extract: Make extracted output directories read-only

This is not a security feature or anything like that, but a hint
that the files are managed by the extract tool and should not be
modified manually.

trust: Don't use POSIX or GNU basename()

Both are nasty. Do our own, and test it a bit

https://bugs.freedesktop.org/show_bug.cgi?id=62479

Do not export (de)constructor

Rename p11_kit_init and p11_kit_fini to _p11_kit_init and _p11_kit_fini
respectively to stop them from being exported in the ABI. It does not seem
to be necessary.

Release version 0.17.2

trust: Fix trust tests on 32-bit builds

trust: Fix invalid varargs call in the builder

Release version 0.17.1

 * Fix distcheck bugs surrounding the strndup() workaround

trust: Provide better debugging of trust module functions

Make C_FindObjects() and C_GetAttributeValue() functions dump the
attributes that they're dealing with when in debug mode.

attrs: Change p11_attrs_to_string() to allow static templates

Allow passing the number of attributes to print, which lets us use
this directly on templates passed in by callers of the PKCS#11 API.

trust: Handle incorrectly encoded CKA_SERIAL_NUMBER lookups

Handle lookups for trust objects (by NSS) which expect CKA_SERIAL_NUMBER
attributes without appropriate DER encoding.

In addition allow creation of NSS trust objects as PKCS#11 session
objects, so that we can test this behavior.

Add workaround for broken strndup() in firefox

Unconditionally use our own strndup() until this issue is resolved
and in the stable versions of various distros.

See: https://bugzilla.mozilla.org/show_bug.cgi?id=826171

compat: Fix trivial comment

Use the nickname x-distrusted for CKA_X_DISTRUSTED

This is a non-standard PKCS#11 attribute, so has the X prefix
like the other ones we've added.

trust: Better generation of nss objects and assertions for serial+issuer

In many cases certficates are distrusted by serial+issuer. Make sure
this works, and fix various cases where we weren't generating
compat NSS objects and compat trust assertions for these types
of input.

Refine looking up of attributes in arrays

There was a class of bugs for looking up invalid or empty
attributes in the internal PKCS#11 attribute arrays.

 * Refine what p11_attrs_find_valid() treats as valid
 * Rename p11_attrs_is_empty() to p11_attrs_terminator() for clarity

trust: Remove file that's no longer used

Bump version number

Fix distcheck and documentation

trust: Update frob-nss-tool so it can compare modules for trust info

Can run with two modules now so that it can compare tokens NSS
trust info.

trust: Support a p11-kit specific serialization format

This is documented in doc/internals/ subdirectory
Add tests for the format as well.

https://bugs.freedesktop.org/show_bug.cgi?id=62156

url: Split out the URL encoding and decoding functions

We want to use these as the format for encoding binary data
in our PKCS#11 attribute persistence

https://bugs.freedesktop.org/show_bug.cgi?id=62156

lexer: Make a lexer for our config file format

This lexer will be used in our PKCS#11 persistence format as well.

https://bugs.freedesktop.org/show_bug.cgi?id=62156

trust: Use a SHA-1 hash of subjectPublicKeyInfo as CKA_ID by default

This is what's recommended by the spec, and allows stapled extensions
to hang off a predictable CKA_ID.

https://bugs.freedesktop.org/show_bug.cgi?id=62329

trust: Add a builder which builds objects out of parsed data

The builder completes the objects from the parsed data and takes
over the responsibilities that the parser and adapter previously
shared.

This is necessary to prepare for arbitrary data coming from
the p11-kit specific input files.

https://bugs.freedesktop.org/show_bug.cgi?id=62329

attrs: Add info functions for constant names and values

 * For retrieving the name and/or nick of constants
 * The nick is what we'll use in the file format

https://bugs.freedesktop.org/show_bug.cgi?id=62329

trust: Refactor to include concept of the index

 * The index holds PKCS#11 objects whether for the token or for the session.
 * The index provides hook for a builder to expand or validate objects
   being added to the index.
 * In addition theres a change hook so that a builder can maintain state
   between objects, such as the compat NSS trust objects.

https://bugs.freedesktop.org/show_bug.cgi?id=62329

attrs: New p11_attrs_merge() function

This takes one set of attributes and merges them into
another, without copying memory needlessly.

https://bugs.freedesktop.org/show_bug.cgi?id=62329

asn1: Implement a parsed ASN.1 tree cache

In order to unmarry the parser from the future builder, but still retain
efficiency, we need to be able to cache parsed ASN.1 trees. The ASN.1
cache provides this. In addition it carries around the loaded ASN.1
definitions.

https://bugs.freedesktop.org/show_bug.cgi?id=62329

extract: Combine trust policy when extracting

 * Collapse multiple identical certificates coming from different
   tokens. Note that if a certificate should not be placed multiple
   times on a token. We cannot know which one to respect.
 * Add a new extract filter: --trust-policy
   This extracts all anchor and blacklist information

https://bugs.freedesktop.org/show_bug.cgi?id=61497

extract: --comment option adds comments to PEM bundles

 * Placed before the certificate, simple one liner
 * No need to put comments in PEM files extracted into
   directories, as the file names are already descriptive.

https://bugs.freedesktop.org/show_bug.cgi?id=62029

extract: Allow p11_save_write() to automatically calculate length

Also if automatically calculating length, then ignore input
that is NULL, as something that shouldn't be written out.

