testing: rw-ml-kem-dsa scenarios

ml: Add ML-DSA support

ml: Bug fix in ml_bitpacker

botan: Add ML-DSA support

unit-tests: Added ml_dsa test suite

scripts: Added nist_acvp script

wolfssl: Add ML-DSA support

pki: Add ML-DSA support

curve25519: Use of public_key_info_encode()

libstrongswan: Add definitions for ML-DSA keys and signatures

nm: Version bump to 1.6.3

Version bump to 6.0.2

testing: Use alternative approach for retransmits in ikev1/dpd-restart scenario

With a long delay, the retransmit might not get sent before further tests
are evaluated on faster machines, while more retransmits should still allow
the scenario to succeed on slower ones.

child-cfg: Actually force narrowing TS in transport mode only as initiator

Closes strongswan/strongswan#2830

Fixes: ad1ad2159f0b ("child-cfg: Use traffic selector list")

openssl: Don't allocate salt if PRF/hash is unknown

This can happen if e.g. AES-XCBC is selected.

Fixes: 2dbeecfc029b ("openssl: Fix testing KDF_PRF in the constructor with OpenSSL 3.5.1")

github: Shorten name for crypto-plugin job and reverse matrix arguments

This gives us more readable names in the UI.  Instead of

  crypto-plugins (ubuntu-latest, b...
  crypto-plugins (ubuntu-latest, b...
  crypto-plugins (ubuntu-latest, ...
  crypto-plugins (ubuntu-latest, ...
  crypto-plugins (ubuntu-latest, o...
  crypto-plugins (ubuntu-latest, o...

we now get

  crypto (botan, ubuntu-latest, no)
  crypto (botan, ubuntu-latest, yes)
  crypto (wolfssl, ubuntu-latest, no)
  crypto (wolfssl, ubuntu-latest, yes)
  crypto (openssl, ubuntu-latest, no)
  crypto (openssl, ubuntu-latest, yes)

openssl: Fix testing KDF_PRF in the constructor with OpenSSL 3.5.1

Setting the salt to NULL now fails, so we set it to hash length's zeroes,
which is the default value for HKDF-Extract if no salt is passed.

Fixes strongswan/strongswan#2828

Doxyfile: Don't hide set_seed() method

Fixed some typos, courtesy of codespell

Version bump to 6.0.2rc1

NEWS: Add news for 6.0.2

github: Use AWS-LC 1.55.0 for tests

github: Use OpenSSL 3.5.1 for tests

vici: Allow backlog size configuration via compile option

Signed-off-by: Thomas Egerer <thomas.egerer@secunet.com>

github: Make sure at least one run with the same content is not skipped

Version bump to 6.0.2dr3

nm: Don't set DL_LIBS to 'none required' in configure script

This copies the AC_SEARCH_LIBS check from the main strongSwan
configure.ac.

When building networkmanager-strongswan with slibtool if fails.

  ld: cannot find none: No such file or directory
  ld: cannot find required: No such file or directory

This is because configure.ac uses AC_SEARCH_LIBS to find dlopen which
sets the value of $ac_cv_search_dlopen to 'none required' which then
gets set in DL_LIBS and passed to slibtool.

With GNU libtool it silently ignores the unknown arguments.

Gentoo issue: https://bugs.gentoo.org/914100

Closes strongswan/strongswan#2141

Signed-off-by: orbea <orbea@riseup.net>

Merge branch 'android-http-proxy'

Adds support for HTTP proxy server.

