x509: Don't break when cA field of BasicConstraints is missing

The field defaults to FALSE. It sucks that libtasn1 doesn't
fill this in for us.

https://bugs.freedesktop.org/show_bug.cgi?id=61975

tools: Remove extra debugging statement when running external commands

extract-trust: Turn into a placeholder script that does nothing

If the 'p11-kit extract-trust' command is to be used by
distributions, make them customize it appropriately.

doc: Don't wrap the options in the pkcs11.conf manual page

Release version 0.16.0

Build with the libtasn1 CFLAGS properly

Tweaks by: Roman Bogorodskiy <bogorodskiy@gmail.com>

https://bugs.freedesktop.org/show_bug.cgi?id=61739

Redo mock.h header in order to relicense

Rewrite the mock.h header to relicense it. It is based on the BSD
licensed mock.c file, so this isn't a big issue.

Remove duplicate typedef

https://bugs.freedesktop.org/show_bug.cgi?id=60894

Fix missing bracket in trust module check

This fixes building --without-libtasn1

https://bugs.freedesktop.org/show_bug.cgi?id=61740

Initialize modules correctly in tests

This fixes hangs when running tests on windows

Windows doesn't support symlinks, chmod, or atomic renames

 * Don't create symlinks on windows
 * No atomic renames, so delete and then rename
 * Make sure to close files before unlinking on windows
 * No chmod permissions on windows

Use mingw compatible coverage flags

The way that coverage is built and linked is different with mingw
so just use the --coverage flag to represent the correct behavior
when cross compiling.

Don't use wchar_t for storing unicode characters

On Win32 wchar_t is only 2 bytes, which breaks our UTF-8 conversion
functions.

Fix syntax errors in OS_WIN32 ifdefs

Open files in binary mode on windows

So that the Windows' C library doesn't munge line endings

Add compat gmtime_r() and timegm() functions

Not available on Win32 or ancient unixes

Add compat mkstemp() and mkdtemp() functions

Not available on Win32 or ancient unixes

Add compat vasprintf() and asprintf() functions

These are not available on Win32 and ancient unixes

Add compat strndup() function

Not available on Win32 and ancient unixes

Abstract mmap() into a compat API

The Win32 for mmap() is very different from Unix, so abstract
this into our own p11_mmap_xxx() functions.

Use putenv() instead of setenv()

Since older operating systems don't support setenv()

Add compat implementation of basename()

For Win32 and older unixes

tools: Update comments for cacerts jks format

Rename p11_module_xxx() compat functions to p11_dl_xxx()

For clarity. In addition, make p11_dl_close() able to be used
as a destroyer callback.

Also make p11_dl_error() return an allocated string

Update the pkcs11.h header for missing mechanisms

Only do shared object and DLL initialization in libraries

Don't do library initialization on shared object load when not running
in a library. We'll want to plug into this and do different things
per library in the future.

Move pkcs11.conf and module documentation to a manual page

Pull translations from transifex

 * Build a script to help with this

https://bugs.freedesktop.org/show_bug.cgi?id=60792

Relicense the buffer code appropriate for inclusion in p11-kit

 * All original lines in this file upon arrival in the p11-kit
   project were written by me, and copyright held by me.

Release version 0.15.2

 * This is an unstable release

Add finish translation

Add and enable German gettext translation

Enable installation of gettext translations and add German translation
by Chris Leick.

Respect destdir when creating package module config directory

Fix dereference of varargs in p11_attrs_build()

https://bugs.freedesktop.org/show_bug.cgi?id=60473

Remove unnecessary code to be more compatible with various libtasn1 versions

https://bugs.freedesktop.org/show_bug.cgi?id=60434

Don't require explictly disabling trust module if --without-libtasn1

And provide more intelligent error messages about why to build
with libtasn1

Tweaked by Stef Walter

Fix various clang analyzer warnings

 * Add annotations to our precondition functions so that they
   don't make the analyzer complain

Our minimum version of libtasn1 is 2.14

Release version 0.15.1

 * This is an unstable release

Add a placeholder external 'extract-trust' command

Implement support for java JKS keystore format

 * All aliases must be lower case in order to work with the
   default keystore implementation.

