build-sys: Create m4 directory on older systems

Older systems, such as RHEL 6, need the m4 directory to be created.

Signed-off-by: Stefan Berger <stefanb@linux.ibm.com>

man: Extend man pages for swtpm-localca.conf for pkcs11 URIs

The signingkey entry can also be a pkcs11: URI. The semilcolons in the URI
have to be escaped due to the shell reading the entries.

Signed-off-by: Stefan Berger <stefanb@linux.ibm.com>

swtpm_cert: Support PKCS11 URIs for a CA using a PKCS11 module for signing

For PKCS11 modules (such as SoftHSM) to sign a TPM EK or platform
certificate we use 'pkcs11:' prefixed URIs like those URIs for
TPM 1.2 starting with tpmkey:.

Signed-off-by: Stefan Berger <stefanb@linux.ibm.com>

samples: Escape the GnuTLS PKCS11 URL before using in command line

GnuTLS PKCS11 URLs have ';' in the string that we need to preserve for
passing to GnuTLS. So we escape the semicolons before using them on the
command line.

Signed-off-by: Stefan Berger <stefanb@linux.ibm.com>

travis: Use ubsan (undefined behavior sanitizer) in a test run

Add another parallel test run that uses ubsan.

Signed-off-by: Stefan Berger <stefanb@linux.ibm.com>

swtpm: ubsan: Make 64 bit flags field of ptm_getinfo 8-byte aligned

Make the 64bit flags field of the ptm_getinfo structure 8-byte
aligned.

Signed-off-by: Stefan Berger <stefanb@linux.ibm.com>

swtpm_bios: ubsan: Use tpm_resp_header structure to access header fields

Signed-off-by: Stefan Berger <stefanb@linux.ibm.com>

swtpm_setup.sh: First send SIGTERM to processes then (later) SIGKILL

Implement terminate_proc, which first tries to gracefully terminate a
process and then, if synchronization is requested, waits for 1 second
for it to disappear and then kills it with SIGKILL if it didn't go away.

Use this function for stop_tpm and stop_tcsd, which will first try
to send a SIGTERM to a process assuming it will terminate while we
do something else and then, in case the process needs to be restarted,
make sure that it's gone before it is restarted.

This addresses an issue where previously SIGTERM was sent to a process
before it was restarted but the restarting failed due to the previous
process still holding a lock on the file because it wasn't able to react
to the SIGTERM fast enough.

Signed-off-by: Stefan Berger <stefanb@linux.ibm.com>

swtpm: Uninstall signal handler before closing notication file descriptor

Uninstall the signal handler before we close the signal handler's
notification file descriptor so that signals received after the file
descriptor is closed do not cause an error.

Signed-off-by: Stefan Berger <stefanb@linux.ibm.com>

swtpm_setup: Free memory in case of error

Free the allocated memory in case of an error condition.

Signed-off-by: Stefan Berger <stefanb@linux.ibm.com>

swtpm: Coverity: Check msg parameter upon return from recvmsg

Make sure that the msg parameter passed into recvmsg wasn't modified
by the library and verify that the pointers and sizes it contains are
still valid after the call. This addresses an issue raised by Coverity.

Signed-off-by: Stefan Berger <stefanb@linux.ibm.com>

tests: Use bash's built-in echo rather than /bin/echo

The BSD's cannot use /bin/echo -en but we have to use bash's built-in
one.

Signed-off-by: Stefan Berger <stefanb@linux.ibm.com>

tests: Convert test case to also use binary formatted key

To get better code coverage, convert existing test case to
use one time a hex formatted key and the other time the same
key in binary format.

Do some improvements on the test code on the way.

Signed-off-by: Stefan Berger <stefanb@linux.ibm.com>

tests: Add missing file sizes and some other reorg to test case

2 file sizes were missing. Also use $() to execut commands rather
than ``. Use get_filesize to get the size of a file.

Signed-off-by: Stefan Berger <stefanb@linux.ibm.com>

travis: Add a build using asan for leak and address sanitization

Signed-off-by: Stefan Berger <stefanb@linux.ibm.com>

travis: Use $(nproc) and reformat the yaml a bit

Signed-off-by: Stefan Berger <stefanb@linux.ibm.com>

travis: Use 2 parallel test runs

Parameterize the before_script and script phases and run two of them
in parallel.

