android: Change format for error strings

Place the dot in the main message not the descriptions of the individual
errors.

android: Collapse Quick Settings drawer if password entry is required

android: Initiate configured default profile when triggered as Always-on VPN

With Android 8.1 this isn't triggered after a reboot until the device
has been unlocked once (solving the issue with the key store) and traffic
may optionally be blocked by the user until the VPN is established.

There are still some issues (e.g. password prompts and fatal errors), and we
might need some workaround for older Android releases.

android: Just reconnect if the tile is clicked even if there was an error

A long press click on the tile (or a click on the notification) will open
the main activity if more information about the error are necessary.

android: Allow reconnecting without confirmation in case of an error

android: Show connection errors as banner, not as modal dialog

android: Add Quick Settings tile to toggle VPN state

Only if there is no currently active (or previously active) profile does
this currently operate on the configured (or stored most recently used)
profile.  This way it's possible to use a different connection and
quickly disable and re-enable it again.  When unlocked the profile name
is shown, when locked a generic text is used (this detection doesn't seem
to work 100% reliably).  To disconnect, the user is forced to unlock the
device, connecting is possible without, if the credentials are available
and no fatal error occurs (it even works with the system credential store,
at least on Android 8.1).

Note that the tile is not available right after a reboot.  It seems that
the system has to be unlocked once to activate third-party tiles (will
be interesting to see how this works together with Always-on VPN).

android: Store the ID of the most recently used profile as preference

android: Add settings activity and default profile selection

The default profile can then be used for a Quick Settings tile or the
Always-on VPN feature.

android: Reset error state after user confirmed it

This allows other listeners to change their display.

android: Use specific icon when connecting to the VPN

android: Use a handler to show/remove notification from main UI thread

This avoids races that were previously seen (e.g. when disconnecting
while connecting, which sometimes showed a "Disconnecting..."
notification).

android: Use separate activity to control VPN connections

This way we don't have to open the main window, but only show a dialog
if necessary (or nothing in many cases).

android: Migrate onAttach() from deprecated version

android: Make certificate import activity properly transparent

android: Remove deprecated progress indicator in MainActivity

Support for this was already removed with API level 21. On modern
devices loading CA certs should be quick enough anyway.

android: Replace deprecated ProgressDialog during profile import

android: Add notification channel for API level 26+

Unfortunately, setLockscreenVisibility() doesn't seem to have any
effect. So the full notification is shown unless the user manually
configures the notification settings.

android: Set compile-/targetSdkVersion to 26

This allows us to add tiles to Quick Settings and enabling the Always-on
VPN feature in the VPN settings (both require API level 24, but 26 will
be required as targetSdkVersion later this year).

android: Show profile ID at bottom of advanced settings

Can be selected and copied to the clipboard to use in automation
software that doesn't support the shortcut.

android: Accept a profile's UUID when initiating

android: Add additional Intent filter for import Activity with MIME type mask

Chrome creates such an Intent when opening downloaded files (not when
directly opening them), a MIME type is set, but apparently not ours.

android: UUID is now mandatory

Unless there are profiles created with old versions of the app (< 1.8.0)
that were never updated since, all profiles should already have a UUID
assigned.  If not, we do that now with a DB migration.

android: Show an error dialog if we can't get permission for VPNs

This is either because a third-party VPN app has the always-on feature
enabled, or because the user denied the permission in the system's confirmation
dialog.

If the always-on feature is enabled for a connection of the built-in VPN
client we get an IllegalStateException, for which we show an updated and
clearer error message.

android: Suppress self-assign warnings with clang

These are triggered by the little endian functions in byteorder.h.

atomics: Use type of destination in CAS implementation

The type of the value was incorrect (void**) if NULL was passed to cas_ptr()
as expected value, which caused a compiler warning with Clang because
__atomic_compare_exchange_n() expects the types of the first two arguments
to be the same.

atomics: Define HAVE_GCC_ATOMIC_OPERATIONS when building with clang

We should probably check for stdatomic.h and use the c11 functions if
available.

android: Build native libraries for all non-deprecated ABIs

armeabi has been superseded by armeabi-v7a and the MIPS ABIs were removed
with the latest NDK (r17), after being marked deprecated for a while.
By not specifying APP_ABI we build for all non-deprecated ABIs.

android: Update Gradle plugin and wrapper

ike: Include length of reassembled IKE message in log message

Also simplify wording a bit when fragmenting.

dhcp: Only use DHCP server port if explicitly configured

If a DHCP server is running on the same host it isn't necessary to
bind the server port and might even cause conflicts.

kernel-pfkey: Avoid updating policies if nothing significant changed

The FreeBSD kernel doesn't update policies atomically, causing
unnecessary traffic loss during simple rekeyings.

