Version bump to 5.7.2dr3

testing: Added botan/net2net-pkcs12 scenario

testing: Migrated openssl-ikev2/net2net-pkcs12 scenario to swanctl

testing: Removed openssl-ikev2/rw-eap-tls-only scenario

testing: Removed openssl-ikev2/net2net-pgp-v3 scenario

testing: migrated openssl-ikev2/critical-extension to swanctl

testing: Migrated openssl/rw-cert scenario to swanctl

testing: Migrated openssl-ikev2/ecdsa-pkcs8 scenario to swanctl

testing: Migrated openssl brainpool scenarios to swanctl

testing: Migrated openssl alg-ecp-low scenarios to swanctl

testing: Migrated openssl alg-ecp-high scenarios

testing: Migrated openssl alg-camellia scenarios to swanctl

testing: Removed openssl alg-aes-gcm and alg-blowfish scenarios

testing: Removed openssl suite B scenarios

testing: Moved openssl ecdsa-certs scenarios to swanctl

leak-detective: Use hashtable to cache ignored/whitelisted backtraces

Checking for whitelisted functions in every backtrace is not very
efficient.  And because OpenSSL 1.1 does no proper cleanup anymore until
the process is terminated there are now a lot more "leaks" to ignore.
For instance, in the openssl-ikev2/rw-cert scenario, just starting and
stopping the daemon (test vectors are checked) now causes 3594 whitelisted
leaks compared to the 849 before.  This prolonged the shutdown of the
daemon on each guest in every scenario, amounting to multiple seconds of
additional runtime for every affected scenario.  But even with this
patch there is still some overhead, compared to running the scenarios on
jessie.

leak-detective: Whitelist additional OpenSSL functions used by libcurl

scripts: Include botan in dh_speed.sh and pubkey_speed.sh

Also, using sudo is not necessary in dh_speed.sh.

openssl: Fix some const issues with OpenSSL 1.1.0

openssl: Don't use functions deprecated with OpenSSL 1.1.0

Version bump to 5.7.2dr2

botan: SHA-3 support

Use Botan 2.8.0 for tests

testing: Use AES-GCM for SSH connections

RC4, which was previously used for performance reasons, is not supported
anymore with newer versions of SSH (stretch still supports it, but it
requires explicit configuration on the guests when they act as clients
too - the version in Ubuntu 18.04 apparently doesn't support it anymore
at all).

AES-GCM should actually be faster (at least for larger amounts of data and
in particular with hardware acceleration).

testing: Avoid unnecessary rebuilds of components built from Git repos

Installing apparently changes the timestamp on the repo dir triggering make
to checkout and build the whole thing again.

testing: Disable predictable network interface names assigned by systemd/udev

testing: Remove unused custom OIDs from openssl.cnf files

ClientAuthentication is known in OpenSSL 1.1 and the redefinition, therefore,
causes an error.  These two OIDs are not used anyway in these config
files.

testing: Fixed evaluation in swanctl/rw-cert-pss scenario

Version bump to 5.7.2dr1

testing: Added botan/net2net-ed25519 scenario

NEWS: Add some recent changes

dhcp: Ignore DHCP OFFER messages without assigned address

FreeRADIUS seems to respond that way if it can't allocate an address to
the client.

vici: Properly handle absence of peer ID on mediation connections

Fixes #2794.

task-manager-v2: Reject requests for incomplete IKE_SAs as initiator

Based on a patch by Thomas Egerer.

mysql: Don't release the connection if transactions are still using it

Fixes #2779.

Merge branch 'botan-algos'

This adds wrappers for additional algorithms (Ed25519, ChaCha20/Poly1305,
AES-CCM) to the botan plugin and fixes some potential compile issues.

botan: Fix build without specific asymmetric crypto

botan: Fix build without AES and its modes

botan: Add support for AES-CCM

test-vectors: Add another ChaCha20/Poly1305 test vector from RFC 7539

botan: Add support for ChaCha20/Poly1305 AEAD algorithm

botan: Add support for Ed25519 keys

botan: Add helper function for signature verification

Merge branch 'ssh-eddsa'

This adds support for Ed25519/Ed448 SSH keys and their signatures via
agent plugin.

agent: Support signatures with Ed25519/Ed448 keys

sshkey: Support encoding Ed25519/Ed448 SSH public keys

sshkey: Add support for parsing Ed25519/Ed448 SSH keys

curve25519: Support loading Ed25519 public keys from simple blobs

charon-cmd: Print plugin list before parsing arguments

Helps debugging e.g. failures to load certs/keys.

