Update mini-gmp to latest version

Mention GMP-6.1.0 in NEWS.

Delete compatibility definitions of mpz_limbs_read and friends.

Require gmp-6.1.0 or later, for mpn_zero_p.

DISTFILES fixes.

Set WINEPATH for tests, and remove symlink workaround.

In tests, delete ASSERTs with functions pointer comparisons.

Delete .test-rules.make, replaced by GNU make pattern rules.

ChangeLog entry for gost_vko.

Implement GOST VKO key derivation algorithm

Signed-off-by: Dmitry Baryshkov <dbaryshkov@gmail.com>

ChangeLog for previous gosthash changes.

Delete obsolete FIXME comment.

gosthash94: switch to using MD_UPDATE() macro

NEWS file update for soname changes.

Bump libnettle soname, libnettle version is now 8.0.

Fix file header.

Make poly1305-internal.h include poly1305.h, not aes.h.

ChangeLog for poly1305-internal.h.

poly1305: make internal symbols internal

Make low-level poly1305 functions that were marked as "internal" in
public header file really internal. Change their prefix from nettle to
_nettle.

Signed-off-by: Dmitry Baryshkov <dbaryshkov@gmail.com>

Reorder DISTFILES to avoid wrong timestamp order in tar file.

NEWS fixes from Daiki Ueno.

Define _GNU_SOURCE in ed448-test.c.

Update info on ABI compatibility in NEWS.

Increase hogweed version number to 6.0, at request of Gnutls team.

Fix gnutls ci job to not replace the system's nettle libraries.

Update config.guess and config.sub.

Delete some unused autoconf macros.

Delete extra quotes from TEST_SHLIB_DIR. Add comment.

Rework setting of LD_LIBRARY_PATH for tests.

* testsuite/Makefile.in (check): Pass only TEST_SHLIB_DIR
to the run-tests script, and leave setting of LD_LIBRARY_PATH and
related variables to that script.
* examples/Makefile.in (check): Likewise.

* run-tests: Check TEST_SHLIB_DIR, and set up LD_LIBRARY_PATH and
related member variables.

* config.make.in (abs_top_builddir, TEST_SHLIB_DIR): New variables.

Version number update for Nettle-3.6

* configure.ac: Bump package version to 3.6.
(LIBNETTLE_MINOR): Bump minor number, now 7.1.
(LIBHOGWEED_MINOR): Bump minor numbers, now 5.1

More NEWS entries for Nettle-3.6.

x86: Add x86-ibt-test.c

On Linux/x86, when CET is enabled, all indirect branch targets must
start with ENDBR instruction.  Add x86-ibt-test.c to verify that missing
ENDBR instruction at indirect branch target will trigger SIGSEGV on CET
platforms.

ChangeLog entry for x86_64 CET fixes.

x86: Add ASM_X86_ENDBR and x86 CET marker to config.m4.in

Intel Control-flow Enforcement Technology (CET):

https://software.intel.com/en-us/articles/intel-sdm

contains shadow stack (SHSTK) and indirect branch tracking (IBT).  When
CET is enabled, ELF object files must be marked with .note.gnu.property
section.  Also when IBT is enabled, all indirect branch targets must
start with ENDBR instruction.

This patch adds ASM_X86_ENDBR and the x86 CET marker to config.m4.in when
CET is enabled.  It updates PROLOGUE with ASM_X86_ENDBR.

Tested on CET machine with i686 and x86-64.

Signed-off-by: H.J. Lu <hjl.tools@gmail.com>

arm: Fix memxor for non-armv6+ big-endian systems

ARM assembly adjustments for big-endian systems contained armv6+-only
instructions (rev) in generic arm memxor code. Replace those with an
actual conversion of the leftover byte store routines for big-endian
systems. This also provides a slight optimisation by removing the
additional instruction as well as increased symmetry between little- and
big-endian implementations.

Signed-off-by: Michael Weiser <michael.weiser@gmx.de>

Minor fixes for chacha comments and docs.

ChangeLog for previous change.

doc: match ChaCha-Poly1305 documentation to the implementation

While the documentation said the nonce size is 8 octets, the
implementation actually assumed 12 octets following RFC 7539.

