Merge branch 'Ed25519'

Moved Ed25519 tests to libstrongswan

vici: Check for closed connection in Python bindings

The Python VICI library does not check if the socket is closed.
If the daemon closes the connection, _recvall() spins forever.

Closes strongswan/strongswan#56.

unit-tests: Completed coverage of hasher, crypter and libnttfft

Added swanctl/net2net-ed2559 scenario and needed Ed25519 certificates

Implemented EdDSA for IKEv2 using a pro forma Identity hash function

Added Ed25519 ref10 implementation from libsodium

Added support of EdDSA signatures

kernel-netlink: Add support for AES-CMAC-96 (RFC 4494)

The kernel apparently supports this since 3.10.

android: New release after re-adding support for ECC Brainpool curves

openssl: BoringSSL doesn't provide curve data for ECC Brainpool curves

android: New release after fixing libtpmtss issue

android: Make sure libtpmtss is loaded on older systems

On newer Android systems this seems to happen automatically (or does at
least not cause crashes if the library is not loaded).

android: New release after adding notification

Merge branch 'android-updates'

Adds a permanent notification while connected (or connecting), which
allows running as a foreground service, which in turn should prevent
Android from terminating the service when low on memory.

Also adds support for ChaCha20/Poly1305 AEAD and Curve25519 DH.

android: Ensure that the certificates are loaded when accessing them via JNI

android: Add a public notification

android: Display a permanent notification while connected

This forces the service to run in the foreground, meaning the system
won't kill it when low on memory.

android: Log any installed DNS servers

android: Unregister listener in case of error alerts

This avoids triggering additional errors via e.g. ike_updown() that
might cause the error message displayed in the GUI to change if the
status fragment is recreated.

References #2134.

android: Report an error for invalid integer values

Previously we'd just ignore the invalid values without notifying the
user.

android: Propose curve25519 in the ESP proposals

android: Enable curve25519 plugin in the app

android: Optionally build the curve25519 plugin

android: Propose ChaCha20/Poly1305 in the ESP AEAD proposals

android: Enable chapoly plugin in the app

android: Optionally build the chapoly plugin

android: Update Gradle plugin and wrapper

ikev1: Minor code optimization in task manager

Signed-off-by: Thomas Egerer <thomas.egerer@secunet.com>

travis: The xcode7.3 image is now the default

travis: Output config.log on failure

configure: Check for actual functions in libraries with AC_CHECK_LIB

Checking for `main` produces code like this in the test program:

  int
  main ()
  {
  return main ();
    ;
    return 0;
  }

This recursive call results in a warning message with some compilers (e.g.
Clang in newer Xcode versions: "all paths through this function will call
itself [-Winfinite-recursion]"), which lets the tests fail when compiling
with -Werror.

plugin-loader: Strip '!' from critical plugin names when setting paths

child-sa: Use single return statement in update_usebytes()

Signed-off-by: Thomas Egerer <thomas.egerer@secunet.com>

proposal: Remove RFC 5114 MODP DH groups from default proposal

Recent research demonstrates that at least for 1024-bit DH groups, it is
possible to create specially crafted primes having a backdoor. From the
prime itself this is not detectable, creating a perfect NOBUS attack.

http://eprint.iacr.org/2016/961

For the primes defined in RFC 5114 no information is provided on how these
have been selected. In the default proposal we included one of the 2048-bit
primes only, where it is questionable if constructing a backdoored prime is
feasible. Nevertheless, this patch removes the group from the set of default
proposals as well.

Version bump to 5.5.2dr2

testing: make curve25519 the default DH group

proposal: Add curve25519 and curve448 to default proposal

configure: Enable curve25519 plugin by default

curve22519: Add a portable backend implemented in plain C

curve25519: Add a plugin providing Curve25519 DH using backend drivers

dh-speed: Compare the shared secrets for equality after test

dh-speed: Include the get_my_public_value() call in public exponent timing

This fixes results where a DH backend does not generate the public value
in the constructor internally.

dh-speed: Add an identifier to test curve25519 performance

test-vectors: Add a Curve25519 DH test vector

proposal: Add a curve25519 proposal keyword

diffie-hellman: Add DH group identifiers for Curve25519 and Curve448

bus: Re-add ampersand that got lost in refactoring

Fixes: 4af02c6c61cf ("bus: Fix maximum log level for different groups
after removal of a logger")

peer-cfg: Fix memory leak when replacing child configs

Fixes: 622c2b2c3386 ("peer-cfg: Add method to atomically replace child
configs")

bus: Fix maximum log level for different groups after removal of a logger

The log level was incorrectly set to the same value for all groups.

Fixes: dac15e03c828 ("bus: Fix maximum log levels when mixing log/vlog
implementing loggers")

farp: Fix BPF jump false offset

Jump to BPF_STMT(BPF_RET+BPF_K, 0) if protocol_size != 4

Version bump to 5.5.2dr1

Fixed in-place update of cached base and delta CRLs

Newer CRLs replace older versions of the CRL in the cache

connmark: Add CAP_NET_RAW to capabilities keep list

Fix for "Permission denied (you must be root)" error when calling
iptc_init(), which opens a RAW socket to communicate with the kernel,
when built with "--with-capabilities=libcap".

Closes strongswan/strongswan#53.
Fixes #2157.

