Merge branch 'wip/dueno/mldsa-followup3' into 'master'

x509: support encoding of ML-DSA private keys in CHOICE format

Closes #1665

See merge request gnutls/gnutls!1973

Merge branch 'wip/dueno/mldsa-tls-fixes' into 'master'

algorithms: assign hash strength to ML-DSA signature algorithms

See merge request gnutls/gnutls!1974

tests: allow ML-DSA tests under valgrind

Signed-off-by: Daiki Ueno <ueno@gnu.org>

x509: fix memleaks after ML-DSA key consistency check

Signed-off-by: Daiki Ueno <ueno@gnu.org>

certtool: don't print bits when inspecting ML-DSA private keys

Signed-off-by: Daiki Ueno <ueno@gnu.org>

NEWS: mention ML-DSA improvements

Signed-off-by: Daiki Ueno <ueno@gnu.org>

tests: add round-trip test of ML-DSA keys

Signed-off-by: Daiki Ueno <ueno@gnu.org>

pk: fix memleak when ML-DSA seed is stored

Signed-off-by: Daiki Ueno <ueno@gnu.org>

certtool: add --key-format option to select ML-DSA key format

This adds the --key-format option to certtool to control the ML-DSA
private key format. The possible values are, "seed", "expanded", or
"both".

Signed-off-by: Daiki Ueno <ueno@gnu.org>

x509: support encoding of ML-DSA private keys in CHOICE format

This enables to encode a generaeted ML-DSA private key in the three
formats defined in draft-ietf-lamps-dilithium-certificates-12,
indicated with the gnutls_pkcs_encrypt_flags_t enum as
GNUTLS_PKCS_MLDSA_SEED and/or GNUTLS_PKCS_MLDSA_EXPANDED values.  The
default format ML-DSA keys has been changed to the "both" format.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

algorithms: assign hash strength to ML-DSA signature algorithms

The _gnutls_sign_get_hash_strength function previously returned 0 for
ML-DSA algorithms, preventing the security level check in certificate
signatures. This assigns the collision strength for commitment hashes,
as defined in FIPS 204, section 4, table 1.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

nettle: always generate ML-DSA seed and keys separately

When generating ML-DSA, store the intermediate seed, so it can be
exported later.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

Merge branch 'wip/dueno/mldsa-followup2' into 'master'

x509: support decoding of ML-DSA private keys in CHOICE format

See merge request gnutls/gnutls!1972

.gitlab-ci.yml: disable ChaCha20Poly1305 in leancrypto compilation

Signed-off-by: Daiki Ueno <ueno@gnu.org>

x509: support decoding of ML-DSA private keys in CHOICE format

This extends the acceptable formats of ML-DSA private keys to the
three formats defined in draft-ietf-lamps-dilithium-certificates-12,
section 6, namely: "seed", "expandedKey", and "both". The legacy
format compatible with liboqs/oqsprovider is still accepted and the
default output format for now.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

Merge branch 'keyword-typo' into 'master'

doc: fix typo in docs about system profile fallback

See merge request gnutls/gnutls!1971

pk: plumb key generation from seed

Signed-off-by: Daiki Ueno <ueno@gnu.org>

Merge branch 'patch13' into 'master'

src/danetool.c: Free str on error to avoid memory leak

See merge request gnutls/gnutls!1963

src/danetool.c: Use gnutls_hex_encode2() instead of gnutls_hex_encode() to avoid memory leak

Fixes: ead5d40a ("danetool: added option to print the raw entries.")
Signed-off-by: Jiasheng Jiang <jiashengjiangcool@gmail.com>

doc: fix typo in docs about system profile fallback

Docs for the system profile fallback syntax accidentally repeated
the "@" marker before each keyword. The "@" marker only indicates
the start of the profile field, and individual names are merely
separated by a comma, per the impl in 6b6d9dd44e.

