eccdata: Generate both redc and non-redc versions of ecc_sqrt_z.

Implement secp224r1 square root, based on patch by Wim Lewis.

New function ecc_mod_equal_p, based on patch by Wim Lewis.

New function ecc_mod_pow_127m1, used for ecc_secp224r1_inv.

Implement secp521r1 square root, based on patch by Wim Lewis.

Implement secp384r1 square root, based on patch by Wim Lewis.

Implement secp256r1 square root, based on patch by Wim Lewis.

Implement secp192r1 square root, based on patch by Wim Lewis.

Renamed sqrt_itch --> sqrt_ratio_itch, and curve25519 and curve448 sqrt functions.

Rename ecc sqrt --> sqrt_ratio.

* ecc-internal.h (ecc_mod_sqrt_ratio_func): Renamed typedef...
(ecc_mod_sqrt_func): ... from old name.
(struct ecc_modulo): Renamed corresponding function pointer to
sqrt_ratio. Updated all uses.

Merge branch 'secp256r1-mod'

Merge branch 's390x-sha1' into 'master'

[S390x] Optimize SHA3 permute using vector facility

This patch optimizes SHA3 permute function by taking advantage of supported vector facility. Vectorizing SHA3 permute fits more than applying SHA3 hardware-accelerator for s390x architecture in terms of implementing the actual permute procedure only rather than executing unneeded extra procedures which are handled by other functions in nettle library. Applying SHA3 hardware-accelerator in a previous patch yielded 12% performance boost while this patch has ~105% performance increase for SHA3 functions.
The optimized core follows the same optimization procedure that used in SHA3 permute implementation for x86_64 architecture.

| Algorithm | C (Mbyte/s) | Vectorized (Mbyte/s) |
| ------ | ------ | ------ |
| sha3_224 | 235.08 | 483.41 |
| sha3_256 | 226.15 | 460.68 |
| sha3_384 | 172.90 | 357.15 |
| sha3_512 | 120.46 | 243.96 |

See merge request nettle/nettle!36

New function ecc_mod_zero_p.

* ecc-mod-arith.c (ecc_mod_zero_p): New function.
* ecc-curve25519.c (ecc_curve25519_zero_p): Use it.
* ecc-curve448.c (ecc_curve448_zero_p): Deleted, usage replaced
with ecc_mod_zero_p.
* testsuite/ecc-modinv-test.c (mod_eq_p): Rewritten to use
ecc_mod_zero_p, and require that one input is canonically reduced.
(zero_p): Deleted, usage replaced with ecc_mod_zero_p.

[S390x] Improvements on documentation and instruction set usage for SHA3 permute

New function sec_zero_p.

[S390x] Remove lgr instructions by using xgrk instead of xgr instruction

Rewrite of secp256r1 mod functions.

Extend ecc-mod-test, with improved coverage of corner cases.

[S390x] Optimize SHA3 permute using vector facility

Change "signature on digest" --> "of digest".

Doc fixes.

Add documented types to the index. Clarify docs on dsa_signature,
ecc_point_clear and ecc_scalar_clear. Fix typo in docs of ecdsa_sign.

Delete a few old FIXME comments

Use @url and https consistently for references. Fix overlong lines.

Use texi2pdf to generate the pdf manual

ChangeLog entries for doc structure improvements.

Divide Cipher section into menu and nodes, and some other minor fixes.

Delete explicit node pointers in nettle.texinfo

Instead, rely on makeinfo's automatic pointer creation.

Change CBC-AES interface

* cbc.h (cbc_aes128_encrypt, cbc_aes192_encrypt)
(cbc_aes256_encrypt): Change interface, take cipher context
pointer and iv as separate arguments. Update C and x86_64
implementations and corresponding glue code.

Test AEAD encrypt/decrypt with message split into pieces.

Merge branch 'aes-cbc' into master

More checks for null pointers in test_aead, to silent static analyzer.