Signed-off-by: Daiki Ueno <dueno@redhat.com>

chacha: add variant that treats counter value as 32-bit

The ChaCha-Poly1305 implementation previously used the chacha_crypt
function that assumes the block counter is 64-bit long, while RFC 8439
defines that the counter is 32-bit long.  Although this should be fine
as long as up to 256 gigabytes of data is encrypted with the same key,
it would be nice to use a separate functions (chacha_set_counter32 and
chacha_crypt32) that assume the counter is 32-bit long.

Signed-off-by: Daiki Ueno <dueno@redhat.com>

chacha: add function to set initial block counter

The ChaCha20 based header protection algorithm in QUIC requires a way
to set the initial value of counter:
https://quicwg.org/base-drafts/draft-ietf-quic-tls.html#name-chacha20-based-header-prote

This will add a new function chacha_set_counter, which takes an
8-octet initial value of the block counter.

Signed-off-by: Daiki Ueno <dueno@redhat.com>

ChangeLog for previous change.

cmac-des3: add meta declaration to Nettle library

Move cmac-des3 meta information from testsuite/cmac-test.c to main
Nettle library.

Signed-off-by: Dmitry Baryshkov <dbaryshkov@gmail.com>

ChangeLog for previous change.

ecc: remove ecc_modp_foo/ecc_modq_foo macros

To make ecc functions usage more obvious remove ecc_modp_foo() and
ecc_modq_foo() wrapper macros.

Signed-off-by: Dmitry Baryshkov <dbaryshkov@gmail.com>

nettle-meta: Expose defined MACs through nettle_macs

Based on patches by Daiki Ueno.

Fix dash vs underscore in nettle_cmac_aes256 name.

Add meta interface for HMAC functions.

Based on patches by Daiki Ueno.

Add meta interface for CMAC functions.

Based on patches by Daiki Ueno.
* testsuite/cmac-test.c (nettle_cmac_aes128, nettle_cmac_aes256):
Moved to...
* cmac-aes128-meta.c: New file.
* cmac-aes256-meta.c: New file.

Move struct nettle_mac to nettle-meta.h.

ChangeLog for previous change.

gost28147: move gost params to internal interface

gost28147_param instances were never a part of stable release, so move
them to internal header.

Signed-off-by: Dmitry Baryshkov <dbaryshkov@gmail.com>

On Solaris, link shared libraries with --shared rather than -G.

Fix comment typo

Merge branch 'delete-ecc-g'

Merge branch 'ecc-gost'

Add index entries for GOST hash and GOST DSA.

Add documentation for GOSTDSA and GOST curves.

Signed-off-by: Dmitry Baryshkov <dbaryshkov@gmail.com>

ChangeLog entries

Merge commit '33d047b2fdf56207fa26a41c531eb7b3192ced53' into ecc-gost

For gitlab CI fix.

ChangeLog entries

Fix memory leak in ecc-mul-a-test

Started on NEWS entries for Nettle-3.6.

Fix ChangeLog typo.

Merge branch 'master' into delete-ecc-g

For gitlab CI fix.

.gitlab-ci.yml: require linux systems for running CI

Gitlab added windows shared runners and we should avoid
running CI in this environment as it will immediatelly
fail.

Signed-off-by: Nikos Mavrogiannopoulos <n.mavrogiannopoulos@gmail.com>

Delete definition of ecc->g

Delete all usage of ecc->g

hogweed-benchmark: Pass correct sizes to knuth_lfib_random.

hogweed-benchmark: enable testing of GOST DSA

Signed-off-by: Dmitry Baryshkov <dbaryshkov@gmail.com>

Add GOST DSA according to GOST R 34.10-2001/-2012

Add GOST Digital Signature Algorithms support according to GOST R
34.10-2001/-2012. English translations of these standards are provided
as RFC 5832 and RFC 7091.

Signed-off-by: Dmitry Baryshkov <dbaryshkov@gmail.com>

.gitignore: correct generated header names

Signed-off-by: Dmitry Baryshkov <dbaryshkov@gmail.com>

gost gc512a: rename functions to follow usual pattern

Signed-off-by: Dmitry Baryshkov <dbaryshkov@gmail.com>

Add support for GOST GC512A curve

Add support for GC512A curve ("TLS Supported Groups" registry,
draft-smyshlyaev-tls12-gost-suites) also known as
tc26-gost-3410-12-512-paramSetA (RFC 7836).

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

Add support for GOST GC256B curve

Add support for GC256B curve ("TLS Supported Groups" registry,
draft-smyshlyaev-tls12-gost-suites) also known as
GostR3410-2001-CryptoPro-A and GostR3410-2001-CryptoPro-XchA (RFC 4357).