Fixes #2677.

settings: Fix compilation with newer versions of Clang

Depending on the actual va_list definition it's not valid to compare it
directly or assign NULL.

Merge branch 'ike-proposal-switch'

This allows switching the originally selected IKE config (based on the
IPs and IKE version) to a different one if no matching proposal is found.

This way we don't rely that much on the order of configs anymore and it's
possible to configure separate configs for clients that require weak
algorithms.

testing: Fix IKE proposal in swanctl/net2net-gw scenario

Also simplify config by using references.

backend-manager: Change how IKE/peer config matches are logged

Instead of logging the search parameters for IKE configs (which were already
before starting the lookup) we log the configured settings.

The peer config lookup is also changed slightly by doing the IKE config
match first and skipping some checks if that or the local peer identity
doesn't match.

Replace 'inacceptable' with the more common 'unacceptable'

child-cfg: Allow suppressing log messages when selecting traffic selectors

Although being already logged on level 2, these messages are usually just
confusing if they pop up randomly in the log when e.g. querying the configs
or installing traps.  So after this the log messages will only be logged when
actually proposing or selecting traffic selectors during IKE.

ike-init: Switch to an alternative config if proposals don't match

This way we don't rely on the order of equally matching configs as
heavily anymore (which is actually tricky in vici) and this also doesn't
require repeating weak algorithms in all configs that might potentially be
selected if there are some clients that require them.

There is currently no ordering, so an explicitly configured exactly matching
proposal isn't a better match than e.g. the default proposal that also
contains the proposed algorithms.

ike-auth: Consider negotiated IKE proposal when selecting peer configs

In some scenarios we might find multiple usable peer configs with different
IKE proposals.  This is a problem if we use a config with non-matching
proposals that later causes IKE rekeying to fail.  It might even be a problem
already when creating the CHILD_SA if the proposals of IKE and CHILD_SA
are consistent.

ike-cfg: Add method to check if config contains matching proposal

This way we can check whether the config should be considered or not if
we have a selected proposal.

proposal: Add method to check if two proposals match

Similar to select() but does not return a proposal and does not log
anything.

child-cfg: Log the selected proposal on level 1

ike-cfg: Log the selected proposal on level 1

backend-manager: Add enumerator over all matching IKE configs

backend-manager: Simplify sorting peer configs

testing: Add wrapper for systemctl to collect leaks from charon-systemd

Similar to the wrapper around `service` added with 71d59af58aea, this
sets the variable only when running the automated tests.

Merge branch 'settings-references'

This adds the ability to reference existing sections to the settings parser.
Mainly for swanctl.conf, where this could simplify complex configs a lot
as redundant information has only to be specified once and may then be
included in other sections (there is an example in the man page and
there are some in the unit tests).

Also added is a new setting in filelog sections to specify the path of
the log file (in case it contains characters that are not allowed in section
names). We should encourage people to configure their log files that way
which might allow use to prohibit dots in section names in the future.

daemon: Allow configuration of logfile path as value

Some characters are not allowed in section names, this way they can
still be used in paths of log files.

conf: Document reference syntax

settings: Properly lock when extending sections or adding fallbacks

There was a potential chance for a race condition if the ensured section
was purged for some reason before using it later.

This also changes the behavior for NULL/empty strings via load_string*
with merge == FALSE, which now purges the config/section.

settings-test: Add option to use the frontend to display the settings

This resolves references and redefined values. It currently doesn't work
properly if section names contain dots.

settings: Add reference feature

Similar to the `also` keyword in ipsec.conf, the new syntax allows adding
one or more references to other sections, which means all the settings and
subsections defined there are inherited (values may be overridden, even
with an empty value to clear it).

It's important to note that all subsections are inherited, so if this is
used to reference a connection in swanctl.conf all auth rounds and
children are inherited.  There is currently no syntax to limit the
inclusion level or clear inherited sections (but as mentioned, settings
in those inherited sections may be overridden).

Another property is that inherited settings or sections always follow
explicitly defined entries in the current section when they are enumerated.
This is relevant if the order is important (e.g. for auth rounds if `round`
is not specified).

References are evaluated dynamically at runtime, so referring to
sections later in the config file or included via other files is no
problem.

The colon used as separator to reference other sections may be used in
section names by writing :: (e.g. for Windows log file paths).

