Add tests for pbkdf2_hmac_sha384 and pbkdf2_hmac_sha512

Implement pbkdf2_hmac_sha384 and pbkdf2_hmac_sha512

Add testcase for ecc_ecdsa_verify with zero hash.

Fix ecc_ecdsa_verify corner case with all-zero hash.

Delete old misleading comment.

arm: Unify neon asm for big- and little-endian modes

Switch arm neon assembler routines to endianness-agnostic loads and
stores where possible to avoid modifications to the rest of the code.
This involves switching to vld1.32 for loading consecutive 32-bit words
in host endianness as well as vst1.8 for storing back to memory in
little-endian order as required by the caller. Where necessary, r3 is
used to store the precalculated offset into the source vector for the
secondary load operations. vstm is kept for little-endian platforms
because it is faster than vst1 on most ARM implementations.

vst1.x (at least on the Allwinner A20 Cortex-A7 implementation) seems to
interfer with itself on subsequent calls, slowing it down further. So we
reschedule some instructions to do stores as soon as results become
available to have some other calculations or loads before the next
vst1.x. This reliably saves two additional cycles per block on salsa20
and chacha which would otherwise be incurred.

vld1.x does not seem to suffer from this or at least not to a level
where two consecutive vld1.x run slower than an equivalent vldm.
Rescheduling them similarly did not improve performance beyond that of
vldm.

Signed-off-by: Michael Weiser <michael.weiser@gmx.de>

ppc: Fix use of __GLIBC_PREREQ in fat-ppc.c.

* fat-ppc.c: Don't use __GLIBC_PREREQ in the same preprocessor
conditional as defined(__GLIBC_PREREQ), but move to a nested #if
conditional. Fixes compile error on OpenBSD/powerpc64, reported by
Jasper Lievisse Adriaanse.

Note 3.7 release.

NEWS: Mention ARM big-endian breakage as a known issue.

gitlab-ci: Use --disable-assembler, for ubsan, asan and static analyzer tests.

Update NEWS file. Say that fat builds are now on by default.

Enable fat build by default.

News entries for Nettle-3.7.

Fix typo in old NEWS entry for Nettle-3.6.

Distribute the README files in assembly directories.

Increase version numbers, for Nettle-3.7.

* configure.ac: Bump package version, to 3.7.
(LIBNETTLE_MINOR): Bump minor number, to 8.1.
(LIBHOGWEED_MINOR): Bump minor number, to 6.1.

arm: Fix comment typo

Spotted by Michael Weiser

ChangeLog entry for previous fat ppc fix.

Merge branch 'undefined' into 'master'

[PowerPC64] Skip using getauxval() when it is not available

See merge request nettle/nettle!16

combine preprocessor directives to reduce nesting of conditions in fat-ppc.c

[PowerPC64] Skip using getauxval() when it is not available

Merge branch 'ppc-got-32bit' into 'master'

[PowerPC64] Use 32-bit offset to load data

See merge request nettle/nettle!14

[PowerPC64] Use 32-bit offset to load data

ppc: More interleaving of chacha_4core.

Merge branch 'ppc-chacha-4core'

Fix comment type

ppc: Save registers below stack pointer, without modifying it.

ppc: Optimize chacha_4core main loop

* powerpc64/p7/chacha-4core.asm (QR): Instruction level
interleaving in the main loop, written by Torbjörn Granlund.

ppc: Workaround using m4_unquote.

m4: New macro m4_unquote

ppc: Add byte-swapping to chacha_4core, for big-endian builds.

Delete _nettle_chacha_crypt_2core and _nettle_chacha_crypt32_2core.

ppc: New assembly for chacha_core4, doing four blocks in parallel.

* chacha-crypt.c: (_nettle_chacha_crypt_4core)
(_nettle_chacha_crypt32_4core): New functions.
* chacha-internal.h: Add prototypes for _nettle_chacha_4core and
related functions.
* configure.ac (asm_nettle_optional_list): Add chacha-4core.asm.
* powerpc64/fat/chacha-4core.asm: New file.
* powerpc64/p7/chacha-4core.asm: New file.
* fat-ppc.c (fat_init): When altivec is available, use
_nettle_chacha_crypt_4core and _nettle_chacha_crypt32_4core
instead of _2core variants.

Fix a ChangeLog typo.

Add missing forward declaration.

Fix counter bug in _chacha_crypt32_3core.

Delete name mangling of internal umac symbols

Delete name mangling of internal sha3 symbols

Delete name mangling of internal salsa20 symbols

Delete name mangling of internal poly1305 symbols

Delete name mangling of internal gost symbols

Delete name mangling of internal Chacha symbols

Delete name mangling of internal _nettle_ctr_crypt16 function

Delete name mangling of internal _nettle_dsa_hash function

Delete name mangling of internal Camellia symbols

Delete name mangling of internal AES symbols

ppc: ChangeLog entry for gcm-hash.asm.

Merge branch 'ppc-gcm' into master-updates

ppc: Use vaddcuw instruction.

Add missing #undef for _chacha_crypt_2core.

