Fix RSA encryption padding terminator in gmp plugin, broken with 5025135f

Added missing noskip_flag setter/getter to some pa_tnc_attr_t constructors

Add a scepclient option to specify a CA identifier to fetch certs for

Remove all ESP proposals with non-matching DH group during Quick Mode

According to RFC 2409, section 5.5, if PFS is used all proposals MUST
include the selected DH group, so we remove proposals without the
proposed group and remove other DH groups from the remaining proposals.

proposal_t.strip_dh() takes a DH group to keep, using MODP_NONE will remove all

Remove MODP groups from default ESP proposal

This now actually makes pfs=no the default and it equals the default
listed in ipsec.conf.5. efc69e9f preserved the default of pfs=yes.

Moved utils.[ch] to utils folder

Moved settings_t to utils folder

Moved debug.[ch] to utils folder

Moved enum_name_t to utils folder

Moved chunk_t to utils folder

Moved printf hooks to utils folder

Moved integrity_checker_t to utils folder

Moved data structures to new collections subfolder

Moved packet_t and tun_device_t to networking folder

Moved host_t and host_resolver_t to a new networking subfolder

Send certificate requests in load-tester

Add load-tester traffic selector configuration options

Make use of new CIDR string ts constructor where appropriate

Add a traffic selector constructor creating a TS directly from a CIDR string

Add NEWS about explicitly loaded pkcs11 certificates from ipsec.conf

PKCS#11 library search using keyid uses a fallback to look for certificates

Increase the limit of acceptable IKEv1 CERTREQ payloads to 20

Use explicit, larger buffer sizes for smartcard keyids and modules

Remove obsolete pluto smartcard syntax in ipsec.secrets.5

Updated ipsec.conf.5 regarding (CA) certificates loaded from smartcards

Add a strongswan.conf option to disable loading of all certificates from a pkcs11 module

Support loading cacert certificates in ipsec.conf ca sections from smartcard

Refactored stroke smartcard token parsing, support module and slot in leftcert option

Explicit pkcs11 certificate loading can enforce a module and a slot

Be less verbose if loading PKCS#11 certificate fails

Add leftcert ipsec.conf.5 documentation about smartcard certificates

Load ipsec.conf %smartcard leftcerts with pkcs11 builder

Add a builder to load specific pkcs11 certificates by keyid

If no pkcs11 public key for a private key found, search for a certificate

Move pkcs11 public key lookup function declaration to header file

Add NEWS about proposals with PRFs different from integrity protection algorithms

Add ipsec.conf.5 documentation for explicit PRFs in IKE proposals

Only add an implicit PRF based on the MAC alg if no PRF given in proposal

Add proposal keywords to explicitly specify PRF algorithms

Added NEWS about lookip plugin

Add an interactive mode in lookip tool, demonstrate lasting connections

Send a lookip NOT_FOUND reply if a lookup yields no results

lookup function of lookip listener returns the number of matches

Handle multiple lookip connections using a single FDSET

Renamed list to store listening lookip clients

Handle client subscriptions in lookip plugin

Add a lookip server side UNIX socket processing LOOKUP and DUMP requests

Add a simple command line utility to query the lookip plugin

Defined on-the-wire format used on lookip socket

Add a lookip function to register virtual IP notification listeners

Add a lookup method to lookip plugin, using a callback to invoke

Add a lookip listener that collects the information we are interested in

Add a lookip plugin stub to lookup connections by virtual IP

Add NEWS about stroke counters

Add "listcounters" command to ipsec.8 manpage

Add a "ipsec listcounters" command to stroke

Add a print method for stroke counters

Support field with specifiers in %N printf hook

Add stroke message type counters

Add stroke counters for invalid IKE messages

Add stroke CHILD_SA rekeying counter

Add stroke IKE rekey counters

Raise a bus alert when IKE message body parsing fails

Raise a bus alert when IKE message header parsing fails

Raise a bus alert when a received message contains unknown SPIs

Define stroke counter types to implement

Add a stub for IKE event counters in stroke

Add a load-tester option to define the IKE version to use for testing

Remove peer_cfg IKE version matching, as it is done in ike_cfg matching

Respect IKE version while selecting an ike_cfg as responder

Remove version argument on peer_cfg constructor, use ike_cfg version instead

Add IKE version information to ike_cfg_t

Move ike_version_t definition from peer_cfg_t to ike_cfg_t

android: Enable ECC in the app as our custom built libcrypto supports it

version bump to 5.0.2dr2

updated NEWS

implemented IETF Numeric Version attribute

implemented IETF Remediation Instructions attribute

Handle type of first EAP-RADIUS response more sophisticated

Starter ignores non-fatal errors when reloading config

Starter unroutes removed or changed connections before loading and routing new ones

Update routed connections in trap manager

Before this change, modified configs that have been updated with ipsec reload,
could properly be started manually, but the old config would get used if
triggered via trap policies.

Reload logger configuration on SIGHUP

Besides changing the configuration this allows to easily rotate log files.

Also moved logger initialization back to daemon_t.

Make syslog and file loggers configurable at runtime

Store loggers in conftest separately, not on charon

Added an option to reload certificates from PKCS#11 tokens on SIGHUP

Copy the name of pkcs11_library_t objects

Strings returned by settings_t.create_section_enumerator will be freed
when the config is reloaded.

New Android release after adding MOBIKE support

Merge branch 'android-mobility'

This brings support for MOBIKE to the Android app.  The app also tries
to keep the connection up as long as possible.

DNS queries are now handled by a new class that uses independent threads to
resolve them, this allows to cancel them e.g. if no network connectivity is
available (otherwise the app would block until the DNS query returns).

Use a shortcut to resolve numeric IP addresses (no need for separate threads)

Use native threads in host resolver so that it works even if processor has no threads

Terminate unused resolver threads after a timeout

Only create more threads if needed in host_resolver_t

Use a helper function to add milliseconds to timeval structs

android: Ignore if peer is unreachable when reestablishing an SA

android: Use a shorter timeout for retransmits

android: Use keyingtries=%forever and dpd|closeaction=restart

We also ignore the CHILD_SA_DOWN event.

This should allow us to keep the connection up as long as the user does
not manually disconnect.

Resolve hosts by DNS name in separate threads so we can cancel them

getaddrinfo(3) may block a long time so proper termination of the daemon may
block if DNS servers are not reachable.

getaddrinfo(3) is an optional cancellation point in posix threads so it
might still block a shutdown but at least on Android (with the signal based
pthread_cancel implementation) it works, on Linux starter will kill charon
anyway after a while.

no need to include pa_tnc_msg.h