build: Use separate p11-kit-{remote,server} executable for testing

Otherwise, the p11-kit-remote program called from p11-kit-server would
load the system modules instead of the local fixtures.

proxy: Allow proxy to be created from the library

Previously, to aggregate multiple modules into one, there was no other
way than loading the proxy module.  From the p11-kit applications,
however, it is not possible to load that module because of the
recursive loading check (p11_proxy_module_check).

This patch adds another means to aggregate modules, through a library
function p11_proxy_module_create.

proxy: Turn global variables module local

build: Make reallocarray detection robuster

On NetBSD, reallocarray is not declared until _OPENBSD_SOURCE is
defined.  Reported by Patrick Welche in:
https://lists.freedesktop.org/archives/p11-glue/2018-July/000691.html

server: Enable socket activation through systemd

This enables socket activation of "p11-kit server" through systemd.
The feature provided is essentially the same as commit
a4fb2bb5 (reverted), but implemented with "p11-kit server" and
libsystemd API instead of wrapping "p11-kit remote" in the unit file.

Note that, while it exposes all tokens through the socket, it doesn't
increase attack surface beyond the PKCS#11 binary interface provided
by p11-kit-proxy.so, because the service is per-user.

build: Ease issetugid() check when cross-compiling

When cross-compiling, the configure check for issetugid() aborts,
because of the pessimistic default of AC_RUN_IFELSE.  This patch
provides the non-pessimistic default to AC_RUN_IFELSE and wrap the
macro invocation with AC_CACHE_CHECK so that the user can override the
check by setting ac_cv_issetugid_openbsd=yes, as suggested in:
https://www.gnu.org/savannah-checkouts/gnu/autoconf/manual/autoconf-2.69/html_node/Runtime.html#Runtime

Release 0.23.12

travis: Add build scripts for macOS

travis: Use matrix

test: Avoid unnecessary memory allocation

common: Fix runtime directory detection when given prefix is long

common: Don't rely on issetugid() when it is broken

On macOS and FreeBSD, issetugid() has different semantics from the
original OpenBSD implementation and cannot reliably detect if the
process made setuid/setgid:
https://gist.github.com/nicowilliams/4daf74a3a0c86848d3cbd9d0cdb5e26e

This should fix:
https://bugs.freedesktop.org/show_bug.cgi?id=67451
https://bugs.freedesktop.org/show_bug.cgi?id=100287

build: Don't use locale funcs if locale_t is not defined in locale.h

On macOS, locale_t is not defined in <locale.h>.  Although it is
defined in <xlocale.h>, we rather not use locales at all for POSIX
compliance.

pkcs11: Exercise GNU calling convention at compile time

build: Simplify README inclusion

Use symlink in the repository, instead of copying.

NEWS: Mention latest changes

build: Delay building mock-six.la until "make check"

build: Include README in the distribution

As we removed README from the repository, it is no longer
automatically picked up for the distribution by Automake.

build: Fix ChangeLog generation

build: Remove obsolete upload rules

build: Include p11-kit/test-messages.sh in distribution

uri: Make scheme comparison case-insensitive

RFC 3986 suggests that implementations should accept uppercase letters
as equivalent to lowercase in scheme names.

common: Make case conversion locale independent

The tolower()/toupper() functions take into account of the current
locale settings, which p11-kit doesn't want.  Add replacement
functions that work as if they are called under the C locale.

Improve const correctness for P11KitUri

This does not improve const for the getters. The reason for this is that
they are usually passed into the PKCS#11 APIs directly and these APIs
are not const correct. Trying to force const correctnesss here would
result in pain for library consumers.

This is an API and ABI compatible change.

README: replace by README.md

That is, use README.md as primary source to generate README as
README is required by the GNU guidelines. We don't try to convert
to "real" plain text as markdown is readable, and to avoid introducing
another dependency (e.g., pandoc).

