backport commit 2dd3a2f from master (#301)

* backport commit 2dd3a2f from master

update magma cipher ctr_acpkm mode encrypting

Fixed bug when acpkm key meshing didn't apply at appropriate time
during TLS secure exchange.
Unify usage of 'num' variable of EVP_CIPHER_CTX for kuznetchik and
magma.

* correct define variable dependency

add optional compiling setting for EVP_CTRL_TLS1_2_TLSTREE variable

Co-authored-by: Igor Kirillov <i.kirillov@kryptonite.ru>

gost_crypt: process full available block in CFB and CNT mode

If at the input of the encryption function in the CFB mode we have
an integer number of blocks, then in the main loop all blocks will be
processed, except for the last one due to an incorrect border check.
The last block will be fully processed as a "partial" remainder, but
the initialization vector will not be updated. And, thus, the value
of IV will always be incorrect in this case.

This breaks stateless protocols due to an invalid initialization vector:
all messages except the first cannot be decrypted. (Naturally, we are
talking about a case with disabled key meshing, which does not allow
context recovery due to an erroneous implementation.)

It is worth noting here that the code for processing partial blocks
(both at the input of the encryption functions and at the output) is
a historically unnecessary artifact, since we do not set the
EVP_CIPH_FLAG_CUSTOM_CIPHER flag and, as a result, OpenSSL processes
partial blocks for us.

This patch corrects the checking of the main loop boundary.

A similar error is present in the code for the CNT mode, but there it
does not manifest itself in any way, because the restoration of the
state in this mode is impossible: even after disabling key meshing, we
still have the state-dependent transformation of the IV.

As an extra result of this fix, the code for processing partial blocks
can be completely removed now.

(cherry picked from commit cf402dd4d89271d5b1ca4ea938ce7a2f13a44d58)

Tests updated to support GOST2001DH

Add explicit support for NID_id_GostR3410_2001DH (GOST R 34.10-2001 DH)

(cherry picked from commit e1afd2a137a0a4cab89260202fdc1828263d098d)

fix_cbc_281

CMakeLists.txt: Fix warning on gcc-9

/root/rpmbuild/BUILD/openssl-gost-engine-1.1.1/CMakeFiles/CMakeTmp/src.c:4:14: warning: initialization of 'int *' from incompatible pointer type 'char *' [-Wincompatible-pointer-types]
    4 |     int *p = buf + 1;
      |              ^~~
/root/rpmbuild/BUILD/openssl-gost-engine-1.1.1/CMakeFiles/CMakeTmp/src.c:5:14: warning: initialization of 'int *' from incompatible pointer type 'char *' [-Wincompatible-pointer-types]
    5 |     int *q = buf + 2;
      |              ^~~

Reported-by: Ilya Shipitsin <https://github.com/chipitsine>
Fixes: #288
(cherry picked from commit 6c7addf78b7fe7c8841d4cda6c9d710e4992c7a6)

KDF Tree fix for BIG_ENDIAN

(cherry picked from commit 47be42da87cb9bf9bad6f415c442b586ce0752ef)

Strict alignment Kuznyechik bugfix

(cherry picked from commit 1997dd99db27383a89d1f91bd4d7091b553ca6ee)

Provide cmake test if alignment requirement is strict

This is based on AX_CHECK_ALIGNED_ACCESS_REQUIRED from autoconf-archive.

Note, that on some arches unaligned access behavior could be changed at
runtime via prctl(1). Also, unaligned memory access is still slower (and
very slow on some arches) even if it's not strictly required.

(cherry picked from commit d2810d23a9f30ae885f9bf0783f0847a12972ff3)

Endianess bugfix

(cherry picked from commit f1f47c6c7710291157aa863768d9048aaeaa9530)

Edwards map fix

ECCKiila Changes from

https://gitlab.com/nisec/ecckiila/-/issues/2

https://gitlab.com/nisec/ecckiila/-/commit/7445ecabef77965743e0ae8d39d7433b07820be6

* X3 -> X1
* eliminate a temp variable

X3 = X1 as pointers is the reason this was still passing unit tests.
But that might not hold in future versions of ECCKiila, so fix it now.

