utils: Typedef int128_t and u_int128_t types if supported

configure: Check for __int128 type support

Merge branch 'const-memeq'

Introduce constant time memory comparing functions for cryptographic purposes,
and a tool to test such functions or crypto transforms relying on them.

utils: Use chunk_equals_const() for all cryptographic purposes

utils: Add a constant time chunk_equals() variant for cryptographic purposes

utils: Use memeq_const() for all cryptographic purposes

utils: Add a constant time memeq() variant for cryptographic purposes

scripts: Add a tool that tries to guess MAC/ICV values using validation times

This tool shows that it is trivial to re-construct the value memcmp() compares
against by just measuring the time the non-time-constant memcmp() requires to
fail.

It also shows that even when running without any network latencies it gets
very difficult to reconstruct MAC/ICV values, as the time variances due to the
crypto routines are large enough that it gets difficult to measure the time
that memcmp() actually requires after computing the MAC.

However, the faster/time constant an algorithm is, the more likely is a
successful attack. When using AES-NI, it is possible to reconstruct (parts of)
a valid MAC with this tool, for example with AES-GCM.

While this is all theoretical, and way more difficult to exploit with network
jitter, it nonetheless shows that we should replace any use of memcmp/memeq()
with a constant-time alternative in all sensitive places.

Merge branch 'cpu-features'

Centralize all uses of CPUID to a cpu_feature class, which in theory can support
optional features of non-x86/x64 as well using architecture specific code.

sqlite: Use our locking mechanism also when sqlite3_threadsafe() returns 0

We previously checked for older library versions without locking support at
all. But newer libraries can be built in single-threading mode as well, where
we have to care about the locking.

rdrand: Reuse CPU feature detection to check for RDRAND instructions

sqlite: Show SQLite library version and thread safety flag during startup

padlock: Reuse common CPU feature detection to check for Padlock features

cpu-feature: Support Via Padlock security features

cpu-feature: Add a common class to query available CPU features

Currently supported is x86/x64 via cpuid() for some common features.

vici: Defer read/write error reporting after connection entry has been released

If a vici client registered for (control-)log events, but a vici read/write
operation fails, this may result in a deadlock. The attempt to write to the
bus results in a vici log message, which in turn tries to acquire the lock
for the entry currently held.

While a recursive lock could help as well for a single thread, there is still
a risk of inter-thread races if there is more than one thread listening for
events and/or having read/write errors.

We instead log to a local buffer, and write to the bus not before the connection
entry has been released. Additionally, we mark the connection entry as unusable
to avoid writing to the failed socket again, potentially triggering an error
loop.

aead: Create AEAD using traditional transforms with an explicit IV generator

Real AEADs directly provide a suitable IV generator, but traditional crypters
do not. For some (stream) ciphers, we should use sequential IVs, for which
we pass an appropriate generator to the AEAD wrapper.

iv-gen: Add a generic constructor to create an IV gen from an algorithm

openssl: Don't pre-initialize OpenSSL HMAC with an empty key

With OpenSSL commit 929b0d70c19f60227f89fac63f22a21f21950823 setting an empty
key fails if no previous key has been set on that HMAC.

In 9138f49e we explicitly added the check we remove now, as HMAC_Update()
might crash if HMAC_Init_ex() has not been called yet. To avoid that, we
set and check a flag locally to let any get_mac() call fail if set_key() has
not yet been called.

thread: Remove unneeded thread startup synchronization

sem_init() is deprecated on OS X, and it actually fails with ENOSYS. Using our
wrapped semaphore object is not an option, as it relies on the thread cleanup
that we can't rely on at this stage.

It is unclear why startup synchronization is required, as we can allocate the
thread ID just before creating the pthread. There is a chance that we allocate
a thread ID for a thread that fails to create, but the risk and consequences
are negligible.

libsimaka: Link against Winsock2 on Windows

The library makes use of htons/ntohs().

fips-prf: Remove superfluous <arpa/inet.h> include

As we make no use of htonl() and friends, this is unneeded, but actually
prevents a Windows build.

kernel-netlink: Fix GCC error about uninitialized variable use

get_replay_state() always returns a replay_state_len when returning a
replay state, but GCC doesn't know about that.

asn1: Undefine TIME_UTC, which is used by C11

When building with C11 support, TIME_UTC is used for timespec_get() and
defined in <time.h>. Undefine TIME_UTC for our own internal use in asn1.c.

