Improved transaction handling in PulleyBack plugin (poolback)
 - Collected failures within a transaction as TXN_ABORT transactional state
 - When commit fails, enact a rollback and remove transaction
 - When prepare fails, still need to invoke rollback (see documentation)

Changes to accommodate NixOS; thanks to Joachim Schiele <qknight>

Added tool/have_db to ensure that at least empty databases exist

Updates to testdata so as to build a localid.db that works with TLS-KDH

Merge pull request #46 from arpa2/tls-kdh

Integration of TLS-KDH

Merge branch 'master' of https://github.com/arpa2/tlspool into tls-kdh

Conflicts:
testdata/Makefile

Merge branch 'tls-kdh' of https://github.com/arpa2/tlspool into tls-kdh

Conflicts:
tool/get_localid.c

Fixes of memory leaks in TLS-KDH handling

First working TLS-KDH system!  (Still with possible memleaks)

Now passing Ticket and Authenticator between client and server
 - tested for the KDH-only mode, without server certificate
 - including a keytab for `generic/testsrv\@tlspool.arpa2.lab@ARPA2.NET`

Now returning properly from cli_kdhsig_encode()
- simply forgot to add terminators to the syntax packers
- have not checked the actual data produced

Mostly working-ish, with problems in Quick DER and GnuTLS-KDH remaining
- issue in   TLS Pool: PIN entry does not work
- issue in  Quick DER: der_pack() returns incredibly large size
- issue in GnuTLS-KDH: crashes on gcm/hash size
- issue in GnuTLS-KDH: gnutls_certificate_get_peers() is empty under KDH
This release bails out of cli_kdhsig_encode(), causing GNUTLS_E_USER_ERROR

First version that seems to get the ticket accross (due to hacks)
The hacks are marked to be overruled #if TOM_IS_WEG

Now running all the way up to the reception of Certificate Request
This is in combination with GnuTLS-KDH 63f3e43bfb19a9105004e6dc3b278d5fdec0ff3a

Working up to and including clisrv_cert_retrieve()
 - It fails with GnuTLS error -87, No supported cipher suites have been found.
 - This is after returning a Kerberos ticket (both empty and DER NULL)

Last (AFAIK) functional extension to TLS-KDH
 - overlooked retrieval of data from client's Ticket into server cmd->...
 - removed cmd->krb_tkt as it was never really needed
 - kept cmd->krb_key for decryption of what comes up next
 - added cmd->krbid_client for client principal, assured by both KDH modes
 - added cmd->krbid_server for server principal, assured by only KDH-Only
 - considering cmd->krbid_XXX to be verified identities after gnutls_handshake()
 - checked against change of server ID after it starts with user-to-user
 - it compiles, but let's not ship it quite yet

Misc improvements
 - malloc() now matched by free() in cli_kdhsig_encode()
 - better GnuTLS error codes: E_DE/ENCRYPTION_FAILED, etc.

Added srv_kdhsig_decode() to help verification of the Kerberos "signature"
 - Unpack the EncryptedData
 - Decrypt the EncryptedData with the key at hand
 - Unpack the Authenticator
 - Somewhat validate the Authenticator
 - Deliver information from the Authenticator

Update on cli_kdhsig_encode()
 - new data field in include file

Introduced compiling cli_kdhsig_encode()
 - Construct an Authenticator
 - Deliver it in dec_authenticator
 - Encrypt the Authenticator and wrap it in EncryptedData
 - Deliver that in enc_authenticator

Compiling code to supply Tickets as certificates to GnuTLS' TLS-KDH extension
 - As a client, provide a service ticket
 - As a KDH-Only server, consider user-to-user mode instead of client-to-service
 - In user-to-user mode, select a server TGT and supply it
 - In client-to-service mode, select no server ticket (instead, supply 0 bytes)

Looking good: have_key_tgt() produce a keyblock + creds in various ways

Remodelled contexts (split for clients / servers) and started have_key_ctx()

Potential extra precaution at setup of Kerberos.

