socketpair type derived from tlsdata->ipproto

Modifications to testcli & testsrv for virtual host checks.
(Dropped the possibility to specify address data on testsrv
 that was not mirrorred into testcli anyway.)

First version of a protocolhandler.py tool, for web+tlspool: URI scheme

Correction to new testdata

Added privkey #8 and a certificate "playground.arpa2.lab"

use getaddrinfo in testsrv.c

Corrections in Python wrappers
Management of file descriptors was leaking.  The cryptfd was closed
by the tlspool_starttls() call or TLS Pool but also by Python, for
instance when garbage collecting the cryptfd.  This allowed closing
the same socket twice or, more accurately put, closing of the same
file descriptor number.  An intermediate process might have opened
another stream with the same number, and seen it closed.  Yet an
other process might have opened it once again and receive spurious
information from the stashed file descriptor in, say, the syslog()
API or Python sockets.

Improvements in Python support and installation of Python and includes

Updated #bits for RSA (it used to be 2000 to tease out expectations)

Added a CMake option for EXPERIMENTAL_SRP, defaulting to OFF.
SRP support was always a bit experimental, referencing files relative
to the point of invocation.  This did not help stability.  This is now
off by default, but can simply be toggled on in the CMake Cache.

Updates, mostly to testdata, to tool modernisations
 - label= become object= in certtool, breaking change?
 - libsofthsm2 is readily available in distributions
 - certtool now produces multiple hashes, and references with SHA1

Polishing (#65)

Some reduction of compile warnings and a little extra documentation to help people building from source.

Cmakeing (#66)

Switch TLSPool build entirely to CMake; make DANE optional (not recommended, but needed to get it to build on older Ubuntu's).

Merge pull request #63 from adriaandegroot/pulleyback

CMake-ify

Makefile: clean up build

 - fix Quick-DER pkgconfig name
 - allow specifying BDB flags (needed on FreeBSD)
 - explicitly set c99 standard (where it wasn't set yet)
 - create directories where things will be installed

CMake: install all libraries and executables and manpages

test/: fix C code, add CMake

 - Run valexp tests through a supporting shell-script. This means
   less futzing with command-pipelines in the CMake code.
 - Run onlinecheck through supporting shell-script.

Fix up C code in test/ dir

 - The declaration of tlog() in internal.h is messed up by
   #defining it as empty, so see the declaration first, before
   #defining it away in the actual code.
 - Better usage message for onlinecheck (test)
 - Pulleybacksim minor pointer signedness fixes
 - Pulleybacksim executable also returns 0 on failure,
   so this test always succeeds.

tool/: fix C code, add CMake

Refactor after finding 3 copies of code

 - Having fixed the same printf() format problems in 3 test
   programs, refactor the runterminal() function to be usable
   for each of those programs.
 - Introduce separate module runterminal.c, which is linked
   into targets through a CMake-level OBJECT library.

Other C fixes:
 - Arguments to main()
 - Minor constness, pointer-signedness fixes
 - Missing parameters for format-string in printf()
 - Constness
 - Lots and lots of format fixes for pgp11_genkey

libtlspool: reduce warnings

 - pid is unsigned, comparison >= 0 is useless

Pulleyback: reduce warnings

 - Pass int to %.*s
 - check() doesn't return anything
 - char vs uint8_t

CMake-ify TLSPool (and pulleyback)

 - Add top-level stub Makefile.cmake for driving cmake-builds,
   styled on the Quick-DER one. This allows 'make cmake-build'
   to be used to test the CMake system.
 - Find libunbound
 - Find libldns
 - Find p11-kit
 - Find gnutls
 - Find gnutls-dane extensions
 - Find libtasn1
 - Find openldap
 - Always include feature summary

Merge pull request #61 from adriaandegroot/fix-build

Fix build

LDAP-types: use berelement instead of void

C-style: char vs uint8_t

Add some constness to parameters of strncatesc

Fix string escaping

Tests: try to introduce test for string escaping.