This is based on a patch originally written in 2016.

charon-systemd: Register journal logger as custom logger

This way we get early log messages during plugin loading (including
integrity check results).

Instead of the fallback we could also remove the `customlog` namespace,
which was added to avoid conflicts with other settings/sections.

linked-list: Order of insert_before/remove_at calls doesn't matter anymore

This was quite confusing previously:  While calling insert_before()
and then remove_at() properly replaced the current item, calling them the
other way around inserted the new item before the previous item because
remove_at() changed the enumerator's position to the previous item.

The behavior in corner cases (calling the methods before or after
enumeration) is also changed slightly.

vici: Maintain connection order when replacing one

eap-radius: Document station_id_with_port option

Version bump to 5.7.0dr4

vici: list cert_policy parameter

testing: Added swanctl/rw-ed25519-certpol scenario

ike-mobike: Always use this task for DPDs even if not behind a NAT

This allows switching to probing mode if the client is on a public IP
and this is the active task and connectivity gets restored.  We only add
NAT-D payloads if we are currently behind a NAT (to detect changed NAT
mappings), a MOBIKE update that might follow will add them in case we
move behind a NAT.

unit-tests: Add mock implementation of kernel_net_t

This is required for DPDs via ike-mobike task to work (it does a source
address lookup).

vici: Fixed crash when parsing cert_policy parameter

libimcv: Prevent integer overflow in time conversion

Version bumpt to 5.7.0dr3

libtpmtss: Query maximum TPM data transmission size

testing: Print command output if test fails

This is quite helpful to debug why a pattern didn't match.

As it could produce quite a lot of output if something is not found in a
log file, the complete output is only printed in verbose mode, otherwise,
`head` is used to print the first 10 lines of output.

We only get stdout from SSH, so the stderr redirection is only really
for errors ssh itself produces.

testing: Fixed evaltest of tnc/tnccs-20-pdp-pt-tls scenario

Version bump to 5.7.0dr2

testing: Renewed ECDSA certificates

Merge branch 'swima-reserved'

libimcv: Implementation of RFC 8412 SWIMA

libimcv: Added reserved field in SWIMA Inventory encoding

fuzz: Added PB-TNC fuzzer

libimcv: Fixed processing of PTS Request File Metadata

libimcv: Removed whitespace

libimcv: Fixed processing of PTS Simple Component Evidence

bio_reader: Fix read_uint24

fuzz: Added PA-TNC fuzzer

testing: Removed TCG SWID IMC/IMV scenarios

libimcv: Removed TCG SWID IMC/IMV support

libimcv: SWIMA SW locator must be file URI

libimcv: Updated IANA numbers assigned to SWIMA

Allow charon to change group on files before dropping caps

Allow charon to start as a non-root user without CAP_CHOWN and still be
able to change the group on files that need to be accessed by charon
after capabilities have been dropped. This requires the user charon starts
as to have access to socket/pidfile directory as well as belong to the
group that charon will run as after dropping capabilities.

Closes strongswan/strongswan#105.

starter: Reset action before handling it

Stater will lose update/reload commands when there is a second signal
coming in when the previous is still processed. This can happen more
easily with big configurations.

Closes strongswan/strongswan#101.

Version bump to 5.7.0dr1

libstrongswan: xmppaddr prefix designates an xmppAddr otherName ID type

Version bump to 5.6.3

NEWS: Add info about CVE-2018-10811

ikev2: Initialize variable in case set_key() or allocate_bytes() fails

In case the PRF's set_key() or allocate_bytes() method failed, skeyseed
was not initialized and the chunk_clear() call later caused a crash.

This could have happened with OpenSSL in FIPS mode when MD5 was
negotiated (and test vectors were not checked, in which case the PRF
couldn't be instantiated as the test vectors would have failed).
MD5 is not included in the default proposal anymore since 5.6.1, so
with recent versions this could only happen with configs that are not
valid in FIPS mode anyway.

Fixes: CVE-2018-10811

NEWS: Some minor updates

swanctl: Document new HW offload options/behavior

Version bump to 5.6.3rc1

NEWS: Added some news for 5.6.3

sw-collector: Proper cleanup if DB query fails in check operation

kernel-netlink: Use strncpy to copy interface name when configuring HW offload

Fixed some typos, courtesy of codespell

Unify format of HSR copyright statements

settings: Parse assigned values in a different context

This allows us to accept characters like = or { without having to use
quoted strings.  And we can also properly warn about unexpected quoted
strings.

settings: Support CRLF in settings parser