testing: Build current liboqs-master

qske: Updated to current round 2 liboqs candidates

oqs: Removed KAT unit tests

scripts: Added --count option to nist_kem_kat script

testing: Extended swanctl/rw-qske-l1 scenario

wip

wip: unit-tests: Add QSKE exchange tests

unit-tests: Add mock QSKE implementation

ike-sa-manager: Log SPIs when checking in an IKE_SA

wip: CHILD_SA rekey and creation testing

ikev2: Use hashes to detect retransmits

We avoid parsing messages with unexpected message IDs.  This allows us to
process and detect retransmits of messages for which we don't have the keys
anymore (i.e. IKE_INTERMEDIATE after IKE_SA_INIT and changing the keys).

This also changes how retransmits for fragmented messages are triggered,
previously we waited for all fragments and reconstructed the message
before retransmitting the response.  Now we only track the first
fragment and if we receive a retransmit of it respond immediately
without waiting for other fragments (which are now ignored).  This is in
compliance with RFC 7383, section 2.6.1.

child-create: Change how DH group/QSKE mechanism is determined

Either reuse algorithms previously used (rekeying) or use the IKE_SA's
proposal to determine a preferred group/mechanism.

child-cfg: Add method to check if an algorithm is proposed

unit-tests: Fix CHILD_SA rekey tests after INVALID_KE_PAYLOAD handling changes

The responder doesn't create a CHILD_SA and allocate an SPI anymore
when responding with an INVALID_KE_PAYLOAD notify.

wip: child-create: Prototypical support for QSKE mechanisms

wip: For some errors a more specific notify might be preferable (e.g.
INVALID_SYNTAX if a QSKE payload is missing).

oqs: Allow different paths to generate/encapsulate the shared secret

This way we don't have to generate the QSKE payload before we can query
the shared secret.

keymat_v2: Add optional qske_t argument to derive_child_keys()

child-cfg: Generalize get_dh_group() method

child-cfg: Strip QSKE mechanisms from ESP proposal when we strip DH groups

ike-auth: Calculate and collect IntAuth for IKE_INTERMEDIATE exchanges

pubkey_authenticator: Handle IntAuth data

psk_authenticator: Handle IntAuth data

eap_authenticator: Handle IntAuth data

keymat_v2: Include optional IntAuth in signed octets

authenticator: Add optional method to set IntAuth data

message: Add method to generate data to authenticate IKE_INTERMEDIATE exchanges

generator: Make pointer to length field optional

Only useful if we generate an IKE header.

message: Fix payload type in last unprotected payload of a fragmented message

keymat_v2: Add method to calculate IntAuth for IKE_INTERMEDIATE exchanges

testing: Added swanctl/rw-qske-l1 and swanctl/rw-qske-l5 scenarios

ike-rekey: Reset IKE_SA after processing CREATE_CHILD_SA request

This probably didn't cause any problems, as there wasn't really anything
happening between the calls, but reset it anyway, just to be safe.

wip: ike-init: Prototypical (optional) IKE_INTERMEDIATE exchange for QSKE mechanisms

The QSKE payloads are, by default, exchanged in a separate IKE_INTERMEDIATE
exchange after IKE_SA_INIT to leverage IKEv2 fragmentation.  It would be
possible to do that directly in IKE_SA_INIT (DH is currently not optional,
though).

Rekeying is always done with a single CREATE_CHILD_SA exchange (again,
DH is currently not optional).

The key material is derived by concatenating the DH and QSKE secrets.

wip: DH could theoretically be made optional if QSKE is used (only during
rekeying, or when not using IKE_INTERMEDIATE also during IKE_SA_INIT)

wip: HA and the ike_keys() hook on listener_t currently handle only
classic key derivation.

wip: Retransmits of IKE_INTERMEDIATE requests will fail after changing
the keys.  We either have to keep the old keys around, or use hashes to
detect retransmits (tricky with fragments, unless we retransmit the message
even if we receive the retransmit of just one fragment).

ikev2: Allow tasks to do work after processing requests/responses

task: Add optional post_process() method

This will allows tasks to do some work after a message has been
processed.

notify-payload: Add INVALID_QSKE_PAYLOAD notify type

ike-cfg: Generalize get_dh_group() method

proposal: Generalize DH methods

keymat_v2: Add optional qske_t argument to derive_ike_keys()