Signed-off-by: Stefan Berger <stefanb@linux.ibm.com>

travis: introduce a matrix for running multiple parallel tests

Signed-off-by: Stefan Berger <stefanb@linux.ibm.com>

travis: Move packages to install into addons section

Move the packages to install into the addons section and
rename the before_install section to before_script section.

Signed-off-by: Stefan Berger <stefanb@linux.ibm.com>

travis: Use libtpms master branch now

Signed-off-by: Stefan Berger <stefanb@linux.ibm.com>

build-sys: Set action-if-found in AC_CHECK_LIB where missing

Prevent the LIBS variable from collecting all kinds of libraries
by setting the action-if-found parameter in AC_CHECK_LIB. This
avoid linking of executables with unnecessary libraries.

Signed-off-by: Stefan Berger <stefanb@linux.ibm.com>

swtpm_cert: Fix memory leaks

Fix various memory leaks.

Signed-off-by: Stefan Berger <stefanb@linux.ibm.com>

tests: Allow passing SWTPM_CERT from command line

Signed-off-by: Stefan Berger <stefanb@linux.ibm.com>

samples: Enable support for well known SRK password (TPM 1.2)

If tpmtool supports --srk-well-known we also support the well known
SRK password and allow the user not to provide an SRK password on
the command line.

This patch should have been applied before the previous patch that
tests this. Luckily, only very few systems have tpmtool with
--srk-well-known so that the order would matter there (and cause test
failures).

Signed-off-by: Stefan Berger <stefanb@linux.ibm.com>

tests: Extend swtpm-create-tpmca test with 'well known' password

Extend the swtpm-create-tpmca test with test cases using the
'well known' password of 20 zero bytes if tpmtool supports the
--srk-well-known option.

Besides that, extend the existing test to actually use the TPM CA
for signing a TPM 1.2 or TPM 2 (test) EK and check the contents of the
certificate by grepping through the text info provided by certtool.

Signed-off-by: Stefan Berger <stefanb@linux.ibm.com>

tests: Refactor swtpm-create-tpmca test for easier extension

Refactor the swtpm-create-tpmca test case so we can use it for
testing with the 'well known' (20 bytes of zeros) SRK password
in the next pass.

Signed-off-by: Stefan Berger <stefanb@linux.ibm.com>

swtpm_cert: use hashAlgo as parameter for signing certificates

Ceritficates for a TPM 2 have to be signed using SHA256 and those for
a TPM 1.2 have to be signed using SHA1 (following specs). We can use
either of these algorithms when using the GnuTLS TPM support since it
will create the hash and have the TPM 1.2 sign whatever it created.

Signed-off-by: Stefan Berger <stefanb@linux.ibm.com>

swtpm_setup: Leave swtpm_setup.sh ownership to root

swtpm_setup.sh does not need to be owned by tss:tss and in the
Fedora package it's not even allowed. So remove the install hook
that was changing the ownership.

Signed-off-by: Stefan Berger <stefanb@linux.ibm.com>

samples: Require an SRK password for TPM 1.2

Signed-off-by: Stefan Berger <stefanb@linux.ibm.com>

samples: Return result code from expect script to caller

Return the result code from the expect script to the caller.
Also, display possible log messages in case the private key file
was not written properly.

Signed-off-by: Stefan Berger <stefanb@linux.ibm.com>

tests: Add a test case for the TPM CA setup script

Run the TPM CA setup script with a local swtpm and tcsd instance.
We have to take ownership of the TPM and set its SRK passwork so
that the TPM CA setup script can create a signing key as a child
key of the SRK.

Signed-off-by: Stefan Berger <stefanb@linux.ibm.com>

swtpm_setup: Implement option to backup TCSD's system_ps_file

Implement the --tcsp-system-ps-file option to make a backup of
TCSD's system_ps_file for later use of the setup TPM with the
TCSD. We need this for a test case.

Signed-off-by: Stefan Berger <stefanb@linux.ibm.com>

debian: we need python3-twisted for a test case

Signed-off-by: Stefan Berger <stefanb@linux.ibm.com>

travis: Integrate with Coveralls.io

Integrate the Travis builds with Coveralls.io by sumitting the coverage
results to Coveralls.io.

We have to run the coveralls script with sudo rights since otherwise we
get permission denied errors.