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>
Signed-off-by: Dmitry Baryshkov <dbaryshkov@gmail.com>

Use %-pattern rules instad of suffix rules.

Simplify dependency rules using GNU make -include.

* aclocal.m4 (DEP_INCLUDE): Delete substituted variable.

* Makefile.in: Use the GNU make directive -include to include
dependency .d files. Delete dependency files on make clean.
* examples/Makefile.in: Likewise.
* testsuite/Makefile.in: Likewise. Also use $(OBJEXT) properly.
* tools/Makefile.in: Likewise.

* configure.ac (dummy-dep-files): Delete these config commands.

ChangeLog entry for ecc renaming.

ecc: rename functions to contain curve names instead of bits

Rename curve functions to use curve names instead of just bits.
Otherwise function names can easily become confusing after adding other
curves.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

ecc: prefix optimized ECC function names with underscore

There is no need to keep optimized ECC functions in public namespace
(nettle_*), move them to internal namespace (_nettle_*).

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

ecc: rename source files with curves data

In preparation to adding GOST curves support, rename source files and
use curve name as eccdata parameter.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

.gitlab-ci.yml: use fedora31 image

Signed-off-by: Nikos Mavrogiannopoulos <nmav@redhat.com>

sexp-conv: ensure non-null input to strcmp() and strtol()

Signed-off-by: Nikos Mavrogiannopoulos <nmav@redhat.com>

Add benchmarking of ed25519, ed448 and curve448.

Use function pointer to represent eddsa dom prefix.

Implement ed448-shake256

Update eddsa internals to support ed448.

Add dom string to struct ecc_eddsa.

Fix comment typo.

Reduce scratch need for curve448 inverse and sqrt

Test edddsa point compression with curve448.

Reorganize eddsa, based on patch by Daiki Ueno.

* eddsa-internal.h (struct ecc_eddsa): New struct for eddsa
parameters.
* ed25519-sha512.c (_nettle_ed25519_sha512): New parameter struct.
* eddsa-expand.c (_eddsa_expand_key): Replace input
struct nettle_hash with struct ecc_eddsa, and generalize for
ed448. Update all callers.
* eddsa-sign.c (_eddsa_sign): Likewise.
* eddsa-verify.c (_eddsa_verify): Likewise.
* eddsa-compress.c (_eddsa_compress): Store sign bit in most
significant bit of last byte, as specified by RFC 8032.
* eddsa-decompress.c (_eddsa_decompress): Corresponding update.
Also generalize to support ed448, and make validity checks
stricter.
* testsuite/eddsa-sign-test.c (test_ed25519_sign): New function.
(test_main): Use it.
* testsuite/eddsa-verify-test.c (test_ed25519): New function.
(test_main): Use it.

Whitespace fixes.

Tweak includes of nettle-meta.h.

* bignum.h: Drop unreleted include of nettle-meta.h.
* pss.h: Include nettle-meta.h explicitly.
* eddsa-internal.h: Likewise.

Document SHAKE-256.

Support for SHAKE256, based on patch by Daiki Ueno.

* shake256.c (sha3_256_shake): New file and function.
* Makefile.in (nettle_SOURCES): Add shake256.c.
* testsuite/testutils.c (test_hash): Allow arbitrary digest size,
if hash->digest_size == 0.
* testsuite/shake.awk: New script to extract test vectors.
* testsuite/Makefile.in (TS_NETTLE_SOURCES): Add shake256-test.c.
(DISTFILES): Add shake.awk.

ChangeLog entry for previous change.

Generalize _sha3_pad to take magic value as argument.

Use add_hh rather than add_hhh for ecc_mul_a_eh.

* ecc-mul-a-eh.c (ecc_mul_a_eh) [ECC_MUL_A_EH_WBITS == 0]: Use
add_hh rather than add_hhh.
(table_init) [[ECC_MUL_A_EH_WBITS > 0]: Likewise.
* ecc-internal.h (ECC_MUL_A_EH_ITCH) [ECC_MUL_A_EH_WBITS == 0]:
Reduced from 13*n to 12*n.

Rename add and dup functions for Edwards curves.

Use function pointer rather than calling ecc_add_eh directly.

* eddsa-verify.c (_eddsa_verify): Use function pointer rather than
calling ecc_add_eh directly. Preparation for eddsa over curve448.