If given, its shared secret is appended to the secret provided by the
diffie_hellman_t implementation.

keymat_v2: Proper cleanup if derive_ike_keys() is called multiple times

keymat_v2: Add method to create QSKE implementation

ikev2: Allow tasks to do work after generating requests/responses

task: Add optional post_build() method

This will allow tasks to do some work after the message has been
generated.

unit-tests: Use simple default IKE proposal to avoid issues with IKE_INTERMEDIATE

The exchange tests don't expect an IKE_INTERMEDIATE exchange so we don't want
any QSKE methods getting negotiated (in case they are proposed in the default
proposal).

ike-auth: Support IKE_INTERMEDIATE exchange between IKE_SA_INIT and IKE_AUTH

child-create: Support IKE_INTERMEDIATE exchange between IKE_SA_INIT and IKE_AUTH

ike-mobike: Support IKE_INTERMEDIATE exchange between IKE_SA_INIT and IKE_AUTH

This changes the MID of the first IKE_AUTH message.

ike-config: Support IKE_INTERMEDIATE exchange between IKE_SA_INIT and IKE_AUTH

This changes the MID of the first IKE_AUTH message.

ike-cert-post: Make absolutely sure certificates are only added to IKE_AUTH

The AUTH payload check should be fine, but add some extra checks just to make
really sure and also for clarification.

ike-cert-pre: Support IKE_INTERMEDIATE exchange between IKE_SA_INIT and IKE_AUTH

The first IKE_AUTH does not have MID 1 if that's the case.

status: Add return_need_more() utility function

test-vectors: Added QSKE vectors

scripts: nist-kam-kat generates KEM KAT test data

The script converts the Known-Answers-Test data (KAT) for the NIST
post-quantum round 1 submission Key Encapsulation Mechanism (KEM)
candidates into a C struct amenable for our unit-tests.

unit-tests: Tests for oqs plugin

unit-tests: Fixed newhope plugin test

oqs: Created QSKE plugin based on OQS library

qske-newhope: Created NewHope QSKE plugin

stroke: Support for QSKE mechanisms

swanctl: Support for QSKE mechanisms

vici: Support for QSKE mechanisms

encoding: Transport of QSKE payload via IKE_INTERMEDIATE

crypto: Support for QSKE mechanisms

A new transform type for Quantum-Safe Key Encapsulation (QSKE)
mechanisms is defined.

Version bump to 5.8.2dr1

testing: Added drbg plugin where required

gmp: Use NIST DRBG for RSA key pair generation

stroke: List drbgs in list_algs

vici: List drbgs in get_algorithms

ntru: Replaced ntru_drbg by drbg

drbg: Implemented NIST SP-800-90A DRBG

Merge branch 'android-updates'

Makes the local identity configurable and includes a fix for Android 10,
plus a break-before-make reauth issue (not Android specific) and some
deprecation workarounds.

android: New release after making local identity configurable

This also includes a fix for Android 10 and some older fixes for
API level 28 compatibility and a crash on Huawei devices.  The API
used to detect network changes is also replaced on newer Android
versions and an issue with DELETES received during break-before-make
reauthentication is also fixed.

ike-delete: Continue break-before-make reauth if server concurrently deletes SA

There seem to be servers around that, upon receiving a delete from the
client, instead of responding with an empty INFORMATIONAL, send a delete
themselves.

android: Replace deprecated CONNECTIVITY_ACTION on newer Android versions

It was deprecated in API level 28, registerNetworkCallback is available
since API level 21, but ConnectivityManager got some updates with 24
(e.g. default network handling) so we start using it then.

android: Don't use specific key types to select user certificates

Android 10 will honor the preselection and could, thus, hide some
installed certificates if we only pass "RSA".  The dialog will also only
be shown if there are actually certificates installed (i.e. users will
have to do that manually outside of the app or via profile import).

Fixes #3196.

android: Import local identity for all authentication types

android: Allow configuration of client identity for all authentication types

This replaces the drop-down box to select certificate identities with a
text field (in the advanced settings) with auto-completion for SANs
contained in the certificate.

