kernel-netlink: Check return value of both halfs when installing default route in main table

botan: Fix leak if hasher initialization fails

botan: Share code to generate RSA EMSA PSS signature identifier strings

botan: Remove unnecessary nested blocks and simplify keyid allocation

daemon: Remove redundant assignment to time_format

Version bump to 5.7.0rc1

testing: Extended Botan scenarios

NEWS: Added some news for 5.7.0

travis: Silence `git checkout` for Botan

Merge branch 'botan-plugin'

Adds a wrapper plugin for the Botan crypto library.

Closes strongswan/strongswan#109.

travis: Use a fix revision for Botan and speed up subsequent builds via ccache

travis: Use amalgamation build for Botan and build outside our source tree

This merges all source files into botan_all.cpp, which reduces the build
time by almost 50%. Building outside the strongSwan tree avoids analyzing
Botan with sonarqube.

gcrypt: Make generic DH constructor static

travis: Build botan plugin also in the tests that build everything

travis: Only add the sonarcloud addon for that build

testing: Added botan/rw-cert scenario

testing: Enable Botan and the plugin

ldconfig is required, otherwise the library won't be found by
strongSwan in the same session.

Should later be changed to 2.8.0 or a newer stable release.

botan: Add support for X25519

botan: Simplify DH/ECDH key derivation

test-vectors: Add the actual test vector from RFC 8031 for x25519

The existing test vector is from RFC 8037.

ike-init: Fix leak if KE payload creation fails

leak-detective: Add an option to ignore frees of unknown memory blocks

This also changes how unknown/corrupted memory is handled in the free()
and realloc() hooks in general.

Incorporates changes provided by Thomas Egerer who ran into a similar
issue.

travis: Add Botan build

We build Botan directly from the master branch until 2.8.0 is released.

leak-detective: Whitelist some Botan functions

Due to the mangled C++ function names it's tricky to be more specific.  The
"leaked" allocations are from a static hashtable containing EC groups.

There is another leak caused by the locking allocator singleton
(triggered by the first function that uses it, usually initialization of
 a cipher, but could be a hasher in other test runners), but we can avoid
that with a Botan config option.

botan: Adhere to configured DH exponent length

botan: Encode private keys as PKCS#8

Since we can now parse that encoding directly we can simplify the private
key export and stick to PKCS#8.

botan: Load public/private keys generically

Simplifies public key loading and this way unencrypted PKCS#8-encoded
keys can be loaded directly without pkcs8 plugin (code for encrypted
keys could probably later be added, if necessary).

It also simplifies the implementation of private_key_t::get_public_key()
a lot.

botan: Encode curve OID and public key in EC private key

Without OID we can't generate an algorithmIdentifier when loading the
key again. And older versions of OpenSSL insist on a public key when
e.g. converting a key to PKCS#8.

Simply unwrapping the ECPrivateKey structure avoids log messages when
parsing other keys in the KEY_ANY case.

pkcs1: Accept EC private keys without public key but make sure of an OID

botan: Fixes, code style changes plus some refactorings

Some changes rely on newly added FFI functions in Botan's master
branch.

botan: Add MD5 support to Botan hasher

Support MD5 in the Botan plugin if supported by Botan.
MD5 is required for RADIUS and obviously EAP-MD5,
and also for non-PKCS#8 encoded, encrypted private keys.

unit-tests: Remove 768 bits RSA gen test

Botan only allows RSA generating keys >= 1,024 bits, which makes
the RSA test suite fail. It is questionable whether it makes
sense to test 768 bit RSA keys anymore. They are too weak
from today's perspective anyway.

botan: Add Botan plugin to libstrongswan

dumm: Remove the Dynamic UML Mesh Modeler framework

This has been pretty much defunct for several years (requires a
specially patched UML-enabled guest kernel).

android: Properly set log file path

conf: Document new filelog configuration

library: Return FALSE from library_init() if loaded settings are invalid

This way daemons won't start with config files that contain errors.

settings: Don't allow dots in section/key names anymore

This requires config changes if filelog is used with a path that
contains dots. This path must now be defined in the `path` setting of an
arbitrarily named subsection of `filelog`.  Without that change the
whole strongswan.conf file will fail to load, which some users might
not notice immediately.

ike-auth: Remove unnecessary case statement

vici: Remove unreachable code

If list is TRUE any type but VICI_LIST_END and VICI_LIST_ITEM (i.e.
including VICI_END) is already handled in the first block in this
function.

vici: Lease enumerator is always defined

mem_pool_t always returns an enumerator.

stroke: Lease enumerator is always defined

This function is only called for existing pools (under the protection of
a read lock).

smp: Remove unreachable initializer

Execution in this block will start with any of the case statements,
never with the initialization.

eap-sim-pcsc: Fix leak in error case

travis: Add sonarcloud build

travis: Automatically retry install steps

There occasionally are network issues when fetching from Ubuntu/PPA
repos.  Let's see if this is a possible fix.

swanctl: Allow passing a custom config file for each --load* command

Mainly for debugging, but could also be used to e.g. use a separate file
for connections and secrets.

Merge branch 'ikev2-ppk'

Adds support for Postquantum Preshared Keys for IKEv2.