Fix checks of HAVE_NATIVE_cbc_aes*_encrypt

Fix fat builds for x86_64 windows

x86_64: Fat setup for assembly CBC AES.

x86_64: Assembly CBC AES aesni functions.

Add specialized functions for cbc-aes.

Merge branch 'x86_64-aes-refactor' into master

ChangeLog entries for recent contributions.

gitlab-ci: Use mini-gmp for big-endian powerpc64 cross build

gitlab-ci: Explicitly install cross libgmp-dev packages

gitlab-ci: No-assembly cross-build for s390x, to test big-endian

gitlab-ci: Delete mips build

It's no longer a debian release arch, and not supported by the build
images used for cross builds.

Merge branch 's390x-sha1' into 'master'

[S390x] Optimize SHA256 and SHA512 compress functions

This patch optimizes SHA256 and SHA512 compress functions for s390x architecture, the testsuite passes the tests. Benchmark on Z15:
| Algorithm | C | Hardware-accelerated |
| ------ | ------ | ------ |
| SHA265 | 242.76 Mbyte/s | 869.00 Mbyte/s |
| SHA512 | 373.18 Mbyte/s | 1555.21 Mbyte/s |

See merge request nettle/nettle!35

[S390x] Optimize SHA256 and SHA512 compress functions

Merge branch 's390x-sha1' into 'master'

[S390x] Optimize SHA1 compress with fat build support

See merge request nettle/nettle!33

x86_64: New 2-way aesni loop also for aes256

x86_64: Refactor aesni assembly, with specific functions for each key size.

[S390x] Optimize SHA1 compress

Merge branch 'arm64-aes' into 'master'

[AArch64] Optimize AES with fat build support

This patch optimizes AES encrypt/decrypt functions with each key size has its own implementation to load the key expansion just once at function prologue which yields a considerable performance increase over loading the key expansion for every block iteration. The patch also adds fat build support for the AES functions.
`make check` passes all tests. Benchmark of executing `examples/nettle-benchmark`:
| Algorithm | mode | C (Mbyte/s) | OpenSSL (Mbyte/s) | This patch (Mbyte/s) |
| ------ | ------ | ------ | ------ | ------ |
| aes128 | ECB encrypt | 95.01 | 1037.85 | 2579.62 |
| aes128 | ECB decrypt | 93.47 | 1005.15 | 2577.53 |
| aes192 | ECB encrypt | 79.60 | 893.34 | 2205.53 |
| aes192 | ECB decrypt | 78.34 | 889.17 | 2204.41 |
| aes256 | ECB encrypt | 66.64 | 782.21 | 1925.73 |
| aes256 | ECB decrypt | 65.81 | 781.37 | 1925.79 |

See merge request nettle/nettle!34

[AArch64] Utilize AES 1-block macros in 4-block macros

[AArch64] Load AES keys at function prologue

ChangeLog entries for previous change.

Merge branch 'mamonet/nettle-s390x-memxor' into master-updates

[AArch64] Move AES round macros to machine.m4

[AArch64] Optimize AES with fat build support

Merge branch 's390x' into master-updates

[S390x] Optimize memxor3 using vector facility with fat support

[S390x] Optimize memxor

Add fat-s390x.c to OPT_SOURCES.

Fix name of s390x/fat directory in make dist target.

Merge branch 's390x-fat' into 's390x'

[S390x] Replace inline assembly, fix fat filenames and add FAT_TEST_LIST

See merge request nettle/nettle!32

[S390x] add FAT_TEST_LIST variable to enable fat build testing

[S390x] Replace inline assembly and fix fat filenames

Merge branch 's390x-fat' into 's390x'

[S390x] Fat build support for AES and GHASH

See merge request nettle/nettle!31

[S390x] Fat build support for AES and GHASH

Merge branch 'arm64-sha1' into master-updates

arm64: Add sha2 to aarch64 fat tests.

ChangeLog entry for arm64 sha256..

