More checks for null pointers in test_aead, to silent static analyzer.

Fix checks of HAVE_NATIVE_cbc_aes*_encrypt

x86_64: Fat setup for assembly CBC AES.

x86_64: Assembly CBC AES aesni functions.

Add specialized functions for cbc-aes.

Merge branch 'x86_64-aes-refactor' into master

ChangeLog entries for recent contributions.

gitlab-ci: Use mini-gmp for big-endian powerpc64 cross build

gitlab-ci: Explicitly install cross libgmp-dev packages

gitlab-ci: No-assembly cross-build for s390x, to test big-endian

gitlab-ci: Delete mips build

It's no longer a debian release arch, and not supported by the build
images used for cross builds.

Merge branch 's390x-sha1' into 'master'

[S390x] Optimize SHA256 and SHA512 compress functions

This patch optimizes SHA256 and SHA512 compress functions for s390x architecture, the testsuite passes the tests. Benchmark on Z15:
| Algorithm | C | Hardware-accelerated |
| ------ | ------ | ------ |
| SHA265 | 242.76 Mbyte/s | 869.00 Mbyte/s |
| SHA512 | 373.18 Mbyte/s | 1555.21 Mbyte/s |

See merge request nettle/nettle!35

[S390x] Optimize SHA256 and SHA512 compress functions

Merge branch 's390x-sha1' into 'master'

[S390x] Optimize SHA1 compress with fat build support

See merge request nettle/nettle!33

x86_64: New 2-way aesni loop also for aes256

x86_64: Refactor aesni assembly, with specific functions for each key size.

[S390x] Optimize SHA1 compress

Merge branch 'arm64-aes' into 'master'

[AArch64] Optimize AES with fat build support

This patch optimizes AES encrypt/decrypt functions with each key size has its own implementation to load the key expansion just once at function prologue which yields a considerable performance increase over loading the key expansion for every block iteration. The patch also adds fat build support for the AES functions.
`make check` passes all tests. Benchmark of executing `examples/nettle-benchmark`:
| Algorithm | mode | C (Mbyte/s) | OpenSSL (Mbyte/s) | This patch (Mbyte/s) |
| ------ | ------ | ------ | ------ | ------ |
| aes128 | ECB encrypt | 95.01 | 1037.85 | 2579.62 |
| aes128 | ECB decrypt | 93.47 | 1005.15 | 2577.53 |
| aes192 | ECB encrypt | 79.60 | 893.34 | 2205.53 |
| aes192 | ECB decrypt | 78.34 | 889.17 | 2204.41 |
| aes256 | ECB encrypt | 66.64 | 782.21 | 1925.73 |
| aes256 | ECB decrypt | 65.81 | 781.37 | 1925.79 |

See merge request nettle/nettle!34

[AArch64] Utilize AES 1-block macros in 4-block macros

[AArch64] Load AES keys at function prologue

ChangeLog entries for previous change.

Merge branch 'mamonet/nettle-s390x-memxor' into master-updates

[AArch64] Move AES round macros to machine.m4

[AArch64] Optimize AES with fat build support

Merge branch 's390x' into master-updates

[S390x] Optimize memxor3 using vector facility with fat support

[S390x] Optimize memxor

Add fat-s390x.c to OPT_SOURCES.

Fix name of s390x/fat directory in make dist target.

Merge branch 's390x-fat' into 's390x'

[S390x] Replace inline assembly, fix fat filenames and add FAT_TEST_LIST

See merge request nettle/nettle!32

[S390x] add FAT_TEST_LIST variable to enable fat build testing

[S390x] Replace inline assembly and fix fat filenames

Merge branch 's390x-fat' into 's390x'

[S390x] Fat build support for AES and GHASH

See merge request nettle/nettle!31

[S390x] Fat build support for AES and GHASH

Merge branch 'arm64-sha1' into master-updates

arm64: Add sha2 to aarch64 fat tests.

ChangeLog entry for arm64 sha256..

Merge branch 's390x-gcm' into 's390x'

[S390x] Optimize GHASH

See merge request nettle/nettle!26

Merge branch 'arm64-sha' into 'arm64-sha1'

[AArch64] Fat build support for SHA-256 compress

See merge request nettle/nettle!29

[AArch64] Fat build support for SHA-256 compress

[S390x] wipe parameter block content and leftover bytes of data from stack

[S390x] wipe hash subkey from stack once GHASH operation completed

Merge branch 'arm64-sha' into 'arm64-sha1'

[AArch64] Optimize SHA-256 compress

See merge request nettle/nettle!28

[AArch64] Optimize SHA-256 compress

[S390x] Use uppercase for macro names in machine.m4 and enhance the documentation for GHASH implementation

Add sha1 to aarch64 fat tests.

