tests: global-init-override do not run in windows

It cannot be compiled in f30.

Signed-off-by: Nikos Mavrogiannopoulos <nmav@redhat.com>

updated to libopts 5.18.16

This fixes compilation in Fedora 30 which ships with this
version of autogen.

Signed-off-by: Nikos Mavrogiannopoulos <nmav@redhat.com>

Merge branch 'fix-gost-curves' into 'master'

ecc: fix curve sizes for TC26-256 gost curves

See merge request gnutls/gnutls!1110

Merge branch 'serv-fix-table' into 'master'

serv: move closing TABLE tag after actual table end

See merge request gnutls/gnutls!1111

serv: move closing TABLE tag after actual table end

Move closing TABLE tag after printing information on cipher and MAC.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

ecc: fix curve sizes for TC26-256 gost curves

Fix curve size being incorrectly set to 64 instead of 32 for several
GOST curves.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

nettle: Support sysctl(KERN_ARND) for RNG on NetBSD.

This system call will never block and does not require a file
descriptor to be opened. It provides an endless stream of random
numbers from the kernel's ChaCha20-based random number generator.

Signed-off-by: Nia Alarie <nia@NetBSD.org>

doc: describe how to make gnutls-cli quiet for pipe usage

Signed-off-by: Bjoern Jacke <bjacke@samba.org>

Merge branch 'remove-guint64' into 'master'

lib: drop gnutls_uint64 usage as sequence number

See merge request gnutls/gnutls!1102

lib: simplify uint24 handling

Drop separate uint24 type and functions to convert between it and
uint32_t. This makes _gnutls_read/_write_uint24 simpler and easier to
understand. And with faster assembly code.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

lib: drop gnutls_uint64 usage as sequence number

GnuTLS is depending already on uint64_t being a properly defined type.
So there is no need to have a special byte-array type for 8-byte
integers. Use uint64_t instead, thus simplifying a code quite heavily.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

Merge branch 'tls-continuous-mac' into 'master'

Support GOST cipher suite MAC calculation

See merge request gnutls/gnutls!1098

Merge branch 'new-crt-vrfy' into 'master'

Split CertVerify code. Switch sign_entry_st to use flags

See merge request gnutls/gnutls!1103

Merge branch 'key-compat' into 'master'

lib: pubkey vs TLS signature compatibility for GOST algorithms

See merge request gnutls/gnutls!1101

sign: convert tls13_ok to flags field

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

tls-sig: split TLS 1.0/1.1 CertificateVerify code

For the symmetry split the TLS 1.[01] CertificateVerify code, so that
main functions work as pure multiplexors.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

mac: mark GOST28147-TC26Z-IMIT as using CONTINUOUS_MAC

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

Support GOST cipher suite MAC calculation

GOST ciphersuites require that MAC is calculated over _all_ packets,
rather than just current packet. Add flag to auth_cipher_hd_st
controlling this behaviour.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

mac: change preimage_insecure to be a flag

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

cipher: replace several bools with single flags instance

Replace bools in cipher_entry_st with flags field.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

Merge branch 'fix-noreturn' into 'master'

src: fix noreturn-related warning

See merge request gnutls/gnutls!1100

lib: pubkey vs TLS signature compatibility for GOST algorithms

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

src: fix noreturn-related warning

Recent autogen started adding '#include <stdnoreturn.h>' into -args.h
files. However in GnuTLS tools code this results in the following
warnings, because stdnoreturn.h unconditionally redefines 'noreturn' to
_Noreturn:

warning: '_Noreturn' attribute directive ignored

Use __noreturn__ attribute instead as does Gnulib.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

Merge branch 'stream-iv' into 'master'

Allow using implicit IV for stream ciphers with TLS

See merge request gnutls/gnutls!1099

Allow using implicit IV for stream ciphers with TLS

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

Merge branch 'gost-prf' into 'master'

prf: add Streebog PRF support

See merge request gnutls/gnutls!1088

Merge branch 'tmp-fix-coverity' into 'master'

