android: Only allow DNS queries for the configured hostname

android: Add optional filter functionality to DNS proxy

If specified only queries for a list of allowed host names will be
proxied.

android: Recreate the TUN device without DNS when reestablishing IKE_SAs

This enables DNS resolution while reestablishing if the VPN gateway pushed
DNS servers to the client that are only reachable via VPN.

android: Add method to BuilderAdapter to re-establish without DNS-related data

Non-DNS data is cached in the BuilderAdapter so the TUN device can be
recreated easily (since the CHILD_SA is gone we couldn't actually gather
that information).

android: Use DNS proxy when reestablishing IKE_SAs

bus: Add ike_reestablish_pre hook, called before DNS resolution

The old hook is renamed to ike_reestablish_post and is now also called
when the initiation of the new IKE_SA failed.

android: Add DNS proxy implementation

This class proxies DNS requests over VPN-protected UDP sockets.
It is not really Android specific and might be useful for
kernel-libipsec or libipsec in general too, so we could maybe move it later
to libipsec (might need some portability work).

ip_packet: Add function to easily encode UDP packets

ip_packet: Apply transport protocol ports when encoding IP packet

ip_packet: Add getter for IP payload

ip_packet: Allow creation of IP packets from data

chunk: Add function to calculate Internet Checksums according to RFC 1071

ip_packet: Parse ports from TCP and UDP headers

Merge branch 'android-state-updates'

The GUI reflects the state of the IKE daemon more closely by switching
back to the "connecting" state when the IKE_SA or CHILD_SA is down and
is getting reestablished.

Fixes #616.

android: Delay disconnecting on errors until user dismisses them

If e.g. reauthentication fails we don't want to close the TUN device
until the user acknowledged the error and is thus aware of the failure.

android: Set CHILD_STATE_DOWN when the IKE_SA gets reestablished

android: Set CHILD_STATE_DOWN whenever the CHILD_SA goes down

No matter what triggers it.  We also don't close the TUN device, but we
might handle that differently in the future to allow reestablishing the
IKE_SA if host names have to be re-resolved via DNS.

android: Change to CONNECTING state if CHILD_SA goes down

Unless we are disconnecting.  This currently triggers the connecting
dialog, perhaps just updating the status text would do too (when switching
from CONNECTED to CONNECTING, not from DISCONNECTED to CONNECTING).

Merge branch 'android-cert-import'

Adds support to import CA and server certificate directly in the app.
On Android 4.4 and newer the SAF allows users to easily browse for such
files, on older systems they have to open them from file manager or the
download app (only works if the MIME type is correctly detected).

Also adds support for ECDSA keys on recent Android systems.

android: Do not use deprecated TwoLineListItem

android: Add support for ECDSA private keys

With 4.4.4 these work fine now.

android: Show a confirmation dialog before importing certificates

Since the import activity can be triggered by any other app on the
system we shouldn't just import every certificate we get.

Also, in some situations (e.g. if no passphrase has been set yet for the
system-wide certificate store) we are the only application that can open
certificate files.  So if a user clicked on a certificate file she would
just get a confirmation Toast about a successful import, with no indication
whatsoever where the certificate was actually imported.  The new dialog
shows the app icon to indicate that strongSwan is involved.

android: Use Storage Access Framework to import certificates

Thanks to the SAF, introduced with Android 4.4, browsing and opening
files on the system is very easy to implement.

On older systems the menu option is removed.

android: Add activity to import certificate files

Such files can e.g. be opened from the Download view, if they are
associated with one of the supported mime-types.

android: Imported certificates may be clicked to delete them

android: Reload CA certificates without AsyncTask

We already use loaders in the GUI that can handle this asynchronously.

android: Change how CA certificate reloads are initiated

android: Add option to reload CA certificates to TrustedCertificatesActivity

android: Replace option to reload CA certificates with CA certificate view

The reload option will be added there.

android: Only close TrustedCertificatesActivity on click when selecting a certificate

android: Set action when using TrustedCertificatesActivity to select a certificate

android: Allow selection of local certificates

android: Change how CA certificates from different sources are accessed

android: Cache certificates from multiple KeyStores

Including the new local one.

android: Register local certificate store provider when the app is initialized

android: Add Provider for the local certificate store

android: Add KeyStoreSpi implementation that uses LocalCertificateStore

android: Add local certificate store

The class manages certificates stored in files within the app's
private data directory.

android: Move TrustedCertificateEntry to a new package

android: Subclass Application to provide static access to the application context

android: Target latest SDK version

android: Add utility method to convert a byte array to a hex string

android: Remove unused hash argument from getTrustedCertificates()

android: Use correct tag to define category for CREATE_SHORTCUT intent-filter

starter: Fix memory leaks and warn if conn/ca sections are ignored due to parse errors

receiver: Send a single INVALID_MAJOR_VERSION notify for IKE version > 2

We sent both a notify using IKEv1 and IKEv2. This is a little more aggressive
than required, RFC 5996 says we "SHOULD send an unauthenticated Notify
message of type INVALID_MAJOR_VERSION containing the highest (closest) version
number it supports".

