ikev2: Add task to handle IKEV2_MESSAGE_ID_SYNC notifies as responder

ike: Publish getter for the current message ID on IKE_SA

ike: Add getter for the current message ID to task manager

Merge branch 'bypass-lan'

Adds a new plugin that automatically installs and updates bypass policies
for locally attached subnets.  This is useful for laptops etc. that are
used in different networks and prefer maintaining access to local hosts
(e.g. network printers or NAS) while connected to a VPN.

kernel-pfroute: Implement enumeration of local subnets

bypass-lan: Allow ignoring or only considering subnets of specific interfaces

The config can also be reloaded by sending a SIGHUP to charon.

bypass-lan: Configure interface on bypass policy

Currently, only the kernel-netlink plugin supports this, the others will
just ignore it.

kernel-netlink: Return interface name in local subnet enumerator

kernel-interface: Add interface name to local subnet enumerator

bypass-lan: Add plugin that installs bypass policies for locally attached subnets

kernel-netlink: Implement enumerator for local subnets

kernel-interface: Add method to enumerate locally attached subnets

kernel-pfkey: Use the same priority range for trap and regular policies

Same as the change in the kernel-netlink plugin.

kernel-netlink: Use the same priority range for trap and regular policies

While trap and regular policies now often look the same (mainly because
reqids are kept constant) trap policies still need to have a lower priority
than regular policies to handle unroute/route correctly if e.g. IPComp
is used or the mode changes.  But if we use a completely different
priority range that's lower than that of regular policies it is not possible
to install overlapping trap policies.  By differentiating trap from
regular policies via the priority's LSB this issue is avoided while
still maintaining the proper ordering of trap and regular policies.

Fixes #1243.

kernel-netlink: Fix spacing in log message when policy is unchanged

ikev1: Factor out IV and QM management

This simplifies implementing a custom keymat_v1_t.

keymat: Allow keymat to modify signature scheme(s)

Signed-off-by: Thomas Egerer <thomas.egerer@secunet.com>

forecast: Mark correct port in UDP NAT-T rule

Closes strongswan/strongswan#62.

android: New release after adding translation for Simplified Chinese

android: Add translation for Simplified Chinese

Courtesy of Yick Xie.

settings: Fix purge if order differs from alphabetical order

eap-dynamic: Publish the get_auth() method of the wrapped EAP method

Fixes #2238.

pkcs11: Fix documentation of load_certs option

This option is actually module-specific.

ike-auth: Don't send INITIAL_CONTACT if remote ID contains wildcards

Such an identity won't equal an actual peer's identity resulting in
sending an INITIAL_CONTACT notify even if there might be an existing
IKE_SA.

proposal: Copy SPI and proposal number from correct proposal in select()

If charon.prefer_configured_proposals is disabled select() is called on
the received proposal. This incorrectly set the SPI to 0 as the
configured proposal has no SPI set.

Fixes #2190.

kernel-netlink: Set NODAD flag for virtual IPv6 addresses

The Optimistic Duplicate Address Detection (DAD) seems to fail in some
cases (`dadfailed` in `ip addr`) rendering the virtual IP address unusable.

Fixes #2183.

kernel-netlink: Prefer matching label when selecting IPv6 source addresses

This implements rule 6 of RFC 6724 using the default priority table,
so that e.g. global addresses are preferred over ULAs (which also have
global scope) when the destination is a global address.

Fixes #2138.

kernel-netlink: Use correct 4 byte alignment for AH with IPv4

By default, the kernel incorrectly uses an 8 byte alignment, which is
mandatory for IPv6 but prohibited for IPv4.  For many algorithms this
doesn't matter but that's not the case for HMAC_SHA2_256_128.
Since 2.6.39 the kernel can be explicitly configured to use a 4 byte
alignment.

kernel-netlink: Allow change of Netlink socket receive buffer size

Signed-off-by: Thomas Egerer <thomas.egerer@secunet.com>

kernel-pfkey: Set state to SADB_SASTATE_MATURE when adding/updating SAs

Picky kernels might otherwise reject our messages as RFC 2367 explicitly
mandates this.

Fixes #2212.

kernel-pfroute: Don't set a gateway if it is of a different address family than the destination

libipsec: Add support for AES and Camellia in CCM mode

Fixes #2172.

libipsec: Fix Windows build via MinGW

Fixes #2118.

stroke: Default to %dynamic if no valid TS are specified in left|rightsubnet

Otherwise, we'd end up with an empty TS list, which is not valid.

Because end->tohost is set to !end->subnets in starter the removed branch was
never used.

init: Let systemd restart daemons if they get terminated unexpectedly

Fixes #2205.

init: Depend on network-online.target instead of network.target in systemd units

This makes sure the network is "up" before connections are
loaded/initiated.

Fixes #2205.

Merge branch 'charon-systemd-reload-loggers'

Allows reloading strongswan.conf, the loggers, and the plugins in
charon-systemd by sending a SIGHUP (as already supported by charon).

Loggers are now also reloaded by VICI's `reload-settings` command (works
with both daemons).

Fixes #2222.

vici: Reload loggers after reloading strongswan.conf via reload-setting command

daemon: Use separate method to set default loggers

This way it is not necessary to pass the same values to reload the
loggers.

charon-systemd: Handle SIGHUP the same way charon does

That is, reload strongswan.conf, the loggers and the plugins.

ha: Fix assignment of IP addresses if multiple pools are defined

Fixes #2146.

ha: Delete passive IKE_SA on other node after half-open timeout

Fixes #1192.

kernel-netlink: Return const pointer from lookup_algorithm()

Signed-off-by: Thomas Egerer <thomas.egerer@secunet.com>

Merge branch 'android-import'

Adds a VPN profile import feature.

android: New release after adding profile import functionality

android: Handle profile file names with dots in them

android: Handle errors when fetching profile in more detail

android: Add activity to import VPN profiles from JSON-encoded files

The file format is documented on the wiki.