(cherry picked from commit 259301a5adf2ef51b8f380b27fcead313669206e)

GOST EC armv7 aarch64 fixes

char defaults to signed on x86/x64, but unsigned on ARM.

(cherry picked from commit 409a1c2b76ac1d783bef6d35542e338d3777b5ac)

GOST ECC optimizations (#263)

Standalone EC implementations from ECCKiila.

https://gitlab.com/nisec/ecckiila
(cherry picked from commit bc346202fbb3bc838a19af8c3b0e449926589c7b)

GOST key agreement cofactor fix (#265)

* GOST key agreement cofactor fix

(cherry picked from commit dbc8f4780fa78d66a68174f78f9ae9aa9cdad53c)

[test] ECC: KATs for the curves in RFC4357 and RFC7836

* Tests that gost-engine correctly computes the public key from the
private key. (Twice -- Alice and Bob.)

* Tests that gost-engine correctly computes the derived shared key.
(Twice -- Alice and Bob, should be identical.)

(cherry picked from commit 95dd55b1152cc51bbd50d5eb09b459840971d68d)

gost_eng: Make it use arrays instead of repeatable code

Free memory

Fix code aligning

Rebuild error files to avoid build failures

pkeyutl -derive support

Support of pkeyutl -pkeyopt ukmhex:0102030405060708 syntax

test_digest: Test all block sizes and alignments

There need to be more tests than 2 constant fixed size blocks.
Final digest values are generated from the first run.

Test description in comments.

cppcheck: Variable is reassigned a value before the old one has been used.

Plus some minor chnages
- function defenition doen't match function declaration
- Consecutive break statement is unnecessary.
- Type missmatch in format string

cppcheck: The scope of the variable can be reduced.

keyx: Add OPENSSL_cleanse for internal buffers

Only stack buffers are considered.

Replace RAND_bytes with RAND_priv_bytes

`RAND_priv_bytes' is supposed to be used for private data.

ec: Use BN_{CTX_,}secure_new memory API for priv keys

OpenSSL suggests to use (and internally itself uses)
`BN_{CTX_,}secure_new' primitives to work with private keys.

These are using `OPENSSL_secure_malloc' et al. calls, which use
special 'secure heap' memory.

Along, optimize out `hashsum2bn' with `BN_lebin2bn'.

No need for special OFB context

CMakeLists.txt: Skip perl tests if there is no Test2::V0

`Test2::V0' is non standard and rarely present on systems, making `make
test' unnecessarily fail.

cppcheck: function defenition doen't match function declaration

GOST89 key masking

Destroy GOST key data with OPENSSL_cleanse()

elbrus: Treat __e2k__ as __x86_64__ for Streebog

lcc emulates x86_64 SIMD intrinsics, so SSE2 code will work as is. Even
though in benchmarks it is slightly slower than regular implementation

elbrus: Workaround `-Werror=assign-where-compare-meant'

This is lcc bug. Curiously, it is not triggered in `test_context.c' and
`test_grasshopper.c'.

"lcc: "/usr/src/gost-engine/test_curves.c", строка 32: ошибка:
          вероятное использование "=" вместо "=="
          [-Werror=assign-where-compare-meant]
  #define TEST_ASSERT(e) {if ((test = (e))) \
                              ^
 в раскрытие макроса "TEST_ASSERT" на строке 217
      TEST_ASSERT(0);"

elbrus: Workaround '#pragma message' [-Werror=unknown-pragmas]

"lcc: "/usr/src/gost-engine/gosthash2012_ref.h", строка 15: ошибка:
          нераспознанная #pragma [-Werror=unknown-pragmas]
  # pragma message "Use regular implementation"
           ^"

Also, cmake does not detect lcc.

gosthash2012: Properly ifdef '_mm_empty' call

There is other architectures besides __x86_64__, so EMMS should be
issued on IA-32 only where we are using MMX.

gosthash2012_const: Remove unused arrays with constants

This probably would reduce size of the library. And remove
some 'not used' warnings (-Wunused-const-variable).

