eap-radius: fix add_attribute/framed_ip method signatures

Added libipsec/rw-suite-b scenario

Fixed index.txt for strongSwan EC CA

Don't backup old package lists

Reuse reqid when restarting CHILD_SAs for dpd|closeaction=restart

Reuse reqid for trap policies installed for dpd|closeaction=hold

Added libipsec/net2net-cert scenario

Add type=transport to tkm/host2host-* connections

Explicitly specify transport mode in connection configuration of the
responding host (sun).

5.1.0 changes for test cases

processor: Simplified the main loop

processor: Don't hold the lock while destroying jobs

If a lock is held when queue_job() is called and the same lock is
required during the destruction of a job, holding the internal lock
in the processor while calling destroy() could result in a deadlock.

dhcp: Use chunk_hash_static() to calculate ID-based MAC addresses

integrity-checker: Use chunk_hash_static() to calculate checksums

chunk: Add predictable hash function

Since chunk_hash() is randomized its output is not predictable, that is,
it is only within the same process.

stroke: Changed how proto/port are specified in left|rightsubnet

Using a colon as separator conflicts with IPv6 addresses.

plugin-loader: Removed unused path argument of load() method

Multiple additional search paths can be added with the add_path()
method.

tnc-pdp: Initialize TNC-PDP in plugin callback with proper dependencies

Attestation IMV requests platform info if not received

integrity-checker: Fix checksum calculation after randomizing chunk_hash()

unit-tests: Print loaded plugins

unit-tests: RSA key generation might take longer than 4 seconds

Check uses a default timeout of 4 seconds for each test case, generating
keys of 6 different key sizes might take longer than that.

tests: Properly load plugins from build directory

Calling load() incrementally does not really work as dependencies
wouldn't be resolved properly if a required feature was to be provided
by a plugin that is loaded later with a separate call to load().

plugin-loader: Method added to provide additional search paths for plugins

Support blacklist field in PTS database

Updated PTS demo database

Device can be member of multiple groups

Adding NEWS for 5.1.0

Merge branch 'check-caps'

Plugins may now ensure the process has all the required capabilities.
Some minor changes to UID/GID handling are also included.

capabilities: Return effective UID/GID if user did not configure anything

capabilities: Make the user and group charon(-nm) changes to configurable

capabilities: Report effective UID/GID after dropping capabilities

capabilities: CAP_CHOWN might be required by many plugins opening UNIX sockets

But as the sockets will be created with the user/group of the running
process this might not be required as no change may be needed.

capabilities: Handle CAP_CHOWN specially as it might not be required

capabilities: Check effective UID as fallback if capabilities are not supported

kernel-netlink: Make CAP_NET_ADMIN capability optional

It is not required to use the kernel-net part of the plugin.

farp: Require CAP_NET_RAW capability to open AF_PACKET socket

dhcp: Require CAP_NET_BIND_SERVICE and CAP_NET_RAW to open/bind sockets

socket-default: Require CAP_NET_BIND_SERVICE for ports < 1024

Since we don't know which ports are used with socket-dynamic we can't
demand the capability there, but it might still be required.

capabilities: Only plugins that require CAP_NET_ADMIN demand it

The daemon as such does not require this capability.

capabilities: Move global capabilities_t instance to libstrongswan

capabilities: Ensure required capabilities are actually held by the process/user

ikev2: keep the CHILD_SA we delete as initiator in the list to destroy

If the responder not correctly send the correct protocol or SPI in the delete
response, we should remove the CHILD_SA regardless.

Some IMV policy managers expect a TEXT string

Assign default group to newly created devices

Set device creation date if it hasn't been set yet

unit-tester: RSA test was removed

Aligned AR Identity types to IF-IMV 1.4 R5 draft

Send PA-TNC assessment result even if no workitems are available

Some pacman fixes

version bump to 5.1.0dr1

Some PTS database fixes

Implemented pacman in a more reliable way

Define protocol string

Generate result string for port scan workitems

Ignore non-matching protocols

Introduced workitems to Scanner IMV

Removed obsoleted strongswan.conf options

Added ITA components to database

Added soft dependency on database plugin

fixed SQL query

Shortened names of default policy groups

Store device with product ID

Database changes needed to integrate Cygnet backend

Implemented get|set_action_flag() methods

Implemented hierarchical policy groups

Introduced workitems to Attestation IMV

pts_meas_algo_probe() and pts_dh_group_probe() got lost

Converted all IMVs to use generic IF-IMV API

Remove the constructor from the IMV agent interface

Defined a generic IMV agent interface

Moved all functionality into imv_os_agent_t class turning imv_os_t into an IF-IMV skeleton

Moved batch_ending into separate source file

do not process workitems with NULL result

fixed enumeration of workitems for a given session

generate workitems based on group policy

Added file and directory reference measurements to workitems

add overall recommendation to session database entry

don't define a default database URI

created a simple IMV Policy Manager

register received scanner attributes

used tnc_policy_update functions for default policy

refactored IMV policy management

implemented policy rules for OS IMV

check for zero-length device ID

ITA-HSR/Device ID attribute & IMV OS state machine

execute an _imv_policy script

implemented IMV session control

Manage files and directories

Merge branch 'kernel-libipsec'

Adds a new kernel interface plugin that uses TUN devices and libipsec to
provide IPsec process in userland.

It works on Linux, FreeBSD and Mac OS X.  In particular the latter two
platforms may gain from this approach as their respective kernels don't
provide support for AES-GCM.

kernel-pfroute has been improved (source address lookup) and a second
plugin (osx-attr) installs configuration attributes (currently DNS
servers only) via SystemConfiguration on Mac OS X.

osx-attr: add plugin installing config attributes using SystemConfiguration

Currently installs DNS servers only, by prepending IP addresses to the
DNS configuration of the primary networking service.

kernel-pfroute: Simplify route lookup after fixing sockaddr parsing

kernel-pfroute: Alignment of sockaddrs is not always the same

kernel-pfroute: struct sockaddr arguments are 4 byte aligned

This was noticed on Mac OS X where, if the default route is returned,
RTA_NETMASK has sa_len set to 0, but skipping zero bytes to read the
next address makes no sense, of course.  Using 0 for sa_len seems
a bit strange, in particular, because struct sockaddr has by definition
a minimum length of 16 bytes.  But it seems FreeBSD actually does the
same.

kernel-libipsec: Ignore failures when installing routes for multicast or broadcast policies

kernel-pfroute: Improve route lookup depending on information we get back

Kernels don't provide the same information for all routes.

kernel-pfroute: Try to ensure we get a source address or interface name

ike: Force NAT-T/UDP encapsulation if kernel interface requires it

kernel-libipsec: Add a feature to request UDP encapsulation of ESP packets

tun-device: Packets sent over utun devices on Mac OS X have the protocol family prepended

kernel-pfroute: Use DST as nexthop for host routes

These are created as cache/clone on Mac OS X.