kernel-netlink: Return const pointer from lookup_algorithm()

Signed-off-by: Thomas Egerer <thomas.egerer@secunet.com>

Merge branch 'android-import'

Adds a VPN profile import feature.

android: New release after adding profile import functionality

android: Handle profile file names with dots in them

android: Handle errors when fetching profile in more detail

android: Add activity to import VPN profiles from JSON-encoded files

The file format is documented on the wiki.

URLs to .sswan files may be intercepted and downloaded files with a media
type of application/vnd.strongswan.profile may also be opened (the file
extension doesn't matter in that case).  Whether downloaded files for which
the media type is not correct but the extension is .sswan can be opened
depends on the app that issues the Intent.  For instance, from the default
Downloads app it won't work due to the content:// URLs that do not contain
the file name but when opening the downloaded file from within Chrome's
Downloads view it works as these Intents use file:// URLs, which contain
the complete file name (the latter requires a new permission).

android: Use a local broadcast to notify about profile changes

This allows other components to modify the profiles and notify about
changes.

android: Add a UUID property to the VPN profiles

All new or edited profiles get a random UUID.  We currently don't
enforce one, though.  Later we might change that and use the UUID as
primary key.

Merge branch 'ipsec-commands'

Fixes an issue with the ipsec script when used with sudo.

I'd usually rebase this but the commit ID was already referenced
elsewhere.

ipsec: Only allow specific commands to be executed via ipsec script

The previous fallback allowed running any executable as root if executing
ipsec via sudo was allowed, by using e.g. `sudo ipsec ../../../bin/sh`.

bliss: Increase timeout for sampler unit test

Fixes #2204.

android: Include ref10 subdirectory for curve25519 plugin

Fixes #2201.

Version bump to 5.5.2dr4

Merge branch 'disable_ocsp'

testing: Added swanctl/ocsp-disabled scenario

testing: Added swanctl/ocsp-signer-cert scenario

revocation: OCSP and/or CRL fetching can be disabled

testing: Convert swanctl scenarios to curve-25519

Version bump to 5.5.2dr3 and Linux kernel 4.9

testing: strongTNC does not come with django.db any more

testing: Added ikev2/net2net-ed25519 scenario

stroke: Load general PKCS#8 private keys

Merge branch 'Ed25519'

Moved Ed25519 tests to libstrongswan

vici: Check for closed connection in Python bindings

The Python VICI library does not check if the socket is closed.
If the daemon closes the connection, _recvall() spins forever.

Closes strongswan/strongswan#56.

unit-tests: Completed coverage of hasher, crypter and libnttfft

Added swanctl/net2net-ed2559 scenario and needed Ed25519 certificates

Implemented EdDSA for IKEv2 using a pro forma Identity hash function

Added Ed25519 ref10 implementation from libsodium

Added support of EdDSA signatures

kernel-netlink: Add support for AES-CMAC-96 (RFC 4494)

The kernel apparently supports this since 3.10.

android: New release after re-adding support for ECC Brainpool curves

openssl: BoringSSL doesn't provide curve data for ECC Brainpool curves

android: New release after fixing libtpmtss issue

android: Make sure libtpmtss is loaded on older systems

On newer Android systems this seems to happen automatically (or does at
least not cause crashes if the library is not loaded).

android: New release after adding notification

Merge branch 'android-updates'

Adds a permanent notification while connected (or connecting), which
allows running as a foreground service, which in turn should prevent
Android from terminating the service when low on memory.

Also adds support for ChaCha20/Poly1305 AEAD and Curve25519 DH.

android: Ensure that the certificates are loaded when accessing them via JNI

android: Add a public notification

android: Display a permanent notification while connected

This forces the service to run in the foreground, meaning the system
won't kill it when low on memory.

android: Log any installed DNS servers

android: Unregister listener in case of error alerts

This avoids triggering additional errors via e.g. ike_updown() that
might cause the error message displayed in the GUI to change if the
status fragment is recreated.

References #2134.

android: Report an error for invalid integer values

Previously we'd just ignore the invalid values without notifying the
user.

android: Propose curve25519 in the ESP proposals

android: Enable curve25519 plugin in the app

android: Optionally build the curve25519 plugin

android: Propose ChaCha20/Poly1305 in the ESP AEAD proposals

android: Enable chapoly plugin in the app

android: Optionally build the chapoly plugin

android: Update Gradle plugin and wrapper

ikev1: Minor code optimization in task manager

Signed-off-by: Thomas Egerer <thomas.egerer@secunet.com>

travis: The xcode7.3 image is now the default

travis: Output config.log on failure

configure: Check for actual functions in libraries with AC_CHECK_LIB

Checking for `main` produces code like this in the test program:

  int
  main ()
  {
  return main ();
    ;
    return 0;
  }

This recursive call results in a warning message with some compilers (e.g.
Clang in newer Xcode versions: "all paths through this function will call
itself [-Winfinite-recursion]"), which lets the tests fail when compiling
with -Werror.

plugin-loader: Strip '!' from critical plugin names when setting paths

child-sa: Use single return statement in update_usebytes()

Signed-off-by: Thomas Egerer <thomas.egerer@secunet.com>

proposal: Remove RFC 5114 MODP DH groups from default proposal

Recent research demonstrates that at least for 1024-bit DH groups, it is
possible to create specially crafted primes having a backdoor. From the
prime itself this is not detectable, creating a perfect NOBUS attack.

http://eprint.iacr.org/2016/961

For the primes defined in RFC 5114 no information is provided on how these
have been selected. In the default proposal we included one of the 2048-bit
primes only, where it is questionable if constructing a backdoored prime is
feasible. Nevertheless, this patch removes the group from the set of default
proposals as well.

