pubkey-authenticator: Query private key for supported signature schemes

private-key: Add optional method that returns supported signature schemes

Merge branch 'openssl-keyid'

Closes strongswan/strongswan#116.

openssl: Remove extra semicolon

openssl: Remove arbitrary keyid length check

openssl: Fix invalid keyid length check

Check was designed for base64 conversion, however a hex conversion is
being performed, which requires more memory.

libtpmtss: Fixed inclusion of tcti-tabrmd.h header file

libvici: Wrap header in extern "C" to include it from C++

Fixes #2795.

android: New release after fixing DNS leak and some bugs

android: Force the two line button to be focusable

On newer Android versions (8+) this does not seem to be necessary (adding
the onClick handler also sets "clickable" and that in turn seems to make
it focusable), however, for older releases it is (tested with 7.1.1
keyboard navigation just skips over the button).  This was seen on a
Fire TV stick.

android: Avoid DNS leak due to blocking TUN device without DNS servers

It looks like Android 9 incorrectly continues to use the regular DNS
servers after the blocking TUN device is replaced with the actual
interface.  Setting DNS servers prevents that (since all traffic is
blocked, which ones doesn't really matter but local/loopback addresses
are rejected).
Interestingly, if the VPN server later does not assign any DNS servers, there
is no fallback to the non-VPN DNS servers for some reason (that's definitely
not as documented).  This could potentially be a problem as we don't
offer an option to configure DNS servers in the VPN profile.

Neither issue is seen on older Android versions (only tested on 7.1.1).

android: Update Gradle plugin

android: Make sure we actually have a tile when updating it

Not sure when this happens exactly, in particular because the reported
stack traces look like this

java.lang.NullPointerException:
  at org.strongswan.android.ui.VpnTileService.updateTile (VpnTileService.java:220)
  at org.strongswan.android.ui.VpnTileService.onStartListening (VpnTileService.java:97)
  at android.service.quicksettings.TileService$H.handleMessage (TileService.java:407)

which violates the API documentation for getQsTile(), which states:

  This tile is only valid for updates between onStartListening() and
  onStopListening().

But apparently that's not always the case. There have been two reports
of such a crash, both on Android 8.0 and on Xiaomi Mi 5/6 devices, so
maybe it's a bug in that particular image.

android: Fix profile selection/edit when the device is rotated

The previous code lost track of the selected profile IDs, but the
widgets maintained their state (i.e. the list item was still selected and the
edit button still enabled).  Clicking the edit button then caused a crash when
trying to get the first item in the set.

ikev1: Log traffic selectors for missing child configs

Signed-off-by: Thomas Egerer <thomas.egerer@secunet.com>

task-manager-v1: Clear retransmit alert on request retransmit

The task manager for IKEv1 issues a retransmit send alert in the
retransmit_packet() function. The corresponding retransmit cleared alert
however is only issued for exchanges we initiated after processing the
response in process_response().

For quick mode exchanges we may retransmit the second packet if the peer
(the initiator) does not send the third message in a timely manner. In
this case the retransmit send alert may never be cleared.

With this patch the retransmit cleared alert is issued for packets that
were retransmitted also when we are the responding party when we receive
the outstanding response.

Signed-off-by: Thomas Egerer <thomas.egerer@secunet.com>

sec-updater.sh: Support of Debian 9.0 and Ubuntu 18.04

travis: Don't build botan twice if installing dependencies is retried

fuzzing: Add -lm to LDFLAGS if the coverage sanitizer is used

libFuzzer apparently uses math functions (e.g. ceilf) for that sanitizer.

travis: Only build sonarcloud target if the token is available

That's not the case for pull requests that don't have access to
encrypted tokens/environment variables.

swanctl: Fix typos in usage for swanctl rekey/terminate commands

Closes strongswan/strongswan#113.

Version bump to 5.7.1

NEWS: Add info about CVE-2018-17540

gmp: Fix buffer overflow with very small RSA keys

Because `keylen` is unsigned the subtraction results in an integer
underflow if the key length is < 11 bytes.

