Change _rsa_sec_compute_root_tr to take a fix input size.

Improves consistency with _rsa_sec_compute_root, and fixes zero-input bug.

Fix comment typos.

Add check that message length to _pkcs1_sec_decrypt is valid.

* pkcs1-sec-decrypt.c (_pkcs1_sec_decrypt): Check that message
length is valid, for given key size.
* testsuite/rsa-sec-decrypt-test.c (test_main): Add test cases for
calls to rsa_sec_decrypt specifying a too large message length.

NEWS entries for 3.7.2.

Bump version numbers for nettle-3.7.2.

Fix canonical reduction in gostdsa_vko.

* gostdsa-vko.c (gostdsa_vko): Use ecc_mod_mul_canonical to
compute the scalar used for ecc multiplication.

(cherry picked from commit b30e0ca6d2b41579a5b6a010fc54065d790e8d55)

Similar fix for eddsa.

* eddsa-hash.c (_eddsa_hash): Ensure result is canonically
reduced. Two of the three call sites need that.

(cherry picked from commit d9b564e4b3b3a5691afb9328c7342b3f7ca64288)

Analogous fix to ecc_gostdsa_verify.

* ecc-gostdsa-verify.c (ecc_gostdsa_verify): Use ecc_mod_mul_canonical
to compute the scalars used for ecc multiplication.

(cherry picked from commit fbaefb64b90cb45b7075a0ed72a92f2a1fbcd2ab)

Ensure ecdsa_sign output is canonically reduced.

* ecc-ecdsa-sign.c (ecc_ecdsa_sign): Ensure s output is reduced to
canonical range.

(cherry picked from commit c24b36160dc5303f7541dd9da1429c4046f27398)

Fix bug in ecc_ecdsa_verify.

* ecc-ecdsa-verify.c (ecc_ecdsa_verify): Use ecc_mod_mul_canonical
to compute the scalars used for ecc multiplication.
* testsuite/ecdsa-verify-test.c (test_main): Add test case that
triggers an assert on 64-bit platforms, without above fix.
* testsuite/ecdsa-sign-test.c (test_main): Test case generating
the same signature.

(cherry picked from commit 2397757b3f95fcae1e2d3011bf99ca5b5438378f)

Use ecc_mod_mul_canonical for point comparison.

* eddsa-verify.c (equal_h): Use ecc_mod_mul_canonical.

(cherry picked from commit 5b7608fde3a6d2ab82bffb35db1e4e330927c906)

New functions ecc_mod_mul_canonical and ecc_mod_sqr_canonical.

* ecc-mod-arith.c (ecc_mod_mul_canonical, ecc_mod_sqr_canonical):
New functions.
* ecc-internal.h: Declare and document new functions.
* curve448-eh-to-x.c (curve448_eh_to_x): Use ecc_mod_sqr_canonical.
* curve25519-eh-to-x.c (curve25519_eh_to_x): Use ecc_mod_mul_canonical.
* ecc-eh-to-a.c (ecc_eh_to_a): Likewise.
* ecc-j-to-a.c (ecc_j_to_a): Likewise.
* ecc-mul-m.c (ecc_mul_m): Likewise.

(cherry picked from commit 2bf497ba4d6acc6f352bca015837fad33008565c)

ChangeLog entry for 3.7.1 release.

Delete benchmarking of openssl arcfour and corresponding glue code

NEWS entries for Nettle-3.7.1.

Increase version numbers, for Nettle-3.7.1.

* configure.ac: Bump package version, to 3.7.1.
(LIBNETTLE_MINOR): Bump minor number, to 8.2.
(LIBHOGWEED_MINOR): Bump minor number, to 6.2.

Fix chacha counter update for _4core variants.

Improve chacha test coverage.

Merge branch 'delete-1-way-neon'

ChangeLog entries for new pbkdf2 variants.

Update doc for pbkdf2_hmac_sha384 and pbkdf2_hmac_sha512

Add tests for pbkdf2_hmac_sha384 and pbkdf2_hmac_sha512

Implement pbkdf2_hmac_sha384 and pbkdf2_hmac_sha512

Delete the ARM Neon code doing a single block chacha.

Delete the ARM Neon code doing a single block salsa20.

Add testcase for ecc_ecdsa_verify with zero hash.

