testing: Converted ipv6/transport-ikev1 to swanctl

testing: Converted ipv6/net2net-ikev2 to swanctl

testing: Converted ipv6/net2net-ikev1 to swanctl

testing: Converted ipv6/host2host-ikev2 to swanctl

testing: Converted ipv6/host2host-ikev1 to swanctl

testing: Removed libipsec/rw-suite-b

testing: Converted libipsec/net2net-null to swanctl

testing: Converted libipsec/net2net-cert-ipv6 to swanctl

testing: Converted libipsec/net2net-cert to swanctl

testing: Converted libipsec/net2net-3des to swanctl

testing: Converted libipsec/host2host-cert to swanctl

testing: Converted gcrypt-ikev2 to swanctl

testing: Converted gcrypt-ikev1 to systemd

testing: Converted af-alg to systemd

testing: Enable systemd

testing: Updated some descriptions

libtpmtss: Added missing argument in hasher_from_signature_scheme()

charon-tkm: Unlink PID file after deinit

Same change as for charon in the previous commit.

References #2460.

charon: Unlink PID file after daemon deinit (i.e. after unloading plugins etc.)

Make sure, though, that we only remove the file if we actually
created it (e.g. not for --help or --version).  And do so before
deinitializing libstrongswan due to leak detective.

Fixes #2460.

unit-tests: Rename targets for libstrongswan and kernel-netlink

libstrongswan and kernel-netlink are the only two components which do
not adhere to the naming scheme used for all other tests. If the tests
are run by an external application this imposes problems due to clashing
names.

Signed-off-by: Thomas Egerer <thomas.egerer@secunet.com>

Merge branch 'rsassa-pss'

This adds support for RSASSA-PSS signatures in IKEv2 digital signature
authentication (RFC 7427), certificates and CRLs etc., and when signing
credentials via pki tool.  For interoperability with older versions, the
default is to use classic PKCS#1 signatures.  To use PSS padding either enable
rsa_pss via strongswan.conf or explicitly use it either via ike:rsa/pss...
auth token or the --rsa-padding option of the pki tool.

References #2427.

auth-cfg: Add RSA/PSS schemes for pubkey and rsa if enabled in strongswan.conf

Also document the rsa/pss prefix.

pki: Enable PSS padding if enabled in strongswan.conf

pki: Optionally generate RSA/PSS signatures

pki: Indent usage lines properly automatically

Treat RSASSA-PSS keys like rsaEncryption RSA keys

In theory we should treat any parameters and the identifier itself as
restriction to only use the key to create signatures accordingly (e.g.
only use RSA with PSS padding or even use specific hash algorithms).
But that's currently tricky as we'd have to store and pass this information
along with our private keys (i.e. use PKCS#8 to store them and change the
builder calls to pass along the identifier and parameters). That would
require quite some work.

openssl: Add support for signature schemes with parameters

pki: Properly forward digest to attribute certificate builder

x509: Add support for signature schemes with parameters

Also adds support for specifying the hash algorithm for attribute
certificate signatures.

builder: Add builder option to pass signature scheme and params

ikev2: Use helpers to build signature auth data

signature-params: Add helpers to parse/build ASN.1 algorithmIdentifier for signature schemes

ikev2: Enumerate RSA/PSS schemes and use them if enabled

ikev2: Support signing with RSASSA-PSS via RFC 7427 signature auth

signature-params: Use helper to build MGF1 algorithmIdentifier

asn1: Add helper function to create algorithmIdentifier with parameters

ikev2: Verify RSASSA-PSS signatures via RFC 7427 signature auth

keymat_v2: Pass/receive signature schemes as signature_param_t objects

auth-cfg: Parse rsa/pss auth tokens

auth-cfg: Store signature schemes as signature_params_t objects

Due to circular references the hasher_from_signature_scheme() helper
does not take a signature_params_t object.

certificate: Return signature scheme and parameters from issued_by() method

This also required some include restructuring (avoid including library.h
in headers) to avoid unresolvable circular dependencies.

signature-params: Add helper struct for signature scheme and parameters

android: Add support for creating RSASSA-PSS signatures via JNI

unit-tests: Add RSA-PSS signature tests with specific salts

gcrypt: Add support for static salts when signing with RSA-PSS

gmp: Add support for static salts when signing with RSA-PSS

signature-params: Optionally pass a specific salt value when signing

unit-tests: Warn if we skip RSA tests due to dependencies

unit-tests: Add ability to issue a warning message for a test case

This way we can warn if we e.g. skipped actually doing something due to
dependencies (otherwise the test case would just appear to have succeeded).

mgf1: Add support for SHA-224/384 based MGF1

xof: Add identifiers for MGF1 XOFs based on SHA-224/384

gmp: Use helper to determine XOF type

xof: Add helper to determine MGF1 XOF type from hash algorithm

gcrypt: Add support for RSA-PSS signatures

For salt lengths other than 20 this requires 0bd8137e68c2 ("cipher:
Add option to specify salt length for PSS verification."), which was
included in libgcrypt 1.7.0 (for Ubuntu requires 17.04).  As that makes
it pretty much useless for us (SHA-1 is a MUST NOT), we require that version
to even provide the feature.

gcrypt: Register supported RSA signature/verification schemes

configure: Enable mgf1 plugin if gmp plugin is enabled

gmp: Add support for RSASSA-PSS signature verification

gmp: Add support for RSASSA-PSS signature creation

unit-tests: Add FIPS 186-4 RSASSA-PSS test vectors

Since not all implementations allow setting a specific salt value when
generating signatures (e.g. OpenSSL doesn't), we are often limited to
only using the test vectors with salt length of 0.