Fixes #657.

Version bump to 5.2.1dr1

Determine type of unsupported PA-TNC attribute in error message

Replaced Tag File Path by Instance ID field

This update reflects the latest changes in the TCG TNC
SWID Messages and Attributes for IF-M specification

man: Document where left|rightsigkey searches for public key files

swanctl: Fix the swanctl.conf cacerts option name in the manpage and template

Updated URL to swidGenerator in recipe

dumm: Undefine _GNU_SOURCE before including <ruby.h>, as it usually redefines it

Version bump to 5.2.0

NEWS: Updated URL to swidGenerator

settings: Allow spaces in time settings before the optional unit

settings: Be more strict in converting settings to specific data types

As the behavior was inconsistent for empty strings or strings with characters
appended to a number, testing the code failed on some platforms. The new rules
are more strict, returning the default if additional characters or an empty
string was found for a setting.

utils: Undefine mem{cpy,move,set} if set before defining them

Some platforms, such as OS X, use macros for these functions. Undefine them
to avoid compiler warnings.

enumerator: Enumerate glob(3) matches using gl_pathc

While glob should return a NULL terminated gl_pathv when having no matches,
at least on OS X this is not true when using GLOB_DOOFFS. Rely on the
number of matches returned in gl_pathc, which seems to be more reliable in
error cases.

xauth-pam: Add workaround for null-terminated passwords

Fixes #631.

kernel-netlink: Rename algorithm identifier from cast128 to cast5

Even if the XFRM identifier was named cast128 in the kernel before 2.6.31, it
actually never worked, because there is no such crypto algorithm.

The identifier has been changed to cast5 in
https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=245acb87
to make it work, so we should use that.

Fixes #633.

winhttp: Do not use countof() on pointer argument

optionsfrom: Properly handle errors when determining file size

windows: Fix off-by-one error in strerror_s_extended()

windows: accept() socket handle could theoretically be 0

windows: Close correct socket when opening second socket fails in socketpair()

windows: Make sure the string returned from ReadConsole() is null terminated

windows: Remove useless assignment in put_thread()

backtrace: Remove name checks after SymFromAddr() calls

The Name member is an array whose address is always defined.

pts: Avoid integer overflow when reading file names in the old IMA format

imv-attestation: Avoid memory leak when skipping unsupported work items

pts: Use memchr(3) instead of strchr(3) to extract hash algorithm name

The string read with read(2) might not be null terminated.

swid: fgets(3) returns a pointer to the read string or NULL

parser-helper: Ensure file_next() does not remove the sentinel item

gcrypt: Use predefined pthread locking functions instead of custom hooks

Starting with libgcrypt 1.6, it seems that custom locking functions are not
supported anymore. Instead, the user has to select from one of the pre-defined
set of locking functions.

Given that we have a proper threading abstraction API with optional profiling
on all platforms, this is somewhat annoying. However, there does not seem to be
a way to use custom functions, and we have no other choice than using the
provided macro magic to support all libgcrypt versions.

Fixes #630.

man: Document replay_window ipsec.conf option

stroke: Don't log unspecified options of conn and ca sections

utils: Helper macros to define overloaded macros based on number of arguments

pki: Document --online option for pki --verify and all exit codes

conf: Document load-tester.crl option

conf: Document charon.*-scripts options

conf: Document swanctl options

conf: Document aikgen options

autoconf: Replace --disable-tools option with --disable-scepclient

Since using a separate option for pki this was the only tool that was still
enabled by that option.

checksum: Fix checksum generation for pki if tools are disabled

doc: Remove obsolete architecture description and empty known bugs list

apidoc: Include *.md and files from the complete source directory (not only src)

Converted existing README to Markdown

Move README to README.md so it gets evaluated as Markdown

swid: Fix parameter documentation in Doxygen comments

windows: Fix parameter name in Doxygen comment

enum: Replace þ with p in Doxygen comments

libvici: Add missing argument to Doxygen comment

starter: Add starter group and fix formatting of conf_parser_section_t enum

Make use of the Markdown support in recent Doxygen versions.

swanctl: Fix Doxygen group assignment

apidoc: Updated Doxyfile.in

Fixed some typos

Update KVM test framework to 3.15 guest kernel

Added Android 4.4.4 to IMV database

testing: Add sql/shunt-policies-nat-rw scenario