Ensure buffer in bio_writer_t is properly increased

The previous code was problematic if bufsize/increase was smaller than 8
and an u_int64_t was written when the buffer was too small.  Also, for
large chunks and small bufsizes realloc() was called several times
instead of just once.

Added tests for bio_reader_t

Add getter for the number of leaks to leak_detective_t

Added tests for utils/enum.c

Gracefully handle NULL as argument for enum_from_name()

Additional tests for identification_t added

Fail DN parsing if OID is unterminated

This is the case if the last OID is not followed by a = or if the string
starts with a =.

Fix DN printing if last RDN has an empty value

Fix DN parsing if last RDN has an empty value

Fix output of ASN.1 GN

Use chunk_from_str in identification_from_string

We always have a non-empty string in those cases as "" is now handled
as ID_ANY.

Use local variable in chunk_from_str()

This allows using strdup() or other string functions as argument
without calling them twice.

Parse empty string as ID_ANY

Added tests for utils/utils.[ch]

Allow memstr() to be called with NULL arguments

Removed unused clalloc() function

timeval_add_ms() fixed

1000000us are exactly 1s so.

Additional tests for chunk_t

Also capture coverage data for tests but filter them from the result

Otherwise calls from test cases to static inline functions are not captured.

Add tests for lib->get|set

Remove dead code in token enumerator

Since we always search for the nearest separator (and strip them from
the front of the next token) there can't be any separators left at the
end of a token.

Additional and improved enumerator_t tests

Test remove and remove_at of hashtable_t if all items are in the same bucket

Add test cases for invoke_* and clone_* of linked_list_t

Improve tests for linked_list_t.replace()

Add additional tests for linked_list_t

Improved test for linked_list_t.insert_before()

Enable coverage report for libstrongswan

Add --enable-coverage configure option

This configure flag enables lcov [1] coverage generation and is intended
to be used with unit tests (--enable-unit-tests is implied).

A html coverage report can be generated by issuing the following command
in the toplevel build directory:

make coverage

[1] - http://ltp.sourceforge.net/coverage/lcov.php

Based on a patch by Adrian-Ken Rueegsegger.

Use proper type for enumerator_t/linked_list_t tests

Worked with -O2 but not with -O0.

Converted test for recursive mutex_t

Randomly allocate chunk_hash() key during first use

This avoids hash flooding attacks.

Replace chunk_hash() with output from chunk_mac()

The quality is way better, the calculation is a bit slower though.

The key is statically initialized to zero, which will be changed later
to prevent hash flooding.

Adding chunk_mac() which calculates a 64-bit MAC using SipHash-2-4

Converted tests for chunk_t

Converted and added tests for hashtable_t

Converted tests for identification_t

Remove obsolete enumerator/linked_list tests in unit_tester plugin

Add tests combining linked_list_t and enumerators

Some minor Doxygen fixes for linked_list_t

Add basic tests for linked_list_t

Redirect test runner output to stderr

This allows redirecting stdout of 'make check' to /dev/null.

Add tests for enumerator_t

Add test runner for unit tests in libstrongswan

testing: Increase base image size so there is space for test results on winnetou

testing: Ignore errors when searching for imcv log entries in daemon.log

Added missing string for full-length HMAC-SHA512 signer

attr: Fix handling of invalid IPs listed after valid ones

Invalid IPs listed after a valid one resulted in an attribute
of the same type but with invalid data.

attr: fix a compiler warning that family is used uninitialized (seen with -Os)

Strictly memwipe_check() for magic only in the affected buffer

Passing back the buffer address we memwipe() is not ideal, as it could, in
theory, change the behavior of the compiler and not-optimize memwipe(). But
as checking a larger stack is very difficult for different architectures
and compilers, we do it nonetheless for now.

