Document OCB support.

Minor whitespace fix.

Rewrite of table-based ghash code, for side-channel silence.

Merge branch 'x86_ghash' into 'master'

Use Test instruction instead of And to check remaining single block

See merge request nettle/nettle!59

Use Test instruction instead of And to check remaining single block

Update reference to the Yarrow paper.

ChangeLog and copyright update.

Merge branch 'nettle-x86_ghash' into master

See https://git.lysator.liu.se/nettle/nettle/-/merge_requests/57

New constant OCB_MAX_NONCE_SIZE.

[x86_64] Use 2-way GHASH pclmul update

Add link to puthon bindings.

midipix platform support

Signed-off-by: Ørjan Malde <red@foxi.me>

x86_64: Fix incorrect w64 setup in sha256_compress_n.asm.

Report and fix from Gisle Vanem.

x86_64: Comment fixes.

Add benchmarking of ocb_aes128.

Add tests of ocb message functions.

Implement OCB mode, RFC 7253.

Extend aead tests.

* testsuite/testutils.c (test_aead): Always use set_nonce function
pointer if non-NULL, test varying alignment, output the unexpected
data when test fails.

const-declare the xts_key argument to xts aes encrypt/decrypt message functions.

Add FIXME comment on ccm_aes128_encrypt_message, API could be improved.

Merge branch 'delete-arcfour-asm' into master

ChangeLog update.

Merge branch 'nettle-ppc-poly1305-multi' into master

See merge request nettle/nettle!56

Whitespace fixes.

[PowerPC] Use INC_GPR/INC_VR marcos and define HAVE_NATIVE_poly1305_blocks in fat build

Add ASM_FLAGS variable to configure.

Comment fix

Update BLOCK_R64 macro description

[PowerPC] Move register allocation from poly1305.m4

[PowerPC] Implement _nettle_poly1305_blocks based on radix 2^44

x86_64: Implement _nettle_poly1305_blocks.

New function _nettle_poly1305_update.

Minor comment fix.

Merge branch 'power7-chacha-fix' into 'master'

Fix illegal instruction in chacha-2core.asm on POWER7

See merge request nettle/nettle!54

Fix illegal instruction in chacha-2core.asm on POWER7

Documentation of Balloon hash.

Use updated version of qemu that emulates vmsumudm properly on ppc

Undo workaround for unsupported vmsumudm on ppc

Fix bug in poly1305-internal.asm affecting big-endian mode

Add back implementation of mpn_sec_tabselect, for mini-gmp builds.

Delete sec_tabselect, use gmp's mpn_sec_tabselect instead.

Add benchmarking of modulo q inversion.

Fix compiler warnings in the eccdata program.

ChangeLog update.

Delete ecc->mul_g and ecc->h_to_a indirection for ecdsa/gostdsa sign.

Delete ecc->mul and ecc->mul_g indirection for ecdsa/gostdsa verify.

Merge branch 'ecdsa-duplication-fix'

Comment update

Stricter validation of nettle_cipher and nettle_hash in tests.

Increase NETTLE_MAX_HASH_BLOCK_SIZE to 144, to accommodate sha3_224.

ChangeLog and AUTHORS update for SIV-GCM.

ChangeLog and AUTHORS update for Balloon.

Merge branch 'wip/dueno/aes-gcm-siv' into 'master'

Implement AES-GCM-SIV

See merge request nettle/nettle!52

Implement AES-GCM-SIV

This implements AES-GCM-SIV, described in RFC8452, on top of the
existing AES-GCM primitives.  In particular, its hash algorithm
POLYVAL is implemented using the GHASH with additional byte order
conversion according to RFC8452 Appendix A.

Signed-off-by: Daiki Ueno <dueno@redhat.com>

Add Red Hat copyright lines.

Avoid calling hash update with NULL input (and zero length)

Delete fail variable in tests

Implement balloon password hashing

Fix ECDSA verify corner case

* ecc-ecdsa-verify.c (ecc_ecdsa_verify): Use ecc_nonsec_add_jjj,
to produce correct result in a corner case where point addition
needs to use point duplication. Also use ecc_j_to_a rather than
ecc->h_to_a, since ecdsa supports only weierstrass curves.
* ecc-gostdsa-verify.c (ecc_gostdsa_verify): Analogous change.

* testsuite/ecdsa-verify-test.c (test_main): Add corresponding test.
* testsuite/ecdsa-sign-test.c (test_main): And a test producing
the problematic signature.

New function ecc_nonsec_add_jjj

Cleanup of eccdata.

* eccdata.c (string_toupper): New utility function.
(output_modulo): Move more of the per-modulo output here.
(output_curve): Remove corresponding code.

Move bswap-related functions to bswap-internal.h.

Update AUTHORS file with SM4 contribution.

Add sm4.h to HEADERS.

