Add benchmarking of ed25519, ed448 and curve448.

Use function pointer to represent eddsa dom prefix.

Implement ed448-shake256

Update eddsa internals to support ed448.

Add dom string to struct ecc_eddsa.

Fix comment typo.

Reduce scratch need for curve448 inverse and sqrt

Test edddsa point compression with curve448.

Reorganize eddsa, based on patch by Daiki Ueno.

* eddsa-internal.h (struct ecc_eddsa): New struct for eddsa
parameters.
* ed25519-sha512.c (_nettle_ed25519_sha512): New parameter struct.
* eddsa-expand.c (_eddsa_expand_key): Replace input
struct nettle_hash with struct ecc_eddsa, and generalize for
ed448. Update all callers.
* eddsa-sign.c (_eddsa_sign): Likewise.
* eddsa-verify.c (_eddsa_verify): Likewise.
* eddsa-compress.c (_eddsa_compress): Store sign bit in most
significant bit of last byte, as specified by RFC 8032.
* eddsa-decompress.c (_eddsa_decompress): Corresponding update.
Also generalize to support ed448, and make validity checks
stricter.
* testsuite/eddsa-sign-test.c (test_ed25519_sign): New function.
(test_main): Use it.
* testsuite/eddsa-verify-test.c (test_ed25519): New function.
(test_main): Use it.

Whitespace fixes.

Tweak includes of nettle-meta.h.

* bignum.h: Drop unreleted include of nettle-meta.h.
* pss.h: Include nettle-meta.h explicitly.
* eddsa-internal.h: Likewise.

Document SHAKE-256.

Support for SHAKE256, based on patch by Daiki Ueno.

* shake256.c (sha3_256_shake): New file and function.
* Makefile.in (nettle_SOURCES): Add shake256.c.
* testsuite/testutils.c (test_hash): Allow arbitrary digest size,
if hash->digest_size == 0.
* testsuite/shake.awk: New script to extract test vectors.
* testsuite/Makefile.in (TS_NETTLE_SOURCES): Add shake256-test.c.
(DISTFILES): Add shake.awk.

ChangeLog entry for previous change.

Generalize _sha3_pad to take magic value as argument.

Use add_hh rather than add_hhh for ecc_mul_a_eh.

* ecc-mul-a-eh.c (ecc_mul_a_eh) [ECC_MUL_A_EH_WBITS == 0]: Use
add_hh rather than add_hhh.
(table_init) [[ECC_MUL_A_EH_WBITS > 0]: Likewise.
* ecc-internal.h (ECC_MUL_A_EH_ITCH) [ECC_MUL_A_EH_WBITS == 0]:
Reduced from 13*n to 12*n.

Rename add and dup functions for Edwards curves.

Use function pointer rather than calling ecc_add_eh directly.

* eddsa-verify.c (_eddsa_verify): Use function pointer rather than
calling ecc_add_eh directly. Preparation for eddsa over curve448.

Simplify ecc-benchmark.c and delete curve25519 special case.

Eliminate one unneeded ecc_modp_add in ecc_dup_eh.

Comment fixes and notation for ecc_dup_eh

Comment fixes for ecc_add_ehh

Comment fixes for ecc_add_eh

New function ecc_mul_m.

* curve25519-mul.c (curve25519_mul): Use ecc_mul_m.
* curve448-mul.c (curve448_mul): Likewise.

* ecc-mul-m.c (ecc_mul_m): New file and function. Implements
multipliction for curves in Montgomery representation, as used for
curve25519 and curve448. Extracted from curve25519_mul.
* ecc-internal.h (ecc_mul_m): Declare.
(ECC_MUL_M_ITCH): New macro.
* Makefile.in (hogweed_SOURCES): Add ecc-mul-m.c.

Merge branch 'curve448' into master

Revert itch macro changes.

We now have h_to_a_itch <= mul_itch, mul_g_itch. Add asserts at a few
places relying on this.
(ECC_ECDSA_KEYGEN_ITCH, ECC_MAX): Delete macros.
(ECC_ECDSA_SIGN_ITCH): Revert previous change.

Trim scratch usage of curve448 operations.

