certtool: introduced the --p7-show-data option

This option allows printing the embedded data in a PKCS#7 signed
structure.

gnutls_pkcs7_get_embedded_data: added function

This function allows extracting the embedded data from a PKCS#7 signed
structure.

tests: updated pkcs7-gen to account for content-type attribute

tests: check whether the content-type attribute is set if we sign using time

pkcs7: set by default the content type attribute

That is a requirement of rfc5652. Relates #59

pkcs7: use the PK_PKIX1_RSA_OID when writing RSA signature OIDs for PKCS#7 structures

That is because there are implementations which cannot cope with the
normal RSA signature OIDs. Relates #59

pkcs7: Disable the optional fields prior to generating the PKCS#7 structure

This resolves issue with our PKCS#7 structures not being parsed by
MacOSX' tools. Relates #59

certtool: corrected invalid free

certtool: warn if an ECDSA key is marked for encryption

build: fix make distclean by including src/gl only once

make sure gnutls_assert is present at the cases where GNUTLS_E_INTERNAL_ERROR is returned

configure: really make --disable-crywrap work

The crywrap variable is set regardless of the state of enable_crywrap,
hence --disable-crywrap never works.
Just put the tests for crywrap deps inside the enable_crywrap
conditional.

Signed-off-by: Gustavo Zacarias <gustavo@zacarias.com.ar>

certtool: the --p7-time option was made an enable/disable option

It remains disabled by default.

doc update

tests: check whether server returns the correct error code if presented with invalid versions

That is gnutls_handshake() will return GNUTLS_E_UNSUPPORTED_VERSION_PACKET in
server side, if the client presents a very old TLS version which is not supported.

Relates #42

handshake: when receiving a TLS version which is too low fail

That is, don't treat all unsupported version as being to high. Treat
versions which are not known and lower than the highest as a protocol
error.

Resolves #42

.gitlab-ci.yml: valgrind build was moved at the end as it is the slowest build

certtool: the --p7-include-cert option is enabled by default

This allows to generate PKCS#7 structures by default that can be
read by iOS.

#56 Feature: certtool --p7-sign support GNUTLS_PKCS7_INCLUDE_CERT

gnutls-cli-debug: rephrased inappropriate fallback test description to match the rest

doc update

Do not allow importing public keys from PKCS #11 private keys for DSA and ECDSA

This prevents the reading of the public key when non-RSA keys are available. This
is a much cleaner approach than 5a4e692511dc3a829eda0d7c5a87e56cbc2055f0.

Revert "Do not allow importing public keys from PKCS #11 private keys for DSA and ECDSA"

This reverts commit 5a4e692511dc3a829eda0d7c5a87e56cbc2055f0.

tests: check whether a peer changing certificate is detected

tests: doc update

Do not allow certificate change during a rehandshake

That is require that the certificate of the peer remains the same
and return GNUTLS_E_SESSION_CERTIFICATE_CHANGED otherwise. To revert
to the previous behavior the GNUTLS_ALLOW_CERT_CHANGE flag was introduced.

tests: check whether gnutls_pubkey_import_privkey() operates well for PKCS#11 RSA keys

Do not allow importing public keys from PKCS #11 private keys for DSA and ECDSA

That is, because they do not contain all the required parameters for a direct
import. Reported by Jan Vcelak.

pkcs11: avoid setting a variable which isn't used

MAX_PK_PARAM_SIZE was moved to gnutls_int.h

pkcs11: deinitialize gnutls_pkcs11_obj_t's pubkey on deinit

pkcs11: fix passing of incorrect variable in privkey_get_pubkey

The code worked for RSA because the content of the variables matched.
But it doesn't match for ECC.

CKM_RSA_PKCS_KEY_PAIR_GEN (0x0) == CKK_RSA (0x0)
CKM_ECDSA_KEY_PAIR_GEN (0x1040) != CKK_ECDSA (0x3)

Signed-off-by: Jan Vcelak <jan.vcelak@nic.cz>

gnutls-cli: don't use RSA ciphersuites to test chacha20 as they are not defined

documented bug in gnutls_x509_crt_get_*_unique_id()

tools: don't compile tpmtool if PKCS11 is disabled

That is because GnuTLS' TPM code makes use of the PKCS11 PIN callbacks.

