Bump to 0.2.4.9-alpha-dev

bump to 0.2.4.9-alpha

fold in new change stanza

Fix handling of ntor handshakes received via CREATE cells

Fixes bug 7959; bugfix on 0.2.4.8-alpha.

Better log message to diagnose #7959

Bump version to 0.2.4.8-alpha-dev

bump to 0.2.4.8-alpha

finish poking at the changelog

Revert junk accidentally included with "start folding in the changes entries"

Looks like Roger's debugging code wanted to take a tour of the world
outside his sandbox.

This reverts part of commit 19d37202362c0298ae2f3954b0065ccfcef0dbda.

Merge remote-tracking branch 'origin/maint-0.2.3'

Merge remote-tracking branch 'origin/maint-0.2.2' into maint-0.2.3

start folding in the changes entries

Merge branch 'bug7869'

Merge remote-tracking branch 'mikeperry/bug7691-rebased'

Merge branch 'bug7935'

Handle EWOULDBLOCK as EAGAIN if they happen to be different.

Fixes bug 7935.  Reported by 'oftc_must_be_destroyed'.

Bug 7691 review fixes.

Also add in the random nonce generation.

Bug 7341 code review fixes.

Bug 7691: Send a probe cell down certain types of circs.

In general, if we tried to use a circ for a stream, but then decided to place
that stream on a different circuit, we need to probe the original circuit
before deciding it was a "success".

We also need to do the same for cannibalized circuits that go unused.

Fix bug 7341.

Fix cannibalize, rend circ and intro circ timeout handling.

Make the = at the end of ntor-onion-key optional.

Makes bug 7869 more easily fixable if we ever choose to do so.

Update to the January 2013 GeoIP database.

Whoops; make that unit test actually pass :/

Add a unit test for the curve25519 keypair persistence functions

Merge branch 'ntor-resquashed'

Conflicts:
src/or/cpuworker.c
src/or/or.h
src/test/bench.c

Check all crypto_rand return values for ntor.

Complete all DOCDOC entries from the ntor branch

Use safe_mem_is_zero for checking curve25519 output for 0-ness

This should make the intent more explicit.  Probably needless, though.

Implement a constant-time safe_mem_is_zero.

changes file for the ntor branch

Document UseNTorHandshake

Add new ntor bits to gitignore

Add reference implementation for ntor, plus compatibility test

Before I started coding ntor in C, I did another one in Python.
Turns out, they interoperate just fine.

ntor: Don't fail fast server-side on an unrecognized KEYID(B)

Update our copy of curve25519-donna-c64.

This now matches upstream at version 59a896970a1ad0a6cd7d0.
(Adam took my patches.)

Use always_inline only with inline; otherwise GCC gripes

Make libcurve25519_donna get built as a .a

This lets us give it compiler flags differing from the rest of
libor-crypto.a

Fix an unused-variable warning

Enable the ntor handshake on the client side.

"works for me"

Enable handling of create2/extend2/created2/extended2

Don't check create cells too much when we're relaying them

We want to sanity-check our own create cells carefully, and other
people's loosely.

Implement scheme to allow ntor requests/responses via older servers

Use created_cell_format where appropriate

Use new wrappers for making,sending,processing create/extend cells

Teach cpuworker and others about create_cell_t and friends

The unit of work sent to a cpuworker is now a create_cell_t; its
response is now a created_cell_t.  Several of the things that call or
get called by this chain of logic now take create_cell_t or
created_cell_t too.

Since all cpuworkers are forked or spawned by Tor, they don't need a
stable wire protocol, so we can just send structs.  This saves us some
insanity, and helps p

Code to parse and format CREATE{,2,_FAST} cells and their allies

As elsewhere, it makes sense when adding or extending a cell type to
actually make the code to parse it into a separate tested function.

This commit doesn't actually make anything use these new functions;
that's for a later commit.

Rename handshake_digest to rend_circ_nonce

The handshake_digest field was never meaningfully a digest *of* the
handshake, but rather is a digest *from* the handshake that we exapted
to prevent replays of ESTABLISH_INTRO cells.  The ntor handshake will
generate it as more key material rather than taking it from any part
of the circuit handshake reply..

Massive refactoring of the various handshake types

The three handshake types are now accessed from a unified interface;
their state is abstracted from the rest of the cpath state, and so on.

Refactor the CREATE_FAST handshake code to match the others.

Split onion.[ch] into onion{,_fast,_tap}.[ch]

I'm going to want a generic "onionskin" type and set of wrappers, and
for that, it will be helpful to isolate the different circuit creation
handshakes.  Now the original handshake is in onion_tap.[ch], the
CREATE_FAST handshake is in onion_fast.[ch], and onion.[ch] now
handles the onion queue.

This commit does nothing but move code and adjust header files.

Wrangle curve25519 onion keys: generate, store, load, publish, republish

Here we try to handle curve25519 onion keys from generating them,
loading and storing them, publishing them in our descriptors, putting
them in microdescriptors, and so on.

This commit is untested and probably buggy like whoa

Move curve25519 keypair type to src/common; give it functions

This patch moves curve25519_keypair_t from src/or/onion_ntor.h to
src/common/crypto_curve25519.h, and adds new functions to generate,
load, and store keypairs.

Refactor strong os-RNG into its own function

Previously, we only used the strong OS entropy source as part of
seeding OpenSSL's RNG.  But with curve25519, we'll have occasion to
want to generate some keys using extremely-good entopy, as well as the
means to do so.  So let's!