This is only a problem when verifying signatures with a public key (for
private keys the plugin enforces a minimum modulus length) and to do so
we usually only use trusted keys.  However, the x509 plugin actually
calls issued_by() on a parsed certificate to check if it is self-signed,
which is the reason this issue was found by OSS-Fuzz in the first place.
So, unfortunately, this can be triggered by sending an invalid client
cert to a peer.

Fixes: 5955db5b124a ("gmp: Don't parse PKCS1 v1.5 RSA signatures to verify them")
Fixes: CVE-2018-17540

travis: Don't build tags separately

Travis treats tags just like branches (which sonarcloud does too) and the
tagged commit is built anyway.

Version bump to 5.7.0

NEWS: Add info about CVE-2018-16151/52

gmp: Don't parse PKCS1 v1.5 RSA signatures to verify them

Instead we generate the expected signature encoding and compare it to the
decrypted value.

Due to the lenient nature of the previous parsing code (minimum padding
length was not enforced, the algorithmIdentifier/OID parser accepts arbitrary
data after OIDs and in the parameters field etc.) it was susceptible to
Daniel Bleichenbacher's low-exponent attack (from 2006!), which allowed
forging signatures for keys that use low public exponents (i.e. e=3).

Since the public exponent is usually set to 0x10001 (65537) since quite a
while, the flaws in the previous code should not have had that much of a
practical impact in recent years.

Fixes: CVE-2018-16151, CVE-2018-16152

travis: Run long-running tests first to reduce overall build time

Moving the manual matrix inclusions further up would be even better but
that doesn't seem possible.

android: Disable capabilities in the android app

capset/capget are not in the NDK headers anymore, but we didn't use them
in the app anyway.

android: Fix implementation of change_state() method in Android IMC

The signature was changed with 731e043c8e07 ("libimcv: Reset of IMC state for
new measurement cycle").

Version bump to 5.7.0rc2

swanctl: Document PPKs

Fixed some typos, courtesy of codespell

settings: Clarify that a key/value-pair can only occur once

settings-test: Remove unused variable in printf() call

vici: Fix syntax error in Ruby bindings

I guess nobody uses these.

Fixes: 2c7cfe76303b ("vici: flush-certs command flushes certificate cache")

imv-attestation: Don't use comma to separate statements

imv-agent: Don't use comma to separate statements

xauth-pam: Don't use comma to separate statements

tnc-pdp: Don't use comma to separate statements

receiver: Don't use commas to separate statements

Maybe was in the INIT statement at some point.

manager: Restore direct return if database URI is not defined

There was an exit anyway because storage_create() returns NULL if the
database can't be created.

imv-os-agent: Remove useless assignment

`eval` will never be TNC_IMV_EVALUATION_RESULT_DONT_KNOW so we can
remove the if statement too.

pts: Remove commented call of inexistent function

counters: Fix exit status in error case

signcrl: Remove useless assignment

asn1: Remove useless assignment

mode-config: Remove useless assignment

keymat_v1: Remove useless assignment

kernel-netlink: Check return value of both halfs when installing default route in main table

botan: Fix leak if hasher initialization fails

botan: Share code to generate RSA EMSA PSS signature identifier strings

botan: Remove unnecessary nested blocks and simplify keyid allocation

daemon: Remove redundant assignment to time_format

Version bump to 5.7.0rc1

testing: Extended Botan scenarios

NEWS: Added some news for 5.7.0

travis: Silence `git checkout` for Botan

Merge branch 'botan-plugin'

Adds a wrapper plugin for the Botan crypto library.

Closes strongswan/strongswan#109.

travis: Use a fix revision for Botan and speed up subsequent builds via ccache

travis: Use amalgamation build for Botan and build outside our source tree

This merges all source files into botan_all.cpp, which reduces the build
time by almost 50%. Building outside the strongSwan tree avoids analyzing
Botan with sonarqube.

gcrypt: Make generic DH constructor static

travis: Build botan plugin also in the tests that build everything

travis: Only add the sonarcloud addon for that build

testing: Added botan/rw-cert scenario

testing: Enable Botan and the plugin

ldconfig is required, otherwise the library won't be found by
strongSwan in the same session.

