tls-stream: add a new plugin providing TLS secured TCP streams

plugins: add stream and stream services plugin features

configure: check for Linux fopencookie() or its BSD funopen() sibling

unit-tests: add a test for stream read/write_all()

unit-tests: add a stream test case checking concurrency limit

unit-tests: add sync/async tests for UNIX/TCP streams and services

unit-tests: add some test cases for watcher

unit-tests: support testing when leak-detective has not been enabled

watcher: properly support multiple watch callback types for the same FD

watcher: read multiple notifications if available

Use non-blocking I/O on the read end of the notify pipe. This also makes sure
the read does not block should select() signal data while there is none.

certexpire: add an option to enforce exporting trustchains having a private key

error-notify: catch and forward some alerts related to certificate validation

bus: raise certificate validation alerts using credential manager hook

credmgr: introduce a hook function to catch trust chain validation errors

lookip: double size of id field in message

error-notify: increase size of string/identity fields in messages

whitelist: use a read-copy when listing entries

While this requires a little more overhead, we can free the lock should the
stream block, allowing other threads to add/remove entries.

whitelist: fix error handling when creating the socket fails

lookip: fix error handling when creating the socket fails

error-notify: fix error handling when creating the socket fails

kernel-pfroute: use watcher to receive kernel events

kernel-pfkey: use watcher to receive networking events

kernel-netlink: use watcher to receive kernel events for net/ipsec

eap-radius: use watcher instead of receiver thread on DAE socket

dhcp: use watcher instead of dedicated receiver thread

farp: use watcher instead of dedicated receiver thread

load-tester: use a stream service to dispatch control connections

whitelist: use a stream service to accept client connections

Use SOCK_STREAM, as we don't have SOCK_SEQPACKET on TCP. To have network
transparency, the message now uses network byte order.

lookip: use stream service with async I/O dispatching

Now uses SOCK_STREAM, as SOCK_SEQPACKET is not available over TCP. To have
network transparency, the message now uses network byte order.

error-notify: use a stream service to accept client connections

As TCP does not have SOCK_SEQPACKET, we now use SOCK_STREAM for the error-notify
socket. To have network transparency, the message now uses network byte order.

duplicheck: use a stream service to accept client connections

As we can't use SOCK_SEQPACKET over TCP, we now have to provide message
boundaries ourselves. We do this by appending a 16-bit length header to each
sent duplicate identity.

stroke: use a stream service to handle stroke requests

stream: allow async read/write callback to destroy the stream explicitly

stream: don't close underlying socket when creating a stream from it

watcher: add some debugging statements

watcher: if the processor has no threads, execute the job with watcher thread

This is important during shutdown, where we might need to signal some FDs while
all idle threads are gone already.

processor: add a getter for the threads passed to set_threads()

watcher: unregister a watcher FD if its thread gets cancelled

watcher: release threads waiting in remove() when watcher thread gets cancelled

During daemon shutdown, users might call remove() after processor.set_threads(0)
has been called. This gets problematic, as a watch event might be unable
to signal completion when no threads are available anymore. Work around this
issue by cancelling waiters once processor.cancel() has been called.

stream: support keeping the service alive outside of service callback

stream: add read/write_all() methods to stream

stream: support cancellation of stream service callback

stream: use a service constructor to create services

It does not make much sense to reference running services in the manager,
especially as unregistration would need the URI (which a user would have to
store instead of the service reference).

stream: replace print/vprint() convenience functions by a FILE* getter

While this will complicate the implementation of streams not based on a fd,
it allows us to unleash the full power of FILE based convenience functions.

stream: add a concurrency option to services, limiting parallel callbacks

stream: add a job priority option to stream services

stream: add backlog option to stream services, forward to listen()

stream: add support for TCP stream services

stream: add support for TCP streams

stream: add support for UNIX stream services

stream: add support for UNIX streams

stream: support async operation using watcher

stream: add printf()-style covenience functions

stream: create library instance of stream-manager

stream: add a manager to dynamically register streams and services

stream: add a stream service class abstracting services using BSD sockets

stream: add a stream class abstracting BSD sockets

Currently only synchronous operation is supported, but this will be extended
with asynchronous methods using the new watcher.

watcher: add a centralized an generic facility to monitor file descriptors

kernel-libipsec: Log error if no local address is found when installing routes

dumm: Sort templates by name

testing: Don't load certificates explicitly and delete CA certificates in PKCS#12 scenarios

Certificates are now properly extracted from PKCS#12 files.

stroke: Add certificates extracted from PKCS#12 files to correct credential set

Only keys and shared secrets are moved from the temporary credential set after
loading all secrets.

pkcs12: Add plugin dependencies with soft dependencies on the most common algorithms

leak-detective: remove hdr entry when reallocating zero bytes

leak-detective: print total of allocated/leaked bytes in usage/report

dumm: add include for in.h, if_bridge.h now uses struct in6_addr

Recognize critical IssuingDistributionPoint CRL extension

Override policy recommendation in enforcement

openssl plugin can replace random, hmac, and gcm plugins

Added openssl-ikev2/net2net-pkcs12 scenario

Added ikev2/net2net-pkcs12 scenario

Version bump to 5.1.0dr3

conntrack -F makes ikev2/nat-rw scenario to work always

leak-detective: add a usage threshold option based on the number of allocations

leak-detective: set_state() only affects the calling thread

The only user (bfd backtraces) is fine with that, and we really should not
mess the enable flag while doing allocations with other threads.

leak-detective: take a copy of backtrace while printing traces

As we don't want to hold the lock, we must make sure backtraces keep valid
while printing them.

backtrace: add a clone() method

leak-detective: remove hdr from the allocation list during realloc()

If realloc moves an allocation, the original allocation gets freed. We
therefore must remove the hdr from the list, as it is invalid. We can add it
afterwards once it has been updated, allowing us to unlock the list during
reallocation.

Fixed alignment of device ID column

android: New release after adding support for EAP-TNC

Also disabled listening on IPv6 because the Linux kernel currently does
not support UDP encapsulation for IPv6.

Merge branch 'android-byod'

Adds support for EAP-TNC with a custom Android-specific IMC that
collects data such as installed packages, file hashes or system
settings.

Some parts of the implementation are based on the bachelor semester
project 'strongSwan Android 4 Client with Endpoint Assessment' by
Christoph Bühler and Patrick Lötscher.

android: Properly handle dotted-quad notation of IPv6 addresses

For nestat output like ::ffff:127.0.0.1:9876 we shall not treat 127 as
port but 9876 instead.

android: Allow IMC state to be dismissed with a swipe gesture

android: Use explicit locale when converting settings names

Apparently, these functions use the user's default locale which might not
yield the expected result (e.g. lowercase I is not i in the Turkish
locale but ı instead).

android: Add information about transmitted data if EAP-TNC is selected

android: Reuse certificate selector as generic two line button

android: Add device ID in BeginHandshake

android: Add new VpnType to enable BYOD features

Use strpfx() helper where appropriate

utils: Add helper function to check a string for a given prefix

utils: Convert string helper macros to static inline functions

android: Use a different set of plugins if BYOD features are enabled

android: IMC state fragment is a button that shows remediation instructions or log

android: Show remediation instructions instead of log on failure

android: Properly hide the IMC state fragment initially

android: Add activity that displays a list of remediation instructions

On large displays a two-pane layout is used that displays the list next
to the actual instructions.

android: Add fragment for a list of remediation instructions

This fragment can later be used in one- or two-pane layouts.

android: Add adapter for remediation instructions

android: Add fragment that displays a single remediation instruction

android: RemediationInstruction implements Parcelable interface