cfb8: Fix decrypt path

It failed to decrypt buffers smaller than blocksize.

Signed-off-by: Stefan Metzmacher <metze@samba.org>

testsuite: test multiple chunksizes for cfb8 cipher

Signed-off-by: Stefan Metzmacher <metze@samba.org>
Signed-off-by: Guenther Deschner <gd@samba.org>

Add FIXME comment on struct gosthash94_ctx reorg.

ChangeLog entries for gosthash94cp.

Add PBKDF2 support for gosthash94cp

Russian technical comitee working on standartization of cryptography
algorithms has published the document describing usage of GOST R
34.11-94 hash function with PBKDF2 algorithm (MR 26.2.001-2012).
Add test vectors from that document and a special function implementing
Nettle interface for PBKDF2 using gosthash94cp.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

Add HMAC functions for GOSTHASH94 and GOSTHASH94CP

GOST hash functions can be used to generate MAC using HMAC algorithm.
Add functions implementing HMAC with GOSTHASH94/GOSTHASH94CP.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

Add GOST R 34.11-94 to nettle_hashes

Add entries for gosthash94 and gosthash94cp in nettle_hashes array.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

Add support for GOSTHASH94CP: GOST R 34.11-94 hash with CryptoPro S-box

Hash gosthash94 implements GOST R 34.11-94 standard using S-Box defined
in the standard 'for testing purposes only'. RFC 4357 defines S-Box
(CryptoPro one) for GOST R 34.11-94 hash function that is widely used in
applications. Add separate hash function algorithm (gosthash94cp)
implementing GOST R 34.11-94 hashing using that S-Box.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

Start separating GOST 28147-89 from GOST R 34.11-94

Hash function GOST R 34.11-94 (gosthash94) in its compression function
uses Russian block cipher (GOST 28147-89, Magma). Start separating block
cipher code from hash function code. For now there is no public
interface for this cipher, it will be added later.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

dlopen-test: Use libnettle.dylib on MacOS.

Mention dependencies on GNU make and GNU GMP in the README file.

gcm: move block shifting function to block-internal.h

Move GCM's block shift function to block-internal.h. This concludes
moving of all Galois mul-by-2 to single header.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

block modes: move Galois shifts to block-internal.h

Move Galois polynomial shifts to block-internal.h, simplifying common
code. GCM is left unconverted for now, this will be fixed later.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

block-internal: add block XORing functions

Add common implementations for functions doing XOR over
nettle_block16/nettle_block8.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

cmac64: fix nettle_block16 usage

CMAC64 uses block8, rather than block16.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

gcm: use uint64_t member of nettle_block16

Remove last usage of unsigned long member of nettle_block16.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

Merge branch 'block16-refactor' into master-updates

Expand documentation to cover CMAC-64

CMAC comment fixes

ChangeLog for previous change

cmac: add CMAC-DES3 (CMAC-TDES) implementation

Implement CMAC using TrippleDES as underlying cipher.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

ChangeLog for previous change

cmac: add 64-bit mode CMAC

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

Mark w member of union nettle_block16 as deprecated.

gcm: Use uint64_t member of nettle_block16.

eax: Use uint64_t member of nettle_block16.

ChangeLog for previous change

Move MAC testing code to generic place from cmac-test

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

Add tests that exercise public key checks for ECDH

When performing ECDH the peer provided public key needs to be checked
for validity. FIPS requires basic tests be performed to insure the
provided points are in fact on the selected curve. Those checks already
exists in the ecc_point_set() function.
Add an explicit test that checks the boundaries so that any regression
in checks will be caught.

Signed-off-by: Simo Sorce <simo@redhat.com>

Merge branch 'siv-mode' into master-updates

Fixes for Nettle 3.5.1

ChangeLog entry for 3.5 release

Update config.guess and config.sub

NEWS for 3.5. Mention deprecations in intro.

Fix some typos in the documentation.

Merge branch 'master' into siv-mode

The cmac changes on master breaks the previous version of the siv
code. Now updated, and improved to use const context arguments for the
_message functions.

Fix doc of cmac context structs.

Further separation of CMAC per-message state from subkeys.

Revert move of cmac128_ctx index

New struct cmac128_key.

Mention deletion of des-compat.h in NEWS

New SIV key size constants. Use in tests.

Require non-empty nonce for SIV mode.

Delete old libdes/openssl compatibility interface.

NEWS update for Nettle-3.5.

SIV-CMAC mode, based on patch by Nikos Mavrogiannopoulos

This AEAD algorithm provides a way to make nonce-reuse a not critical
issue. That is particular useful to stateless servers that cannot
ensure that the nonce will not repeat. This cipher is used by
draft-ietf-ntp-using-nts-for-ntp-17.

New header file cmac-internal.h

Move and rename block_mulx --> _cmac128_block_mulx.

ChangeLog entry for EPILOGUE fix.

Add missing EPILOGUEs in assembly files

tools/nettle-pbkdf2.c: Check strdup return value.

Redefine struct aes_ctx as a union of key-size specific contexts.

Rearrange cmac's block_mulx, make it closer to xts_shift.

* xts.c (xts_shift): Arrange with a single write to u64[1].
* cmac.c (block_mulx): Rewrite to work in the same way as
xts_shift, with 64-bit operations. XTS and CMAC use opposite
endianness, but otherwise, these two functions are identical.

