Mark w member of union nettle_block16 as deprecated.

gcm: Use uint64_t member of nettle_block16.

eax: Use uint64_t member of nettle_block16.

ChangeLog for previous change

Move MAC testing code to generic place from cmac-test

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

Add tests that exercise public key checks for ECDH

When performing ECDH the peer provided public key needs to be checked
for validity. FIPS requires basic tests be performed to insure the
provided points are in fact on the selected curve. Those checks already
exists in the ecc_point_set() function.
Add an explicit test that checks the boundaries so that any regression
in checks will be caught.

Signed-off-by: Simo Sorce <simo@redhat.com>

Merge branch 'siv-mode' into master-updates

Fixes for Nettle 3.5.1

ChangeLog entry for 3.5 release

Update config.guess and config.sub

NEWS for 3.5. Mention deprecations in intro.

Fix some typos in the documentation.

Merge branch 'master' into siv-mode

The cmac changes on master breaks the previous version of the siv
code. Now updated, and improved to use const context arguments for the
_message functions.

Fix doc of cmac context structs.

Further separation of CMAC per-message state from subkeys.

Revert move of cmac128_ctx index

New struct cmac128_key.

Mention deletion of des-compat.h in NEWS

New SIV key size constants. Use in tests.

Require non-empty nonce for SIV mode.

Delete old libdes/openssl compatibility interface.

NEWS update for Nettle-3.5.

SIV-CMAC mode, based on patch by Nikos Mavrogiannopoulos

This AEAD algorithm provides a way to make nonce-reuse a not critical
issue. That is particular useful to stateless servers that cannot
ensure that the nonce will not repeat. This cipher is used by
draft-ietf-ntp-using-nts-for-ntp-17.

New header file cmac-internal.h

Move and rename block_mulx --> _cmac128_block_mulx.

ChangeLog entry for EPILOGUE fix.

Add missing EPILOGUEs in assembly files

tools/nettle-pbkdf2.c: Check strdup return value.

Redefine struct aes_ctx as a union of key-size specific contexts.

Rearrange cmac's block_mulx, make it closer to xts_shift.

* xts.c (xts_shift): Arrange with a single write to u64[1].
* cmac.c (block_mulx): Rewrite to work in the same way as
xts_shift, with 64-bit operations. XTS and CMAC use opposite
endianness, but otherwise, these two functions are identical.

Update docs for xts-aes

The structs are named xts_aes*_key, not xts_aes*_ctx.

ChangeLog entries for XTS support.

Recode xts_shift based on endianess

This creates two implementations of xts_shift, one for little endian and
one for big endian. This way we avoid copies to additional variables and
inefficient byteswapping on platforms that do not have dedicated
instructions.

Signed-off-by: Simo Sorce <simo@redhat.com>

Inline ciphertext stealing

This avoids copying and may be somewhat more readable without the need
for so much explanation.

Signed-off-by: Simo Sorce <simo@redhat.com>

Add support for XTS encryption mode

XEX encryption mode with tweak and ciphertext stealing (XTS) is
standardized in IEEE 1619 and generally used for storage devices.

Signed-off-by: Simo Sorce <simo@redhat.com>

Move block buffer last in hash context structs.

Merge branch 'delete-nettle-stdint-h' into master

.gitlab-ci.yml: Add -std=c89 and -DNDEBUG builds.

examples: Delete eratosthenes from TARGETS, left over from earlier change.

fat-arm.c: Fix declarations of chacha_core functions.

ChangeLog entries for previous change.

Add --enable-fat support for arm neon chacha20

On BCM2837B0 (Cortex-A53) @1.4GHz (Raspberry Pi 3B+),
Before:
`gnutls-cli --benchmark-ciphers`
       CHACHA20-POLY1305 (16384) 51.54 MB/sec
`gnutls-cli --benchmark-tls-ciphers`:
       ECDHE_RSA_CHACHA20_POLY1305 (payload 1400)  21.31 MB/sec
       ECDHE_RSA_CHACHA20_POLY1305 (payload 15360)  24.60 MB/sec
`nettle-benchmark`
 chacha     encrypt   71.90
 chacha     decrypt   71.89
chacha_poly1305     encrypt   48.17
chacha_poly1305     decrypt   48.17
chacha_poly1305      update  146.03

After:
`gnutls-cli --benchmark-ciphers`
       CHACHA20-POLY1305 (16384) 68.44 MB/sec
`gnutls-cli --benchmark-tls-ciphers`:
       ECDHE_RSA_CHACHA20_POLY1305 (payload 1400) 27.25 MB/sec
       ECDHE_RSA_CHACHA20_POLY1305 (payload 15360) 32.41 MB/sec
`nettle-benchmark`
 chacha     encrypt  106.00
 chacha     decrypt  105.94
chacha_poly1305     encrypt   65.94
chacha_poly1305     decrypt   65.96
chacha_poly1305      update  175.24

Update NEWS for Nettle-3.5.

