cmac: Reset state before doing set_key()

af-alg: Reset hmac/xcbc state before doing set_key()

xcbc: Reset XCBC state in set_key()

If some partial data has been appended, a truncated key gets invalid if it
is calculated from the pending state.

hmac: Reset the underlying hasher before doing set_key() with longer keys

The user might have done a non-complete append, having some state in the
hasher.

Fixes #909.

crypto-tester: Test set_key() after a doing a partial append on prf/signers

While that use is uncommon in real-world use, nonetheless should HMAC set a
correct key and reset any underlying hasher.

stroke: Properly parse bliss key strength in public key constraint

eap-tnc: Free eap-tnc object if IKE_SA not found to get IPs

tnccs-20: Fix error handling in build()

android: Add messages/ita directory to tnccs-20 plugin

android: Sync libstrongswan Makefile.am and Android.mk

libtnccs: Set apidoc category to libtnccs and move plugins

libtnccs: Fix apidoc category for split IF-TNCCS 2.0 header files

Fixes 80322d2cee75 ("Split IF-TNCCS 2.0 protocol processing into
separate TNC client and server handlers").

Fixed some typos, courtesy of codespell

kernel-netlink: Copy current usage stats to new SA in update_sa()

This is needed to fix usage stats sent via RADIUS Accounting if clients
use MOBIKE or e.g. the kernel notifies us about a changed NAT mapping.
The upper layers won't expect the stats to get reset if only the IPs have
changed (and some kernel interface might actually allow such updates
without reset).

It also fixes traffic based lifetimes in such situations.

Fixes #799.

child-sa: Add a new state to track rekeyed IKEv1 CHILD_SAs

This is needed to handle DELETEs properly, which was previously done via
CHILD_REKEYING, which we don't use anymore since 5c6a62ceb6 as it prevents
reauthentication.

ikev1: Inverse check when applying received KE value during Quick Mode

Fixes Quick Mode negotiation when PFS is in use.

Version bump to 5.3.0rc1

testing: added tnc/tnccs-20-mutual scenario

Implemented PB-TNC mutual half-duplex protocol

Optionally announce PB-TNC mutual protocol capability

Split IF-TNCCS 2.0 protocol processing into separate TNC client and server handlers

Merge branch 'dh-checks'

Extend the diffie-hellman interface by success return values, and do some
basic length checks for DH public values.

encoding: Remove DH public value verification from KE payload

This commit reverts 84738b1a and 2ed5f569.

As we have no DH group available in the KE payload for IKEv1, the verification
can't work in that stage. Instead, we now verify DH groups in the DH backends,
which works for any IKE version or any other purpose.

diffie-hellman: Verify public DH values in backends

diffie-hellman: Add a bool return value to set_other_public_value()

diffie-hellman: Add a bool return value to get_my_public_value()

libimcv: Allow pts_t.set_peer_public_value() to fail

libimcv: Allow pts_t.get_my_public_value() to fail

encoding: Allow ke_payload_create_from_diffie_hellman() to fail

diffie-hellman: Use bool instead of status_t as get_shared_secret() return value

While such a change is not unproblematic, keeping status_t makes the API
inconsistent once we introduce return values for the public value operations.

load-tester: Migrate NULL DH implementation to INIT/METHOD macros

ikev1: Make sure SPIs in an IKEv1 DELETE payload match the current SA

OpenBSD's isakmpd uses the latest ISAKMP SA to delete other expired SAs.
This caused strongSwan to delete e.g. a rekeyed SA even though isakmpd
meant to delete the old one.

What isakmpd does might not be standard compliant. As RFC 2408 puts
it:

  Deletion which is concerned with an ISAKMP SA will contain a
  Protocol-Id of ISAKMP and the SPIs are the initiator and responder
  cookies from the ISAKMP Header.

This could either be interpreted as "copy the SPIs from the ISAKMP
header of the current message to the DELETE payload" (which is what
strongSwan assumed, and the direction IKEv2 took it, by not sending SPIs
for IKE), or as clarification that ISAKMP "cookies" are actually the
SPIs meant to be put in the payload (but that any ISAKMP SA may be
deleted).

encoding: Add getter for IKE SPIs in IKEv1 DELETE payloads

pki: Choose default digest based on the signature key

pki: Use SHA-256 as default for signatures

Since the BLISS private key supports this we don't do any special
handling anymore (if the user choses a digest that is not supported,
signing will simply fail later because no signature scheme will be found).

trap-manager: Add option to ignore traffic selectors from acquire events

The specific traffic selectors from the acquire events, which are derived
from the triggering packet, are usually prepended to those from the
config.  Some implementations might not be able to handle these properly.

References #860.

unit-tests: Fix settings test after merging multi-line strings

swanctl: Append /ESN to proposal for a CHILD_SA using Extended Sequence Numbers

We previously printed just the value for the "esn" keyword, which is "1", and
not helpful as such.

Fixes #904.

unit-tests: Depend on SHA1/SHA256 features for mgf1 test cases

man: More accurately describe features of the new parser in ipsec.conf(5)

settings: Merge quoted strings that span multiple lines

starter: Merge quoted strings that span multiple lines

encoding: Don't verify length of IKEv1 KE payloads

The verification introduced with 84738b1aed95 ("encoding: Verify the length
of KE payload data for known groups") can't be done for IKEv1 as the KE
payload does not contain the DH group.

charon-systemd: Optionally load plugin list from charon-systemd.load

apidoc: Limit INPUT to src subdirectory and README.md

While 0909bf6c explicitly includes the whole source tree (to cover README.md),
this has the unpleasant side effect of covering a workspace under "testing"
with all its sources, or any other potential subdirectory that exists.

utils: Fix enum_flags_to_string parameter name to match Doxygen description

attr-sql: Rename sql_attribute_t to attr_sql_provider_t

As the plugin has its origins in the sql plugin, it still uses the naming
scheme for the attribute provider implementation. Rename the class to better
match the naming scheme we use in any other plugin

ikev1: Adopt virtual IPs on new IKE_SA during re-authentication

Some clients like iOS/Mac OS X don't do a mode config exchange on the
new SA during re-authentication.  If we don't adopt the previous virtual
IP Quick Mode rekeying will later fail.

