add overall recommendation to session database entry

don't define a default database URI

created a simple IMV Policy Manager

register received scanner attributes

used tnc_policy_update functions for default policy

refactored IMV policy management

implemented policy rules for OS IMV

check for zero-length device ID

ITA-HSR/Device ID attribute & IMV OS state machine

execute an _imv_policy script

implemented IMV session control

Manage files and directories

Merge branch 'kernel-libipsec'

Adds a new kernel interface plugin that uses TUN devices and libipsec to
provide IPsec process in userland.

It works on Linux, FreeBSD and Mac OS X.  In particular the latter two
platforms may gain from this approach as their respective kernels don't
provide support for AES-GCM.

kernel-pfroute has been improved (source address lookup) and a second
plugin (osx-attr) installs configuration attributes (currently DNS
servers only) via SystemConfiguration on Mac OS X.

osx-attr: add plugin installing config attributes using SystemConfiguration

Currently installs DNS servers only, by prepending IP addresses to the
DNS configuration of the primary networking service.

kernel-pfroute: Simplify route lookup after fixing sockaddr parsing

kernel-pfroute: Alignment of sockaddrs is not always the same

kernel-pfroute: struct sockaddr arguments are 4 byte aligned

This was noticed on Mac OS X where, if the default route is returned,
RTA_NETMASK has sa_len set to 0, but skipping zero bytes to read the
next address makes no sense, of course.  Using 0 for sa_len seems
a bit strange, in particular, because struct sockaddr has by definition
a minimum length of 16 bytes.  But it seems FreeBSD actually does the
same.

kernel-libipsec: Ignore failures when installing routes for multicast or broadcast policies

kernel-pfroute: Improve route lookup depending on information we get back

Kernels don't provide the same information for all routes.

kernel-pfroute: Try to ensure we get a source address or interface name

ike: Force NAT-T/UDP encapsulation if kernel interface requires it

kernel-libipsec: Add a feature to request UDP encapsulation of ESP packets

tun-device: Packets sent over utun devices on Mac OS X have the protocol family prepended

kernel-pfroute: Use DST as nexthop for host routes

These are created as cache/clone on Mac OS X.

kernel-pfroute: Implement get_source_addr()

kernel-pfroute: Properly install routes with interface and gateway

kernel-libipsec: Install a gateway for routes on platforms other than Linux

This seems required e.g. on FreeBSD but doesn't work on Linux.

kernel-pfroute: Activate TUN device before setting address

On FreeBSD, for some reason, we don't learn the interface is up
otherwise.  Even though ifconfig lists it as up at the same time.

tun-device: Avoid opening /dev/tunX multiple times (e.g. on FreeBSD)

kernel-libipsec: Router reads packets from multiple TUN devices

These devices are collected via kernel_listener_t interface.

kernel-libipsec: Use separate class to route packets between charon, libipsec and TUN device

kernel-pfroute: Raise tun event when creating/destroying TUN devices for virtual IPs

kernel: Add an event kernel interfaces can raise if they create/destroy a TUN device

printf-hook: Avoid double-free when freeing Vstr config

Thread-specific objects get freed when the thread value object is
destroyed (wasn't the case earlier, i.e. before 2b19dd35), which
may cause the second call to vstr_free_conf() to fail in an assert
in Vstr (depending on how it was built).

kernel-libipsec: Track policies and automatically install routes

The routes direct traffic matching the remote traffic selector to the
TUN device.

If the remote traffic selector includes the IKE peer a very specific route
is installed to allow IKE traffic.

kernel-libipsec: Handle packets between charon socket, libipsec and TUN device

kernel-libipsec: Create a TUN device and use it to install virtual IPs

kernel-libipsec: Add plugin that implements kernel_ipsec_t using libipsec

kernel-netlink: Routes don't require a gateway/nexthop

charon-cmd: Document auxiliary options

charon-cmd: Link strongswan.conf(5) and charon-cmd(8) man pages

charon-cmd: Use fixed number of character to align command descriptions

If the command and argument is longer than that write the first line of
description to the following line.

charon-cmd: Shortened and fixed command descriptions

charon-cmd: Simplify usage output for authentication profiles

The man page describes the min full.

charon-cmd: Add Aggressive Mode profiles to man page

charon-cmd: Add man page for charon-cmd(8)

charon-cmd: Add --debug argument to set the default log level

charon-cmd: Handle simple command line arguments like --help before the others

plugin-loader: Move logging of failed features to status()

Still log an error message if critical features fail, as loaded
plugins/features are not logged in that case.

This way loaded plugins are printed before failed features and
the relation is easier to make for users.  It also allows programs
to log this message on a different level.

plugin-loader: Add method to print loaded plugins on a given log level

plugin-loader: Collect statistics while loading features, print them in case features failed to load

There is no need to explicitly search for failed features in critical
plugins as this is now detected while loading the features.

plugin-loader: Use different log level if failed feature is in critical plugin

plugin-loader: Log message when failing to load plugin

plugin-loader: Reduce verbosity while loading plugins

Fix crash if the initiator has no suitable proposal available

Could be triggered with a typo in the ike or esp options when ! is used.

