Update Nettle-3.7.3 NEWS.

(cherry picked from commit 52bacacaf4339fd78289f58919732f1f35bea1c1)

Add input check to rsa_decrypt family of functions.

(cherry picked from commit 0ad0b5df315665250dfdaa4a1e087f4799edaefe)

Change _rsa_sec_compute_root_tr to take a fix input size.

Improves consistency with _rsa_sec_compute_root, and fixes zero-input bug.

(cherry picked from commit 485b5e2820a057e873b1ba812fdb39cae4adf98c)

Fix comment typos.

(cherry picked from commit 0a714543136de97c7fd34f1c6ac1592dc5036879)

Add check that message length to _pkcs1_sec_decrypt is valid.

* pkcs1-sec-decrypt.c (_pkcs1_sec_decrypt): Check that message
length is valid, for given key size.
* testsuite/rsa-sec-decrypt-test.c (test_main): Add test cases for
calls to rsa_sec_decrypt specifying a too large message length.

(cherry picked from commit 7616541e6eff73353bf682c62e3a68e4fe696707)

Fix C++-style comments

ChangeLog entries for aes keywrap.

Implement aes key wrap and key unwrap (RFC 3394)

Fix comment typo.

ppc: Fix macro name SWAP_MASK to use all uppercase.

Update config.guess and config.sub.

Merge branch 'wip/ueno/maybe-uninit' into 'master'

nettle-benchmark: avoid -Wmaybe-uninitialized warnings

See merge request nettle/nettle!22

nettle-benchmark: avoid -Wmaybe-uninitialized warnings

Otherwise GCC 11 prints the following warning:

  nettle-benchmark.c: In function ‘time_umac’:
  ../umac.h:42:25: warning: ‘key’ may be used uninitialized [-Wmaybe-uninitialized]
     42 | #define umac32_set_key  nettle_umac32_set_key
  nettle-benchmark.c:395:3: note: in expansion of macro ‘umac32_set_key’
    395 |   umac32_set_key (&ctx32, key);
        |   ^~~~~~~~~~~~~~

Although this should be harmless as it's in the benchmarking code and
the content of the key doesn't matter, it wouldn't hurt to explicitly
initialize it.  This patch also uses predefined constants for key
sizes.

gitlab-ci: Fix only: variables: check, and quote variables.

gitlab-ci: Use pipeline variable S390X_ACCOUNT

And enable remote/s390x job only when needed variables are set.

gitlab-ci: Add remote tests for s390x.

Add forward declaration of struct aes_table.

ChangeLog entries for arm64 fat build.

Merge arm64 fat support into master.

ChangeLog entry for nettle-3.7.2 release

NEWS entries for 3.7.2.

(cherry picked from commit 7a5f86321f4c67d7219aa87ea4e2ddca677d7378)

[AArch64] Support fat build for GCM optimization

[AArch64] Use m4 macros in gcm-hash.asm and add documentation comments

[AArch64] Update README to be on par with other architectures

Fix canonical reduction in gostdsa_vko.

* gostdsa-vko.c (gostdsa_vko): Use ecc_mod_mul_canonical to
compute the scalar used for ecc multiplication.

Similar fix for eddsa.

* eddsa-hash.c (_eddsa_hash): Ensure result is canonically
reduced. Two of the three call sites need that.

Analogous fix to ecc_gostdsa_verify.

* ecc-gostdsa-verify.c (ecc_gostdsa_verify): Use ecc_mod_mul_canonical
to compute the scalars used for ecc multiplication.

Ensure ecdsa_sign output is canonically reduced.

* ecc-ecdsa-sign.c (ecc_ecdsa_sign): Ensure s output is reduced to
canonical range.

Fix bug in ecc_ecdsa_verify.

* ecc-ecdsa-verify.c (ecc_ecdsa_verify): Use ecc_mod_mul_canonical
to compute the scalars used for ecc multiplication.
* testsuite/ecdsa-verify-test.c (test_main): Add test case that
triggers an assert on 64-bit platforms, without above fix.
* testsuite/ecdsa-sign-test.c (test_main): Test case generating
the same signature.

Use ecc_mod_mul_canonical for point comparison.

* eddsa-verify.c (equal_h): Use ecc_mod_mul_canonical.

New functions ecc_mod_mul_canonical and ecc_mod_sqr_canonical.

* ecc-mod-arith.c (ecc_mod_mul_canonical, ecc_mod_sqr_canonical):
New functions.
* ecc-internal.h: Declare and document new functions.
* curve448-eh-to-x.c (curve448_eh_to_x): Use ecc_mod_sqr_canonical.
* curve25519-eh-to-x.c (curve25519_eh_to_x): Use ecc_mod_mul_canonical.
* ecc-eh-to-a.c (ecc_eh_to_a): Likewise.
* ecc-j-to-a.c (ecc_j_to_a): Likewise.
* ecc-mul-m.c (ecc_mul_m): Likewise.

Merge branch 'arm64'

ChangeLog entry for 3.7.1 release.

Delete benchmarking of openssl arcfour and corresponding glue code

NEWS entries for Nettle-3.7.1.

Increase version numbers, for Nettle-3.7.1.

* configure.ac: Bump package version, to 3.7.1.
(LIBNETTLE_MINOR): Bump minor number, to 8.2.
(LIBHOGWEED_MINOR): Bump minor number, to 6.2.

Fix chacha counter update for _4core variants.

Improve chacha test coverage.

