sha2: Write final hash directly to output buffer

This avoids having the last output in internal memory that's not wiped.

References #2388.

prf-plus: Wipe seed and internal buffer

The buffer contains key material we handed out last and the seed can
contain the DH secret.

References #2388.

child-sa: Allow requesting different unique marks for in/out

When requiring unique flags for CHILD_SAs, allow the configuration to
request different marks for each direction by using the %unique-dir keyword.

This is useful when different marks are desired for each direction but the
number of peers is not predefined.

An example use case is when implementing a site-to-site route-based VPN
without VTI devices.

A use of 0.0.0.0/0 - 0.0.0.0/0 traffic selectors with identical in/out marks
results in outbound traffic being wrongfully matched against the 'fwd'
policy - for which the underlay 'template' does not match - and dropped.

Using different marks for each direction avoids this issue as the 'fwd' policy
uses the 'in' mark will not match outbound traffic.

Closes strongswan/strongswan#78.

conf: Match more characters in _ and **

\w does not match e.g. / but \S does.

trap-manager: Don't require that remote is resolvable during installation

Initiation might later fail, of course, but we don't really
require an IP address when installing, that is, unless the remote
traffic selector is dynamic. As that would result in installing a
0.0.0.0/0 remote TS which is not ideal when a single IP is expected as
remote.

child-create: Don't log CHILD_SA initiation until we know the unique ID

child-rekey: Add CHILD_SA name and unique ID to collision log messages

child-sa: Suppress CHILD_SA state changes if there is no change

Merge commit 'child-sa-rekey-tkm'

This fixes CHILD_SA rekeying with TKM and changes how we switch to the
outbound IPsec SA with Netlink/XFRM (using SPIs on the outbound policy
instead of installing the outbound SA delayed).

For charon-tkm it changes when esa_select() and esa_reset() are called,
now with the outbound policy and the inbound SA, respectively, instead
of the outbound SA in both cases.

Also fixed is a potential traffic loss when a rekey collision is lost.

charon-tkm: Call esa_reset() when the inbound SA is deleted

After a rekeying the outbound SA and policy is deleted immediately, however,
the inbound SA is not removed until a few seconds later, so delayed packets
can still be processed.

This adds a flag to get_esa_id() that specifies the location of the
given SPI.

charon-tkm: Remove unused get_other_esa_id() method

child-rekey: Don't install outbound SA in case of lost collisions

This splits the SA installation also on the initiator, so we can avoid
installing the outbound SA if we lost a rekey collision, which might
have caused traffic loss depending on the timing of the DELETEs that are
sent in both directions.

testing: Also capture stderr during test cases

The output was not correct otherwise due to the reordering of commands.

testing: Clearly mark the tests that failed

testing: Add tkm/xfrmproxy-rekey scenario

Similar to the xfrmproxy-expire scenario but here the TKM host is the
responder to a rekeying.

testing: Add pfkey/net2net-rekey scenario

testing: Add ikev2/net2net-rekey scenario

testing: Add support for counting matching lines in tests

Specifying an integer instead of YES in evaltest.dat causes the number to get
compared against the actual number of lines matching the pattern.

This may be used to count matching packets or log lines.

bus: Don't trigger child_updown() for rekeyed CHILD_SAs

We don't trigger it either when they are deleted individually.

charon-tkm: Don't select new outbound SA until the policy is installed

This tries to avoid packet loss during rekeying by delaying the usage of
the new outbound IKE_SA until the old one is deleted.

Note that esa_select() is a no-op in the current TKM implementation. And
the implementation also doesn't benefit from the delayed deletion of the
inbound SA as it calls esa_reset() when the outbound SA is deleted.

charon-tkm: Claim to support SPIs on policies

This fixes rekeying as the delayed installation of the outbound SA
caused the nonce context to be expired already.

child-sa: Install outbound SA immediately if kernel supports SPIs on policies

child-sa: Use flags to track installation of outbound SA and policies separately

kernel-netlink: Set SPI on outbound policy

This should cause the right SA to get used if there are multiple outbound
SAs and the policies are installed properly.

kernel-interface: Not all kernel interfaces support SPIs on policies

Version bump to 5.6.0dr4

testing: Added tnc/tnccs-20-ev-pt-tls scenario

swid-gen: Share SWID generator between sw-collector, imc-swima and imc-swid

sw-collector: Added --full option

sw-collector: Added --installed/removed options

Merge branch 'appveyor'

Build and run unit tests on AppVeyor Windows containers.

appveyor: Build against OpenSSL

This is mainly for the RNG needed for the exchange tests.

unit-tests: Double escape backslashes in Windows paths in settings test

That's required when these are used as include paths in settings file
strings.

unit-tests: Stringify direction in message asserts early

x86_64-w64-mingw32-gcc on Windows requires this.

unit-tests: iv_gen_seq has a dependency on RNG_STRONG

We currently don't have an RNG in Windows builds.

appveyor: Run tests on AppVeyor Windows containers

We can't enable leak detective as it is so slow then that we run into a
timeout (60 minutes).

peer-cfg: Use an rwlock instead of a mutex to safely access child-cfgs

If multiple threads want to enumerate child-cfgs and potentially lock
other locks (e.g. check out IKE_SAs) while doing so a deadlock could
be caused (as was the case with VICI configs with start_action=start).
It should also improve performance for roadwarrior connections and lots
of clients connecting concurrently.