Amend "When decoding extensions do not ignore decoding errors"

Do not treat an error the fact that no extensions field is present.

allow specifying NULL buffer in gnutls_x509_crt_get_*_unique_id()

NEWS: removed functions that were part of 3.4.x releases

doc update

tests: added check for TLS extension decoding error propagation

Relates #40

When decoding extensions do not ignore decoding errors

That is, move from a parsing error tolerance to a more strict
decoding approach.
Relates #40

.gitignore: more files to ignore

ocsp_output: when next update is not present don't print error message

That is because this field is optional.
Resolves #53

tests: override-ciphers will not run mac tests on windows

There is some issue with symbols for self tests not being exported.

.gitlab-ci.yml: removed separate builddir build from x86-64 targets to reduce builds

tests: updates for certtool test to run under windows

.gitlab-ci.yml: minimal library no longer requires x86-64 for compilation

.gitlab-ci.yml: in windows build skip the gnulib tests

.gitlab-ci.yml: added windows build

tests: changes for running tests under windows

tests: cipher-test will forward the prog exit code as the script exit code

README: added information for windows build

libopts: use the O_BINARY flag in windows for files

libopts: updated to 5.18.6

use consistent terms in system.c and system-keys-win.c

tests: added basic functionality testing for system-keys in windows

doc update

Added gnutls_encode_ber_digest_info and gnutls_decode_ber_digest_info

cross.mk: allow building with mingw64

tests: use gnulib where needed

cross.mk: updated windows cross compile makefile

tests: disable global-init-override test in windows

Gcc does not support weak symbols on this platform.

tools: don't call endservent in windows

added cast to silence gcc warning

tests: added check for multiple extension registering

statically initialize extensions instead of using the lib constructor

marked all extensions structures as constant

system-keys-win: allow reinitialization of the library after a deinitialization

getfuncs.pl: don't consider functions with _gnutls prefix

gnutls_global_init_skip: prefixed with an underscore

.gitlab-ci.yml: added clang compilation target

certtool: check fread_file() for errors in all situations

This caused certtool to crash on invalid input on stdin.
Reported by Christoph Biedl.

doc update

gnutls_certificate_set_flags: Added since

tests: check gnutls_certificate_flags

Added gnutls_certificate_flags() and GNUTLS_CERTIFICATE_SKIP_KEY_CERT_MATCH

That allows a user of the credentials to disable the certificate matching
action. That is, to disable the calls to sign and verify on initialization.

link with libdl when trousers is enabled; reported by Andreas Schneider

enhanced cipher selftests with variable key sizes on arcfour

Do not enforce a maximum key size on ARCFOUR

That makes the library consistent with the behavior of previous versions (3.3.x)

gnutls-cli-debug: make TLS 1.6 fallback check more reliable

doc update

README: added non-interactive versions of commands

.gitlab-ci.yml: disable non-suiteb curves in all systems as we have multiple which are fedoras

tests: corrected copyright info

documented GNUTLS_SKIP_GLOBAL_INIT macro

tests: added check for overriding global initialization

Added GNUTLS_SKIP_GLOBAL_INIT macro to allow programs skip implicit global initialization

tests: utils.c: simplify windows check

.gitlab-ci.yml: added build and check in FIPS140-2 mode

tests: made seccomp tests more reliable by waiting for each side to terminate

doc: document how to use gnutls with seccomp

.gitlab-ci.yml: reorganized and added a simple build and check on x86-64 rule

The latter also enables the seccomp checks.

tests: check operation of TLS and DTLS under seccomp when configured with --enable-seccomp-tests

gnutls_x509_crt_set_subject/issuer_unique_id: added Since in doc

doc update

Added documentation on PKCS #7 signing

updated chacha20 ciphers to conform to latest draft

tests: suite: more shell scripts were given the .sh suffix and simplified makefile

tests: verify that unique IDs are generated as expected

certtool: Allow writing unique IDs in generated certificates