Version bump to 6.0dr18

libcharon: Added IANA numbers assigned to draft-ietf-ipsecme-ikev2-multiple-ke

Version bump to 6.0dr17

key_exchange_t: Removed broken SIKE KE algorithms

Version bump to 6.0dr16

oqs: Included version 4.1 of BIKE Round 3 (L1 and L3)

Requirement: liboqs-0.7.0

oqs: Updated Falcon sig tests to liboqs-0.5.0

oqs: Upgraded Dilithium to NIST Round 3.1

test-vectors: No changes for Saber KE NIST Round 3 tests

oqs: Support for HQC key exchange algorithm

test-vectors: Upgraded Kyber KE tests to NIST Round 3

test-vectors: Upgraded NTRU KE tests to NIST Round 3

scripts: Fixed NIST KAT scripts

oqs: Support of Falcon signature algorithms

oqs: Complete post-quantum signature support

ntru: Removed legacy NTRU key exchange method

newhope: Removed legacy Newhope key exchange method

bliss: Removed legacy BLISS signatures

oqs: Added signature tests

scripts: Added nist_sig_kat script

oqs: Postponed freeing of kem object

oqs: Support of Dilithium signature algorithms

oqs: Update to NIST round 3 KEM candidates

oqs: Removed BIKE round 1 version including test vectors

testing: Added ikev2/rw-cert-qske scenario

wip: ikev2: Change multi-KE codepoints for testing

frodo: FrodoKEM KE method

oqs: Added post-quantum KEM methods based on liboqs

nist_kem_kat: Added script formating NIST KEM KAT records into ke_test vectors

test-vectors: Added NIST KEM test vectors

key-exchange: Joint ke_test_vector format for DH and KEM

Both Diffie-Hellman (DH) and Key Encapsulation Mechanism (KEM) based
key exchange methods use a common ke_test_vector format. The
set_seed() function is used to provide deterministic private key
material for the crypto tests.

key-exchange: Added NIST round 2 submission KEM candidates

unit-tests: Ensure listeners can track SAs via ike/child_updown/rekey()

Previously, it could happen that child_rekey() was triggered twice for
the same "old" SA.  For listeners that would mean they'd loose track as
they'd be tracking a new SA that wasn't relevant anymore and for which
no updown event would ever get triggered (it was the redundant SA in a
collision).  This new assert ensures that events are triggered in a
predictable way and listeners can track SAs properly.

ikev2: Make CHILD_SAs properly trackable during rekey collisions

As the winner of a rekey collision, we previously always triggered the
child_rekey() event once when creating the redundant SA on behalf of the
peer in the passive child-rekey task and then a second time when
creating the winning SA in the active task.  However, both calls passed
the replaced CHILD_SA as "old". This made tracking CHILD_SAs impossible
because there was no transition from the redundant, "new" SA of the
first event to the "new", winning SA of the second.  Of course, when the
second event was triggered, the redundant SA might not have existed
anymore because the peer is expected to delete it, which could happen
before the CREATE_CHILD_SA response arrives at the initiator.

This refactoring ensures that the child_rekey() event is triggered in
a way that makes the CHILD_SAs trackable in all reasonable (and even
some unreasonable) scenarios.  The event is generally only triggered
once after installing the outbound SA for the new/winning CHILD_SA.
This can be when processing the CREATE_CHILD_SA in the active child-rekey
task, or when processing the DELETE for the old SA in a passive
child-delete task.  There are some cases where the event is still
triggered twice, but it is now ensured that listeners can properly
transition to the winning SA.

Some corner cases are now also handled correctly, e.g. if a responder's
DELETE for the new CHILD_SA arrives before its CREATE_CHILD_SA response
that actually creates it on the initiator.  Also handled properly are
responders of rekeyings that incorrectly send a DELETE for the old
CHILD_SA (previously this caused both, the new and the old SA, to get
deleted).

wip: ike-init: Indicate support for IKE_INTERMEDIATE

wip: We should also add some checks if the notify was not received.

proposal: Prevent selection of duplicate key exchange methods

All additional (and the initial) key exchanges must use a different method.

proposal: Add helper to check if additional key exchanges are contained

proposal: Accept NONE for additional key exchanges also for IKE proposals

unit-tests: Add tests for CHILD_SA rekeying with multiple key exchanges

unit-tests: Add tests for CHILD_SA creation with multiple key exchanges

unit-tests: Tests for additional key exchanges

unit-tests: Support multiple proposals in exchange tests

vici: Increase maximum proposal length

vici: List additional key exchanges

Co-authored-by: Tobias Brunner <tobias@strongswan.org>

proposal: Add prefix for additional key exchanges when logging proposals

key-exchange: Add dynamic parser for additional key exchange methods

child-rekey: Support CHILD_SA rekeying with multiple key exchanges

unit-tests: Fix CHILD_SA rekey tests after INVALID_KE_PAYLOAD handling changes

The responder doesn't create a CHILD_SA and allocate an SPI anymore
when responding with an INVALID_KE_PAYLOAD notify.