This allows easier chaining of optional output, such as comments.

https://bugs.freedesktop.org/show_bug.cgi?id=62029

p11-kit: New priority option and change trust-policy option

 * Sort loaded modules appropriately using the 'priority' option. This
   allows us to have a predictable order for callers, when callers
   iterate through modules.
 * Modules default to having an 'priority' option of '0'.
 * If modules have the same order value, then sort by name.
 * The above assumes the role of ordering trust-policy sources.
 * Change the trust-policy option to a boolean
 * Some of this code will be rearranged when the managed branch
   is merged.

https://bugs.freedesktop.org/show_bug.cgi?id=61978

trust: Make each configured path its own token

 * Each source directory or file configured into the module or passed
   in as an initialization argument becomes its own token.
   Previously there was one token that contained certificates from
   all the configured paths.
 * These tokens are clearly labeled in the token info as
   to the directory or file that they represent.
 * Update PKCS#11 module logic to deal with multiple tokens, validate
   the slot ids and so on.
 * The order in which the paths are configured will become the
   order of trust priority. This is the same order in which they
   are listed through 'p11-kit list-modules' and C_GetSlotList.
 * Update the frob-token internal tool to only play with one path
 * Adjust tests where necessary to reflect the new state of things
   and add tests for modified trust module code

https://bugs.freedesktop.org/show_bug.cgi?id=61499

dict: Allow removal of current item in a p11_dict iteration

 * This was already possible to do safely before
 * Document and test this behavior

https://bugs.freedesktop.org/show_bug.cgi?id=61499

trust: Rework input path treatment

 * Accept a single --with-trust-paths argument to ./configure
   which cotnains all the input paths.
 * The --with-system-anchors and --with-system-certificates
   ./configure arguments are no longer supported. Since they were
   only present briefly, no provision is made for backwards
   compatibility.
 * Each input file is treated as containing anchors by default
   unless an input certificate contains detailed trust information.
 * The files in each input directory are not automatically treated
   as anchors unless a certificate contains detailed trust information.
 * The files in anchors/ subdirectory of each input directory are
   automatically marked as anchors.
 * The files in the blacklist/ subdirectory of each input directory
   are automatically marked as blacklisted.
 * Update tests and move around test certificates so we can
   test these changes.

https://bugs.freedesktop.org/show_bug.cgi?id=62327

pem: Fix a bug decoding some PEM files

When bringing over the BSD base64 code, there was a regression.
In addition add some tests for the base64 stuff.

Don't overwrite the build directory when uploading documentation

Fix up the system anchors/certificates configure arguments

Double check various combinations, and make sure we don't fail
needlessly when --disable-trust-module. Also check that actual
paths are passed into the arguments.

doc: Move manual into doc/manual subdirectory

Release version 0.16.4

tools: Display per-command help appropriately

 * Fixes a regression
 * In addition allows --help to be specified before the command. If
   a command is present, command help will be shown

https://bugs.freedesktop.org/show_bug.cgi?id=62153

tools: Initialize local debug code correctly

Unless initialized according to the environment all debug output
is printed.

https://bugs.freedesktop.org/show_bug.cgi?id=62152

Release version 0.16.3

iter: Don't skip tokens that don't have CKF_TOKEN_INITIALIZED

This flag is not required to be set unless C_InitToken has been
called. Many modules, like libnssckbi.so, do not set this flag.

trust: add a simple frob-nss-token tool to dump distrust

Add a simple tool to dump NSS style distrust attributes from
a module.

trust: Use the new NSS PKCS#11 extension codes

NSS had subtly changed the values of the distrust CK_TRUST codes
so update them to stay in sync.

Hard code distrust temporarily.

