tests: split provable-privkey into multiple checks

This allows the tests to be run in parallel.

tests: provable-dh was split into two programs

This allows the test to be run more efficiently when run
in parallel.

.gitlab-ci.yml: do not run the full test suite on valgrind test

This allows the CI test to run on reasonable time.

doc update

more files to ignore

devel/openssl: updated to 1.1.0 release

aarch64: added optimized AES-CCM mode

Imported Andy Polyakov's implementation of AES-GCM in aarch64

Imported Andy Polyakov's implementation of AES in aarch64

Added HMAC-SHA* optimizations for aarch64

Imported Andy Polyakov's implementations for SHA* in aarch64

fix zero-termination in _gnutls_server_name_set_raw() for large server names

_gnutls_check_id_for_change: added check for NULL username

This is not required, but may prevent from issues if code-reorganizations
which may set a NULL username, occur.

gnutls_*_crt_print: better error checking

tests: added test for CKA_ALWAYS_AUTHENTICATE handling in PKCS#11

This checks whether GnuTLS properly calls login prior to any sign
operations when the object is marked as CKA_ALWAYS_AUTHENTICATE.

pkcs11: improved debugging output in pkcs11_login

name constraints: removed unused variable

tools: clarify errors when reading files

Previously certtool and ocsptool would report:
```
$ certtool --generate-request --load-privkey=foo --outfile=bar
Generating a PKCS #10 certificate request...
reading --load-privkey: foo
```

And that doesn't make apparent what the issue was. Modified
to print:
```
error reading --load-privkey: foo
```

Report and initial patch by Thibault Nélis.

Resolves !97

p11tool: doc update [ci skip]

Removed C99 constructions in for-loops

These constructions although valid for C99 they are
being rejected by various compilers. Get rid of them.

certtool: print correct size of EC keys

Previously certtool complained about key size if --curve is given:

 $ certtool --generate-privkey --ecc --curve secp256r1 --outfile key.pem
 Generating a -2147483646 bit EC/ECDSA private key...
 Note that ECDSA keys with size less than 256 are not widely supported.

p11tool: documented the p11-kit relevancy of distrust and stapled

pkcs11: forbid PKCS#11 extensions to be used in other than trust modules

That is, only use the CKA_X_DISTRUSTED and the extension override in
p11-kit trust modules, to avoid conflicts with potentially other
PKCS#11 extensions.

.gitlab-ci.yml: enabled valgrind tests build

tests: allow handshake-large-packet to run under valgrind

That is, initialize the allocated buffers with a known value.

p11tool: introduced the --mark-distrusted and --distrusted options

This allows to mark objects as distrusted, as well as list all
distrusted certificates (blacklisted) for a p11-kit trust module as:
p11tool --list-all-certs --distrusted

pkcs11: introduced flag GNUTLS_PKCS11_OBJ_FLAG_MARK_DISTRUSTED

This allows to mark objects as distrusted, as well as to be
able to list distrusted objects.

pkcs11: only staple extensions from a trust module when they are from a non-distrusted certificate

That is, make sure that the API for stapling extensions is only used
for non-distrusted (blacklisted) certificates. The reason is to avoid
duplicate extension entries from the p11-kit trust database. These
come from blacklisted certificates, and we have no reason to support
stapled extensions with blacklisted certificates.

p11tool: allow to export a certificate with its stapled extensions

gnutls_oid_to_ecc_curve: fix null pointer dereference

This addresses issue where an unknown curve would cause a
null pointer dereference. This was introduced with the addition
of X25519. Reported by Theofilos Petsios.

Only send the status request extension on cert authentication

That is, do not both asking for it, or replying to it, if we are
not using any certificates.

gdoc: improved the detection and display of escaped characters (@%)

This allows to properly display strings like %COMPAT and @SYSTEM
in the manual and the manpages.

doc: gnutls_priority_init: fixed %COMPAT [ci skip]

.gitlab-ci.yml: corrected debian build's dependency

doc update

On client side allow signing with the signature algorithm of our cert

That allows to sign for example with DSA-SHA1 as client even if we do not
allow DSA-SHA1 as signature algorithm for server's certificate. This allows
to use a deprecated certificate without enabling deprecated algorithms
globally.

_gnutls_session_get_sign_algo: always return GNUTLS_SIGN_UNKNOWN on failure

tests: added check for server-side ECDSA keys

These tests check whether a server ECDSA key will be rejected by
the client in case the client has no ECDSA signature algorithms
available.

tests: added check for client-side DSA key

This checks whether a client can use and send a DSA key, even
if DSA is not enabled (which should prohibit the server from providing
a DSA certificate).

certtool: do not require a certificate to generate a PKCS#12 file

That is, allow generating PKCS#12 files with private keys only as well.

.gitlab-ci.yml: added debian build

README.md: depend on softhsm2 and net-tools on debian

tests: mini-server-name: skip invalid UTF-8 check if compiled without libidn

This allows the test suite to run in systems without libidn. Reported
by Thomas Klausner.

tests: added the macros test_fail() and test_success()

These macros allow test programs which run multiple checks,
to report the name of the check failed. Modified mini-server-name
and x509-dn-decode to use the macro.

cfg.mk: removed invalid rule in web target

doc update

added debugging message when session fails due to handshake hash buffer

tests: check whether large packets are allowed on the handshake

Do not allow sending overflowed extensions field

That is, restrict the extensions to a 2^16 total size.

tests: minor improvements in mini-extension

This will improve recovery from error conditions.