Closes strongswan/strongswan#2789

android: New release after adding HTTP proxy configuration

android: Apply proxy server setting when creating TUN device

This is only available with Android 10+ (SDK 29+).

android: Avoid proxy settings in the internal fetcher

android: Allow setting proxy settings in managed profiles

android: Import proxy server settings

android: Make proxy server configurable

android: Add properties to VPN profiles for proxy server configuration

android: Don't mention IKEv1 and L2TP in app description

Also removed on Play so the app does not show up when people search
for these keywords (they tend to not read the actual description and
then are surprised that neither protocol is supported).

android: Update dependencies

identification: Clarify that ID_USER_FQDN is just an alias for ID_RFC822_ADDR

This means userfqdn: is a valid prefix for regular expressions.

swanctl: Document that IP-TFS mode is subject to mode negotiation

testing: Make sure ML-KEM scenarios use our ml plugin

We now support OpenSSL's implementation in the openssl plugin.  This
makes sure our plugin is used on at least one of the hosts if we ever
switch to an OpenSSL version that supports ML-KEM.

In the ikev2/rw-mlkem scenario the logic is reversed.  There the ml plugin
is preferred on moon to test the responder side (and carol for the
initiator) and dave will switch to OpenSSL if it ever provides ML-KEM.

Version bump to 6.0.2dr2

testing: soup plugin removed from test environment

Version bump to 6.0.2dr1

Merge branch 'libsoup3'

Ports the soup plugin to libsoup 3.

Closes strongswan/strongswan#2788

github: Use libsoup 3 for tests

Requires installing libxml2-dev explicitly for the alpine build as
libsoup-dev had a dependency on it.

leak-detective: Remove whitelisted libsoup2.x functions

As mentioned in 0f141fb095a41a9fdfe5c111269eb643dc643494, we can't
really whitelist the "leaks" in GLib, so don't even try to do anything
with libsoup3.x.

soup: Port to libsoup 3

fetcher: Remove unused FETCH_HTTP_VERSION_1_0 option

Was only used by the removed scepclient and does not serve any purpose
nowadays anyway.

unit-tests: Serial number tests depend on X.509 certificate parsing

Requires additional plugin features, but if this is available, the
others are usually as well.

wolfssl: Fix build if wolfSSL was built in OpenSSL-compat mode

Merge branch 'wolfssl-fips'

Fixes various issues when building the wolfssl plugin against wolfSSL's
FIPS module.

References strongswan/strongswan#2603
Closes strongswan/strongswan#2771

wolfssl: Unlock keys if necessary when using FIPS module

Wrap the functions that require it in PRIVATE_KEY_UNLOCK/PRIVATE_KEY_LOCK.
This can't be done at plugin initialization because it needs to be done
for every thread. strongSwan currently doesn't provide on-thread-create
callbacks for plugins so we need to wrap each direct call. Another reason
to do so is that some functions we call (e.g. wc_EccKeyToDer) internally
call PRIVATE_KEY_UNLOCK/PRIVATE_KEY_LOCK and would leave the keys locked
for that particular thread.

wolfssl: Properly initialize ECC private key object

wolfssl: Set a dummy key when testing KDF implementations

In FIPS mode, wolfSSL enforces a minimum key size for these algorithms.

test-vectors: Remove HMAC PRF test vectors with key size 4

Some implementations enforce a minimum key size (e.g. wolfSSL in FIPS
mode) and in practice, the keys will be longer anyway (e.g. our nonces
are 32 bytes).

wolfssl: Include settings.h in case WOLFSSL_USER_SETTINGS is defined

wolfssl: Use consistent defines for ECC public/private key loading

HAVE_ECC_KEY_IMPORT can be defined while HAVE_ECC_SIGN is not.
So just use the same defines we use when defining the load functions.

wolfssl: Call wc_SetSeed_Cb() as required for FIPS-mode

Merge branch 'iptfs'

This adds basic support for IP-TFS/AGGFRAG (RFC 9347).  The Linux kernel,
since 6.14, only supports aggregation/fragmentation so far.  The actual
TFS features will get added later.

testing: Add ikev2/net2net-iptfs scenario

testing: Add config for Linux 6.14

This has IP-TFS enabled.

conf: Document global IP-TFS settings

child-create: Negotiate IP-TFS mode if configured

notify-payload: Add notify type for IP-TFS/AGGFRAG

kernel-netlink: Support IPTFS mode and attributes

child-sa: Allow disabling fragmenting packets across AGGFRAG payloads

This is necessary if the peer isn't able to handle such fragments.

kernel-ipsec: Add flag to disable sending fragments across AGGFRAG payloads

We have to set this if the peer indicates that it doesn't support
handling such fragments in the notify.

vici: Make IP-TFS mode configurable

include: Add XFRM mode and attributes for IP-TFS

ipsec-types: Add new mode for IP-TFS

Added at the end as the numeric mode is e.g. used in SQL databases.

