pk: plumb ML-KEM 768 in addition to Kyber 768

This adds GNUTLS_PK_MLKEM768 in the regular algorithm range, while
keeping GNUTLS_PK_EXP_KYBER768 in the experimental algorithm range.
This also modifies the privkey-keygen test to skip unsupported
algorithms at run-time.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

liboqs: provide SHA2 stubs

As well as SHA3, this implements GnuTLS backed stubs for SHA2
functions, which will be necessary for SLH-DSA signature support.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

liboqs: check library version at run-time

This is to safeguard when the library is compiled with a newer liboqs
but deployed to an enviromnent with an older liboqs, which may break
ABI compatibility.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

liboqs: require version 0.11.0

liboqs 0.11.0 shipped with public headers for plugging in alternative
symmetric algorithms (e.g., sha3_ops.h), which were previously
missing.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

Merge branch 'mangle-shake-ctx' into 'master'

nettle: mangle struct sha3_128_ctx

See merge request gnutls/gnutls!1886

fips: Mark gnutls_hash_fast as approved in FIPS SLI

There is no reason for gnutls_hash_fast to not
be approved unde the SLI as part of the approved service
Message Digest (same as gnutls_hash_init, gnutls_hash , gnutls_hash_output ).

Add a transition to state approved when using gnutls_hash_fast.

Signed-off-by: Angel Yankov <angel.yankov@suse.com>

fips: Mark operations using P-192 as not approved

P-192 is not an approved curve as of FIPS 186-5, so mark operations
using it as NOT approved in the SLI.

Signed-off-by: Angel Yankov <angel.yankov@suse.com>

nettle: mangle sha3_128_ctx

Signed-off-by: Alexander Sosedkin <asosedkin@redhat.com>

Merge branch 'wip/dueno/hash-after-squeeze' into 'master'

hash: return error if gnutls_hash is called after squeeze

Closes #1592

See merge request gnutls/gnutls!1885

hash: return error if gnutls_hash is called after squeeze

Previously, when gnutls_hash is called after gnutls_hash_squeeze, it
hits an assertion failure in nettle:

  sha3.c:76: _nettle_sha3_update: Assertion `pos < block_size' failed.

This adds an internal function to check whether the hash context has
already been finalized with squeezing and in that case errors out.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

Merge branch 'zfridric_devel2' into 'master'

compress_certificate: improve error checks

Closes #1584, #1585, and #1586

See merge request gnutls/gnutls!1884

compress_certificate: improve error checks

Signed-off-by: Zoltan Fridrich <zfridric@redhat.com>

Merge branch 'alloca' into 'master'

lib/nettle/int/nettle-internal.h: include alloca.h if configure found it

Closes #782

See merge request gnutls/gnutls!1882

lib/nettle/int/nettle-internal.h: include alloca.h if configure found it

Needed for alloca definition on Solaris, to avoid build error with gcc 14:

lib/nettle/int/nettle-internal.h:59:39: error: implicit declaration of
 function 'alloca' [-Wimplicit-function-declaration]
   59 | #define TMP_ALLOC(name, size) (name = alloca(sizeof(*name) * (size)))
      |                                       ^~~~~~

Closes #782

Signed-off-by: Alan Coopersmith <alan.coopersmith@oracle.com>

Merge branch 'zfridric_devel2' into 'master'

Ignore unknown compression algs when using CLI

Closes #1587

See merge request gnutls/gnutls!1881

Merge branch 'tests-key-material-set-dtls-eagain' into 'master'

tests/key-material-set-dtls: retry send/recv on E_AGAIN/E_INTERRUPTED

See merge request gnutls/gnutls!1880

tests/key-material-set-dtls: retry send/recv on E_AGAIN/E_INTERRUPTED

Signed-off-by: Alexander Sosedkin <asosedkin@redhat.com>

Ignore unknown compression algs when using CLI

Signed-off-by: Zoltan Fridrich <zfridric@redhat.com>

Merge branch 'tests-ktls-fips-skip-chacha' into 'master'

tests/ktls: skip CHACHA20-POLY1305 in FIPS mode

See merge request gnutls/gnutls!1879

tests/ktls: skip CHACHA20-POLY1305 in FIPS mode

Signed-off-by: Alexander Sosedkin <asosedkin@redhat.com>

Merge branch 'fix-ocsp-checking-when-multiple-records' into 'master'

check all ocsp response records for cert serial number

See merge request gnutls/gnutls!1877

fix formatting

Signed-off-by: Jeff Mattson <jmattson@sei.cmu.edu>

iterate ocsp response records for matching certificate

Signed-off-by: Jeff Mattson <jmattson@sei.cmu.edu>

Merge branch '2024-tmp-choose-dlopen' into 'master'

