algorithms.c (KECCAK.extract): Fix method name in keyword-args string.

algorithms.c (hLATIN_prf): Allow all supported sizes of key.

algorithms.c: Add missing guard for `del' to property `set' functions.

Continuing the work of 9444777c58c60253afdabf5b45011440845770e0.

util.c: Make `default' arguments optional in `get', `setdefault', `pop'.

Alas, `pop' is a little trickier than the others.

util.c: Fix sense of error check in `popitem'.

catacomb-python.h, *.c: Fix how Python `pgen' handlers handle exceptions.

Oh, this was a mess.  The old code would convert an exception from a
Python handler into `PGEN_ABORT', and hope that the exception state was
still available when the overall operation ended.

This doesn't work.  In particular, steppers and testers are finalized by
calling them with `PGEN_DONE', and the interpreter doesn't like
re-entering Python with an exception set.  (In debug builds, this is an
assertion failure.)

Overhaul all of this nonsense.

  * Add a collection of utilities for saving and restoring the exception
    state.

  * Add a hook, in the `catacomb' module, for reporting `lost'
    exceptions, for the case where further exceptions are raised while
    responding to a first exception.

  * Use a larger `pypgev' structure to track the state of a Python event
    handler through the framework.  This structure holds a reference to
    the Python object itself, and a slot for recording an exception.

  * When a Python handler fails, stash the exception state in the slot
    provided by the `pypgev' structure if there isn't one already, and
    clear the pending exception.  If there is already an exception in
    the slot, then report the new exception through the hook described
    above.

  * Once a `pgen' operation completes, if it raised any exceptions at
    all, then the first of these is left in the exception slot.  If it
    fails otherwise, then we supply a generic exception.

rand.c, pgen.c: Invalidate random generators from pgen events.

I've not actually seen a crash from a Python program which keeps hold of
the random generator from a prime-generation event and tries to use it
after the operation has finished, but it was certainly possible.

Arrange for the event object to retain the random generator object (so
it always hands out the same one when requested), and invalidates it
when the event is itself invalidated.

This also involves messing with the `grand' code to cope with the idea
of invalidated random generators.

(cherry picked from commit d65d80d7c096e6afc500270ee29909f64869e5dc)

mp.c, util.c: Use `Py_ssize_t' for lengths.

Missed some from the earlier pass.

ec.c: Pass a dummy length argument to `PyObject_AsReadBuffer'.

Otherwise it just raises a `SystemException'.  So this code never
worked.

catacomb-python.h, *.c: Fix how Python `pgen' handlers handle exceptions.

Oh, this was a mess.  The old code would convert an exception from a
Python handler into `PGEN_ABORT', and hope that the exception state was
still available when the overall operation ended.

This doesn't work.  In particular, steppers and testers are finalized by
calling them with `PGEN_DONE', and the interpreter doesn't like
re-entering Python with an exception set.  (In debug builds, this is an
assertion failure.)

Overhaul all of this nonsense.

  * Add a collection of utilities for saving and restoring the exception
    state.

  * Add a hook, in the `catacomb' module, for reporting `lost'
    exceptions, for the case where further exceptions are raised while
    responding to a first exception.

  * Use a larger `pypgev' structure to track the state of a Python event
    handler through the framework.  This structure holds a reference to
    the Python object itself, and a slot for recording an exception.

  * When a Python handler fails, stash the exception state in the slot
    provided by the `pypgev' structure if there isn't one already, and
    clear the pending exception.  If there is already an exception in
    the slot, then report the new exception through the hook described
    above.

  * Once a `pgen' operation completes, if it raised any exceptions at
    all, then the first of these is left in the exception slot.  If it
    fails otherwise, then we supply a generic exception.

pgen.c (pgev_python): Delete pointless refcount manipulation.

catacomb/__init__.py: Awful bodge for symbol conflict.

It seems that, in Debian jessie and later, the main Python binary now
exports `md5_init' and friends.  Unfortunately, this overrides
Catacomb's existing `md5_init' with a rather different version, and the
result is a segfault (on i386) or wrong answers (on amd64).

So, as an unpleasant bodge (while this broken thing makes its way
through Debian, see bug #868366), try to force the `RTLD_DEEPBIND' flag
when loading the module.  This is unfortunate, because Python doesn't
actually advertise this flag, at least in my version.

(cherry picked from commit a3ae4a9f590ef84d8e6eac0bc94873a9fd943073)

catacomb/__init__.py: Rearrange the imports.

Sort the ordinary Python imports into alphabetical order (by module
name, rather than by import, if I'm only taking one or two symbols).
Move the main extension import into its own section, because it's going
to grow.

(cherry picked from commit 378ceeef4e0663d913cb448c32022522d39e7848)

catacomb/__init__.py: Import `sys' as a whole.