.gitlab-ci.yml: Use ./bootstrap in gnutls build.

eccdata: More asserts in ecc_pippenger_precompute.

.gitlab-ci.yml: updated to new images by gnutls

Signed-off-by: Nikos Mavrogiannopoulos <nmav@redhat.com>

Delete eratosthenseprogram

tests: Fix assert call with side effects.

(cherry picked from commit 73d3c6d5586cc0fd81eab081078144d621de07b4)

test: Use %u and corresponding cast, when printing bit sizes.

nettle-benchmark: Add volatile to inline asm.

Add missing include of sha2-internal.h.

Delete nettle-stdint.h

eccdata: Add assert.

In openssl benchmarks, use RSA_generate_key_ex.

eccdata: Check that table size is at least 2.

Intended to silence warning from the clang static analyzer.

Bump version number and sonames, for Nettle-3.5

Delete obsolete TODO file

New header file pkcs1-internal.h

Merge branch 'release-3.4-fixes' into master

Fix compilation with gcc -std=c89

Fix accidental use of C99 for loop.

* rsa-sign-tr.c (sec_equal): Fix accidental use of C99 for loop.
Reported by Andreas Gustafsson.
* testsuite/rsa-sec-decrypt-test.c (test_main): Likewise.

Note release of Nettle-3.4.1.

Update NEWS file for 3.4.1.

Mention dependency on GMP-6, and RSA performance regression.

Update configure check to require GMP-6.0.0 or later.

Rewrite pkcs1_decrypt as a wrapper around _pkcs1_sec_decrypt_variable.

* testsuite/rsa-encrypt-test.c (test_main): Fix allocation of
decrypted storage. Update test of rsa_decrypt, to allow clobbering
of all of the passed in message area.

Add rsa-internal.h to distributed headers.

Patch from Simo Sorce.

rsa-internal.h: Add include of rsa.h.

Describe RSA improvements in NEWS.

Rewrote _rsa_sec_compute_root, for clarity.

Use new local helper functions, with their own itch functions.

rsa-compute-root-test: Fix qsize. Try more keys.

Update mini-gmp version for _rsa_sec_compute_root_tr rename.

Renamed rsa-sec-compute-root-test --> rsa-compute-root-test.

cnd_mpn_zero: Use a volatile-declared mask variable.

Move decl. of rsa_sec_compute_root_tr to internal header.

Also renamed with leading underscore, and updated all callers.

Switch rsa_compute_root to use side-channel safe variant

ChangeLog for previous change.

Randomzed testing of rsa-sec-compute-root

Signed-off-by: Simo Sorce <simo@redhat.com>

testutils.c: Fix high bits of the mpz_urandomb used with mini-gmp.

ChangeLog for previous change.

Catch bad private keys early on.

Use NETTLE_OCTET_SIZE_TO_LIMB_SIZE.

ChangeLog for previous change.

Use side-channel silent pkcs1 in rsa_decrypt_tr

Signed-off-by: Simo Sorce <simo@redhat.com>

ChangeLog entry, and minor comment fixes

Add variable len pkcs1-sec decoding function

add a side-channel silent pkcs1 decoding function for use in older
APIs.

Signed-off-by: Simo Sorce <simo@redhat.com>

Tweak valgrind marking is rsa_sec_decrypt tests.

* testsuite/rsa-sec-decrypt-test.c (rsa_decrypt_for_test): Tweak
valgrind marking, and document potential leakage of lowest and
highest bits of p and q.

Avoid calls to mpz_sizeinbase on RSA private key.

* rsa-sec-compute-root.c (_rsa_sec_compute_root): Avoid calls to
mpz_sizeinbase, since that potentially leaks most significant bits
of private key parameters a and b.

ChangeLog for previous change.

Unit test for rsa_sec_decyrpt

Signed-off-by: Simo Sorce <simo@redhat.com>

ChangeLog for previous change.

Add rsa_sec_decrypt as side-channel silent variant

Use side-channel silent RSA root function as well as PKCS1 padding
functions.
This variant accepts only a fixed length message, and returns error
if the pkcs1 padding returns a different length message.
The buffer is always left unchanged on error so that a TLS
implementation can pre-initialize it with a random key to use on
decoding error.

Signed-off-by: Simo Sorce <simo@redhat.com>

pkcs1-sec-decrypt-test.c: Fix valgrind marking of return value.

ChangeLog for previous change.

Unit test for pkcs1-sec-decrypt

Signed-off-by: Simo Sorce <simo@redhat.com>

ChangeLog for previous change.

Add mpn_get_base256

Converts limbs to uint8_t buffer without conditional jumps.

Signed-off-by: Simo Sorce <simo@redhat.com>

ChangeLog for previous change.

Add side-channel silent pkcs1 decoding function

Signed-off-by: Simo Sorce <simo@redhat.com>

ChangeLog for previous change.

Add a side-channel silent conditional memcpy

Originally from Niels, with minor changes to avoid compiler warnings.

ChangeLog entries, minor comment and spacing fixes