Use the CN, OU or O of certificates to generate a label

 * This is in cases where the certificate information does not
   already have a friendly name or alias.

Add support for exporting OpenSSL's TRUSTED CERTIFICATE format

Add support for extracting to pem-bundle and pem-directory formats

Implement code for writing PEM

 * Based on the gcr code
 * Bring in base64 output code from BSD
 * Make sure to output base64 lines of 64 character length since
   this is what OpenSSL expects

Implement basic extract support

 * The only formats supported are x509-file and x509-directory

Allow tool to build without extract

Support for sane writing to files extracted

 * Implement atomic writes of files
 * Writing with checks that not overwriting anything unless desired
 * Writing and overwriting of directory contents in a robust way

Add public iterator API to p11-kit

Allow internal use of token and module info matching

Move the X.509 extension parsing code in common/

 * So it can be used by other code, in addition to the trust stuff

Add p11_array_clear() function

 * Clears an array without freeing the array itself

Implement trust assertion PKCS#11 objects

 * Implement trust assertions for anchored and distrusted certs
 * Pinned certificate trust assertions are not implemented yet
 * Add an internal tool for pulling apart bits of certificates

Refactor how parsing of ASN.1 data and certificate extensions work

Fill in certificate authority and trust data correctly

 * Fill in CKA_CERTIFICATE_CATEGORY properly for authorities
   based on the presence of BasicConstraints and/or v1 certificates
 * Fill in CKA_TRUSTED and CKA_X_DISTRUSTED based on whether the
   parser is running for anchors or blacklist
 * In addition support the concept of blacklisted certificates mixed
   in with the anchors (without any purposes) since that's what exists
   in the real world.
 * We do this after the various hooks have had a chance to mess
   with the certificate extensions and such.

Implement stapled certificate extensions internally

 * Use stapled certificate extensions to represent loaded trust policy
 * Build NSS trust objects from stapled certificate extensions
 * Add further attribute debugging for NSS trust objects
 * Use a custom certificate extension for the OpenSSL reject purpose data
 * Use SubjectKeyIdentifier for OpenSSL keyid data
 * Use ExtendedKeyUsage for OpenSSL trust purpose data
 * Implement simple way to handle binary DER OIDs, using the DER TLV
   length. DER OIDs are used in the CKA_OBJECT_ID value, and elsewhere.
 * Split out the building of NSS trust objects from the main parser

Better debugging and checks for attribute values

Add tool for testing how fast the token loads

Some debug info about which files are being loaded

Test a TRUSTED CERTIFICATE without any trust OIDs

Add the builtin roots NSS specific object

This tells NSS that this is a source of anchors.

Add support for openssl TRUSTED CERTIFICATE PEM files

Add support for parsing PEM files

Add basic trust module

This is based off the roots-store from gnome-keyring and loads
certificates from a root directory and exposes them as PKCS#11
objects.

Add basic checksum algorithms

The SHA-1 and MD5 digests here are used for checksums in legacy
protocols. We don't use them in cryptographic contexts at all.
These particular algorithms would be poor choices for that.

Remove the unused err() function and friends

We want to use p11_message in our commands anyway, since that
allows us control with --verbose and --quiet.

Tweak style of the manual

 * Unindent the main headings
 * Don't wrap options
 * Better spacing in table of contents
 * Don't have line numbers on code examples

Add documentation about contributing to p11-kit

Add a p11-kit tool manual page

Change the documentation configure arg to --enable-doc

 * We're building more than just the gtk-doc reference

Add a /usr/share/p11-kit/modules directory for package module configs

 * Try to make /etc/pkcs11/modules for administrator use
 * Override the old pkg-config variables to help packages start
   using the new location

Make the p11-kit tool have distinct commands

 * Change the -l argument into the list-modules command.
 * Add proper functions for printing usage
 * Support for external commands in the path or /usr/share/p11-kit

Add p11_kit_be_loud() function for use in tests and tools

This does the opposite of p11_kit_be_quiet().

