Add cell format and crypto alg to circ_params

This allows them to be negotiated as part of the handshake.

relay_crypto: Implement support for CGO.

Turn relay_crypto_t into a tagged union.

Refactor relay_crypto_init API to take an algorithm.

Turn tor1_crypt_t into a distinct type.

Move relay_crypto_st.h to core/crypto.

Propagate longer keylens through onion handshakes.

relay crypto: functions to get key material length.

Allow SENDME tags to be 16 or 20 bytes.

Move tor1 crypto functions into new file

(I'd recommend reviewing this with "show -b --color-moved")

Refactor and simplify save_sendme logic in tor1.

Every time that we want a sendme_digest, we have already computed it
once, either to originate a cell or to recognize a cell.  Rather
than figuring out when to compute the digest a second time, we
instead refactor our tor1 digest code to _always_ store such digests
in the relay_crypto_t.

This saves a bit of complexity, and shouldn't involve a performance
hit; rather, it has potential to speed things up by saving a sha1
call.

Refactor tor1 relay crypto functions into per-layer calls.

We'll need this for mixed circuits.

Also, the APIs here are a bit closer to the CGO APIs.

Rename two "record_*_digest functions to "save".

This makes an important distinction: "recording" a digest puts
it in the expected-sendme queue, whereas "saving" a digest makes
a temporary copy inside the relay_crypto_t.

Rename a couple of relay crypto functions to "tor1".

(I've designated the existing encryption algorithm "tor1".

Merge branch 'tor_41091' into 'main'

cgo: Use the correct operation to re-align AES.

Closes #41091

See merge request tpo/core/tor!906

Merge branch 'maint-0.4.8'

Merge branch 'tor-gitlab/mr/903' into maint-0.4.8

Merge branch 'maint-0.4.8'

Fix: "Bug: Duplicate call to circuit_mark_for_close()"

Closes issue #40951

log "list of supported TLS groups" only once

We had been logging it every two hours forever, even though it's based
on the version of OpenSSL we're using it so it will never change.

Fixes bug #41093.

The fix is an improvement on commit ba88ad6b which addressed #41058.

Not adding a changes file since those commits haven't gone out in a
release yet either.

cgo: Use the correct operation to re-align AES.

By accident, this doesn't cause a bug, since 480 = 15*16*2.
Still, it's better to avoid problems in the future.

Closes #41091.

Merge branch 'cloexec-pipes' into 'main'

start_daemon: open pipe with cloexec

Closes #41013 and #41088

See merge request tpo/core/tor!904

start_daemon: open pipe with cloexec

Fixes #41013
Fixes #41088

Add tor_pipe_cloexec

Merge branch 'remove-tor_tls_get_num_server_handshakes' into 'main'

Remove tor_tls_get_num_server_handshakes declaration

See merge request tpo/core/tor!902

Remove tor_tls_get_num_server_handshakes declaration

This function has not been defined since 5205c7fd903c ("Initial NSS support for
TLS.").

Merge branch 'cgo-faster' into 'main'

Portability and speed improvements to cgo crypto

See merge request tpo/core/tor!900

Fix a bug with less optimized polyval variants.

Using "0" to mean "doesn't support multi-block processing"
ran us into trouble: (n > 0 * 16) is always true for n > 0,
so we were always running a loop with no termination condition.

Additionally, the >s in this block should have been >=s,
since we want to process multi-blocks as long as there are any.
This won't have a performance impact for our current input sizes,
but it's nice to be correct.

Merge branch 'openssl-cleanup' into 'main'

Clean up some legacy OpenSSL code

See merge request tpo/core/tor!895

Merge branch 'cgo-fixes-misc' into 'main'

Fix a few bugs from #41051 (CGO cell format)

Closes #41071 and #41070

See merge request tpo/core/tor!892

Remove AES support for old OpenSSLs

Optimize the everloving heck out of OpenSSL AES as used by CGO.

Optimizations:

1. Calling EVP_CryptInit with a cipher returned by
   e.g. EVP_aes_128_ctr() is quite slow, since it needs to look
   up the _actual_ EVP_CIPHER corresponding to the given EVP,
   which involves grabbing locks, doing a search through a
   provider, and so on.  We use EVP_CIPHER_fetch to speed
   that up a lot.

2. There is not in fact any need to EVP_CIPHER_CTX_Reset a
   cipher before calling EVP_CryptInit on it a second time

2. Using an ECB cipher + CRYPTO_ctr128_encrypt was not in fact
   the most efficient way to implement a counter mode with an
   adjustable IV.  Instead, the fastest way seems to be:
     - Set the IV manually
     - Ensure that we are always aligned to block boundary
       when we do so.

polyval: use real pclmul intrinsics on clang.