Merge commit 'key-sig-schemes'

This adds the ability to return supported signature schemes (and
parameters) from a private key.

This is useful for keys on a TPM 2.0 as these can be used only with a
particular scheme (the hash algorithm and for RSA even the padding scheme
is fixed).  For RSA with PSS padding there is an additional complication
because different TPMs use different salt lengths, which we have to know
beforehand to correctly produce e.g. a certificate request (the signature
covers the algorithm identifier that describes the signature scheme).

It turned out that the new method is also useful for the agent plugin.
Newer ssh/gpg-agents support SHA-256 and SHA-512 for RSA signatures, but
not SHA-384, which we can now convey to the pubkey authenticator.
Unfortunately, older agents ignore the flags that request a SHA2 signature
and just return one with SHA-1, in such scenarios IKEv2 signature
authentication has to be disabled.

agent: Enumerate only the supported signature schemes for RSA keys

SHA-384 is not supported but is selected by signature_schemes_for_key()
for keys between 3072 and 7680 bits.

Since this is only called for IKEv2 signature authentication we don't
even provide SHA-1 anymore.  We always provide both schemes, though,
which is what pubkey-authenticator does too for RSA.

Older agents apparently just ignore the flags and always return a SHA-1
signature.  If that's the case, charon.signature_authentication has to
be disabled.

agent: Add support for RSA signatures with SHA256 and SHA512

pubkey-authenticator: Append RSAPSS salt length to debug output

travis: Build tmp2-tss from sources

libtpmtss: Generalize AIK keys to signature keys

tpm: Check FIPS-140-2 and FIPS-186-4 compliance

tpm: Return signature schemes supported by the key if TSS supports it

libtpmtss: Add enumeration of supported signature schemes to TSS2 implementations

libtpmtss: TSS can optionally return signature schemes supported by a key

signature-params: Provide option for maximum RSA/PSS salt length

However, the length now has to be resolved early, so we don't operate on
the negative constant values e.g. when generating the encoding.

pki: Query private key for supported signature schemes

pubkey-authenticator: Query private key for supported signature schemes

private-key: Add optional method that returns supported signature schemes

Merge branch 'openssl-keyid'

Closes strongswan/strongswan#116.

openssl: Remove extra semicolon

openssl: Remove arbitrary keyid length check

openssl: Fix invalid keyid length check

Check was designed for base64 conversion, however a hex conversion is
being performed, which requires more memory.

libtpmtss: Fixed inclusion of tcti-tabrmd.h header file

libvici: Wrap header in extern "C" to include it from C++

Fixes #2795.

android: New release after fixing DNS leak and some bugs

android: Force the two line button to be focusable

On newer Android versions (8+) this does not seem to be necessary (adding
the onClick handler also sets "clickable" and that in turn seems to make
it focusable), however, for older releases it is (tested with 7.1.1
keyboard navigation just skips over the button).  This was seen on a
Fire TV stick.

android: Avoid DNS leak due to blocking TUN device without DNS servers

It looks like Android 9 incorrectly continues to use the regular DNS
servers after the blocking TUN device is replaced with the actual
interface.  Setting DNS servers prevents that (since all traffic is
blocked, which ones doesn't really matter but local/loopback addresses
are rejected).
Interestingly, if the VPN server later does not assign any DNS servers, there
is no fallback to the non-VPN DNS servers for some reason (that's definitely
not as documented).  This could potentially be a problem as we don't
offer an option to configure DNS servers in the VPN profile.

Neither issue is seen on older Android versions (only tested on 7.1.1).

android: Update Gradle plugin

android: Make sure we actually have a tile when updating it

Not sure when this happens exactly, in particular because the reported
stack traces look like this

java.lang.NullPointerException:
  at org.strongswan.android.ui.VpnTileService.updateTile (VpnTileService.java:220)
  at org.strongswan.android.ui.VpnTileService.onStartListening (VpnTileService.java:97)
  at android.service.quicksettings.TileService$H.handleMessage (TileService.java:407)

which violates the API documentation for getQsTile(), which states:

  This tile is only valid for updates between onStartListening() and
  onStopListening().