Update docs for xts-aes

The structs are named xts_aes*_key, not xts_aes*_ctx.

ChangeLog entries for XTS support.

Recode xts_shift based on endianess

This creates two implementations of xts_shift, one for little endian and
one for big endian. This way we avoid copies to additional variables and
inefficient byteswapping on platforms that do not have dedicated
instructions.

Signed-off-by: Simo Sorce <simo@redhat.com>

Inline ciphertext stealing

This avoids copying and may be somewhat more readable without the need
for so much explanation.

Signed-off-by: Simo Sorce <simo@redhat.com>

Add support for XTS encryption mode

XEX encryption mode with tweak and ciphertext stealing (XTS) is
standardized in IEEE 1619 and generally used for storage devices.

Signed-off-by: Simo Sorce <simo@redhat.com>

Move block buffer last in hash context structs.

Merge branch 'delete-nettle-stdint-h' into master

.gitlab-ci.yml: Add -std=c89 and -DNDEBUG builds.

examples: Delete eratosthenes from TARGETS, left over from earlier change.

fat-arm.c: Fix declarations of chacha_core functions.

ChangeLog entries for previous change.

Add --enable-fat support for arm neon chacha20

On BCM2837B0 (Cortex-A53) @1.4GHz (Raspberry Pi 3B+),
Before:
`gnutls-cli --benchmark-ciphers`
       CHACHA20-POLY1305 (16384) 51.54 MB/sec
`gnutls-cli --benchmark-tls-ciphers`:
       ECDHE_RSA_CHACHA20_POLY1305 (payload 1400)  21.31 MB/sec
       ECDHE_RSA_CHACHA20_POLY1305 (payload 15360)  24.60 MB/sec
`nettle-benchmark`
 chacha     encrypt   71.90
 chacha     decrypt   71.89
chacha_poly1305     encrypt   48.17
chacha_poly1305     decrypt   48.17
chacha_poly1305      update  146.03

After:
`gnutls-cli --benchmark-ciphers`
       CHACHA20-POLY1305 (16384) 68.44 MB/sec
`gnutls-cli --benchmark-tls-ciphers`:
       ECDHE_RSA_CHACHA20_POLY1305 (payload 1400) 27.25 MB/sec
       ECDHE_RSA_CHACHA20_POLY1305 (payload 15360) 32.41 MB/sec
`nettle-benchmark`
 chacha     encrypt  106.00
 chacha     decrypt  105.94
chacha_poly1305     encrypt   65.94
chacha_poly1305     decrypt   65.96
chacha_poly1305      update  175.24

Update NEWS for Nettle-3.5.

.gitlab-ci.yml: Use ./bootstrap in gnutls build.

eccdata: More asserts in ecc_pippenger_precompute.

.gitlab-ci.yml: updated to new images by gnutls

Signed-off-by: Nikos Mavrogiannopoulos <nmav@redhat.com>

Delete eratosthenseprogram

tests: Fix assert call with side effects.

(cherry picked from commit 73d3c6d5586cc0fd81eab081078144d621de07b4)

test: Use %u and corresponding cast, when printing bit sizes.

nettle-benchmark: Add volatile to inline asm.

Add missing include of sha2-internal.h.

Delete nettle-stdint.h

eccdata: Add assert.

In openssl benchmarks, use RSA_generate_key_ex.

eccdata: Check that table size is at least 2.

Intended to silence warning from the clang static analyzer.

Bump version number and sonames, for Nettle-3.5

Delete obsolete TODO file

New header file pkcs1-internal.h

Merge branch 'release-3.4-fixes' into master

Fix compilation with gcc -std=c89

Fix accidental use of C99 for loop.

* rsa-sign-tr.c (sec_equal): Fix accidental use of C99 for loop.
Reported by Andreas Gustafsson.
* testsuite/rsa-sec-decrypt-test.c (test_main): Likewise.

Note release of Nettle-3.4.1.

Update NEWS file for 3.4.1.

Mention dependency on GMP-6, and RSA performance regression.

Update configure check to require GMP-6.0.0 or later.

Rewrite pkcs1_decrypt as a wrapper around _pkcs1_sec_decrypt_variable.

* testsuite/rsa-encrypt-test.c (test_main): Fix allocation of
decrypted storage. Update test of rsa_decrypt, to allow clobbering
of all of the passed in message area.

Add rsa-internal.h to distributed headers.

Patch from Simo Sorce.

rsa-internal.h: Add include of rsa.h.

Describe RSA improvements in NEWS.

Rewrote _rsa_sec_compute_root, for clarity.

Use new local helper functions, with their own itch functions.

rsa-compute-root-test: Fix qsize. Try more keys.

Update mini-gmp version for _rsa_sec_compute_root_tr rename.

Renamed rsa-sec-compute-root-test --> rsa-compute-root-test.

cnd_mpn_zero: Use a volatile-declared mask variable.

Move decl. of rsa_sec_compute_root_tr to internal header.

Also renamed with leading underscore, and updated all callers.

Switch rsa_compute_root to use side-channel safe variant

ChangeLog for previous change.

Randomzed testing of rsa-sec-compute-root

Signed-off-by: Simo Sorce <simo@redhat.com>

testutils.c: Fix high bits of the mpz_urandomb used with mini-gmp.