Further separation of CMAC per-message state from subkeys.

Revert move of cmac128_ctx index

New struct cmac128_key.

Mention deletion of des-compat.h in NEWS

Delete old libdes/openssl compatibility interface.

NEWS update for Nettle-3.5.

ChangeLog entry for EPILOGUE fix.

Add missing EPILOGUEs in assembly files

tools/nettle-pbkdf2.c: Check strdup return value.

Redefine struct aes_ctx as a union of key-size specific contexts.

Rearrange cmac's block_mulx, make it closer to xts_shift.

* xts.c (xts_shift): Arrange with a single write to u64[1].
* cmac.c (block_mulx): Rewrite to work in the same way as
xts_shift, with 64-bit operations. XTS and CMAC use opposite
endianness, but otherwise, these two functions are identical.

Update docs for xts-aes

The structs are named xts_aes*_key, not xts_aes*_ctx.

ChangeLog entries for XTS support.

Recode xts_shift based on endianess

This creates two implementations of xts_shift, one for little endian and
one for big endian. This way we avoid copies to additional variables and
inefficient byteswapping on platforms that do not have dedicated
instructions.

Signed-off-by: Simo Sorce <simo@redhat.com>

Inline ciphertext stealing

This avoids copying and may be somewhat more readable without the need
for so much explanation.

Signed-off-by: Simo Sorce <simo@redhat.com>

Add support for XTS encryption mode

XEX encryption mode with tweak and ciphertext stealing (XTS) is
standardized in IEEE 1619 and generally used for storage devices.

Signed-off-by: Simo Sorce <simo@redhat.com>

Move block buffer last in hash context structs.

Merge branch 'delete-nettle-stdint-h' into master

.gitlab-ci.yml: Add -std=c89 and -DNDEBUG builds.

examples: Delete eratosthenes from TARGETS, left over from earlier change.

fat-arm.c: Fix declarations of chacha_core functions.

ChangeLog entries for previous change.

Add --enable-fat support for arm neon chacha20

On BCM2837B0 (Cortex-A53) @1.4GHz (Raspberry Pi 3B+),
Before:
`gnutls-cli --benchmark-ciphers`
       CHACHA20-POLY1305 (16384) 51.54 MB/sec
`gnutls-cli --benchmark-tls-ciphers`:
       ECDHE_RSA_CHACHA20_POLY1305 (payload 1400)  21.31 MB/sec
       ECDHE_RSA_CHACHA20_POLY1305 (payload 15360)  24.60 MB/sec
`nettle-benchmark`
 chacha     encrypt   71.90
 chacha     decrypt   71.89
chacha_poly1305     encrypt   48.17
chacha_poly1305     decrypt   48.17
chacha_poly1305      update  146.03

After:
`gnutls-cli --benchmark-ciphers`
       CHACHA20-POLY1305 (16384) 68.44 MB/sec
`gnutls-cli --benchmark-tls-ciphers`:
       ECDHE_RSA_CHACHA20_POLY1305 (payload 1400) 27.25 MB/sec
       ECDHE_RSA_CHACHA20_POLY1305 (payload 15360) 32.41 MB/sec
`nettle-benchmark`
 chacha     encrypt  106.00
 chacha     decrypt  105.94
chacha_poly1305     encrypt   65.94
chacha_poly1305     decrypt   65.96
chacha_poly1305      update  175.24

Update NEWS for Nettle-3.5.

.gitlab-ci.yml: Use ./bootstrap in gnutls build.

eccdata: More asserts in ecc_pippenger_precompute.

.gitlab-ci.yml: updated to new images by gnutls

Signed-off-by: Nikos Mavrogiannopoulos <nmav@redhat.com>

Delete eratosthenseprogram

tests: Fix assert call with side effects.

(cherry picked from commit 73d3c6d5586cc0fd81eab081078144d621de07b4)

test: Use %u and corresponding cast, when printing bit sizes.

nettle-benchmark: Add volatile to inline asm.

Add missing include of sha2-internal.h.

Delete nettle-stdint.h

eccdata: Add assert.

In openssl benchmarks, use RSA_generate_key_ex.

eccdata: Check that table size is at least 2.

Intended to silence warning from the clang static analyzer.

Bump version number and sonames, for Nettle-3.5

Delete obsolete TODO file

New header file pkcs1-internal.h

Merge branch 'release-3.4-fixes' into master

Fix compilation with gcc -std=c89

Fix accidental use of C99 for loop.

* rsa-sign-tr.c (sec_equal): Fix accidental use of C99 for loop.
Reported by Andreas Gustafsson.
* testsuite/rsa-sec-decrypt-test.c (test_main): Likewise.

Note release of Nettle-3.4.1.

Update NEWS file for 3.4.1.

Mention dependency on GMP-6, and RSA performance regression.

Update configure check to require GMP-6.0.0 or later.

Rewrite pkcs1_decrypt as a wrapper around _pkcs1_sec_decrypt_variable.

* testsuite/rsa-encrypt-test.c (test_main): Fix allocation of
decrypted storage. Update test of rsa_decrypt, to allow clobbering
of all of the passed in message area.

Add rsa-internal.h to distributed headers.

Patch from Simo Sorce.

rsa-internal.h: Add include of rsa.h.

Describe RSA improvements in NEWS.

Rewrote _rsa_sec_compute_root, for clarity.

