Changes file.

Refactor rend machines, stage 2/2: Move histogram code.

Comment clarifications now that the code is seperated. It's the same code, but
its doing this for different reasons on each side.

Refactor rend machines, stage 1/2: Move state transition code.

Refactor intro machines, stage 2/2: Move histogram code.

The client side had garbage histograms and deadcode here, too. That code has
been removed.

The tests have also been updated to properly test the intro circ by sending
padding from the relay side to the client, and verifying that both shut down
when padding was up. (The tests previously erroneously tested only the client
side of intro circs, which actually were supposed to be doing nothing).

Refactor intro machines, stage 1/2: Move state transition code.

This just moves the state transition directives into the proper client/relay
side functions. It also allows us to remove some dead-code from the client
side (since the client doesn't send padding).

Improve logging around the circpad module..

- Add some more useful logs for future debugging.

- Stop usage of circpad_state_to_string(). It's innacurate.

- Reduce severity and fix up log domain of some logging messages.

Add unittests for the new machines.

Add client-side onion service circuit hiding machines.

Correctly handle machines out of tokens that have not closed yet.

Perhaps the machine on the other side is still not done.

Introduce circpad free_all() function.

Generate non-padding circpad events for PADDING_NEGOTIATE(D).

As part of our machines, we need to know when a PADDING_NEGOATIATE(D) cell gets
sent out, so we add an event for this.

Make register_padding_machine part of the public API.

We are gonna use this function to register our new machine.

Behave correctly when state->max_length is zero.

fix typos, whitespace, comments

Merge branch 'tor-github/pr/1002'

Merge branch 'tor-github/pr/1021'

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'bug28780-squashed3-rebased' into bug28780_rebase

The practracker beatings will continue until the files get smaller.

Add control port circuit ID to all pathbias bug messages.

To ease debugging of miscount issues, attach vanguards with --loglevel DEBUG
and obtain control port logs (or use any other control port CIRC and
CIRC_MINOR event logging mechanism).

Pathbias should continue to ignore previously ignored circs.

If circuit padding wants to keep a circuit open and pathbias used to ignore
it, pathbias should continue to ignore it.

This may catch other purpose-change related miscounts (such as timeout
measurement, cannibalization, onion service circuit transitions, and
vanguards).

Bug 28780: Changes file

Bug 28780: Add tests

Also test circpad expiry safeguard.

Bug 28780: Make use of purpose to keep padding circuits open.

When a circuit is marked for close, check to see if any of our padding
machines want to take ownership of it and continue padding until the machine
hits the END state.

For safety, we also ensure that machines that do not terminate are still
closed as follows: Because padding machine timers are UINT32_MAX in size, if
some sort of network event doesn't happen on a padding-only circuit within
that time, we can conclude it is deadlocked and allow
circuit_expire_old_circuits_clientside() to close it.

If too much network activity happens, then per-machine padding limits can be
used to cease padding, which will cause network cell events to cease, on the
circuit, which will cause circpad to abandon the circuit as per the above time
limit.

Bug 28780: Add purpose for keeping padding circuits open

Merge branch 'bug29085_rebase'

Practracker beatings are even more fun when they get caused mid-PR due to a github auto-rebase of a PR

Because github PRs choose the most recent origin/master at the time of the PR
(and for any fixups pushed to a PR later to send to CI), there are tons of
conflicts and unexpected practracker issues.

This means CI can suddenly fail after fixups to a branch that pass locally.

Then CI fails and we have to close and re-open the PR.

Check the token supply when we received a padding event, too.

We need to check here because otherwise we can try to schedule padding with no
tokens left upon the receipt of a padding event when our bins just became
empty.

Fix two typo bugs found by new state length test.

Add test to explicitly check state lengths and token counts.

Our other tests tested state lengths against padding packets, and token counts
against non-padding packets. This test checks state lengths against
non-padding packets (and also padding packets too), and checks token counts
against padding packets (and also non-padding packets too).

The next three commits are needed to make this test pass (it found 3 bugs).
Yay?

Eliminate unneeded casts to circuit_t in circpad tests.

Bug 29085: Changes file.

Bug 29085: Avoid monotime usage for rtt estimates if it is not in use.

Make the relationship between mutable histograms and token removal explicit.

Merge branch 'maint-0.4.0'

Merge branch 'maint-0.3.5' into maint-0.4.0

Merge branch 'bug30475_035' into maint-0.3.5

Merge branch 'maint-0.4.0'

Merge branch 'tor-github/pr/1013' into maint-0.4.0

Bug 29085: Minor unit test updates for refactoring.

Deliver nonpadding events instead of calling token removal functions.

Bug 29085: Refactor padding sent accounting out of callback.

This commit moves code that updates the state length and padding limit counts
out from the callback to its own function, for clarity.

It does not change functionality.

Bug 29085: Refactor non-padding accounting out of token removal.

This commit moves the padding state limit checks and the padding rate limit
checks out of the token removal codepath, and causes all three functions to
get called from a single circpad_machine_count_nonpadding_sent() function.

It does not change functionality.

update practracker for tor_init

Merge branch 'ticket30452_035_v3' into ticket30452_041_v3

Make --list-modules imply --hush

Update practracker for 30452

Merge branch 'ticket30452_035_v3' into ticket30452_041_v3

Add a --list-modules command

Closes ticket 30452.

Merge remote-tracking branch 'tor-github/pr/1004'

Merge branch 'tor-github/pr/1006'

Fix a compilation warning: function does not have to be STATIC.

Merge branch 'bug28683_30173_29203_squashed'

The practracker beatings will continue until the functions get smaller.

Changes file for bugs28693+30173+29203.