child-create: Add support for multiple key exchanges

It also changes that payloads are built before installing the CHILD_SA on
the responder, that is, the KE payload is generated before keys are derived,
so that key_exchange_t::get_public_key() is called before get_shared_secret(),
or it's internal equivalent, which could be relevant for KE implementations
that want to ensure that the key can't be used again after the key
derivation.

ike-rekey: Support IKE_SA rekeying with multiple key exchanges

ike-init: Add support for multiple key exchanges

Initially, this is handled with a key derivation for each
IKE_INTERMEDIATE exchange.  When rekeying the keys are derived only when
all IKE_FOLLOWUP_KE exchanges are done.

bus: Support multiple key exchanges in ike/child_keys() events

keymat_v2: Support key derivation with multiple key exchanges

key-exchange: Add helper to concatenate shared secrets of several key exchanges

keymat_v2: Proper cleanup if derive_ike_keys() is called multiple times

ike-auth: Calculate and collect IntAuth for IKE_INTERMEDIATE exchanges

The message ID of the first IKE_AUTH exchange is a safe-guard against
potential truncation attacks if IKE_INTERMEDIATE exchanges are not used
for multiple key exchanges but some other future use where the number of
exchanges might not depend on the selected proposal.

pubkey-authenticator: Handle IntAuth data

psk-authenticator: Handle IntAuth data

eap-authenticator: Handle IntAuth data

keymat_v2: Include optional IntAuth in signed octets

authenticator: Add optional method to set IntAuth data

message: Store original encrypted payload when generating fragments

If we don't do this, get_plain() will fail after generating the message
fragmented.

message: Add method to generate data to authenticate IKE_INTERMEDIATE exchanges

generator: Make pointer to length field optional

Only useful if we generate an IKE header.

keymat_v2: Add method to calculate IntAuth for IKE_INTERMEDIATE exchanges

message: Add rules for IKE_FOLLOWUP_KE exchanges

wip: ike-header: Add IKE_FOLLOWUP_KE exchange type

wip: notify-payload: Add notify types for multiple key exchanges

ikev2: Reject IKE_INTERMEDIATE requests after IKE_AUTH

We currently only support these exchanges for additional key exchanges,
so once we have the final keys derived and the ike-init task is removed,
we don't expect any more of them.

message: Add rules for IKE_INTERMEDIATE exchanges

ike-header: Add IKE_INTERMEDIATE exchange type

notify-payload: Add notify type for IKE_INTERMEDIATE exchange

proposal-substructure: Encode additional key exchange methods

proposal: Make all key exchange transforms optional in ESP/AH proposals

proposal: Skip all KE transforms if PROPOSAL_SKIP_KE given

transform: Add helper to check if transform type negotiates key exchange

transform: Add additional key exchange transform types

Version bump to 5.9.8

NEWS: Add info about CVE-2022-40617

cert-validator: Use a separate method for online revocation checking

This avoids having to repeat offline checks after basic trust chain
validation.

revocation: Enforce a (configurable) timeout when fetching OCSP/CRL

Malicious servers could otherwise block the fetching thread indefinitely
after the initial TCP handshake (which has a default timeout of 10s
in the curl and winhttp plugins, the soup plugin actually has a default
overall timeout of 10s).

credential-manager: Do online revocation checks only after basic trust chain validation

This avoids querying URLs of potentially untrusted certificates, e.g. if
an attacker sends a specially crafted end-entity and intermediate CA
certificate with a CDP that points to a server that completes the
TCP handshake but then does not send any further data, which will block
the fetcher thread (depending on the plugin) for as long as the default
timeout for TCP.  Doing that multiple times will block all worker threads,
leading to a DoS attack.

The logging during the certificate verification obviously changes.  The
following example shows the output of `pki --verify` for the current
strongswan.org certificate:

new:

  using certificate "CN=www.strongswan.org"
  using trusted intermediate ca certificate "C=US, O=Let's Encrypt, CN=R3"
  using trusted ca certificate "C=US, O=Internet Security Research Group, CN=ISRG Root X1"
  reached self-signed root ca with a path length of 1
checking certificate status of "CN=www.strongswan.org"
  requesting ocsp status from 'http://r3.o.lencr.org' ...
  ocsp response correctly signed by "C=US, O=Let's Encrypt, CN=R3"
  ocsp response is valid: until Jul 27 12:59:58 2022
certificate status is good
checking certificate status of "C=US, O=Let's Encrypt, CN=R3"
ocsp response verification failed, no signer certificate 'C=US, O=Let's Encrypt, CN=R3' found
  fetching crl from 'http://x1.c.lencr.org/' ...
  using trusted certificate "C=US, O=Internet Security Research Group, CN=ISRG Root X1"
  crl correctly signed by "C=US, O=Internet Security Research Group, CN=ISRG Root X1"
  crl is valid: until Apr 18 01:59:59 2023
certificate status is good
certificate trusted, lifetimes valid, certificate not revoked

