gitlab-ci: Fix syntax error in script

Use set -e, when looping in the check-fat target.

gitlab-ci: Run make check-fat for x86_64 and cross builds

New make target check-fat

Merge branch 'x86_64-salsa20-2core'

ChangeLog for x86_64/salsa20-2core.asm

Rearrange chacha_crypt and chacha_crypt32, enabling fat builds to use chacha_3core

Fix (arm neon) _nettle_chacha_3core32

ChangeLog update.

In chacha_crypt, use _chacha_3core if leftover is more than one block.

Keep counter words in registers

Reschedule first permutation

Reschedule second permutation

Reschedule second qround

Reschedule first qround

Three-way interleaving of chacha on Neon

Tweak stop condition of _salsa20_crypt_2core

Exit when processing exactly two blocks.

Additional chacha test, with simpler input structure.

Delete obsolete tests for chacha with 128-bit keys

x86_64: Replace salsa20_crypt assembly with salsa20_2core

Add missing undef directives in configure.ac

Add test 128 bytes to gcm-test

Fix preprocessor warnings

Rearrange salsa20, enabling ARM fat builds to use sala20_2core.

Two-way interleaving of salsa20 on Neon

Additional salsa20 test, with simpler input structure.

Obey --enable-arm-neon=yes, even if not explicitly targetting ARM v6 or later.

Merge branch 'bcrypt'

Move bcrypt tests to its own file. ChangeLog entries for bcrypt.

Add bcrypt tests to testsuite.

blowfish: Add bcrypt support.

gitlab-ci: Add cross tests for big-endian powerpc64.

Documentation fot Streebog hash

gitlab-ci: Add cross tests for powerpc64

x86_64: Fix use of macro arguments in chacha QROUND macro.

v4.0 Blowfish: Prepare for bcrypt support.

test/gostdsa-vko: add hashed test vectors from RFC 7836

It was not possible to check gostdsa_vko test vectors with the outputs
from RFC 7836 because Nettle lacked Streebog hash function. Now as the
function is supported, add full test vectors.

Signed-off-by: Dmitry Baryshkov <dbaryshkov@gmail.com>

pbkdf2-test: add PBKDF2 tests using Streebog HMAC function

Add test vectors from R 50.1.111-2016 to verify using HMAC-STREEBOG in
PBKDF2 function.

Signed-off-by: Dmitry Baryshkov <dbaryshkov@gmail.com>

nettle-benchmark: bench Streebog hashes

Signed-off-by: Dmitry Baryshkov <dbaryshkov@gmail.com>

hmac: add support for streebog256/512 hash function

Add support for calculating HMAC using Streebog hash functions.

Signed-off-by: Dmitry Baryshkov <dbaryshkov@gmail.com>

testsuite: add test for Streebog hash function

Add a testuite for Streebog hash function. Test vectors are based on RFC
6986.

Signed-off-by: Dmitry Baryshkov <dbaryshkov@gmail.com>

Implement GOST R 34.11-2012 (Streebog) hash function

Also add nettle_streebog256 and nettle_streebog512 to nettle meta interface.

Signed-off-by: Dmitry Baryshkov <dbaryshkov@gmail.com>

Delete benchmark code attempting to measure function call overhead.

examples: don't use deprecated OpenSSL hashing API

The direct $HASH_{Init,Update,Final} has been discouraged for a while.
With the upcoming OpenSSL 3.0 it will be officially deprecated.

Add a handy macro, to avoid repetition and mistakes like in the current
code. Namely - we're using SHA cblock/digest_len for md5 :-\

The macro will also make it easier to add more, as seen with next patch.

v2: Align it with the crypto implementations, namely:
 - use openssh_hash_ctx::evp, use correct sizeof()
 - move hash_update out of the macro
 - remove forward declarations for hash functions

Signed-off-by: Emil Velikov <emil.l.velikov@gmail.com>

gitlab-ci: Reenable gost in gnutls build

Note Nettle-3.6 release.

Tweak gcc command like flags

Update mini-gmp to latest version

Mention GMP-6.1.0 in NEWS.

Delete compatibility definitions of mpz_limbs_read and friends.

Require gmp-6.1.0 or later, for mpn_zero_p.

DISTFILES fixes.

Set WINEPATH for tests, and remove symlink workaround.

In tests, delete ASSERTs with functions pointer comparisons.

Delete .test-rules.make, replaced by GNU make pattern rules.

ChangeLog entry for gost_vko.

Implement GOST VKO key derivation algorithm

Signed-off-by: Dmitry Baryshkov <dbaryshkov@gmail.com>

ChangeLog for previous gosthash changes.

Delete obsolete FIXME comment.

gosthash94: switch to using MD_UPDATE() macro

NEWS file update for soname changes.

Bump libnettle soname, libnettle version is now 8.0.

Fix file header.

Make poly1305-internal.h include poly1305.h, not aes.h.

ChangeLog for poly1305-internal.h.

poly1305: make internal symbols internal

Make low-level poly1305 functions that were marked as "internal" in
public header file really internal. Change their prefix from nettle to
_nettle.

Signed-off-by: Dmitry Baryshkov <dbaryshkov@gmail.com>

Reorder DISTFILES to avoid wrong timestamp order in tar file.

NEWS fixes from Daiki Ueno.