C-style: char vs uint8_t

C-style: char vs uint8_t

C-style: massage char / uint8_t to reduce warnings

Logic-typos

 - Intended was to check for both flag bits, cf. line 637

C-style: simplify setup of validation-expression tables.

 - original code had UB due to lack of sequence point in the assignment
   of i++ to an expression indexed by i.

C-style: drop trailing spaces

TLS_KDH: code not guarded

Assignment clobbers value in if

C-style: reduce pointer-signedness warnings

C-style: pointer typo

 - Use a 10000-byte buffer for the data, instead of a probably-80000-byte
   buffer with the wrong type.

C-style: reduce signedness warnings

C-style: use %p to print pointers

C-style: drop unused printf parameter

GnuTLS: unhandled enum values made explicit

GnuTLS: fix call

 - gnutls_certificate_get doesn't exist in GnuTLS 3.[135]; presumed typo.

C-style: drop casts

- (locally) asn1_get_length_ber takes const unsigned char *,
  so the cast is extra and introduces a warning.

C-style: swapped format chars lead to warning

C-style: massage char types

C-style: lengths (sizes, really) are unsigned

C-style: reduce signed/unsigned warnings

C-style: drop duplicate const, make read-only data

C-style: drop trailing spaces

Fix-build: remove duplicate flag-setting (with bad pkg-config)

Fix-build: for FreeBSD, allow specifying /usr/local/include/db5/ for BDB

Fix-build: package is named Quick-DER

Merge pull request #59 from arpa2/pulleyback

Improved transaction handling in PulleyBack plugin (poolback)

Improved transaction handling in PulleyBack plugin (poolback)
 - Collected failures within a transaction as TXN_ABORT transactional state
 - When commit fails, enact a rollback and remove transaction
 - When prepare fails, still need to invoke rollback (see documentation)

Changes to accommodate NixOS; thanks to Joachim Schiele <qknight>

Added tool/have_db to ensure that at least empty databases exist

Updates to testdata so as to build a localid.db that works with TLS-KDH

Merge pull request #46 from arpa2/tls-kdh

Integration of TLS-KDH

Merge branch 'master' of https://github.com/arpa2/tlspool into tls-kdh

Conflicts:
testdata/Makefile

Merge branch 'tls-kdh' of https://github.com/arpa2/tlspool into tls-kdh

Conflicts:
tool/get_localid.c

Fixes of memory leaks in TLS-KDH handling

First working TLS-KDH system!  (Still with possible memleaks)

Now passing Ticket and Authenticator between client and server
 - tested for the KDH-only mode, without server certificate
 - including a keytab for `generic/testsrv\@tlspool.arpa2.lab@ARPA2.NET`

Now returning properly from cli_kdhsig_encode()
- simply forgot to add terminators to the syntax packers
- have not checked the actual data produced

Mostly working-ish, with problems in Quick DER and GnuTLS-KDH remaining
- issue in   TLS Pool: PIN entry does not work
- issue in  Quick DER: der_pack() returns incredibly large size
- issue in GnuTLS-KDH: crashes on gcm/hash size
- issue in GnuTLS-KDH: gnutls_certificate_get_peers() is empty under KDH
This release bails out of cli_kdhsig_encode(), causing GNUTLS_E_USER_ERROR

First version that seems to get the ticket accross (due to hacks)
The hacks are marked to be overruled #if TOM_IS_WEG

Now running all the way up to the reception of Certificate Request
This is in combination with GnuTLS-KDH 63f3e43bfb19a9105004e6dc3b278d5fdec0ff3a

Working up to and including clisrv_cert_retrieve()
 - It fails with GnuTLS error -87, No supported cipher suites have been found.
 - This is after returning a Kerberos ticket (both empty and DER NULL)

Last (AFAIK) functional extension to TLS-KDH
 - overlooked retrieval of data from client's Ticket into server cmd->...
 - removed cmd->krb_tkt as it was never really needed
 - kept cmd->krb_key for decryption of what comes up next
 - added cmd->krbid_client for client principal, assured by both KDH modes
 - added cmd->krbid_server for server principal, assured by only KDH-Only
 - considering cmd->krbid_XXX to be verified identities after gnutls_handshake()
 - checked against change of server ID after it starts with user-to-user
 - it compiles, but let's not ship it quite yet

Misc improvements
 - malloc() now matched by free() in cli_kdhsig_encode()
 - better GnuTLS error codes: E_DE/ENCRYPTION_FAILED, etc.

