Be a little more verbose about cert payload injection

Support hook suffixes to use the same hook multiple times

Support arbitrary suffixes for actions, same action multiple times

Added a hook to ignore specific messages

Ingore messages with exchange type altered to UNDEFINED in message() hook

Added a hook to send unencrypted notifies in established IKE_SAs

Fail silently without INVALID_SYNTAX if message not verified

Include suiteb test suite config in distribution

Fixed loading of credentials using a relative path

Implemented a add_notify hook to inject arbitrary Notify payloads

Moved message()-hook invocation to generate_message(), catch pre-generated IKE_SA_INITs, too

Implemented a hook to unsort payloads in messages

Support removal of payloads from messages

Added a message_t option to disable automatic payload sorting

Added a fist hook to fill up IKE_AUTH messages with dummy certificates (1.1.1/1.2.1)

Implemented cert payload constructor for custom encoding types

Fix segfault if config not found

Read actions from test config, delayed execution

Support manually triggerd DPD check, even if DPD disabled in config

Load private keys from suite and test configs

Load certificates from both, suite and test config

Load test and suite specific connection configurations

Load hooks based on listener dynamically

Load certificates from global suite configuration file

Added a Suite B conftest utility skeleton using libcharon

Added a CIDR notation based host constructor

Moved logger initialization from libcharon to charon

removed superfluous s

remove private_

remove private_

cosmetics in debug output

detect fragmentation of PB-TNC batch

fixed typo

replaced spaces by tabs

version bump to 4.5.1dr5

commas are required

added Sansar Choinambuu to copryright.c

unset RADIUSHOSTS after before loading new scenario

added missing tfc argument to kernel_pfkey_ipsec interface

set tfcv3 flag TRUE in ha_dispatcher

implemented wrap around of registered IKEv1 algorithm names

disable AEAD crypto algorithm if no key size is supported

disable crypto algorithm if no key size is supported

log if an AEAD algorithm does not support a given key size

log if a crypto algorithm does not support a given key size

wrap list of IKEv2 algorithms after 120 characters per line

Migrated stroke_list_t to INIT/METHOD macros

printed plugin names have a hyphen

Fixed public key construction from PKCS#11 private key

eliminated whitespace

Migrated child_create_t to INIT/METHOD macros

Added NEWS for af-alg plugin

Probe for supported AF_ALG algorithms, register dynamically

Register algorithms with dependencies only if dependency available

Register some less common AF_ALG ciphers (cast5, serpent, twofish, blowfish)

Implemented PRFs using AF_ALG

Use the AF_ALG wrapper in hasher, crypter and signer

Use a generic AF_ALG wrapper for common operations

Implemented crypter on top of AF_ALG

Implemented signer interface using AF_ALG

Implemented hasher based on AF_ALG

Added Linux AF_ALG header

Added plugin stub for AF_ALG

Added NEWS about TFC padding

Added a tfc ipsec.conf keyword to control Traffic Flow Confidentiality

Do not use TFC padding if peer does not support ESPv3

Added a TFC padding option to child_cfg

Implemented Traffic Flow Confidentiality padding in kernel_interface

version bump to 4.5.1dr4

cast enumerated algorithm type as int

updated NEWS with new ipsec listalgs feature

trace back crypto algorithms to the plugins that registered them

Added news about changes regarding strongswan.conf.

Moved "Reading values" section, typo fixed.

version bump to 4.5.1dr3

Install selectors on transport mode IPsec SAs.

This fixes several test cases in IKEv2_Self_Test (part of the IPv6 Ready
Logo Program) which is required for USGv6 certification, namely:

  - IKEv2.EN.I.1.1.7.1, IKEv2.EN.I.1.1.7.1: Narrowing the range of members
    of the set of traffic selectors
  - IKEv2.EN.R.1.1.7.3: Narrowing multiple traffic selector

When traffic selectors of a triggered SA are narrowed by the responder, the
installed policy and the broader trap policy share the same reqid.  Without
selectors on the IPsec SA packets matching the trap policy, but not the
narrowed policy, would incorrectly be handled by that IPsec SA.  Since only
one selector can be specified per IPsec SA, there is currently no solution
for tunnel mode SAs.

increase sleep time in mediation scenarios

fixed bug in mem_cred.c:add_crl()

reverted Connection ID to capital letters

fixed a bug in enum_from_name() function

reorganized ikev2/rw-eap-tnc scenarios

added the ikev2/rw-eap-tnc-20 scenario

NEWS for the 4.5.1dr2 release

some more cosmetics

final cosmetics in PB-TNC debug output

implemented PB-TNC message parsing checks

some code optimizations

support handshake retry requests

the PB-TNC protocol is working

refactored message handling

do not accept results and recommendation messages from clients

defined some additional Private Enterprise Numbers

define pb_tnc_state_machine_t object

debug cosmetics

Renamed purgex509/crl to purgecerts/crls to be consistent with list commands

implemented handling of received PB-TNC messages

Added options to flush CRLs/X509 certs from the cert cache

refactored PB-TNC state machine in receive direction

refactored PB-TNC state machine in send direction

pb_tnc_batch_t class implements parsing and building of PB-TNC batches