android: Avoid IllegalStateException when importing certificates

When certificates are imported via Storage Access Framework we did handle
the selection directly in onActivityResult().  However, at that point the
activity might apparently not yet be resumed.  So committing
FragmentTransactions could result in IllegalStateExceptions due to the
potential state loss.  To avoid that we cache the returned URI and wait
until onPostResume() to make sure the activity's state is fully restored
before showing the confirmation dialog.

swanctl: Do not display rekey times for shunts

Merge branch 'list-conns-plus'

testing: Use reauthentication and set CHILD_SA rekey time, bytes and packets limits

vici list-conns sends reauthentication and rekeying time information

swanctl: --list-conns shows eap_id, xauth_id and aaa_id

testing: uses xauth_id in swanctl/xauth-rsa scenario

android: New release after reducing number of DH groups in proposal

proposal: Remove some weaker and rarely used DH groups from the default proposal

This fixes an interoperability issue with Windows Server 2012 R2 gateways.
They insist on using modp1024 for IKE, however, Microsoft's IKEv2
implementation seems only to consider the first 15 DH groups in the proposal.
Depending on the loaded plugins modp1024 is now at position 17 or even
later, causing the server to reject the proposal.  By removing some of
the weaker and rarely used DH groups from the default proposal we make
sure modp1024 is among the first 15 DH groups.  The removed groups may
still be used by configuring custom proposals.

android: Use separate label strings for text fields in login dialog

In the profile editor the password is now marked as optional in the
label, which looks a bit strange in the login dialog.

android: New release after GUI changes/additions

Merge branch 'android-gui-updates'

Removes the progress dialogs while connecting/disconnecting, updates
the VPN profile editor (floating labels, helper texts) and allows
configuration of the remote identity (disables loose identity matching),
and selection of the local identity if certificates are used.

Also fixes an issue when redirected during IKE_AUTH and increases the
NAT-T keepalive interval.

Fixes #1403.

android: Show selected user identity in profile list

This also readds the colons that were removed from the labels.

android: Allow selection of user identity in GUI

android: Add adapter for user ID selection

android: Add helper function to TrustedCertificateEntry to get subjectAltNames

Duplicates (e.g. with different types) are filtered.  If necessary we
could later perhaps add a prefix.

android: Add auto-completion to remote ID and profile name

This makes it easy to explicitly use the server's IP/hostname as remote
identity or use it in the profile name.

android: Make remote identity configurable in the GUI

android: Use TextInputLayout in login dialog

android: Use TextInputLayoutHelper in profile editor

This adds floating labels and helper texts to the form fields. It also
changed/added lots of strings in the editor.

android: Add TextInputLayout child class that displays a helper text below the text field

Also hides the error message if the text is changed.

android: Use proper namespace for custom attribute

android: Move profile name field to the bottom and use server address as hint

android: Use configured local identity in auth-cfgs

We still default to the username or subject DN if none is configured.
But we don't check if the local ID is contained in the configured
certificate.

android: Use configured remote ID in auth-cfg

If one is explicitly set we don't use loose identity matching and send it as
IDr to the server.

Closes #strongswan/strongswan#29.
Fixes #1268.

android: Pass local and remote identities as settings of a connection

android: Add fields for local and remote identities to data model

android: Avoid races between FragmentManager and state saving

onSaveInstanceState is apparently called after pausing the fragment and after
that committing any FragmentTransactions causes an IllegalStateException.
We could use commitAllowingStateLoss() but that's not really necessary
as we don't need to update when we are not active anyway.  We also don't
update the view directly after registration as this happens
asynchronously, i.e. we might be paused when it finishes.

android: Increase the NAT-T keepalive interval to potentially save battery life

In case this doesn't work out we could probably make it configurable.