Fixes 6f425b0fd7d860e9d78b7ba0d9c4d3165d824d7c
Signed-off-by: Daniel P. Berrangé <berrange@redhat.com>

pubkey: fix byte/bit confusion in public key sizes of ML-DSA

Signed-off-by: Daiki Ueno <ueno@gnu.org>

Merge branch 'hughsie-issue-1719' into 'master'

algorithms: map GNUTLS_MAC_SHAKE_{128,256} to GNUTLS_DIG_SHAKE_{128,256}

Closes #1719

See merge request gnutls/gnutls!1970

algorithms: map GNUTLS_MAC_SHAKE_{128,256} to GNUTLS_DIG_SHAKE_{128,256}

Fixes https://gitlab.com/gnutls/gnutls/-/issues/1719

Signed-off-by: Richard Hughes <richard@hughsie.com>

Merge branch 'patch1' into 'master'

lib/accelerated/aarch64/hmac-sha-aarch64.c: Add gnutls_free() to avoid memory leak

See merge request gnutls/gnutls!1951

lib/accelerated/aarch64/hmac-sha-aarch64.c: Add gnutls_free() to avoid memory leak

Add gnutls_free() to free ctx if _hmac_ctx_init() fails to avoid memory leak.

Fixes: d92c73de3 ("Added HMAC-SHA* optimizations for aarch64")
Signed-off-by: JiashengJiang <jiasheng@purdue.edu>

Merge branch 'patch2' into 'master'

lib/accelerated/x86/hmac-x86-ssse3.c: Add gnutls_free() to avoid memory leak

See merge request gnutls/gnutls!1952

lib/accelerated/x86/hmac-x86-ssse3.c: Add gnutls_free() to avoid memory leak

Add gnutls_free() to free ctx if _hmac_ctx_init() fails to avoid memory leak.

Fixes: cbb9b17ff ("Added Appro's SSSE3 SHA implementations")
Signed-off-by: JiashengJiang <jiasheng@purdue.edu>

Merge branch 'patch3' into 'master'

lib/accelerated/x86/hmac-padlock.c: Add gnutls_free() to avoid memory leak

See merge request gnutls/gnutls!1953

lib/accelerated/x86/hmac-padlock.c: Add gnutls_free() to avoid memory leak

Add gnutls_free() to free ctx if _hmac_ctx_init() fails to avoid memory leak.

Fixes: 38a089b67 ("Updates for padlock hashes in C7 nano. Requires a part of nettle to be included.")
Signed-off-by: JiashengJiang <jiasheng@purdue.edu>

Merge branch 'patch7' into 'master'

lib/accelerated/x86/sha-padlock.c: Free ctx on error to avoid memory leak

See merge request gnutls/gnutls!1957

lib/accelerated/x86/sha-padlock.c: Free ctx on error to avoid memory leak

Call gnutls_free() to release ctx if _ctx_init() fails, preventing a memory leak.

Fixes: 38a089b67 ("Updates for padlock hashes in C7 nano. Requires a part of nettle to be included.")
Signed-off-by: JiashengJiang <jiasheng@purdue.edu>

Merge branch 'patch9' into 'master'

lib/accelerated/x86/sha-x86-ssse3.c: Free ctx on error to avoid memory leak

See merge request gnutls/gnutls!1959

lib/accelerated/x86/sha-x86-ssse3.c: Free ctx on error to avoid memory leak

Call gnutls_free() to release ctx if _ctx_init() fails, preventing a memory leak.

Fixes: cbb9b17ff ("Added Appro's SSSE3 SHA implementations")
Signed-off-by: JiashengJiang <jiasheng@purdue.edu>

Merge branch 'patch12' into 'master'

lib/pk.c: Free tmp_output on error to avoid memory leak

See merge request gnutls/gnutls!1962

lib/pk.c: Free tmp_output on error to avoid memory leak

Call gnutls_free() to release tmp_output if asn1_der_coding() fails, preventing memory leak.