Should later be changed to 2.8.0 or a newer stable release.

botan: Add support for X25519

botan: Simplify DH/ECDH key derivation

test-vectors: Add the actual test vector from RFC 8031 for x25519

The existing test vector is from RFC 8037.

ike-init: Fix leak if KE payload creation fails

leak-detective: Add an option to ignore frees of unknown memory blocks

This also changes how unknown/corrupted memory is handled in the free()
and realloc() hooks in general.

Incorporates changes provided by Thomas Egerer who ran into a similar
issue.

travis: Add Botan build

We build Botan directly from the master branch until 2.8.0 is released.

leak-detective: Whitelist some Botan functions

Due to the mangled C++ function names it's tricky to be more specific.  The
"leaked" allocations are from a static hashtable containing EC groups.

There is another leak caused by the locking allocator singleton
(triggered by the first function that uses it, usually initialization of
 a cipher, but could be a hasher in other test runners), but we can avoid
that with a Botan config option.

botan: Adhere to configured DH exponent length

botan: Encode private keys as PKCS#8

Since we can now parse that encoding directly we can simplify the private
key export and stick to PKCS#8.

botan: Load public/private keys generically

Simplifies public key loading and this way unencrypted PKCS#8-encoded
keys can be loaded directly without pkcs8 plugin (code for encrypted
keys could probably later be added, if necessary).

It also simplifies the implementation of private_key_t::get_public_key()
a lot.

botan: Encode curve OID and public key in EC private key

Without OID we can't generate an algorithmIdentifier when loading the
key again. And older versions of OpenSSL insist on a public key when
e.g. converting a key to PKCS#8.

Simply unwrapping the ECPrivateKey structure avoids log messages when
parsing other keys in the KEY_ANY case.

pkcs1: Accept EC private keys without public key but make sure of an OID

botan: Fixes, code style changes plus some refactorings

Some changes rely on newly added FFI functions in Botan's master
branch.

botan: Add MD5 support to Botan hasher

Support MD5 in the Botan plugin if supported by Botan.
MD5 is required for RADIUS and obviously EAP-MD5,
and also for non-PKCS#8 encoded, encrypted private keys.

unit-tests: Remove 768 bits RSA gen test

Botan only allows RSA generating keys >= 1,024 bits, which makes
the RSA test suite fail. It is questionable whether it makes
sense to test 768 bit RSA keys anymore. They are too weak
from today's perspective anyway.

botan: Add Botan plugin to libstrongswan

dumm: Remove the Dynamic UML Mesh Modeler framework

This has been pretty much defunct for several years (requires a
specially patched UML-enabled guest kernel).

android: Properly set log file path

conf: Document new filelog configuration

library: Return FALSE from library_init() if loaded settings are invalid

This way daemons won't start with config files that contain errors.

settings: Don't allow dots in section/key names anymore

This requires config changes if filelog is used with a path that
contains dots. This path must now be defined in the `path` setting of an
arbitrarily named subsection of `filelog`.  Without that change the
whole strongswan.conf file will fail to load, which some users might
not notice immediately.

ike-auth: Remove unnecessary case statement

vici: Remove unreachable code

If list is TRUE any type but VICI_LIST_END and VICI_LIST_ITEM (i.e.
including VICI_END) is already handled in the first block in this
function.

vici: Lease enumerator is always defined

mem_pool_t always returns an enumerator.

stroke: Lease enumerator is always defined

This function is only called for existing pools (under the protection of
a read lock).

smp: Remove unreachable initializer

Execution in this block will start with any of the case statements,
never with the initialization.

eap-sim-pcsc: Fix leak in error case

travis: Add sonarcloud build

travis: Automatically retry install steps

There occasionally are network issues when fetching from Ubuntu/PPA
repos.  Let's see if this is a possible fix.

swanctl: Allow passing a custom config file for each --load* command

Mainly for debugging, but could also be used to e.g. use a separate file
for connections and secrets.

Merge branch 'ikev2-ppk'

Adds support for Postquantum Preshared Keys for IKEv2.

Fixes #2710.

testing: Add some PPK scenarios

swanctl: Report the use of a PPK in --list-sas

If we later decide the PPK_ID would be helpful, printing this on a
separate line would probably make sense.