pki: Avoid integer overflow when calculating certificate lifetimes.

This only works properly if sizeof(time_t) > 4.

Properly ASN.1 encode dates in certificates depending on the year.

pluto: Fixed expiration date test.

Fix deadlock in trap_manager_t during acquire.

Also fixes a TOCTOU issue regarding the use of entry_t.pending.

The deadlock was caused because the rwlock was being locked while
waiting for an IKE_SA. Triggering the deadlock was a bit tricky, here
is the description by Thomas Egerer (the reporter of this issue):

"
The deadlock occurs when the following happens (in the given order):

a) an IKE_SA is built and a thread is processing the IKE_AUTH request,
   which can take a bit longer when a smartcard is involved. This
   causes the ike_sa_manager to lock a particular IKE_SA exclusively.
b) an acquire is triggered which causes the rwlock in the trap_manager
   to be read-locked, the subsequent call to
   ike_sa_manager->checkout_by_config has to wait until a) unlocks
   it's ike_sa.
c) a child_cfg contained in the peer_cfg belonging to the ike_sa
   a) has locked is routed causes the child_configs contained
   in the peer config to be locked by c) while the actual routing
   code within trap_manager tries to writelock it's rwlock.

That's about it. As soon as a) finishes authentication of the peer
and tries to find a matching child sa it will try to lock the child
configs of the peer config which is not possible since it has been
locked by c).

Thread | Resource locked                | Resource desired
-------+--------------------------------+--------------------------------
  (a)  | ike_sa in ike_sa_manager       | child_cfgs of peer_cfg
       |                                |
  (b)  | rwlock in trap-manager (read)  | ike_sa in ike_sa_manager
       |                                |
  (c)  | child_cfgs of peer_cfg         | rwlock in trap-manager (write)
"

With this patch thread (b) now does not hold the lock while waiting for
the IKE_SA. Thus (c) can get the write lock, and (a) can subsequently
lock the mutex in the peer_cfg which then finally allows (b) to checkout
the IKE_SA.

Added atomic compare and swap operations.

Using a GCC atomic builtin if available or a global mutex otherwise.

Fixed flush() method of trap_manager_t.

A segmentation fault could have happened during destruction of the trap
manager after calling flush().

made ikev2/reauth-late scenario more robust

additional state waiting for the EvidenceFinal attribute response

moved send_message() in front of recommendation evaluation

added case IMV_ATTESTATION_STATE_END

TrouSerS expects a bitmask field length of at least 3 bytes

check for TrouSerS

added Attestation IMC/IMV to UML build

build PA-TNC message only if there are PA-TNC attributes to send

destroy attributes, too

added reference counts to all PA-TNC attribute classes

reworded comments and debug output

Prepend Debian string to Debian version

removed unused variable

moved management of additional IMC/IMV IDs to agent

Also log PGP parsing in ASN log group.

Log messages for PKCS1 and PEM parsing in ASN log group.

Log most X.509 related messages in new ASN log group.

Log ASN.1 parsing in new ASN debug group.

Added ASN debug group to log low-level encoding/decoding (ASN.1, X.509).

This will allow us to remove quite some clutter from the LIB debug group
for higher debug levels.

Log native thread ID when a thread is created.

If possible gettid() is used, otherwise pthread_self() is logged (which is
not completely portable, but seems to work on most supported platforms).

Log worker thread ID with two digits.

fixed caption alignment

Revert "fixed caption alignment"

This reverts commit d463def798ed339b143ee9500c2781532394171e.

fixed caption alignment

Make sure the certificate cache is flushed when plugins are unloaded.

This avoids segmentation faults when plugins implementing cert_t are
already unloaded when the cache is flushed during destruction.

Charon also supports type=passthrough|drop.

Always unlock mutex for installed policies in kernel-netlink plugin.

Documented xauth_identity in ipsec.conf(5) man page.

Documented binary secrets in ipsec.secrets(5) man page.

Added missing libsimaka files to Android.mk.

Destroy mediation managers before unloading plugins.

added UML support for IF-MAP interface

some NEWS entries for 4.6.2

version bump to 4.6.2dr2

added libimcv.plugins.imc-attestation.aik_blob parameter

upgraded Test IMC/IMV pair to fully support multple IMC IDs

added IETF standard error handling method

implemented IMC/IMV ReceiveMessageLong functions

added IMC/IMV support for send_message_long() and reserve_additional_id() functions

store the long and excl flags in the connection state

IMC/IMV gets v1.3 attributes from TNCC/TNCS

implemented ReportMessageTypesLong

implemented IF-IMC/IMV 1.3 attributes

added TNC_TNCC_GetAttribute() and TNC_TNCC_SetAttribute() functions

added TNC_IMC_ReceiveMessageLong() and TNC_IMV_ReceiveMessageLong() support

fixed typo in function name

added TNC_TNCS_ReserveAdditionalIMVID() function

return with TNC_RESULT_SUCCESS

added TNC_TNCC_ReserveAdditionalIMCID() function

Be less verbose if plugin dependecy not satisfied

Create a dummy pthread key for value "0", as some buggy PKCS#11 libraries mangle it

added TNC_TNCC_SendMessageLong() and TNC_TNCS_SendMessageLong() functions

fixed typo in tncif.h

corrected function name in error message

defined SUBTYPE_ANY for all known Vendor IDs

added TNC_TNCC_ReportMessageTypesLong() and TNC_TNCS_ReportMessageTypesLong() messages

fixed copy-and-paste error

upgraded IF-IMC/IMV inteface definitions to version 1.3

differences incurred by rebasing - thanks Linus

improved performance of database access by caching primary keys

increased number of PCR registers used by IMA

fixed measurement rollback

automatically registering component measurements

bound functional component measurements to AIK

implemented Linux IMA functional component

defined various measurement hash and pcr functions

updated attest_usage text

moved attestation plugins to libpts in order to resolve circular reference with libimcv

add and delete components

mark PCR registers as file type 2 in database

moved measurement and metadata flags to product_file table

update attest_usage to include add and del operations

generate integrity checksums for libimcv libpts and attest

attest can query components

automatically construct attest plugin list

slightly refactored ita_comp_tboot

added pcr00 to prc23 registers to database

component measurement entries into the database for Ubuntu 11.10 platform

cosmetics in debug output

Check enough data available to read

handling of missing component measurement

Added enum names for measurement algorithms

Set pcr transform field depending on measuring algorithm

sub-component depth from pts database on component evidence request
component hashes are entries in file_hashes table
implemented verify function of tboot component

Fixed memory corruption on tpm version info

Fixed warning, freeing tpm context memory in extend_pcr function

fixed some more memory leaks

fixed memory leaks

refactored simple_evid_final attribute

renamed pts_req_func_comp_evid flags

fixed memory leak in  tcg_pts_attr_simple_comp_evid.c

refactored PCR functionality

fixed double free

fixed two memory leaks