Choose whether to link or dlopen helper libraries

Closes #1576

See merge request gnutls/gnutls!1870

Merge branch 'oaep-unkn-hash' into 'master'

nettle: fail OAEP decryption on unknown hash

See merge request gnutls/gnutls!1876

Fix configure syntax error on non-working faketime

Closes #1576

Authored-by: Tim Kosse
Signed-off-by: Andreas Metzler <ametzler@bebt.de>

Select whether to link/dlopen tpm2 at configure time

Signed-off-by: Andreas Metzler <ametzler@bebt.de>

Select whether to link/dlopen libocs at configure time

(This defaults to off)

Signed-off-by: Andreas Metzler <ametzler@bebt.de>

Select whether to link/dlopen brotli at configure time

Signed-off-by: Andreas Metzler <ametzler@bebt.de>

Select whether to link/dlopen zstd at configure time

Signed-off-by: Andreas Metzler <ametzler@bebt.de>

Use HAVE_ZLIB for both automake and autoconf

Do not mix HAVE_LIBZ and HAVE_ZLIB

Signed-off-by: Andreas Metzler <ametzler@bebt.de>

nettle: fail OAEP decryption on unknown hash

_rsa_oaep_decrypt() "returns 1 on success; 0 otherwise",
but here we've returned non-zero on using an unsupported hash.
This confused the error reporting into thinking gnutls_privkey_decrypt_data()
has succeeded, while it hasn't.

Signed-off-by: Alexander Sosedkin <asosedkin@redhat.com>

Select whether to link/dlopen zlib configure time

Now requires pkg-conf for locating zlib.

Signed-off-by: Andreas Metzler <ametzler@bebt.de>

Add status-message on whether dlopen is available.

Signed-off-by: Andreas Metzler <ametzler@bebt.de>

Merge branch 'wip/dueno/doc-ocsp-api' into 'master'

ocsp: gnutls_ocsp_status_request_is_checked: fix note on TLS 1.3 [ci skip]

Closes #1574

See merge request gnutls/gnutls!1873

ocsp: gnutls_ocsp_status_request_is_checked: fix note on TLS 1.3 [ci skip]

The previous note on limitation under TLS 1.3 was misleading, as it
used "server-side" and "client-side" in a confusing manner. This
rewords the sentence to be more consistent.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

Merge branch 'wip/dueno/fix-1573' into 'master'

tools: fix memleak around getline

Closes #1573

See merge request gnutls/gnutls!1872

tools: fix memleak around getline

Fixes: #1573
Signed-off-by: Ekaterina Zilotina <zilotina.ed@npc-ksb.ru>
Signed-off-by: Daiki Ueno <ueno@gnu.org>

Merge branch 'doc_fix' into 'master'

doc: Fix error and improve doc

See merge request gnutls/gnutls!1869

Merge branch 'wip/dueno/nettle-static2' into 'master'

fips: skip HMAC checks of nettle libraries when statically linked

See merge request gnutls/gnutls!1868

doc: Fix error and improve doc

The description of "gnutls_psk_allocate_client_credentials" incorrectly
states that sc is a pointer to a "gnutls_psk_server_credentials_t". sc
is a pointer to a "gnutls_psk_client_credentials_t".

In the description of "gnutls_credentials_set", mention the type that
the cred parameter should be when using GNUTLS_CRD_PSK.

Signed-off-by: Sahil Siddiq <sahilcdq@proton.me>

fips: skip HMAC checks of nettle libraries when statically linked

Since commit b6e9b10347ed577a9a37b7b28e1a039c5f6ccb16, it is possible
to link Nettle libraries statically.  In that case, FIPS integrity
checks against the Nettle shared libraries should be skipped as they
are not used by GnuTLS.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

Merge branch 'aarch64_freebsd_openbsd' into 'master'

accelerated: aarch64: add FreeBSD/aarch64 support

See merge request gnutls/gnutls!1863

Merge branch 'wip/dueno/release-steps-distribution-specific' into 'master'

release-steps: mention distribution specific steps after release

See merge request gnutls/gnutls!1865

Merge branch 'wip/dueno/ac-compress' into 'master'

build: fix setting AM_CONDITIONAL for brotli and zstd

See merge request gnutls/gnutls!1867

accelerated: aarch64: add FreeBSD/aarch64 support

Signed-off-by: Brad Smith <brad@comstyle.com>

build: add liboqs in Requires.private in gnutls.pc if needed

When --with-liboqs is specified and liboqs cannot be dlopen'ed, it
will be linked at build time. In that case gnutls.pc should indicate
that through Requires.private.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

build: don't emit Requires.private for dlopened libraries

Signed-off-by: Daiki Ueno <ueno@gnu.org>

build: fix setting AM_CONDITIONAL for brotli and zstd

As the with_{libbrotli,libzsttd} variables are unset if configured
with --without-{brotli,zstd}, check the unequality to "no" doesn't
work; use explicit matching with "yes" instead.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

Merge branch 'tmp-2024-dsa-test-fixup' into 'master'

Minor fixes for 3.8.7

See merge request gnutls/gnutls!1866

revert back to datefudge for "openssl ocsp".

openssl's -attime only changes the verification logic but not the
generation.