Merge branch 's390x-gcm' into 's390x'

[S390x] Optimize GHASH

See merge request nettle/nettle!26

Merge branch 'arm64-sha' into 'arm64-sha1'

[AArch64] Fat build support for SHA-256 compress

See merge request nettle/nettle!29

[AArch64] Fat build support for SHA-256 compress

[S390x] wipe parameter block content and leftover bytes of data from stack

[S390x] wipe hash subkey from stack once GHASH operation completed

Merge branch 'arm64-sha' into 'arm64-sha1'

[AArch64] Optimize SHA-256 compress

See merge request nettle/nettle!28

[AArch64] Optimize SHA-256 compress

[S390x] Use uppercase for macro names in machine.m4 and enhance the documentation for GHASH implementation

Add sha1 to aarch64 fat tests.

ChangeLog entry for previous change.

arm64: Fat build support for SHA1 compress

[S390x] Update configure.ac and Makefile.in

[S390x] Implement alloc_stack and free_stack macros in machine.m4

[S390x] Optimize GHASH

Update Nettle-3.7.3 NEWS.

(cherry picked from commit 52bacacaf4339fd78289f58919732f1f35bea1c1)

Add input check to rsa_decrypt family of functions.

(cherry picked from commit 0ad0b5df315665250dfdaa4a1e087f4799edaefe)

Change _rsa_sec_compute_root_tr to take a fix input size.

Improves consistency with _rsa_sec_compute_root, and fixes zero-input bug.

(cherry picked from commit 485b5e2820a057e873b1ba812fdb39cae4adf98c)

Fix comment typos.

(cherry picked from commit 0a714543136de97c7fd34f1c6ac1592dc5036879)

Add check that message length to _pkcs1_sec_decrypt is valid.

* pkcs1-sec-decrypt.c (_pkcs1_sec_decrypt): Check that message
length is valid, for given key size.
* testsuite/rsa-sec-decrypt-test.c (test_main): Add test cases for
calls to rsa_sec_decrypt specifying a too large message length.

(cherry picked from commit 7616541e6eff73353bf682c62e3a68e4fe696707)

ChangeLog entry for arm64 sha1.

aarch64: Optimize SHA1 Compress

This patch optimizes SHA1 compress function for arm64 architecture by
taking advantage of SHA-1 instructions of Armv8 crypto extension.
The SHA-1 instructions:
SHA1C: SHA1 hash update (choose)
SHA1H: SHA1 fixed rotate
SHA1M: SHA1 hash update (majority)
SHA1P: SHA1 hash update (parity)
SHA1SU0: SHA1 schedule update 0
SHA1SU1: SHA1 schedule update 1

Benchmark on gcc117 instance of CFarm before applying the patch:
         Algorithm         mode Mbyte/s
         sha1            update  214.16
         openssl sha1    update  849.44
         hmac-sha1     64 bytes   61.69
         hmac-sha1    256 bytes  131.50
         hmac-sha1   1024 bytes  185.20
         hmac-sha1   4096 bytes  204.55
         hmac-sha1   single msg  210.97

Benchmark on gcc117 instance of CFarm after applying the patch:
         Algorithm         mode Mbyte/s
              sha1       update  800.80
      openssl sha1       update  849.17
         hmac-sha1     64 bytes  166.10
         hmac-sha1    256 bytes  409.24
         hmac-sha1   1024 bytes  636.98
         hmac-sha1   4096 bytes  739.20
         hmac-sha1   single msg  775.67

Fix C++-style comments

ChangeLog entries for aes keywrap.

Implement aes key wrap and key unwrap (RFC 3394)

gitlab-ci: Explicitly pass --enable-s390x-msa to s390x build.

Fix comment typo.

Reorder and indent asm_replace_list.

ChangeLog entry for new s390x AES implementation.

Merge branch 's390x' into 's390x'

[S390x] Basic AES optimization

See merge request nettle/nettle!23

Append s390x-specific asm file names to asm_replace_list in configure.ac

[S390x] Basic AES-192 and AES-256 optimizations

ppc: Fix macro name SWAP_MASK to use all uppercase.