<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, 29 Apr 2020 at 01:54, Antony Antony <<a href="mailto:antony@phenome.org">antony@phenome.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Here is my attempt to fix it. I guess there more attempts Paul and Andrew <br>
has their own? I didnt commit because there more happening around. May be <br>
combine and take the best.<br>
<br>
During rekey on the responder this patch validate TS before the crypto <br>
starts.  Which I think is way better. I have been thinking of the same for <br>
initiator; when get the response to.  May be that should be later fix, first <br>
commmit the responder side clean up.<br></blockquote><div><br></div><div>Yea, good idea.  And using record means that the IKE SA can respond to retransmits (ignoring bugs such as needing i&r buffers).<br></div><div><br></div><div>BTW.  Unlike loglog(), log_state() works when cur_state is snafued.  And for liveness I added 338ff4cd2c6052ada19e9dccd6fe9724ce9c21b9 which might be a better fit for the initiator.<br></div><div><br></div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
I used 4 test cases and Windows 10 Tuomo runs to validate.<br>
<br>
ikev2-child-rekey-09-windows  this should emulate what Windows 10 is doing <br>
with rekey. It seems DH downgrade is fixed. This is based on logs provided <br>
by Tuomo.  Next 3 tests are more impairments to TS during rekey, emulating <br>
other possible scenarios<br>
<br>
ikev2-child-rekey-10-impair-rekey-initiate-subnet<br>
ikev2-child-rekey-10-impair-rekey-respond-subnet<br>
ikev2-child-rekey-10-impair-rekey-respond-supernet<br>
<br>
Also regarding:<br>
<a href="https://lists.libreswan.org/pipermail/swan-dev/2020-April/003754.html" rel="noreferrer" target="_blank">https://lists.libreswan.org/pipermail/swan-dev/2020-April/003754.html</a><br>
Andrew is right the initiator does not call the new functions added in <br>
7be41582a340. That is why it is removed. Initiator already call the score <br>
fuction follow the last two test cases.<br>
<br>
Also Tuomo has been testing this? any issues?<br>
<br>
regards,<br>
-antony<br>
_______________________________________________<br>
Swan-dev mailing list<br>
<a href="mailto:Swan-dev@lists.libreswan.org" target="_blank">Swan-dev@lists.libreswan.org</a><br>
<a href="https://lists.libreswan.org/mailman/listinfo/swan-dev" rel="noreferrer" target="_blank">https://lists.libreswan.org/mailman/listinfo/swan-dev</a><br>
</blockquote></div></div>