Drop length argument from sm3_write_digest.

Add typedef nettle_output_func.

Delete length argument to nettle_hash_digest_func.

Delete all code and docs for dsa-compat.h.

Change type of the context argument for ccm_aes*_message.

Used to be a
  struct ccm_aes{128,192,256}_ctx *
most of which was unused. Changed to instead take just a
  const struct aes{128,192,256}_ctx *

Delete deprecated unsigned long member of union nettle_block16.

Delete obsolete and deprecated _rsa_blind and _rsa_unblind functions.

Delete unneeded define of _NETTLE_ATTRIBUTE_DEPRECATED in aes and gcm tests.

Merge branch 'delete-old-aes'.

Delete old AES api using the same struct aes_ctx for all key sizes.

Delete incomplete and obsolete openpgp code.

Delete MD5 functions compatible with RFC 1321.

Bump version number for nettle-4.0, to prepare for breaking changes.

ChangeLog entry for lxvb16x fix.

Avoid using lxvb16x instruction in powerpc64/p8 files.

Avoid using stxv/lxv instructions in powerpc64/p8 files.

Fix copy-paste error in docs for ccm_aes256_decrypt_message.

Add ChangeLog entry for Nettle-3.10.1 relase.

Add UNUSED attribute for mark_bytes_undefined and mark_bytes_defined (testutils).

NEWS entries for nettle-3.10.1.

Update version numbers for nettle-3.10.1.

Fix problem with configure invocation of valgrind hanging if msan is enabled.

Update run-tests shell usage, fixing all shellcheck warnings.

ChangeLog entry for elf_aux_info fix

powerpc64/sha256: fix loading overreads by loading less and shifting

Originally, the 16 input words were loaded with 16 individual vector load
instructions. This has a side effect where the last three loads would
overread 1/2/3 extra words.

Fix the overread by replacing unnecessary overlapped reads with shifts.
As a consequence, the constant registers for 4,8,12 can be removed, and
also gain about 1~2% in performance.

Signed-off-by: Eric Richter <erichte@linux.ibm.com>

Simplify fat logic for freebsd on ppc.

Add support for elf_aux_info() on OpenBSD

Signed-off-by: Brad Smith <brad@comstyle.com>

powerpc64/sha256: adjust stack offset for storing non-volatile registers

According to the ABI, the stack pointer is quadword aligned, so starting
the stack storage at offset -8, may cause the return address to be
stepped on. Adjusting to use -16 as the starting point, which also
matches other POWER assembly code.

Signed-off-by: Eric Richter <erichte@linux.ibm.com>

powerpc64: remove use of m4_unquote in the load step for sha256

By passing in the constant offset value into the LOAD macro, the use of
m4_unquote to calculate the correct constant GPR can be avoided,
improving readability.

Signed-off-by: Eric Richter <erichte@linux.ibm.com>

New test_xof function, use for tests of shake128 and shake256.

Improve hmac tests, delete HMAC_TEST macro.

Add nettle_mac structs for gosthash94 and gosthash94cp.

Add ChangeLog entry for nettle-3.10 release.

Fixes for running tests in wine.

Fix distribution of side channel tests.

Update NEWS

ChangeLog entry for previous change.

arm64: CPU feature detection for Android

getauxval() is available on Android since API 18.
https://developer.android.com/ndk/guides/cpu-features#features_using_libcs_getauxval3

Minor comment fix.

ChangeLog and AUTHORS update for ppc64 sha256.

powerpc64: Add optimized assembly for sha256-compress-n

This patch introduces an optimized powerpc64 assembly implementation for
sha256-compress-n. This takes advantage of the vshasigma instruction, as
well as unrolling loops to best take advantage of running instructions
in parallel.

The following data was captured on a POWER 10 LPAR @ ~3.896GHz

Current C implementation:
         Algorithm         mode Mbyte/s
            sha256       update  280.97
       hmac-sha256     64 bytes   80.81
       hmac-sha256    256 bytes  170.50
       hmac-sha256   1024 bytes  241.92
       hmac-sha256   4096 bytes  268.54
       hmac-sha256   single msg  276.16

With optimized assembly:
         Algorithm         mode Mbyte/s
            sha256       update  461.45
       hmac-sha256     64 bytes  123.88
       hmac-sha256    256 bytes  268.81
       hmac-sha256   1024 bytes  390.91
       hmac-sha256   4096 bytes  438.02
       hmac-sha256   single msg  453.83

Signed-off-by: Eric Richter <erichte@linux.ibm.com>

Avoid warnings for assert_maybe.