ChangeLog entry for previous change.

arm64: Fat build support for SHA1 compress

[S390x] Update configure.ac and Makefile.in

[S390x] Implement alloc_stack and free_stack macros in machine.m4

[S390x] Optimize GHASH

Update Nettle-3.7.3 NEWS.

(cherry picked from commit 52bacacaf4339fd78289f58919732f1f35bea1c1)

Add input check to rsa_decrypt family of functions.

(cherry picked from commit 0ad0b5df315665250dfdaa4a1e087f4799edaefe)

Change _rsa_sec_compute_root_tr to take a fix input size.

Improves consistency with _rsa_sec_compute_root, and fixes zero-input bug.

(cherry picked from commit 485b5e2820a057e873b1ba812fdb39cae4adf98c)

Fix comment typos.

(cherry picked from commit 0a714543136de97c7fd34f1c6ac1592dc5036879)

Add check that message length to _pkcs1_sec_decrypt is valid.

* pkcs1-sec-decrypt.c (_pkcs1_sec_decrypt): Check that message
length is valid, for given key size.
* testsuite/rsa-sec-decrypt-test.c (test_main): Add test cases for
calls to rsa_sec_decrypt specifying a too large message length.

(cherry picked from commit 7616541e6eff73353bf682c62e3a68e4fe696707)

ChangeLog entry for arm64 sha1.

aarch64: Optimize SHA1 Compress

This patch optimizes SHA1 compress function for arm64 architecture by
taking advantage of SHA-1 instructions of Armv8 crypto extension.
The SHA-1 instructions:
SHA1C: SHA1 hash update (choose)
SHA1H: SHA1 fixed rotate
SHA1M: SHA1 hash update (majority)
SHA1P: SHA1 hash update (parity)
SHA1SU0: SHA1 schedule update 0
SHA1SU1: SHA1 schedule update 1

Benchmark on gcc117 instance of CFarm before applying the patch:
         Algorithm         mode Mbyte/s
         sha1            update  214.16
         openssl sha1    update  849.44
         hmac-sha1     64 bytes   61.69
         hmac-sha1    256 bytes  131.50
         hmac-sha1   1024 bytes  185.20
         hmac-sha1   4096 bytes  204.55
         hmac-sha1   single msg  210.97

Benchmark on gcc117 instance of CFarm after applying the patch:
         Algorithm         mode Mbyte/s
              sha1       update  800.80
      openssl sha1       update  849.17
         hmac-sha1     64 bytes  166.10
         hmac-sha1    256 bytes  409.24
         hmac-sha1   1024 bytes  636.98
         hmac-sha1   4096 bytes  739.20
         hmac-sha1   single msg  775.67

Fix C++-style comments

ChangeLog entries for aes keywrap.

Implement aes key wrap and key unwrap (RFC 3394)

gitlab-ci: Explicitly pass --enable-s390x-msa to s390x build.

Fix comment typo.

Reorder and indent asm_replace_list.

ChangeLog entry for new s390x AES implementation.

Merge branch 's390x' into 's390x'

[S390x] Basic AES optimization

See merge request nettle/nettle!23

Append s390x-specific asm file names to asm_replace_list in configure.ac

[S390x] Basic AES-192 and AES-256 optimizations

ppc: Fix macro name SWAP_MASK to use all uppercase.

Update config.guess and config.sub.

[S390x] Basic AES-128 optimization

Split aes-encrypt.c and aes-decrypt.c into one file per key size.

Move aes128_encrypt and similar functions to their own files. To
make it easier for assembly implementations to override specific
AES variants.
* aes-decrypt.c: Split file, keep only legacy function aes_decrypt here.
* aes-decrypt-table.c (_nettle_aes_decrypt_table): New file, moved
table here.
* aes128-decrypt.c (aes128_decrypt): New file, moved function here.
* aes192-decrypt.c (aes192_decrypt): New file, moved function here.
* aes256-decrypt.c (aes256_decrypt): New file, moved function here.
* aes-encrypt.c: Split file, keep only legacy function aes_encrypt here.
* aes128-encrypt.c (aes128_encrypt): New file, moved function here.
* aes192-encrypt.c (aes192_encrypt): New file, moved function here.
* aes256-encrypt.c (aes256_encrypt): New file, moved function here.
* Makefile.in (nettle_SOURCES): Add new files.

