symm: Expunge stubby header files from the source tree.

Construct them at compile time instead.

symm/Makefile.am: Modes files listed as `EXTRA_DIST' and `nodist_...'.

The generated per-mode files were listed both as `nodist_...' and in
`EXTRA_DIST'.  Sort this out by just adding them to the appropriate
distribution list instead.

symm/Makefile.am: Have modes things depend on `Makefile.am'.

This is, after all, where the master list comes from.  This includes the
modes files, and the various generated lists.

symm/modes.am.in: Fix `Generated from ...' header.

pub/rsa-recover.c: Give up if we run out of prime numbers.

We have a 1/2 probability of winning for each prime, and `NPRIME' is at
least 256, so the chances of us giving up on an input which we could, in
fact, factor if we persevered are negligible.  We therefore neglect them.

Merge branch 'mdw/ec-ptcmpr'

* mdw/ec-ptcmpr:
  math/: Support EC2OSP and OS2ECP operations, with point compression.
  math/f-{prime,niceprime}.c: Fix reduction for `add', `sub' and `neg'.
  math/mp-modsqrt.c: Zero has a square root.  Return it correctly.
  math/: Improve some commentary in the binary-field arithmetic.

math/: Support EC2OSP and OS2ECP operations, with point compression.

We handle both LSB and (IEEE 1363) SORT compression, and hybrid forms.
The `ec_fromraw' function now accepts compressed forms, but (for
compatibility's sake) `ec_toraw' doesn't generate them.  Lots of tests
included.

math/f-{prime,niceprime}.c: Fix reduction for `add', `sub' and `neg'.

None of these worked properly at the modulus itself.  This causes the
`neg' method of prime curves to fail at 2-torsion points.

math/mp-modsqrt.c: Zero has a square root.  Return it correctly.

This causes `find' on prime curves to fail when given the x-coordinate
of a 2-torsion point.

math/: Improve some commentary in the binary-field arithmetic.

  * Explain why `gfreduce_trace' can safely return its answer as an int.

  * Explain how `gfreduce_quadsolve' actually works.  Also explicitly
    guarantee that its result is deterministic.

  * Explain how the `find' method works in `ec-bin.c'.

There's a little fiddling with braces to fit the new commentary in, but
no significant code change.

progs/factorial.c: Reject negative inputs.

Otherwise they get reduced mod 2^large, and the program takes forever.
It's not like we'd get a better answer by using the full-on Gamma
function, so just report an error.

pub/rsa-recover.c: Fail gracefully if `mpmont_create' fails.

Otherwise we'll crash and burn if, e.g., `n' is even for some reason.

pub/rsa-recover.c: Gather cleanup to the end of the function.

We get to delete a whole lot of leave-in-the-middle cleanup, and
concentrate it all at the end.  This also lets us recycle temporaries
slightly better.

There's a little light reformatting thrown in, but nothing too aggressive.

pub/rsa-recover.c: Take out explicit factoring-retry loop.

We have the `again' label anyway, because we need to retry from the
nested square-root-finding loop, and the hope is that we do the thing
once and it works, retrying on failure, rather than iterating over a
thing, so I think I prefer the `goto' here.

rsa-recover.c: First stage cleanup: hoist variable declarations.

Remove all of the variable declarations from inner blocks and hoist them
to toplevel.  Initialize `mp' variables once, and use their initial
values, rather than writing `MP_NEW' explicitly in the first assignment.

There's no functional change here.

Two small (temporary) warts. Firstly, the handling of `z' and `zz' in
the factoring loop is rather nasty, repeatedly freeing and recreating
`zz'; and secondly `p1' and `q1' are used in two separate places.  To
prevent conflicts here, reset the relevant variables to `MP_NEW' after
freeing them.

pub/rsa-recover.c, pub/rsa.h: Say what's left when `rsa_recover' fails.

base/ct.[ch]: Fix stupid editorial error in commentary for `ct_intle'.

Also, I checked through the disassembly for these functions, just to
check that GCC isn't inserting comparisons or branches where they aren't
wanted.  It isn't -- at least, not yet.

Release 2.1.7.

Makefile.am, configure.ac, progs/Makefile.am: Link math library explicitly.

Rename `CATACOMB_LIBS' to `MATHLIBS' and use it explicitly in some of
the utility builds.

