man: Document where left|rightsigkey searches for public key files

swanctl: Fix the swanctl.conf cacerts option name in the manpage and template

Updated URL to swidGenerator in recipe

dumm: Undefine _GNU_SOURCE before including <ruby.h>, as it usually redefines it

Version bump to 5.2.0

NEWS: Updated URL to swidGenerator

settings: Allow spaces in time settings before the optional unit

settings: Be more strict in converting settings to specific data types

As the behavior was inconsistent for empty strings or strings with characters
appended to a number, testing the code failed on some platforms. The new rules
are more strict, returning the default if additional characters or an empty
string was found for a setting.

utils: Undefine mem{cpy,move,set} if set before defining them

Some platforms, such as OS X, use macros for these functions. Undefine them
to avoid compiler warnings.

enumerator: Enumerate glob(3) matches using gl_pathc

While glob should return a NULL terminated gl_pathv when having no matches,
at least on OS X this is not true when using GLOB_DOOFFS. Rely on the
number of matches returned in gl_pathc, which seems to be more reliable in
error cases.

xauth-pam: Add workaround for null-terminated passwords

Fixes #631.

kernel-netlink: Rename algorithm identifier from cast128 to cast5

Even if the XFRM identifier was named cast128 in the kernel before 2.6.31, it
actually never worked, because there is no such crypto algorithm.

The identifier has been changed to cast5 in
https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=245acb87
to make it work, so we should use that.

Fixes #633.

winhttp: Do not use countof() on pointer argument

optionsfrom: Properly handle errors when determining file size

windows: Fix off-by-one error in strerror_s_extended()

windows: accept() socket handle could theoretically be 0

windows: Close correct socket when opening second socket fails in socketpair()

windows: Make sure the string returned from ReadConsole() is null terminated

windows: Remove useless assignment in put_thread()

backtrace: Remove name checks after SymFromAddr() calls

The Name member is an array whose address is always defined.

pts: Avoid integer overflow when reading file names in the old IMA format

imv-attestation: Avoid memory leak when skipping unsupported work items

pts: Use memchr(3) instead of strchr(3) to extract hash algorithm name

The string read with read(2) might not be null terminated.

swid: fgets(3) returns a pointer to the read string or NULL

parser-helper: Ensure file_next() does not remove the sentinel item

gcrypt: Use predefined pthread locking functions instead of custom hooks

Starting with libgcrypt 1.6, it seems that custom locking functions are not
supported anymore. Instead, the user has to select from one of the pre-defined
set of locking functions.

Given that we have a proper threading abstraction API with optional profiling
on all platforms, this is somewhat annoying. However, there does not seem to be
a way to use custom functions, and we have no other choice than using the
provided macro magic to support all libgcrypt versions.

Fixes #630.

man: Document replay_window ipsec.conf option

stroke: Don't log unspecified options of conn and ca sections

utils: Helper macros to define overloaded macros based on number of arguments

pki: Document --online option for pki --verify and all exit codes

conf: Document load-tester.crl option

conf: Document charon.*-scripts options

conf: Document swanctl options

conf: Document aikgen options

autoconf: Replace --disable-tools option with --disable-scepclient

Since using a separate option for pki this was the only tool that was still
enabled by that option.

checksum: Fix checksum generation for pki if tools are disabled

doc: Remove obsolete architecture description and empty known bugs list

apidoc: Include *.md and files from the complete source directory (not only src)

Converted existing README to Markdown

Move README to README.md so it gets evaluated as Markdown

swid: Fix parameter documentation in Doxygen comments

windows: Fix parameter name in Doxygen comment

enum: Replace þ with p in Doxygen comments

libvici: Add missing argument to Doxygen comment

starter: Add starter group and fix formatting of conf_parser_section_t enum

Make use of the Markdown support in recent Doxygen versions.

swanctl: Fix Doxygen group assignment

apidoc: Updated Doxyfile.in

Fixed some typos

Update KVM test framework to 3.15 guest kernel

Added Android 4.4.4 to IMV database

testing: Add sql/shunt-policies-nat-rw scenario

testing: Add pfkey/shunt-policies-nat-rw scenario

kernel-pfkey: Use address in TS to determine interface for shunt routes

kernel-pfkey: Use subnet and prefix when determining nexthop for shunt policy routes

This is basically the same as 88f125f5605e54b38cf8913df79e32ec6bddff10.

kernel-pfkey: Install routes for shunt policies

testing: Remove obsolete shunt-policies scenarios

starter: Ingore %default conn and ca sections

Updated build-database.sh to 3.13.0-30-generic Ubuntu kernel

Updated description of TNC scenarios concerning RFC 7171 PT-EAP support

Removed django.db from swid scenarios

updown: Force subnet address to be numeric

windows: Include <sys/stat.h> explicitly before overloading memset()/memcpy()

fstat() in newer MinGWs is defined as non-static inline. With our new static
inline memset()/memcpy() overloads, this raises a warning. To avoid it,
explicitly include <sys/stat.h> once before defining these overloads.

