Test early-consensus clock skew warnings

Add expect_no_log_msg_containing()

Make clock_skew_warning() mockable

tests: Add "now" param to construct_consensus()

construct_consensus() in test_routerlist.c created votes using a
timestamp from time().  Tests that called construct_consensus() might
have nondeterministic results if they rely on time() not changing too
much on two successive calls.

Neither existing of the two existing tests that calls
construct_consensus is likely to have a failure due to this problem.

Update rust submodule.

rust: Add crypto crate and implement Rust wrappers for SHA2 code.

 * FIXES #24659: https://bugs.torproject.org/24659

Merge branch 'bug26004_029_squashed'

Add a changes file for ticket 26004.

Avoid unsigned integer underflow on empty input.

Allow bandwidth-file lines to have node_id in the last position

Closes ticket 26004.

Merge remote-tracking branch 'mikeperry/bug25870_rebase'

Merge branch 'ticket26008'

Merge branch 'maint-0.3.3'

manpage fix to stop saying CacheIPv4DNS is on by default

Stop saying in the manual that clients cache ipv4 dns answers from exit
relays. We haven't used them since 0.2.6.3-alpha, and in ticket 24050
we stopped even caching them as of 0.3.2.6-alpha, but we forgot to say
so in the man page.

Fixes bug 26052; bugfix on 0.3.2.6-alpha.

Bug 25870: Mention path restriction differences in manpage.

minor cleanups on commit 17daab76

better punctuation and clearer wording

Merge remote-tracking branch 'catalyst-github/bug26036'

Restore sys/random.h inclusion for getentropy()

Code movement for the refactoring for ticket 24658 didn't copy the
inclusion of sys/random.h, which is needed to get a prototype for
getentropy() on macOS 10.12 Sierra.  It also didn't copy the inclusion
of sys/syscall.h, which might prevent the getrandom() syscall from
being properly detected.  Move these inclusions.  Bug not in any
released Tor.

Merge branch 'maint-0.3.3'

Merge remote-tracking branch 'mikeperry/bug25733_029' into maint-0.3.3

Merge remote-tracking branch 'saper/default_nickname'

Merge branch 'ticket26014'

Merge remote-tracking branch 'mikeperry/bug25705_v3_033'

Fix the selection of events to cancel in test_workqueue.c

Our previous algorithm had a nonzero probability of picking no
events to cancel, which is of course incorrect.  The new code uses
Vitter's good old reservoir sampling "algorithm R" from 1985.

Fixes bug 26008; bugfix on 0.2.6.3-alpha.

Add unit test for ..get_start_of_next_voting_interval().

This functionality was covered only accidentally by our voting-test
code, and as such wasn't actually tested at all.  The tests that
called it made its coverage nondeterministic, depending on what time
of day you ran the tests.

Closes ticket 26014.

build: Fix missing include for src/rust/external/crypto_rand.rs file.

 * FIXES #26025: https://bugs.torproject.org/26025

rust: Update Cargo.lock file with changes from #26024.

rust: Update submodule commit for src/ext/rust directory.

 * FIXES part of #26024: https://bugs.torproject.org/26024

Update rand dependency from 0.5.0-pre.0 to 0.5.0-pre.1.

I should have tested before I pushed.

Merge remote-tracking branch 'github/ticket25995'

Merge remote-tracking branch 'dgoulet/ticket25914_034_01'

Add src/rust/rand to include.am

Move some includes around to try to fix windows builds

Update rust dependencies to latest version.

