In openssl benchmarks, use RSA_generate_key_ex.

eccdata: Check that table size is at least 2.

Intended to silence warning from the clang static analyzer.

Bump version number and sonames, for Nettle-3.5

Delete obsolete TODO file

New header file pkcs1-internal.h

Merge branch 'release-3.4-fixes' into master

Fix compilation with gcc -std=c89

Fix accidental use of C99 for loop.

* rsa-sign-tr.c (sec_equal): Fix accidental use of C99 for loop.
Reported by Andreas Gustafsson.
* testsuite/rsa-sec-decrypt-test.c (test_main): Likewise.

Note release of Nettle-3.4.1.

Update NEWS file for 3.4.1.

Mention dependency on GMP-6, and RSA performance regression.

Update configure check to require GMP-6.0.0 or later.

Rewrite pkcs1_decrypt as a wrapper around _pkcs1_sec_decrypt_variable.

* testsuite/rsa-encrypt-test.c (test_main): Fix allocation of
decrypted storage. Update test of rsa_decrypt, to allow clobbering
of all of the passed in message area.

Add rsa-internal.h to distributed headers.

Patch from Simo Sorce.

rsa-internal.h: Add include of rsa.h.

Describe RSA improvements in NEWS.

Rewrote _rsa_sec_compute_root, for clarity.

Use new local helper functions, with their own itch functions.

rsa-compute-root-test: Fix qsize. Try more keys.

Update mini-gmp version for _rsa_sec_compute_root_tr rename.

Renamed rsa-sec-compute-root-test --> rsa-compute-root-test.

cnd_mpn_zero: Use a volatile-declared mask variable.

Move decl. of rsa_sec_compute_root_tr to internal header.

Also renamed with leading underscore, and updated all callers.

Switch rsa_compute_root to use side-channel safe variant

ChangeLog for previous change.

Randomzed testing of rsa-sec-compute-root

Signed-off-by: Simo Sorce <simo@redhat.com>

testutils.c: Fix high bits of the mpz_urandomb used with mini-gmp.

ChangeLog for previous change.

Catch bad private keys early on.

Use NETTLE_OCTET_SIZE_TO_LIMB_SIZE.

ChangeLog for previous change.

Use side-channel silent pkcs1 in rsa_decrypt_tr

Signed-off-by: Simo Sorce <simo@redhat.com>

ChangeLog entry, and minor comment fixes

Add variable len pkcs1-sec decoding function

add a side-channel silent pkcs1 decoding function for use in older
APIs.

Signed-off-by: Simo Sorce <simo@redhat.com>

Tweak valgrind marking is rsa_sec_decrypt tests.

* testsuite/rsa-sec-decrypt-test.c (rsa_decrypt_for_test): Tweak
valgrind marking, and document potential leakage of lowest and
highest bits of p and q.

Avoid calls to mpz_sizeinbase on RSA private key.

* rsa-sec-compute-root.c (_rsa_sec_compute_root): Avoid calls to
mpz_sizeinbase, since that potentially leaks most significant bits
of private key parameters a and b.

ChangeLog for previous change.

Unit test for rsa_sec_decyrpt

Signed-off-by: Simo Sorce <simo@redhat.com>

ChangeLog for previous change.

Add rsa_sec_decrypt as side-channel silent variant

Use side-channel silent RSA root function as well as PKCS1 padding
functions.
This variant accepts only a fixed length message, and returns error
if the pkcs1 padding returns a different length message.
The buffer is always left unchanged on error so that a TLS
implementation can pre-initialize it with a random key to use on
decoding error.

Signed-off-by: Simo Sorce <simo@redhat.com>

pkcs1-sec-decrypt-test.c: Fix valgrind marking of return value.

ChangeLog for previous change.

Unit test for pkcs1-sec-decrypt

Signed-off-by: Simo Sorce <simo@redhat.com>

ChangeLog for previous change.

Add mpn_get_base256

Converts limbs to uint8_t buffer without conditional jumps.

Signed-off-by: Simo Sorce <simo@redhat.com>

ChangeLog for previous change.

Add side-channel silent pkcs1 decoding function

Signed-off-by: Simo Sorce <simo@redhat.com>

ChangeLog for previous change.

Add a side-channel silent conditional memcpy

Originally from Niels, with minor changes to avoid compiler warnings.

ChangeLog entries, minor comment and spacing fixes

Use side-channel silent root for rsa signatures

Signed-off-by: Simo Sorce <simo@redhat.com>

ChangeLog entry and comment fixes.

Add side-channel silent RSA root function

Signed-off-by: Simo Sorce <simo@redhat.com>

ChangeLog for previous change.

Add convenience macro for size calculation

Returns number of limbs needed to contain N bytes long number.

Signed-off-by: Simo Sorce <simo@redhat.com>

Initial NEWS entries for nettle-3.4.1.

