powerpc64: Add optimized assembly for sha256-compress-n

This patch introduces an optimized powerpc64 assembly implementation for
sha256-compress-n. This takes advantage of the vshasigma instruction, as
well as unrolling loops to best take advantage of running instructions
in parallel.

The following data was captured on a POWER 10 LPAR @ ~3.896GHz

Current C implementation:
         Algorithm         mode Mbyte/s
            sha256       update  280.97
       hmac-sha256     64 bytes   80.81
       hmac-sha256    256 bytes  170.50
       hmac-sha256   1024 bytes  241.92
       hmac-sha256   4096 bytes  268.54
       hmac-sha256   single msg  276.16

With optimized assembly:
         Algorithm         mode Mbyte/s
            sha256       update  461.45
       hmac-sha256     64 bytes  123.88
       hmac-sha256    256 bytes  268.81
       hmac-sha256   1024 bytes  390.91
       hmac-sha256   4096 bytes  438.02
       hmac-sha256   single msg  453.83

Signed-off-by: Eric Richter <erichte@linux.ibm.com>

Avoid warnings for assert_maybe.

Update config.guess and config.sub to 2024-01-01 versions.

Update version numbers for nettle-3.10.

Unify handing of message hash for dsa and ecdsa, using mpn interface.

Use NETTLE_OCTET_SIZE_TO_LIMB_SIZE macro.

ci: Update .gitlab-ci.yml job tags.

See
https://docs.gitlab.com/ee/update/deprecations.html#removal-of-tags-from-small-saas-runners-on-linux,
and corresponding gnutls update
https://gitlab.com/gnutls/gnutls/-/commit/642c39ba9ae53ce427344d884eb3808f042b90e4.

ppc64: Reduce register usage in gcm-aes assembly.

More NEWS entries for nettle-3.10.

Spelling fix.

Update of AUTHORS file.

Merge branch 'ppc64-gcm-aes-rebased'

ChangeLog entries for ppc64 gcm-aes.

Update copyright headers.

Fix filenames in two ecc-curve25519-modp.asm files.

Update documentation for SHAKE.

Signed-off-by: Daiki Ueno <dueno@redhat.com>

ppc64: Fix big-endian case of byte swapping for gcm-aes.

Fix counter update, with proper 32-bit wraparound.

Rework no-op version of _gcm_aes_encrypt and _gcm_aes_decrypt.

For fat builds, move definition to fat-ppc.c. For builds where the
functions are unavailable, define as macros returning zero, and rely
on the compiler to eliminate the code that uses the return value.

ppc64: Use new gcm-aes assembly in non-fat builds with --enable-power-crypto-ext.

Add gcm-internal.h, declaring _gcm_aes_encrypt and _gcm_aes_decrypt.

Change type of the rounds argument from size_t to unsigned.

ppc64: New "stitched" implementation of GCM-AES.

Merge branch 'sha3-shake-updates'

Let umac and bcrypt share bswap helper function.

Add sha512_224 and sha512_256 to nettle_hashes.

ChangeLog entries for shake128.

testsuite/Makefile.in (TS_NETTLE_SOURCES): Add shake128-test.c.

Add missing include of string.h.

Merge branch 'wip/dueno/shake128' into 'sha3-shake-updates'

Implement SHAKE128

See merge request nettle/nettle!63

Implement SHAKE128

Signed-off-by: Daiki Ueno <dueno@redhat.com>

sha3-shake: Don't hard-code block size

Signed-off-by: Daiki Ueno <dueno@redhat.com>

Add another test for GCM counter wrap around, with larger message

Use one's complement of index to indicate shake is initialized.

Generalize shake functions, and move to sha3-shake.c.

Add assert in _nettle_sha3_update.

Make shake256 call sha3_permute before, not after, generating output.

Simplify _nettle_sha3_update by using MD_FILL_OR_RETURN_INDEX.

Add test for GCM counter wrap around.

Update of powerpc64/README.