Allow memwipe() to be called with NULL argument

kernel-netlink: add outer addresses to policy when using BEET mode

openssl: add support for IP addr blocks in X.509 certificates

Make plugins in standalone libimcv configurable

host-resolver: don't try to resolve a plain v4 address to an IPv6 address

Suppress 'Address family for hostname not supported' errors if a IPv6
client connects in a mixed IPv4/IPv6 environment.

traffic-selector: inet_pton is successful only if it returns 1

updown: pass IKE_SA unique ID in PLUTO_UNIQUEID

capabilities: leak-detective using dlsym() does not need CAP_SYS_NICE anymore

capabilities: initialize supplementary groups only when doing a setuid()

af-alg: fix number of signers after adding untruncated HMAC-SHA-512 (1f2a34d6)

Raise LOCAL_AUTH_FAILED alert after receiving AUTHENTICATION_FAILURE

testing: Set terminal title when logging in via SSH

Since we always log in as root use a simpler command prompt. And don't
store duplicate commands in the bash command history.

openssl: Only warn about unavailable FIPS mode if the user requested it

Merge branch 'charon-cmd-pkcs12'

Adds support for PKCS#12 files in charon-cmd and ipsec.secrets.

Also fixes the cleanup of the OpenSSL library in the openssl plugin.

stroke: Add second password if provided

Load pkcs7 plugin in charon (and while we are at it in nm)

stroke: Fail silently if another builder calls PW callback after giving up

Also reduced the number of tries to 3.

stroke: Cache passwords so the user is not prompted multiple times for the same password

To verify/decrypt a PKCS#12 container a password might be needed
multiple times.  If it was entered correctly we don't want to bother the
user again with another password prompt.
The passwords for MAC creation and encryption could be different so the
user might be prompted multiple times after all.

stroke: Fix prompt and error messages in passphrase callback

stroke: Load credentials from PKCS#12 files (P12 token)

openssl: Cleanup thread specific error buffer

openssl: Don't use deprecated CRYPTO_set_id_callback() with OpenSSL >= 1.0.0

openssl: Add PKCS#12 parsing via OpenSSL

openssl: Properly cleanup OpenSSL library

charon-cmd: Add support for PKCS#12 files

PEM plugin loads PKCS#12 containers from (DER-encoded) files

It is not actually able to handle PEM encoded PKCS#12 files produced
by OpenSSL.

Remove pluto specific certificate types

charon-cmd: match_me/match_other are optional in callback credentials

charon-cmd: Request password for private keys

Add support for untruncated HMAC-SHA-512

Also support 128-bit RC2

Add pkcs12 plugin which adds support for decoding PKCS#12 containers

Function added to convert a hash algorithm to an HMAC integrity algorithm

Support the PKCS#5/PKCS#12 encryption scheme used by OpenSSL for private keys

Register PKCS#8 builder for KEY_ANY

Add support for PKCS#7/CMS encrypted-data

Move PKCS#12 key derivation to a separate file

PKCS#5 wrapper can decrypt PKCS#12-like schemes

Add test vectors for RC2

Fix cleanup in crypto_tester if a crypter fails

Add implementation of the RC2 block cipher (RFC 2268)

Extract function to convert ASN.1 INTEGER object to u_int64_t

Extract PKCS#5 handling from pkcs8 plugin to separate helper class

Merge branch 'charon-cmd-agent'

Adds support for authentication via ssh-agent to charon-cmd (RSA and ECDSA keys
are currently supported).

The new sshkey plugin parses SSH public keys in RFC 4253 format.

SSH public keys can be configured with the left|rightsigkey ipsec.conf option,
which replaces left|rightrsasigkey and takes a public key in one of three
formats: SSH (RFC 4253, ssh: prefix), DNSKEY (RFC 3110, dns: prefix, not the
full RR, only the actual RSA key), or PKCS#1 (the default, no prefix).
As before the keys are either encoded in hex (0x) or base64 (0s).
left|rightsigkey also accepts the path to a file containing a PEM or DER
encoded public key.

charon-cmd: Changed formatting of optional arguments in usage information

Optional arguments have to be specified with = after the option.

charon-cmd: --agent optionally takes the path to an ssh-agent socket

If not given it is read from the SSH_AUTH_SOCK environment variable.

charon-cmd: Stop processing options if an argument is missing or an option not recognized

charon-cmd: Properly initialize options with no additional lines

agent: Use sshkey plugin to parse keys, adds support for ECDSA

sshkey: Add support for ECDSA keys