Signed-off-by: Nikos Mavrogiannopoulos <nmav@redhat.com>

NEWS: mark the 0.23 series as stable

Resolves #80

Signed-off-by: Nikos Mavrogiannopoulos <nmav@redhat.com>

README.md: added reference to Daiki's key

Resolves #153

Signed-off-by: Nikos Mavrogiannopoulos <nmav@redhat.com>

Release 0.23.11

common: Pacify clang-analyzer

trust: Avoid array overflow

trust: Don't null terminate PKCS #11 string fields

proxy: Don't null terminate PKCS #11 string fields

test: Avoid exceeding maximum pathname length of Unix socket

library: Use dedicated locale object for printing error

Revert "build: Check strerror_l() and uselocale() seperately"

This reverts commit 173ad93cc54057886b2055f3d73ea64a047127d1.

We should rather use newlocale() when per-thread locale is not set.
Otherwise uselocale() could return LC_GLOBAL_LOCALE on some
platforms (e.g. musl-libc) and calling strerror_l() with it leads to
an undefined behavior.

build: Check strerror_l() and uselocale() seperately

NetBSD deliberately doesn't support per-thread locale and our
thread-safe replacement of strerror() using strerror_l() cannot be
used.  Fallback to strerror_r() in that case.

travis: Optimize dnf install invocation

test: Add installcheck script to test trust module

Currently it only checks that "disable-in: p11-kit-proxy" properly
prevents the trust module being loaded by the proxy module.

trust: Prevent trust module being loaded by proxy module

Otherwise, when the proxy module were registerd in NSS database, the
trust module would be loaded twice and degrade search performance.

travis: Run "make installcheck"

trust: Fix memleak in p11_enumerate_opt_filter

p11_kit_iter_add_filter() takes the ownership of given attributes.
Spotted by address sanitizer.

test: Factor out common harness from test-extract.in

test: Add test for JKS extractor

Piggybacking commit de963b96, this adds a multi-cert test case for the
Java keystore extractor.

test: Add test for p11_attrs_purge()

mock-module-ep: Properly override C_GetFunctionList

modules: Add option to control module visibility from proxy

This enables to control whether a module will be loaded from the proxy
module.  The configuration reuses the "enable-in" and "disable-in"
options, with a special literal "p11-kit-proxy" as the value.

trust: add unit test for the "edk2-cacerts" extractor

Add a multi-cert test case for the edk2 extractor, heavily based on the
"/openssl/test_file_multiple" test case.

Bugzilla: https://bugzilla.redhat.com/show_bug.cgi?id=1559580
Signed-off-by: Laszlo Ersek <lersek@redhat.com>

trust: implement the "edk2-cacerts" extractor

Extract the DER-encoded X.509 certificates in the EFI_SIGNATURE_LIST
format that is

- defined by the UEFI 2.7 spec (using one inner EFI_SIGNATURE_DATA object
  per EFI_SIGNATURE_LIST, as specified for EFI_CERT_X509_GUID),

- and expected by edk2's HttpDxe when it configures the certificate list
  for HTTPS boot from EFI_TLS_CA_CERTIFICATE_VARIABLE (see the
  TlsConfigCertificate() function in "NetworkPkg/HttpDxe/HttpsSupport.c").

The intended command line is

  p11-kit extract \
    --format=edk2-cacerts \
    --filter=ca-anchors \
    --overwrite \
    --purpose=server-auth \
    $DEST/edk2/cacerts.bin

Bugzilla: https://bugzilla.redhat.com/show_bug.cgi?id=1559580
Signed-off-by: Laszlo Ersek <lersek@redhat.com>

trust: introduce the "edk2-cacerts" extractor skeleton

Introduce the p11_extract_edk2_cacerts() skeleton. At the moment it always
fails, silently.