Signed-off-by: Stefan Berger <stefanb@linux.ibm.com>

build-sys: Support --enable-test-coverage as an option

Support --enable-test-coverage as an option for compiling with
coverage instrumentation.

Signed-off-by: Stefan Berger <stefanb@linux.ibm.com>

build-sys: Support --disable-hardening as an option

By default the hardening compiler flags are enabled and
--disable-hardening disables them.

Signed-off-by: Stefan Berger <stefanb@linux.ibm.com>

swtpm: Have the CUSE TPM return the original TPM start error code

Have the CUSE TPM return the TPM start error, particularly
TPM_DECRYPT_ERROR in case a wrong key was passed, rather than the plain
TPM_FAIL error code. This was a difference with the 'other' swtpm
interfaces that already returned the original error code.

Signed-off-by: Stefan Berger <stefanb@linux.ibm.com>

samples: Fix a typo

Signed-off-by: Stefan Berger <stefanb@linux.ibm.com>

samples: Add support for password protected root CA priv. key

Support creation and usage of the root CA with a password protected
private key. The root CA's key password can be set using the environment
variable SWTPM_ROOTCA_PASSWORD.

Signed-off-by: Stefan Berger <stefanb@linux.ibm.com>

samples: Add a script to create a TPM 1.2 intermediate CA

This (experimental) script uses GnuTLS tpmtool to create a TPM 1.2
intermediate CA that can sign a vTPM's EK and platform certificates.

Add a man page for this tool.

Signed-off-by: Stefan Berger <stefanb@linux.ibm.com>

samples: Enable support for TPM 1.2 signing keys for cert signing via GnuTLS

GnuTLS can use TPM 1.2 keys for signing. For this we just need to support
key URLs in the GnuTLS format:

tpmkey:uuid=...
tpmkey:file=...

We don't try to read these URLs as files but pass them through as URLs to
the swtpm_cert tool that will then try to sign with the TPM 1.2 key by
passing the URL to GnuTLS API calls.

Signed-off-by: Stefan Berger <stefanb@linux.ibm.com>

swtpm_cert: Allow using a TPM 1.2 signing key for signing cert

Gnutls supports TPM 1.2 keys in its API and we can use a TPM 1.2
signing key for signing the EK or platform certs.

Signed-off-by: Stefan Berger <stefanb@linux.ibm.com>

samples: Add a usage screen to swtpm-loclca to show upon --help

swtpm-localca was missing a help screen. This patch adds it and
is shown when --help or -? or -h is passed.

Signed-off-by: Stefan Berger <stefanb@linux.ibm.com>

tests: Check expected error output against expected error message

Some tests are expected to fail. Capture the error output and test it
against epected error output. This also makes the test output less
noisy.

Also remove some other output noise.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

tests: Shut down swtpm at the end to avoid kill

Shut down the swtpm process at the end to avoid it being killed
and with that getting noise in the test log.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

tests: Return a string from get_file_hash if file not found

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

tests: Only run test_tpm2_samples_swtpm_localca if certtool was found

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: Rename crypto functions to have SWTPM prefix

The crypto functions for AES encryption and decryption clash with crypto
function names of libtpms. Avoid this by prefixing them with SWTPM_ instead
of TPM_.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

build-sys: Link with -lrt if libc does not have clock_gettime()

On older system libc does not provide clock_gettime() so we need
to link with -lrt.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

build-sys: Pass header file to compiler for checking for supported flag

Older versions of gcc need some input file to compile so that
we learn whether -fstack-protector-strong is supported.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

Do few changes to follow distribution SELinux policy

tests: Get the IBM TSS2 test suite and run it

Get the IBM TSS2 test suite from its git repo, compile it, and run
its test suite if SWTPM_TEST_EXPENSIVE=1 is set.

Signed-off-by: Stefan Berger <stefanb@linux.ibm.com>

SELinux: A few more rules needed by libvirt 4.4 on F28 for running QEMU

This patch adds rules that are needed for running QEMU with libvirt 4.4
on F28. This allows one to test the libvirt management stack and QEMU with
swtpm and SELinux in enforcing mode.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

build-sys: Move glib-2.0 dependency to CUSE TPM build

Only when the CUSE TPM is built we need the glib-2.0 dependency
(which can be removed at some point probably).