Version bump to 5.5.2dr2

testing: make curve25519 the default DH group

proposal: Add curve25519 and curve448 to default proposal

configure: Enable curve25519 plugin by default

curve22519: Add a portable backend implemented in plain C

curve25519: Add a plugin providing Curve25519 DH using backend drivers

dh-speed: Compare the shared secrets for equality after test

dh-speed: Include the get_my_public_value() call in public exponent timing

This fixes results where a DH backend does not generate the public value
in the constructor internally.

dh-speed: Add an identifier to test curve25519 performance

test-vectors: Add a Curve25519 DH test vector

proposal: Add a curve25519 proposal keyword

diffie-hellman: Add DH group identifiers for Curve25519 and Curve448

bus: Re-add ampersand that got lost in refactoring

Fixes: 4af02c6c61cf ("bus: Fix maximum log level for different groups
after removal of a logger")

peer-cfg: Fix memory leak when replacing child configs

Fixes: 622c2b2c3386 ("peer-cfg: Add method to atomically replace child
configs")

bus: Fix maximum log level for different groups after removal of a logger

The log level was incorrectly set to the same value for all groups.

Fixes: dac15e03c828 ("bus: Fix maximum log levels when mixing log/vlog
implementing loggers")

farp: Fix BPF jump false offset

Jump to BPF_STMT(BPF_RET+BPF_K, 0) if protocol_size != 4

Version bump to 5.5.2dr1

Fixed in-place update of cached base and delta CRLs

Newer CRLs replace older versions of the CRL in the cache

connmark: Add CAP_NET_RAW to capabilities keep list

Fix for "Permission denied (you must be root)" error when calling
iptc_init(), which opens a RAW socket to communicate with the kernel,
when built with "--with-capabilities=libcap".

Closes strongswan/strongswan#53.
Fixes #2157.

Version bump to 5.5.1

nm: Enable IKE fragmentation

Version bump to 5.5.1rc2

testing: Renewed expired certificates

added XOF dependencies of bliss and ntru plugins

testing: enable MACsec in guest kernel

configure: Reorder mgf1 in list of crypto plugins

newhope: Fix Doxygen group name

libnttfft: Fix Doxygen group

Fixed some typos, courtesy of codespell

newhope: Properly release allocated arrays if RNG can't be created

nm: Add D-Bus policy to the distribution

nm: Version bump to 1.4.1

kernel-netlink: Fix get_route() interface determination

A wrong variable is used (route instead of best), so much that the
returned interface belongs to the last seen route instead of the best
choice route.

get_route() may therefore return mismatching interface and gateway.

Fixes: 66e9165bc686 ("kernel-netlink: Return outbound interface in get_nexthop()")
Signed-off-by: Christophe Gouault <christophe.gouault@6wind.com>

Version bump to 5.5.1rc1

Merge branch 'cache-crls'

Save both base and delta CRLs to disk

vici: strongswan.conf cache_crls = yes saves fetched CRLs to disk

mem-cred: Support storing a delta CRL together with its base

So far every "newer" CRL (higher serial or by date) replaced an existing
"older" CRL.  This meant that delta CRLs replaced an existing base CRL
and that base CRLs weren't added if a delta CRL was already stored.  So
the base had to be re-fetched every time after a delta CRL was added.

With this change one delta CRL to the latest base may be stored.  A newer
delta CRL will replace an existing delta CRL (but not its base, older
base CRLs are removed, though).  And a newer base will replace the existing
base and optional delta CRL.

revocation: Cache valid CRL also if certificate is revoked

pki: Don't remove zero bytes in CRL serials anymore

This was added a few years ago because pki --signcrl once encoded serials
incorrectly as eight byte blobs.  But still ensure we have can handle
overflows in case the serial is encoded incorrectly without zero-prefix.

pki: Use serial of base CRL for delta CRLs

According to RFC 5280 delta CRLs and complete CRLs MUST share one
numbering sequence.

openssl: Fix AES-GCM with BoringSSL

BoringSSL only supports a limited list of (hard-coded) algorithms via
EVP_get_cipherbyname(), which does not include AES-GCM.  While BoringSSL
deprecated these functions they are also supported by OpenSSL (in BoringSSL
a completely new interface for AEADs was added, which OpenSSL currently does
not support).