We're only using `argv' in one place, so this isn't a significant
hardship.  And I'll want more things from `sys' soon.

(cherry picked from commit c04b289c577a5cdf6d5dd641f7b541d90a93adff)

mp.c, util.c: Use `Py_ssize_t' for lengths.

Missed some from the earlier pass.

mp.c: Fix crash converting elliptic curve point-at-infinity to integer.

pgen.c, rand.c: Check correct variable when rejecting delete operations.

rand.c (BBSPriv.generate): Release the event handler afterwards.

mp.c: Return the result of `GFN' transformations as `GF'.

And not `MP', which is simply wrong.

mp.c: Don't leak the field polynomial.

mp.c: Release the `GFN' object through channels on error.

If the given element turns out not to actually generate a normal basis
then we have to give up constructing the `GFN' object and raise an
exception.  In turns out that debug versions of Python get really
unhappy if you try to free objects which still have nonzero reference
counts, so:

  * use `Py_DECREF' to free the object on error; and

  * mark the object (by leaving `p' null) so that we don't actually
    free the conversion matrices if they're weren't set up.

mp.c: Check that CRT moduli are pairwise coprime.

mp.c: Arrange to free `xx' on exit.

mp.c: Check that CRT moduli are actually positive.

field.c: Convert external-format field element to hex/octal.

Rather than going through the effort of calculating the external
representation of the field element and then returning the internal
version.

field.c: Return the binary-field polynomial as, err, a polynomial.

Sharing the extraction code with the prime-field case means it gets
returned as an integer.

rand.c: Add missing return-value mnemonic in docstring.

*.c: Consistently show keyword arguments as optional in docstrings.

pgen.c: Add missing `EV' arg in `PrimeGenEventHandler' method docstrings.

mp.c: Fix Jacobi symbol notation in docstring.

mp.c: Describe `MP' and `GF' conversion semantics.

mp.c: Spell `MP' and `GF' in the correct case in docstrings.

group.c: Fix capitalization of `ECPt' in docstring.

ec.c: Add missing optional argument to docstring.

bytestring.c (bytestring_pyrepeat): Don't divide by zero.

field.c: Fix misleading docstrings.

It seems that the `value' and `_value' properties have always been able
to return `GF' for binary field elements.

util.c: Fix docstrings for generic-map iterator classes.

buffer.c: Fix docstrings.

mp.c: Factor out and export `mphash'.

util.c: Fix docstrings for generic-map iterator classes.

group.c: Fix docstring keyword for `G.checkgroup'.

ec.c (ecpt_pyrichcompare): Fix point comparisons.

Previously we'd just reject comparisons of points with different curves.
Instead, support comparing curveless points with curvy ones by just
comparing the points coordinatewise.

Unfortunately, to make equality be transitive, this means permitting
comparisons between points on different curves, which is unpleasant.

ec.c (ecpt_pyhash): Fix hashing.

Previously, hashing a curveless point would just crash, which is
surprisingly bad form.  Replace this mess with a simpler thing which
just converts the point to external form and hashes the coordinates.

field.c, mp.c: Hash `GF' and `FE' objects the same as `MP'.

They can be compared for equality, and so they must hash the same way.

mp.c: Factor out and export `mphash'.

ec.c (ec2osp, os2ecp): Collect flags correctly.

Previously `ec2osp' collected an `int', which probably wasn't completely
terrible, and `os2ecp' collected a float, which probably was.

ec.c: Fix reported function name in `ec2osp'.

ec.c: Fix keyword-argument list for `os2ecp'.

ec.c (eccurve_pyrichcompare): Check that second operand has correct type.

A segfault waiting to happen, which has been lurking since the
beginning.

ec.c (ecpt_pymul): Don't leak the scalar value.

ec.c: Don't drop through into an error case.

ec.c: Fix three-argument point construction.

This has been wrong literally forever.

buffer.c: Don't advertise `WBUF.putecpt' as a keyword method.

catacomb/__init__.py (BaseRat, MP, GF): Add missing true-division methods.

Since these all produce exact (rational) results, they satisfy the true-
division requirements.

catacomb/__init__.py (BaseRat): Add missing reverse-multiplication method.

catacomb/__init__.py (BaseRat): Make comparisons actually work.

This was broken in 83c77564338b3e410eb2ca2db3d35173dd6666cc.

buffer.c (wbmeth_putblkN): Check input block size.

Otherwise the C code fails an assertion.

util.c: Use Python's machinery for handling 64-bit integers.

Where available.

buffer.c: Return 64-bit values, even if they're too big for `getulong'.

util.c: Use Python's machinery for handling 64-bit integers.

Where available.

util.c: Augment `convu64' to collect its argument via `kludge64'.

Otherwise integers too large for `unsigned long' get rejected with an
error, even though they ought to be acceptable as a `uint64'.

util.c: Augment `convu64' to collect its argument via `kludge64'.