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: Use non-exclusive threads to have glib2 clean up after itself

glib2 did not clean up a proxy thread once the pool was torn down. The
reason was that an exclusive pool was used. Switch to a non-exclusive
pool, which will cause the last thread to terminate as well and we have
a clean valgrind log now.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

tests: wait for files to appear or disappear after starting swtpm

Wait a few seconds for files to appear or disappear after starting the
swtpm process. This helps avoid test failures when the system is under
load.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

tests: Add delay after finding file for process to write into it

Add a delay of 0.2s after a file is found in wait_for_file so that the
process can also write into it. Sometimes we are also interested in the
content and don't seem to get the content since we didn't wait for
the file to have been written to. It happens occasionally when the system
is under load that we don't seem to be able to read the file content
afterwards.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

tests: Increase timeout for shutdown for running with valgrind

To avoid timeouts when running the tests with valgrind, increase
the timeout until the swtpm process must have terminated after a
shutdown signal to 4 seconds.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: Initialize structure using memset

Gcc 4.9.2 on ARM does not like the initializer '= { 0 }', either.
So switch it to memset.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: Initialize ptm_est type to avoid uninitialized bytes

Valgrind complains about uninitialized bytes being accessed by a writev()
call in libfuse. It points to a line in the error branch
'error_not_running', but the error does not seem to come from there.
Instead, if we initialize ptm_est to zeros the problem goes away.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: Exit CUSE TPM using fuse_session_exit()

With the fuse_session now global, we can use it to exit the CUSE
TPM using fuse_session_exit().

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: Implement low level CUSE startup code to get to fuse_session

To be able to get to the low level fuse_session data structure, which
allows us to terminate the program more gracefully than the exit() in
the ioctl processing code, we implement the low level cuse startup code.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

SELinux: F27 needs allow for swtpm_exec_t:file map

F27 needs an additional rule for starting the swtpm from libvirt.

Add the rule 'allow svirt_t swtpm_exec_t:file map'

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

SELinux: re-add allow rules for file entrypoint

The file entrypoint rules are still needed, so add them back again.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm_ioctl: replace initializer with memset for gcc 4.2.1

gcc 4.2.1 does not accept the initializer '= { 0 }' and so we now switch
this to memset as well.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm_ioctl: Initialize structures for use with ioctl()

Valgrind complains that there are uninitialized bytes when ioctl() is called.
This is due to the fact that we are passing the structure to the ioctl()
without specifying how many bytes are valid in the passed buffer.
So, we initialize the buffers to 0 and the complaint is resolved.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

tests: Call function rather than running 'ps aux' to display proceses

Call a function display_processes_by_name that displays all processes
if needed. The function is quiet, though.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

tests: Replace kill_quiet after shutdown with wait_process_gone

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: Only copy length of user privided IV into possibly longer ivec

When the AES encryption and decryption function were extended to support
256bit keys the size of the user ivec on the stack was also increased to
32 bytes. For the user provided IV we now must only copy 16 bytes in case
an 128 bit key is used. Fix the length parameter to the memcpy().

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

rpm: Fix spec for passing fedora-review

We seem to be missing a dependency on selinux-policy-devel, so add it.
The name of the source tar has to be set to what 'make dist' produces.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

rpm: swtpm-tools requires swtpm of the exact same version

Tie swtpm-tools updating to swtpm updating and vice versa by requiring
swtpm-tools the swtpm package to have the same version.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

tests: Use python3 rather than python for the test programs

Fedora policy seems to be to use python3 explicitly for the hashbang
rather than python, which could be either python2 or python3. So convert
it to python3. Also adapt configure.ac to require python3 executable.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

build-sys: Install libswpm_libtpms into $(libdir)/swtpm

Install the private libswtpm_libtpms into $(libdir)/swtpm
rather than into the shared libaries directory.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

build-sys: Replace AC_PROG_LIBTOOL with LT_INIT

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

build-sys: Do not build man page or SELinux policy for CUSE if --without-cuse is used

To make the RPM building easier for the --without-cuse case we have to omit
a couple of files from being built so that they are not left-overs when
packing the RPM without building swtpm-cuse.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

rpm: Replace %bcond_with gnutls with %bcond_without gnutls

The meaning of %bcond_without is that it enables a feature by default.
We want to buld with gnutls, so enable it.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

rpm: Add entry to changelog

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

build-sys: Fix policy package dependencies for out-of-tree build

An out-of-tree build fails to build swtpm_svirt.pp due to missing
source files from the swtpm.pp policy. Add the swtpm.{te,if,fc} files
as dependencies of the swtpm_svirt.pp policy package.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

build-sys: Fix the SELinux policy build target for parallel builds

Use .NOTPARALLEL for the SELinux policy build target to avoid running
the rule concurrently and deleting the tmp directory while another
build is running.