Bump version numbers for nettle-3.4.1.

* configure.ac: Bump package version to 3.4.1.
(LIBNETTLE_MINOR): Bump library version to 6.5.
(LIBHOGWEED_MINOR): Bump library version to 4.5.

Add "fall through" comment.

(cherry picked from commit c4a814d77d475c474182e3e7051e4ac304e3c9e8)

Copy .gitlab-ci.yml from master branch

Fix quoting in autoconf ifunc test

* aclocal.m4 (NETTLE_CHECK_IFUNC): fix quoting so that
  AC_LINK_IFELSE/AC_TRY_LINK is defined outside of this test.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>
(cherry picked from commit e07e5605b3da65e07c7fe5fcf1ce3b050595d1b5)

testsuite/symbols-test: Exclude ____chkstk_darwin symbols.

These are produced by Apple's Xcode 10 compiler.

(cherry picked from commit f3e2607fce0c6da41eb1d9ee89b9535d4abec7be)

Fix link failure for pss-mgf1-test, in non-hogweed builds.

(cherry picked from commit c5fc9131b13d53b07b7aa371f30df8621cf2abb8)

tools/pkcs1-conv.c: Add missing break statements.

(cherry picked from commit 20c7ba59e2cb54f1bec7d679dbdbe00c42bdd190)

Avoid cast between incompatible function types.

(cherry picked from commit 71f68cc45a269b206fc996309ef026f39d5af3df)

Add missing includes of stdlib.h.

(cherry picked from commit 7b4d6de8044e73849c2f24ce0322ae3fc48765a6)

des-compat.c: Change length argument type from uint32_t to size_t.

(cherry picked from commit f3bbc422efed4149b5661e064360ee678b23113a)

Add benchmarking of RSA signatures with blinding

ctr16: fix encryption if src == dst

Add missing includes of stdlib.h.

rsa_generate_keypair: Delete unlikely and redundant check for p == q.

Merge branch 'attribute-deprecated'

Fix mis-spelling spotted by Torbjörn Granlund.

Mark obsolete helpers _rsa_blind and _rsa_unblind as deprecated.

Deprecate old AES interface.

Use new macro _NETTLE_ATTTRIBUTE_DEPRECATED.

New macro _NETTLE_ATTRIBUTE_PURE.

Avoid cast between incompatible function types.

des-compat.c: Change length argument type from uint32_t to size_t.

nettle.texinfo: New section on ABI and API compatibility.

ChangeLog entry for previous change.

Add benchmarking for HMAC functions

In preparation of changing internal HMAC interface add benchmarking for
HMAC functions.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

Additional analogous assert in eratosthenese program.

Check for allocation overflow in eratosthenes program.

Fix handling of eratosthenes -q.

Fix at-exit leak in eratosthenes program.

Make eccdata deallocate storage before exit.

Fix memory leak in eccdata.

.gitlab-ci.yml: added cross compilation and tests on mips/aarch64/arm

This utilizes the qemu-user system used by gnutls. This also
deprecates the previous aarch64 build.

Signed-off-by: Nikos Mavrogiannopoulos <nmav@gnutls.org>

Fix arm fat setup for nettle_sha1_compress.

.gitlab-ci.yml: updated build images to latest used by gnutls

Signed-off-by: Nikos Mavrogiannopoulos <nmav@redhat.com>

Fix x86_64 fat setup for nettle_sha1_compress.

.gitlab-ci.yml: link with shared library on x86-64 build

This allows testing whether exported symbols are sufficient for the
included test suite.

Add two missing includes of the new internal headers.

ChangeLog for previous change.

abi: explicitly export intended symbols and hide others

This adds all exported symbols in the map files explicitly under
the following rules:
 - Symbols mentioned in internal headers go in a section which is
   valid only for testing, and linking with these symbols will break
   in library updates.
 - Symbols mentioned in installed headers go in the exported sections
   and are considered part of the ABI.
 - All internal symbols move to internal headers.
 - The _nettle_md5_compress and _nettle_sha1_compress become exported
   without the _nettle prefix, due to existing usage.

Comment fix.

ChangeLog entry for previous change.

Fix quoting in autoconf ifunc test

* aclocal.m4 (NETTLE_CHECK_IFUNC): fix quoting so that
  AC_LINK_IFELSE/AC_TRY_LINK is defined outside of this test.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

testsuite/symbols-test: Exclude ____chkstk_darwin symbols.

These are produced by Apple's Xcode 10 compiler.

Merge branch 'rename-data-symbols' into master-updates

Update NEWS file.

ChangeLog entries for ARM big-endian changes.

Document arm endianness considerations

Extend arm/README to provide some background on considerations to be taken into
account when writing assembly routines supposed to work in big and little memory
endianness.