ChangeLog for sha3_256_shake_output.

Additional API for SHAKE streaming read.

This adds an alternative function sha3_256_shake_output in the
SHAKE256 support, which enables to read output multiple times in an
incremental manner.

Signed-off-by: Daiki Ueno <dueno@redhat.com>

Test aead update function with data split in pieces.

Fix ubsan issue affecting calls to _nettle_poly1305_update with input
0, NULL.

Fix ubsan issue in hash update functions.

Skip sc-rsa-oaep-encrypt-test when compiled with mini-gmp.

ChangeLog entries for RSA OAEP functions.

Clarify message length limitation in RSA-OAEP

Signed-off-by: Daiki Ueno <dueno@redhat.com>

Merge branch 'wip/dueno/rsa-oaep' into 'master'

Implement RSA-OAEP encryption/decryption

See merge request nettle/nettle!60

Implement encryption/decryption RSA-OAEP

Modified-by: Daiki Ueno <dueno@redhat.com>

ChangeLog entries for powerpc64 aes decrypt changes.

ppc64: Add a nop _aes_invert, to get decrypt subkeys compatible with vncipher.

Merge branch 'aes-noreverse-decrypt-subkeys' into master

ppc64: Improve register usage for aes code.

ChangeLog updates for aes decrypt refactoring.

Update arm64 aes decrypt.

Update powerpc64 aes decrypt.

Update arm (32-bit) aes decrypt.

Change _nettle_aes_decrypt to pass pointer to last subkey.

Update x86 (32-bit) aes decrypt.

Update sparc64 aes decrypt.

Change order of aes decryption subkeys, update C and x86_64 implementations.

Merge branch 'delete-sparc32' into master

Delete sparc32 assembly files.

ci: Add sparc64 cross build.

ChangeLog entry for previous changes.

Unify load/store indexing.

Trim number of used registers

Improve scheduling

New macros GHASH_REDUCE.

powerpc64: Use m4 to generate instruction sequences for aes.

Additional GCM test case.

Delete all md5 assembly code.

Fix syntax for @deftypefun in many places.

More accurate openssl configure test.

Fix include guard for non-nettle.h.

New helper function drbg_ctr_aes256_output.

Use nettle_block16 for drbg-ctr state.

ChangeLog entries for drbg-ctr.

Fix testsuite/Makefile.

Add DRBG-CTR-AES256.

CPU feature detection for Apple M1 devices.

Extend openssl configure tests to check for relevant headers and functions.

Delete nettle_openssl_init.

Delete benchmarking of openssl blowfish, cast128 and des.

ChangeLog for previous changes.

Unify openssl signing benchmarks.

Update openssl ecdsa benchmark to use evp interfaces.

Update openssl rsa benchmark to use evp interfaces.

Update testsuite and example Makefiles.

Split nettle-internal into nettle-internal and non-nettle.

Revert part of 67aae9d2873bb56a7e7028709d2f2d4bd8897955.

* rsa-sec-decrypt.c (rsa_sec_decrypt): Merge with
_rsa_sec_decrypt, including input range check.
(_rsa_sec_decrypt): Deleted.
* rsa-internal.h (_rsa_sec_decrypt): Delete declaration.
* testsuite/rsa-sec-decrypt-test.c (rsa_decrypt_for_test): Always
call rsa_sec_decrypt, but don't annotate the ciphertext input as
undefined/secret.

Add sidechannel tests for ed25519 and ed448.

Add sidechannel tests for curve448.

Add sidechannel tests for curve25519.

ci: Add build with --enable-extra-asserts.

Workaround for assert_maybe to not trigger clang analyzer warnings.

Fixes for ecdsa-sign-test in noasm and mini-gmp builds.

Add side-channel test for ecdsa-sign-test.

Fix is_zero_limb to work with in c89 and mini-gmp builds.

Improve side-channel silence when comparing values to zero.

Merge branch 'side-channel-tests'