Tests for bugs 28683, 30173, and 29203.

Bug 29203: Provide ReducedCircuitPadding torrc and consensus params

Bug 28693: Provide Torrc option to disable circuit padding.

Merge remote-tracking branch 'tor-github/pr/998'

sendme: Fix coverity CID 1444999

The code flow in theory can end up with a layer_hint to be NULL but in
practice it should never happen because with an origin circuit, we must have
the layer_hint.

Just in case, BUG() on it if we ever end up in this situation and recover by
closing the circuit.

Fixes #30467.

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'tor-github/pr/976'

Don't pass a NULL into a %s when logging client auth file load failure

Fortunately, in 0.3.5.1-alpha we improved logging for various
failure cases involved with onion service client auth.

Unfortunately, for this one, we freed the file right before logging
its name.

Fortunately, tor_free() sets its pointer to NULL, so we didn't have
a use-after-free bug.

Unfortunately, passing NULL to %s is not defined.

Fortunately, GCC 9.1.1 caught the issue!

Unfortunately, nobody has actually tried building Tor with GCC 9.1.1
before. Or if they had, they didn't report the warning.

Fixes bug 30475; bugfix on 0.3.5.1-alpha.

Merge branch 'tor-github/pr/973'

Merge branch 'tor-github/pr/1000'

Signed-off-by: David Goulet <dgoulet@torproject.org>

Only call tor_addr_parse() in circuit_is_acceptable() when needed

Merge branch 'tor-github/pr/994'

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge remote-tracking branch 'tor-github/pr/923'

Move "relay" and "router" periodic callbacks out of mainloop.c

(Some of these callbacks are specific to the OR module, so now it's
time to have an or_sys and or_periodic.)

Create a relay subsystem and move the shutdown functions there

Hiding crypt_path_t: Add changes file.

sendme: Add FlowCtrl protover value

See proposal 289 section 4.3 for more details.

It describes the flow control protocol at the circuit and stream level. If
there is no FlowCtrl protocol version, tor supports the unauthenticated flow
control features from its supported Relay protocols.

At this commit, relay will start advertising FlowCtrl=1 meaning they support
authenticated SENDMEs v1.

Closes #30363

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'tor-github/pr/954'

Hiding crypt_path_t: Hide 'crypto' usage in sendme.c

Hiding crypt_path_t: Change code to use the privatization macro.

Hiding crypt_path_t: Hiding 'crypto' using a macro.

Revert "Hiding crypt_path_t: Ensure that ->private is initialized."

This reverts commit 7497c9193a0f2c891a0802bf5fbe73cf7ec1ca99.

Revert "Hiding crypt_path_t: Create a constructor for crypt_path_t."

This reverts commit ab8b80944967ee5a6a0c45dbf61839cf257bfe44.

Hiding crypt_path_t: Some TODO notes for future directions.

Hiding crypt_path_t: Move some more crypt_path-specific functions.

- Move test-only cpath_get_n_hops() to crypt_path.c.
- Move onion_next_hop_in_cpath() and rename to cpath_get_next_non_open_hop().

The latter function was directly accessing cpath->state, and it's a first step
at hiding ->state.

Hiding crypt_path_t: Rename some functions to fit the crypt_path API.

Some of these functions are now public and cpath-specific so their name should
signify the fact they are part of the cpath module:

assert_cpath_layer_ok -> cpath_assert_layer_ok
assert_cpath_ok -> cpath_assert_ok
onion_append_hop -> cpath_append_hop
circuit_init_cpath_crypto -> cpath_init_circuit_crypto
circuit_free_cpath_node -> cpath_free
onion_append_to_cpath -> cpath_extend_linked_list

Hiding crypt_path_t: Trivial changes to satisfy check-local.

Hiding crypt_path_t: Ensure that ->private is initialized.

Now that we are using a constructor we should be more careful that we are
always using the constructor to initialize crypt_path_t, so make sure that
->private is initialized.

Hiding crypt_path_t: Create a constructor for crypt_path_t.

We are using an opaque pointer so the structure needs to be allocated on the
heap. This means we now need a constructor for crypt_path_t.

Also modify all places initializing a crypt_path_t to use the constructor.

Hiding crypt_path_t: Fixup broken unittests.

Hiding crypt_path_t: Move the free func in crypt_path.c.

Again everything is moved, apart from a free line using ->private.

Hiding crypt_path_t: Move some more init funcs in crypt_path.c.

Everything is moved, but the argument of the function is edited to access
->private->crypto.

Hiding crypt_path_t: Start with crypt_path.crypto .

Create some functions to eventually be able to hide crypt_path_t.crypto.

Hiding crypt_path_t: Move init functions to crypt_path.c.

This commit only moves code.

Hiding crypt_path_t: Move assert functions in crypt_path.c.

This commit only moves code, and makes one function public.

Hiding crypt_path_t: Introduce opaque crypt_path_private_t .

This will be our base for incrementally hiding crypt_path_t.

Merge branch 'tor-github/pr/984'

Signed-off-by: David Goulet <dgoulet@torproject.org>

Note how to update the new website in the ReleasingTor.md instructions

Merge branch 'maint-0.4.0'

"ours" to avoid version bump.

Bump to 0.4.0.5-dev

forward-port changelog and releasenotes from 0.4.0.5

Merge branch 'tor-github/pr/986'

sendme: Add changes file for prop289

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'tor-github/pr/999'

Add comments to include.am files to note where new sources go

This mechanism isn't perfect, and sometimes it will guess wrong,
but it will help our automation.

Changes file for improved dirauth modularity (ticket 30345)

practracker updates.

Remove some now-needless dirauth includes