automake: replace INCLUDES by AM_CPPFLAGS

INCLUDES are now deprecated and throw warnings when using automake 1.13.
We now also differentiate AM_CPPFLAGS and AM_CFLAGS, where includes and
defines are passed to AM_CPPFLAGS only.

autoconf: rename configure.in to configure.ac

configure.ac has been the recommended name for autoconf input for several
years now. Newer autotools start to complain about the configure.in, so we
finally change it.

eap-sim-pcsc: fix compiler warning

nm: omit deprecated g_type_init() when using >= GLIB 2.36

soup: omit deprecated g_type_init() when using >= GLIB 2.36

libfast: cancel thread if it fails to accept fcgi sessions

libfast: add a fast_ prefix to all classes, avoiding namespace clashes

Merge branch 'charon-xpc'

Implement a charon daemon controlled by the Apple specific XPC mechanism,
acting as a backend for a yet to build unprivileged GUI. The keychain plugin
coming with this merge provides certificates from the OS X keychain service.

xpc: allow easy copy & pase of ./configure instructions

xpc: use -idirafter to build against openssl headers from /usr/include

xpc: forward some risen alerts over XPC to App

xpc: enable close_ike_on_child_failure

xpc: send a "connecting" event when establishing a connection starts

xpc: use osx-attr plugin to install configuration attributes

xpc: update README with new events, markdown style fixes

xpc: send child_updown events over XPC channel

xpc: support termination of IKE_SAs using XPC RPC on connection channel

xpc: move XPC RPC reply creation to command dispatching

xpc: terminate daemon when last XPC connection to App gone

xpc: fix some refcounting issues related to XPC connections

xpc: no need to clear channel table, they are bound to IKE_SA lifetime

xpc: add support for logging over XPC channels

xpc: don't warn about pointer signedness mismatch (-Wno-pointer-sign)

xpc: add a description of the basic XPC protocol to README

xpc: use the same XPC message "type" mechanism on Mach service as on channels

xpc: ask App for passwords using connection specific channel

xpc: use IKE_SA specific XPC return channels for further communication

xpc: don't send certificate requests, there are too many when using keychain

xpc: build with support for the keychain plugin

xpc: add support for initiate simple IKEv2 EAP connections

xpc: move dispatching to dedicated class, using dedicated thread

xpc: use non-inlining variant of vstr, compiler does not like it

xpc: add Xcode project for a charon controlled through XPC

syslog: setlogmask() to include LOG_INFO

LOG_INFO seems to be excluded by default on some systems (OS X).

keychain: flush certificate cache after reloading System keychain

keychain: monitor changes in the system keychain, reload when necessary

keychain: use SearchCopyNext keychain enumeration for System certs as well

SecItemCopyMatching seems to be problematic regarding memory management. And
as there does not seem to be a good alternative to enumerate the System Roots
keychain using the SecItemCopyMatching API, we stick to the deprecated
enumeration functions for now.

keychain: load certificates from System Roots Keychain

keychain: load certificates only once during startup, improving performance

keychain: support on-the-fly enumeration of trusted/untrusted certificates

keychain: add a stub for a credential plugin using OS X Keychain Services

credmgr: stop querying for secrets once we get a perfect match

credmgr: don't use pointers for id_match_t enum values

openssl: parse X.509 extended key usage from extension parsing loop

Otherwise parsing gets aborted if unknown critical extensions are handled as
error.

openssl: show which critical X.509 extension is not supported

hashtable: add common hashtable hash/equals functions for pointer/string keys

thread: implicitly create thread_t if an external thread calls thread_current()

ike: Fix reestablishing SAs if no child-creating tasks are queued

ike-sa: uninstall CHILD_SAs before removing virtual IPs

a3854d83 changed cleanup order. But we should remove CHILD_SAs first, as routes
for CHILD_SAs might get deleted while removing virtual IPs, resulting in
an error when a CHILD_SA tries to uninstall its route.

unity: Replicate default behavior if no UNITY_SPLIT_INCLUDE attributes were received

unity: Allow UNITY_LOCAL_LAN to be longer than 8 bytes

unity: Fix memory leak in provider

ipsec.conf.5: closeaction is now supported for IKEv1

ikev1: Reestablish IKE_SA/CHILD_SAs if it gets deleted by the peer

We call ike_sa_t.reestablish() so the IKE_SA is only recreated if any
CHILD_SA requires it.

ike: Migrate queued CHILD_SA-creating tasks when reestablishing an IKE_SA

ikev1: Support closeaction of CHILD_SA.

When a CHILD_SA is closed in IKEv1, if it is not being rekeyed and
closeaction has been set, we can now perform a restart or hold as is
currently done for IKEv2.

