pgroups: Ship a keyring file containing the custom prime groups.

This is largely as a useful reference for the benefit of, oh, say the
TrIPE RFC document.

ignore: tinymp build tree for small-word-size MP library.

Merge branch 'master' of /home/mdw/public-git/catacomb

* 'master' of /home/mdw/public-git/catacomb:
  rijndael: Make implementation big-endian.
  infra: Ignore possible profiling build.

rijndael: Make implementation big-endian.

This makes very little difference to the performance, and makes GCM
possible.  (GCM is both-endian -- the field-element representation is
little-endian and the counter is big-endian.  This is obviously mad, but
there you go.)

prime groups: Fix tests

Some of the tests still used the old groups, so they needed fixing.
Also the group checker was too zealous, and skipped groups depending on
their subgroup order, not field size, which can now cause all sorts of
stupidity.

infra: Ignore possible profiling build.

Merge branch 'master' of git+ssh://metalzone.distorted.org.uk/~mdw/public-git/catacomb/

keyutil: Allow explicit setting of key-id.

This is useful (indeed, essential!) for reproducibility of, say, domain
parameters, since otherwise the fingerprints will come out different and
you have to do the comparison by hand.

ptab: Replace the Catacomb groups.

These new ones are generated by a more reproducible (but very slow)
process.  The key sizes are taken from NIST SP800-57, and cover the full
range, including a truly daft-sized 15360-bit field.

noise: Fix freewheel generator's use of setitimer(2).

If the old timer was turned off, don't accidentally turn it on.  While
on some Linux versions, this seems harmless enough, on others it causes
spurious SIGALRM signals to be sent to the process, which is terribly
unhelpful.

catcrypt: Increase encryption buffer to 64K.

No reason not to, really.

catcrypt: Implement symmetric key-encapsulation and signature schemes.

For cases where you don't actually want to send messages, just keep
stuff lying around locally.

cc-kem: Fix memory leak in DH KEMs.

Just didn't free the context at the end.  How strange.

utils: Make very bad ECM factoring program.

  * Extract factoring code from existing `prim' program.

  * Write driver front-end.

debian: Fix package sections.

dh_kcdsagen: Generate cofactor first.

Reorganize the parameter generation so that we generate the cofactor
%$v = (p - 1)/2 q$% first, on its own, and then run a simultaneous
primality search to find %$q$% and %$p$%.  Because %$q$%-sized primes
are (usually) much more common than %$p$%-sized primes, this makes the
search go considerably faster -- though it seems to print many more
dots.

dh, keyutil: Implement KCDSA key generation.

New function dh_kcdsagen generates KCDSA prime groups.  It's less quick
than I'd hoped, but it appears to do the right thing.  Make the keyutil
generate keys of this kind, and add documentation.

Currently no tests.

dh-limlee: Make code return PGEN_ABORT on error, like the comments say.

The documentation says it returns PGEN_ABORT on error, but it doesn't:
it returns PGEN_FAIL instead.  Since PGEN_ABORT is -1, it makes sense to
do what the comments say, so make it do that.

pgen-safe: Expunge.

No trace remains.  This is an incompatible change, but I doubt anybody
cares.  The high-level key-generation functions still exist and do the
same things they ever did.

bbs-gen: Don't use the safe stepper.

This didn't use the safe-tester anyway.  I no longer understand why this
code was ever written this way, and since I want to eradicate the safe
stepper, this seems a good change now.

dh-gen: Use new simultaneous prime search.

I'm trying to expunge the old `safe prime' search.  This seems to work
now.

pgen: Implement general simultaneous-primality searching.

Find a collection of primes of the form %$a x + b$% for fixed constants
%$a$% and %$b$%, and a variable %$x$%.

pgen: Declare steppers and so on as being `pgen_proc's.

Just saves some mental effort reading them, and finger effort writing
them.

pgen_safetest: Use a separate witness for each test.

I have a suspicion that not doing this can do bad things to the
probability of returning a non-prime.

gcd: General tidying up.

  * Implement a GCD algorithm in calc/gfx.cal (partly to help with
    testing the Python bindings).

