Rename MODP_NONE to KE_NONE

Rename diffie_hellman_t to key_exchange_t and change the interface etc.

This makes it more generic so we can use it for QSKE methods.

bliss: Remove stray URLs from headers

Replace or remove wiki.strongswan.org URLs

Update copyright headers after acquisition by secunet

Remove obsolete _copyright utility

openssl: Use dynamically allocated array to determine EC curves

This avoids the use of a variable length array, which should probably
be avoided in general due to potential performance, portability and
security issues (not in this particular case, though).

Closes strongswan/strongswan#1095

ita-comp-ima: Change validation URI parsing to avoid GCC 12 compiler warning

The compiler warned that a dangling pointer might be used because `name`,
which is returned from the function via `ima_name`, might point into the
locally determined `uri`.  Determining the URI outside and passing it to
the function fixes this.

fips-prf: Add explicit bound check to avoid GCC 12 compile warning

GCC assumes this->b is zero (or may be zero) and spits out the following
warning (or error with -Werror):

src/libstrongswan/plugins/fips_prf/fips_prf.c:124:12: error: array subscript 18446744073709551615 is above array bounds of ‘uint8_t[<U8090>]’ {aka ‘unsigned char[<U8090>]’} [-Werror=array-bounds]
  124 |         one[this->b - 1] = 0x01;
      |         ~~~^~~~~~~~~~~~~

hashtable: Avoid compiler warning with GCC 12

Even though the assignment of `removed` to `out_row` is tied to the
`found_removed` flag, which is only set if `removed` is set, the
compiler complains that it may be used uninitialized.

object: Fix CALLBACK macros with GCC 12

GCC 12 produces weird code when a callback is called directly (e.g.
parse_bool() via parse_option() in vici_config.c).  Instead of the actual
pointer, it explicitly passes 0 as first argument, which likely causes
a segmentation fault.  It doesn't happen when called indirectly via
function pointer that has void* as first argument, which this patch
kinda replicates for direct calls to avoid the issue.

Closes strongswan/strongswan#1053

conf: Fix documentation for leak detective's usage thresholds

These only apply to the usage reports that are available via
`stroke memusage`, not to leak reports when executables are terminated,
which always include all non-whitelisted leaks.

credential-manager: Log subject of trusted cert before building trust chain

This should make it clearer to what the log messages generated by
verify_trust_chain() are related (in particular if building the chain
fails or the cert has expired).

Version bump to 5.9.7dr1

TCG TNC attribute name changes

The TCG TNC IF-M Segmentation standard was implemented based on a
draft version. The attribute names are updated to comply with the
final TCG IF-M Segmentation Specification Version 1.0 Rev. 5
dated 4 April 2016

testing: Use sans-serif font for test results

We could later extend the stylesheet more or even add something similar
to actual templates (e.g. a shared header/footer).

Merge branch 'nm-gtk4'

Adds support for GTK 4.  Two versions of the UI are built as shared
objects, the plugin dynamically loads and instantiates the appropriate one
based on the determined GTK version.

Closes strongswan/strongswan#961

nm: Version bump to 1.6.0

nm: Add support for GTK4

nm: Change layout of file chooser dialog

GTK4 does not support buttons at the bottom, so we put them in a header
bar, which is the preferred layout by current desktop environments. And
while it doesn't look ideal on older desktops, it also works with GTK3
and changing it avoids having to maintain multiple UI files.

Note that this layout is not supported by glade, so we generally can't
use it to edit the GUI anymore (it also doesn't support GTK4 in general).

nm: Split NM plugin and editor widget into separate libs

This will allow the plugin to load the editor widget matching the current
GTK version dynamically.

nm: Replace GtkFileChooserButton

GTK4 does not provide that widget anymore, so we replace it with buttons,
labels and a GtkFileChooserDialog widgets.

nm: Update Glade file

nm: Load GtkBuilder data from resource instead of file

This makes it easier to build a GTK4 version later.

nm: Remove old libnm-glib compat stuff

This shouldn't be necessary anymore.

adopt-children-job: Avoid reordering CHILD_SAs

References strongswan/strongswan#1041

quick-mode: Remove outbound SA/policy of rekeyed CHILD_SA

Remove outbound SA and policy of rekeyed CHILD_SA since only one is valid.
Otherwise, during update-SA job (when NAT mapping changed), CHILD_SA are
updated and installed one by one, leaving a window where old SAs are being
used. There are also circumstances where the new SA is not processed last.