Simplify ifdefs in gcm-internal.h

Update run-test script with gmp/mini-gmp changes

Merge branch 'ppc-gcm' into 'ppc-gcm'

Suppress warnings in certain configuration and fix x86_64 build

See merge request nettle/nettle!12

Suppress warnings in certain configuration and fix x86_64 build

ChangeLog entries

Replace one more conftest use of exit with return.

Merge branch 'aberaud/nettle-m4_gmp_prog_cc_for_build_fix'

Merge branch 'briansmith/nettle-master'

ppc: Enable gcm code in fat builds. Based on patch by Mamone Tarsha.

Merge branch 'ppc-gcm' into 'ppc-gcm'

[PowerPC64] Modify register defines in gcm-hash.asm

See merge request nettle/nettle!10

[PowerPC64] modify register defines in gcm-hash.asm

ppc: Support big-endian for _chacha_2core.

ppc: Enable _chacha_2core in fat builds.

ppc: Implement _chacha_2core.

* powerpc64/p7/chacha-2core.asm: New file.

Prepare for using assembly function _chacha_2core.

* chacha-crypt.c (_chacha_crypt_2core, _chacha_crypt32_2core): New
variants of chacha_crypt, using _chacha_2core to do two blocks at
a time.
* chacha-internal.h (_chacha_2core, _chacha_2core32): Add declarations.
* configure.ac (asm_nettle_optional_list): Add chacha-2core.asm.

Update invert calls for curve25519_eh_to_x and curve448_eh_to_x

Comment fix.

Improve scratch usage in ecc_mod_inv.

* ecc-mod-inv.c (ecc_mod_inv): Use passed in scratch for all
scratch needs, don't use memory after the result area.
* ecc-ecdsa-sign.c (ecc_ecdsa_sign): Update invert call.
* ecc-ecdsa-verify.c (ecc_ecdsa_verify): Likewise.
* ecc-eh-to-a.c (ecc_eh_to_a): Likewise.
* ecc-j-to-a.c (ecc_j_to_a): Likewise.
* ecc-gostdsa-verify.c (ecc_gostdsa_verify): Likewise.
* ecc-internal.h (ECC_MOD_INV_ITCH, ECC_J_TO_A_ITCH)
(ECC_EH_TO_A_ITCH): Update accordingly, but no change in total
scratch need.

ppc: Fix table offsets in gcm_hash.

Indentation fixes.

Generalize ECC_J_TO_A_ITCH.

* ecc-internal.h (ECC_J_TO_A_ITCH): Generalize, and take invert
itch as an argument, similarly to ECC_EH_TO_A_ITCH. Updated all
secp and gost curve definitions to use it.

ppc: Assembly implementation of gcm_hash.

Optimize modular inversion for secp384r1.

* ecc-secp384r1.c (ecc_secp384r1_inv): New function, modular
inverse using powering.
(_nettle_secp_384r1): Analogous updates. Increases signing
performance roughly 15% on x86_64.

Delete ecc_mod_inv_redc

Optimize modular inversion for secp224r1 and secp256r1

* ecc-secp224r1.c (ecc_secp224r1_inv): New function, modular
inverse using powering.
(_nettle_secp_224r1): Analogous updates. Increases signing
performance roughly 17% on x86_64.

* ecc-secp256r1.c (ecc_secp256r1_inv): New function, modular
inverse using powering.
(_nettle_secp_256r1): Analogous updates. Increases signing
performance roughly 6% on x86_64.

Optimize modular inversion for secp521r1.

* ecc-secp521r1.c (ecc_secp521r1_inv): New function, modular
inverse using powering.
(_nettle_secp_521r1): Analogous updates. Increases signing
performance roughly 15% on x86_64.

"PowerPC" Detect VSX support on AIX and FreeBSD

Optimize modular inversion for secp192r1.

* ecc-secp192r1.c (ecc_secp192r1_inv): New function, modular
inverse using powering.
(_nettle_secp_192r1): Use it for p.invert, and also update
h_to_a_itch. Increases signing performance roughly 25% on x86_64.

ecc-modinv-test.c: Allow invert function to return a non-canonical representation.

Merge branch 'refactor-ecc-mod' into master-updates

Updated itch macros for ecc point multiplication and signatures

Eliminate one mpn_cnd_swap call in ecc_mul_m.

Reduce scratch need for ecc_mul_m

Reduce scratch need for ecc_add_jjj some more

Reduce scratch need for ecc_add_jja

Reduce scratch need for ecc_add_jjj

Merge branch 'ppc-chacha-core'

ppc: Comment instructions for chacha byte swapping.

ppc: Add altivec detection to fat builds

Comment improvement

Reduce scratch need for ecc_curve448_inv and ecc_curve448_sqrt

After these changes, both curve25519 and curve448 need 4*size for
invert and 6*size for sqrt.

Reduce scratch need for ecc_curve25519_sqrt

Delete unneeded copy in ecc_add_jja.

Reduce scratch need for ecc_dup_jj

Reduce scratch need for ecc_add_thh

Reduce scratch need for ecc_dup_th

Reduce scratch need for ecc_add_ehh

Reduce scratch need for ecc_dup_eh.

Stricter requirements for in-place ecc_add_func.

Delete obsolete comment.