Add basic tests for linked_list_t

Redirect test runner output to stderr

This allows redirecting stdout of 'make check' to /dev/null.

Add tests for enumerator_t

Add test runner for unit tests in libstrongswan

testing: Increase base image size so there is space for test results on winnetou

testing: Ignore errors when searching for imcv log entries in daemon.log

Added missing string for full-length HMAC-SHA512 signer

attr: Fix handling of invalid IPs listed after valid ones

Invalid IPs listed after a valid one resulted in an attribute
of the same type but with invalid data.

attr: fix a compiler warning that family is used uninitialized (seen with -Os)

Strictly memwipe_check() for magic only in the affected buffer

Passing back the buffer address we memwipe() is not ideal, as it could, in
theory, change the behavior of the compiler and not-optimize memwipe(). But
as checking a larger stack is very difficult for different architectures
and compilers, we do it nonetheless for now.

Allow memwipe() to be called with NULL argument

kernel-netlink: add outer addresses to policy when using BEET mode

openssl: add support for IP addr blocks in X.509 certificates

Make plugins in standalone libimcv configurable

host-resolver: don't try to resolve a plain v4 address to an IPv6 address

Suppress 'Address family for hostname not supported' errors if a IPv6
client connects in a mixed IPv4/IPv6 environment.

traffic-selector: inet_pton is successful only if it returns 1

updown: pass IKE_SA unique ID in PLUTO_UNIQUEID

capabilities: leak-detective using dlsym() does not need CAP_SYS_NICE anymore

capabilities: initialize supplementary groups only when doing a setuid()

af-alg: fix number of signers after adding untruncated HMAC-SHA-512 (1f2a34d6)

Raise LOCAL_AUTH_FAILED alert after receiving AUTHENTICATION_FAILURE

testing: Set terminal title when logging in via SSH

Since we always log in as root use a simpler command prompt. And don't
store duplicate commands in the bash command history.

openssl: Only warn about unavailable FIPS mode if the user requested it

Merge branch 'charon-cmd-pkcs12'

Adds support for PKCS#12 files in charon-cmd and ipsec.secrets.

Also fixes the cleanup of the OpenSSL library in the openssl plugin.

stroke: Add second password if provided

Load pkcs7 plugin in charon (and while we are at it in nm)

stroke: Fail silently if another builder calls PW callback after giving up

Also reduced the number of tries to 3.

stroke: Cache passwords so the user is not prompted multiple times for the same password

To verify/decrypt a PKCS#12 container a password might be needed
multiple times.  If it was entered correctly we don't want to bother the
user again with another password prompt.
The passwords for MAC creation and encryption could be different so the
user might be prompted multiple times after all.

stroke: Fix prompt and error messages in passphrase callback

stroke: Load credentials from PKCS#12 files (P12 token)

openssl: Cleanup thread specific error buffer

openssl: Don't use deprecated CRYPTO_set_id_callback() with OpenSSL >= 1.0.0

openssl: Add PKCS#12 parsing via OpenSSL

openssl: Properly cleanup OpenSSL library

charon-cmd: Add support for PKCS#12 files

PEM plugin loads PKCS#12 containers from (DER-encoded) files

It is not actually able to handle PEM encoded PKCS#12 files produced
by OpenSSL.

Remove pluto specific certificate types

charon-cmd: match_me/match_other are optional in callback credentials

charon-cmd: Request password for private keys

Add support for untruncated HMAC-SHA-512

Also support 128-bit RC2

Add pkcs12 plugin which adds support for decoding PKCS#12 containers

Function added to convert a hash algorithm to an HMAC integrity algorithm

Support the PKCS#5/PKCS#12 encryption scheme used by OpenSSL for private keys

Register PKCS#8 builder for KEY_ANY

Add support for PKCS#7/CMS encrypted-data

Move PKCS#12 key derivation to a separate file

PKCS#5 wrapper can decrypt PKCS#12-like schemes

Add test vectors for RC2

Fix cleanup in crypto_tester if a crypter fails

Add implementation of the RC2 block cipher (RFC 2268)

Extract function to convert ASN.1 INTEGER object to u_int64_t

Extract PKCS#5 handling from pkcs8 plugin to separate helper class

Merge branch 'charon-cmd-agent'

Adds support for authentication via ssh-agent to charon-cmd (RSA and ECDSA keys
are currently supported).

The new sshkey plugin parses SSH public keys in RFC 4253 format.