If the main library needs more library dependencies then it'll probably
be best to sort them out in the Makefile.

progs/mkphrase.[c1]: Optionally drop apostrophes.

They don't do much good, really.

progs/hashsum.c (checkhash): Fix stupid bugs.

  * Initialize the return code.  Not sure why this didn't get a warning.

  * Pick up changes of hash function properly.

math/ectab.in: Add the BADA55 curves by Bernstein et al.

math/ectab.in: Add the Brainpool curves.

Really I should have done this years ago.

math/mpgen, symm/multigen: Add copious commentary.

math/mpgen, symm/multigen: Various minor cleanups.

Reordering some code; deleting pointless code; some very minor bug fixing.

Most notably, avoid a crash when reporting a row size mismatch, in
Relation.addrow.

math/mpgen: Fix bugs in slot handling.

Several bugs, which conspired to cover their tracks.

  * BaseSlot never actually stored the `omitp' and `allowp' functions.

  * The MPSlot handler didn't chain up to the BaseSlot implementation
    of `setup'.

  * The EllipticCurveGroup's `beta' slot definition's `omitp' and `allowp'
    functions used the slot name `type' instead of the object.

The incorrect lookups were hidden because the functions were never called.
The omission of `beta' values for most curve groups should then have
caused an error, only MPSlot.setup didn't chain up to the method which
would have noticed.

progs/{catsign,mkphrase}.1: Fix synopsis line breaks.

Some lines which only contained tabs got clobbered in a whitespace
cleanup.  Those lines were asking for trouble anyway; instead, use
\h'8n', which won't get caught in the same way, makes more space, and is
consistent with other manpages in the package.

math/mpx.c: Eliminate clone-and-hack from `mpx_{load,store}{l,b}{,2cn}.

Introduce another pile of macros.  The implementations probably aren't
as efficient as the hand-coded versions, but I don't think they were
ever time-critical.

math/mpx.c: Eliminate clone-and-hack of shifting primitives.

Replace with some fancy macros.

rand/noise.c (noise_filter): Use the <mLib/sel.h> machinery.

Makes things a little more verbose but rather simpler.

rand/noise.c (noise_filter): Use <mLib/mdup.h>.

The code was slightly incorrect previously: if the standard descriptors
are closed to begin with, then the pipe ends up being closed on entry.
As far as I know, this has never actually happened, but I have the
machinery to fix this bug so I might as well use it.

rand/noise.c (noise_filter): Invoke the shell properly.

This has been buggered forever. :-/

rand/noise.c: Environment variable to force use of `noise_filter'.

For debugging, mostly.  Don't use this in real life.

rand/noise.c: Order <signal.h> properly.

I try to keep them alphabetical.

math/gfreduce.c: Fix commentary.

Nothing very serious.

math/mpreduce.c: Fix some typos in commentary.

rand/noise.c (noise_timer): Actually update previous time.

A long-standing bug.  Oops.

rand/noise.c (noise_devrandom): Fix reading from the kernel random device.

It was, unfortunately, filled with badgers.

  * Don't take short reads for an answer.  Loop until the read actually
    fails, or we've filled the buffer.

  * If we didn't actually read enough to fill the buffer, then don't
    return success!  The fallback collectors will engage and hopefully
    save our bacon.

gdsa: Generate nonces more securely.

Hash the private key and message, together with some random stuff.  This
ought to be hard to guess even if the randomness is bad.

pub/gkcdsa.c: Fix label in test failure output.

Release 2.1.6.1.

symm/multigen: Fix for Python 2.5.

The top-level `next' function was introduced in 2.6, so use `.next()'
and catch `StopIteration'.

math/gen{primes,wheel}.c: Don't use full header file name in `#include'.

This makes source distributions fail badly.

Release 2.1.6.

math/mp-jacobi.c: Fix embarrassing spelling mistake in documentation.

math/mp-gcd.c: Minor reformatting.

So that it matches the recent fix a little better.

math/mp-gcd.c: Avoid clobbering constants during the sign fixup.

If the GCD computation was trivial, then the state still contains
references to the constants `MP_ZERO' and `MP_ONE'.  It would be Really Bad
to trash their signs -- in particular, this causes comparisons with
`MP_ONE' to fail, leading to an assertion failure from `mp_modinv'.

Makefile.am: Add some forgotten files to the distribution archive.

More whitespace fixes.