Add internal function for turning on messages

To be used from tests

Add more mock-module implementation

 * Move mock code into the common/ directory to be used by multiple
   components of p11-kit

Further tweaks and cleanup for functions dealing with PKCS#11 attributes

 * Check that the size is correct when looking for a boolean
   or a ulong.
 * Make sure that the length is not the invalid negative ulong.
 * Functions for dumping out attribute contents
 * Make it possible to use attributes in hash tables

Add generic buffer code

Represents a block of memory that can be added to, parsed and so on

Use the stdbool.h C99 bool type

It was getting really wild knowing whether a function returning
an int would return -1 on failure or 0 or whether the int return
value was actually a number etc..

Only initialize p11-kit libraries once

 * Make the gcc constructor call p11_library_init_once()

Set strict debug preconditions during testing

Add common functions for manipulating CK_ATTRIBUTE arrays

Move the pkcs11.h header files into common directory

 * Allows use of them across the whole project
 * Put a stub file in the p11-kit/ directory, so we can still refer
   to the headers using that path, which is what it will be at
   when in the installed includes directory.

Build common code into noinst libraries

 * This is cleaner than building the same source files all over
   the place over and over.
 * Works better with code coverage.

Move debug and library code into the common/ subdirectory

Start using p11_ as our internal prefix rather than _p11_. We explicitly
export p11_kit_ so this is fine as far as visibility.

Move the threading, mutex, and module compat, dict, and array code
into the common directory too.

Take this opportunity to clean up a bit of internal API as well,
since so many lines are being touched internally.

Fix leak when initializing the proxy module

https://bugs.freedesktop.org/show_bug.cgi?id=58704

Documentation fixes for PIN functions

Fix file descriptor leak in p11_kit_pin_file_callback()

 * Close the file descriptor used to read the the pin file

https://bugs.freedesktop.org/show_bug.cgi?id=58706

Distribute HACKING in the tarball

Fix documentation warnings.

 * P11_KIT_URI_NO_MEMORY is an unexpected state, that will probably
   never actually be returned. But kept for API compatibility.
 * make distcheck doc fix

Guarantee that the key is freed when replaced

 * When setting a key in a map that already exists, then free
   the old key and replace with the new one.
 * Fix related bug where key was not properly allocated
 * Add tests for this

https://bugs.freedesktop.org/show_bug.cgi?id=59087

Don't complain if we cannot access ~/.pkcs11/pkcs11.conf

 * If a process is running under selinux it may not be able
   to access the home directory of the uid that it is running as.

https://bugs.freedesktop.org/show_bug.cgi?id=57115

Refuse to load the p11-kit-proxy.so as a registered module

 * Since p11-kit-proxy.so is a symlink to the libp11-kit.so library
   we check that we are not calling into our known CK_FUNCTION_LIST
   for the proxy code.
 * Although such a configuration is invalid, detecting this directly
   prevents strange initialization loop issues that are hard to debug.

https://bugs.freedesktop.org/show_bug.cgi?id=55052

Don't fail initialization if last initialized module fails

 * We weren't resetting the result code after a failure,
   so even though failures for critical modules didn't interrupt
   the initialization loop, the result still leaked to callers.
 * Also print an error message clearly indicating that a module
   failed to initialize, regardless of whether critical or not.

https://bugs.freedesktop.org/show_bug.cgi?id=55051

Release version 0.14

Change the default of 'user-config' to merge.

 * This allows user configured PKCS#11 modules by default.
 * Admins can change this to 'none' in /etc/pkcs11/pkcs11.conf
   to go back to the previous behavior.
 * Posted to the mailing list.

configure.ac: Fix bogus comma, and fix up spacing

 * Fixes a mistake in the previous commit

https://bugs.freedesktop.org/show_bug.cgi?id=53706

Use AC_LANG_PROGRAM to detect program_invocation_short_name functionality

Were erroneusly detecting program_invocation_short_name on OpenBSD

https://bugs.freedesktop.org/show_bug.cgi?id=53706

Fix build on solaris

 * Conditional inclusion of the errno.h header
 * Link librt when appropriate for nanosleep

https://bugs.freedesktop.org/show_bug.cgi?id=52261

Always encode the "id" attribute in URIs

Per recommendation of the spec.

https://bugs.freedesktop.org/show_bug.cgi?id=52606

Initialize mutexes correctly in mock module

https://bugzilla.gnome.org/show_bug.cgi?id=44740

Fix warning on windows

https://bugzilla.gnome.org/show_bug.cgi?id=44740