Fix coverity in lib/

See merge request gnutls/gnutls!1092

prf: add Streebog (GOST R 34.11-2012) PRF support

Add support and tests for PRF generated using both Streebog versions.
This is necessary for adding GOST TLS ciphersuites support.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

Add const to several read-only packet sequence params

Signed-off-by: Tim Rühsen <tim.ruehsen@gmx.de>

tests/buffer.c: Add unit test for _gnutls_buffer_unescape()

Signed-off-by: Tim Rühsen <tim.ruehsen@gmx.de>

lib/x509/x509.c: Check before pointer dereference in get_alt_name()

Fixes Coverity issue 1361513

Signed-off-by: Tim Rühsen <tim.ruehsen@gmx.de>

cipher: Let _gnutls_auth_cipher_setiv() return int

Fixes Coverity issue 1454646

Signed-off-by: Tim Rühsen <tim.ruehsen@gmx.de>

lib/record.c: Use assignment instead of memcpy()

Fixes Coverity issue 1454647

Signed-off-by: Tim Rühsen <tim.ruehsen@gmx.de>

lib/sslv2_compat.c: Check return value of _gnutls_generate_session_id()

Fixes Coverity issue 1454649

Signed-off-by: Tim Rühsen <tim.ruehsen@gmx.de>

lib/x509/output.c: Remove unneeded NULL check in print_crt_pubkey()

Fixes Coverity issue 1454670

Signed-off-by: Tim Rühsen <tim.ruehsen@gmx.de>

lib/auth/srp_passwd.c: Fix NULL dereference in _gnutls_srp_pwd_read_entry()

Fixes Coverity issue 1454652

Signed-off-by: Tim Rühsen <tim.ruehsen@gmx.de>

lib/str.c: Replace sscanf() in _gnutls_buffer_unescape()

Fixes Coverity issue 1454651

Signed-off-by: Tim Rühsen <tim.ruehsen@gmx.de>

lib/handshake.c: Check return value of _gnutls_version_max()

Fixes Coverity issue 1454674
Fixes Coverity issue 1454658

Signed-off-by: Tim Rühsen <tim.ruehsen@gmx.de>

Remove trailing spaces in several files

Signed-off-by: Tim Rühsen <tim.ruehsen@gmx.de>

Merge branch 'tmp-remove-coverity' into 'master'

.gitlab-ci.yml: removed coverity build [ci skip]

See merge request gnutls/gnutls!1095

.gitlab-ci.yml: removed coverity build [ci skip]

The coverity run is subject to several restrictions by the service,
and thus it is not really useful in the main CI runs as it cannot reasonably
be run on MRs or master. As such we simplify the main CI file by moving the
coverity to the coverage sub-project and running it weekly.

The new location is at:
https://gitlab.com/gnutls/coverage

Signed-off-by: Nikos Mavrogiannopoulos <nmav@redhat.com>

Merge branch 'tmp-ext-mandatory' into 'master'

session tickets: parse extension during session resumption

Closes #841

See merge request gnutls/gnutls!1087

Merge branch 'doc-lscpu' into 'master'

README.md: document lscpu/util-linux dependency for make check

Closes #764

See merge request gnutls/gnutls!1093

Merge branch 'gost-pkcs11' into 'master'

P11tool improvements

See merge request gnutls/gnutls!1071

Merge branch 'psk-file-fix' into 'master'

tests/psk-file: fix heizenbug in last test

See merge request gnutls/gnutls!1090

Merge branch 'groups-non-ec' into 'master'

ext/supported_groups: don't consider non-EC groups for EC

See merge request gnutls/gnutls!1089

Merge branch 'tmp-fix-doc3' into 'master'

documentation updates

Closes #842

See merge request gnutls/gnutls!1069

crq APIs: fix typos [ci skip]

Resolves: #842

Signed-off-by: Nikos Mavrogiannopoulos <nmav@gnutls.org>

document limitations of gnutls_record_discard_queued() [ci skip]