Previously `Ax' is generated dynamically from `A` and `Pi` in
`GOST3411Init', but in 2013 it is moved into `gosthash2012_precalc.h`.
`Tau' is unrolled and eliminated in 2013 too.

gosthash2012: Issue EMMS on 32-bit SIMD implementation

`_mm_empty' is not needed on x86_64, because we only using SSE2.

But, I didn't notice that EXTRACT32 (32-bit version of EXTRACT) is
using MMX registers and intrinsics, so complete removing of
`_mm_empty' (EMMS) was mistake.

Make it presence conditional only for IA-32.

Fixes: 211489f ("gosthash2012: Improve SIMD implementation")

gosthash2012: Clean up cmake test for _addcarry_u64

Not last version went into commit ed0f8fbedf438e0ed1f6da9e829a932881695175

gosthash2012_sse2: Remove unused code (__EXTRACT64)

It's not only unused, but calling _mm_extract_epi8 which is SSE4.1.

Move NID_id_tc26_gost_3410_2012_256_paramSetA to 256-bit

gosthash2012_ref: Optimize XLPS for speed

This results in ~20% improvement for reference implementation on my
Xeon E5630.

`openssl speed -evp streebog256' results (before and after):

   16 bytes    64 bytes   256 bytes  1024 bytes  8192 bytes  16384 bytes
 3815.25k   12874.41k   31497.81k   49823.06k   59932.67k    57021.78k
 4361.29k   14933.06k   37091.67k   59001.86k   71360.51k    72488.28k

gosthash2012: Provide cmake test for _addcarry_u64

Also, simple check if `_addcarry_u64' works correctly.

travis-ci: adjust osx linker options

travis-ci: Optimize and rearrange .travis.yml

- Remove redundant 'os: linux', 'compiler: gcc' tags.
- Order jobs: x86_64 builds, analysers, other arches, other OSes.
- Mark openssl-master build as 'allow_failures' for PRs.
- Build all jobs against 'OpenSSL_1_1_1-stable' by default.
- Do not include 'linux/arch' in the job name, because Travis show
  them already.
- Split name by ' | ' instead of '/' so it's easier to understand.

travis-ci: Fix build on 'OpenSSL_1_1_1-stable'

It's turned out that 'OpenSSL_1_1_1-stable' does not have 'build_sw'
make target. But both 'OpenSSL_1_1_1-stable' and 'master' have
'build_libs' and 'build_programs'.

Fixes: cb1b5ff ("travis-ci: Speed-up openssl build")

gosthash2012: Improve SIMD implementation

Allow aligned/unaligned access. Use better intrinsics and other
small optimizations.

Committed-by: Vitaly Chikunov <vt@altlinux.org>

gosthash2012: Enable building with SIMD implementation

Also, add compile time notice message to show which implementation is
selected.

gosthash2012: Optimize `add512` on x86_64 using Intel intrinsics

`_addcarry_u64' is using `ADC' and does not require ADX extensions
(`-madx').

Committed-by: Vitaly Chikunov <vt@altlinux.org>

gosthash2012: Optimize out temporary `buf' from `stage3'

On-stack `buf' is replaced by manipulation directly on `CTX->buffer'.

Committed-by: Vitaly Chikunov <vt@altlinux.org>

gosthash2012: Optimize `gost2012_hash_block' loop

Some simple optimizations.

Committed-by: Vitaly Chikunov <vt@altlinux.org>

gosthash2012: Change some byte (pointers) to union uint512_u

Introduce byte `.B' union type to `union uint512_u'.
Change `CTX.buffer' type from `unsigned char' to `union uint512_u'.
Change `data' argument of `stage2()' to `union uint512_u *'.
Change `g()' arguments to `union uint512_u *' with `RESTRICT'
allowing compiler to optimize more.

