Renamed from `rsa-decrypt', since the name was no longer appropriate.
Add functions for doing padded RSA decryption and signing.

Remove bad type name `rsa_param'.

Moved to `rsa-priv.c'.

New interface for computing products of many (small) integers.

New functions for freeing public and private keys.

Remove bad type name `bbs_param'.

New functions for freeing public and private keys.  Remove bad type name
`bbs_param'.

Use new interfaces for key manipulation.

Support for Optimal Asymmetric Encryption Padding.

New support for PKCS#1 message encoding.

(pgen_gcd): Bug fix -- check the GCDs of the right things when deciding
whether to abort.

(rslog): Ensure that log(1) = 0 (not 255, as previously).  While the two
are strictly equivalent, it means that the exp table is larger than it
otherwise needs to be.

Version bump.

Portability fix for the bug fix.

Fix cleaning of generated files.

Version bump.

(mpx_udiv): Fix bug in quotient digit estimation.

New tests for bugs.

Fix the derivation of `depth' commentary.

Minor reformatting.

Fix daft error in the comment for @gfshare_get@.

Interface change: allow shares to be extracted from a context on demand,
rather than building them all up-front.

Fix Makefile to test mp-sqrt.c.

More new functions to be added.

Use the new @mp_odd@ function.

New function @mp_odd@ to extract powers of two from an integer.  This is
common code from the Rabin-Miller test, RSA key recovery and modular
square-root extraction.

Add new functions.

Compute (approximations to) integer square roots.

Compute square roots in a prime field.

New test cases for square root functions.

Twofish can handle keys with any byte-aligned size.

Improve secret reconstruction -- compute coefficients as needed rather
than making a big array of them.

Rearrange build order to ensure that `mptypes.h' exists by the time it's
needed.

Whoops.  Fix a typo.

Change typesetting of Galois Field names.

Minor performance tweak: use Barrett reduction rather than Montgomery.
Fast secret sharing isn't done here, though: see `gfshare' instead.

Whoops.  Too eager with the mLib version.

Minor tidying and fixing.

New free counter noise generator, for use if /dev/random is
unavailable.

Add braces to shut compiler up.  Reformat code slightly.

Ignore uninteresting files.

Build mLib test vector files from the AES files.

Convert AES test vector files to mLib format.

New cipher.

More regression tests.

More regression tests.  Test binary I/O.

Make the `.catacomb' directory if it doesn't exist.

Add some argument checking.  Use MP secure memory interface.

Shamir's secret sharing system.

Set up Makefile in `tests' subdirectory.  Copy the public release key.

Restructure handling of cipher-based generators.  Add counter-mode
ciphers and MGF-1 hash functions.  Add FIPS 140-1 and Maurer's tests.

Add key fetching interface.  Add new rsa_decrypt interface.

Fix a bug in argument validation.  Force %$p > q$% in output.  Use
%$\lambda(n) = \lcm(p - 1, q - 1)$% rather than the more traditional
%$\phi(n) = (p - 1)(q - 1)$% when computing the decryption exponent.

Lots of changes:

  * Apply limits on %$\gcd(p - 1, q - 1)$% to reduce the space of
    equivalent decryption exponents.

  * Force %$e = F_4 = 2^{16} + 1$% to avoid small-encryption-exponent
    attacks.

  * Ensure that %$p > q$% and that %$p - q$% is large to deter
    square-root-based factoring methods.

  * Use %$e d \equiv 1 \pmod{\lambda(n)}$%, where %$\lambda(n)$% is
    %$\lcm(p - 1, q - 1)$%, as recommended in PKCS#1, rather than the
    more usual %$\varphi(n) = (p - 1)(q - 1)$%.

  * Handle aborts from pgen_jump.

Improve bulk performance by making better use of Montgomery
multiplication and separating out initialization and finalization from
the main code.

New cipher.

New key size interface.  Use secure arena for memory allocation.

New key size interface.  Add notes about the cipher.

New key size interface.  Allow key material to be combined with an
existing initialized context.  Use secure arena for memory allocation.

New key size interface.  Allow key material to be combined with an
existing initialized context.

Use new MP memory management functions.

Deprecate `rand_getgood'.  Provide a new interface to ensure that a pool
is well seeded.  Use secure arena for memory allocation.

Deprecate `rand_getgood'.  Provide a new interface to ensure that a pool
is well seeded.

Typesetting fix.

Signal a pgen abort if the jump and base share a common factor.

Add the GCD filter.

Filter which imposes additional restrictions on GCD of %$(p - 1)/2$%
with a given integer.

Quick compilation tool.

New pixie protocol allowing application to request passphrases and send
them to the pixie.  Use the secure arena interface for the input
buffer.  Extend the input buffer.  Other minor fixes.

New pixie protocol allowing application to request passphrases and send
them to the pixie.

Change buffer offset to be unsigned.

Use secure arena for memory allocation.  Rearrange setiv slightly.

Convenience macros for producing debugging output containing MP
integers.

New and much faster stack-based algorithm for reading integers.  Support
reading and writing binary integers in bases between 2 and 256.

Major memory management overhaul.  Added arena support.  Use the secure
arena for secret integers.  Replace and improve the MP management macros
(e.g., replace MP_MODIFY by MP_DEST).

Moved the Karatsuba macros into a separate file for better sharing.
Fixed some comments.  Use an improved technique so that all the
operations are squarings.

Moved the Karatsuba macros into a separate file for better sharing.
Fixed some comments.

Overhaul to use mLib's arena system underneath.

More hacking for the signs of the outputs.

MGF-1 support, as defined in PKCS#1.

Change buffer offset to be unsigned.

Portability fix for broken compilers.

Maurer's universal statistical test.

Add arena support.

Add the flags word to the generic generator.

Amend the notes slightly.

Use secure memory interface from MP library.  `rand_getgood' is
deprecated.

Key size table interpretation.

Add key fetching interface.

Use secure memory interface from MP library.

`rand_getgood' is deprecated.

Add the key packing interface.

key_structfind: track minor data structure change, and cope if the
subkey isn't available.

New key size interface.

Use secure arena for memory allocation.  Minor changes in the generic
hash interface.

Portability fix for broken compilers.

Typesetting fix.  Add a flags word to the generic generator.

Minor changes in the generic hash and MAC interfaces.

Minor changes in the generic hash interface.

Add a commentary on the system.