Fix ecc_ecdsa_verify corner case with all-zero hash.

Delete old misleading comment.

arm: Unify neon asm for big- and little-endian modes

Switch arm neon assembler routines to endianness-agnostic loads and
stores where possible to avoid modifications to the rest of the code.
This involves switching to vld1.32 for loading consecutive 32-bit words
in host endianness as well as vst1.8 for storing back to memory in
little-endian order as required by the caller. Where necessary, r3 is
used to store the precalculated offset into the source vector for the
secondary load operations. vstm is kept for little-endian platforms
because it is faster than vst1 on most ARM implementations.

vst1.x (at least on the Allwinner A20 Cortex-A7 implementation) seems to
interfer with itself on subsequent calls, slowing it down further. So we
reschedule some instructions to do stores as soon as results become
available to have some other calculations or loads before the next
vst1.x. This reliably saves two additional cycles per block on salsa20
and chacha which would otherwise be incurred.

vld1.x does not seem to suffer from this or at least not to a level
where two consecutive vld1.x run slower than an equivalent vldm.
Rescheduling them similarly did not improve performance beyond that of
vldm.

Signed-off-by: Michael Weiser <michael.weiser@gmx.de>

ppc: Fix use of __GLIBC_PREREQ in fat-ppc.c.

* fat-ppc.c: Don't use __GLIBC_PREREQ in the same preprocessor
conditional as defined(__GLIBC_PREREQ), but move to a nested #if
conditional. Fixes compile error on OpenBSD/powerpc64, reported by
Jasper Lievisse Adriaanse.

Note 3.7 release.

NEWS: Mention ARM big-endian breakage as a known issue.

gitlab-ci: Use --disable-assembler, for ubsan, asan and static analyzer tests.

Update NEWS file. Say that fat builds are now on by default.

Enable fat build by default.

News entries for Nettle-3.7.

Fix typo in old NEWS entry for Nettle-3.6.

Distribute the README files in assembly directories.

Increase version numbers, for Nettle-3.7.

* configure.ac: Bump package version, to 3.7.
(LIBNETTLE_MINOR): Bump minor number, to 8.1.
(LIBHOGWEED_MINOR): Bump minor number, to 6.1.

arm: Fix comment typo

Spotted by Michael Weiser

ChangeLog entry for previous fat ppc fix.

Merge branch 'undefined' into 'master'

[PowerPC64] Skip using getauxval() when it is not available

See merge request nettle/nettle!16

combine preprocessor directives to reduce nesting of conditions in fat-ppc.c

[PowerPC64] Skip using getauxval() when it is not available

Merge branch 'ppc-got-32bit' into 'master'

[PowerPC64] Use 32-bit offset to load data

See merge request nettle/nettle!14

[PowerPC64] Use 32-bit offset to load data

ppc: More interleaving of chacha_4core.

Merge branch 'ppc-chacha-4core'

Fix comment type

ppc: Save registers below stack pointer, without modifying it.

ppc: Optimize chacha_4core main loop

* powerpc64/p7/chacha-4core.asm (QR): Instruction level
interleaving in the main loop, written by Torbjörn Granlund.

ppc: Workaround using m4_unquote.

m4: New macro m4_unquote

ppc: Add byte-swapping to chacha_4core, for big-endian builds.

Delete _nettle_chacha_crypt_2core and _nettle_chacha_crypt32_2core.

ppc: New assembly for chacha_core4, doing four blocks in parallel.

* chacha-crypt.c: (_nettle_chacha_crypt_4core)
(_nettle_chacha_crypt32_4core): New functions.
* chacha-internal.h: Add prototypes for _nettle_chacha_4core and
related functions.
* configure.ac (asm_nettle_optional_list): Add chacha-4core.asm.
* powerpc64/fat/chacha-4core.asm: New file.
* powerpc64/p7/chacha-4core.asm: New file.
* fat-ppc.c (fat_init): When altivec is available, use
_nettle_chacha_crypt_4core and _nettle_chacha_crypt32_4core
instead of _2core variants.

Fix a ChangeLog typo.

Add missing forward declaration.

Fix counter bug in _chacha_crypt32_3core.

