added some more TLS debug output

fixed type in cipher suite list build

log selected TLS version and cipher suite

log TLS handshake messages in debug level 2

Fixed loading of secrets with IDs.

Since the ID string is manually terminated by a null character, write
permission is required for the mmapped ipsec.secrets.

Fixed loading of private keys without password.

The chunk storing the password was not correctly initialized, resulting
in a segmentation fault when no password was specified in ipsec.secrets.

Accept EAP_ONLY_AUTHENTICATION notifies from any client, now that IANA allocated an ID.

generated aaa certificate

IKEv2 notification types updated.

Reimplemented mem pool to support multiple leases for a single identity

Save/Load state of PKCS#11 hasher

Register hmac/xcbc algorithms after potentially underlying PKCS#11

Do initial slot enumeration manually

Implemented hasher_t using PKCS#11

Defer certificate loading until all PKCS#11 modules are loaded

Destroy IKE_SA Managers crypto primitives during flush, the plugins are gone in destroy

Provide a public PKCS#11 mechanism enumerator

Added PKCS#11 private key support to the pki tool

The pki tool uses a callback credential set to read in passphrase/PIN

Pass type of requested key in the callback credential set

Support PKCS#11 keys requiring reauthentication for each operation

Do not try to log in if we already have a user session

Obseleted BUILD_PASSPHRASE(_CALLBACK) for private key loading, use credential sets

Use a dedicated build part for challenge passwords, BUILD_PASSPHRASE gets obsolete

Use credential sets to load smartcard keys

Handle PIN: as a magic keyword for prompt, use getpass() to silently read credentials

Implemented a callback based credential set, currently for shared keys only

Implemented a generic in-memory credential set, currently for shared keys only

mmap() ipsec.secrets instead malloc(), proper error checking

Splitted up the load_secrets() function

Updated ipsec.secrets.5 regarding IKEv2 smartcard support

%prompt support for smartcard PIN via "ipsec secrets"

Implemented callback PIN invocation for PKCS#11 login

Implemented keyid discovery on all modules/slots

Pass the PKCS11 keyid as chunk, not as string

Reuse generic passphrase build part, not a dedicated PIN part

Implemented private key on top of a PKCS#11 token

Extended the PKCS#11 object enumerator by attribute retrieval

Use the PKCS#11 object enumerator

Implemented a generic PKCS#11 object enumerator

Unload plugins in reverse order

Support module names in %smartcard specifier, streamlined smartcard building

Added enumerator for PKCS#11 tokens

Handle NOT_SUPPORT return value from WaitForSlot

Reenabled dlclose

Implemented a credential set on top of a PKCS#11 token

Added NSPR PR_CallOnce to leak detective whitelist

Added buffer checking variants of syslog functions to leak detective

Moved gmp plugin before users of it

Added a token add/remove callback function to the manager

Enumerate tokens and their mechanisms, wait for slot events

Depend on libcharon until we have a thread pool to use

Add enum names for CK_MECHANISM_TYPE constants

Make the PKCS#11 padding string trimming public, add null terminator

Added a getter for the library alias

Moved PKCS#11 library loading to dedicated manager

Use locking, prefer our mutex abstraction layer

Added enum names for PKCS#11 return values

Load PKCS#11 modules defined in strongswan.conf

Implemented an abstraction layer for PKCS#11 module loading

Imported the free pkcs11.h header form the Scute project

Added PKCS#11 token plugin stub

added ikev2/rw-eap-tls-only scenario

--enable eap-tls and --disable-load-warning in uml build

test_cert adapted to extended signature of get_encoding().

Fixed compiler warnings.

Moved TLS stack to its own library

Moved eap-tls plugin to libcharon, updated to 4.4.1 APIs

Implemented EAP-TLS server functionality

TLS stack keeps a copy of server/peer identities

Limit the number of EAP-TLS packets allowed

Use stricter state handling while processing TLS messages

Cleaned up the public TLS interface

Refactored common used operations into TLS crypto helper

Properly send empty EAP-TLS messages

Derive MSK for EAP-TLS authentication

Verify Server Finished message

Implemented input record decryption and verification

Implemented key derivation, output record signing and encryption

Derive master secret, create Finished message

Implemented the TLS specific PRF in its TLSv1.0 and TLSv1.2 variants

Implemented sending of Certificate, ClientKeyExchange, CertificateVerify and ChangeCipherSpec as peer

Implemented a tls_writer class to simplify TLS data generation

Implemented a tls_reader class to simplify TLS data parsing

Process ServerHello(Done), Certificate(Request) messages

Send a ClientHello to start TLS negotiation

Added TLS crypto helper, currently supports cipher suite selection

Added support for AUTH_HMAC_SHA2_256_256, used in TLS

Added stubs for handshake handling, server and peer variants

Accept follow-up fragments with a TLS message length

Added dummy/identity implementations of the different TLS record layers

Pass TLS records to newly introduced TLS stack

Added some TLS constants

(De-)fragment EAP-TLS packets, pass TLS records to upper layer

Added EAP-TLS plugin stub

Do not touch child from collision if peer deleted it

substitute obsolete function calls(bzero/index)

delete tarball files

version bump to 4.4.2

The va_list trick does not seem to be portable, revert dots-in-section fix

This reverts commit 8f50d06c354cd31fc295afc5598afff4096b5e77.