References #1326.

android: Show confirmation dialog also when connecting

android: Avoid ProgressDialogs in VPN state fragment

Instead we use a ProgressBar directly in the fragment and use the
existing button to cancel the process.

android: Fix display of remediation instructions with support library

Because the support library creates its own layout manually and uses
different IDs than the list_content layout we can't use the method we
used previously (and which is actually recommended in the docs).

android: Use Fragment class from the support library to avoid deprecation warnings

For instance, onAttach() with an Activitiy as first argument was deprecated
with API level 23.  However, the overload with a Context as first argument
does obviously not get called on older API levels.  Luckily, the classes
provided by the support library handle that for us.

android: Update README.ndk

android: Use relative path for strongSwan sources

This avoids issues with recursion, which could have happened if the
strongswan directory was a symlink.

android: Fix handling of redirects during IKE_AUTH

Merge branch 'android-tabs'

This migrates some deprecated Android APIs to replacements provided by
the support library.  This also changes the theme slightly.

android: Fix color of lists and buttons on older platforms

This adds a workaround for an issue on older platforms where the list is
not properly styled with colorAccent.  Similarly applies to borderless buttons.

android: Use Activity as context for VpnProfileAdapter to fix theme

When using the application context theme customizations wouldn't get
applied for some reason.

android: Use "server" instead of "gateway" in profile editor

The term "gateway" is unfamiliar for most new users (or they confuse it
with the default gateway of their network) but they usually know that
they want to connect to a "server".

android: Define a new color scheme

This mainly changes the color of the appbar (colorPrimary), the color
of the status bar (colorPrimaryDark) is black like the default.
The accent color (colorAccent) used for controls like buttons and check
boxes is a slightly toned down version of the default.

android: Get a warning on use of deprecated features

android: Replace use of deprecate getColor() method overload

android: Make font in log view monospace again on Android 5+

android: Avoid deprecated tabs in the ActionBar in TrustedCertificatesActivity

Instead we use TabLayout and ViewPager from the support libraries.

android: Automatically reload certificates if manager is reset

No need to manually reset the fragments anymore.

android: Make TrustedCertificateManager an Observable

Observers are notified when the manager is reset (and initially when the
certificates are first loaded).

android: Switch to AppCompat/Material theme for dialogs

There is no AppCompatProgressDialog class as the use of ProgressDialog
is discouraged (instead progress bars should be placed in the layout directly).
To display the current ProgressDialog instances correctly on systems < 21 we
modify the window background color.

android: Switch to AppCompat/Material theme and use custom Toolbar as AppBar

Also includes some whitespace/formatting changes due to the switch to
Android Studio.

android: Ignore build/ in project directory

android: Update platform tools and pull in support libs

We'll have to change some stuff that Google deprecated (e.g. the tabs in
the ActionBar) and that requires changing the theme at least in activities.
Since that would look a bit inconsistent we'll change it globally and
use parts of the support library.

android: Update Android Gradle plugin and wrapper

testing: Use absolute path of imv_policy_manager

Updated products in IMV database

swanctl: list EAP type in --list-conns

testing: -D and -u options in sfdisk are not supported any more

identification: Add support for dmdName RDN (2.5.4.54)

It's listed in RFC 2256 but was later removed with RFC 4519, but there
are still some certs that use it.

Closes strongswan/strongswan#43.

leak-detective: added _IO_file_doallocate to whitelist

swanctl: log errors to stderr

testing: updated testing.conf

pool: Use correct name to remove index for CHILD_SA TS in SQLite script

Fixes #1415.

kernel-pfkey: Add support for manual priorities

Also orders policies with equals priorities by their automatic priority.

kernel-pfkey: Update priority calculation formula to the new one in kernel-netlink

Since the selectors are not exactly the same (no port masks, no interface)
some small tweaks have been applied.

kernel-netlink: Order policies with equal priorities by their automatic priority

This allows using manual priorities for traps, which have a lower
base priority than the resulting IPsec policies.  This could otherwise
be problematic if, for example, swanctl --install/uninstall is used while
an SA is established combined with e.g. IPComp, where the trap policy does
not look the same as the IPsec policy (which is now otherwise often the case
as the reqids stay the same).

It also orders policies by selector size if manual priorities are configured
and narrowing occurs.

Merge branch 'boringssl'

Adds some fixes to the openssl plugin to build against BoringSSL.