Fixes: 6f9bfaac9 ("Use the PKCS #1 1.5 encoding provided by nettle (2.5) for encryption and signatures.")
Signed-off-by: JiashengJiang <jiasheng@purdue.edu>

Merge branch 'patch11' into 'master'

lib/accelerated/x86/sha-x86-ssse3.c: Free ctx on error to avoid memory leak

See merge request gnutls/gnutls!1961

lib/accelerated/x86/sha-x86-ssse3.c: Free ctx on error to avoid memory leak

Call gnutls_free() to release ctx if _ctx_init() fails, preventing a memory leak.

Fixes: 0be469e51 ("Imported Andy Polyakov's implementations for SHA* in aarch64")
Signed-off-by: JiashengJiang <jiasheng@purdue.edu>

Merge branch 'zfridric_devel' into 'master'

Add pkcs11 provider

See merge request gnutls/gnutls!1808

PKCS#11 provider: add tests

Signed-off-by: Zoltan Fridrich <zfridric@redhat.com>

PKCS#11 provider: add support for MAC algorithms

Signed-off-by: Zoltan Fridrich <zfridric@redhat.com>

PKCS#11 provider: add support for pk algorithms

Signed-off-by: Zoltan Fridrich <zfridric@redhat.com>

PKCS#11 provider: add support for ciphers

Signed-off-by: Zoltan Fridrich <zfridric@redhat.com>

Add support for multiple crypto backends

Signed-off-by: Zoltan Fridrich <zfridric@redhat.com>

Add pkcs11 provider

Signed-off-by: Zoltan Fridrich <zfridric@redhat.com>

Merge branch 'zfridric_devel2' into 'master'

Add configuration option for certificate compression algorithms

Closes #1423

See merge request gnutls/gnutls!1950

Add configuration option for certificate compression algorithms

Signed-off-by: Zoltan Fridrich <zfridric@redhat.com>

Merge branch 'wip/dueno/hash' into 'master'

gnulib: stop using "hash" module

Closes #1703

See merge request gnutls/gnutls!1949

gnulib: stop using "hash" module

To minimize the number of dependencies on Gnulib, this migrates the
uses of the "hash" module to gl_linkedhash_list, which we extensively
use as a generic hash-table.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

Merge branch 'wip/clean-fips' into 'master'

fips: remove duplicate _gnutls_switch_lib_state declaration breaking inline linkage in clang -O0

Closes #1690

See merge request gnutls/gnutls!1948

fips: remove duplicate _gnutls_switch_lib_state declaration breaking inline linkage in clang -O0

Signed-off-by: Chan Lee <Leetimemp@gmail.com>

Merge branch 'ml-dsa-not-approved' into 'master'

mark ML-DSA as FIPS-unapproved, enable FIPS+leancrypto in CI

See merge request gnutls/gnutls!1945

.gitlab-ci.yml: enable building/testing with leancrypto in FIPS mode

Signed-off-by: Alexander Sosedkin <asosedkin@redhat.com>

nettle/pk: mark ML-DSA as FIPS-unapproved

* public key validation should ideally be performed within gnutls,
  not inside the back-end
* ML-DSA needs a self-test (FIPS 140-3 IG 10.3.A)

Signed-off-by: Alexander Sosedkin <asosedkin@redhat.com>

Merge branch 'ddudas/enable-tls-mldsa' into 'master'

Enable MLDSA at TLS 1.3 level

See merge request gnutls/gnutls!1938

TLS1.3 sig filter out signature algorithms in CR

Patch from @dueno

Signed-off-by: David Dudas <david.dudas03@e-uvt.ro>

Added TLS1.3 MLDSA tests.

Signed-off-by: David Dudas <david.dudas03@e-uvt.ro>

List MLDSA algorithms first in the priority array.