Signed-off-by: Nikos Mavrogiannopoulos <nmav@redhat.com>

README.md: document lscpu/util-linux dependency for make check

Closes #764

Signed-off-by: Ricardo M. Correia <rcorreia@wizy.org>

testpkcs11.sh: test that we output mechanism flags correctly

Verify some of PKCS#11 mechanism flags.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

p11tool: print mechanism info in list-mechanisms

Print key size range and flags in mechanisms list.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

Merge branch 'fix-cert-keys' into 'master'

tests: correct gost server certificates

See merge request gnutls/gnutls!1080

tests/psk-file: fix heizenbug in last test

Currently last test case in psk-file expects that the server will
terminate connection with fatal error and close connection. Client will
receive GNUTLS_E_PUSH_ERROR error. However on slow boxes (or under qemu)
client is able to receive server's fatal alert thus returning unexpected
error. To make this behaviour predictable make server wait for client to
read all data and actually close connection on it's own.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

session tickets: parse extension during session resumption on client side

It is possible for a server to send a new session ticket during
TLS1.2 resumption. To be able to parse it as client we need to
check the extension during resumption as well.

Resolves: #841

Signed-off-by: Nikos Mavrogiannopoulos <nmav@gnutls.org>

ext/supported_groups: don't consider non-EC groups for EC

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

tests: correct gost server certificates

Correct GOST server certificates:
 - use only Digital Signature Key Usage,
 - use new format for 512-bit curve key and certificate.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

Merge branch 'new-gost-x509' into 'master'

Implement new requirements for GOST PublicKeyParameters

See merge request gnutls/gnutls!1070

.gitlab-ci.yml: only run coverity task on 3_6_x tags [ci skip]

Signed-off-by: Nikos Mavrogiannopoulos <nmav@gnutls.org>

cert-tests/gost: add certificate with new GOSTParameters struct

Add certificate example using simplified (new) GOSTParameters structure.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

.gitlab-ci.yml: include an automated coverity build on tags

Signed-off-by: Nikos Mavrogiannopoulos <nmav@gnutls.org>

lib: implement support for updated GOST PublicKeyParameters

Recomendation for standardization R 1323565.1.023-2018 has made changes
to PublicKeyParameters for GOST R 34.10-2012 keys. It has removed
encryptionParamSet (since now S-BOX is basically fixed as TC26-Z) and
made digestParamSet OPTIONAL (as it can be concluded from public key
OID). Implement these requirements.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

nettle/pk: add support for "new" TC26 256 B curve

TC26 likes aliases. Thus "new" TC26 256 B curve is the same as old
CryptoPro-256-A curve (but with limitation to use GOST R 34.10-2012).

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

lib/ecc: add documentation for GOST-related curves

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

lib: define more GOST curves

Declare GOST curves from GOST R 34.10-2001 and GOST R 34.10-2012 (test
curves) and GOST curves defined by TC26 itself.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

Merge branch 'tmp-iov-fixes' into 'master'

gnutls_aead_cipher_{en,de}cryptv2: write back cached data to buffers

See merge request gnutls/gnutls!1085

gnutls_aead_cipher_{en,de}cryptv2: write back cached data to buffers

Previously, those functions failed to write the output to the buffers
if the buffer length is not multiple of cipher block size.  This makes
sure that the cached data is always flushed.

Signed-off-by: Daiki Ueno <dueno@redhat.com>

iov: add _gnutls_iov_iter_sync to write back cached data to iov

Signed-off-by: Daiki Ueno <dueno@redhat.com>

iov: _gnutls_iov_iter_next: return bytes instead of blocks

This eliminates the need of special handling of final block.  Also
adds more tests in exceptional cases.

Signed-off-by: Daiki Ueno <dueno@redhat.com>

NEWS: added entry for 3.6.11

Signed-off-by: Nikos Mavrogiannopoulos <nmav@gnutls.org>

Merge branch 'tmp_gnutls-cli/srv_rawpk_support' into 'master'

Support for raw public keys for gnutls-cli and gnutls-serv

See merge request gnutls/gnutls!1059

Updated NEWS to reflect the added raw public-key handling functionality for gnutls-cli/serv tools.