Wipe auxiliary key store

crypto-tester: Explicitly exclude FIPS-PRF from append mode tests

This was implicitly done by the seed length check before 58dda5d6, but we
now require an explicit check to avoid that unsupported use.

fips-prf: Fail when trying to use append mode on FIPS-PRF

Append mode hardly makes sense for the special stateful FIPS-PRF, which is
different to other PRFs.

Added PB-TNC test options to strongswan.conf man page

Added tnc/tnccs-20-fail-init and tnc/tnccs-20-fail-resp scenarios

Version bump to 5.3.0

Fixed PB-TNC error handling

Added configurations for 3.18 and 3.19 KMV guest kernels

Fixed strongswan.conf man page entry of imc-attestation

Added tnc/tnccs-20-pt-tls scenario

cmac: Reset state before doing set_key()

af-alg: Reset hmac/xcbc state before doing set_key()

xcbc: Reset XCBC state in set_key()

If some partial data has been appended, a truncated key gets invalid if it
is calculated from the pending state.

hmac: Reset the underlying hasher before doing set_key() with longer keys

The user might have done a non-complete append, having some state in the
hasher.

Fixes #909.

crypto-tester: Test set_key() after a doing a partial append on prf/signers

While that use is uncommon in real-world use, nonetheless should HMAC set a
correct key and reset any underlying hasher.

stroke: Properly parse bliss key strength in public key constraint

eap-tnc: Free eap-tnc object if IKE_SA not found to get IPs

tnccs-20: Fix error handling in build()

android: Add messages/ita directory to tnccs-20 plugin

android: Sync libstrongswan Makefile.am and Android.mk

libtnccs: Set apidoc category to libtnccs and move plugins

libtnccs: Fix apidoc category for split IF-TNCCS 2.0 header files

Fixes 80322d2cee75 ("Split IF-TNCCS 2.0 protocol processing into
separate TNC client and server handlers").

Fixed some typos, courtesy of codespell

kernel-netlink: Copy current usage stats to new SA in update_sa()

This is needed to fix usage stats sent via RADIUS Accounting if clients
use MOBIKE or e.g. the kernel notifies us about a changed NAT mapping.
The upper layers won't expect the stats to get reset if only the IPs have
changed (and some kernel interface might actually allow such updates
without reset).

It also fixes traffic based lifetimes in such situations.

Fixes #799.

child-sa: Add a new state to track rekeyed IKEv1 CHILD_SAs

This is needed to handle DELETEs properly, which was previously done via
CHILD_REKEYING, which we don't use anymore since 5c6a62ceb6 as it prevents
reauthentication.

ikev1: Inverse check when applying received KE value during Quick Mode

Fixes Quick Mode negotiation when PFS is in use.

Version bump to 5.3.0rc1

testing: added tnc/tnccs-20-mutual scenario

Implemented PB-TNC mutual half-duplex protocol

Optionally announce PB-TNC mutual protocol capability

Split IF-TNCCS 2.0 protocol processing into separate TNC client and server handlers

Merge branch 'dh-checks'

Extend the diffie-hellman interface by success return values, and do some
basic length checks for DH public values.

encoding: Remove DH public value verification from KE payload

This commit reverts 84738b1a and 2ed5f569.

As we have no DH group available in the KE payload for IKEv1, the verification
can't work in that stage. Instead, we now verify DH groups in the DH backends,
which works for any IKE version or any other purpose.

diffie-hellman: Verify public DH values in backends

diffie-hellman: Add a bool return value to set_other_public_value()

diffie-hellman: Add a bool return value to get_my_public_value()

libimcv: Allow pts_t.set_peer_public_value() to fail

libimcv: Allow pts_t.get_my_public_value() to fail

encoding: Allow ke_payload_create_from_diffie_hellman() to fail

diffie-hellman: Use bool instead of status_t as get_shared_secret() return value

While such a change is not unproblematic, keeping status_t makes the API
inconsistent once we introduce return values for the public value operations.

load-tester: Migrate NULL DH implementation to INIT/METHOD macros

ikev1: Make sure SPIs in an IKEv1 DELETE payload match the current SA

OpenBSD's isakmpd uses the latest ISAKMP SA to delete other expired SAs.
This caused strongSwan to delete e.g. a rekeyed SA even though isakmpd
meant to delete the old one.