Initial config for s390x, contributed by Mamone Tarsha.

* configure.ac: Add flag --enable-s390x-msa-x1. Add ABI check for
s390x, and setup asm_path.
* Makefile.in (distdir): Add s390x directory.
* s390x/README: New file

Merge branch 'wip/ueno/maybe-uninit' into 'master'

nettle-benchmark: avoid -Wmaybe-uninitialized warnings

See merge request nettle/nettle!22

nettle-benchmark: avoid -Wmaybe-uninitialized warnings

Otherwise GCC 11 prints the following warning:

  nettle-benchmark.c: In function ‘time_umac’:
  ../umac.h:42:25: warning: ‘key’ may be used uninitialized [-Wmaybe-uninitialized]
     42 | #define umac32_set_key  nettle_umac32_set_key
  nettle-benchmark.c:395:3: note: in expansion of macro ‘umac32_set_key’
    395 |   umac32_set_key (&ctx32, key);
        |   ^~~~~~~~~~~~~~

Although this should be harmless as it's in the benchmarking code and
the content of the key doesn't matter, it wouldn't hurt to explicitly
initialize it.  This patch also uses predefined constants for key
sizes.

gitlab-ci: Fix only: variables: check, and quote variables.

gitlab-ci: Use pipeline variable S390X_ACCOUNT

And enable remote/s390x job only when needed variables are set.

gitlab-ci: Add remote tests for s390x.

Add forward declaration of struct aes_table.

ChangeLog entries for arm64 fat build.

Merge arm64 fat support into master.

ChangeLog entry for nettle-3.7.2 release

NEWS entries for 3.7.2.

(cherry picked from commit 7a5f86321f4c67d7219aa87ea4e2ddca677d7378)

[AArch64] Support fat build for GCM optimization

[AArch64] Use m4 macros in gcm-hash.asm and add documentation comments

[AArch64] Update README to be on par with other architectures

Fix canonical reduction in gostdsa_vko.

* gostdsa-vko.c (gostdsa_vko): Use ecc_mod_mul_canonical to
compute the scalar used for ecc multiplication.

Similar fix for eddsa.

* eddsa-hash.c (_eddsa_hash): Ensure result is canonically
reduced. Two of the three call sites need that.

Analogous fix to ecc_gostdsa_verify.

* ecc-gostdsa-verify.c (ecc_gostdsa_verify): Use ecc_mod_mul_canonical
to compute the scalars used for ecc multiplication.

Ensure ecdsa_sign output is canonically reduced.

* ecc-ecdsa-sign.c (ecc_ecdsa_sign): Ensure s output is reduced to
canonical range.

Fix bug in ecc_ecdsa_verify.

* ecc-ecdsa-verify.c (ecc_ecdsa_verify): Use ecc_mod_mul_canonical
to compute the scalars used for ecc multiplication.
* testsuite/ecdsa-verify-test.c (test_main): Add test case that
triggers an assert on 64-bit platforms, without above fix.
* testsuite/ecdsa-sign-test.c (test_main): Test case generating
the same signature.

Use ecc_mod_mul_canonical for point comparison.

* eddsa-verify.c (equal_h): Use ecc_mod_mul_canonical.

New functions ecc_mod_mul_canonical and ecc_mod_sqr_canonical.

* ecc-mod-arith.c (ecc_mod_mul_canonical, ecc_mod_sqr_canonical):
New functions.
* ecc-internal.h: Declare and document new functions.
* curve448-eh-to-x.c (curve448_eh_to_x): Use ecc_mod_sqr_canonical.
* curve25519-eh-to-x.c (curve25519_eh_to_x): Use ecc_mod_mul_canonical.
* ecc-eh-to-a.c (ecc_eh_to_a): Likewise.
* ecc-j-to-a.c (ecc_j_to_a): Likewise.
* ecc-mul-m.c (ecc_mul_m): Likewise.

Merge branch 'arm64'

ChangeLog entry for 3.7.1 release.

Delete benchmarking of openssl arcfour and corresponding glue code

NEWS entries for Nettle-3.7.1.

Increase version numbers, for Nettle-3.7.1.

* configure.ac: Bump package version, to 3.7.1.
(LIBNETTLE_MINOR): Bump minor number, to 8.2.
(LIBHOGWEED_MINOR): Bump minor number, to 6.2.

Fix chacha counter update for _4core variants.

Improve chacha test coverage.