openssl: Fix typo in comment

ikev2: Maintain labels during make-before-break reauthentication

github: Use run_number instead run_id as external-id for LGTM

The external-id parameter takes an int32 and the generated run_id was
apparently not valid lately, resulting in undocumented 404 errors when
submitting patches (the API endpoint probably doesn't like negative numbers
because the last accepted id was 2059658094, rejected ids were e.g.
2167472705 or 2168792083).

Version bump to 5.9.6rc1

Merge branch 'openssl-3.0'

This provides compatibility changes for OpenSSL 3.0.

github: Add a build against OpenSSL 3.0

unit-tests: Add environment variable to skip IPv6 stream tests

This is an issue e.g. when running tests in default Docker containers.

unit-tests: Add support for more than one warning per test case

Warnings are usually short (as compared to failures that contain data
dumps), so the buffer size can be reduced.

openssl: Move ENGINE-specific code into a separate file

This way we can compile it with OPENSSL_SUPPRESS_DEPRECATED for
OpenSSL 3.0, which deprecated the ENGINE API.

openssl: Remove checks and legacy compatibility code for OpenSSL < 1.0.2

More of this code was already removed with previous commits.

While versions < 1.1.1 are not officially supported anymore, 1.0.2 might
still be in use because before 3.x that was the latest version with
official FIPS support (OpenSSL apparently also provides extended commercial
support for it).

openssl: Fixes for HMAC with OpenSSL 3.0

openssl: Fixes for ECDSA with OpenSSL 3.0

configure: Move pkcs8 plugin after plugins that can parse PKCS#8 directly

With such plugins we only need the pkcs8 plugin to load encrypted files.

pkcs8: Parse the decrypted PKCS#8 structure via regular builders

This allows other plugins to parse such structures directly.  The pkcs8
plugin is called recursively again if necessary.

openssl: Fixes for RSA with OpenSSL 3.0

openssl: Fixes for DH with OpenSSL 3.0

While we could assign the DH object to a EVP_PKEY object, this won't work
with BoringSSL as it doesn't seem to support EVP_PKEY_derive() for DH.

openssl: Fixes for ECDH with OpenSSL 3.0

Uses new and non-deprecated APIs to create/generate key pairs.

openssl: PRF_KEYED_SHA1 might not be supported

The old API has been deprecated with OpenSSL 3 and direct access to the
state isn't possible via EVP API.  In the future we might just remove this
implementation but we'd probably have to implement EAP-AKA' first, which
uses HMAC-SHA-256 with IKEv2's prf+ construct to derive keys instead
of this weird construct (plus what fips-prf builds around it) that's used
by EAP-AKA.

leak-detective: Whitelist OpenSSL 3.0 functions

openssl: Move shared secret calculation to get_shared_secret()

This is a change from the multi-KE branch.

Merge branch 'ikev2-kdf-modularization'

This modularizes the IKEv2 key derivation, which makes certification (e.g.
FIPS) easier because it allows the two steps (PRF/prf+) to be implemented
by already certified third-party libraries.

For the existing third-party libraries, the two KDFs are implemented via
the respective library's HKDF implementation.  A generic implementation,
based on existing PRFs, is provided by the new kdf plugin.

keymat_v2: Use plugin-provided KDF_PRF to derive SKEYSEED

unit-tests: Hand out an actual shared secret and pubkey in mock KE implementation

Makes this a bit more realistic and makes key derivation via OpenSSL's
HKDF work during tests.

wolfssl: Implement HMAC-based IKEv2 PRFs via wolfSSL's HKDF implementation

botan: Implement HMAC-based IKEv2 PRFs via Botan's HKDF implementation

openssl: Implement HMAC-based IKEv2 PRFs via OpenSSL's HKDF implementation

kdf: Implement wrapper for IKEv2 PRFs

test-vectors: Add vectors for HMAC-based IKEv2 PRFs

crypto: Add new KDF type for IKEv2 PRFs

crypto: Adapt kdf_t interface to support KDFs with fixed output length

wolfssl: Implement prf+ via wolfSSL's HKDF implementation

botan: Implement prf+ via Botan's HKDF implementation

crypto: Remove unused prf_plus_t

kdf: Implement prf+ directly without relying on prf_plus_t

keymat_v1: Derive CHILD_SA keys without using prf_plus_t

We already expand skeyid_e in a similar fashion so do this analogous
without relying on prf_plus_t.