Merge branch 'per-cpu-sas'

This adds support for per-CPU SAs (RFC 9611).

testing: Add ikev2/per-cpu-sas-encap-transport scenario

Tests transport mode and UDP encapsulation with random source ports.
Interestingly, the responder always uses the same SA to respond (maybe
due to the cache on the policy).

testing: Add ikev2/per-cpu-sas-encap scenario

Basically the same as the one without UDP encapsulation, but here the
outbound SAs use random source ports.

kernel-netlink: Suppress NAT mapping updates for per-CPU SAs

As we set the remote port to 0, we'd get a mapping change message with
every packet. Setting the threshold avoids all kernel messages after the
first, which we suppress explicitly as well.

child-sa: Configure UDP encapsulation for per-CPU SAs

As the kernel does not support processing UDP-encapsulated and plain ESP
for the same SA, we require forcing UDP encapsulation if there is no NAT.

vici: Make UDP encapsulation for per-CPU SAs configurable

child-cfg: Add flag to enable UDP encapsulation for per-CPU SAs

testing: Add per-CPU SA test scenario

testing: Configure multiple virtual CPUs for moon and sun

This allows testing per-CPU SAs by e.g. pinging over a specific CPU
via taskset.

testing: Enable SMP support for latest kernels

swanctl: Report per-CPU information in --list-sas

vici: Report per-CPU SA information

vici: Make per-CPU CHILD_SAs configurable

kernel-netlink: Forward CPU ID from acquires

trap-manager: Add support to handle acquires for per-CPU SAs

kernel-handler: Log CPU ID that's passed with an acquire

kernel-interface: Optionally pass CPU ID for which an acquire was triggered

ike-sa: Accept optional CPU ID when initiating CHILD_SAs

ike-sa: Sort CHILD_SAs by CPU ID

This might make debugging easier and also ensures that a possible
fallback SA without CPU ID is established first when reestablishing
an IKE_SA.  Because even if such an SA is established first initially,
that might change later depending on when per-CPU SAs are rekeyed.

child-rekey: Maintain per-CPU values during rekeying

child-create: Add support to negotiate per-CPU SAs

updown: Don't call the script for per-CPU SAs

Rules are installed for the fallback SA that has no CPU ID assigned.

ha: Ignore per-CPU CHILD_SAs

These only work on initiators (with trap policies), which is something
the plugin doesn't support.

forecast: Ignore per-CPU CHILD_SAs

Not sure if this combination does make sense as the plugin itself would
be a major bottleneck.

Similar to the connmark plugin, PREROUTING rules list SPIs or UDP ports,
which would be necessary for all SAs while the OUTPUT rules would only be
required once.

connmark: Ignore per-CPU CHILD_SAs

The combination probably doesn't make much sense.

The OUTPUT rules would definitely only be required once, while the INPUT
and PREROUTING rules list individual SPIs and/or UDP ports, which would
be necessary for all SAs.

By the way, the rules in PREROUTING might actually not be necessary
anymore if the set_mark_in option was used for such SAs.

child-sa: Add support for per-CPU SAs

The CPU ID is also set on inbound SAs as it can be used to configure RSS
or some eBPF program.

kernel-netlink: Add support to enable per-CPU acquires on policies

kernel-netlink: Add support to set CPU ID on SA

ipsec-types: Add identifier for the maximum (=no) CPU ID

include: Add XFRM identifiers for per-CPU SAs/acquires