The field is always shown and allows using an IKE identity different from
the username for EAP authentication (e.g. to configure a more complete
identity to select a specific config on the server).

Fixes #3134.

android: Rename adapter for gateway address auto-completion

android: No auto-completion required for DNS server text box

android: Add helper to read strings from text boxes

android: Fix deprecation warning related to FragmentPagerAdapter

android: Update AndroidX libraries

android: Update Gradle plugin

kernel-pfkey: Pass ESN flag to kernel if ESN is enabled

This patch adds passing the ESN flag to the kernel if ESN was negotiated
and the appropriate flag is present in the kernel headers, which will
be the case in future FreeBSD releases.

Signed-off-by: Patryk Duda <pdk@semihalf.com>
Closes strongswan/strongswan#155.

Use Botan 2.12.1 for tests

Use Botan 2.12.0 for tests

vici: Use unique names for CHILD_SAs in the child-updown event too

The unique names were introduced for the list-sas command in commit
04c0219e55d9338b6492548c073189bfd3d5431b.  However, the child-updown
event wasn't updated to match.  Even though the documentation suggests
that the section name of the CHILD_SAs are the same in both messages.

The original name is already being returned in the "name" attribute,
so it'll still be available.

Example:

    >>> import vici, json
    >>> s = vici.Session()

    # First, for comparison, the list-sas command:
    >>> print(json.dumps(list(s.list_sas()), sort_keys=True, indent=4, separators=(',', ': ')))
    [
        {
            "vti0": {
                "child-sas": {
                    "vti0-1": {
                        ...

    # A child-updown event before the change:
    >>> for x in s.listen(["child-updown"]): print(json.dumps(x, sort_keys=True, indent=4, separators=(',', ': ')))
    [
        "child-updown",
        {
            "vti0": {
                "child-sas": {
                    "vti0": {   # <-- wrong: inconsistent with list-sas
                        ...

    # A child-updown event after the change:
    >>> s = vici.Session()
    >>> for x in s.listen(["child-updown"]): print(json.dumps(x, sort_keys=True, indent=4, separators=(',', ': ')))
    [
        "child-updown",
        {
            "vti0": {
                "child-sas": {
                    "vti0-1": {  # <-- fixed

Closes strongswan/strongswan#153.

fuzz: Add fuzzer for identification_t

travis: Bump tpm2-tss to 2.3.1

wolfssl: Fixes for building with OpenSSL compatibility layer

Resolves conflicts with building against wolfSSL when
`--enable-opensslextra` is set, namely the `WOLFSSL_HMAC_H_`,
`RNG` and `ASN1_*` name conflicts.

Closes strongswan/strongswan#151.

openssl: Don't manually seed DRBG with OpenSSL 1.1.1

According to the documentation, it's generally not necessary to manually
seed OpenSSL's DRBG (and it actually can cause the daemon to lock up
during start up on systems with low entropy if OpenSSL is already trying
to seed it itself and holds the lock).  While that might already have been
the case with earlier versions, it's not explicitly stated in their
documentation.  So we keep the code for these versions.

travis: Bump OpenSSL to 1.1.1d

daemon: Correctly re-register custom loggers in set_level()

Fixes: 2080c7e1e232 ("charon: Add custom logger to daemon")
Fixes #3182.

charon-nm: Move D-Bus conf file to $(datadir)/dbus-1/system.d

Since D-Bus 1.9.18 configuration files installed by third-party should
go in share/dbus-1/system.d. The old location is for sysadmin overrides.

Closes strongswan/strongswan#150.

conf: Fix typo in documentation of charon.rdn_matching

Fixes #3165.

Version bump to 5.8.1

Version bump to 5.8.1rc2

Version bump to 5.8.1rc1

Fixed some typos, courtesy of codespell

NEWS: Added some news for 5.8.1

ikev2: Check the length of received COOKIE notifies

As specified by RFC 7296, section 2.6, the data associated with COOKIE
notifications MUST be between 1 and 64 octets in length (inclusive).

Fixes #3160.

libipsec: Fix compiler warning with GCC 9

The compiler complains that "taking address of packed member ... of
class or structure 'ip6_hdr' may result in an unaligned pointer value".
We don't care if the address is aligned as we explicitly use untoh16()
to convert the read value.