If the number of flows over a gateway exceeds the flow cache size of the Linux
kernel, policy lookup gets very expensive. Policies covering more than a single
address don't get hash-indexed by default, which results in wasting most of
the cycles in xfrm_policy_lookup_bytype() and its xfrm_policy_match() use.
Starting with several hundred policies the overhead gets inacceptable.

Starting with Linux 3.18, Linux can hash the first n-bit of a policy subnet
to perform indexed lookup. With correctly chosen netbits, this can completely
eliminate the performance impact of policy lookups, freeing the resources
for ESP crypto.

WARNING: Due to a bug in kernels 3.19 through 4.7, the kernel crashes with a
NULL pointer dereference if a socket policy is installed while hash thresholds
are changed.  And because the hashtable rebuild triggered by the threshold
change that causes this is scheduled it might also happen if the socket
policies are seemingly installed after setting the thresholds.
The fix for this bug - 6916fb3b10b3 ("xfrm: Ignore socket policies when
rebuilding hash tables") - is included since 4.8 (and might get backported).
As a workaround `charon.plugins.kernel-netlink.port_bypass` may be enabled
to replace the socket policies that allow IKE traffic with port specific
bypass policies.

include: Update xfrm.h to Linux v4.3

We strip the newly introduced <linux/in6.h> include, as this clashes with the
<netinet/in6.h> include.

Merge branch 'fwd-out-policies-optional'

This makes the FWD policies in the out direction  optional (disabled by
default).  They may be enabled (e.g. if conflicting drop policies are
used) via the policies_fwd_out swanctl.conf option.

child-sa: Only install outbound FWD policies if explicitly configured

They are only required if drop policies would otherwise prevent
forwarding traffic.  This reduces the number of policies and avoids
conflicts e.g. with SPD hash thresholds.

testing: Enable outbound FWD policies in swanctl/manual-prio scenario

vici: Make installation of outbound FWD policies configurable

child-cfg: Add setting that controls whether outbound FWD policies are installed

kernel-netlink: Update cached reqid when updating policies

testing: Added swanctl/net2net-multicast scenario

testing: Added ikev2/net2net-multicast scenario

travis: Use a more recent OS X image

Using the xcode8 image does not work currently (libcurl is not found).

Version bump to 5.5.1dr5

testing: Added swanctl/net2net-sha3-rsa-cert and swanctl/rw-eap-tls-sha3-rsa scenarios

gmp: Support of SHA-3 RSA signatures

bliss sampler unit-test: Fixed enumeration type

bliss: bliss_sampler expects XOF type

unit-tests: MGF1 tests depend on an XOF implementation not just a hash function

If the mgf1 plugin was not enabled (e.g. with the default configure
options) the tests failed.

Version bump to 5.5.1dr4

mgf1: Refactored MGF1 as an XOF

leak-detective: Fix compile warning due to unused variable if LD is disabled

Merge branch 'testing-leak-detective'

Test scenarios now fail if any leaks are detected by the leak detective.
Several leaks found this way have been fixed.

leak-detective: Whitelist thread ID getter

In case an external thread calls into our code and logs messages, a thread
object is allocated that will never be released.  Even if we try to clean
up the object via thread value destructor there is no guarantee that the
thread actually terminates before we check for leaks, which seems to be the
case for the Ada Tasking threads.

charon-tkm: Build C code with debug information

leak-detective: Whitelist functions of the Ada runtime related to Tasking

charon-tkm: Free name of the PID file

charon-tkm: Deinitialize tkm before libstrongswan

In particular because of leak-detective.

leak-detective: Whitelist some glib/libsoup functions

Some of these are pretty broad, so maybe an alternative option is to
not use the soup plugin in the openssl-ikev2/rw-suite-b* scenarios.  But
the plugin is not tested anywhere else so lets go with this for now.

testing: Use curl instead of soup plugin in libipsec/rw-suite-b scenario

The soup plugin is already used in the openssl-ikev2/rw-suite-b*
scenarios.

eap-peap: Fix memory leaks when handling tunneled methods

ipseckey: Properly free enumerated certificates

ipseckey: Properly free public key after creating certificate

dnscert: Properly free enumerated certificates

unbound: Avoid unnecessary cloning of RR list that caused a memory leak

unbound: Fix memory leak

pool: Fix (known) memory leak when querying leases

leak-detective: Whitelist leak in libldap

testing: Fix totals if post test checks fail

testing: Log leaks and fail tests if any are detected

leak-detective: Optionally write report to a log file

vici: Fix indention of flush_certs() method in Python bindings

travis: Run 32-bit Windows build on precise (12.04) image

That's required due to a bug in MinGW 3.1.0 that's shipped with trusty.

travis: Properly pass back result of make

Fixes: 4e8f5a189cce ("travis: Add apidoc check")

travis: Don't disable connmark and forecast plugins anymore

They build fine on Ubuntu 14.04.

