Add OSCCA SM3 hash algorithm

Add OSCCA SM3 secure hash (OSCCA GM/T 0004-2012 SM3) generic
hash transformation.

Signed-off-by: Tianjia Zhang <tianjia.zhang@linux.alibaba.com>

Delete function mpz_limbs_read_n.

Delete function mpz_limbs_cmp.

gitlab-ci: Enable randomized tests

Add NETTLE_TEST_SEED=0 when running make check, in all configurations
except the --enable-mini-gmp build.

Randomize more tests

Reduce allocation in modinv test

Fix sqrt_ratio test for v = 0 case.

Reduce allocation in sqrt tests

Move NETTLE_TEST_SEED logic to testutils.c.

* testsuite/testutils.c (get_random_seed): Move function here.
(test_randomize): New function.
* testsuite/ecc-mod-test.c (get_random_seed): Delete old copy.
(test_main): Use test_randomize.
* testsuite/rsa-compute-root-test.c (get_random_seed): Delete old copy.
(test_main): Use test_randomize.

Delete obsolete comment.

Fix and test for sqrt(0) special case.

eccdata: Output ecc_sqrt_z and ECC_SQRT_E only when computed.

Fix comment typo.

Let secp384r1 inverse and sqrt share most of the powering.

* ecc-secp384r1.c (ecc_mod_pow_288m32m1): New function.
(ecc_secp384r1_inv): Use ecc_mod_pow_288m32m1.
(ecc_secp384r1_sqrt): Likewise.

eccdata: Delete generation of unused values ecc_sqrt_t and ECC_SQRT_T_BITS.

eccdata: Generate both redc and non-redc versions of ecc_sqrt_z.

Implement secp224r1 square root, based on patch by Wim Lewis.

New function ecc_mod_equal_p, based on patch by Wim Lewis.

New function ecc_mod_pow_127m1, used for ecc_secp224r1_inv.

Implement secp521r1 square root, based on patch by Wim Lewis.

Implement secp384r1 square root, based on patch by Wim Lewis.

Implement secp256r1 square root, based on patch by Wim Lewis.

Implement secp192r1 square root, based on patch by Wim Lewis.

Renamed sqrt_itch --> sqrt_ratio_itch, and curve25519 and curve448 sqrt functions.

Rename ecc sqrt --> sqrt_ratio.

* ecc-internal.h (ecc_mod_sqrt_ratio_func): Renamed typedef...
(ecc_mod_sqrt_func): ... from old name.
(struct ecc_modulo): Renamed corresponding function pointer to
sqrt_ratio. Updated all uses.

Merge branch 'secp256r1-mod'

Merge branch 's390x-sha1' into 'master'

[S390x] Optimize SHA3 permute using vector facility

This patch optimizes SHA3 permute function by taking advantage of supported vector facility. Vectorizing SHA3 permute fits more than applying SHA3 hardware-accelerator for s390x architecture in terms of implementing the actual permute procedure only rather than executing unneeded extra procedures which are handled by other functions in nettle library. Applying SHA3 hardware-accelerator in a previous patch yielded 12% performance boost while this patch has ~105% performance increase for SHA3 functions.
The optimized core follows the same optimization procedure that used in SHA3 permute implementation for x86_64 architecture.

| Algorithm | C (Mbyte/s) | Vectorized (Mbyte/s) |
| ------ | ------ | ------ |
| sha3_224 | 235.08 | 483.41 |
| sha3_256 | 226.15 | 460.68 |
| sha3_384 | 172.90 | 357.15 |
| sha3_512 | 120.46 | 243.96 |

See merge request nettle/nettle!36

New function ecc_mod_zero_p.

* ecc-mod-arith.c (ecc_mod_zero_p): New function.
* ecc-curve25519.c (ecc_curve25519_zero_p): Use it.
* ecc-curve448.c (ecc_curve448_zero_p): Deleted, usage replaced
with ecc_mod_zero_p.
* testsuite/ecc-modinv-test.c (mod_eq_p): Rewritten to use
ecc_mod_zero_p, and require that one input is canonically reduced.
(zero_p): Deleted, usage replaced with ecc_mod_zero_p.

[S390x] Improvements on documentation and instruction set usage for SHA3 permute

New function sec_zero_p.

[S390x] Remove lgr instructions by using xgrk instead of xgr instruction

Rewrite of secp256r1 mod functions.

Extend ecc-mod-test, with improved coverage of corner cases.

[S390x] Optimize SHA3 permute using vector facility

Change "signature on digest" --> "of digest".

Doc fixes.

Add documented types to the index. Clarify docs on dsa_signature,
ecc_point_clear and ecc_scalar_clear. Fix typo in docs of ecdsa_sign.

Delete a few old FIXME comments

Use @url and https consistently for references. Fix overlong lines.

Use texi2pdf to generate the pdf manual

ChangeLog entries for doc structure improvements.

Divide Cipher section into menu and nodes, and some other minor fixes.

Delete explicit node pointers in nettle.texinfo

Instead, rely on makeinfo's automatic pointer creation.

Change CBC-AES interface

* cbc.h (cbc_aes128_encrypt, cbc_aes192_encrypt)
(cbc_aes256_encrypt): Change interface, take cipher context
pointer and iv as separate arguments. Update C and x86_64
implementations and corresponding glue code.

Test AEAD encrypt/decrypt with message split into pieces.

Merge branch 'aes-cbc' into master

More checks for null pointers in test_aead, to silent static analyzer.