Closes strongswan/strongswan#1041

proposal: Demote AES-XCBC/CMAC PRFs in default proposal

These are rarely used, so strictly propose HMAC-based PRFs first.

References strongswan/strongswan#1026
References strongswan/strongswan#1044

configure: Auto-enable kdf plugin if necessary

This ensures the plugin is available if AES-based PRFs could get used or
none of the third-party crypto plugins is enabled and it's required for
HMAC-based PRFs as well.

References strongswan/strongswan#1026

github: Update automatic labels in issue templates

Use wolfSSL 5.3.0 for tests

plugin-loader: Print an error message if plugin constructor is not found

keymat_v2: Fix error message if KDF can't be created

Fixes: f619b833accf ("keymat_v2: Use plugin-provided KDF_PRF to derive SKEYSEED")
References strongswan/strongswan#1026

testing: Fix 'unsafe repository' error when accessing Git repository

A recent security fix for Git added a fatal error if the directory that
contains the .git directory is not owned by the user that runs git in
that directory tree:

  Determine strongSwan version fatal: unsafe repository ('...' is owned by someone else)

To avoid this, we call the git commands as owner of the source
directory (the script has to run as root, so this is no problem).

The user/group ID and name is now also determined via `stat(1)` so it
directly depends on the actual source dir and should work even when not
using sudo.

enum: Fix compiler warning

Closes strongswan/strongswan#1025

Version bump to 5.9.6

Use mallinfo2() if available

mallinfo() is deprecated because it uses `int` for the members of the
returned struct, whereas mallinfo2() uses `size_t`.  It's available
since glibc 2.33.

NEWS: Add news for 5.9.6

tls-crypto: Initialize cipher suites arrays to avoid warnings

gcrypt: Initialize variables when en-/decrypting with RSA to avoid warnings

kdf: Fix Doxygen comments

openssl: Fix typo in comment

ikev2: Maintain labels during make-before-break reauthentication

github: Use run_number instead run_id as external-id for LGTM

The external-id parameter takes an int32 and the generated run_id was
apparently not valid lately, resulting in undocumented 404 errors when
submitting patches (the API endpoint probably doesn't like negative numbers
because the last accepted id was 2059658094, rejected ids were e.g.
2167472705 or 2168792083).

Version bump to 5.9.6rc1

Merge branch 'openssl-3.0'

This provides compatibility changes for OpenSSL 3.0.

github: Add a build against OpenSSL 3.0

unit-tests: Add environment variable to skip IPv6 stream tests

This is an issue e.g. when running tests in default Docker containers.

unit-tests: Add support for more than one warning per test case

Warnings are usually short (as compared to failures that contain data
dumps), so the buffer size can be reduced.

openssl: Move ENGINE-specific code into a separate file

This way we can compile it with OPENSSL_SUPPRESS_DEPRECATED for
OpenSSL 3.0, which deprecated the ENGINE API.

openssl: Remove checks and legacy compatibility code for OpenSSL < 1.0.2

More of this code was already removed with previous commits.

While versions < 1.1.1 are not officially supported anymore, 1.0.2 might
still be in use because before 3.x that was the latest version with
official FIPS support (OpenSSL apparently also provides extended commercial
support for it).

openssl: Fixes for HMAC with OpenSSL 3.0

openssl: Fixes for ECDSA with OpenSSL 3.0

configure: Move pkcs8 plugin after plugins that can parse PKCS#8 directly

With such plugins we only need the pkcs8 plugin to load encrypted files.

pkcs8: Parse the decrypted PKCS#8 structure via regular builders

This allows other plugins to parse such structures directly.  The pkcs8
plugin is called recursively again if necessary.

openssl: Fixes for RSA with OpenSSL 3.0

openssl: Fixes for DH with OpenSSL 3.0

While we could assign the DH object to a EVP_PKEY object, this won't work
with BoringSSL as it doesn't seem to support EVP_PKEY_derive() for DH.

openssl: Fixes for ECDH with OpenSSL 3.0

Uses new and non-deprecated APIs to create/generate key pairs.

openssl: PRF_KEYED_SHA1 might not be supported

The old API has been deprecated with OpenSSL 3 and direct access to the
state isn't possible via EVP API.  In the future we might just remove this
implementation but we'd probably have to implement EAP-AKA' first, which
uses HMAC-SHA-256 with IKEv2's prf+ construct to derive keys instead
of this weird construct (plus what fips-prf builds around it) that's used
by EAP-AKA.

leak-detective: Whitelist OpenSSL 3.0 functions

openssl: Move shared secret calculation to get_shared_secret()

This is a change from the multi-KE branch.