Fixes #1374.

curl: Add TLS support if libcurl is built against BoringSSL

We don't have to rely on the openssl plugin and its threading
initialization as BoringSSL is thread-safe out of the box.

openssl: BoringSSL does not support configuration

The other initialization functions are still defined but many are
apparently no-ops (this is also true for the threading initialization).

openssl: The member storing the DH exponent length has been renamed in BoringSSL

openssl: Use proper EVP macro to determine size of a hash

android: Remove OPENSSL_NO_EC* defines

Current versions of OpenSSL/BoringSSL shipped with Android support ECC.

android: OPENSSL_NO_ENGINE is now properly defined in the headers

curl: Handle LibreSSL like OpenSSL in regards to multi-threading

LibreSSL is API compatible so our openssl plugin does not need any
changes and it works fine with the curl plugin.

configure: Replace two remaining usages of AC_HAVE_LIBRARY with AC_CHECK_LIB

thread: Don't hold mutex when calling cleanup handlers while terminating

This could interfere with cleanup handlers that try to acquire
mutexes while other threads holding these try to e.g. cancel the threads.

As cleanup handlers are only queued by the threads themselves we don't need
any synchronization to access the list.

Fixes #1401.

testing: Added swanctl/rw-multi-ciphers-ikev1 scenario

Ignore Qt Creator project files

Closes strongswan/strongswan#32.

Version bump to 5.4.1dr1

Merge branch 'kernel-policies'

Extended IPsec kernel policy scheme

The kernel policy now considers src and dst port masks as well as
restictions to a given network interface. The base priority is
100'000 for passthrough shunts, 200'000 for IPsec policies,
300'000 for IPsec policy traps and 400'000 for fallback drop shunts.
The values 1..30'000 can be used for manually set priorities.

testing: Added swanctl/manual_prio scenario

Include manual policy priorities and restriction to interfaces in vici list-conn command

Implemented IPsec policies restricted to given network interface

Support manually-set IPsec policy priorities

peer-cfg: Use struct to pass data to constructor

child-cfg: Use struct to pass data to constructor

kernel-pfkey: Prefer policies with reqid over those without

kernel-pfkey: Only install templates for regular IPsec policies with reqid

testing: Add swanctl/net2net-gw scenario

shunt-manager: Install "outbound" FWD policy

If there is a default drop policy forwarded traffic might otherwise not
be allowed by a specific passthrough policy (while local traffic is
allowed).

kernel-netlink: Prefer policies with reqid over those without

This allows two CHILD_SAs with reversed subnets to install two FWD
policies each.  Since the outbound policy won't have a reqid set we will
end up with the two inbound FWD policies installed in the kernel, with
the correct templates to allow decrypted traffic.

kernel-netlink: Only associate templates with inbound FWD policies

We can't set a template on the outbound FWD policy (or we'd have to make
it optional).  Because if the traffic does not come from another (matching)
IPsec tunnel it would get dropped due to the template mismatch.

child-sa: Install "outbound" FWD policy

If there is a DROP shunt that matches outbound forwarded traffic it
would get dropped as the FWD policy we install only matches decrypted
inbound traffic.  That's because the Linux kernel first checks the FWD
policies before looking up the OUT policy and SA to encrypt the packets.

kernel-netlink: Associate routes with IN policies instead of FWD policies

This allows us to install more than one FWD policy.  We already do this
in the kernel-pfkey plugin (there the original reason was that not all
kernels support FWD policies).

kernel: Use structs to pass information to the kernel-ipsec interface

testing: List conntrack table on sun in ikev2/host2host-transport-connmark scenario

testing: Version bump to 5.4.0

References #1382.

testing: Disable leak detective when generating CRLs

GnuTLS, which can get loaded by the curl plugin, does not properly cleanup
some allocated memory when deinitializing.  This causes invalid frees if
leak detective is active.  Other invalid frees are related to time
conversions (tzset).

References #1382.

pkcs11: Skip zero-padding of r and s when preparing EC signature

They are zero padded to fill the buffer.

Fixes #1377.

chunk: Skip all leading zero bytes in chunk_skip_zero() not just the first

string: Gracefully handle NULL in str*eq() macros