android: Add state of IMC to VpnStateService and update it via JNI

android: Handle TCG file measurement related attributes using PTS

android: Android IMC state provides a Platform Trust Service (PTS) instance

android: Provide a public interface for Android IMC state

libimcv: Properly deinitialize libimcv

Other users of imcv_pa_tnc_attributes (libpts) check if it is NULL before
removing vendor IDs.

android: Define IMC functions static and with lower-case names

libpts: Skip unreadable files when measuring directories

android: Add measurement collector for ITA Device ID

android: Add measurement collector for ITA Settings

android: Handle ITA PA-TNC attributes

android: Overload for getMeasurement() that takes a String array as argument

android: Add measurement collector for Port Filter

This collector reports all listening TCP and UDP sockets/ports.

android: Enum type for transport protocols added

android: Add measurement collector for Installed Packages

android: Add measurement collector for Product Information

android: Also support writing of 24-bit values

android: Add measurement collector for String Version

android: Interfaces for measurement collectors and attributes added

android: Add a Java utility class similar to bio_writer_t

android: Add enum types for PENs and attribute types

android: Add a generic handler for PA-TNC attribute requests

The idea is that the Android IMC will return attributes in their binary
encoding.  This keeps the JNI interface to the IMC pretty simple.

imv-scanner: Only add a reason string if there is something to report

android: Added a Java part to the Android IMC

android: Don't attempt loading IMCs from /etc/tnc_config

libtnccs: Don't try to load IMCs/IMVs from a file if there is no filename

Ignore Eclipse project/workspace files

Students seem to like Eclipse to work on strongSwan.

android: Build libpts and init/deinit libpts in BYOD IMC

libpts: Android.mk added

android: Added a sample IMC that sends some dummy OS data

android: Build option added to load BYOD related plugins and libraries in the Android app

android: Added support to build tnc-imc plugin

android: Added support to build eap-tnc, tnc-tnccs and tnccs-20 plugins

android: Added function to include source files from plugin subdirectories

libimcv: Android.mk added

Cosmetics

Scanner IMV without workitems provides immediate recommendation, too

attr-sql: Add unity_split_exclude as alias for unity_local_lan

attr-sql: Fix double free when adding subnets for unknown attribute types

Attestion IMV provides recommendation only once

skip enforcement if a recent measurement was successful

libtncif: Android.mk updated

android: Disable listening on IPv6

As we have to use UDP encapsulation and the Linux kernel currently does
not support that this avoids issues with dual-stack gateways.

socket-default: Add options to disable address families

ike: Resolve hosts only for address families currently supported

net: Socket implementations report the address families they support

Added config-3.10

Version bump to 5.1.0dr2

Always return a result string for a processed workitem

Make Block stronger than Isolate in default policy

Register packages under Debian 7.0 x86_64

openssl: RAND_pseudo_bytes() returns 0 if bytes are not cryptographically strong

For our purposes with RNG_WEAK this is fine, so accept a zero return value.

Ping from dave before shutting down tcpdump in libipsec/rw-suite-b test case

libipsec: Properly handle expiration if no lifetime is set

charon-cmd: Ignore generated man page

Enable libipsec and charon-cmd in strongSwan recipe

Fixed libipsec/rw-suite-b scenario

eap-radius: fix add_attribute/framed_ip method signatures

Added libipsec/rw-suite-b scenario

Fixed index.txt for strongSwan EC CA

Don't backup old package lists

Reuse reqid when restarting CHILD_SAs for dpd|closeaction=restart

Reuse reqid for trap policies installed for dpd|closeaction=hold

Added libipsec/net2net-cert scenario

Add type=transport to tkm/host2host-* connections

Explicitly specify transport mode in connection configuration of the
responding host (sun).

5.1.0 changes for test cases

processor: Simplified the main loop

processor: Don't hold the lock while destroying jobs

If a lock is held when queue_job() is called and the same lock is
required during the destruction of a job, holding the internal lock
in the processor while calling destroy() could result in a deadlock.

dhcp: Use chunk_hash_static() to calculate ID-based MAC addresses

integrity-checker: Use chunk_hash_static() to calculate checksums

chunk: Add predictable hash function

Since chunk_hash() is randomized its output is not predictable, that is,
it is only within the same process.

stroke: Changed how proto/port are specified in left|rightsubnet

Using a colon as separator conflicts with IPv6 addresses.

plugin-loader: Removed unused path argument of load() method

Multiple additional search paths can be added with the add_path()
method.

tnc-pdp: Initialize TNC-PDP in plugin callback with proper dependencies

Attestation IMV requests platform info if not received

integrity-checker: Fix checksum calculation after randomizing chunk_hash()

unit-tests: Print loaded plugins

unit-tests: RSA key generation might take longer than 4 seconds

Check uses a default timeout of 4 seconds for each test case, generating
keys of 6 different key sizes might take longer than that.

tests: Properly load plugins from build directory

Calling load() incrementally does not really work as dependencies
wouldn't be resolved properly if a required feature was to be provided
by a plugin that is loaded later with a separate call to load().

plugin-loader: Method added to provide additional search paths for plugins

Support blacklist field in PTS database

Updated PTS demo database

Device can be member of multiple groups

Adding NEWS for 5.1.0

Merge branch 'check-caps'

Plugins may now ensure the process has all the required capabilities.
Some minor changes to UID/GID handling are also included.

capabilities: Return effective UID/GID if user did not configure anything

capabilities: Make the user and group charon(-nm) changes to configurable

capabilities: Report effective UID/GID after dropping capabilities

capabilities: CAP_CHOWN might be required by many plugins opening UNIX sockets

But as the sockets will be created with the user/group of the running
process this might not be required as no change may be needed.

capabilities: Handle CAP_CHOWN specially as it might not be required

capabilities: Check effective UID as fallback if capabilities are not supported

kernel-netlink: Make CAP_NET_ADMIN capability optional

It is not required to use the kernel-net part of the plugin.

farp: Require CAP_NET_RAW capability to open AF_PACKET socket

dhcp: Require CAP_NET_BIND_SERVICE and CAP_NET_RAW to open/bind sockets

socket-default: Require CAP_NET_BIND_SERVICE for ports < 1024

Since we don't know which ports are used with socket-dynamic we can't
demand the capability there, but it might still be required.

capabilities: Only plugins that require CAP_NET_ADMIN demand it

The daemon as such does not require this capability.

capabilities: Move global capabilities_t instance to libstrongswan

capabilities: Ensure required capabilities are actually held by the process/user

ikev2: keep the CHILD_SA we delete as initiator in the list to destroy

If the responder not correctly send the correct protocol or SPI in the delete
response, we should remove the CHILD_SA regardless.

Some IMV policy managers expect a TEXT string

Assign default group to newly created devices