This patch refactors the OS-entropy wrapper into its own
crypto_strongest_rand() function, and makes our new
curve25519_secret_key_generate function try it as appropriate.

curve25519-donna-c64: make endian-neutralness fns static

Implementat the ntor handshake

The ntor handshake--described in proposal 216 and in a paper by
Goldberg, Stebila, and Ustaoglu--gets us much better performance than
our current approach.

Add a wrapper around, and test and build support for, curve25519.

We want to use donna-c64 when we have a GCC with support for
64x64->uint128_t multiplying.  If not, we want to use libnacl if we
can, unless it's giving us the unsafe "ref" implementation.  And if
that isn't going to work, we'd like to use the
portable-and-safe-but-slow 32-bit "donna" implementation.

We might need more library searching for the correct libnacl,
especially once the next libnacl release is out -- it's likely to have
bunches of better curve25519 implementations.

I also define a set of curve25519 wrapper functions, though it really
shouldn't be necessary.

We should eventually make the -donna*.c files get build with
-fomit-frame-pointer, since that can make a difference.

curve25519-donna-c64: work on bigendian and alignment-happy systems

There was one place in curve25519-donna-c64 that was relying on
unaligned access and relying on little-endian values.  This patch
fixes that.

I've sent Adam a pull request.

Make curve25519-donna work with our compiler warnings.

Add fallback implementations for curve25519: curve25519_donna

This is copied from Adam Langley's curve25519-donna package, as
of commit 09427c9cab32075c06c3487aa01628030e1c5ae7.

Add a data-invariant linear-search map structure

I'm going to use this for looking op keys server-side for ntor.

Avoid spurious local-port warnings

Our old warn_nonlocal_client_ports() would give a bogus warning for
every nonlocal port every time it parsed any ports at all.  So if it
parsed a nonlocal socksport, it would complain that it had a nonlocal
socksport...and then turn around and complain about the nonlocal
socksport again, calling it a nonlocal transport or nonlocal dnsport,
if it had any of those.

Fixes bug 7836; bugfix on 0.2.3.3-alpha.

Fix a couple of harmless clang3.2 warnings

Merge branch 'bug7814_squash'

Fix a crash bug when running an node without IPv6-exit support.

Fixes bug 7814; bugfix on 0.2.4.7-alpha.

Rate-limit "No circuits are opened" message to once-per-hour

mr-4 reports on #7799 that he was seeing it several times per second,
which suggests that things had gone very wrong.

This isn't a real fix, but it should make Tor usable till we can
figure out the real issue.

Fix a possibly-unused-var warning.  Thank you, GCC.

Fix compilation warning: must not format u64 as long.

Fix whitespace

Merge remote-tracking branch 'mikeperry/209-path-bias-changes'

Merge branch 'directory_guards_rebased'

Add documentation for directory guard options

Add configuration options for directory guards

In addition to all the other ways to make directory gurads not go,
you can now set UseEntryGuardsAsDirGuards to 0.

Directory guard implementation.

Implements proposal 207; ticket 6526.

Remember which of our guards are directory caches

Split choosing a regular directory into its own fn

One last fix for a warning on non-EC systems

Merge branch 'tls_ecdhe_rebased_v2'

Be more noncomittal about performance improvement of uint128 backend.

Make ECDHE group configurable: 224 for public, 256 for bridges (default)

Inform the user if they're passing up a 10x ECDH speedup.

Add benchmark for DH handshake and ECDH-P-224/56 handshake

Let servers choose better ciphersuites when clients support them

This implements the server-side of proposal 198 by detecting when
clients lack the magic list of ciphersuites that indicates that
they're lying faking some ciphers they don't really have.  When
clients lack this list, we can choose any cipher that we'd actually
like.  The newly allowed ciphersuites are, currently, "All ECDHE-RSA
ciphers that openssl supports, except for ECDHE-RSA-RC4".

The code to detect the cipher list relies on on (ab)use of
SSL_set_session_secret_cb.

Remove the address argument from client cipher classification fns

Cache the type of client cipher list we have in the tor_tls_t

We already use this classification for deciding whether (as a server)
to do a v2/v3 handshake, and we're about to start using it for
deciding whether we can use good ciphersuites too.

prop198: Detect the list of ciphersuites we used to lie about having

This is less easy than you might think; we can't just look at the
client ciphers list, since openssl doesn't remember client ciphers if
it doesn't know about them.  So we have to keep a list of the "v2"
ciphers, with the ones we don't know about removed.

Configure SSL context to know about using P-256 for ECDHE.

bump to 0.2.4.7-alpha-dev

add a blurb for 0.2.4.7-alpha too

bump to 0.2.4.7-alpha

fold in changes files so far

When there are no dir_server_ts to choose, don't crash

It's important not to call choose_array_element_by_weight and then
pass its return value unchecked to smartlist_get : it is allowed to
return -1.

Fixes bug 7756; bugfix on 4e3d07a6 (not in any released Tor)

Nick's Code review #3 part 2.

Changes from Nick's code review 'part 1'

I think this is actually his third code review of this branch so far.

Add packaged cell fullness to the heartbeat message.

This is an attempt to diagnose the severity of bug 7743.

Remove the obsolete doc/TODO.* files

Closes bug #7730.

Merge branch 'ticket7570_7571'

Conflicts:
src/or/routerlist.c

Drop the maximum attempts to get a virtual address to 1000.

This is good enough to give P_success >= 999,999,999/1,000,000,000 so
long as the address space is less than 97.95 full.  It'd be ridiculous
for that to happen for IPv6, and usome reasonable assumptions, it
would also be pretty silly for IPv4.

Describe IPv6 automap changes

Document PreferIPv6Automap in the manpage

Add missing doxygen for DNS and automap code