Fixes #2710.

testing: Add some PPK scenarios

swanctl: Report the use of a PPK in --list-sas

If we later decide the PPK_ID would be helpful, printing this on a
separate line would probably make sense.

vici: Return PPK state of an IKE_SA

ikev2: Mark IKE_SAs that used PPK during authentication

eap-authenticator: Add support for authentication with PPK

pubkey-authenticator: Add support for authentication with PPK

psk-authenticator: Add support for authentication with PPK

ike-auth: Add basic PPK support

Some of the work will have to be done in the authenticators.

ike-auth: Replace `== NULL` with `!`

authenticator: Add optional method to set PPK

ike-init: Send USE_PPK notify as appropriate

swanctl: Report PPK configuration in --list-conns

vici: Make PPK related options configurable

peer-cfg: Add properties for PPK ID and whether PPK is required

ike-sa: Add flag for PPK extension

keymat_v2: Add support for PPKs

swanctl: Add support for PPKs

vici: Add support for PPKs

shared-key: Add a new type for Postquantum Preshared Keys

Using a separate type allows us to easily check if we have any PPKs
available at all.

ikev2: Add notify types for Postquantum Preshared Keys

unit-tests: Add tests for peer_cfg_t::replace_child_cfgs()

peer-cfg: Replace equal child configs with newly added ones

Otherwise, renamed child configs would still be known to the daemon
under their old name.

Fixes #2746.

crypto: References to RFCs 8410 and 8420

Normalize whitespace in boilerplate files

Now all consistently use 2 or 4 (HACKING) spaces for indentation.

README: Fix indentation

init: Reload configurations/credentials as well during systemctl reload

swanctl: Add --reauth option to --rekey command

vici: Add option to reauthenticae instead of rekey an IKEv2 SA

Merge branch 'xfrm-set-mark'

This adds the ability to configure marks the in- and/or outbound SA
should apply to packets after processing on Linux.  Configuring such a mark
for outbound SAs requires at least a 4.14 kernel.  The ability to set a mask
and configuring a mark/mask for inbound SAs will be added with the upcoming
4.19 kernel.

child-sa: Use SA matching mark as SA set mark if the latter is %same

For inbound processing, it can be rather useful to apply the mark to the
packet in the SA, so the associated policy with that mark implicitly matches.
When using %unique as match mark, we don't know the mark beforehand, so
we most likely want to set the mark we match against.

ipsec-types: Restrict the use of %unique and other keywords when parsing marks

%unique (and the upcoming %same key) are usable in specific contexts only.
To restrict the user from using it in other places where it does not get the
expected results, reject such keywords unless explicitly allowed.

vici: Document kernel requirements for set_mark_in/set_mark_out options

vici: Make in-/outbound marks the SA should set configurable

child-sa: Configure in-/outbound mark the SA should set

child-cfg: Add properties for in-/outbound mark the SA should set

kernel-netlink: Add support for setting mark/mask an SA should apply to processed traffic

kernel-netlink: Use larger buffer for event messages

ikev1: Increase DPD sequence number only after receiving a response

We don't retransmit DPD requests like we do requests for proper exchanges,
so increasing the number with each sent DPD could result in the peer's state
getting out of sync if DPDs are lost.  Because according to RFC 3706, DPDs
with an unexpected sequence number SHOULD be rejected (it does mention the
possibility of maintaining a window of acceptable numbers, but we currently
don't implement that).  We partially ignore such messages (i.e. we don't
update the expected sequence number and the inbound message stats, so we
might send a DPD when none is required).  However, we always send a response,
so a peer won't really notice this (it also ensures a reply for "retransmits"
caused by this change, i.e. multiple DPDs with the same number - hopefully,
other implementations behave similarly when receiving such messages).

Fixes #2714.

Remove ITA references

ikev1: Signal IKE_SA connection failure via bus

This is mainly for HA where a passive SA was already created when the
IKE keys were derived.  If e.g. an authentication error occurs later that
SA wouldn't get cleaned up.

aggressive-mode: Trigger alerts for authentication failures

main-mode: Local identity is always defined

main-mode: Also trigger a PEER_AUTH_FAILED alert if authorize() fails

main-mode: Signal local/peer auth failure via bus

Signed-off-by: Thomas Egerer <thomas.egerer@secunet.com>

custom-logger: Add optional reload method

The reload of the configuration of the loggers so far only included
the log levels. In order to support the reload of all other options,
a reload function may be implemented.

Signed-off-by: Thomas Egerer <thomas.egerer@secunet.com>

ike-sa-manager: Log message when scheduling delete for reauthenticated IKE_SA

Merge branch 'ip-header-fields'

Adds new options that allow configuring how/whether certain fields in
the IP headers are copied during IPsec processing. Currently only allows
configuration on Linux.

Closes strongswan/strongswan#104.

kernel: Add option to control DS field behavior

kernel: Add options to control DF and ECN header bits/fields via XFRM

The options control whether the DF and ECN header bits/fields are copied
from the unencrypted packets to the encrypted packets in tunnel mode (DF only
for IPv4), and for ECN whether the same is done for inbound packets.

Note: This implementation only works with Linux/Netlink/XFRM.

Based on a patch by Markus Sattler.

vici: Add error handling to message parsing in Perl bindings

vici: Improve message parsing performance in Perl bindings

During a test with ~12000 established SAs it was noted that vici
related operations hung.
The operations took over 16 minutes to finish. The time was spent in
the vici message parser, which was assigning the message over and over
again, to get rid of the already parsed portions.

First fixed by cutting the consumed parts off without copying the message.
Runtime for ~12000 SAs is now around 20 seconds.

Further optimization brought the runtime down to roughly 1-2 seconds
by using an fd to read through the message variable.

Closes strongswan/strongswan#103.

kernel-netlink: Align concatenated Netlink responses

The code to support parallel Netlink queries (commit 3c7193f) made use
of nlmsg_len member from struct nlmsghdr to allocate and copy the
responses. Since NLMSG_NEXT is later used to parse these responses, they
must be aligned, or the results are undefined.

Signed-off-by: Thomas Egerer <thomas.egerer@secunet.com>