Define _GNU_SOURCE in ed448-test.c.

Update info on ABI compatibility in NEWS.

Increase hogweed version number to 6.0, at request of Gnutls team.

Fix gnutls ci job to not replace the system's nettle libraries.

Update config.guess and config.sub.

Delete some unused autoconf macros.

Delete extra quotes from TEST_SHLIB_DIR. Add comment.

Rework setting of LD_LIBRARY_PATH for tests.

* testsuite/Makefile.in (check): Pass only TEST_SHLIB_DIR
to the run-tests script, and leave setting of LD_LIBRARY_PATH and
related variables to that script.
* examples/Makefile.in (check): Likewise.

* run-tests: Check TEST_SHLIB_DIR, and set up LD_LIBRARY_PATH and
related member variables.

* config.make.in (abs_top_builddir, TEST_SHLIB_DIR): New variables.

Version number update for Nettle-3.6

* configure.ac: Bump package version to 3.6.
(LIBNETTLE_MINOR): Bump minor number, now 7.1.
(LIBHOGWEED_MINOR): Bump minor numbers, now 5.1

More NEWS entries for Nettle-3.6.

x86: Add x86-ibt-test.c

On Linux/x86, when CET is enabled, all indirect branch targets must
start with ENDBR instruction.  Add x86-ibt-test.c to verify that missing
ENDBR instruction at indirect branch target will trigger SIGSEGV on CET
platforms.

ChangeLog entry for x86_64 CET fixes.

x86: Add ASM_X86_ENDBR and x86 CET marker to config.m4.in

Intel Control-flow Enforcement Technology (CET):

https://software.intel.com/en-us/articles/intel-sdm

contains shadow stack (SHSTK) and indirect branch tracking (IBT).  When
CET is enabled, ELF object files must be marked with .note.gnu.property
section.  Also when IBT is enabled, all indirect branch targets must
start with ENDBR instruction.

This patch adds ASM_X86_ENDBR and the x86 CET marker to config.m4.in when
CET is enabled.  It updates PROLOGUE with ASM_X86_ENDBR.

Tested on CET machine with i686 and x86-64.

Signed-off-by: H.J. Lu <hjl.tools@gmail.com>

arm: Fix memxor for non-armv6+ big-endian systems

ARM assembly adjustments for big-endian systems contained armv6+-only
instructions (rev) in generic arm memxor code. Replace those with an
actual conversion of the leftover byte store routines for big-endian
systems. This also provides a slight optimisation by removing the
additional instruction as well as increased symmetry between little- and
big-endian implementations.

Signed-off-by: Michael Weiser <michael.weiser@gmx.de>

Minor fixes for chacha comments and docs.

ChangeLog for previous change.

doc: match ChaCha-Poly1305 documentation to the implementation

While the documentation said the nonce size is 8 octets, the
implementation actually assumed 12 octets following RFC 7539.

Signed-off-by: Daiki Ueno <dueno@redhat.com>

chacha: add variant that treats counter value as 32-bit

The ChaCha-Poly1305 implementation previously used the chacha_crypt
function that assumes the block counter is 64-bit long, while RFC 8439
defines that the counter is 32-bit long.  Although this should be fine
as long as up to 256 gigabytes of data is encrypted with the same key,
it would be nice to use a separate functions (chacha_set_counter32 and
chacha_crypt32) that assume the counter is 32-bit long.

Signed-off-by: Daiki Ueno <dueno@redhat.com>

chacha: add function to set initial block counter

The ChaCha20 based header protection algorithm in QUIC requires a way
to set the initial value of counter:
https://quicwg.org/base-drafts/draft-ietf-quic-tls.html#name-chacha20-based-header-prote

This will add a new function chacha_set_counter, which takes an
8-octet initial value of the block counter.

Signed-off-by: Daiki Ueno <dueno@redhat.com>

ChangeLog for previous change.

cmac-des3: add meta declaration to Nettle library

Move cmac-des3 meta information from testsuite/cmac-test.c to main
Nettle library.

Signed-off-by: Dmitry Baryshkov <dbaryshkov@gmail.com>

ChangeLog for previous change.

ecc: remove ecc_modp_foo/ecc_modq_foo macros

To make ecc functions usage more obvious remove ecc_modp_foo() and
ecc_modq_foo() wrapper macros.

Signed-off-by: Dmitry Baryshkov <dbaryshkov@gmail.com>

nettle-meta: Expose defined MACs through nettle_macs

Based on patches by Daiki Ueno.

Fix dash vs underscore in nettle_cmac_aes256 name.

Add meta interface for HMAC functions.

Based on patches by Daiki Ueno.

Add meta interface for CMAC functions.

Based on patches by Daiki Ueno.
* testsuite/cmac-test.c (nettle_cmac_aes128, nettle_cmac_aes256):
Moved to...
* cmac-aes128-meta.c: New file.
* cmac-aes256-meta.c: New file.

Move struct nettle_mac to nettle-meta.h.

ChangeLog for previous change.

gost28147: move gost params to internal interface

gost28147_param instances were never a part of stable release, so move
them to internal header.

Signed-off-by: Dmitry Baryshkov <dbaryshkov@gmail.com>

On Solaris, link shared libraries with --shared rather than -G.

Fix comment typo