Signed-off-by: Tom Vrancken <dev@tomvrancken.nl>

Added functional regression tests for rawpk functionality in gnutls-cli and gnutls-serv.

Signed-off-by: Tom Vrancken <dev@tomvrancken.nl>

Implemented raw public key support for gnutls-serv application.

Signed-off-by: Tom Vrancken <dev@tomvrancken.nl>

Implemented raw public key support for gnutls-cli application.

Signed-off-by: Tom Vrancken <dev@tomvrancken.nl>

Merge branch 'fix-gost-ifdef' into 'master'

nettle/mac: add missing ifdef

See merge request gnutls/gnutls!1083

nettle/mac: add missing ifdef

Add an ifdef guarding gost28147 include.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

Merge branch 'gost-iana' into 'master'

lib/algorithms: add AID values assigned by IANA

See merge request gnutls/gnutls!1077

Merge branch 'tmp-20190929-junk-from-renamed-test' into 'master'

cipher-alignment: migrate LDADD/CFLAGS after rename

See merge request gnutls/gnutls!1082

cipher-alignment: migrate LDADD/CFLAGS after rename

Test was renamed from mini-alignment to cipher-alignment.

Signed-off-by: Andreas Metzler <ametzler@bebt.de>

bumped versions

Signed-off-by: Nikos Mavrogiannopoulos <nmav@gnutls.org>

Merge branch 'tmp-asm-update-32' into 'master'

Regenerate asm files with -fPIC

Closes #818

See merge request gnutls/gnutls!1081

Merge branch 'tmp-no-pkcs8-text' into 'master'

certtool: ensure that PKCS#8 file does not contain key description

Closes #840

See merge request gnutls/gnutls!1076

.gitlab-ci.yml: run pic-check on i686-linux-gnu to catch wrong assembly

Signed-off-by: Nikos Mavrogiannopoulos <nmav@gnutls.org>

Regenerate asm files with -fPIC

CRYPTOGAMS' perl-scripts can produce different output if -fPIC is passed
as option. Set -fPIC for the same files as openssl does.

Closes #818

Signed-off-by: Andreas Metzler <ametzler@bebt.de>

certtool: ensure that PKCS#8 file does not contain key description

Resolves: #840

Signed-off-by: Nikos Mavrogiannopoulos <nmav@gnutls.org>

Merge branch 'gost-split-1' into 'master'

GOST-CNT split, part 1

See merge request gnutls/gnutls!1072

NEWS: document previous changes [ci skip]

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

Merge branch 'gost-attrs' into 'master'

x509: add support for Russian extensions defined for qualified certificate

See merge request gnutls/gnutls!1075

Merge branch 'kx-neg-verbose' into 'master'

tests: add verbose logging to server-kx-neg tests

See merge request gnutls/gnutls!1078

Merge branch 'tmp-ocsp-fixes' into 'master'

ocsp: test suite and doc improvements

Closes #836

See merge request gnutls/gnutls!1066

tests: add verbose logging to server-kx-neg tests

Add support for verbose logging to tls*-server-kx-neg tests.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

lib/algorithms: add AID values assigned by IANA

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

x509: add support for Russian extensions defined for qualified certificate

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

crypto-selftests: add CNT and IMIT self tests

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

nettle: provide GOST 28147-89 IMIT MAC support

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

nettle: provide GOST 28147-89 CNT mode support

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

Merge branch 'tmp-supported-versions' into 'master'

ext/supported_versions: reorder client precedence if necessary

Closes #837

See merge request gnutls/gnutls!1074

ext/supported_versions: reorder client precedence if necessary

If the client advertises TLS < 1.2 before TLS 1.3 and the server is
configured with TLS 1.3 enabled, the server should select TLS 1.3;
otherwise the client will disconnect when seeing downgrade sentinel.

Signed-off-by: Daiki Ueno <dueno@redhat.com>

Merge branch 'tmp-fix-session-get2' into 'master'

gnutls_session_get_data2: fix operation without a timeout callback

Closes #823

See merge request gnutls/gnutls!1068