Added srv_kdhsig_decode() to help verification of the Kerberos "signature"
 - Unpack the EncryptedData
 - Decrypt the EncryptedData with the key at hand
 - Unpack the Authenticator
 - Somewhat validate the Authenticator
 - Deliver information from the Authenticator

Update on cli_kdhsig_encode()
 - new data field in include file

Introduced compiling cli_kdhsig_encode()
 - Construct an Authenticator
 - Deliver it in dec_authenticator
 - Encrypt the Authenticator and wrap it in EncryptedData
 - Deliver that in enc_authenticator

Compiling code to supply Tickets as certificates to GnuTLS' TLS-KDH extension
 - As a client, provide a service ticket
 - As a KDH-Only server, consider user-to-user mode instead of client-to-service
 - In user-to-user mode, select a server TGT and supply it
 - In client-to-service mode, select no server ticket (instead, supply 0 bytes)

Looking good: have_key_tgt() produce a keyblock + creds in various ways

Remodelled contexts (split for clients / servers) and started have_key_ctx()

Potential extra precaution at setup of Kerberos.

Potential extra precaution during startup of Kerberos

Added keyblock to session, and cleanup at the end of the handshake

Setup and cleanup for Kerberos: check colletion support on credential caches

Created configuration variabels for Kerberos keytab,credcache of cli,srv

First attempt at making TLS-KDH work with the TLS Pool

Added priority string with asymmetric certificate type support (RFC 7250)

Initial use of proposed GUI for TLS-KDH

Fixes of memory leaks in TLS-KDH handling

First working TLS-KDH system!  (Still with possible memleaks)

Update to Handbook, to make it work on tlspool.readthedocs.io

Added the TLS Pool Handbook, first edition.
Note: The text previews upcoming name changes for tools!

Now passing Ticket and Authenticator between client and server
 - tested for the KDH-only mode, without server certificate
 - including a keytab for `generic/testsrv\@tlspool.arpa2.lab@ARPA2.NET`

Merge branch 'master' of https://github.com/arpa2/tlspool

Fixes to improve building

Now returning properly from cli_kdhsig_encode()
- simply forgot to add terminators to the syntax packers
- have not checked the actual data produced

Mostly working-ish, with problems in Quick DER and GnuTLS-KDH remaining
- issue in   TLS Pool: PIN entry does not work
- issue in  Quick DER: der_pack() returns incredibly large size
- issue in GnuTLS-KDH: crashes on gcm/hash size
- issue in GnuTLS-KDH: gnutls_certificate_get_peers() is empty under KDH
This release bails out of cli_kdhsig_encode(), causing GNUTLS_E_USER_ERROR

Merge pull request #43 from leenaars/patch-4

Minor textual edits of README

Minor textual edits of README

Is the last part about Windows porting still relevant?

First version that seems to get the ticket accross (due to hacks)
The hacks are marked to be overruled #if TOM_IS_WEG

Misc changes

Merge pull request #41 from arpa2/configvar-apicall

Configvar apicall

Adapted tool/* to newly added tlspool_configvar() call; testdata generates properly

Added tlspool_configvar() to libtlspool
This retrieves a value from a configvar in a default location
Also used it to locate the TLS Pool socket
There is an environment variable to accommodate this
The TLS Pool daemon will not continue to use its own code (efficiency, security)
The tool/* and perhaps tests will later be updated to use this new facility