Version bump to 6.0.0beta6

oqs: Updated Falcon signature tests to liboqs-0.8

oqs: Updated KEM algorithms to liboqs-0.8

NEWS: Add news for 6.0.0

libcharon: Enable make_before_break option by default

Enable rsa_pss by default

wolfssl: RSA-PSS with SHA3 is not supported by wolfSSL

mgf1: Support of RSA PSS with SHA3 hash

wip: fuzz: Fix build after changing default plugins

Define new default plugins

testing: Migrated wolfssl scenarios

testing: Migrated tnc scenarios to new default plugins

testing: Migrated tkm scenarios to new default plugins

testing: Migrated sql scenarios to new default plugins

testing: Migrated route-based scenarios to new default plugins

testing: Migrated pfkey scenarios to new default plugins

testing: Migrated p2pnat scenarios to new default plugins

testing: Migrated libipsec scenarios to new default plugins

testing: Migrated ha scenarios to new default plugins

testing: Migrated gcrypt-ikev2 scenarios

testing: Migrated botan scenarios

testing: Migrated af-alg scenarios

testing: Migrated ike scenarios to new default plugins

testing: Migrated ikev1-stroke to new default plugins

testing: Migrated ikev2-stroke scenarios to new default plugins

testing: Migrated ipv6-stroke scenarios to new default plugins

testing: Migrated ipv6 scenarios to new default plugins

testing: Distributed openssl-ikev1 scenarios

testing: Migrated ikev1-algs scenarios to new default plugins

testing: Migrated ikev1 scenarios to new default plugins

testing: Distributed openssl-ikev2 scenarios

testing: Migrated ikev2-algs scenarios to new default plugins

testing: Migrated ikev2 scenarios to new default plugins

oqs: Included version 4.1 of BIKE Round 3 (L1 and L3)

Requirement: liboqs-0.7.0

oqs: Support for HQC key exchange algorithm

oqs: Support of Falcon signature algorithms

ntru: Removed legacy NTRU key exchange method

newhope: Removed legacy Newhope key exchange method

bliss: Removed legacy BLISS signatures

oqs: Added signature tests

scripts: Added nist_sig_kat script

oqs: Support of Dilithium signature algorithms

testing: Added ikev2/rw-cert-qske scenario

frodo: FrodoKEM KE method

oqs: Added post-quantum KEM methods based on liboqs

scripts: Added script formatting NIST KEM KAT records into ke_test vectors

test-vectors: Added NIST KEM test vectors

key-exchange: Joint ke_test_vector format for DH and KEM

Both Diffie-Hellman (DH) and Key Encapsulation Mechanism (KEM) based
key exchange methods use a common ke_test_vector format. The
set_seed() function is used to provide deterministic private key
material for the crypto tests.

key-exchange: Add identifiers for NIST round 3 submission KEM candidates

unit-tests: Ensure listeners can track SAs via ike/child_updown/rekey()

Previously, it could happen that child_rekey() was triggered twice for
the same "old" SA.  For listeners that would mean they'd loose track as
they'd be tracking a new SA that wasn't relevant anymore and for which
no updown event would ever get triggered (it was the redundant SA in a
collision).  This new assert ensures that events are triggered in a
predictable way and listeners can track SAs properly.

ikev2: Make CHILD_SAs properly trackable during rekey collisions

As the winner of a rekey collision, we previously always triggered the
child_rekey() event once when creating the redundant SA on behalf of the
peer in the passive child-rekey task and then a second time when
creating the winning SA in the active task.  However, both calls passed
the replaced CHILD_SA as "old". This made tracking CHILD_SAs impossible
because there was no transition from the redundant, "new" SA of the
first event to the "new", winning SA of the second.  Of course, when the
second event was triggered, the redundant SA might not have existed
anymore because the peer is expected to delete it, which could happen
before the CREATE_CHILD_SA response arrives at the initiator.

This refactoring ensures that the child_rekey() event is triggered in
a way that makes the CHILD_SAs trackable in all reasonable (and even
some unreasonable) scenarios.  The event is generally only triggered
once after installing the outbound SA for the new/winning CHILD_SA.
This can be when processing the CREATE_CHILD_SA in the active child-rekey
task, or when processing the DELETE for the old SA in a passive
child-delete task.  There are some cases where the event is still
triggered twice, but it is now ensured that listeners can properly
transition to the winning SA.