No code changes, only type changes here.

Committed-by: Vitaly Chikunov <vt@altlinux.org>

gosthash2012: Remove temporary variable from `stage2'

Now `stage2' will always get aligned data which is prepared in
`gost2012_hash_block' by copying into `CTX->buffer'.

This will allow to change `data' argument of `stage2' from `unsigned
char *' pointer to `union uint512_u *'.

Committed-by: Vitaly Chikunov <vt@altlinux.org>

gosthash2012: Make `add512' to work in-place

This allows to use `RESTRICT' which allows compiler optimize more.

Committed-by: Vitaly Chikunov <vt@altlinux.org>

gosthash2012: Simpler version of add512

Similar to my commit into adegtyarev/streebog@432d5de.

gosthash2012: Simplify `pad'

`pad' does not need this complicated  memory movements using stack
buffer.

Committed-by: Vitaly Chikunov <vt@altlinux.org>

gosthash2012: Remove redundant `memset' form `init_gost2012_hash_ctx'

`CTX' is already fully zeroed at the beginning of
`init_gost2012_hash_ctx'.

Committed-by: Vitaly Chikunov <vt@altlinux.org>

gosthash2012: Remove unreachable code from `pad'

`CTX->bufsize' cannot be 64 ever.

gosthash2012: Remove redundant `hash' field from `struct gost2012_hash_ctx'

And save 64 bytes.

Committed-by: Vitaly Chikunov <vt@altlinux.org>

travis-ci: Add 32-bit build (i386)

Make sure everything is OK on 32-bit platform.

travis-ci: Speed-up openssl build

Do not build openssl documentation.
Also, split build line into several lines.

travis-ci: Add (big-endian) s390x build

s390x is big-endian which is different from any other arch we build.
We have endianness dependent code, thus this is useful to test.

travis-ci: Add clang build for linux/x86_64/openssl-master

Previously Clang is only used for OSX build.

travis-ci: Always describe openssl branch

Log full commit id that we build OpenSSL against, because `master' is
moving target. That should be useful for old logs to reproduce these
builds.

Remove unset local buffer meshing. This removes valgrind errors.

CMakeLists.txt: Workaround openssl deprecation of HMAC and CMAC primitives

Following commits mark CMAC and HMAC primitives deprecated:

  commit a6d572e60120e0ffb42aece17a085f0fed1b8f6f
  Author: Pauli <paul.dale@oracle.com>
  Date:   Tue Jan 14 10:59:11 2020 +1000

      Deprecate the low level CMAC functions

  commit dbde4726889a19af0a718fe9c5542f39c81acbd3
  Author: Pauli <paul.dale@oracle.com>
  Date:   Tue Jan 14 12:11:50 2020 +1000

      Deprecate the low level HMAC functions

Add `-Wno-error=deprecated-declarations' to appropriate targets.

References:
  https://github.com/openssl/openssl/commit/a6d572e601
  https://github.com/openssl/openssl/commit/dbde472688

travis-ci: adjust names

travis-ci: add PR testing for OpenSSL-1.1.1 branch

CI: do not use LD_BIRARY_PATH anymore

travis-ci: remove redundant cpanminus installation, remove cmake compile from source

travis-ci: Add descriptive names to the tests

Format is `os/compiler[+env]/arch'.

travis-ci: Fix quietness of building of openssl

No need for `build.log' as `make -s' will output any failure.

Also, redirection was broken anyway since splitting make into two makes
with separate `-j' and install phase.

Add `travis_wait' to make traves not time-out on slow arches. Reference:
  https://docs.travis-ci.com/user/common-build-problems/#build-times-out-because-no-output-was-received

Fixes: c38ec7587 ("travis: speed up Travis build")

tcl_tests: Abbreviate output when run under CI

To make CI output not too long - output only header of every test set
and output only relevant log entries on test failures.