Signed-off-by: David Dudas <david.dudas03@e-uvt.ro>

[Experimental] Enable MLDSA at TLS 1.3 level

Signed-off-by: David Dudas <david.dudas03@e-uvt.ro>

Merge branch 'ktls-keyupdate-support' into 'master'

kTLS: keyupdate refresh

See merge request gnutls/gnutls!1934

tests: add  enviromental variable

Signed-off-by: Krenzelok Frantisek <krenzelok.frantisek@gmail.com>

kTLS: fix gnutls-cli-debug - test

Signed-off-by: Krenzelok Frantisek <krenzelok.frantisek@gmail.com>

kTLS: improve alert messages

Signed-off-by: Krenzelok Frantisek <krenzelok.frantisek@gmail.com>

kTLS: add rekey kernel version check (Linux)

Signed-off-by: Krenzelok Frantisek <krenzelok.frantisek@gmail.com>

kTLS: Document rekey support

Signed-off-by: Krenzelok Frantisek <krenzelok.frantisek@gmail.com>

kTLS: add new keyupdate error return on recv

kTLS now returns -EKEYEXPIRED when the socket's keys aren't updated after
receiving a keyupdate (this is very unlikely). Currently when this
happens the ktls recv funtion returns GNUTLS_E_AGAIN and the receive
function is called again and again.

Signed-off-by: Frantisek Krenzelok <krenzelok.frantisek@gmail.com>

kTLS: keyupdate_test improvements

- ktls_utils.h has helper funtion to create standard sockets required
  for ktls support testing.
- key_update test for kTLS is now a flavourt of the tls13/key_update
  test instead of being standalone(broadens the testing cases).
- gnutls_ktls.c now uses the aformentioned ktls_utils.h

Signed-off-by: Frantisek Krenzelok <krenzelok.frantisek@gmail.com>

Merge branch 'wip/dueno/remove-liboqs' into 'master'

build: remove support for liboqs

Closes #1649

See merge request gnutls/gnutls!1940

build: remove support for liboqs

Signed-off-by: Daiki Ueno <ueno@gnu.org>

Merge branch 'fips/sha1_sigver_disable' into 'master'

fips: mark sha1 as not approved for SigVer in FIPS mode

See merge request gnutls/gnutls!1900

SHA-1 cannot be CAVP tested anymore. Thus, Mark it as not approved for signature verification.

Signed-off-by: Angel Yankov <angel.yankov@suse.com>

Merge branch 'wip/dueno/nst-data' into 'master'

serv: fix detection of early data reception

Closes #1667

See merge request gnutls/gnutls!1941

Merge branch 'wip/dueno/lc-init' into 'master'

global: call lc_init at startup

See merge request gnutls/gnutls!1942

tests: add basic tests for 0-RTT with gnutls-serv and gnutls-cli

Signed-off-by: Daiki Ueno <ueno@gnu.org>

cli: send early data only after session data is set

Now that max_early_data_size is recorded as part of the stored
resumption data, this needs to be read before attempting to send early
data.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

serv: fix detection of early data reception

Upon success, gnutls_record_recv_early_data returns the amount of data
received, so the application should treat positive numbers as an
indication of early data reception.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

global: call lc_init at startup

When leancrypto is statically linked, their constructor will not be
called and which prevents some low-level algorithms being
functional. This adds a manual initialization with lc_init() at the
startup of the GnuTLS library.

Suggested-by: Stephan Mueller <smueller@chronox.de>
Signed-off-by: Daiki Ueno <ueno@gnu.org>

Merge branch 'wip/dueno/ci-pin-nettle3' into 'master'

.gitlab-ci.yml: use Nettle from release-3.10-fixes branch

See merge request gnutls/gnutls!1943

liboqs: fix shared secret assignment after decaps

Although we are removing liboqs support, this fixes the
_gnutls_pk_decaps implementation, where the returned shared_secret is
overridden with an empty shared secret.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

.gitlab-ci.yml: use Nettle from release-3.10-fixes branch

The current Nettle master branch (for 4.0 release) contains
incompatible changes which GnuTLS hasn't yet accommodated. This sticks
to the latest 3.10 branch to work that around.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