Some corner cases are now also handled correctly, e.g. if a responder's
DELETE for the new CHILD_SA arrives before its CREATE_CHILD_SA response
that actually creates it on the initiator.  Also handled properly are
responders of rekeyings that incorrectly send a DELETE for the old
CHILD_SA (previously this caused both, the new and the old SA, to get
deleted).

ike-init: Indicate support for IKE_INTERMEDIATE

proposal: Prevent selection of duplicate key exchange methods

All additional (and the initial) key exchanges must use a different method.

proposal: Add helper to check if additional key exchanges are contained

proposal: Accept NONE for additional key exchanges also for IKE proposals

unit-tests: Add tests for CHILD_SA rekeying with multiple key exchanges

unit-tests: Add tests for CHILD_SA creation with multiple key exchanges

unit-tests: Tests for additional key exchanges

unit-tests: Support multiple proposals in exchange tests

vici: Increase maximum proposal length

vici: List additional key exchanges

Co-authored-by: Tobias Brunner <tobias@strongswan.org>

proposal: Add prefix for additional key exchanges when logging proposals

key-exchange: Add dynamic parser for additional key exchange methods

child-rekey: Support CHILD_SA rekeying with multiple key exchanges

unit-tests: Fix CHILD_SA rekey tests after INVALID_KE_PAYLOAD handling changes

The responder doesn't create a CHILD_SA and allocate an SPI anymore
when responding with an INVALID_KE_PAYLOAD notify.

child-create: Add support for multiple key exchanges

It also changes that payloads are built before installing the CHILD_SA
on the responder, that is, the KE payload is generated before keys are
derived, so that key_exchange_t::get_public_key() is called before
get_shared_secret(), or its internal equivalent, which could be relevant
for KE implementations that want to ensure that the key can't be
accessed again after the key derivation.

ike-rekey: Support IKE_SA rekeying with multiple key exchanges

ike-init: Add support for multiple key exchanges

Initially, this is handled with a key derivation for each
IKE_INTERMEDIATE exchange.  When rekeying the keys are derived only when
all IKE_FOLLOWUP_KE exchanges are done.

bus: Support multiple key exchanges in ike/child_keys() events

keymat_v2: Support key derivation with multiple key exchanges

key-exchange: Add helper to concatenate shared secrets of several key exchanges

keymat_v2: Proper cleanup if derive_ike_keys() is called multiple times

ike-auth: Calculate and collect IntAuth for IKE_INTERMEDIATE exchanges

The message ID of the first IKE_AUTH exchange is a safe-guard against
potential truncation attacks if IKE_INTERMEDIATE exchanges are not used
for multiple key exchanges but some other future use where the number of
exchanges might not depend on the selected proposal.

pubkey-authenticator: Handle IntAuth data

psk-authenticator: Handle IntAuth data

eap-authenticator: Handle IntAuth data

keymat_v2: Include optional IntAuth in signed octets

authenticator: Add optional method to set IntAuth data

message: Store original encrypted payload when generating fragments

If we don't do this, get_plain() will fail after generating the message
fragmented.

message: Add method to generate data to authenticate IKE_INTERMEDIATE exchanges

generator: Make pointer to length field optional

Only useful if we generate an IKE header.

keymat_v2: Add method to calculate IntAuth for IKE_INTERMEDIATE exchanges

message: Add rules for IKE_FOLLOWUP_KE exchanges

ike-header: Add IKE_FOLLOWUP_KE exchange type

notify-payload: Add notify types for multiple key exchanges

ikev2: Reject IKE_INTERMEDIATE requests after IKE_AUTH

We currently only support these exchanges for additional key exchanges,
so once we have the final keys derived and the ike-init task is removed,
we don't expect any more of them.

message: Add rules for IKE_INTERMEDIATE exchanges

ike-header: Add IKE_INTERMEDIATE exchange type

notify-payload: Add notify type for IKE_INTERMEDIATE exchange

proposal-substructure: Encode additional key exchange methods

proposal: Make all key exchange transforms optional in ESP/AH proposals

proposal: Skip all KE transforms if PROPOSAL_SKIP_KE given

transform: Add helper to check if transform type negotiates key exchange

transform: Add additional key exchange transform types

Version bump to 5.9.14

github: Use AWS-LC 1.23.0 for tests

save-keys: Fix Wireshark algorithm identifier for 3DES

Wireshark has shown the following error dialogue because the identifier
was incorrect [1]:

Error loading table 'ESP SAs': esp_sa:18: invalid value: TripleDes-CBC [RFC2451]

[1] https://github.com/wireshark/wireshark/blob/3757f42e5f0a8ee6b14a117a2fd99af759a31d98/epan/dissectors/packet-ipsec.c#L203

Closes strongswan/strongswan#2013

ike-cfg: Change how OCSP certificate requests are enabled

The previous option caused such requests to be enabled if not explicitly
disabled, which only the vici plugin did, for all other backends requests
would have been sent.

References strongswan/strongswan#2016

peer-cfg: Renumber ocsp_policy_t values so the same default applies for all backends

Only the vici plugin previously set OCSP_SEND_REPLY explicitly, all other
backends would have defaulted to OCSP_SEND_BOTH.

References strongswan/strongswan#2016

kernel-pfroute: Log ignored interfaces when listing known interfaces