More randomized tests of ml-kem, add asserts for arithmetic primitives.

Move assert_maybe macro to nettle-internal.h.

Avoid branch instruction in ecc_secp256r1_modq

Reportedly, gcc-15 and gcc-16 on riscv64 generates a branch
instruction for r += (mask & (d1 + 1)). Rewrite as
r += (mask << 32) | (mask & 1), suggested by Felix Yan.

Add missing ml-kem test files to distribution.

ChangeLog entries for ml-kem.

Document ML-KEM support

Signed-off-by: Daiki Ueno <dueno@redhat.com>

Add support for ML-KEM key encapsulation mechanism

This adds support for ML-KEM key encapsulation mechanism standardized
in FIPS 203[1].

1. https://doi.org/10.6028/NIST.FIPS.203

Signed-off-by: Daiki Ueno <dueno@redhat.com>
Modified-by: Justus Winter <justus@sequoia-pgp.org>

Define and use NONSTRING attribute.

Use __has_attribute for _NETTLE_ATTRIBUTE_PURE, delete  _NETTLE_ATTRIBUTE_DEPRECATED.

Delete configure-time test for attribute support, in favor of __has_attribute.

Fix outdated FSF address in license grant headers.

Update text of COPYINGv2 and COPYINGv3, to latest from https://www.gnu.org/licenses/

Removes outdated FSF postal address and updates some URLs. Reported by Andreas Metzler.

Initial NEWS entries for Nettle-4.1.

Document sntrup761 support.

Add benchmarking of sntrup761.

Add sntrup761 tests.

Add Streamlined NTRU Prime sntrup761.

ci: Disable side-channel tests in ubsan build.

Rework test randomization, new functions test_get_seed and test_randinit.

Fix arithmetic overflow issues in sexp parser.

Move read_hex_file from slh-dsa-test.c to testutils.c

The function is also useful for ML-KEM and ML-DSA tests, whose test
vectors are large.

Signed-off-by: Daiki Ueno <dueno@redhat.com>

Synchronize func signatures between code and docs

This mostly affects function signatures in the manual, i.e. to reflect
prior code changes where e.g. uint8_t pointers were corrected to char
pointers.

NB, this change is limited to the base64/base16 functions, deviations in
other translation units can be addressed with follow-up patches.

Fix missing const in drbg_ctr_aes256_init prototype.

doc: Document subtely with public input to eddsa signing.

Note Nettle-4.0 release in ChangeLog.

Make tar file generation closer to reproducible

Fix texinfo syntax.

ChangeLog and NEWS entries for drbg_ctr_aes256_update.

Merge branch with drbg_ctr_aes256_update into master

Expose drbg_ctr_aes256_update

To adhere to FIPS 140-3, the CTR_DRBG instance shall be reseeded after
a certain number of generation requests (2^48, according to SP800 90A
10.2.1, table 3). To allow applications to implement that restriction,
expose drbg_ctr_aes256_update as a public function.

Signed-off-by: Daiki Ueno <dueno@redhat.com>

Use a C99 flexible array for struct tstring.

More consistent entry point alignment in asm files.

Delete trailing semicolons on DECLARE_FAT_* usage.

Reported by Amol Surati.

Update config.guess and config.sub.

Mention ed448 fix in NEWS.

Add missing check that the final octet of an ed448 signature is zero.

doc: Revise outdated text in the manual.

Fix a few minor typos in the SLH-DSA documentation.

ci: Replace $CI_REGISTRY with explicit reference to to git.lysator.liu.se.

ci: Delete all tags in ci jobs.

Update OCB documentation.

Add tag_length to ocb_ctx, and drop length argument to ocb_digest.

Update CCM documentation.

Add tag_length to ccm_ctx, and drop length argument to ccm_digest.

NEWS update for OCB.

Simplify ocb_fill_n.

Use platform-independent types for ocb data_coutn and message_count.

Minor NEWS update.

Rearrange getopt files to use gnulib copies.

ChangeLog and NEWS update for sexp parser fixes.

Rewrite sexp_iterator_exit_list to not recurse to sexp_iterator_next.

Fix off-by-one length check error in sexp parser.

Fix return value for failure of base16_decode_update and base64_decode_update.

Fix typos reported by Amos Jeffries.

Document changes to base16_decode_update and base64_decode_update.

tests: Simplify read_hex_file.

Update api for base16_decode_update and base16_decode_update.

Make *dst_length an input argument, should hold size of dst buffer.
Fail if decoding would exceed this size.

Whitespace fixes to NEWS.

Delete undocumented and unused function base64_encode_group.

Update NEWS for nettle_armor deletion.

Delete nettle_armor abstraction.

Simplify test scripts.

sexp-conv: Delete use of nettle_armor for input.

sexp-conv: Delete use of nettle_armor for output.

Improvements to sexp-conv --hash option.

Rework handling of sexp-conv hashing, fix leak.

ChangeLog entry for previous change.

Improve tests of sexp-conv.

List SLH-DSA as a new feature in NEWS.

doc: Document SLH-DSA functions.

doc: Update introduction to public-key algorithms.

Update mini-gmp to latest version, disable floating point functions.

doc: Group introductory material into a "Using Nettle" chapter.

Update NEWS with configure and C language changes.

Also move interface changes earlier.

Delete configure logic to tweak the default libdir.

Delete configure options --with-lib-path and --with-include-path.

Merge branch 'slh-dsa-sha2' into master

Implement slh-dsa-sha2-128f.

Add ChangeLog entries for slh-dsa-sha2-128s.

Add back accidentally lost slh_dsa_shake_128f test case.

Implement slh-dsa-sha2-128s.

ci: Re-enable remote/s390x job.

New hash abstraction for slh-dsa, to aid sha2 support.

ci: Replace c89 job with c99.

New files slh-dsa-128s.c and slh-dsa-128f.c.

Move params structs and parse_digest functions, since they are the
same for shake and sha2.

Rename _slh_dsa_shake_128s_params -> _slh_dsa_128s_params, and similarly for 128f.

Rename slh-dsa constants that are not shake-specific.

ci: Temporarily disable gnutls job.

Revert "Add COPYING symlink, to help gitlab and go-license-detector."

This reverts commit e7eacd6bdc79868f239c3ee5e665b08c8ec280a5.

The symlink didn't help, and it is somewhat misleading.

ci: Update for running CI at git.lysator.liu.se, not gitlab.com.

There's currently one configured runner, hosted by Simon Josefsson.

In the manual, update version, year, and sha example.

Fix broken mailing list link in README.

Add COPYING symlink, to help gitlab and go-license-detector.

Similar fix to 32-bit ecc_secp384r1_modp.

Fix 32-bit ecc_secp192r1_modp to work with the sc-* tests.

Additional slh-dsa test cases.

Additional slh-dsa keygen test cases.

From https://github.com/usnistgov/ACVP-Server.

Implement slh-dsa-shake-128f.

Fix memory leaks in slh-dsa tests.

Implement slh-dsa-shake128s.