Merge branch 'ikev2-kdf-modularization'

This modularizes the IKEv2 key derivation, which makes certification (e.g.
FIPS) easier because it allows the two steps (PRF/prf+) to be implemented
by already certified third-party libraries.

For the existing third-party libraries, the two KDFs are implemented via
the respective library's HKDF implementation.  A generic implementation,
based on existing PRFs, is provided by the new kdf plugin.

keymat_v2: Use plugin-provided KDF_PRF to derive SKEYSEED

unit-tests: Hand out an actual shared secret and pubkey in mock KE implementation

Makes this a bit more realistic and makes key derivation via OpenSSL's
HKDF work during tests.

wolfssl: Implement HMAC-based IKEv2 PRFs via wolfSSL's HKDF implementation

botan: Implement HMAC-based IKEv2 PRFs via Botan's HKDF implementation

openssl: Implement HMAC-based IKEv2 PRFs via OpenSSL's HKDF implementation

kdf: Implement wrapper for IKEv2 PRFs

test-vectors: Add vectors for HMAC-based IKEv2 PRFs

crypto: Add new KDF type for IKEv2 PRFs

crypto: Adapt kdf_t interface to support KDFs with fixed output length

wolfssl: Implement prf+ via wolfSSL's HKDF implementation

botan: Implement prf+ via Botan's HKDF implementation

crypto: Remove unused prf_plus_t

kdf: Implement prf+ directly without relying on prf_plus_t

keymat_v1: Derive CHILD_SA keys without using prf_plus_t

We already expand skeyid_e in a similar fashion so do this analogous
without relying on prf_plus_t.

unit-tests: Use plugin-provided prf+ in unit test

This tests the params API and the counter overflow.

tls-hkdf: Use plugin-provided prf+

keymat_v2: Use plugin-provided prf+ to derive keys

appveyor: Enable kdf plugin on old images with OpenSSL 1.0.2/1.1.0

HKDF with expand-only mode is only available since OpenSSL 1.1.1.

android: Build and load kdf plugin for prf+

Not necessary with newer versions of OpenSSL, but our BoringSSL release
does not support HKDF yet.

testing: Load kdf plugin in all scenarios that require it

Once we use plugin-provided prf+() these won't work otherwise.

keymat_v2: Refactor CHILD_SA key derivation so it only needs one prf+ call

keymat_v2: Refactor IKE key derivation so it only needs one prf+ call

openssl: Add a prf+ implementation based on OpenSSL's HKDF implementation

The HKDF-Expand() function defined in RFC 5869 is basically the same as
IKEv2's prf+(), so we can use the former to implement the latter.
However, we can only support HMAC-based PRFs this way, which should be
fine as others are rarely used.

kdf: Add plugin that provides a default prf+ implementation

test-vectors: Add test vectors for prf+

plugin-feature: Add plugin feature for KDFs

plugin-feature: Remove 'default' case in plugin_feature_un|load()

test-vectors: Add support for KDF test vectors

crypto-factory: Use actual plugin name when testing during construction

crypto-tester: Add facility to test KDFs

vici: Report registered KDFs

stroke: List registered KDFs

crypto-factory: Add constructor and methods to create KDFs

Using some arguments directly in the constructor will allow us to fall
back on other implementations.

pkcs5: Rename kdf_t to avoid conflict

transform: Add private transform for KDFs

crypto: Add interface for key derivation functions

Merge branch 'labeled-ipsec'

This adds support for labeled IPsec with SELinux (and a proprietary mode
that can be used to match child configs).  For SELinux support, compile
with --enable-selinux.

Other changes include a combined start action (trap|start), avoiding
initiating duplicate CHILD_SAs, updating reqids if dynamic traffic
selectors change, removing reqid errors on policy updates, or querying
specific CHILD_SAs with vici's list-sas command.

Closes #3075

testing: Add DSCP scenario that uses simple labels

Instead of creating two IKE_SAs with different identities, this scenario
uses simple labels to select the correct child config.