* ecc-448.c (ecc_mod_pow_446m224m1): Reduce scratch space from 9*n
to 6*n.
(ECC_448_INV_ITCH, ECC_448_SQRT_ITCH): Reduce accordingly.
* curve448-mul.c (curve448_mul): Reduce allocation from 14*n to 12*n.

x86_64 implementation of nettle_ecc_curve448_modp

* x86_64/ecc-curve448-modp.asm (nettle_ecc_curve448_modp): New
assembly function.
* ecc-448.c (ecc_448_modp) [HAVE_NATIVE_ecc_curve448_modp]: Use
native nettle_ecc_curve448_modp if available.
* configure.ac (asm_hogweed_optional_list): Add ecc-curve448-modp.asm.
(HAVE_NATIVE_ecc_curve448_modp): New config.h define.

Delete tests and code for ecdsa over curve25519.

* ecc-eh-to-a.c (ecc_eh_to_a): Require op == 0, delete code only
used for non-standard ecdsa over curve25519.
* testsuite/ecdsa-sign-test.c (test_main): Delete test of ecdsa
over curve25519.
* testsuite/ecdsa-verify-test.c (test_main): Likewise.
* testsuite/ecdsa-keygen-test.c (test_main): Exclude curve25519
from test.

Fix configure check for __builtin_bswap64.

* configure.ac: Use AC_TRY_LINK rather than AC_TRY_COMPILE to
check for __builtin_bswap64. Since calling an non-existing
function typically results in a warning only at compile time, but
fails at link time. Patch contributed by by George Koehler.

Add cast in test_cipher_cfb8.

* testsuite/testutils.c (test_cipher_cfb8): Add cast of size_t to
unsigned long for argument to fprintf.

New mod function for curve448, for 64-bit architectures

* ecc-448.c (ecc_448_modp) [GMP_NUMB_BITS == 64]: New function.

ChangeLog for curve448 changes

Implement Curve448 primitives

This patch adds the necessary primitives for "curve448", defined in
RFC 7748.  Those primitives are namely: addition, doubling, scalar
multiplication of the generator or an arbitrary point, inversion, and
square root.

gitlab-ci: Disable gost in gnutls build

Current gost support in gnutls depends on nettle internals.

eccdata: (ecc_curve_init_str): Delete unused t and d arguments.

Related to the the edwards_root member of struct ecc_curve, which
was used by ecc_a_to_eh before it was deleted, see 2014-09-17
entry below.
(ecc_curve_init): Delete corresponding curve25519 constants, and
NULL arguments passed for the other curves.

Merge branch 'curve448' into master

Update link to Pike.

Link to Rust bindings.

Sort bindings alphabetically.

Improve cfb8 test

* testsuite/testutils.c (test_cipher_cfb8): Reset destination area
between tests. Encrypt/decrypt final partial block.

ChangeLog for previous change.

cfb8: don't truncate output IV if input is shorter than block size

Previously cfb8_decrypt didn't update the IV if the input is shorter
than the AES block size.  Reported by Stephan Mueller.

Signed-off-by: Daiki Ueno <dueno@redhat.com>

siv-test: Smaller cleanups. Call FAIL on all errors.

siv-test: Fix out-of-bounds read.

ecc-internal.h comment fixes.

Add FIXME comment on struct gosthash94_ctx reorg.

ChangeLog entries for gosthash94cp.

Add PBKDF2 support for gosthash94cp

Russian technical comitee working on standartization of cryptography
algorithms has published the document describing usage of GOST R
34.11-94 hash function with PBKDF2 algorithm (MR 26.2.001-2012).
Add test vectors from that document and a special function implementing
Nettle interface for PBKDF2 using gosthash94cp.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

Add HMAC functions for GOSTHASH94 and GOSTHASH94CP

GOST hash functions can be used to generate MAC using HMAC algorithm.
Add functions implementing HMAC with GOSTHASH94/GOSTHASH94CP.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

Add GOST R 34.11-94 to nettle_hashes

Add entries for gosthash94 and gosthash94cp in nettle_hashes array.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

Add support for GOSTHASH94CP: GOST R 34.11-94 hash with CryptoPro S-box

Hash gosthash94 implements GOST R 34.11-94 standard using S-Box defined
in the standard 'for testing purposes only'. RFC 4357 defines S-Box
(CryptoPro one) for GOST R 34.11-94 hash function that is widely used in
applications. Add separate hash function algorithm (gosthash94cp)
implementing GOST R 34.11-94 hashing using that S-Box.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

Start separating GOST 28147-89 from GOST R 34.11-94

Hash function GOST R 34.11-94 (gosthash94) in its compression function
uses Russian block cipher (GOST 28147-89, Magma). Start separating block
cipher code from hash function code. For now there is no public
interface for this cipher, it will be added later.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

dlopen-test: Use libnettle.dylib on MacOS.