We also exclude test vectors with SHA-1, SHA-224 and SHA-384.

unit-tests: Create and verify some RSA PSS signatures

openssl: Add support for verifying RSASSA-PSS signatures

openssl: Add support for creating RSASSA-PSS signatures

openssl: Add helper to determine EVP_MD from hash_algorithm_t

unit-tests: Add FIPS 186-4 RSA test vectors

Excluding SHA-224 and the stuff from FIPS 186-2 (SHA-1, 1024 bit keys).

gcrypt: Determine missing RSA private key parameters

We only need n, e, and d.  The primes p and q and the coefficient
for the Chinese remainder algorithm can be determined from these.

gmp: Determine missing RSA private key parameters

We only need n, e, and d.  The parameters for the Chinese remainder
algorithm and even p and q can be determined from these.

openssl: Add functions to determine missing RSA private key parameters

We only need n, e, and d.  The parameters for the Chinese remainder
algorithm and even p and q can be determined from these.

signature-params: Add functions to parse/build ASN.1 RSASSA-PSS params

hasher: Add function to determine length of hashes

asn1: Add function to generate an ASN.1 integer from an uint64_t

asn1: Add OID for MGF1

signature-params: Add struct for RSASSA-PSS parameters

private-key: Add optional parameters argument to sign() method

public-key: Add optional parameters argument to verify() method

public-key: Add RSASSA-PSS signature scheme identifier

asn1: Add OID for RSASSA-PSS

ikev2: Don't use SHA-1 for RFC 7427 signature authentication

RFC 8247 demoted it to MUST NOT.

References #2427.

proposal: Remove MODP-1024 from default IKE proposal

RFC 8247 demoted it to SHOULD NOT. This might break connections with
Windows clients unless they are configured to use a stronger group or
matching weak proposals are configured explicitly on the server.

References #2427.

proposal: Remove MD5 from default IKE proposal

RFC 8247 demoted MD5 to MUST NOT.

References #2427.

proposal: Remove deprecated algorithms from default ESP and AH proposals

This removes algorithms that were deprecated by RFC 8221 (3DES, BF, MD5)
from the default proposals for ESP and AH.

References #8247.

configure: Fix check for libtpmtss to build it only when needed

Testing for x$tpm always yields true, hence libtpmtss is built even if it
is unneeded. Properly test against xtrue as we do in all other tests.

pool: Destroy enumerator before deleting existing pool

The MySQL client doesn't like overlapping queries on the same
connection, so we make sure to destroy the enumerator used to check for
an existing pool before deleting it when --replace is used.

kernel-pfkey: Support anti-replay windows > 2k

FreeBSD 11.1 supports a new extension to configure larger anti-replay
windows, now configured as number of packets.

Fixes #2461.

kernel-pfkey: Don't include keys in SADB_UPDATE message to update IPs on FreeBSD

The FreeBSD kernel explicitly rejects messages containing keys for mature SAs.

Fixes #2457.

Merge branch 'vici-counters'

Refactors the IKE event counters feature of the stroke plugin into a separate
plugin, which allows to publish the numbers also via vici/swanctl.

swanctl: Add --counters command

vici: Add 'get|reset-counters' commands

counters: Move IKE event counter collection from stroke to a separate plugin

systime-fix: Add timeout option to stop waiting for valid system time

A certificate check is forced once the timeout is reached even if the
system time appears to be invalid.

android: Add log message if failed to retrieve user certificate encoding

testing: Fix output matching of lease time in ipsec pool utility

shunt-mananger: Make outbound FWD shunt policies optional

ike: Do not send initial contact only for UNIQUE_NEVER

Signed-off-by: Thomas Egerer <thomas.egerer@secunet.com>

pkcs11: Call C_Finalize() to cancel jobs waiting in C_WaitForSlotEvent()

This is not ideal as the call to C_Finalize() should be the last one via
the PKCS#11 API.  Since the order in which jobs are canceled is undefined
we can't be sure there is no other thread still using the library (it could
even be the canceled job that still handles a previous slot event).
According to PKCS#11 the behavior of C_Finalize() is undefined while other
threads still make calls over the API.

However, canceling the thread, as done previously, could also be problematic
as PKCS#11 libraries could hold locks while in the C_WaitForSlotEvent() call,
which might not get released properly when the thread is just canceled,
and which then might cause later calls to other API functions to block.

Fixes #2437.

pool: Make pool timeout configurable in other units than hours

utils: Add helper function to parse time spans from strings

asn1: Add additional OIDs seen in certificate DNs

scripts: Add -d option to oid2der to decode DER encoded OIDs

man: Fix documentation of inbound mark behavior in ipsec.conf(5)

vici: Make setting mark on inbound SA configurable