Modern clangs don't appear to have a problem with it.

Use polyvalx in cgo.

Add support for pre-expanded polyval keys with pclmul.

We don't want to do this without pclmul, since it doesn't help in that case.

We don't want to do this unconditionally, since many of our polyval keys
are only used for 16 byte inputs.

(Yes, this makes a difference in practice!)

Speed up polyval through pipelining.

This optimization helps because:
  - We're not blocking the computation of each block on the computation of the
    previous one, which leads to fewer pipeline stalls.
  - We're deferring reduction until the end of handling a bunch of blocks.

Add benchmarks for cgo and polyval.

Improve tor1 encryption benchmarks

Include cell origination (which costs more) and cycles per byte.

Rename benchmark to "tor1", since cgo is coming next.

polyval: Detect pclmul presence using cpuid.

polyval: Allow PV_DECLARE declare multiple variants.

polyval: move declarations into a macro

I'll be using this to implement CPUID-based dispatch, which will require
multiple backends to coexist.

Merge branch '41052_cgo_encryption' into 'main'

CGO: Crypto implementation

Closes #41052

See merge request tpo/core/tor!879

polyval: Remove precomputation for ctmul64 case.

In my benchmarks it saved less than 1%, so it really
doesn't make sense to keep it.

CGO: Fix authenticated-sendme tag handling.

See discussion at torspec#328: it's important that our
SENDME authentication tag always be taken based on the
_encrypted_ cell.

CGO: Split modes into forward and backward variants.

I'll need this for getting tags right wrt torspec!328.

Implement the encryption operations for counter galois onion.

Implement low-level encryption functions for CGO.

These include a regular LRW2 tweakable block cipher,
a pseudorandom function,
and a UIV+ tweakable wide-block rugged pseudorandom permutation.

Also included are a few test vectors from the reference
 implementation.

aes: Support for replacing an AES key without free+alloc

Support for counter mode with raw AES.

We'll want this for CGO because we want the ability to use the same AES
key several times with multiple different IVs: neither OpenSSL's EVP
interface nor NSS's PK11 API has a good interface to do that.
(This is usually expressed in terms of "seeking" to a new position
on the stream, but there isn't an API for that either.)

crypto: Add support for raw (ECB) AES

We'll need this to define the LRW2 tweakable block cipher used in CGO.

Polyval: add ability to store key separately.

This will help reduce storage, since we never actually need
to keep a running total outside of a function.

Integrate polyval into our build system and give a test

polyval: comments throughout.

Detect correct polyval implementation (mostly)

I'm saying "mostly" because this will be wrong on really old intel;
we'll need a cpuid workaround if we need to support those.

Adapt pclmul.c to work with polyval.c

adapt 32-bit ctmul.c to work with polyval.c

Adapt ctmul64.c to work with polyval.c.

Unfinished polyval implementation, without a multiplier.

Rename files so it no longer looks like we are doing ghash

Add code from BearSSL's ghash implementation.

Polyval (which we need for CGO) is very similar to ghash,
and most of this code should be reusable with suitable adaptation.

Unrelated: fix warnings about NSS kex algorithms.

Merge branch 'bug41077' into 'main'

Fix log message claiming that LibreSSL is OpenSSL

Closes #41077

See merge request tpo/core/tor!897

Merge branch 'bug40176' into 'main'

Fix linking on systems without a working stdatomic.h

See merge request tpo/core/tor!896

Merge branch 'style-tweaks' into 'main'

trivial whitespace formatting fixes

See merge request tpo/core/tor!893

Merge branch 'maint-0.4.8'

Merge branch 'tor-gitlab/mr/894' into maint-0.4.8

Merge branch 'gcc-15-warnings-049' into 'main'

Fix GCC warnings from GCC 15 (0.4.9)

See merge request tpo/core/tor!899

Fix another gcc 15 warning in 0.4.9.

Merge branch 'gcc-15-warnings-048' into gcc-15-warnings-049

Make an exception to one of the NONSTRINGs

Older GCCs accept the attribute but don't believe it can appear
before an array.

Add a changes file for 41079.

Fix a new GCC warning about strings.

When we say something like

```
const char foo[3] = "foo";
```

GCC now complains, because there is no space for the terminating NUL.
But we use this construction in a lot of places in our tests to
initialize test digests, keys, and so on.  So to resolve the issue,
we have to mark these strings with a new attribute.