unit-tests: Use plugin-provided prf+ in unit test

This tests the params API and the counter overflow.

tls-hkdf: Use plugin-provided prf+

keymat_v2: Use plugin-provided prf+ to derive keys

appveyor: Enable kdf plugin on old images with OpenSSL 1.0.2/1.1.0

HKDF with expand-only mode is only available since OpenSSL 1.1.1.

android: Build and load kdf plugin for prf+

Not necessary with newer versions of OpenSSL, but our BoringSSL release
does not support HKDF yet.

testing: Load kdf plugin in all scenarios that require it

Once we use plugin-provided prf+() these won't work otherwise.

keymat_v2: Refactor CHILD_SA key derivation so it only needs one prf+ call

keymat_v2: Refactor IKE key derivation so it only needs one prf+ call

openssl: Add a prf+ implementation based on OpenSSL's HKDF implementation

The HKDF-Expand() function defined in RFC 5869 is basically the same as
IKEv2's prf+(), so we can use the former to implement the latter.
However, we can only support HMAC-based PRFs this way, which should be
fine as others are rarely used.

kdf: Add plugin that provides a default prf+ implementation

test-vectors: Add test vectors for prf+

plugin-feature: Add plugin feature for KDFs

plugin-feature: Remove 'default' case in plugin_feature_un|load()

test-vectors: Add support for KDF test vectors

crypto-factory: Use actual plugin name when testing during construction

crypto-tester: Add facility to test KDFs

vici: Report registered KDFs

stroke: List registered KDFs

crypto-factory: Add constructor and methods to create KDFs

Using some arguments directly in the constructor will allow us to fall
back on other implementations.

pkcs5: Rename kdf_t to avoid conflict

transform: Add private transform for KDFs

crypto: Add interface for key derivation functions

Merge branch 'labeled-ipsec'

This adds support for labeled IPsec with SELinux (and a proprietary mode
that can be used to match child configs).  For SELinux support, compile
with --enable-selinux.

Other changes include a combined start action (trap|start), avoiding
initiating duplicate CHILD_SAs, updating reqids if dynamic traffic
selectors change, removing reqid errors on policy updates, or querying
specific CHILD_SAs with vici's list-sas command.

Closes #3075

testing: Add DSCP scenario that uses simple labels

Instead of creating two IKE_SAs with different identities, this scenario
uses simple labels to select the correct child config.

swanctl: Add options to filter CHILD_SAs in --list-sas

vici: Add options to only return specific CHILD_SAs in list-sas()

testing: Copy comments to test log

swanctl: Report labels in --list-* commands

vici: Report security label on CHILD_SA, policies and configs

vici: Make security labels and mode configurable

kernel-netlink: Forward labels from acquires

trap-manager: Add support to handle acquires with security labels

kernel-handler: Log security label received with acquire

kernel-interface: Optionally pass security label with an acquire

ike-sa: Accept optional security label when initiating CHILD_SAs

child-rekey: Maintain security label during rekeying

selinux: Add plugin to install trap policies with generic labels

After establishing an IKE_SA, we check if any of its child configs
define generic SELinux labels and install trap policies for them if
necessary narrowed to the current (virtual) IPs.

ike-sa: Add helper to determine an IKE_SA's dynamic hosts

trap-manager: Add facility to install externally managed trap policies

This allows managing trap policies outside of the trap manager.