What isakmpd does might not be standard compliant. As RFC 2408 puts
it:

  Deletion which is concerned with an ISAKMP SA will contain a
  Protocol-Id of ISAKMP and the SPIs are the initiator and responder
  cookies from the ISAKMP Header.

This could either be interpreted as "copy the SPIs from the ISAKMP
header of the current message to the DELETE payload" (which is what
strongSwan assumed, and the direction IKEv2 took it, by not sending SPIs
for IKE), or as clarification that ISAKMP "cookies" are actually the
SPIs meant to be put in the payload (but that any ISAKMP SA may be
deleted).

encoding: Add getter for IKE SPIs in IKEv1 DELETE payloads

pki: Choose default digest based on the signature key

pki: Use SHA-256 as default for signatures

Since the BLISS private key supports this we don't do any special
handling anymore (if the user choses a digest that is not supported,
signing will simply fail later because no signature scheme will be found).

trap-manager: Add option to ignore traffic selectors from acquire events

The specific traffic selectors from the acquire events, which are derived
from the triggering packet, are usually prepended to those from the
config.  Some implementations might not be able to handle these properly.

References #860.

unit-tests: Fix settings test after merging multi-line strings

swanctl: Append /ESN to proposal for a CHILD_SA using Extended Sequence Numbers

We previously printed just the value for the "esn" keyword, which is "1", and
not helpful as such.

Fixes #904.

unit-tests: Depend on SHA1/SHA256 features for mgf1 test cases

man: More accurately describe features of the new parser in ipsec.conf(5)

settings: Merge quoted strings that span multiple lines

starter: Merge quoted strings that span multiple lines

encoding: Don't verify length of IKEv1 KE payloads

The verification introduced with 84738b1aed95 ("encoding: Verify the length
of KE payload data for known groups") can't be done for IKEv1 as the KE
payload does not contain the DH group.

charon-systemd: Optionally load plugin list from charon-systemd.load

apidoc: Limit INPUT to src subdirectory and README.md

While 0909bf6c explicitly includes the whole source tree (to cover README.md),
this has the unpleasant side effect of covering a workspace under "testing"
with all its sources, or any other potential subdirectory that exists.

utils: Fix enum_flags_to_string parameter name to match Doxygen description

attr-sql: Rename sql_attribute_t to attr_sql_provider_t

As the plugin has its origins in the sql plugin, it still uses the naming
scheme for the attribute provider implementation. Rename the class to better
match the naming scheme we use in any other plugin

ikev1: Adopt virtual IPs on new IKE_SA during re-authentication

Some clients like iOS/Mac OS X don't do a mode config exchange on the
new SA during re-authentication.  If we don't adopt the previous virtual
IP Quick Mode rekeying will later fail.

If a client does do Mode Config we directly reassign the VIPs we migrated
from the old SA, without querying the attributes framework.

Fixes #807, #810.

ikev1: Mark rekeyed CHILD_SAs as INSTALLED

Since we keep them around until they finally expire they otherwise would block
IKE_SA rekeying/reauthentication.

mem-pool: Remove entries without online or offline leases

This avoids filling up the hash table with unused/old identities.

References #841.

kernel-handler: Log new endpoint if NAT mapping changed

child-sa: Remove policies before states to avoid acquire events for untrapped policies

Merge branch 'vici-python'

Introduce a Python Egg for the vici plugin, contributed by Björn Schuberg.

NEWS: Introduce vici Python Egg

travis: Install pip to install pytest in "all" tests

This allows ./configure to detect py.test, and execute python unit tests we
provide in the vici python egg.

vici: Add support for python 3

vici: Execute python tests during "check" if py.test is available

configure: Check optional py.test availability when building with python eggs

vici: Add test of Packet layer in python library

vici: Add test of Message (de)serialization in python library

vici: Evaluate Python streamed command results, and raise CommandException

vici: Catch Python GeneratorExit to properly cancel streamed event iteration

vici: Fall back to heap buffer when vararg printing on stack fails

This avoids failures when building log event messages including larger hexdumps.

vici: Return a Python generator instead of a list for streamed responses

In addition that it may reduce memory usage and improve performance for large
responses, it returns immediate results. This is important for longer lasting
commands, such as initiate/terminate, where immediate log feedback is preferable
when interactively calling such commands.

vici: Raise a Python CommandException instead of returning a CommandResult

vici: Add initial Python egg documentation to README