Merge remote-tracking branch 'isis/bug24660_r1'

Merge remote-tracking branch 'dgoulet/ticket25991_034_01'

Merge remote-tracking branch 'dgoulet/ticket25990_034_01'

Merge branch 'maint-0.3.2' into maint-0.3.3

Merge branch 'maint-0.3.3'

Merge branch 'maint-0.3.1' into maint-0.3.2

Merge branch 'maint-0.2.9' into maint-0.3.1

Merge remote-tracking branch 'catalyst-github/bug25936-033' into maint-0.3.3

Merge remote-tracking branch 'catalyst-github/bug25936-031' into maint-0.3.1

Merge remote-tracking branch 'catalyst-github/bug25936-029' into maint-0.2.9

Merge branch 'maint-0.3.3'

Merge remote-tracking branch 'teor/bug25998' into maint-0.3.3

Merge remote-tracking branch 'github/ticket25952'

Merge remote-tracking branch 'github/ticket25951'

Merge remote-tracking branch 'github/ticket25949'

doc: Add missing HACKING/ files to EXTRA_DIST

Apart from adding the newly created Module.md, this commit also adds all the
missing files we have in HACKING/ to the EXTRA_DIST.

Signed-off-by: David Goulet <dgoulet@torproject.org>

doc: Add Module.md explaining Tor modules

Initial document that contains guidelines to write a new module in Tor.

Closes #25991

Signed-off-by: David Goulet <dgoulet@torproject.org>

hs-v3: Remove extra white-space and clarify comment

From Neel's latest patch on optimizing the hs_circ_service_get_intro_circ()
digest calculation, remove an extra white-space and clarify a comment of the
legacy key digest to inform when to use it.

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge remote-tracking branch 'asn/bug23107'

rust: Expose crypto_rand() as an impl of rand_core::RngCore.

Merge branch 'ticket25997'

dirauth: Move authdir_mode_v3() to module

This function must return false if the module is not compiled in. In order to
do that, we move the authdir_mode_v3() function out of router.c and into the
dirauth module new header file named mode.h.

It is always returning false if we don't have the module.

Closes #25990

Signed-off-by: David Goulet <dgoulet@torproject.org>

Make hs_get_responsible_hsdirs() deterministic.

This test was using the current time to pick the time period number,
and a randomly generated hs key.  Therefore, it sometimes picked an
index that would wrap around the example dht, and sometimes would
not.

The fix here is just to fix the time period and the public key.

Fixes bug 25997; bugfix on 0.3.2.1-alpha.

dirvote: Fix typo in comment

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'maint-0.3.1' into maint-0.3.2

Merge branch 'maint-0.2.9' into maint-0.3.1

Merge branch 'maint-0.3.2' into maint-0.3.3

Merge branch 'maint-0.3.3'

Merge branch 'ticket25996'

Stop logging stack contents when reading a zero-length bandwidth file

When directory authorities read a zero-byte bandwidth file, they log
a warning with the contents of an uninitialised buffer. Log a warning
about the empty file instead.

Fixes bug 26007; bugfix on 0.2.2.1-alpha.

Bug 26000: Fix missing ";"

squash! Optimize legacy intro point digest calculation.

Optimize legacy intro point digest calculation.

man page: FetchUselessDescriptors and DirCache exclude extra infos

man page: UseMicrodescriptors auto and 1 are the same now

man page: FetchUselessDescriptors stops tor going idle

Also explain how FetchUselessDescriptors and UseMicrodescriptors are
different.

Closes 25998.

coverage: Repeat the test for avoiding failed intro points

This test, in test_client_pick_intro(), will have different coverage
depending on whether it selects a good intro point the first time or
whether it has to try a few times.  Since it produces the shorter
coverage with P=1/4, repeat this test 64 times so that it only
provides reduced coverage with P=1/2^128.  The performance cost is
negligible.

Closes ticket 25996.  This test was introduced in 0.3.2.1-alpha.

Use a deterministic PRNG in test_circuit_timeout()

I'd prefer not to do this for randomized tests, but as things stand
with this test, it produces nondeterministic test coverage.

Closes ticket 25995; bugfix on 0.2.2.2-alpha when this test was
introduced.

Stop using approx_time() in circuitmux_ewma.

It doesn't match with the tick-count code any longer.

Bug not in any released Tor.

Bug 25705: Don't count circuit path failures as build failures.

Also emit a rate limited log message when they happen, since they are likely
correlated with other issues.

Merge remote-tracking branch 'github/eliminate_gettimeofday_cached'

Move unreachable port warnings to a periodic event.