Otherwise integers too large for `unsigned long' get rejected with an
error, even though they ought to be acceptable as a `uint64'.

key.c, pgen.c: Add missing guards for `del' to property `set' functions.

*.py: Use `str.replace' rather than `str.translate'.

It seems that the `None' argument to `str.translate' was a brief
experiment added in 2.6 which didn't survive into 3.0.

buffer.c: Fix typoed variable name in `assert'.

Evidently I've never actually compiled this code with the assertions
turned on before.

(cherry picked from commit a11849068dd55f5997365984cce759c0f2d7caeb)

Deploy the new <ctype.h> and `foocmp' macros from mLib.

Deploy the new <ctype.h> and `foocmp' macros from mLib.

Set ELF visibility to keep all of our external symbols to ourselves.

algorithms.c: Delete pointless line break.

Set ELF visibility to keep all of our external symbols to ourselves.

debian/: Bump to Debhelper 10.

debian/changelog: Prepare for the next version.

Release 1.3.0.1.

setup.py: Update required Catacomb version.

Missed from the previous release. Brown-paper-bag time.

Release 1.3.0.

debian/control: Bump `catacomb-dev' dependency for AEAD stuff.

setup.py: Update mLib dependency to match `debian/control'.

Merge branch 'mdw/aead'

* mdw/aead:
  algorithms.c, etc.: Support the new AEAD abstraction.
  algorithms.py: Support the new blockcipher-based MAC modes.
  algorithms.c: Add missing `copy' methods on hash and Keccak objects.
  catacomb/__init__.py: Add `KeySZ.pad' method.

algorithms.c, etc.: Support the new AEAD abstraction.

The new machinery means we can reimplement `secret_box' and
`secret_unbox' using Catacomb's `..._naclbox' AE scheme.

algorithms.c, etc.: Support the new AEAD abstraction.

The new machinery means we can reimplement `secret_box' and
`secret_unbox' using Catacomb's `..._naclbox' AE scheme.

algorithms.py: Support the new blockcipher-based MAC modes.

algorithms.c: Add missing `copy' methods on hash and Keccak objects.

catacomb/__init__.py: Add `KeySZ.pad' method.

This is the converse of `best': choose the smallest acceptable size
larger than some given value.

pock.1: Explicitly resolve the absolute-value wrapping from Hasse.

The following calculation doesn't hint that the term in the |...| has
been negated until quite late, making it a little misleading.

pock.1: Fix clumsy wording in Pocklington proof.

pock.1: Make a less fatuous observation.

Of course a has order dividing p - 1 in Z/pZ.  This is Lagrange's
theorem.

It's valuable to observe that a has order dividing n - 1 because this
makes the next step, where we deduce the order of t = a^{(n-1)/q}, work.

pock.1: Fix Pocklington proof.

Obviously t^q = a^{n-1} == 1 (mod n).  It makes sense now.

pock.1: Mention Baillie-PSW and why `pock' is still useful.

pock: Add the `-s' option to the usage synopsis.

pock: Consistently use lowercase and no dots in option help.

pock: Set the sieve vector size correctly.

Having calculated `sievesz' so carefully, it seems a shame not to use it
-- especially when that results in the sieve vector being thirty times
larger than it should be.

More seriously, this causes the `smallprimes' iterator to continue way
past its proper end-point.  Fortunately, all of the uses in this program
are safe.

pock: Report `duplicate label' as an expected error.

It shouldn't result in a backtrace.

Release 1.2.1.1.

debian/control: Build-depend on `python-all-dev', not explicit versions.

debian/: Use `dh_python2' for packaging.

setup.py: Fix the advertised package URL.

Unfortunately the old URL was terrible both because it was poorly chosen
and because it was broken long ago (if indeed it ever worked in the
first place).

pock: Actually, the word `check' isn't optional.

Fix the usage synopsis.  The manpage has this right.

algorithms.c, knock-on: Eliminate `f_freeme' flags.

These were being carefully set and checked on ciphers, hashes, and MACs,
for no good reason because the flag was always set.  Abolish it.

The flag still exists for `grand' objects because they get injected into
Python through the `pgen' event-handling machinery, and Python mustn't
destroy them just because it loses its reference.  (It also mustn't try
to hang onto them, so there's a longstanding bug in there.)

algorithms.c, knock-on: Eliminate `f_freeme' flags.

These were being carefully set and checked on ciphers, hashes, and MACs,
for no good reason because the flag was always set.  Abolish it.

The flag still exists for `grand' objects because they get injected into
Python through the `pgen' event-handling machinery, and Python mustn't
destroy them just because it loses its reference.  (It also mustn't try
to hang onto them, so there's a longstanding bug in there.)

algorithms.c: Slightly simplify integer-hashing methods.

There's no need for these to have an `end' label.