SSH public keys can be configured with the left|rightsigkey ipsec.conf option,
which replaces left|rightrsasigkey and takes a public key in one of three
formats: SSH (RFC 4253, ssh: prefix), DNSKEY (RFC 3110, dns: prefix, not the
full RR, only the actual RSA key), or PKCS#1 (the default, no prefix).
As before the keys are either encoded in hex (0x) or base64 (0s).
left|rightsigkey also accepts the path to a file containing a PEM or DER
encoded public key.

charon-cmd: Changed formatting of optional arguments in usage information

Optional arguments have to be specified with = after the option.

charon-cmd: --agent optionally takes the path to an ssh-agent socket

If not given it is read from the SSH_AUTH_SOCK environment variable.

charon-cmd: Stop processing options if an argument is missing or an option not recognized

charon-cmd: Properly initialize options with no additional lines

agent: Use sshkey plugin to parse keys, adds support for ECDSA

sshkey: Add support for ECDSA keys

Load any type (RSA/ECDSA) of public key via left|rightsigkey

left|rightrsasigkey accepts SSH keys but the key format has to be specified explicitly

The default is now PKCS#1. With the dns: and ssh: prefixes other formats
can be selected.

sshkey: Added builder for SSHKEY RSA keys

Add sshkey plugin stub that will parse RFC 4253 public keys

Try to load raw keys from ipsec.conf as PKCS#1 blob first

The DNSKEY builder is quite eager and parses pretty much anything
as RSA key, so this has to be done before.

charon-cmd: Add --agent option to authenticate using ssh-agent(1)

The socket path is read from the SSH_AUTH_SOCK environment variable.
So using this with sudo might require the -E command line (or an appropriate
sudoers config) to preserve the environment.

charon-cmd: Use loose matching of gateway identity

charon-cmd: Load pubkey plugin to load raw keys

testing: Don't run tests when building tkm

The problem with XML/Ada described in 9c2aba27 actually occurs when
running the tests here.

Really fixes #336.

testing: Don't run tests when building tkm-rpc

There are issues with some versions of the XML/Ada library on i386,
blocking the build of the testing environment when these tests are run.
TKM tests won't work in such a case but at least make-testing does not
block with this patch.

Fixes #336.

Merge branch 'tun-vip'

Beside some OS X love, this merge introduces virtual IP and route installation
support on the pfkey/pfroute kernel interfaces.

Each virtual IP gets installed on a dedicated TUN device. As Linux-like source
routes are not supported, routes for the negotiated traffic selectors get
installed using the TUN device.

To prevent IKE packets from using those routes, special exclude routes get
installed to the IKE gateway. This works for most road-warrior deployments, but
certainly does not for some more exotic configurations, such as those using
virtual-IP-to-host. Mobility is not yet supported, either.

kernel-pfroute: allow only one thread to do a route look up simultaneously

Otherwise we mess up the sequence number another thread is waiting for.

kernel-interface: query SAD for last use time if SPD query didn't yield one

child-sa: query SAD/SPD just for what we actually need to update statistics

kernel-pfkey: be less verbose about unexpected sequence numbers

kernel-pfkey: install exclude routes if kernel-net requires them

kernel-pfroute: add a feature flag requesting "exclude" routes

If routes installed along with policies covering the peer address affect local
IKE/ESP packets, they won't get routed correctly. To work around this issue,
the kernel interface can install "exclude" routes for the IKE peer. Not all
networking backends require this workaround, hence we export a flag for it
if it is required.

kernel-pfroute: remove unused interface address refcounting

kernel-pfroute: mark IPs installed on tun device as virtual

kernel-pfroute: install virtual IPs using dedicated tun devices

kernel-pfkey: when installing a route for a virtual IP, use its interface

When installing a route over a tun device for a virtual IP, the route must
be set over the tun, not the IKE interface.

kernel-interface: get_address_by_ts() can tell if a returned IP is virtual

kernel-interface: support enumeration of virtual-only IPs

kernel-pfkey: refactor route installation to a dedicate function

kernel-pfroute: split /0 routes to avoid conflict with default route

kernel-pfkey: check if we have a gateway before comparing them

kernel-pfkey: install route along with input, not forward policies

As forwarding policies are not available on all systems (OS X), using the
forward policy to attach the route is a bad pick. Using input policies allows
OS X to install routes.

kernel-pfroute: rescan address list for an interface if its state changes

It seems that we don't get address notifications if the interface is down
on OS X.

kernel-pfroute: add newly appearing interfaces to the interface cache

kernel-pfroute: implement get_nexthop()

kernel-pfroute: install and uninstall routes

kernel-pfroute: collect replies received for our own queries

kernel-pfroute: refactor PF_ROUTE message processing, use an enumerator

kernel-pfkey: use an int to set esp_port with a sysctl on OS X

kernel-pfroute: use INIT() macro for allocations

kernel-pfroute: use only a single PF_ROUTE socket for both events and queries

kernel-pfroute: fix length check when receiving PF_ROUTE messages

kernel-pfkey: remove obsolete pluto specific behavior

kernel-netlink: remove obsolete pluto specific behavior

tun_device: add a getter for the address previously passed to set_address()