We'll use this to create trap policies with generic labels if trap policies
can't (or won't) be used (e.g. as responder for roadwarriors).

child-sa: Allocate a new reqid if dynamic traffic selectors are updated

If update_sa() is called and dynamic traffic selectors are changed using
new addresses, this might cause issues if we continue to use a reqid that
doesn't match the updated traffic selectors.  For instance, if the initiator
then uses make-before-break reauth from the new IP.  It's also a particular
problem in the SELinux case where multiple CHILD_SAs with specific labels
all share the same (trap) policy with generic label.  However, SAs created
after the update would not match due to the new reqid.

kernel-netlink: Allow reqid updates for policies again

This was originally added with 1551d8b13d14 ("kernel-netlink: reject
policy refcount if the reqid differs").  Since then we added code to
allocate constant reqids for the same TS, which pretty much avoids the
previous issues.

However, the reqid might have to be changed due to MOBIKE updates. And
because reqids are allocated for a complete set of traffic selectors and
not individual pairs, this can create a problem with drop policies as
those will use the old reqid (they are installed with the same priority,
reqid etc. to replace the actual IPsec policies), while unmodified
replacement policies will use the new one.  A similar issue exists for
CHILD_SAs with SELinux contexts as those all use duplicate policies (same
generic label) but can't all be updated concurrently.

kernel-interface: Add support to change the reqid in update_sa()

kernel-wfp: Use new UDP ports in update_sa()

child-sa: Support dynamically updating trap policies

child-create: Add support to handle security labels

With SELinux and without a specific label from an acquire, we abort
establishing the CHILD_SA (for the first one we prefer a childless IKE_SA,
but since that's a separate extension, we fall back to letting the initial
CHILD_SA fail as we won't propose a label).

If trap policies are not installed already (e.g. because it's impossible to
do so like as responder for roadwarriors), this will require installing
them dynamically once the IKE_SA is established.

child-create: Consider security label when comparing CHILD_SAs

child-sa: Add support for security labels

In SELinux mode we install the configured label on the policies and the
negotiated one on the SAs.  This is how it usually is configured where the
policy/configuration has a generic context and the SAs will get the actual
context of the flows assigned (the latter matches the former, so flows
match the policies but will trigger an acquire if no matching SA exists).

In the simple mode we don't pass the label to the kernel and to avoid
duplicate policy errors we also don't use it to acquire unique reqids.

kernel-interface: Optionally consider security label when allocating reqids

peer-cfg: Consider security labels when selecting child configs

child-cfg: Add method to select a security label

child-cfg: Add optional security label and mode

kernel-netlink: Add support for optional security label on SAs and policies

encoding: Remove unused TS_TYPE and ADDRESS encodings

ts-payload: Add support for TS of type TS_SECLABEL

The security labels can be retrieved in a separate list from the
regular traffic selectors.  We currently only plan to support a single
security label ourselves, so when generating we don't expect a list.

traffic-selector-substructure: Add support for TS_SECLABEL

Changes how regular address range traffic selectors are parsed as the
IKE parser currently doesn't provide sub-type parsing.

Also removed a lot of unused method definitions.

traffic-selector: Add TS_SECLABEL type

leak-detective: Whitelist selinux_check_access()

sec-label: Add enum for security label mode

sec-label: Add class to represent security labels

In accordance with SELinux, we include the null-terminator in the encoding
for now.

configure: Add option to link against libselinux

vici: Make combination of 'trap' and 'start' configurable

enum: Add helper to parse enum flags from strings

Individual flag names are separated by |.

ike: Treat action_t as flags so 'start' and 'trap' can be combined

While combining the actions could cause duplicates (while the SA is
initiated, traffic might trigger the trap and the initiation of another
CHILD_SA), the previous commit should avoid most duplicates.  If reuse_ikesa
is disabled, duplicates can't be prevented, though.

enum: Allow specifying the name used when none of the flags are set

child-create: Abort initiating a duplicate CHILD_SA

This could happen if an acquire is triggered while we respond to a
CREATE_CHILD_SA request from the peer, or if an acquire is triggered
while an IKE_SA (with its existing CHILD_SAs) is reestablished (also
with break-before-make reauthentication).  Also catches multiple
manual initiations.

Note that this ignores the traffic selectors from acquires (narrowing to
them seems rare in practice anyway).

Duplicates can still get created if e.g. both peers initiate them
concurrently.