eap-radius: Increase buffer for accounting attributes to maximum attribute size

Fixes #624.

kernel-netlink: Cast IPv6 address blobs to the proper type

On Android these macros are defined as functions.

android: Define HAVE_DLADDR as plugin loader checks for it

android: Update Android.mk files to match changes due to the Windows port

Makes them easier to compare to the original Makefile.am.

charon: Set CLOEXEC flag on daemon PID file and /dev/(u)random source FDs

On Fedora, SELinux complains about these open file descriptors when the
updown script invokes iptables. While it seems difficult to set the flag
on all file descriptors, this at least fixes those covered by the SELinux
policy.

As these two cases are in code executed while the daemon is still single
threaded, we avoid the use of atomic but not fully portable fdopen("e") or
open(O_CLOEXEC) calls.

Fixes #519.

utils: Add wrappers for memcpy(3), memmove(3) and memset(3)

These wrappers guarantee that calls to these functions are noops if the
number of bytes is 0, as calling them with NULL pointers is undefined
according to the C standard, even if the number of bytes is 0 (most
implementations probably ignore the pointers anyway in this case, but
lets make sure).

pki: Also check for MAX_COMMANDS when building getopt_long arguments

Completes 87e53819a6 and 0a8c399a21.

Auxiliary swid_tagstats table boosts performance

Merge branch 'algorithm-order'

Restores the behavior we had before 2e22333fb (except for RNGs), that is,
algorithms are stored in the registration order again.  Which is not optimal
as we must rely on plugins to register them in a sensible order, but ordering
them by identifier definitely caused weaker algorithms to be proposed first
in the default proposal, which was even worse.

unit-tests: Add tests for DH factory

crypto-factory: Only sort RNGs by algorithm identifier

Others remain in the order in which they were added, grouped by
algorithm identifier and sorted by benchmarking speed, if provided.

unit-tests: Add test for crypto_factory_t's rng_create method

kernel-netlink: Install virtual IPv6 addresses as deprecated

This should prevent the kernel's IPv6 source address selection algorithm
from using this address unless it is forced to by our source route.
This is helpful if split tunneling is used.

Fixes #598.

vici: Install libvici in ipseclibdir like we do with other libraries

Merge branch 'shunt-policies-routes'

Fixes #599.

kernel-netlink: Pass prefix when looking up next hop for shunt policies

kernel-netlink: Add support for destination prefix when determining next hop

kernel-interface: Add destination prefix to get_nexthop()

This allows to determine the next hop to reach a subnet, for instance, when
installing routes for shunt policies.

Merge branch 'passthrough-policies-priority'

Introduces a new priority class for policies, which allows us to install
passthrough policies with a strictly higher priority than IPsec
policies, which was not the case previously depending on the traffic
selectors.

testing: Add ikev2/shunt-policies-nat-rw scenario

testing: Remove ikev2/shunt-policies scenario

This scenario doesn't really apply anymore (especially its use of drop
policies).

shunt-manager: Install passthrough policies with highest priority

This avoids conflicts with regular IPsec policies.

Similarly, use the lowest priority for drop policies.

libipsec: Add support for new policy priority class

kernel-pfkey: Add support for new policy priority class

kernel-netlink: Add support for new policy priority class

ipsec: Add a fourth priority class for bypass policies

Remove kernel-klips plugin

kernel-netlink: Follow RFC 6724 when selecting IPv6 source addresses

Instead of using the first address we find on an interface we should
consider properties like an address' scope or whether it is temporary
or public.

Fixes #543.

Merge branch 'ipsec.conf-parser'

Replaces the ipsec.conf parser in starter.  The new parser is also based
on flex/bison but it simply returns key/value collections of all sections.
It already resolves also= and allows overriding options in all included
sections (not only %default), options set in included section can also
be cleared again (key=).  It provides other improvements too, like quoted
strings (with escape sequences), unlimited includes and better
whitespace/comment handling.

Fixes #423.
Fixes #560.

starter: Don't directly refer to source files in Makefile for unit tests

Older versions of automake have trouble recursively cleaning such
constructs properly.

starter: Explicitly allow @# at the beginning of strings

Since we treat everything after # as comment identities of type
ID_KEY_ID couldn't be parsed otherwise, unless quoted.

starter: Add --conftest option to test ipsec.conf syntax

starter: Remove old parser

starter: Use new parser to read config file

starter: Move kw_entry_t definition

starter: Remove unused ARG_LST argument type

starter: Add tests for ipsec.conf parser

unit-tests: Make fixture functions optional