Fixes #2374.

credential-manager: Log issuer identity if not found

auth-cfg: Don't limit subjectAltName check to received certificates

Otherwise this won't work if the certificate is only locally available.

swanctl: Read default socket from swanctl.socket option

Also read from swanctl.plugins.vici.socket so we get
libstrongswan.plugins.vici.socket if it is defined.

Fixes #2372.

swanctl: Include config snippets from conf.d subdirectory

Fixes #2371.

conf: Add support to generate include statements in .conf files

curl: Enable following redirects

The maximum number of redirects can be limited. The functionality can also
be disabled.

Fixes #2366.

ikev2: AES-CMAC-PRF-128 only uses the first 64 bits of each nonce

References #2377.

error-notify: Don't stop sending notifies after removing a disconnected listener

This prevented new listeners from receiving notifies if they joined
after another listener disconnected previously, and if they themselves
disconnected their old connection would prevent them again from getting
notifies.

farp: Only remove one tracked entry

Multiple CHILD_SAs sharing the same traffic selectors (e.g. during
make-before-break reauthentication) also have the same reqid assigned.
If all matching entries are removed we could end up without entry even
though an SA exists that still uses these traffic selectors.

Fixes #2373.

ike: Trigger CHILD_INSTALLED state change after corresponding log message

This way we get the log message in stroke and swanctl as last message
when establishing a connection. It's already like this for the IKE_SA
where IKE_ESTABLISHED is set after the corresponding log message.

Fixes #2364.

sw-collector: sw-collector.first_file setting retrieves creation date from file stats

swima-collector: Fix compile error if SWID_DIRECTORY is not defined

libimcv: Add missing files to Android.mk

Version bump to 5.6.0dr3

testing: Fixed the path of pt-tls-client

checksum: Compile sw-collector before checksum

checksum: Added pt-tls-client and sw-collector

sw-collector: Moved to its own directory and added man page

pt-tls-client: Added man page

Version bump to 5.6.0dr2

sw-collector: strip arch suffix from package names

sw-collector: Check for epoch-less Debian package versions

libtpmtss: Support of Intel TABRMD interface

Version bump to 5.6.0dr1

This major version includes the new SWIMA IMC/IMV pair which
implements the "draft-ietf-sacm-nea-swima-patnc" Internet Draft.
Full compliance to the ISO 19770-2:2015 SWID tag standard has
been achieved.

Merge branch 'swima'

testing: Added tnc/tnccs-20-nea-pt-tls scenario

testing: Adaptation to ISO 19770-2:2015 SWID standard

pt-tls-client: Support for TPM keyids

imv-swima: Implemented SW event processing

sw-collector: Query central collector database

libimcv: Moved REST API from imv_swid and imv_swima to libimcv

swidtag: strongSwan swidtag file with double underscores

sw-collector: Collects endpoint software events

imv-swima: Created SWIMA IMV plugin

imc-swima: Created SWIMA IMC plugin

unit-tests: Added IETF SWIMA PA-TNC attribute tests

libimcv: Implemented IETF SW PA-TNC attributes

libimcv: Fixed memory leak

libimcv: Corrected order of subscription flags

libimcv: Added IETF Software PA-TNC attributes

libtncif: Added IETF Software PA-TNC message subtype

libimcv: SWID tag generation and discovery

libimcv: Update database to ISO 19770-2:2015 SWID standard

testing: Fixed typo in openssl-ikev2/rw-suite-b-192 scenario

testing: Support running multiple tests with * as wildcard (e.g. ikev2/ocsp-*)

x509: Correctly encode nonce in OCSP request

The nonce value is encoded as OCTET STRING, however, the extension
values themselves must also be encoded as OCTET STRING.

swanctl: Document eap_id in remote sections

kernel-pfroute: Make sure there is a netmask when enumerating subnets

pki: Load pubkey plugin to print public keys

Since 3317d0e77b1a the public keys are printed via certificate printer,
but that only works if the public key is actually wrapped, which
requires the pubkey plugin.

Fixes: 3317d0e77b1a ("Standardized printing of certificate information")

pki: Fix typo in --print man page

sql: Use qualified names in SQL query statements

VIRTUAL is a new reserved keyword in MySQL 5.7.6 that caused some of these
queries to fail.

Fixes #2359.

stroke: Don't load configs with invalid proposals

References #2347.

ikev1: Determine transform ID before mapping integrity algorithm ID

Due to the lookup based on the mapped algorithm ID the resulting AH
proposals were invalid.

Fixes #2347.

Fixes: 8456d6f5a8e9 ("ikev1: Don't require AH mapping for integrity algorithm when generating proposal")

eap-aka-3gpp: Add plugin that implements 3GPP MILENAGE algorithm in software

This is similar to the eap-aka-3gpp2 plugin. K (optionally concatenated
with OPc) may be configured as binary EAP secret in ipsec.secrets or
swanctl.conf.

Based on a patch by Thomas Strangert.

Fixes #2326.

utils: Make second argument to memxor() const

android: New release after fixing issues with older Android versions and DB upgrade

android: Fix database update from older versions

android: Fix version string on older Android releases

SECURITY_PATCH is apparently only available since Android 6.

android: New release after fixing crash with existing profiles

android: Fix null pointer dereference with existing profiles

android: Only show disconnect button if actually connected

android: New release after adding lots of new stuff

Merge branch '2309-android-disconnect-button'

Adds a disconnect button to the permanent notification.

Fixes #2309.