Arguably, the conditions under which these events happen should be a
bit different, but the rules are complex enough here that I've tried
to have this commit be pure refactoring.

Closes ticket 25952.

Finally, before this code goes away, take a moment to look at the
amazing way that we used to try to have an event happen
every N seconds:

      get_uptime() / N != (get_uptime()+seconds_elapsed) / N

Truly, it is a thing of wonder.  I'm glad we didn't start using this
pattern everywhere else.

Build Tor without dirauth module in Travis.

See: https://bugs.torproject.org/25953

Add changes file for #25610

Signed-off-by: David Goulet <dgoulet@torproject.org>

dirvote: Make tokens a const in dirvote_parse_sr_commits()

Part of #25988

Signed-off-by: David Goulet <dgoulet@torproject.org>

Make find_opt_by_keyword() take a const smartlist

Part of #25988

Signed-off-by: David Goulet <dgoulet@torproject.org>

sr: Rename shared_random_common.{c|h} to shared_random_client.{c|h}

No code behavior change.

Pars of #25988

Signed-off-by: David Goulet <dgoulet@torproject.org>

vote: Move dirvote_recalculate_timing() to voting_schedule.c

By doing so, it is renamed to voting_schedule_recalculate_timing(). This
required a lot of changes to include voting_schedule.h everywhere that this
function was used.

This effectively now makes voting_schedule.{c|h} not include dirauth/dirvote.h
for that symbol and thus no dependency on the dirauth module anymore.

Signed-off-by: David Goulet <dgoulet@torproject.org>

vote: Namespace functions in voting_schedule.c

Rename them from dirvote_* to voting_schedule_*.

No code behavior change.

Part of #25988

Signed-off-by: David Goulet <dgoulet@torproject.org>

Rename dirvote_common.{c|h} to voting_schedule.{c|h}

No code behavior change.

Part of #25988

Signed-off-by: David Goulet <dgoulet@torproject.org>

dirvote: Make dirvote_get_preferred_voting_intervals() static

This function doesn't need to be public from the dirvote common file (which
will get renamed in future commit) so move it to dirauth/dirvote.c and make it
static.

Part of #25988

Signed-off-by: David Goulet <dgoulet@torproject.org>

ns: Move dirvote_get_voter_sig_by_alg() to networkstatus.c

It makes more sense to be in networkstatus.c so move it there and rename it
with the "networkstatus_" prefix.

Part of #25988

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'dirvote_act_refactor_v2_squashed'

Refactor to use safe_timer_diff.

Reschedule voting callback when any cfg option affecting it changes.

Ensure that voting is rescheduled whenever the schedule changes.

Move responsibility for voting into a separate periodic callback.

Closes ticket25937.

Update dirvote_act() to return the time of its next action.

This is remarkably simple, given the macros in the last commit.

Start refactoring dirvote_act() towards self-scheduling

This change should have no behavioral effect: it just uses macros to
describe the current control flow.

Fix an assertion failure introduced by #25948

Apparently, we can decide our state is dirty before we create the
event to tell the mainloop that we should save it.  That's not a
problem, except for the assertion failure.

Merge remote-tracking branch 'ffmancera-1/bug20522'

Remove responsibility for flushing log cbs from mainloop

This is now handled as-needed as the control module is flushing its
own callbacks.  Closes ticket 25951.

Merge remote-tracking branch 'dgoulet/ticket25610_034_01-squashed'

Give queued_events_flush_all() responsibility for flushing log cbs

This requires that when a log cb happens, the event for flushing
queued events is scheduled, so we also add the necessary machinery
to have that happen.

Note that this doesn't actually help with logs from outside the main
thread, but those were already suppressed: see #25987 for a ticket
tracking that issue.

Add a mechanism for the logging system to report queued callbacks

Sometimes the logging system will queue a log message for later.
When it does this, the callback will either get flushed at the next
safe time, or from the second-elapsed callback.

But we're trying to eliminate the second-elapsed callback, so let's
make a way for the log system to tell its users about this.