Use new local helper functions, with their own itch functions.

rsa-compute-root-test: Fix qsize. Try more keys.

Update mini-gmp version for _rsa_sec_compute_root_tr rename.

Renamed rsa-sec-compute-root-test --> rsa-compute-root-test.

cnd_mpn_zero: Use a volatile-declared mask variable.

Move decl. of rsa_sec_compute_root_tr to internal header.

Also renamed with leading underscore, and updated all callers.

Switch rsa_compute_root to use side-channel safe variant

ChangeLog for previous change.

Randomzed testing of rsa-sec-compute-root

Signed-off-by: Simo Sorce <simo@redhat.com>

testutils.c: Fix high bits of the mpz_urandomb used with mini-gmp.

ChangeLog for previous change.

Catch bad private keys early on.

Use NETTLE_OCTET_SIZE_TO_LIMB_SIZE.

ChangeLog for previous change.

Use side-channel silent pkcs1 in rsa_decrypt_tr

Signed-off-by: Simo Sorce <simo@redhat.com>

ChangeLog entry, and minor comment fixes

Add variable len pkcs1-sec decoding function

add a side-channel silent pkcs1 decoding function for use in older
APIs.

Signed-off-by: Simo Sorce <simo@redhat.com>

Tweak valgrind marking is rsa_sec_decrypt tests.

* testsuite/rsa-sec-decrypt-test.c (rsa_decrypt_for_test): Tweak
valgrind marking, and document potential leakage of lowest and
highest bits of p and q.

Avoid calls to mpz_sizeinbase on RSA private key.

* rsa-sec-compute-root.c (_rsa_sec_compute_root): Avoid calls to
mpz_sizeinbase, since that potentially leaks most significant bits
of private key parameters a and b.

ChangeLog for previous change.

Unit test for rsa_sec_decyrpt

Signed-off-by: Simo Sorce <simo@redhat.com>

ChangeLog for previous change.

Add rsa_sec_decrypt as side-channel silent variant

Use side-channel silent RSA root function as well as PKCS1 padding
functions.
This variant accepts only a fixed length message, and returns error
if the pkcs1 padding returns a different length message.
The buffer is always left unchanged on error so that a TLS
implementation can pre-initialize it with a random key to use on
decoding error.

Signed-off-by: Simo Sorce <simo@redhat.com>

pkcs1-sec-decrypt-test.c: Fix valgrind marking of return value.

ChangeLog for previous change.

Unit test for pkcs1-sec-decrypt

Signed-off-by: Simo Sorce <simo@redhat.com>

ChangeLog for previous change.

Add mpn_get_base256

Converts limbs to uint8_t buffer without conditional jumps.

Signed-off-by: Simo Sorce <simo@redhat.com>

ChangeLog for previous change.

Add side-channel silent pkcs1 decoding function

Signed-off-by: Simo Sorce <simo@redhat.com>

ChangeLog for previous change.

Add a side-channel silent conditional memcpy

Originally from Niels, with minor changes to avoid compiler warnings.

ChangeLog entries, minor comment and spacing fixes

Use side-channel silent root for rsa signatures

Signed-off-by: Simo Sorce <simo@redhat.com>

ChangeLog entry and comment fixes.

Add side-channel silent RSA root function

Signed-off-by: Simo Sorce <simo@redhat.com>

ChangeLog for previous change.

Add convenience macro for size calculation

Returns number of limbs needed to contain N bytes long number.

Signed-off-by: Simo Sorce <simo@redhat.com>

Initial NEWS entries for nettle-3.4.1.

Bump version numbers for nettle-3.4.1.

* configure.ac: Bump package version to 3.4.1.
(LIBNETTLE_MINOR): Bump library version to 6.5.
(LIBHOGWEED_MINOR): Bump library version to 4.5.

Add "fall through" comment.

(cherry picked from commit c4a814d77d475c474182e3e7051e4ac304e3c9e8)

Copy .gitlab-ci.yml from master branch

Fix quoting in autoconf ifunc test

* aclocal.m4 (NETTLE_CHECK_IFUNC): fix quoting so that
  AC_LINK_IFELSE/AC_TRY_LINK is defined outside of this test.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>
(cherry picked from commit e07e5605b3da65e07c7fe5fcf1ce3b050595d1b5)

testsuite/symbols-test: Exclude ____chkstk_darwin symbols.

These are produced by Apple's Xcode 10 compiler.

(cherry picked from commit f3e2607fce0c6da41eb1d9ee89b9535d4abec7be)

Fix link failure for pss-mgf1-test, in non-hogweed builds.

(cherry picked from commit c5fc9131b13d53b07b7aa371f30df8621cf2abb8)

tools/pkcs1-conv.c: Add missing break statements.

(cherry picked from commit 20c7ba59e2cb54f1bec7d679dbdbe00c42bdd190)

Avoid cast between incompatible function types.

(cherry picked from commit 71f68cc45a269b206fc996309ef026f39d5af3df)

Add missing includes of stdlib.h.

(cherry picked from commit 7b4d6de8044e73849c2f24ce0322ae3fc48765a6)

des-compat.c: Change length argument type from uint32_t to size_t.

(cherry picked from commit f3bbc422efed4149b5661e064360ee678b23113a)

Add benchmarking of RSA signatures with blinding

ctr16: fix encryption if src == dst