When `CI' env is defined. Which should be defined for both Travis and
Cirrus. Reference:
  https://docs.travis-ci.com/user/environment-variables/
  https://cirrus-ci.org/guide/writing-tasks/#environment-variables

tcl_tests: Rearrange runtest.sh to run from dirrerent env

Add more debug output to fix Travis-CI issues. Move definition of
OPENSSL_CONF above first tcl test run. Define OPENSSL_ENGINES from
ENGINE_DIR by default.

travis-ci: Add tcl_tests to the builds

travis-ci: Remove redundant linux/gcc test

Fis was same as the first test.

tcl_tests: Fix ocsp test by removing -md_gost94 option

Otherwise you'll get:

  ocsp: Digest must be before -cert or -serial
  ocsp: Use -help for summary.

tcl_tests: Disable failing ssl tests and suites

Remove GOST2012-MAGMA-MAGMAOMAC and GOST2012-KUZNYECHIK-KUZNYECHIKOMAC
suites from the test.

Disable handshake tests.

tcl_tests: Fix cms and smime_io tests by telling that signature is -binary

Verification failure
139891902039680:error:2E09A09E:CMS routines:CMS_SignerInfo_verify_content:verification failure:crypto/cms/cms_sd.c:848:
139891902039680:error:2E09D06D:CMS routines:CMS_verify:content verify error:crypto/cms/cms_smime.c:393:

tcl_tests: Fix smimeenc test by removing entries with empty params

This is not robust to have such tests.

tcl_tests: Fix and update enc test

- Set expected default value for CRYPT_PARAMS.
- Disable `RIC 1' params tests.
- Disable `Magma-ACPKM' test.
- Update test descriptions to include cipher name.

tcl_tests: Fix and extend ca test

- Add more curves to test.
- Properly handle R 1323565.1.023-2018 (5.2.1.2) - absence of
  digestParamSet for some curves.

tcl_tests: Add more parameters to pkcs12 test

tcl_tests: Fix and extend req-newkey test (with TC26 parameters)

`gost2012_512:C' was reported as invalid but it's now valid parameter.
Also, add TC26 `TC{A,B,C,D}' parameters (note different OIDs).

tcl_tests: Fix req-genpkey test (show OID for gost2012_256:0)

tcl_tests: Fix pkcs8 test (showing public key)

tcl_tests: Allow running tests separately

For debug purposes.

Example:
  sh ./runtest.sh dgst pkcs8

tcl_tests: Fix engine.try (add more algos)

tcl_tests: Integrate TCL tests into build system

Run `make tcl_tests' to run the tests. Tests report success state to
make. Tests aren't run by default because of too many failures, yet.

tcl_tests: Make utf-8 encoding work

- Remove emacs coding: cp1251 tag
- Change stats file encoding to utf-8
- Change packages source to have -encoding utf-8
- Run tclsh with -encoding utf-8
- Make `proc rus' noop.

This will make Tcl automatically translate scripts output from utf-8 to
system encoding.

tcl_tests: Add TCL tests files

All source files are converted from cp1251 to utf-8.

Tests against master

cirrus-ci: switch to openssl-1.1.1 for a while

make tests against openssl-stable-1.1.x

make tests against openssl-stable-1.1.1

travis-ci: run coverity scan in separate cron task

ameth: fill digestParamSet for the sake of backwards compatibility

Even though it is not recommended by R 1323565.1.023-2018 fill
digestParamSet field for 512-bit curves Test, TC26-A, TC26-B because old
cryptoproviders expect this field to be present.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

travis-ci: enable ARM64 builds

Merge branch 'master' of https://github.com/gost-engine/engine

License matching the openssl one

Merge pull request #183 from chipitsine/master

travis-ci: enable coverity scan

travis-ci: enable coverity scan