Merge branch 'delete-1-way-neon'

ChangeLog entries for new pbkdf2 variants.

aarch64: Rename arm64/v8/ --> arm64/crypto/

aarch64: Use .arch armv8-a+crypto directive.

aarch64: Move m4 definitions after .file directive

Update doc for pbkdf2_hmac_sha384 and pbkdf2_hmac_sha512

Add tests for pbkdf2_hmac_sha384 and pbkdf2_hmac_sha512

Implement pbkdf2_hmac_sha384 and pbkdf2_hmac_sha512

ChangeLog entries for arm64 gcm_hash.

arch64: Fix clang build

arch64: Fix copyright line and typos

aarch64: Adjust gcm-hash assembly for big-endian systems

aarch64: Implement GHASH using the crypto extension pmul instructions.

aarch64: Add README

Add an empty machine.m64 to make configure happy

Delete the ARM Neon code doing a single block chacha.

Delete the ARM Neon code doing a single block salsa20.

Add testcase for ecc_ecdsa_verify with zero hash.

Fix ecc_ecdsa_verify corner case with all-zero hash.

Delete old misleading comment.

arm: Unify neon asm for big- and little-endian modes

Switch arm neon assembler routines to endianness-agnostic loads and
stores where possible to avoid modifications to the rest of the code.
This involves switching to vld1.32 for loading consecutive 32-bit words
in host endianness as well as vst1.8 for storing back to memory in
little-endian order as required by the caller. Where necessary, r3 is
used to store the precalculated offset into the source vector for the
secondary load operations. vstm is kept for little-endian platforms
because it is faster than vst1 on most ARM implementations.

vst1.x (at least on the Allwinner A20 Cortex-A7 implementation) seems to
interfer with itself on subsequent calls, slowing it down further. So we
reschedule some instructions to do stores as soon as results become
available to have some other calculations or loads before the next
vst1.x. This reliably saves two additional cycles per block on salsa20
and chacha which would otherwise be incurred.

vld1.x does not seem to suffer from this or at least not to a level
where two consecutive vld1.x run slower than an equivalent vldm.
Rescheduling them similarly did not improve performance beyond that of
vldm.

Signed-off-by: Michael Weiser <michael.weiser@gmx.de>

ppc: Fix use of __GLIBC_PREREQ in fat-ppc.c.

* fat-ppc.c: Don't use __GLIBC_PREREQ in the same preprocessor
conditional as defined(__GLIBC_PREREQ), but move to a nested #if
conditional. Fixes compile error on OpenBSD/powerpc64, reported by
Jasper Lievisse Adriaanse.

Recognize arm64 in configure

Note 3.7 release.

NEWS: Mention ARM big-endian breakage as a known issue.

gitlab-ci: Use --disable-assembler, for ubsan, asan and static analyzer tests.

Update NEWS file. Say that fat builds are now on by default.

Enable fat build by default.

News entries for Nettle-3.7.

Fix typo in old NEWS entry for Nettle-3.6.

Distribute the README files in assembly directories.

Increase version numbers, for Nettle-3.7.

* configure.ac: Bump package version, to 3.7.
(LIBNETTLE_MINOR): Bump minor number, to 8.1.
(LIBHOGWEED_MINOR): Bump minor number, to 6.1.

arm: Fix comment typo

Spotted by Michael Weiser

ChangeLog entry for previous fat ppc fix.

Merge branch 'undefined' into 'master'

[PowerPC64] Skip using getauxval() when it is not available

See merge request nettle/nettle!16

combine preprocessor directives to reduce nesting of conditions in fat-ppc.c

[PowerPC64] Skip using getauxval() when it is not available

Merge branch 'ppc-got-32bit' into 'master'

[PowerPC64] Use 32-bit offset to load data

See merge request nettle/nettle!14

[PowerPC64] Use 32-bit offset to load data

ppc: More interleaving of chacha_4core.

Merge branch 'ppc-chacha-4core'

Fix comment type

ppc: Save registers below stack pointer, without modifying it.

ppc: Optimize chacha_4core main loop

* powerpc64/p7/chacha-4core.asm (QR): Instruction level
interleaving in the main loop, written by Torbjörn Granlund.

ppc: Workaround using m4_unquote.

m4: New macro m4_unquote

ppc: Add byte-swapping to chacha_4core, for big-endian builds.

Delete _nettle_chacha_crypt_2core and _nettle_chacha_crypt32_2core.

ppc: New assembly for chacha_core4, doing four blocks in parallel.

* chacha-crypt.c: (_nettle_chacha_crypt_4core)
(_nettle_chacha_crypt32_4core): New functions.
* chacha-internal.h: Add prototypes for _nettle_chacha_4core and
related functions.
* configure.ac (asm_nettle_optional_list): Add chacha-4core.asm.
* powerpc64/fat/chacha-4core.asm: New file.
* powerpc64/p7/chacha-4core.asm: New file.
* fat-ppc.c (fat_init): When altivec is available, use
_nettle_chacha_crypt_4core and _nettle_chacha_crypt32_4core
instead of _2core variants.

Fix a ChangeLog typo.

Add missing forward declaration.

Fix counter bug in _chacha_crypt32_3core.

Delete name mangling of internal umac symbols

Delete name mangling of internal sha3 symbols

Delete name mangling of internal salsa20 symbols

Delete name mangling of internal poly1305 symbols

Delete name mangling of internal gost symbols

Delete name mangling of internal Chacha symbols

Delete name mangling of internal _nettle_ctr_crypt16 function

Delete name mangling of internal _nettle_dsa_hash function

Delete name mangling of internal Camellia symbols

Delete name mangling of internal AES symbols