Merge branch 'kernel-pfroute-mobility'

This improves the behavior of the kernel-pfroute plugin (and sometimes
the kernel-pfkey plugin) in case of mobility, mostly when used as as
client but also as gateway, if clients are mobile.

kernel-pfroute: Ignore IP address changes if address is %any

kernel-pfroute: Properly enumerate sockaddrs in interface messages

The ifa_msghdr and rt_msghdr structs are not compatible (at least not on
FreeBSD).

kernel-pfroute: Provide name of interfaces on which virtual IPs are installed

kernel-pfroute: Ignore virtual IPs in address map

As the virtual flag is set after the address has been added to the map,
we make sure we ignore virtual IPs when doing lookups.

kernel-pfroute: Make sure source addresses are not virtual and usable

It seems we sometimes get the virtual IP as source (with
rightsubnet=0.0.0.0/0) even if the exclude route is already
installed.  Might be a timing issue because shortly afterwards the
lookup seems to succeed.

kernel-pfroute: Don't report an error when trying to reinstall a route

kernel-pfkey: Provide interface name when installing exclude route

kernel-pfroute: Reinstall routes on interface/address changes

kernel-pfroute: Trigger a roam event if a new interface appears

kernel-pfroute: Use ref_get() to allocate sequence numbers

kernel-pfroute: Make time that is waited for VIPs to appear configurable

One second might be too short for IPs to appear/disappear, especially on
virtualized hosts.

kernel-pfroute: Retry route lookup without source address on failure

The known source address might be gone resulting in an error, making
learning a new source address impossible.

kernel-pfkey: Remove latest IPsec SA mapping when deleting a policy

If IPsec SAs are rekeyed due to an address change (e.g. because
update_sa is not supported) the exact same policy with the same reqid
will be installed, but with different addresses.  After the rekeying the
old SA and its policies are removed, using the first matching mapping
breaks the mapping between the policies and the new SA (at least on
FreeBSD, the Linux kernel might only use the reqid for this).  Using the
oldest matching SA is still an approximation but it solves the above
issue.

kernel-pfkey: Correctly handle IPSEC_PROTO_ANY in an acquire

linked-list: Remove barely used has_more() method

This required some refactoring when handling encrypted payloads.

Also changed log messages so that "encrypted payload" is logged instead
of "encryption payload" (even if we internally still call it that) as
that's the name used in RFC 5996.

linked-list: Don't require an argument for the item when enumerating

linked-list: Remove unused clone_function() method

linked-list: Remove barely used find_last() method

linked-list: Remove unused replace() method

Its functionality can be replicated by calling insert_before() followed
by remove_at().  Not the other way around, though, because remove_at()
changes the enumerator position.

Merge branch 'array'

Introduces a new lightweight array collection having minimal memory overhead.
The new class replaces various linked lists that are used during the full
lifetime of an SA, reducing memory requirements by about 5KB or more per tunnel.

child-sa: refactor proxy transport mode address lookup

child-sa: replace traffic selector lists by arrays

Saves up to another 0.5KB of memory per CHILD_SA.

child-sa: replace get_traffic_selectors() with create_ts_enumerator()

Not directly returning a linked list allows us to change the internals of
the CHILD_SA transparently.

ikev2: replace linked lists by arrays in task manager

Eliminates another three lists, 0.5KB per IKE_SA.

auth-cfg: use array instead of linked list

Saves another 4 linked lists (1KB) per IKE_SA

proposal: use array to store proposal list

Removes another two linked lists (0.5KB) of memory per IKE/CHILD_SA pair.

proposal: use a single list to store all transforms

Beside that it makes the code actually simpler, it reduces the number of lists
stored by each IKE_SA and each CHILD_SA by 4, which can be up to 1KB per SA.

ike-sa: use arrays instead of linked lists in long lived collections

This saves about 1.5KB of memory per IKE_SA.

unit-tests: implement tests for array collection

array: introduce an array collection storing elements very efficiently

Currently we use the very versatile linked-list collection to store elements
with variable count. This is fine, but very inefficient: Due to the many
methods in the linked list, on 64-bit platforms an empty list alone is more
than 200 bytes. As we currently have about 50 lists per IKE_SA/CHILD_SA pair,
this takes up to 10KB just for managing the empty lists. This is about the
half of memory used by an IKE_SA/CHILD_SA pair, and obviously way too much.

The new array type is not an object, but a collection of functions on an
abstract type.

The following lists are per IKE_SA and should be considered for a replacement
with more efficient arrays (this uses load-testers on-demand created dynamic
configurations, other scenarios have different lists):

14 -> ike_sa_create() @ src/libcharon/sa/ike_sa.c:2198
10 -> auth_cfg_create() @ src/libstrongswan/credentials/auth_cfg.c:1088
 6 -> task_manager_v2_create() @ src/libcharon/sa/ikev2/task_manager_v2.c:1505
 6 -> proposal_create() @ src/libcharon/config/proposal.c:592
 5 -> peer_cfg_create() @ src/libcharon/config/peer_cfg.c:657
 4 -> child_sa_create() @ src/libcharon/sa/child_sa.c:1090
 2 -> child_cfg_create() @ src/libcharon/config/child_cfg.c:536
 1 -> ike_cfg_create() @ src/libcharon/config/ike_cfg.c:330
 1 -> put_connected_peers() @ src/libcharon/sa/ike_sa_manager.c:854

kernel-libipsec: Log error if no local address is found when installing routes

dumm: Sort templates by name

testing: Don't load certificates explicitly and delete CA certificates in PKCS#12 scenarios

Certificates are now properly extracted from PKCS#12 files.

stroke: Add certificates extracted from PKCS#12 files to correct credential set

Only keys and shared secrets are moved from the temporary credential set after
loading all secrets.

pkcs12: Add plugin dependencies with soft dependencies on the most common algorithms

leak-detective: remove hdr entry when reallocating zero bytes

leak-detective: print total of allocated/leaked bytes in usage/report

dumm: add include for in.h, if_bridge.h now uses struct in6_addr

Recognize critical IssuingDistributionPoint CRL extension

Override policy recommendation in enforcement

openssl plugin can replace random, hmac, and gcm plugins

Added openssl-ikev2/net2net-pkcs12 scenario

Added ikev2/net2net-pkcs12 scenario