  * Clean up the MP and GF implementations: expunge incorrect commentary
    and redundant code.

infra: Clean up project setup

gf: Fix gf_irreduciblep() for small-degree polynomials.

Fix division-by-zero error for argument zero, and segfaults for
arguments with degree less than 2 due to skipping the main loop.  Handle
these as a special case.

pgen/pfilt: Special cases for primality checking.

Don't consider 1, 0, or anything negative to be prime.  Also, add a test
for pgen_primep(), because it's probably useful.

tests: Fix tests for 222c8a43... (mp-modsqrt change).

Ooops.  I accidentally broke some tests (in elliptic curve point-
finding) when I made that change, and (naughty me!) didn't run the full
suite.  I've checked that the breakages are acceptable (i.e., we just
get the positive y-coordinate rather than a random one now) and fixed
the tests.

infra: Remove BRANCHES file.

This was only interesting when severe discipline was required for
managing branches.  The switch to GIT makes this redundant.  Besides,
I've no longer any idea where all the branches might be. ;-)

mp-modsqrt: Always return the smaller possible square root.

This makes the function more predictable in its behaviour, and therefore
easier to test.

mp-gcd: Add tests for mp_modinv.

Just noticed there aren't any.  Naughty me.

Extract Subversion ignore data.

catcrypt security fix: sign metadata.

Allow insertion of new random data into the pool as a miscop.

Correctly work with the bizarre negative bases the @mptext@ functions allow.

Fix maintainer email address.

Fix segfault in retagging.

Accept `-' as a name for standard input.

Fix catsign verify for -C.

Optionally turn off checking of keys.

Eliminate buggy clone-and-hack keyreport functions.

Check freshness on signatures.

Bug fix for key_match

key getattr

Remove buf bits which moved to mLib.  Fix email addresses.

Make name and value outputs of key_nextattr optional.

Major and incompatible overhaul of key_data representation.  Fix leaks.

Export better list of errors.

Report error in key_create.

Fixes for Cygwin.

Incompatibly fix fingerprinting again.  Sigh.

Hashing macros for strings and integers.

Fix error message in merge.

Fix formatting some more.

Verify key fingerprints.

Formatting fixes.

Better PSS testing.

Translate PSS tests to mLib format.

Stupid mistake fix.

New function to decide whether a share is already inserted.

Ooops.  key_discard doesn't return a value.  Make the declaration reflect
this!

Fix documentation for mkphrase.  Oops.

Don't print DATA when being quiet.  Actually allow `-b' to `decrypt'.

Fix bug which decoded elliptic curve key data wrongly.

Fix for new automake.

Fix bug in client error reporting.

Uprating of the passphrase pixie.

Too obviously cloned.  Ooops.

Document encode and decode commands.

Minor fixes.

New tool for signing and verifying messages.

Support strings in buffer formats.

Uppercase metasyntactic variables in usage message.

Ignore more generated files.

Add Barreto and Rijmen's Whirlpool hash function.

Formatting fix.

Provide some more useful functions via the miscop interface.

Style: fix cast in execl(3) call.

Simplify the standard filter stepper.

Correct lies.

Correct misunderstanding of how inttypes.h printf format strings work.

Build failure: don't unlock memory unless we have mlock!

Add some fast paths for standard operations.

Add some fast paths for standard operations.

Export the code to transform DH or EC table entries into usable group specs.

Export the code to transform DH or EC table entries into usable group specs.

BBS overhaul (incompatible).  Jumping is now by bignum quantities, and
negative jumps are allowed.  All the various cool things are supported via
the miscop interface.

Distribute the binary group table source.

Actually build field-exp.

Allow base 255 (or whatever) in mptext.

Better reduction.

Fix bogus comparison revealed by mp_cmp fix.

Make prime generation work when function pointers are equal.  Get random
noise from network device packet counts.  And fix a really stupid bug
from the beginning of time in mp_cmp().

Provide better interface to key locking.

Lock elliptic-curve keys as requested.

More rational initialization and finalization.

Bunch of errors fixed.

Fix a number of free/xfree bugs.

Allow modified key files to be discarded.