URLs to .sswan files may be intercepted and downloaded files with a media
type of application/vnd.strongswan.profile may also be opened (the file
extension doesn't matter in that case).  Whether downloaded files for which
the media type is not correct but the extension is .sswan can be opened
depends on the app that issues the Intent.  For instance, from the default
Downloads app it won't work due to the content:// URLs that do not contain
the file name but when opening the downloaded file from within Chrome's
Downloads view it works as these Intents use file:// URLs, which contain
the complete file name (the latter requires a new permission).

android: Use a local broadcast to notify about profile changes

This allows other components to modify the profiles and notify about
changes.

android: Add a UUID property to the VPN profiles

All new or edited profiles get a random UUID.  We currently don't
enforce one, though.  Later we might change that and use the UUID as
primary key.

Merge branch 'ipsec-commands'

Fixes an issue with the ipsec script when used with sudo.

I'd usually rebase this but the commit ID was already referenced
elsewhere.

ipsec: Only allow specific commands to be executed via ipsec script

The previous fallback allowed running any executable as root if executing
ipsec via sudo was allowed, by using e.g. `sudo ipsec ../../../bin/sh`.

bliss: Increase timeout for sampler unit test

Fixes #2204.

android: Include ref10 subdirectory for curve25519 plugin

Fixes #2201.

Version bump to 5.5.2dr4

Merge branch 'disable_ocsp'

testing: Added swanctl/ocsp-disabled scenario

testing: Added swanctl/ocsp-signer-cert scenario

revocation: OCSP and/or CRL fetching can be disabled

testing: Convert swanctl scenarios to curve-25519

Version bump to 5.5.2dr3 and Linux kernel 4.9

testing: strongTNC does not come with django.db any more

testing: Added ikev2/net2net-ed25519 scenario

stroke: Load general PKCS#8 private keys

Merge branch 'Ed25519'

Moved Ed25519 tests to libstrongswan

vici: Check for closed connection in Python bindings

The Python VICI library does not check if the socket is closed.
If the daemon closes the connection, _recvall() spins forever.

Closes strongswan/strongswan#56.

unit-tests: Completed coverage of hasher, crypter and libnttfft

Added swanctl/net2net-ed2559 scenario and needed Ed25519 certificates

Implemented EdDSA for IKEv2 using a pro forma Identity hash function

Added Ed25519 ref10 implementation from libsodium

Added support of EdDSA signatures

kernel-netlink: Add support for AES-CMAC-96 (RFC 4494)

The kernel apparently supports this since 3.10.

android: New release after re-adding support for ECC Brainpool curves

openssl: BoringSSL doesn't provide curve data for ECC Brainpool curves

android: New release after fixing libtpmtss issue

android: Make sure libtpmtss is loaded on older systems

On newer Android systems this seems to happen automatically (or does at
least not cause crashes if the library is not loaded).

android: New release after adding notification

Merge branch 'android-updates'

Adds a permanent notification while connected (or connecting), which
allows running as a foreground service, which in turn should prevent
Android from terminating the service when low on memory.

Also adds support for ChaCha20/Poly1305 AEAD and Curve25519 DH.

android: Ensure that the certificates are loaded when accessing them via JNI

android: Add a public notification

android: Display a permanent notification while connected

This forces the service to run in the foreground, meaning the system
won't kill it when low on memory.

android: Log any installed DNS servers

android: Unregister listener in case of error alerts

This avoids triggering additional errors via e.g. ike_updown() that
might cause the error message displayed in the GUI to change if the
status fragment is recreated.

References #2134.

android: Report an error for invalid integer values

Previously we'd just ignore the invalid values without notifying the
user.

android: Propose curve25519 in the ESP proposals

android: Enable curve25519 plugin in the app

android: Optionally build the curve25519 plugin

android: Propose ChaCha20/Poly1305 in the ESP AEAD proposals

android: Enable chapoly plugin in the app

android: Optionally build the chapoly plugin

android: Update Gradle plugin and wrapper

ikev1: Minor code optimization in task manager

Signed-off-by: Thomas Egerer <thomas.egerer@secunet.com>

travis: The xcode7.3 image is now the default

travis: Output config.log on failure

configure: Check for actual functions in libraries with AC_CHECK_LIB

Checking for `main` produces code like this in the test program:

  int
  main ()
  {
  return main ();
    ;
    return 0;
  }

This recursive call results in a warning message with some compilers (e.g.
Clang in newer Xcode versions: "all paths through this function will call
itself [-Winfinite-recursion]"), which lets the tests fail when compiling
with -Werror.

plugin-loader: Strip '!' from critical plugin names when setting paths

child-sa: Use single return statement in update_usebytes()

Signed-off-by: Thomas Egerer <thomas.egerer@secunet.com>

proposal: Remove RFC 5114 MODP DH groups from default proposal

Recent research demonstrates that at least for 1024-bit DH groups, it is
possible to create specially crafted primes having a backdoor. From the
prime itself this is not detectable, creating a perfect NOBUS attack.

http://eprint.iacr.org/2016/961

For the primes defined in RFC 5114 no information is provided on how these
have been selected. In the default proposal we included one of the 2048-bit
primes only, where it is questionable if constructing a backdoored prime is
feasible. Nevertheless, this patch removes the group from the set of default
proposals as well.

Version bump to 5.5.2dr2