Fix checks of HAVE_NATIVE_cbc_aes*_encrypt

Fix fat builds for x86_64 windows

x86_64: Fat setup for assembly CBC AES.

x86_64: Assembly CBC AES aesni functions.

Add specialized functions for cbc-aes.

Merge branch 'x86_64-aes-refactor' into master

ChangeLog entries for recent contributions.

gitlab-ci: Use mini-gmp for big-endian powerpc64 cross build

gitlab-ci: Explicitly install cross libgmp-dev packages

gitlab-ci: No-assembly cross-build for s390x, to test big-endian

gitlab-ci: Delete mips build

It's no longer a debian release arch, and not supported by the build
images used for cross builds.

Merge branch 's390x-sha1' into 'master'

[S390x] Optimize SHA256 and SHA512 compress functions

This patch optimizes SHA256 and SHA512 compress functions for s390x architecture, the testsuite passes the tests. Benchmark on Z15:
| Algorithm | C | Hardware-accelerated |
| ------ | ------ | ------ |
| SHA265 | 242.76 Mbyte/s | 869.00 Mbyte/s |
| SHA512 | 373.18 Mbyte/s | 1555.21 Mbyte/s |

See merge request nettle/nettle!35

[S390x] Optimize SHA256 and SHA512 compress functions

Merge branch 's390x-sha1' into 'master'

[S390x] Optimize SHA1 compress with fat build support

See merge request nettle/nettle!33

x86_64: New 2-way aesni loop also for aes256

x86_64: Refactor aesni assembly, with specific functions for each key size.

[S390x] Optimize SHA1 compress

Merge branch 'arm64-aes' into 'master'

[AArch64] Optimize AES with fat build support

This patch optimizes AES encrypt/decrypt functions with each key size has its own implementation to load the key expansion just once at function prologue which yields a considerable performance increase over loading the key expansion for every block iteration. The patch also adds fat build support for the AES functions.
`make check` passes all tests. Benchmark of executing `examples/nettle-benchmark`:
| Algorithm | mode | C (Mbyte/s) | OpenSSL (Mbyte/s) | This patch (Mbyte/s) |
| ------ | ------ | ------ | ------ | ------ |
| aes128 | ECB encrypt | 95.01 | 1037.85 | 2579.62 |
| aes128 | ECB decrypt | 93.47 | 1005.15 | 2577.53 |
| aes192 | ECB encrypt | 79.60 | 893.34 | 2205.53 |
| aes192 | ECB decrypt | 78.34 | 889.17 | 2204.41 |
| aes256 | ECB encrypt | 66.64 | 782.21 | 1925.73 |
| aes256 | ECB decrypt | 65.81 | 781.37 | 1925.79 |

See merge request nettle/nettle!34

[AArch64] Utilize AES 1-block macros in 4-block macros

[AArch64] Load AES keys at function prologue

ChangeLog entries for previous change.

Merge branch 'mamonet/nettle-s390x-memxor' into master-updates

[AArch64] Move AES round macros to machine.m4

[AArch64] Optimize AES with fat build support

Merge branch 's390x' into master-updates

[S390x] Optimize memxor3 using vector facility with fat support

[S390x] Optimize memxor

Add fat-s390x.c to OPT_SOURCES.

Fix name of s390x/fat directory in make dist target.

Merge branch 's390x-fat' into 's390x'

[S390x] Replace inline assembly, fix fat filenames and add FAT_TEST_LIST

See merge request nettle/nettle!32

[S390x] add FAT_TEST_LIST variable to enable fat build testing

[S390x] Replace inline assembly and fix fat filenames

Merge branch 's390x-fat' into 's390x'

[S390x] Fat build support for AES and GHASH

See merge request nettle/nettle!31

[S390x] Fat build support for AES and GHASH

Merge branch 'arm64-sha1' into master-updates

arm64: Add sha2 to aarch64 fat tests.

ChangeLog entry for arm64 sha256..

Merge branch 's390x-gcm' into 's390x'

[S390x] Optimize GHASH

See merge request nettle/nettle!26

Merge branch 'arm64-sha' into 'arm64-sha1'

[AArch64] Fat build support for SHA-256 compress

See merge request nettle/nettle!29

[AArch64] Fat build support for SHA-256 compress

[S390x] wipe parameter block content and leftover bytes of data from stack

[S390x] wipe hash subkey from stack once GHASH operation completed

Merge branch 'arm64-sha' into 'arm64-sha1'

[AArch64] Optimize SHA-256 compress

See merge request nettle/nettle!28

[AArch64] Optimize SHA-256 compress

[S390x] Use uppercase for macro names in machine.m4 and enhance the documentation for GHASH implementation

Add sha1 to aarch64 fat tests.

ChangeLog entry for previous change.

arm64: Fat build support for SHA1 compress

[S390x] Update configure.ac and Makefile.in

[S390x] Implement alloc_stack and free_stack macros in machine.m4

[S390x] Optimize GHASH

Update Nettle-3.7.3 NEWS.

(cherry picked from commit 52bacacaf4339fd78289f58919732f1f35bea1c1)

Add input check to rsa_decrypt family of functions.

(cherry picked from commit 0ad0b5df315665250dfdaa4a1e087f4799edaefe)

Change _rsa_sec_compute_root_tr to take a fix input size.

Improves consistency with _rsa_sec_compute_root, and fixes zero-input bug.

(cherry picked from commit 485b5e2820a057e873b1ba812fdb39cae4adf98c)