Added PKCS#11 private key support to the pki tool

The pki tool uses a callback credential set to read in passphrase/PIN

Pass type of requested key in the callback credential set

Support PKCS#11 keys requiring reauthentication for each operation

Do not try to log in if we already have a user session

Obseleted BUILD_PASSPHRASE(_CALLBACK) for private key loading, use credential sets

Use a dedicated build part for challenge passwords, BUILD_PASSPHRASE gets obsolete

Use credential sets to load smartcard keys

Handle PIN: as a magic keyword for prompt, use getpass() to silently read credentials

Implemented a callback based credential set, currently for shared keys only

Implemented a generic in-memory credential set, currently for shared keys only

mmap() ipsec.secrets instead malloc(), proper error checking

Splitted up the load_secrets() function

Updated ipsec.secrets.5 regarding IKEv2 smartcard support

%prompt support for smartcard PIN via "ipsec secrets"

Implemented callback PIN invocation for PKCS#11 login

Implemented keyid discovery on all modules/slots

Pass the PKCS11 keyid as chunk, not as string

Reuse generic passphrase build part, not a dedicated PIN part

Implemented private key on top of a PKCS#11 token

Extended the PKCS#11 object enumerator by attribute retrieval

Use the PKCS#11 object enumerator

Implemented a generic PKCS#11 object enumerator

Unload plugins in reverse order

Support module names in %smartcard specifier, streamlined smartcard building

Added enumerator for PKCS#11 tokens

Handle NOT_SUPPORT return value from WaitForSlot

Reenabled dlclose

Implemented a credential set on top of a PKCS#11 token

Added NSPR PR_CallOnce to leak detective whitelist

Added buffer checking variants of syslog functions to leak detective

Moved gmp plugin before users of it

Added a token add/remove callback function to the manager

Enumerate tokens and their mechanisms, wait for slot events

Depend on libcharon until we have a thread pool to use

Add enum names for CK_MECHANISM_TYPE constants

Make the PKCS#11 padding string trimming public, add null terminator

Added a getter for the library alias

Moved PKCS#11 library loading to dedicated manager

Use locking, prefer our mutex abstraction layer

Added enum names for PKCS#11 return values

Load PKCS#11 modules defined in strongswan.conf

Implemented an abstraction layer for PKCS#11 module loading

Imported the free pkcs11.h header form the Scute project

Added PKCS#11 token plugin stub

added ikev2/rw-eap-tls-only scenario

--enable eap-tls and --disable-load-warning in uml build

test_cert adapted to extended signature of get_encoding().

Fixed compiler warnings.

Moved TLS stack to its own library

Moved eap-tls plugin to libcharon, updated to 4.4.1 APIs

Implemented EAP-TLS server functionality

TLS stack keeps a copy of server/peer identities

Limit the number of EAP-TLS packets allowed

Use stricter state handling while processing TLS messages

Cleaned up the public TLS interface

Refactored common used operations into TLS crypto helper

Properly send empty EAP-TLS messages

Derive MSK for EAP-TLS authentication

Verify Server Finished message

Implemented input record decryption and verification

Implemented key derivation, output record signing and encryption

Derive master secret, create Finished message

Implemented the TLS specific PRF in its TLSv1.0 and TLSv1.2 variants

Implemented sending of Certificate, ClientKeyExchange, CertificateVerify and ChangeCipherSpec as peer

Implemented a tls_writer class to simplify TLS data generation

Implemented a tls_reader class to simplify TLS data parsing

Process ServerHello(Done), Certificate(Request) messages

Send a ClientHello to start TLS negotiation

Added TLS crypto helper, currently supports cipher suite selection

Added support for AUTH_HMAC_SHA2_256_256, used in TLS

Added stubs for handshake handling, server and peer variants

Accept follow-up fragments with a TLS message length

Added dummy/identity implementations of the different TLS record layers

Pass TLS records to newly introduced TLS stack

Added some TLS constants

(De-)fragment EAP-TLS packets, pass TLS records to upper layer

Added EAP-TLS plugin stub

Do not touch child from collision if peer deleted it

substitute obsolete function calls(bzero/index)

delete tarball files

version bump to 4.4.2

The va_list trick does not seem to be portable, revert dots-in-section fix

This reverts commit 8f50d06c354cd31fc295afc5598afff4096b5e77.

Fix segfault on 'ipsec stroke up ]' command

Fixed settings lookup if the section/key contains dots

Added NEWS for snprintf() fixes

Fix use of snprintf() in pluto subjectAltName enumeration

Fix use of snprintf() in IETF attributes to string conversion

Fix use of snprintf() in identification DN to ASCII conversion

More NEWS for HA functionality

Implemented a HA enabled in-memory address pool

Added a function to segmentate a generic integer

added NETMAP rules for the reverse direction

fixed description of ikev2/net2net-same-nets scenario

Reserving does not work, as our pools do not support acquiring arbitrary addresses

This reverts commit d1384080b3ba74f366eaf8b5f027babca3f5d607.

Mem pool does not support multiple leases for an identity

Flush any remaining cache state if an IKE_SA goes down

Added NEWS related to HA functionality

Synchronize EAP-Identity of remote peer

Reserve virtual IP of passive IKE_SAs in the local pool