Merge branch 'unit-tests-ecdsa'

Adds support for testing plugin functionality to test-runner. Introduces some
good/bad tests for ECDSA/RSA which would have caught those RSA/ECDSA signature
vulnerabilities.

leak-detective: (re-)whitelist some OpenSSL functions

Some static allocations in plugins won't get freed, because in the test case
process the plugins are not destroyed. If a plugin would clean up allocations
done while just using the plugin, these show up as leak in the child process,
letting tests fail.

unit-tests: load plugins in test-runner from build directory

unit-tests: link test-runner against -lpthread

unit-tester: remove obsolete rsa_gen test, now covered in unit-tests

unit-tests: add RSA test cases, very similar to ECDSA

unit-tests: test with /dev/urandom if random plugin is in use

unit-tests: test supported ECDSA schemes only

Move test-runners has_feature() function to plugin loader

unit-tests: enforce CET/CEST timezone to properly test non-UTC time formatting

unit-tests: don't use ck_assert() to test a cleared chunk, as it allocates data

The new allocation might be in the freed area, affecting the test result.

unit-tests: define 64-bit constats with ULL, fixing compiler warning on 32-bit

Limit cleanup of .gc{no,da} files to src and scripts subfolders

Other folders in the build tree might not be related to the strongSwan tree,
or are not even accessible.

unit-tests: test some zeroed ECDSA signatures that never should succeed

unit-tests: perform signing/validation with keys ECDSA keys generated or loaded

unit-tests: add an ECDSA test case loading keys

unit-tests: perform a first ECDSA test case if ECDSA is supported

unit-tests: add a helper function checking if a plugin feature is available

unit-tests: add a test case checking if all test vectors have been passed

crypto-factory: count the number of test vector failures during registration

unit-tests: load all libstrongswan plugins in test-runner

stroke: Add statusall-nb as alias for statusallnb

stroke: Add non-blocking versions of up and down

stroke up-nb and stroke down-nb do not block until the command has
finished.  Instead, they return right after initiating the respective
operation.

starter: Make ipsec.conf path configurable via command line

pubkey: Improve comparison of raw public key certificate objects

ikev2: use protocol of selected proposal to delete a failed CHILD_SA

Depending on the failure, the protocol might not yet be set on the CHILD_SA.

charon-cmd: use a copy of pid in initiate callback

When cancelling a connection that gets established, cmd_connection_t gets
freed before terminate() is called. This results in kill()ing invalid PID.

charon-cmd: add IKEv1 aggressive mode profiles

NEWS: Add first bunch of 5.1.0 highlights

Merge branch 'nat-transport'

Enable transport mode in NAT situations when using IKEv2. Additionally brings
an extended leftsubnet format, where each subnet can take a separate protocol
and port.

man: update ipsec.conf.5, describing new proto/port definition within leftsubnet

stroke: support %dynamic in left/rightsubnet for dynamic selectors

This has the same meaning as omitting left/rightsubnet, i.e. replace it
by the IKE address. Supporting %dynamic allows configurations with multiple
dynamic selectors in a left/rightsubnet, each with potentially different
proto/port selectors.

kernel-netlink: install selectors on SA for transport/BEET mode without proto/port

If a transport/BEET SA has different selectors for different proto/ports,
installing just the proto/port of the first SA would break any additional
selector.

stroke: support a specific proto/port for each net defined in left/rightsubnet

ikev2: properly fall back to tunnel mode if transport/BEET mode not configured

ikev2: support transport mode over NAT

Merge branch 'consistent-reqid'

Checks if a trap policy exists when installing a CHILD_SA as responder,
reuse that reqid and keeping the trap untouched. This makes auto=route on
both sides more reliable.

In addition, we no prevent to refcount an existing policy if the reqid differs;
this should not happen anymore. We now can properly reject new CHILD_SAs in
such conflicts, instead of silently breaking an existing policy.

ike: reuse the reqid of an installed trap having the same config

When we have a trap installed, but a CHILD_SA gets established for the same
config from the peer, we should reuse the same reqid. Otherwise we would have
two identical policies using different reqids, what we can't handle in our
kernel backend.

trap-manager: add a method to find reqid for installed traps by config

trap-manager: don't check-in nonexisting IKE_SA if acquire fails

trap-manager: fix a memleak when installing a trap to %any

kernel-netlink: reject policy refcount if the reqid differs

Previously we silently replaced an existing policy with a new one if the
reqid changed for the same selectors. This will break an old policy in the
favour of the new one (for example if two clients behind the same NAT use
transport mode).

With this change any new policy gets rejected if the reqid differs. This will
make sure we break no existing policy. For rekeying and acquires we still can
have overlapping policies (as we use the same reqid), but for unrelated
connections this is not true anymore (it wasn't actually before, we just
silently broke the existing policy).

stroke: add exportconn{cert,chain} commands in addition to exportx509

The new commands either export a single end entity certificate or the
full trust chain for a specific connection name.

Raise an alert if the responding peer narrowed traffic selectors

backtrace: use backtrace_symbols() only if we have backtrace() and dladdr() fails