Broken by: d1bc7f644422c4d87edfcd9fafe7f292a1a3a6de

Signed-off-by: Andreas Metzler <ametzler@bebt.de>

release-steps: mention how to propose package update in Fedora [ci skip]

Signed-off-by: Daiki Ueno <ueno@gnu.org>

Also set ENABLE_DSA for tests in cert-tests subdirectory.

Signed-off-by: Andreas Metzler <ametzler@bebt.de>

Merge branch 'wip/dueno/release-3.8.7' into 'master'

Release 3.8.7

See merge request gnutls/gnutls!1864

Release 3.8.7

Signed-off-by: Daiki Ueno <ueno@gnu.org>

doc: fix menu entry for RSAES-PKCS1-v1_5 system wide configuration

Signed-off-by: Daiki Ueno <ueno@gnu.org>

liboqs: avoid uninitialized value in pk_ops.verify_priv_params

Signed-off-by: Daiki Ueno <ueno@gnu.org>

Merge branch 'wip/dueno/nettle-static' into 'master'

build: change Nettle library link order to support static linking

See merge request gnutls/gnutls!1862

Merge branch 'wip/dueno/compress-cert-fixes' into 'master'

compress-cert: don't send bad_certificate alert manually

See merge request gnutls/gnutls!1861

build: change Nettle library link order to support static linking

As libhogweed uses libnettle functions such as nettle_cnd_memcpy,
libhogweed should come before libnettle in $(LIBADD), when linked
statically.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

compress-cert: don't send bad_certificate alert manually

The library API is not designed to proactively send alert by itself,
but it is rather a responsibility of the application to decide to
which alert to be sent when.  This removes the manual call to
gnutls_alert_send in the code handling TLS 1.3 Certificate message
when a decompression error happens.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

Merge branch 'tmp-2024-more-avoid-datefudge' into 'master'

Use openssl's -attime option instead of faketime/datefudge

See merge request gnutls/gnutls!1860

Use openssl's -attime option instead of faketime/datefudge

Signed-off-by: Andreas Metzler <ametzler@bebt.de>

Merge branch 'wip/dlwrap-dlopen-errno' into 'master'

dlwrap: don't assume dlopen/dlsym sets errno

See merge request gnutls/gnutls!1859

tests: testdane.sh: ignore torproject.org for now

danetool --check returns an error when tested against the host.  This
temporarily disables it.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

.gitlab-ci.yml: add fedora-no-liboqs/test

The new fedora-no-liboqs/test exercises fedora/test without liboqs. In
that case the hybrid-pqc-kx.sh test should be safely skipped.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

dlwrap: don't assume dlopen/dlsym sets errno

Signed-off-by: Daiki Ueno <ueno@gnu.org>

Merge branch 'wip/dueno/group-supported' into 'master'

gnutls_group_list: take into account of public key algorithms

See merge request gnutls/gnutls!1857

Merge branch 'wip/dueno/pbmac1-default-in-fips' into 'master'

pkcs12: enable PBMAC1 by default in FIPS mode

See merge request gnutls/gnutls!1858

pkcs12: enable PBMAC1 by default in FIPS mode

Signed-off-by: Daiki Ueno <ueno@gnu.org>

pkcs12: use gnutls_hmac API for MAC calculation

Instead of the internal _gnutls_mac API, this switches to using
gnutls_hmac API, which has checks on whether the algorithm is FIPS
approved.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

pkcs12: don't switch FIPS indicator upon export

Now that we have a FIPS compliant MAC calculation using PBMAC1.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

gnutls_group_list: take into account of public key algorithms

Previously the function only checked if the ECC curves are
supported. Now that hybrid key exchange with KEM is supported, it
should also check public key systems.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

Merge branch 'wip/dueno/tpm2-dlwrap' into 'master'

tpm2: switch to using dlwrap for loading TSS2 libraries

See merge request gnutls/gnutls!1854

Merge branch 'wip/dueno/update-cligen' into 'master'