Convince gcc that we will not access an array out of bounds

Fix log message claiming that LibreSSL is OpenSSL

(We only want to check the OpenSSL version when it's actually OpenSSL
we're using.)

Fixes #41077; bug not in any released Tor.

Remove unused client cipher related functions

Follow-up for ddf16d6756 ("Remove support for client cipher classification.")

Fix linking on systems without a working stdatomic.h

Static libraries need to be sorted in a dependency order, with the
most low-level libraries last.  When we added an atomic counter to
util_bug.c in !760, we introduced a dependency from "log" to
"threads".  This didn't show up immediately, since the dependency
only exists when we're emulating atomic operations due to lack of
platform support.

Fixes bug #41076; bugfix on 0.4.9.1-alpha.

Use SSL_CTX_set1_groups_list without checking

It is supported in OpenSSL 1.1.1+ and LibreSSL.

reindent code from previous commit

Allow pow-params to appear multiple times.

Relatedly, we only require that a pow-params line has _1_ argument
(since future versions might have nothing but a scheme).

See torspec#272 for discussion;
also see proposal 356 for why the fingerprinting opportunity here
isn't a big deal.

We probably shouldn't merge this until torspec!390 is in,
just in case we decide _not_ to take this approach.

(I haven't reindented some code here yet, to make the diff easier to read.)

Include message length in conflux_get_circ_bytes_allocation

trivial whitespace formatting fixes

Compute total_ooo_q_bytes correctly.

Closes #41071; bug not in any released Tor.

Un-parenthesize checks wrt connection_edge_process_ordered_relay_cell()

Previously, one of these checks had the parentheses in the wrong
place, given an incorrect result.  The code is hard enough to read
that I refactored both instances to be more obviously right.

I've grepped for similar errors elsewhere, but didn't find them.

Fixed #41070.  Bug not in any released Tor.

Merge branch 'openssl_cleanup_part3' into 'main'

Improve various OpenSSL settings

Closes #41067

See merge request tpo/core/tor!889

Define a DH2048_KEY_LEN.

Merge branch 'ticket41064' into 'main'

Use RELAY_PAYLOAD_SIZE_MIN for some cc calculations

Closes #41064

See merge request tpo/core/tor!890

Merge branch 'bug41043' into 'main'

Avoid crash on failure to read FamilyKeyDir

See merge request tpo/core/tor!886

Use RELAY_PAYLOAD_SIZE_MIN for some cc calculations

These are for the cases where mikeperry and dgoulet had suggestions
on !878.

Closes #41064.

Merge branch '41051_cell_format' into 'main'

Prop359: Add functions to encode/decode new relay message format for CGO

Closes #41051 and #41056

See merge request tpo/core/tor!878

Fix compilation with NSS.

Remove check for unaccelerated ECC

The "enable-ec_nistp_64_gcc_128" option does not appear to be necessary
in any of our supported versions.

Change our TLS finite-field diffie-hellman group to ffdhe2048.

(We should never actually _use_ finite-field Diffie-Hellman
with TLS.)

Update client cipher list to match current firefox

(Shelikhoo says that this countermeasure is still likely to be
helpful for some users, and so we might as well keep it.)

Update get_mozillia_ciphers to work with current firefox.

This script is _still_ a complete kludge, and I don't currently propose to
un-kludge it.  With luck, today will be the last day we run it.

Remove attempt to override TLS 1.3 server ciphersuites

This was unnecessary _and_ broken!

It was unnecessary because the default list of TLS 1.3 ciphersuites
has always been pretty reasonable.

It was broken because:
 - SSL_CTX_set_cipher_list only affects the list of TLS 1.2 ciphersuites.
 - There have _never_ been a set of macros  named TLS1_3_TXT_*
   in any openssl version, as far as I can tell.

Remove check and test for SSL_CIPHER_find

Nothing uses it any more.

Stop detecting HKDF: Our supported OpenSSL versions always have it

Stop detecting SSL_get_client_ciphers: we enver use it.

OpenSSL: Require TLS ≥ 1.2

TLS 1.2 was added in OpenSSL version 1.0.1,
which was our minimal supported openssl version for a long time:
so we can be sure that all clients and relays have it.

(I'd like to require TLS 1.3, but that would break everybody
who built with 1.0.1.)

Part of #41067.

openssl: Use TLS_method unconditionally.

Every version of openssl/libressl we support has this.