Mention dependencies on GNU make and GNU GMP in the README file.

gcm: move block shifting function to block-internal.h

Move GCM's block shift function to block-internal.h. This concludes
moving of all Galois mul-by-2 to single header.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

block modes: move Galois shifts to block-internal.h

Move Galois polynomial shifts to block-internal.h, simplifying common
code. GCM is left unconverted for now, this will be fixed later.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

block-internal: add block XORing functions

Add common implementations for functions doing XOR over
nettle_block16/nettle_block8.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

cmac64: fix nettle_block16 usage

CMAC64 uses block8, rather than block16.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

gcm: use uint64_t member of nettle_block16

Remove last usage of unsigned long member of nettle_block16.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

Merge branch 'block16-refactor' into master-updates

Expand documentation to cover CMAC-64

CMAC comment fixes

ChangeLog for previous change

cmac: add CMAC-DES3 (CMAC-TDES) implementation

Implement CMAC using TrippleDES as underlying cipher.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

ChangeLog for previous change

cmac: add 64-bit mode CMAC

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

Mark w member of union nettle_block16 as deprecated.

gcm: Use uint64_t member of nettle_block16.

eax: Use uint64_t member of nettle_block16.

ChangeLog for previous change

Move MAC testing code to generic place from cmac-test

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

Add tests that exercise public key checks for ECDH

When performing ECDH the peer provided public key needs to be checked
for validity. FIPS requires basic tests be performed to insure the
provided points are in fact on the selected curve. Those checks already
exists in the ecc_point_set() function.
Add an explicit test that checks the boundaries so that any regression
in checks will be caught.

Signed-off-by: Simo Sorce <simo@redhat.com>

Merge branch 'siv-mode' into master-updates

Fixes for Nettle 3.5.1

ChangeLog entry for 3.5 release

Update config.guess and config.sub

NEWS for 3.5. Mention deprecations in intro.

Fix some typos in the documentation.

Merge branch 'master' into siv-mode

The cmac changes on master breaks the previous version of the siv
code. Now updated, and improved to use const context arguments for the
_message functions.

Fix doc of cmac context structs.

Further separation of CMAC per-message state from subkeys.

Revert move of cmac128_ctx index

New struct cmac128_key.

Mention deletion of des-compat.h in NEWS

New SIV key size constants. Use in tests.

Require non-empty nonce for SIV mode.

Delete old libdes/openssl compatibility interface.

NEWS update for Nettle-3.5.

SIV-CMAC mode, based on patch by Nikos Mavrogiannopoulos

This AEAD algorithm provides a way to make nonce-reuse a not critical
issue. That is particular useful to stateless servers that cannot
ensure that the nonce will not repeat. This cipher is used by
draft-ietf-ntp-using-nts-for-ntp-17.

New header file cmac-internal.h

Move and rename block_mulx --> _cmac128_block_mulx.

ChangeLog entry for EPILOGUE fix.

Add missing EPILOGUEs in assembly files

tools/nettle-pbkdf2.c: Check strdup return value.

Redefine struct aes_ctx as a union of key-size specific contexts.

Rearrange cmac's block_mulx, make it closer to xts_shift.

* xts.c (xts_shift): Arrange with a single write to u64[1].
* cmac.c (block_mulx): Rewrite to work in the same way as
xts_shift, with 64-bit operations. XTS and CMAC use opposite
endianness, but otherwise, these two functions are identical.

Update docs for xts-aes

The structs are named xts_aes*_key, not xts_aes*_ctx.

ChangeLog entries for XTS support.

Recode xts_shift based on endianess

This creates two implementations of xts_shift, one for little endian and
one for big endian. This way we avoid copies to additional variables and
inefficient byteswapping on platforms that do not have dedicated
instructions.

Signed-off-by: Simo Sorce <simo@redhat.com>

Inline ciphertext stealing

This avoids copying and may be somewhat more readable without the need
for so much explanation.

Signed-off-by: Simo Sorce <simo@redhat.com>