Delete name mangling of internal umac symbols

Delete name mangling of internal sha3 symbols

Delete name mangling of internal salsa20 symbols

Delete name mangling of internal poly1305 symbols

Delete name mangling of internal gost symbols

Delete name mangling of internal Chacha symbols

Delete name mangling of internal _nettle_ctr_crypt16 function

Delete name mangling of internal _nettle_dsa_hash function

Delete name mangling of internal Camellia symbols

Delete name mangling of internal AES symbols

ppc: ChangeLog entry for gcm-hash.asm.

Merge branch 'ppc-gcm' into master-updates

ppc: Use vaddcuw instruction.

Add missing #undef for _chacha_crypt_2core.

Simplify ifdefs in gcm-internal.h

Update run-test script with gmp/mini-gmp changes

Merge branch 'ppc-gcm' into 'ppc-gcm'

Suppress warnings in certain configuration and fix x86_64 build

See merge request nettle/nettle!12

Suppress warnings in certain configuration and fix x86_64 build

ChangeLog entries

Replace one more conftest use of exit with return.

Merge branch 'aberaud/nettle-m4_gmp_prog_cc_for_build_fix'

Merge branch 'briansmith/nettle-master'

ppc: Enable gcm code in fat builds. Based on patch by Mamone Tarsha.

Merge branch 'ppc-gcm' into 'ppc-gcm'

[PowerPC64] Modify register defines in gcm-hash.asm

See merge request nettle/nettle!10

[PowerPC64] modify register defines in gcm-hash.asm

ppc: Support big-endian for _chacha_2core.

ppc: Enable _chacha_2core in fat builds.

ppc: Implement _chacha_2core.

* powerpc64/p7/chacha-2core.asm: New file.

Prepare for using assembly function _chacha_2core.

* chacha-crypt.c (_chacha_crypt_2core, _chacha_crypt32_2core): New
variants of chacha_crypt, using _chacha_2core to do two blocks at
a time.
* chacha-internal.h (_chacha_2core, _chacha_2core32): Add declarations.
* configure.ac (asm_nettle_optional_list): Add chacha-2core.asm.

Update invert calls for curve25519_eh_to_x and curve448_eh_to_x

Comment fix.

Improve scratch usage in ecc_mod_inv.

* ecc-mod-inv.c (ecc_mod_inv): Use passed in scratch for all
scratch needs, don't use memory after the result area.
* ecc-ecdsa-sign.c (ecc_ecdsa_sign): Update invert call.
* ecc-ecdsa-verify.c (ecc_ecdsa_verify): Likewise.
* ecc-eh-to-a.c (ecc_eh_to_a): Likewise.
* ecc-j-to-a.c (ecc_j_to_a): Likewise.
* ecc-gostdsa-verify.c (ecc_gostdsa_verify): Likewise.
* ecc-internal.h (ECC_MOD_INV_ITCH, ECC_J_TO_A_ITCH)
(ECC_EH_TO_A_ITCH): Update accordingly, but no change in total
scratch need.

ppc: Fix table offsets in gcm_hash.

Indentation fixes.

Generalize ECC_J_TO_A_ITCH.

* ecc-internal.h (ECC_J_TO_A_ITCH): Generalize, and take invert
itch as an argument, similarly to ECC_EH_TO_A_ITCH. Updated all
secp and gost curve definitions to use it.

ppc: Assembly implementation of gcm_hash.

Optimize modular inversion for secp384r1.

* ecc-secp384r1.c (ecc_secp384r1_inv): New function, modular
inverse using powering.
(_nettle_secp_384r1): Analogous updates. Increases signing
performance roughly 15% on x86_64.

Delete ecc_mod_inv_redc

Optimize modular inversion for secp224r1 and secp256r1

* ecc-secp224r1.c (ecc_secp224r1_inv): New function, modular
inverse using powering.
(_nettle_secp_224r1): Analogous updates. Increases signing
performance roughly 17% on x86_64.

* ecc-secp256r1.c (ecc_secp256r1_inv): New function, modular
inverse using powering.
(_nettle_secp_256r1): Analogous updates. Increases signing
performance roughly 6% on x86_64.

Optimize modular inversion for secp521r1.

* ecc-secp521r1.c (ecc_secp521r1_inv): New function, modular
inverse using powering.
(_nettle_secp_521r1): Analogous updates. Increases signing
performance roughly 15% on x86_64.

"PowerPC" Detect VSX support on AIX and FreeBSD