For some reason it is not possible to use $(MAKE) since otherwise the
building of the policy package fails.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

docu: Cut down the README to its minimum

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

SELinux: Fix some nits in the SELinux policy files

This patch is partially from Lukas Vrabec (lvrabec@redhat.com) and fixes
some nits in the SELinux policy.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

SELinux: Install policy package files to /usr/share/selinux/packages

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

build-sys: Create compressed policy package files

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

SELinux: Extend SELinux policy with rules for svirt_tcg

Extend the SELinux policy with rules for svirt_tcg when
QEMU is not being started with KVM by libvirt.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

SELinux: Fix title in interface file

Fix the title in the interface file to say 'swtpm'.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

Travis: Fix the coverity scan build

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

ek-cert: Initialize datum variable to prevent unintialized access

Coverity scan shows an uninitialized access in case an error is
encountered and the cleanup path is taken before datum was initialized.
Fix the error by initializing the variable.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm_cert: Fix a potential buffer overrun error

Coverity scan discovered a buffer overrun error in case the
datum->size = 0. Fix the error.

The function with the potential error is not called if datum->size == 0.

Also make the 'size' variable larger so there cannot be a overrun in
'size = datum->size + sizeof(buffer) - i'.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: Initialize hdrflags to 0 in case no header was read

The hdrflags need to be initialized to 0 in case no header
was read from the file.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

git: Ignore install-sh

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

man: Replace bindaddress with bindaddr in swtpm man page

The swtpm man page incorrectly showed binaddress as the option parameter
for the address to bind to. It must be called bindaddr.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

tests: Extend test cases with aes-256-cbc state file encryption

Extend existing test cases with aes-256-cbc state file encryption.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm_setup: Add support for choosing the cipher

Implement command line support for choosing the cipher to use for
the TPM state encryption. Either aes-128-cbc or aes-256-cbc can be
used. The same cipher has to be passed on the swtpm command line
when using the TPM.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: Check the size of the user's key against expected size

Use the flags in the header to check the size of the provided key(s) against
the one(s) from the user. There are the state and migration keys, each has
a different flag in the header if a 256bit key was used. We display an error
about the mismatching key size against expected size if the given key is of
the wrong size.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: Add support for aes-256-cbc

Extend the buffer the key is read into to hold an 256bit key.

Add support for aes-256-cbc. Also, aes-128-cbc is now a synonym for
aes-cbc.

Update the man pages to reflect the AES 128 support.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: Extend en- and decryption functions for 256 bit keys

Enable 256 bit AES keys in the en- and decryption functions.
Set a flag in the header to at least indicate whether 128bit
or 256bit keys were used.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: Prepare key parsing functions to accept 256 bit keys

Prepare the functions that parse or read the key from a file
to accept 256 bit keys.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: Remove unnecessary fields from symmetric key structure

Remove the valid field from the symmtric key structure and
user userKeyLength > 0 instead, which is the same.

Also remove the tag and fill fields, which were originally used in
TPM 1.2.

Use function calls to test whether the file or migration key is
available where possible.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: Add key length to symmetric key structure

To get rid of the hard coded AES key size of 128, we add a filed
userKeyLength that describes the length of the key being used.
We replace TPM_AES_BLOCK_SIZE with userKeyLength where possible.

Rename TPM_AES_BLOCK_SIZE to SWTPM_AES_BLOCK_SIZE.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>

swtpm: Use pbkdf2 as default kdf and sha512 for test cases

Use pbkdf2 as the default kdf and sha512 for the existing
test case. Do away with file limit of 32 bytes. This may
break backwards compatibility for some but better to do this
before a release...

Switch the existing test cases to use kdf=sha512 on the command
line where necessary to that the state for these test cases
does not need to be recreated.

Signed-off-by: Stefan Berger <stefanb@linux.vnet.ibm.com>