Potential extra precaution during startup of Kerberos

Added keyblock to session, and cleanup at the end of the handshake

Setup and cleanup for Kerberos: check colletion support on credential caches

Created configuration variabels for Kerberos keytab,credcache of cli,srv

First attempt at making TLS-KDH work with the TLS Pool

Added priority string with asymmetric certificate type support (RFC 7250)

Initial use of proposed GUI for TLS-KDH

Fixes of memory leaks in TLS-KDH handling

First working TLS-KDH system!  (Still with possible memleaks)

Update to Handbook, to make it work on tlspool.readthedocs.io

Added the TLS Pool Handbook, first edition.
Note: The text previews upcoming name changes for tools!

Now passing Ticket and Authenticator between client and server
 - tested for the KDH-only mode, without server certificate
 - including a keytab for `generic/testsrv\@tlspool.arpa2.lab@ARPA2.NET`

Merge branch 'master' of https://github.com/arpa2/tlspool

Fixes to improve building

Now returning properly from cli_kdhsig_encode()
- simply forgot to add terminators to the syntax packers
- have not checked the actual data produced

Mostly working-ish, with problems in Quick DER and GnuTLS-KDH remaining
- issue in   TLS Pool: PIN entry does not work
- issue in  Quick DER: der_pack() returns incredibly large size
- issue in GnuTLS-KDH: crashes on gcm/hash size
- issue in GnuTLS-KDH: gnutls_certificate_get_peers() is empty under KDH
This release bails out of cli_kdhsig_encode(), causing GNUTLS_E_USER_ERROR

Merge pull request #43 from leenaars/patch-4

Minor textual edits of README

Minor textual edits of README

Is the last part about Windows porting still relevant?

First version that seems to get the ticket accross (due to hacks)
The hacks are marked to be overruled #if TOM_IS_WEG

Misc changes

Merge pull request #41 from arpa2/configvar-apicall

Configvar apicall

Adapted tool/* to newly added tlspool_configvar() call; testdata generates properly

Added tlspool_configvar() to libtlspool
This retrieves a value from a configvar in a default location
Also used it to locate the TLS Pool socket
There is an environment variable to accommodate this
The TLS Pool daemon will not continue to use its own code (efficiency, security)
The tool/* and perhaps tests will later be updated to use this new facility

Merge pull request #40 from amarsman/tlspool-gui

fix c++ build: multiple definition errors of pioc_...

fix c++ build: multiple definition errors of pioc_...

Undone overzealous inclusion of changes in QUICKSTART.sh

Removed length valexp_varchars[] dump sequence (DEBUG)

Updated header files to support C++ (notably, g++)

Merge branch 'master' of https://github.com/arpa2/tlspool into tlspool-gui

Removed accidentally (?) added PEM files from testdata/

Additional changes to SWIG-generated files (with new GIL support)

Added GIL support to the Python wrapper (sigh... after a long search)
More local changes

Merge branch 'master' of https://github.com/arpa2/tlspool into tlspool-gui

Fix of missing sys introduced by PR on https_proxy
A few improvements on the build infra for lib/* wrappers

Merge branch 'master' of https://github.com/arpa2/tlspool into tlspool-gui

Changes to lib/*/Makefile to accommodate building without local SWIG

Merge branch 'master' of https://github.com/arpa2/tlspool into tlspool-gui

Merge pull request #39 from leenaars/patch-3

Add tlspool socket parameter to https_proxy

Add tlspool socket parameter to https_proxy

Parameter for socket filename to lib/python/webdemo.py
Added swig output for lib/go to GIT repo, only rebuilt with "make veryclean"
More advances with lib/go, but not done yet

SWIG now is not needed for lib/python, unless after "make veryclean"

Merge branch 'master' of https://github.com/amarsman/tlspool into tlspool-gui

Merge branch 'master' of https://github.com/arpa2/tlspool

Decoupled language wrappers from the main build.
The C library for linking with -ltlspool is still part of the main build.
See INSTALL for more details.