Update config.guess and config.sub to 2024-01-01 versions.

Update version numbers for nettle-3.10.

Unify handing of message hash for dsa and ecdsa, using mpn interface.

Use NETTLE_OCTET_SIZE_TO_LIMB_SIZE macro.

ci: Update .gitlab-ci.yml job tags.

See
https://docs.gitlab.com/ee/update/deprecations.html#removal-of-tags-from-small-saas-runners-on-linux,
and corresponding gnutls update
https://gitlab.com/gnutls/gnutls/-/commit/642c39ba9ae53ce427344d884eb3808f042b90e4.

ppc64: Reduce register usage in gcm-aes assembly.

More NEWS entries for nettle-3.10.

Spelling fix.

Update of AUTHORS file.

Merge branch 'ppc64-gcm-aes-rebased'

ChangeLog entries for ppc64 gcm-aes.

Update copyright headers.

Fix filenames in two ecc-curve25519-modp.asm files.

Update documentation for SHAKE.

Signed-off-by: Daiki Ueno <dueno@redhat.com>

ppc64: Fix big-endian case of byte swapping for gcm-aes.

Fix counter update, with proper 32-bit wraparound.

Rework no-op version of _gcm_aes_encrypt and _gcm_aes_decrypt.

For fat builds, move definition to fat-ppc.c. For builds where the
functions are unavailable, define as macros returning zero, and rely
on the compiler to eliminate the code that uses the return value.

ppc64: Use new gcm-aes assembly in non-fat builds with --enable-power-crypto-ext.

Add gcm-internal.h, declaring _gcm_aes_encrypt and _gcm_aes_decrypt.

Change type of the rounds argument from size_t to unsigned.

ppc64: New "stitched" implementation of GCM-AES.

Merge branch 'sha3-shake-updates'

Let umac and bcrypt share bswap helper function.

Add sha512_224 and sha512_256 to nettle_hashes.

ChangeLog entries for shake128.

testsuite/Makefile.in (TS_NETTLE_SOURCES): Add shake128-test.c.

Add missing include of string.h.

Merge branch 'wip/dueno/shake128' into 'sha3-shake-updates'

Implement SHAKE128

See merge request nettle/nettle!63

Implement SHAKE128

Signed-off-by: Daiki Ueno <dueno@redhat.com>

sha3-shake: Don't hard-code block size

Signed-off-by: Daiki Ueno <dueno@redhat.com>

Add another test for GCM counter wrap around, with larger message

Use one's complement of index to indicate shake is initialized.

Generalize shake functions, and move to sha3-shake.c.

Add assert in _nettle_sha3_update.

Make shake256 call sha3_permute before, not after, generating output.

Simplify _nettle_sha3_update by using MD_FILL_OR_RETURN_INDEX.

Add test for GCM counter wrap around.

Update of powerpc64/README.

ChangeLog for sha3_256_shake_output.

Additional API for SHAKE streaming read.

This adds an alternative function sha3_256_shake_output in the
SHAKE256 support, which enables to read output multiple times in an
incremental manner.

Signed-off-by: Daiki Ueno <dueno@redhat.com>

Test aead update function with data split in pieces.

Fix ubsan issue affecting calls to _nettle_poly1305_update with input
0, NULL.

Fix ubsan issue in hash update functions.

Skip sc-rsa-oaep-encrypt-test when compiled with mini-gmp.

ChangeLog entries for RSA OAEP functions.

Clarify message length limitation in RSA-OAEP

Signed-off-by: Daiki Ueno <dueno@redhat.com>

Merge branch 'wip/dueno/rsa-oaep' into 'master'

Implement RSA-OAEP encryption/decryption

See merge request nettle/nettle!60

Implement encryption/decryption RSA-OAEP

Modified-by: Daiki Ueno <dueno@redhat.com>

ChangeLog entries for powerpc64 aes decrypt changes.

ppc64: Add a nop _aes_invert, to get decrypt subkeys compatible with vncipher.

Merge branch 'aes-noreverse-decrypt-subkeys' into master

ppc64: Improve register usage for aes code.

ChangeLog updates for aes decrypt refactoring.

Update arm64 aes decrypt.

Update powerpc64 aes decrypt.

Update arm (32-bit) aes decrypt.

Change _nettle_aes_decrypt to pass pointer to last subkey.

Update x86 (32-bit) aes decrypt.

Update sparc64 aes decrypt.

Change order of aes decryption subkeys, update C and x86_64 implementations.

Merge branch 'delete-sparc32' into master