Merge branch 'maemo-bye-bye'

Removes the code and helper files related to the unused and unmaintained
Maemo port.

packages: Remove obsolete Maemo packaging files

maemo: Remove unused plugin

maemo: Remove obsolete status/settings applet

swanctl: Add man page entry for flush-certs command

Version bump to 5.5.1dr3

Merge branch 'flush-certs'

vici:  flush-certs command flushes certificate cache

When fresh CRLs are released with a high update frequency (e.g.
every 24 hours) or OCSP is used then the certificate cache gets
quickly filled with stale CRLs or OCSP responses. The new VICI
flush-certs command allows to flush e.g. cached CRLs or OCSP
responses only. Without the type argument all kind of certificates
(e.g. also received end entity and intermediate CA certificates)
are purged.

auth-cfg-wrapper: Fix memory leak with hash-and-URL certificates

We wrap the auth-cfg object and its contents, so there is no need to get
an additional reference for the enumerated certificate.

Fixes a44bb9345f04 ("merged multi-auth branch back into trunk")

testing: Add output of iptables-save

This might be helpful to get the complete picture of the installed
rules.  `-c` is currently not used as the counters that are added in
front of every rule make the output quite hard to read and the counters
are already provided in the accompanying `iptables -v -L` output.

Fixes #2111.

testing: List `nat` and `mangle` tables in addition to the `filter` table

This is useful in scenarios that e.g. use NAT and/or marks.

References #2111.

testing: Ignore comments (lines starting with #) in pre-/eval-/posttest.dat

ikev2: (Re-)Queue tasks used to establish an IKE_SA in reset()

Some tasks might get removed immediately once the IKE_SA_INIT response has
been handled even if there were notifies that require a restart of the
IKE_SA (e.g. COOKIE or INVALID_KE_PAYLOAD).  Such a task is ike_vendor,
which caused vendor IDs not to get sent in a retry.  This change ensures
all required tasks are queued after the reset, which some callers did
already anyway.

ikev2: Store proposal on IKE_SA before creating DH object

This might be useful for custom implementations of keymat_t.

travis: Add apidoc check

This requires at least Ubuntu 14.04 (the Doxygen version in 12.04 has some
issues with our Doxyfile and prints lots of warnings).

travis: Use Trusty beta image

nm: Updated NEWS

Merge branch 'nm-1.2'

Provides fixes and changes for compatibility with current NM releases.

Closes strongswan/strongswan#15.
Fixes #797.

nm: Pass external gateway to NM

This seems to be required by newer versions.

nm: Update auth-dialog

This updates the auth dialog so that passwords are properly retrieved
(e.g. for the nm-applet).  It also adds support for external UI mode and
properly handles secret flags.

nm: Enforce min. length for PSKs in backend

nm: Add minimum length constraint for PSK passwords in connection editor

We already have this restriction in the auth-dialog.

nm: Bump minor version to 1.4.0

This is probably a good idea to do to signal there's significant changes in
dependencies to the distro package maintainers with libnm port and associated
changes.

nm: Bump to GTK+ 3.0

It's been released years ago; we depend on newer stuff than that now.

nm: Replace libgnomeui with libnma for password dialog

libgnomeui is long deprecated.

There's one functional difference: the choice to save the passwords is gone.
The password flags and saved password should be set in the preferences dialog,
but this commit does not fix that.

nm: Grey out the unneeded authentication options

Hiding and showing the items is not ideal, since it leaves the spacing
in place and the layout gets really messy.

nm: Add a widget for setting a password

It was only possible to set the password from the authentication dialog,
which is not ideal; as it requires a connection attempt.

This adds an input entry along with a primary icon from libnma/libnm-gtk
which allows selecting the backend and flags for the password (system, session
agent, always ask or empty).