Prepare for 3.8.7 release

See merge request gnutls/gnutls!1855

Merge branch 'wip/dueno/hybrid-kx-liboqs-followup' into 'master'

liboqs: check whether Kyber768 is compiled in

See merge request gnutls/gnutls!1856

tpm2: switch to using dlwrap for loading TSS2 libraries

Signed-off-by: Daiki Ueno <ueno@gnu.org>

NEWS: mention 3.8.7 changes

Signed-off-by: Daiki Ueno <ueno@gnu.org>

.github/workflows: use macos-latest runner

This also does:
- update checkout action to v4
- manually supply CFLAGS and LDFLAGS of GMP
- point to the homebrew version of bison executable
- supply CFLAGS and LDFLAGS of libunistring
- install coreutils for "timeout"

Signed-off-by: Daiki Ueno <dueno@redhat.com>

tests: gnutls-cli-debug.sh: make timeout program configurable

Signed-off-by: Daiki Ueno <dueno@redhat.com>

tests: pkgconfig.sh: respect LDFLAGS

Signed-off-by: Daiki Ueno <dueno@redhat.com>

build: set CFLAGS as necessary

When header files of optional libraries are installed on a non-default
locations, e.g., with homebrew, CFLAGS must be set so the compiler can
find them at build time for the definition of data types and macros.

Signed-off-by: Daiki Ueno <dueno@redhat.com>

.gitlab-ci.yml: bump cache version

To update the Debian CI image from bullseye to bookworm.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

.gitlab-ci.yml: use Python implementation of gnulib-tool

Signed-off-by: Daiki Ueno <ueno@gnu.org>

dlwrap: regenerate zlib wrapper

Signed-off-by: Daiki Ueno <ueno@gnu.org>

liboqs: check whether Kyber768 is compiled in

In the default build configuration of liboqs 0.10.1, Kyber768 is
disabled. This adds a guard against it and skip tests if not
available.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

gnulib: update gnulib submodule

Also make sure to include "config.h"; otherwise overriding headers
from Gnulib will complain:
 In file included from inih/ini.c:14:
 ./../gl/stdio.h:71:3: error: #error "Please include config.h first."
    71 |  #error "Please include config.h first."
       |   ^~~~~

Signed-off-by: Daiki Ueno <ueno@gnu.org>

build: ignore -Wmissing-variable-declarations for now

Signed-off-by: Daiki Ueno <ueno@gnu.org>

randomart: avoid using u_int

Signed-off-by: Daiki Ueno <ueno@gnu.org>

tests: sanity-cpp: don't use <minmax.h> from Gnulib

Adding Gnulib include directory causes some conflict through indirect
include of <pthread.h>. As sanity-cpp.cpp only uses MIN macro, we can
simply define it by ourselves instead of including <minmax.h>.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

build: do not print liboqs enablement status

Signed-off-by: Daiki Ueno <ueno@gnu.org>

build: update cligen submodule

This is to respect SOURCE_DATE_EPOCH and to stop using the "error"
function from <error.h>.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

Merge branch 'wip/dueno/hybrid-kx-liboqs-followup2' into 'master'

liboqs: defer loading of liboqs at run-time

See merge request gnutls/gnutls!1853

Merge branch 'wip/dueno/cipher-deinit' into 'master'

tests: hash-large: exercise gnutls_hash_output(..., NULL)

Closes #1453, #1552, #1559, #1560, and #1565

See merge request gnutls/gnutls!1851

liboqs: defer loading of liboqs at run-time

Instead of loading liboqs at startup, this defers it until the liboqs
functions are actually used.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

nettle: run pairwise consistency test only in FIPS mode

Signed-off-by: Daiki Ueno <ueno@gnu.org>

Merge branch 'wip/dueno/hybrid-kx-liboqs-followup' into 'master'

liboqs: manually load liboqs.so at startup

See merge request gnutls/gnutls!1852

build: avoid multiple definition if mpn_cnd_add_n

When Nettle is built with mini-gmp, mpn_cnd_add_n is always defined in
libhogweed and thus causes a symbol clash when linking with both
libgnutls and the latest libgmp.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

build: link against libhogweed when checking nettle_rsa_oaep_*

Signed-off-by: Daiki Ueno <ueno@gnu.org>

tests: pkcs12-pbmac1: exercise extended/truncated MAC values

This adds a couple of new test vectors embedding
PFX.macData.mac.digest with extended/truncated MAC values, both of
which should fail MAC verification.

Signed-off-by: Daiki Ueno <ueno@gnu.org>
Co-authored-by: Alexander Sosedkin <asosedkin@redhat.com>