This is because we have no way to load this data into the trust module.
Working on a real solution.

tools: Parse global options appropriately, even if after command

trust: Refactor how we load builtin objects

Don't shove messages into debug output if they're already displayed

Release 0.16.2

extract: Use bool instead of int where appropriate

tools: Add a bit of debugging to the PEM extract handler

extract: Fix regression in --purpose option

The --purpose option would only match certificates that had no
purposes marked on them. Fix it so that it correctly matches
certificates with the given purpose.

https://bugs.freedesktop.org/show_bug.cgi?id=62009

Document and put code coverage online

 * Document our testing practices
 * Put lcov code coverage output online

Properly detect the stdbool.h header

https://bugs.freedesktop.org/show_bug.cgi?id=62001

Release version 0.16.1

doc: Fix external URLs in documentation

doc: Add P11_KIT_STRICT=yes debugging tip

x509: Don't break when cA field of BasicConstraints is missing

The field defaults to FALSE. It sucks that libtasn1 doesn't
fill this in for us.

https://bugs.freedesktop.org/show_bug.cgi?id=61975

tools: Remove extra debugging statement when running external commands

extract-trust: Turn into a placeholder script that does nothing

If the 'p11-kit extract-trust' command is to be used by
distributions, make them customize it appropriately.

doc: Don't wrap the options in the pkcs11.conf manual page

Release version 0.16.0

Build with the libtasn1 CFLAGS properly

Tweaks by: Roman Bogorodskiy <bogorodskiy@gmail.com>

https://bugs.freedesktop.org/show_bug.cgi?id=61739

Redo mock.h header in order to relicense

Rewrite the mock.h header to relicense it. It is based on the BSD
licensed mock.c file, so this isn't a big issue.

Remove duplicate typedef

https://bugs.freedesktop.org/show_bug.cgi?id=60894

Fix missing bracket in trust module check

This fixes building --without-libtasn1

https://bugs.freedesktop.org/show_bug.cgi?id=61740

Initialize modules correctly in tests

This fixes hangs when running tests on windows

Windows doesn't support symlinks, chmod, or atomic renames

 * Don't create symlinks on windows
 * No atomic renames, so delete and then rename
 * Make sure to close files before unlinking on windows
 * No chmod permissions on windows

Use mingw compatible coverage flags

The way that coverage is built and linked is different with mingw
so just use the --coverage flag to represent the correct behavior
when cross compiling.

Don't use wchar_t for storing unicode characters

On Win32 wchar_t is only 2 bytes, which breaks our UTF-8 conversion
functions.

Fix syntax errors in OS_WIN32 ifdefs

Open files in binary mode on windows

So that the Windows' C library doesn't munge line endings

Add compat gmtime_r() and timegm() functions

Not available on Win32 or ancient unixes

Add compat mkstemp() and mkdtemp() functions

Not available on Win32 or ancient unixes

Add compat vasprintf() and asprintf() functions

These are not available on Win32 and ancient unixes

Add compat strndup() function

Not available on Win32 and ancient unixes

Abstract mmap() into a compat API

The Win32 for mmap() is very different from Unix, so abstract
this into our own p11_mmap_xxx() functions.

Use putenv() instead of setenv()

Since older operating systems don't support setenv()

Add compat implementation of basename()

For Win32 and older unixes

tools: Update comments for cacerts jks format

Rename p11_module_xxx() compat functions to p11_dl_xxx()

For clarity. In addition, make p11_dl_close() able to be used
as a destroyer callback.

Also make p11_dl_error() return an allocated string

Update the pkcs11.h header for missing mechanisms

Only do shared object and DLL initialization in libraries

Don't do library initialization on shared object load when not running
in a library. We'll want to plug into this and do different things
per library in the future.

Move pkcs11.conf and module documentation to a manual page

Pull translations from transifex

 * Build a script to help with this

https://bugs.freedesktop.org/show_bug.cgi?id=60792

Relicense the buffer code appropriate for inclusion in p11-kit

 * All original lines in this file upon arrival in the p11-kit
   project were written by me, and copyright held by me.

Release version 0.15.2

 * This is an unstable release

Add finish translation

Add and enable German gettext translation

Enable installation of gettext translations and add German translation
by Chris Leick.

Respect destdir when creating package module config directory

Fix dereference of varargs in p11_attrs_build()

https://bugs.freedesktop.org/show_bug.cgi?id=60473

Remove unnecessary code to be more compatible with various libtasn1 versions

https://bugs.freedesktop.org/show_bug.cgi?id=60434

Don't require explictly disabling trust module if --without-libtasn1

And provide more intelligent error messages about why to build
with libtasn1

Tweaked by Stef Walter

Fix various clang analyzer warnings

 * Add annotations to our precondition functions so that they
   don't make the analyzer complain

Our minimum version of libtasn1 is 2.14

Release version 0.15.1

 * This is an unstable release

Add a placeholder external 'extract-trust' command

Implement support for java JKS keystore format

 * All aliases must be lower case in order to work with the
   default keystore implementation.