If a client does do Mode Config we directly reassign the VIPs we migrated
from the old SA, without querying the attributes framework.

Fixes #807, #810.

ikev1: Mark rekeyed CHILD_SAs as INSTALLED

Since we keep them around until they finally expire they otherwise would block
IKE_SA rekeying/reauthentication.

mem-pool: Remove entries without online or offline leases

This avoids filling up the hash table with unused/old identities.

References #841.

kernel-handler: Log new endpoint if NAT mapping changed

child-sa: Remove policies before states to avoid acquire events for untrapped policies

Merge branch 'vici-python'

Introduce a Python Egg for the vici plugin, contributed by Björn Schuberg.

NEWS: Introduce vici Python Egg

travis: Install pip to install pytest in "all" tests

This allows ./configure to detect py.test, and execute python unit tests we
provide in the vici python egg.

vici: Add support for python 3

vici: Execute python tests during "check" if py.test is available

configure: Check optional py.test availability when building with python eggs

vici: Add test of Packet layer in python library

vici: Add test of Message (de)serialization in python library

vici: Evaluate Python streamed command results, and raise CommandException

vici: Catch Python GeneratorExit to properly cancel streamed event iteration

vici: Fall back to heap buffer when vararg printing on stack fails

This avoids failures when building log event messages including larger hexdumps.

vici: Return a Python generator instead of a list for streamed responses

In addition that it may reduce memory usage and improve performance for large
responses, it returns immediate results. This is important for longer lasting
commands, such as initiate/terminate, where immediate log feedback is preferable
when interactively calling such commands.

vici: Raise a Python CommandException instead of returning a CommandResult

vici: Add initial Python egg documentation to README

vici: Use OrderedDict to handle vici responses in Python library

The default Python dictionaries are unordered, but order is important for some
vici trees (for example the order of authentication rounds).

vici: Return authentication rounds with unique names

To simplify handling of authentication rounds in dictionaries/hashtables on the
client side, we assign unique names to each authentication round when listing
connection.

vici: Rebuild ruby gem on source file changes

vici: Use default Unix vici socket if none passed to ruby constructor

While we currently have a static path instead of one generated with Autotools,
this at least is congruent to what we have in the Python library.

vici: Support non-Unix sockets for vici connections using Python

vici: Add python egg setuptools building and installation using easy_install

An uninstall target is currently not supported, as there is no trivial way with
either plain setuptools or with easy_install. pip would probably be the best
choice, but we currently don't depend on it.

vici: Generate a version specific setup.py for setuptools installation

vici: Include python package in distribution

configure: Add --enable-python-eggs and --with-pythoneggdir options

Detect easy_install for Python egg installation to install any egg we provide
in strongSwan.

vici: Add python package MIT license

vici: Expose Session as a top-level symbol in python package

vici: Introduce main API Session class in python package

vici: Add a python vici command execution handler

vici: Add vici python protocol handler

Merge branch 'swanctl-pkcs12'

Add support for loading PKCS#12 containers from a swanctl/pkcs12 directory.

Fixes #815.

swanctl: Cache entered PKCS#12 decryption secret

It is usually used more than once, but most likely the same for decryption and
MAC verification.

swanctl: Support loading PKCS#12 containers from a pkcs12 swanctl directory

swanctl: Generalize private key decryption to support other credential types

encoding: Verify the length of KE payload data for known groups

IKE is very strict in the length of KE payloads, and it should be safe to
strictly verify their length. Not doing so is no direct threat, but allows DDoS
amplification by sending short KE payloads for large groups using the target
as the source address.

ikev2: Migrate MOBIKE additional peer addresses to new SA after IKE_SA rekeying

ikev2: Immediately initiate queued tasks after establishing rekeyed IKE_SA

If additional tasks get queued before/while rekeying an IKE_SA, these get
migrated to the new IKE_SA. We previously did not trigger initiation of these
tasks, though, leaving the task unexecuted until a new task gets queued.

Version bump to 5.3.0dr2

Replace kid by aik_id in ITA TBOOT functional component

Fixed two BLISS key type identifier strings

charon-systemd: Add missing semicolon

References #887, fixes f3c83322.

osx: Include eap-gtc plugin in build instructions

Added availability of TNC AR IP address to IMVs to NEWS

Create TPM TBOOT Measurement group

vici: Use %u to print stats returned by mallinfo(3)

Fixes #886.

stroke: Use %u to print stats returned by mallinfo(3)

References #886.

charon-systemd: Add support to configure user and group via strongswan.conf

Fixes #887.

eap-radius: Increase Acct-Session-ID string buffer

As the startup timestamp needs 10 characters, we only have left 4 characters
for the IKE_SA unique identifier. This is insufficient when having 10000 IKE_SAs
or more established, resulting in non-unique session identifiers.

Fixes #889.

testing: Remove obsolete leftnexthop option from configs

ikev2: Don't set old IKE_SA to REKEYING state during make-before-break reauth

We are actually not in rekeying state, but just trigger a separate, new IKE_SA
as a replacement for the current IKE_SA. Switching to the REKEYING state
disables the invocation of both IKE and CHILD_SA updown hooks as initiator,
preventing the removal of any firewall rules.

Fixes #885.