Bugzilla: https://bugzilla.redhat.com/show_bug.cgi?id=1559580
Signed-off-by: Laszlo Ersek <lersek@redhat.com>

modules: Fix memleak in re-initialization case

Treat CKR_CRYPTOKI_ALREADY_INITIALIZED correctly

In p11_kit_modules_initialize(), treat a return code
of CKR_CRYPTOKI_ALREADY_INITIALIZED as identical to
CKR_OK.

travis: Disallow failure on mingw

test: Add missing seven.module in Windows fixtures

travis: Use LOG_COMPILER to run tests under wine

build: Enable make check with wine

common: Fix compilation of runtime.c under mingw

test: Add failing test for CKR_CRYPTOKI_ALREADY_INITIALIZED

test: Add test for error messages

test: Use _exit() in child process to immediately close open FDs

test: Rewrite test-server.sh in TAP style

test: Take advantage of TAP test driver

common: Add assert_skip() and assert_todo()

test-server.sh: Fix bashism

Release 0.23.10

maint: Point to the new URLs

test-server: Add test for detecting address

test-server: Fix compilation error on FreeBSD

common, client: Move runtime directory detection to libp11-common

common: Make p11_test_directory_delete() work recursively

test: Improve temporary directory handling

p11_kit_remote_serve_tokens: Read "write-protected" setting from URI

filter: Respect CKF_WRITE_PROTECTED setting when allowing a token

test: Add test for client-server interaction

The test spawns a process running the server command and connects to
it through p11-kit-client.so.  It's is a bit tricky that the child
process requires to preload libasan.so when ASan is in in effect, to
properly load a mock module.

server: Print envvars even when running in foreground

test-transport: Make sure to initialize addrlen given to accept

client: Fix memleaks in the module

test: Fix unconditional jump in test-proxy.c

doc: Replace links to freedesktop.org to github pages

trust: Forcibly mark "Default Trust" read-only

The "Default Trust" token is typically mounted as $datadir, which is
considered as read-only on modern OSes.

Suggestd by Kai Engert in:
https://bugzilla.redhat.com/show_bug.cgi?id=1523630

po: Update translations from transifex

build: Add more files to .gitignore

travis: Exclude generated files from coverage

build: Split out generated code from p11-kit/virtual.c

trust: Filter out duplicate extensions

The trust policy module keeps all the objects in the database, while
PKIX doesn't allow multiple extensions identified by the same OID can
be attached to a certificate.  Add a check to C_FindObjects to exclude
any duplicates and only return the first matching object.

It would be better if the module rejects such duplicates when loading,
but it would make startup slower.

https://bugzilla.redhat.com/show_bug.cgi?id=1141241

build: Delay compilation of test-related stuff

proxy: Remove dead code

Since the libffi became optional (commit 9f632bed), the fallback code
path in proxy.c has never taken.

proxy: Reuse the existing slot ID mapping after fork

While the proxy module reassigns slot IDs in C_Initialize(), some
applications assume that valid slot IDs should never change across
multiple calls to C_Initialize().  This patch mitigates this by
preserving the slot IDs, if they are known to the proxy module.

server: Avoid null-dereference of timespec value on timeout

Spotted by clang-analyzer.

Added p11-kit remoting page in manual

build: Add README.md to display build status

travis: Exclude test programs from coveralls

travis: Supply necessary envvars to container for coveralls

travis: Use in-tree build for coverage

The coverage tools (gcov, cpp-coveralls, etc) cannot detect source
files if the project is built out-of-tree.  Use the same directory for
$srcdir and $builddir for the build with --enable-coverage.

test: Improve code coverage of filter.c

travis: Use coveralls for measuring coverage

p11_kit_override_system_files: introduced new function

That allows overriding the default module and configuration
locations, for use in test suites, etc.

Signed-off-by: Nikos Mavrogiannopoulos <nmav@gnutls.org>

p11_kit_modules_load*: enhanced documentation on flags

Signed-off-by: Nikos Mavrogiannopoulos <nmav@gnutls.org>

build: Take advantage of parallel-tests

server: Better shell integration

This adds -k, -c, and -s options to the "p11-kit server" command,
which allows you to terminate the server process, select which C-shell
or Bourne shell command line is printed on startup, respectively.

server: Make it possible to eval envvar settings

Previously, calling "eval $(p11-kit server)" from shell hung because
the program didn't properly close stdout before forking.