But apparently that's not always the case. There have been two reports
of such a crash, both on Android 8.0 and on Xiaomi Mi 5/6 devices, so
maybe it's a bug in that particular image.

android: Fix profile selection/edit when the device is rotated

The previous code lost track of the selected profile IDs, but the
widgets maintained their state (i.e. the list item was still selected and the
edit button still enabled).  Clicking the edit button then caused a crash when
trying to get the first item in the set.

ikev1: Log traffic selectors for missing child configs

Signed-off-by: Thomas Egerer <thomas.egerer@secunet.com>

task-manager-v1: Clear retransmit alert on request retransmit

The task manager for IKEv1 issues a retransmit send alert in the
retransmit_packet() function. The corresponding retransmit cleared alert
however is only issued for exchanges we initiated after processing the
response in process_response().

For quick mode exchanges we may retransmit the second packet if the peer
(the initiator) does not send the third message in a timely manner. In
this case the retransmit send alert may never be cleared.

With this patch the retransmit cleared alert is issued for packets that
were retransmitted also when we are the responding party when we receive
the outstanding response.

Signed-off-by: Thomas Egerer <thomas.egerer@secunet.com>

sec-updater.sh: Support of Debian 9.0 and Ubuntu 18.04

travis: Don't build botan twice if installing dependencies is retried

fuzzing: Add -lm to LDFLAGS if the coverage sanitizer is used

libFuzzer apparently uses math functions (e.g. ceilf) for that sanitizer.

travis: Only build sonarcloud target if the token is available

That's not the case for pull requests that don't have access to
encrypted tokens/environment variables.

swanctl: Fix typos in usage for swanctl rekey/terminate commands

Closes strongswan/strongswan#113.

Version bump to 5.7.1

NEWS: Add info about CVE-2018-17540

gmp: Fix buffer overflow with very small RSA keys

Because `keylen` is unsigned the subtraction results in an integer
underflow if the key length is < 11 bytes.

This is only a problem when verifying signatures with a public key (for
private keys the plugin enforces a minimum modulus length) and to do so
we usually only use trusted keys.  However, the x509 plugin actually
calls issued_by() on a parsed certificate to check if it is self-signed,
which is the reason this issue was found by OSS-Fuzz in the first place.
So, unfortunately, this can be triggered by sending an invalid client
cert to a peer.

Fixes: 5955db5b124a ("gmp: Don't parse PKCS1 v1.5 RSA signatures to verify them")
Fixes: CVE-2018-17540

travis: Don't build tags separately

Travis treats tags just like branches (which sonarcloud does too) and the
tagged commit is built anyway.

Version bump to 5.7.0

NEWS: Add info about CVE-2018-16151/52

gmp: Don't parse PKCS1 v1.5 RSA signatures to verify them

Instead we generate the expected signature encoding and compare it to the
decrypted value.

Due to the lenient nature of the previous parsing code (minimum padding
length was not enforced, the algorithmIdentifier/OID parser accepts arbitrary
data after OIDs and in the parameters field etc.) it was susceptible to
Daniel Bleichenbacher's low-exponent attack (from 2006!), which allowed
forging signatures for keys that use low public exponents (i.e. e=3).

Since the public exponent is usually set to 0x10001 (65537) since quite a
while, the flaws in the previous code should not have had that much of a
practical impact in recent years.

Fixes: CVE-2018-16151, CVE-2018-16152

travis: Run long-running tests first to reduce overall build time

Moving the manual matrix inclusions further up would be even better but
that doesn't seem possible.

android: Disable capabilities in the android app

capset/capget are not in the NDK headers anymore, but we didn't use them
in the app anyway.

android: Fix implementation of change_state() method in Android IMC

The signature was changed with 731e043c8e07 ("libimcv: Reset of IMC state for
new measurement cycle").

Version bump to 5.7.0rc2

swanctl: Document PPKs

Fixed some typos, courtesy of codespell

settings: Clarify that a key/value-pair can only occur once

settings-test: Remove unused variable in printf() call

vici: Fix syntax error in Ruby bindings

I guess nobody uses these.

Fixes: 2c7cfe76303b ("vici: flush-certs command flushes certificate cache")

imv-attestation: Don't use comma to separate statements

imv-agent: Don't use comma to separate statements