Merge branch 'wip/dueno/minor-fixes' into 'master'

build: fix SONAME detection when linking failed

See merge request gnutls/gnutls!1935

tests: make pqc-hybrid-kx.sh work when system time set beyond 2038

Signed-off-by: Daiki Ueno <ueno@gnu.org>

build: fix SONAME detection when linking failed

When linking to a shared library fails, the previous check defined the
<LIB>_LIBRARY_SONAME macro to "none", instead of leaving it undefined.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

Merge branch 'wip/dueno/no-shuffle-extensions' into 'master'

handshake: only shuffle extensions in the first Client Hello

Closes #1660

See merge request gnutls/gnutls!1930

handshake: only shuffle extensions in the first Client Hello

RFC 8446 section 4.1.2 states that the second Client Hello after HRR
should preserve the same content as the first Client Hello with
limited exceptions.  Since GnuTLS 3.8.5, however, the library started
shuffling the order of extensions for privacy reasons and that didn't
comply with the RFC, leading to a connectivity issue against the
server configuration with a stricter check on that.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

Merge branch 'wip/dueno/revert-parallel-doc' into 'master'

Unblock 3.8.9 release

See merge request gnutls/gnutls!1929

.gitlab-ci.yml: temporarily disable fedora-nettle-minigmp/test

This target for some reason takes too long to complete. As we don't
recommend building it with --enable-mini-gmp, only exercise the build
stage for now.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

Revert "doc: Fix races in a parallel build."

This reverts commit 8daba130cc0c4100186af0b61bc3e65d54a46727, which
turned out to cause a rebuild of .info files at "make distcheck" in a
read-only srcdir.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

Merge branch 'wip/dueno/release-3.8.9' into 'master'

Release 3.8.9

Closes #1553 and #1653

See merge request gnutls/gnutls!1928

Release 3.8.9

Signed-off-by: Daiki Ueno <ueno@gnu.org>

maint: update libtasn1 to 4.20.0

Signed-off-by: Daiki Ueno <ueno@gnu.org>

x509: optimize name constraints processing

This switches the representation name constraints from linked lists to
array lists to optimize the lookup performance from O(n) to O(1), also
enforces a limit of name constraint checks against subject alternative
names.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

certtool: default to PKCS#8 when generating RSA-OAEP key

Signed-off-by: Daiki Ueno <ueno@gnu.org>

key_share: send illegal_parameter when parsing EC key share fails

When the received EC key share is malformed,
_gnutls_ecc_ansi_x962_import returns GNUTLS_E_PARSING_ERROR or
GNUTLS_E_MEMORY_ERROR, which maps to an internal_error alert. This
explicitly return GNUTLS_E_RECEIVED_ILLEGAL_PARAMETER to send
illegal_parameter instead, in compliance with the RFC.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

m4: update ax_code_coverage.m4 from autoconf-archive

Signed-off-by: Daiki Ueno <ueno@gnu.org>

tests: remove unmatched GCC pragma in tests/test-chains-issuer-aia.h

Signed-off-by: Daiki Ueno <ueno@gnu.org>

build: don't redefine AM_CPPFLAGS in libdane/Makefile.am

Signed-off-by: Daiki Ueno <ueno@gnu.org>

Merge branch 'wip/dueno/license-files' into 'master'

maint: consolidate licensing information to top-level directory

See merge request gnutls/gnutls!1923

maint: consolidate licensing information to top-level directory

Signed-off-by: Daiki Ueno <ueno@gnu.org>

Merge branch 'wip/dueno/lc' into 'master'

leancrypto: support leancrypto for post-quantum algorithms

See merge request gnutls/gnutls!1925

Merge branch 'zfridric_devel2' into 'master'

Add check for empty compressed certificate

Closes #1593

See merge request gnutls/gnutls!1927