Merge pull request #37 from hfmanson/master

MXE cross compile

Using the new Python library wrapper, this makes https_proxy.py work

Merge branch 'master' of https://github.com/amarsman/tlspool into tlspool-gui

Make date command more platform independent, don't rely on a GNU extension

Removed old-style python wrapper, added clean target for library wrappers

Merge pull request #38 from arpa2/pythonwrap

Branch "pythonwrap" sufficiently complete to merge

Removed "uninstall" target from lib/python/Makefile
- This is missing in the setup.py functionality, or so it appears

Update pythonwrap branch with master @ github.com

Working Python wrapper and webdemo.py
 - Introduced mappings in the style of Python, such as ping() with defaults
 - Can build up a tlspool.Connection() and perform TLS over it
 - Cannot currently handle control keys in Python
 - Cannot currently use callback facility in starttls()
 - Downloads a web page from a secure site (over IPv6 only)

Working Python wrapper, for starttls() but some other utility functions remain todo

A bit more development, but nothing really grand

Merge branch 'master' of https://github.com/arpa2/tlspool into tlspool-gui

Initial attempt, with some pieces working, of Python SWIG

bugfix in tool/pingpool.c -- made socket path arg work

Updated to use amarsman repositories and tlspool-gui branches, will also build tlspool-gui

MXE cross compile fixes 3

MXE cross compile fixes 2

MXE cross compile fixes

Remove checkout of older versions.
Fix incorrect test argument.
Fix typo.

Merge branch 'master' of github.com:amarsman/tlspool into tlspool-gui

changes to make it build with a c++ compiler

Parameterised testdata/Makefile, roughly as suggested by Michiel
This enables using the tools from another bin directory
Testdata is meant for developers, so relative paths within Git are still default

Gotten started with a _tlspool.so module for Python
 - swig is doing its work nicely, already for many scripting languages
 - figured out how to compile to a Python dynamic module _tlspool.so
 - to keep languages separate, the output is named python_tlspool.so
 - it does not provide a good API to C types, so calling functions fails

Now running all the way up to the reception of Certificate Request
This is in combination with GnuTLS-KDH 63f3e43bfb19a9105004e6dc3b278d5fdec0ff3a

Working up to and including clisrv_cert_retrieve()
 - It fails with GnuTLS error -87, No supported cipher suites have been found.
 - This is after returning a Kerberos ticket (both empty and DER NULL)

Last (AFAIK) functional extension to TLS-KDH
 - overlooked retrieval of data from client's Ticket into server cmd->...
 - removed cmd->krb_tkt as it was never really needed
 - kept cmd->krb_key for decryption of what comes up next
 - added cmd->krbid_client for client principal, assured by both KDH modes
 - added cmd->krbid_server for server principal, assured by only KDH-Only
 - considering cmd->krbid_XXX to be verified identities after gnutls_handshake()
 - checked against change of server ID after it starts with user-to-user
 - it compiles, but let's not ship it quite yet

Misc improvements
 - malloc() now matched by free() in cli_kdhsig_encode()
 - better GnuTLS error codes: E_DE/ENCRYPTION_FAILED, etc.

Added srv_kdhsig_decode() to help verification of the Kerberos "signature"
 - Unpack the EncryptedData
 - Decrypt the EncryptedData with the key at hand
 - Unpack the Authenticator
 - Somewhat validate the Authenticator
 - Deliver information from the Authenticator

Update on cli_kdhsig_encode()
 - new data field in include file

Introduced compiling cli_kdhsig_encode()
 - Construct an Authenticator
 - Deliver it in dec_authenticator
 - Encrypt the Authenticator and wrap it in EncryptedData
 - Deliver that in enc_authenticator

Compiling code to supply Tickets as certificates to GnuTLS' TLS-KDH extension
 - As a client, provide a service ticket
 - As a KDH-Only server, consider user-to-user mode instead of client-to-service
 - In user-to-user mode, select a server TGT and supply it
 - In client-to-service mode, select no server ticket (instead, supply 0 bytes)

Looking good: have_key_tgt() produce a keyblock + creds in various ways