With a little luck, that'll be the last for a while.

.gitattributes: New file; Python programs shouldn't have tabs.

Some more whitespace cleanups.

math/gfreduce.c, math/mpreduce.c: Remove unused macro from testing code.

Must have been cut-and-paste lossage when the tests were added.

Also remove a spurious blank line.

math/gfreduce.[ch]: Fix out-of-bounds memory access.

The final pass of the reduction adds a multiple of the extra top bits
from the most significant word; but at this point, the generated
instruction sequence will access a word one beyond the bottom of the
supplied memory vector.  While it (probably) won't modify this word, it
will still attempt to read and write it.

This is relatively harmless, since typically the vector will have been
allocated from our custom arena, and therefore there'll be a header word
in this position, but hand-built polynomials may cause trouble.

Fix this bug by keeping track of the first instruction which accesses a
word other than the least significant, and using this alternative entry
point in the final pass.  Fortunately, there's an unused slot, `liv', in
the context structure which we can use for this purpose!

(Yes, the previous refactoring was largely for the purpose of fixing
this bug.)

math/gfreduce.c: Refactor and document.

There was an unfortunate amount of code duplication in the old code,
particularly around the issuing of LSR instruction sequences.  Gather
the relevant state into a structure, and split the repeated code into
separate functions.

A casualty of this refactoring work is the work put into calculating the
`liv' slot in the `gfreduce' structure, carefully calculated to be a
pointer immediately after the first `STORE' instruction.  Alas, this
information is completely useless.

Also add a bunch of commentary explaining the underlying theory.

math/gfreduce.h: Missing include.

math/*.awk: These should have been killed when `mpgen' appeared.

math/t/mpreduce: Add a slew more randomized tests.

With a little luck, that's the main edge cases in the algorithm
tested (as well as merely proven correct).

math/mpreduce.[ch]: Extend the domain to all positive integers.

Integers of the form (100...)_2 are now acceptable, at last, now that
I've got a grip on the underlying theory.  (It's somewhat embarrassing
that it's taken so long, given that the algorithm was my own work to
begin with, but it was all rather trial-and-error.)

Negative numbers still don't work, and probably never will.

utils/naf.c: Wrap up the state machine correctly.

The old code just assumed a particular resulution (in particular, the
`X' case), which is far from universally applicable.  Now we simulate up
to two more steps, feeding in zero bits.

math/mpgen: Remove spurious newlines in `mplimits.c'.

utils/naf.c: Non-adjacent form calculator, from math/mpreduce.c.

Rescue the plain old state machine, in case it's interesting later.

math/mpreduce.c: Remove ancient debugging code.

math/gfreduce.c: Fix misformatting in the commentary.

math/mpreduce.c: Add extensive commentary.

The behaviour of this code must have been something of a mystery.  It's
not arbitrary, but it is a little subtle in places.  Add a full
explanation of the whole thing.

math/mpreduce.h: Missing include files.

This all seems rather unfinished, really.

math/mp-jacobi.c: Improve the presentation.

Make the commentary a bit more useful, and move the code about to fit
in.

math/ec-prime.c: Fix commentary typo.

math/ec.c (ec_stdsub): Remove redundant `EC_FIX'.

This was left over from the old days, when the right input to `add'
was guaranteed to be in canonical form.  It's not been necessary since
391faf4...

math/mp-modsqrt.c: Reformat and add commentary.

math/mp.h, math/mp-jacobi.c: Whitespace fix.

vars.am: Remove extra prerequisite from the `.to.t' rule.

It doesn't do what one expects.

progs/catsign.1: Fix the warning about `verify' output.

Obviously copied from `catcrypt decrypt', which does only output
verified data because of its chunking; but `catsign' doesn't work like
this by default.

progs/catsign.c: Remove old debugging code.

Commented out, but still annoying.

progs/pixie.c: Use GNU capital-letter convention in HELP output.

progs/pixie.[c1]: Don't replace the existing pixie by default.

It's too easy to screw things up by replacing the running pixie, by
calling the pixie with no arguments.  The old behaviour is available via
the shiny new `--replace' option.

progs/cookie.c: Constant-time MAC tag checking.

Release 2.1.5.

Mollify various warnings which occur in 64-bit builds.

pixie.c: Use `socklen_t' rather than `size_t'.

key/pixie-common.c, progs/pixie.c: Handle error returns better.