Version bump to 5.5.1

nm: Enable IKE fragmentation

Version bump to 5.5.1rc2

testing: Renewed expired certificates

added XOF dependencies of bliss and ntru plugins

testing: enable MACsec in guest kernel

configure: Reorder mgf1 in list of crypto plugins

newhope: Fix Doxygen group name

libnttfft: Fix Doxygen group

Fixed some typos, courtesy of codespell

newhope: Properly release allocated arrays if RNG can't be created

nm: Add D-Bus policy to the distribution

nm: Version bump to 1.4.1

kernel-netlink: Fix get_route() interface determination

A wrong variable is used (route instead of best), so much that the
returned interface belongs to the last seen route instead of the best
choice route.

get_route() may therefore return mismatching interface and gateway.

Fixes: 66e9165bc686 ("kernel-netlink: Return outbound interface in get_nexthop()")
Signed-off-by: Christophe Gouault <christophe.gouault@6wind.com>

Version bump to 5.5.1rc1

Merge branch 'cache-crls'

Save both base and delta CRLs to disk

vici: strongswan.conf cache_crls = yes saves fetched CRLs to disk

mem-cred: Support storing a delta CRL together with its base

So far every "newer" CRL (higher serial or by date) replaced an existing
"older" CRL.  This meant that delta CRLs replaced an existing base CRL
and that base CRLs weren't added if a delta CRL was already stored.  So
the base had to be re-fetched every time after a delta CRL was added.

With this change one delta CRL to the latest base may be stored.  A newer
delta CRL will replace an existing delta CRL (but not its base, older
base CRLs are removed, though).  And a newer base will replace the existing
base and optional delta CRL.

revocation: Cache valid CRL also if certificate is revoked

pki: Don't remove zero bytes in CRL serials anymore

This was added a few years ago because pki --signcrl once encoded serials
incorrectly as eight byte blobs.  But still ensure we have can handle
overflows in case the serial is encoded incorrectly without zero-prefix.

pki: Use serial of base CRL for delta CRLs

According to RFC 5280 delta CRLs and complete CRLs MUST share one
numbering sequence.

openssl: Fix AES-GCM with BoringSSL

BoringSSL only supports a limited list of (hard-coded) algorithms via
EVP_get_cipherbyname(), which does not include AES-GCM.  While BoringSSL
deprecated these functions they are also supported by OpenSSL (in BoringSSL
a completely new interface for AEADs was added, which OpenSSL currently does
not support).

android: Identifiers for SHA2-base RSA signature schemes got renamed

Fixes: 40f2589abfc8 ("gmp: Support of SHA-3 RSA signatures")

android: MGF1 implementation was moved to a plugin

Fixes: 188b190a70c9 ("mgf1: Refactored MGF1 as an XOF")

ldap: Fix crash in case of empty LDAP response for CRL fetch

In case of an empty LDAP result during a CRL fetch (for example, due to
a wrong filter attribute in the LDAP URI, or invalid LDAP configuration),
the call to ldap_result2error() with NULL value for "entry" lead to
a crash.

Closes strongswan/strongswan#52.

libimcv: Add Debian 8.6 to database

task-manager: Only trigger retransmit cleared alert if there was at least one retransmit

The counter is already increased when sending the original message.

Fixes: bd71ba0ffb03 ("task-manager: Add retransmit cleared alert")

Merge branch 'proposal-checks'

Adds checks for proposals parsed from strings.  For instance, the presence
of DH, PRF and encryption algorithms for IKE are now enforced and AEAD and
regular encryption algorithms are not allowed in the same proposal anymore.
Also fixed is the mapping of the aes*gmac keywords to an integrity algorithm
in AH proposals.

unit-tests: Enable optional logging in libcharon unit tests

unit-tests: Add more tests for proposal creation

proposal: Correctly add AES-GMAC for AH proposals

We parse aes*gmac as encryption algorithm, which we have to map to an
integrity algorithm.  We also make sure we remove all other encryption
algorithms and ensure there is an integrity algorithm.

proposal: Enforce separate proposals for AEAD and classic encryption algorithms

proposal: Make sure there is a PRF defined in IKE proposals

But filter PRFs from ESP proposals.

proposal: Make DH groups mandatory in IKE proposals parsed from strings

References #2051.

ikev2: Respond with NO_PROPOSAL_CHOSEN if proposal without DH group was selected

Fixes #2051.

testing: Remove ikev2/default-keys scenario

No default keys are generated anymore.

kernel-netlink: Consider RTA_SRC when looking for a source address

Merge branch 'priv-key-any'

Adds the ability to parse KEY_ANY keys via the pkcs1 and openssl plugins.
This is then used in the pki utility, where private keys may now be
loaded via `priv` keyword instead of having to specify the type of the key
explicitly.  And swanctl can load any type of key from the swanctl/private
directory.

swanctl: Add 'private' directory/section to load any type of private key

pki: Add generic 'priv' key type that loads any type of private key

openssl: Add a generic private key loader

pkcs1: Support building of KEY_ANY private keys

We try to detect the type of key by parsing the basic structure of the
passed ASN.1 blob.

pki: Drop -priv suffix to specify private key types

ikev2: Only add NAT-D notifies to DPDs as initiator

If a responder is natted it will usually be a static NAT (unless it's a
mediated connection) in which case adding these notifies makes not much
sense (if the initiator's NAT mapping had changed the responder wouldn't
be able to reach it anyway).  It's also problematic as some clients refuse
to respond to DPDs if they contain such notifies.

Fixes #2126.