ChangeLog entries for SM4.

doc: documentation for GCM using SM4 cipher

Signed-off-by: Tianjia Zhang <tianjia.zhang@linux.alibaba.com>

gcm: Add SM4 as the GCM underlying cipher

Signed-off-by: Tianjia Zhang <tianjia.zhang@linux.alibaba.com>

doc: Add menu items for SM4

doc: documentation for SM4 cipher algorithm

Signed-off-by: Tianjia Zhang <tianjia.zhang@linux.alibaba.com>

nettle-benchmark: bench SM4 symmetric algorithm

Signed-off-by: Tianjia Zhang <tianjia.zhang@linux.alibaba.com>

testsuite: add test for SM4 symmetric algorithm

Add a testuite for SM4 symmetric algorithm. Test vectors are based
on: https://tools.ietf.org/id/draft-ribose-cfrg-sm4-10.html

Signed-off-by: Tianjia Zhang <tianjia.zhang@linux.alibaba.com>

Introduce SM4 symmetric cipher algorithm

Introduce the SM4 cipher algorithms (OSCCA GB/T 32907-2016).

SM4 (GBT.32907-2016) is a cryptographic standard issued by the
Organization of State Commercial Administration of China (OSCCA)
as an authorized cryptographic algorithms for the use within China.

SMS4 was originally created for use in protecting wireless
networks, and is mandated in the Chinese National Standard for
Wireless LAN WAPI (Wired Authentication and Privacy Infrastructure)
(GB.15629.11-2003).

Signed-off-by: Tianjia Zhang <tianjia.zhang@linux.alibaba.com>

Change mips abi check to apply only to mips64.

tests: Define mpz_urandomm when building with mini-gmp.

Fix memory leak in new test.

Reduce output range of ecc_mod_sub.

* ecc-mod-arith.c (ecc_mod_sub): Ensure that if inputs are in the
range 0 <= a, b < 2m, then output is in the same range.
* eccdata.c (output_curve): New outputs ecc_Bm2p and ecc_Bm2q.
* ecc-internal.h (struct ecc_modulo): New member Bm2m (B^size -
2m), needed by ecc_mod_sub. Update all curves.
* testsuite/ecc-mod-arith-test.c: New tests for ecc_mod_add and
ecc_mod_sub.

Minor cleanup to eccdata program

Merge branch 'sha256-compress-n' into master-updates

Workaround for qemu bug affecting the ppc intruction vmsumudm

Introduce overriding environment variable NETTLE_FAT_DISABLE_POWER9
that disables use of power9 code. This makes poly1305 tests under qemu
pass. See https://gitlab.com/qemu-project/qemu/-/issues/1156.

Document hash compress functions, based on patch from Corentin Labbe.

Tweak to AC_CONFIG_SRCDIR.

* configure.ac: Refer to nettle-types.h, rather than arcfour.c,
for AC_CONFIG_SRCDIR.

Delete all arcfour assembly code

Merge branch 'ppc-r64-44' into 'master'

[PowerPC] Implement Poly1305 single block update based on radix 2^64

See merge request nettle/nettle!47

[PowerPC] Use defined structure constants of P1305 in asm.m4

Fix alloca warnings on bsd systems.

* nettle-internal.h: Include stdlib.h, fix alloca warnings on BSD.
* hmac.c: Delete corresponding include here, no longer needed.

Fix to getopt.c includes.

* getopt.c: Include stdlib.h and unistd.h unconditionally,
similarly to the gnulib version of this file.

ChangeLog entries for *BSD portability fixes from Brad Smith.

Fix 64-bit MIPS ABI check for other OS's like *BSD / Linux

Signed-off-by: Brad Smith <brad@comstyle.com>

Eliminate conflict with OpenBSD's swap32 macro

blowfish-bcrypt.c:152:33: error: too many arguments provided to function-like macro invocation
static void swap32(uint32_t *x, int count)
                                ^
/usr/include/sys/endian.h:71:9: note: macro 'swap32' defined here

Signed-off-by: Brad Smith <brad@comstyle.com>

Use proper PIC flag for *BSD OS's

Signed-off-by: Brad Smith <brad@comstyle.com>

s390x: Implement sha256_compress_n

arm: Implement sha256_compress_n

Update mailing list url in README.

arm64: Implement sha256_compress_n

Update C _nettle_sha256_compress_n fat build setup.

Implement _nettle_sha256_compress_n, C and x86_64 asm

New file md-internal.h

Merge branch 's390x-gief-fix' into 'master'

[S390x] Fix assembly error regarding GIEF usage

See merge request nettle/nettle!51

[S390x] Fix potential compiler error regarding GIEF usage

Additional tests for sha1 and sha256 compression.

* testsuite/sha1-test.c (test_sha1_compress): New function.
(test_main): Add tests for compressing 0, 1 or 2 blocks.
* testsuite/sha256-test.c (test_sha256_compress): New function.
(test_main): Add tests for compressing 0, 1 or 2 blocks.

Merge branch 'chacha_m4_fix' into 'master'

Add missing percent sign for chacha s390x-specific vector names

See merge request nettle/nettle!50