This was rather bad, really.  It's still not perfect, by a long way.

progs/pixie.c: Fix format security bugs.

Really not very impressive.

Use the shiny new `mLib' warning-control macros.

progs: Fix a number of format-related errors.

Picked up by the new `mLib' attribute machinery.

Muffle GCC warnings in various ways.

Some don't require much in the way of contortion to muffle without using
GCC-specific tricks.  Others are hard or impossible to avoid -- because
they're to do with macro definitions, or even actually GCC bugs (e.g.,
the array-bounds warning in `square.c') -- without just muffling the
warnings explicitly, by name.

progs/pixie.c: Rewrite list hacking to avoid strict-aliasing badness.

The circular list stuff was quite pretty but involved some really
unpleasant casting which modern GCC (quite properly) complains about
vociferously.

Replace it with more traditional doubly-linked-list hacking with
null-pointer sentinels, with the slightly nasty pointer swizzling tucked
away in useful macros.  Some of the uses of these macros (e.g.,
unlinking the first or last item in a list) could be made more efficient
by using special-case versions, but it doesn't seem worthwhile.

progs/pixie.c: Rename `log' function to `pxlog'.

Shuts up an annoying compiler warning.

debian: Use Debhelper 8 rather than the awful custom script.

debian/control: Remove irrelevant blather about `xpixie'.

The script was never shipped.

Overhaul `math' representation machinery.

Collect type information from the C compiler at configuration
time (using a rather complicated hack so that it works with
cross-compilers).  Read this from a Python script `mpgen' which is now
responsible for knowing all of the `mp' representation details.

Since `mpgen' generates all of the constant tables directly, we no
longer have any need for the programs `genlimits' or `mpdump' -- or the
random collection of `awk' scripts for turning `mumbletab.in' files into
`mumbletab.c' files.  And this means that we can kill `libmpbase.la'.

With this change, Catacomb is finally safe for cross-compilation.

Generate precomputed tables as sources in `precomps/'.

Rather than header files in the build tree.  The precomputations are
distributed, and not built in cross builds.

Rearrange the file tree.

It's actually, like, a tree now.  Testing is a bit wobbly: you really do
have to make the library before the tests will build.  I don't like
this, but the pieces of the library are all rather intertwined.

One small piece of unintertwining: `strongprime.c' no longer includes
`rand.h', which detaches the mathematical code from the symmetric-crypto
build system disaster.

Test files have been moved into `t/' directories as is now established
practice.

Also take the opportunity to eradicate the CVS `$Id...$' droppings.

configure.ac: Replace with a new version.

blowfish-mktab.c: Remove the eye-candy progress meter.

It really makes a mess of parallel builds.

Abandon the `m4'-based build system.  And there was great rejoicing.

The makefile has been entirely rewritten using old-fashioned Automake.
I've used the undocumented `foo_OBJECTS' variables in a couple of places
to make parallel builds work, but those will disappear again in the
course of future rearrangements of the source tree.

A couple of the scungier programs for building boilerplate source files
have been replaced by the marvellous new template-substitution program
`multigen'.

The `qcc' script is a casualty of the rearrangements.  Supporting it is
easy, but probably pointless.  So it's gone.

Currently most of the generated code is left in the build tree (rather
than the source tree) and not distributed.  This wants to be fixed
later, but the exact machinery will be rather different.

This is only the start of a programme of overhauling Catacomb's ageing
and rather nasty build system.  The objective is to end up with modern-
looking build scripts, and a pleasant and sensible directory tree.  Not
much of the actual code will change during this, though lots of it will
move around.  In particular, the testing machinery is likely to be
overhauled quite a lot.

.links: Drop obsolete `lib-config.in' file.

key-flags.c, key-pack.c, key-pass.c: Don't use the `key.h' machinery.

These are logically part of the `key-data.h' layer, and don't need
anything beyond that, so remove the header-file inclusion.

Release 2.1.4.

oaep.c, pkcs1.c: Use official constant-time operations.

The logic is a bit more contorted in places, but the security is better.

ct.c, ct.h: New constant-time operations.

Revert "group.h: Fix the struct tag for `group'."

I'm a moron.  The trailing `_' was there to distinguish my groups from
`struct group' in <grp.h>.  Put it back.

This reverts commit c6c823084467cc7a60808cdee8015529115b8b91.