Fixed ip_packet_t if IPv6 is not available

Added utility class to create TUN devices

Currently works only on Linux.

Added IPsec processor which is responsible for handling in- and outbound packets

Two callbacks can be registered that get called when new inbound plaintext and
outbound ESP packets have been processed. Inbound ESP and outbound plaintext
packets can be queued for processing with two other methods.

Represent the payload of an ESP packet as ip_packet_t instead of a chunk_t

IPsec policies can be looked up based on an IP packet

ip_packet_t parses the header of IP packets

Order IPsec policies by a pseudo-priority based on the traffic selectors

This allows a simple lookup, i.e. just use the first policy that matches
a given IP packet.

Implemented a checkout/checkin mechanism for IPsec SAs

SAs can only be checked out by a single thread and all other threads
block until the SA is checked in again.

IPsec policy manager added

This version only provides the very simplest management functions.

Method added to easily compare IPsec policies

Class representing an IPsec policy added

Schedule and relay expiration events for created IPsec SAs

Added class to relay IPsec events (like expiration) to listeners

Currently, only expiration of IPsec SAs is supported.  Later other events
for e.g. acquires or changed NAT endpoints could be added.

Added IPsec SA manager

Add methods to easily compare IPsec SAs

Class representing an IPsec SA added

The IPsec SA also manages the respective ESP context.

Moved types used by kernel_ipsec_t interface (and libipsec) to libstrongswan

This avoids a dependency of libipsec to libhydra.

Use a CALLBACK feature to create charon's sender and receiver

Added a simple blocking queue around linked_list_t

esp_packet_t implements packet_t interface

This should allow to avoid unnecessary cloning of packet data.

Extended constructor for packet_t added (takes src, dst and data)

Moved packet_t to libstrongswan

Headers from libhydra (kernel interface related) are required in libipsec

ESP packet wrapper added, handles encryption/decryption/verification etc.

Adding class to manage ESP context (crypto, sequence numbers)

Added a method to bio_writer_t that allows to skip a number of bytes

A chunk pointing to the skipped bytes is returned, allowing users of
bio_writer_t to write/copy data to the skipped bytes themselves.

Added a method to bio_writer_t that allows to extract the internal buffer

Added methods to bio_reader_t to read data from end of buffer

Increase log verbosity when sending NAT keep-alives

Only log the sending of regular packets in sender_t

When sender_t is used to send ESP packets this would otherwise cause an extreme
amount of debug messages.
With this change all messages sent via sender_t.send_no_marker() cause no extra
DBG1 log message, but for debugging purposes the socket plugins do log the same
message again with DBG2 for all packets.

Added option to prevent socket-default from setting the source address on outbound packets

Allocate UDP ports randomly in Android NDK build.

socket-default plugin allocates random ports if configured to 0.

Also added strongswan.conf options to change the ports.

Replaced usages of CHARON_*_PORT with calls to get_port().

Added get_port() method to socket_t to learn the listening port.

Added ESP log group for libipsec log messages.

Use send_no_marker to send NAT keepalives.

Avoid double-free when prepending Non-ESP marker.

Function added to send packets without Non-ESP marker.

Avoid unnecessary copy of packet data when removing Non-ESP marker.

Added packet_t.skip_bytes method to skip bytes at the start of a packet.

Improved how NAT-T keepalives are handled in sockets/receiver.

Let kernel interfaces decide how to enable UDP decapsulation of ESP packets.

Callback for ESP packets added to receiver.

Add Non-ESP marker in sender and not individual socket plugins.

Handle Non-ESP marker in receiver and not individual socket plugins.

Java code style fixed (analogous to C code).

Load libipsec in Android app.

Stub library for user space IPsec implementation added.

Some NDK build info updated.

Changed minimal SDK/API level to 14.

Added android.net.VpnService wrapper around charon (loaded via JNI).

Added Android shell app created with Android SDK.

Android.mk for NDK build added.

Extracted some parts from Android.mk.in which can be used for NDK builds.

Use filter instead of findstring to check for enabled plugins in Android.mk.

findstring is not prefix-safe (i.e. android matches android-log). On
the other hand filter matches words separated by whitespace and if no
wildcard (%) is used the full word has to match.

Moved Android specific logger to separate plugin.

This is mainly because the other parts of the existing android plugin
can not be built in the NDK (access to keystore and system properties are
not part of the stable NDK libraries).

Link android plugin against liblog in the NDK.

Doesn't seem to hurt the build within the source tree.

Make the UDP ports charon listens for packets on (and uses as source ports) configurable.

Make path to Android OpenSSL headers configurable.

Don't require STRONGSWAN_CONF to be defined.

Don't require PLUGINDIR to be defined.

If it is not available, we just load monolithically built plugins.

Remove queued IKEv1 message before processing it

Avoids destruction or processing of a queued message in
recursive process_message() call.

Include src address in hash of initial message for Main Mode

If two initiators use the same SPI and also use the same SA proposal the
hash for the initial message would be exactly the same.  For IKEv2 and
Aggressive Mode that's not a problem as these messages include random
data (Ni, KEi payloads).

implemented deletion of product_file database entries

Add DH group 15 (MODP-3072) to IKE proposal

PEM loading soft-depends on MD5 only, as unencrypted files don't need MD5

Fixes #211.

Rebuild charon after running ./configure to reflect plugin changes

Block XAuth transaction on established IKE_SAs, but allow Mode Config

Implemented recursive mutex without thread-specific counter

Use a single thread-specific value for our custom rwlock_t implementation

The pthread implementation on Android currently only supports 64
different thread-specific values per process, which we hit easily when
every rwlock_t requires one.

Fix linking of addrblock plugin when building monolithic

Fixes #212.

Reject initial exchange messages early once IKE_SA is established

Add some more NEWS about 5.0.1

Move MODP_CUSTOM va_arg fetching out of loop

It seems problematic at least on PPC with gcc 4.3, fixes #208.

updated NEWS

libimcv requires nonce plugin

Lookup IKEv1 PSK even if the peer identity is not known

update state before handling status

implemented support if functional sub-components

extended and documented ipsec attest

Proper fallback if capability dropping is not available

The use of $< in Makefiles is not portable

It requires GNU make which is not what most people use on e.g. FreeBSD.

Fixes #205.

Include stdint.h for UINTxx_MAX defines

Fixes #205.

measure all kernel modules and optimize firefox and thunderbird measurements

with --relative --file do not insert absolute filenames into database

Don't include acquiring packet traffic selectors in IKEv1

As we only can negotiate a single TS in IKEv1, don't prepend the
triggering packet TS, as we do in IKEv2. Otherwise we don't establish
the TS of the configuration, but only that of the triggering packet.

Fixes #207.

Implement late peer config switching after XAuth authentication

If additional authentication constraints, such as group membership,
is not fulfilled by an XAuth backend, we search for another
peer configuration that fulfills all constraints, including those
from phase1.

Check if XAuth round complies to configured authentication round

Show which group would be required when failing in constraint check

Don't add ANY identity constraint to auth config, as XAuth rounds don't use one

Merge auth config items added from XAuth backends to IKE_SA

Add an ipsec.conf leftgroups2 parameter for the second authentication round

IMA SHA1 file measurement is not needed any more

fixed typo

Release leaking child config after uninstalling shunt policy

moved PA-TNC message logging to level 1

transport IMA file info via PTS Component Evidence Policy URI

ipsec attest now deletes file hashes

buffer PA-TNC attributes until Generate Attestation Evidence attribute is received