Increased the maximum size allowed for handshake messages to 128kb

This would allow the library to cope with larger packets, as well
as TLS 1.3 hellos. Suggested by Hubert Kario.

tests: added check for insecure key

That is, a check which verified whether a connection to a server with
a very small key will fail the certificate verification check.

doc update

Introduced separate error codes for invalid private and public keys

This allows functions like decryption and verification to report
the specific issue they encountered on public key error.
The new codes are GNUTLS_E_PK_INVALID_PUBKEY and GNUTLS_E_PK_INVALID_PRIVKEY

.gitlab-ci.yml: no longer require gnutls-devel

This package is no longer needed to run abi-check.

Makefile: abi-check no longer require gnutls headers to be installed

This addresses the issue of requiring gnutls-devel in the CI system
to run abi-check.

doc: remove the conditional self_test functions

Also prevent them by re-entering the documented functions list
by restricting the header files that contribute functions to the
known list defined by $(HEADER_FILES).

Makefile.am: introduced 'make files-update' rule

This rule updates the makefiles in doc/ and the kept symbol list.
This allows for easier automation of the symbol change 'make dist'
breakages.

manpages: delete comparison temp file

Makefile.am: symbol changes were made more elaborate

During make dist, the makefile will report the appropriate
symbol change message with instructions and fail.

updated doc and symbol files for gnutls_certificate_set_ocsp_status_request_function2

Makefile.am: print the symbols.last diff on make dist

This allows to manually verify the contents before overriding
the old file.

doc: allow creation of gnutls.epub without running epub-fix

.gitlab-ci.yml: use nproc as argument to 'make -j'

That way, we use as many make processes, as the number of
CPUs in the CI system.

.gitlab-ci.yml: added build which runs 'make dist'

This tests whether the manpages, info, html, pdf and epub
manual are properly generated, and whether any new functions
were included into makefiles.

doc: fixed the epub documentation generation

gnutls_certificate_set_ocsp_status_request_file: mention version it was enhanced

doc: corrected typo

Add ECDHE-* to the priority string docs for key exchange algorithms

GNUTLS_KX_ECDHE_PSK was added in 2.99.3 (released 2011-06-18)
The other two were added in 2.99.2 (released 2011-05-26)

Signed-off-by: Alex Monk <krenair@gmail.com>

doc update

.gitlab-ci.yml: added check for position dependent code

Makefile.am: added check for position dependent code

This check will verify that the generated library doesn't contain
position dependent code. It depends on elf utilities.

openssl asm: reverted to AESNI-x86 code to gnutls 3.4.x code

The newer code was creating position dependent code.

tests: added checks to verify server understanding of UTF8 hostnames

This verifies whether a server can understand and serve requests
which contain UTF-8 server names.

tests: set_key: fixed the time override

tests: set_key: enabled failure_mode test

Also eliminated memory leaks related to it.

Added IDNA support in server side

Any server names provided to server side by the gnutls_certificate_set_*
functions, are converted to IDNA format for comparison with client provided
values.

doc update

.gitlab-ci.yml: restrict the freebsd builds to local branches only

Add SIGN-ECDSA-SHA* to the priority strings docs

There were added in version 2.99.2, 2011-05-26

Signed-off-by: Alex Monk <krenair@gmail.com>

gnutls_certificate_set_*key: ensure proper cleanup on key mismatch failures

That is, ensure that we keep no local references that are shared with
the caller, and that we properly free all initialized values.

tests: check key mismatch on gnutls_certificate_set_*key

That is, check whether these functions can successfully
recover from such condition, without leaks or double freeing.

tests: added unit testing for gnutls_certificate_set_ocsp_status_request_function2

tests: added unit tests for gnutls_certificate_set_x509_key()

In addition these tests verify that the expected index is returned
and that can be used with gnutls_certificate_get_crt_raw() afterwards.

tests: enhanced set_x509_key tests to include index verification

That is, verify that correct indexes are returned, and these
can be used with gnutls_certificate_get_crt_raw() afterwards.

tests: enhanced set_x509_key_file tests to include index verification

That is, verify that correct indexes are returned, and these
can be used with gnutls_certificate_get_crt_raw() afterwards.

tests: more checks for functionality of gnutls_certificate_set_ocsp_status_request_file

This introduces checks for the cases where gnutls_certificate_set_ocsp_status_request_file()
is called with multiple indexes, to set an OCSP response for different
certificates. The tests then verify whether the expected OCSP response
is received.

Added gnutls_certificate_set_ocsp_status_request_function2

That introduces a new function to allow setting an OCSP status
request handling function per certificate. Furthermore it repurposes
the flag parameters to an index option on gnutls_certificate_set_ocsp_status_request_file.

The changes above allow setting a different OCSP status response
file per certificate, and a different function. The indexes they
rely on to associate with existing certs are the indexes returned
by the gnutls_certificate_set_key() and friends functions.

All the key and chain set functions return an index

When setting key and certificate material to a gnutls_certificate_credentials_t
structure, the corresponding set functions will return an index.
That index could be used later either on the get functions, or
when setting corresponding data (e.g., an OCSP response).

doc: clarifications in gnutls_certificate_set_ocsp_status_request_function()

Typo fixes found by lintian.

incosistent, ommited

.gitlab-ci.yml: added code-coverage output to clang build

.gitlab-ci.yml: the code-coverage command will always succeed

This works around random failures while calculating the code coverage.

.gitlab-ci.yml: moved commonly installed packages into the before_script field

.gitlab-ci.yml: added syntax check build

cfg.mk: revived 'make release'

several spacing fixes to keep syntax-check happy

avoid the usage of '-a' and '-o' bash options

This keeps syntax-check happy.

avoid the usage of strncpy

removed signal.h from files that wasn't used at