old:

  using certificate "CN=www.strongswan.org"
  using trusted intermediate ca certificate "C=US, O=Let's Encrypt, CN=R3"
checking certificate status of "CN=www.strongswan.org"
  requesting ocsp status from 'http://r3.o.lencr.org' ...
  ocsp response correctly signed by "C=US, O=Let's Encrypt, CN=R3"
  ocsp response is valid: until Jul 27 12:59:58 2022
certificate status is good
  using trusted ca certificate "C=US, O=Internet Security Research Group, CN=ISRG Root X1"
checking certificate status of "C=US, O=Let's Encrypt, CN=R3"
ocsp response verification failed, no signer certificate 'C=US, O=Let's Encrypt, CN=R3' found
  fetching crl from 'http://x1.c.lencr.org/' ...
  using trusted certificate "C=US, O=Internet Security Research Group, CN=ISRG Root X1"
  crl correctly signed by "C=US, O=Internet Security Research Group, CN=ISRG Root X1"
  crl is valid: until Apr 18 01:59:59 2023
certificate status is good
  reached self-signed root ca with a path length of 1
certificate trusted, lifetimes valid, certificate not revoked

Note that this also fixes an issue with the previous dual-use of the
`trusted` flag.  It not only indicated whether the chain is trusted but
also whether the current issuer is the root anchor (the corresponding
flag in the `cert_validator_t` interface is called `anchor`).  This was
a problem when building multi-level trust chains for pre-trusted
end-entity certificates (i.e. where `trusted` is TRUE from the start).
This caused the main loop to get aborted after the first intermediate CA
certificate and the mentioned `anchor` flag wasn't correct in any calls
to `cert_validator_t` implementations.

Fixes: CVE-2022-40617

pkcs7: Support rsa-pss signatures

object: Make INIT() a compound statement

This forces the use of a semicolon after INIT() and makes existing ones,
which was the case for basically all instances, necessary so e.g.
sonarcloud won't complain about an empty statement after every one of
them.

By evaluating to the allocated object, it would theoretically also allow
constructs like this:

  struct_t *this;

  return INIT(this,
   .a = x,
   .b = y,
  );

or this:

  array_insert(a, ARRAY_TAIL, INIT(this,
    .a = x,
    .b = y,
  ));

pki: Remove superfluous ; when initializing EST client

NEWS: Add news for 5.9.8

Also fixed the RFC number for EST.

github: Prefer third-party crypto lib's implementations over ours

If e.g. the hmac plugin is loaded before the third-party crypto lib
plugin, we might not use the latter's HMAC implementation in some
cases (e.g. in the libtls tests).

lgtm: Don't build with ASan and extra warnings

pki: Fix formatting and use `else if` to make Coverity happy

Use wolfSSL 5.5.1 for tests

Fixed some typos, courtesy of codespell

Version bump to 5.9.8rc1

ikev2: Trigger ike_updown() event after all IKE-specific tasks ran

This makes sure the event is only triggered after the IKE_SA is fully
established and e.g. virtual IPs, additional peer addresses or
a modified reauth time (on the initiator) are assigned to it.  This was
e.g. a problem for the selinux plugin if virtual IPs are used.

We use a separate task to trigger the event that's queued before the
child-create task so the event is triggered before the child_updown()
event.  Same goes for the state change to IKE_ESTABLISHED.

A new condition is used to indicate the successful completion of all
authentication rounds, so we don't have to set the IKE_ESTABLISHED state
in the ike-auth task (it was used as condition in other tasks).

Since set_state() also sets the rekey and reauth times, this required
some minor changes in regards to how AUTH_LIFETIME notifies are handled.

ikev2: Make sure the child-create task runs after all IKE_SA specific tasks

ikev2: The ike-me task does not have to run before the ike-auth task

Since e334bd46b184 ("ike-auth: Move packet collection to post_build()
method") tasks and plugins can modify the IKE_SA_INIT message independent
of the ike-auth task.

socket-dynamic: Use IPv6-only mode for IPv6 sockets

Same as the previous commit.

Fixes: 5f9ad62a8156 ("socket-dynamic: Don't set SO_REUSEADDR on IKE sockets anymore")

socket-default: Use IPv6-only mode for IPv6 sockets

Otherwise, we can't open a dedicated IPv4 socket on the same port as the
IPv6 socket already is set up do receive IPv4 packets (unless we'd again
enable SO_REUSEADDR).

Fixes: 83da13371292 ("socket-default: Don't set SO_REUSEADDR on IKE sockets anymore")

android: Prevent FD leak from HttpURLConnection

The default is apparently "Connection: keep-alive", which somehow keeps
the socket around, which leaks file descriptors with every connection
that fetches OCSP and/or CRLs.  Over time that could result in the number
of FDs reaching a limit e.g. imposed by FD_SET().

Closes strongswan/strongswan#1160

android: Update dependencies

android: Set compile-/targetSdkVersion to 32