ec: Use BN_{CTX_,}secure_new memory API for priv keys

OpenSSL suggests to use (and internally itself uses)
`BN_{CTX_,}secure_new' primitives to work with private keys.

These are using `OPENSSL_secure_malloc' et al. calls, which use
special 'secure heap' memory.

Along, optimize out `hashsum2bn' with `BN_lebin2bn'.

No need for special OFB context

CMakeLists.txt: Skip perl tests if there is no Test2::V0

`Test2::V0' is non standard and rarely present on systems, making `make
test' unnecessarily fail.

cppcheck: function defenition doen't match function declaration

GOST89 key masking

Destroy GOST key data with OPENSSL_cleanse()

elbrus: Treat __e2k__ as __x86_64__ for Streebog

lcc emulates x86_64 SIMD intrinsics, so SSE2 code will work as is. Even
though in benchmarks it is slightly slower than regular implementation

elbrus: Workaround `-Werror=assign-where-compare-meant'

This is lcc bug. Curiously, it is not triggered in `test_context.c' and
`test_grasshopper.c'.

"lcc: "/usr/src/gost-engine/test_curves.c", строка 32: ошибка:
          вероятное использование "=" вместо "=="
          [-Werror=assign-where-compare-meant]
  #define TEST_ASSERT(e) {if ((test = (e))) \
                              ^
 в раскрытие макроса "TEST_ASSERT" на строке 217
      TEST_ASSERT(0);"

elbrus: Workaround '#pragma message' [-Werror=unknown-pragmas]

"lcc: "/usr/src/gost-engine/gosthash2012_ref.h", строка 15: ошибка:
          нераспознанная #pragma [-Werror=unknown-pragmas]
  # pragma message "Use regular implementation"
           ^"

Also, cmake does not detect lcc.

gosthash2012: Properly ifdef '_mm_empty' call

There is other architectures besides __x86_64__, so EMMS should be
issued on IA-32 only where we are using MMX.

gosthash2012_const: Remove unused arrays with constants

This probably would reduce size of the library. And remove
some 'not used' warnings (-Wunused-const-variable).

Previously `Ax' is generated dynamically from `A` and `Pi` in
`GOST3411Init', but in 2013 it is moved into `gosthash2012_precalc.h`.
`Tau' is unrolled and eliminated in 2013 too.

gosthash2012: Issue EMMS on 32-bit SIMD implementation

`_mm_empty' is not needed on x86_64, because we only using SSE2.

But, I didn't notice that EXTRACT32 (32-bit version of EXTRACT) is
using MMX registers and intrinsics, so complete removing of
`_mm_empty' (EMMS) was mistake.

Make it presence conditional only for IA-32.

Fixes: 211489f ("gosthash2012: Improve SIMD implementation")

gosthash2012: Clean up cmake test for _addcarry_u64

Not last version went into commit ed0f8fbedf438e0ed1f6da9e829a932881695175

gosthash2012_sse2: Remove unused code (__EXTRACT64)

It's not only unused, but calling _mm_extract_epi8 which is SSE4.1.

Move NID_id_tc26_gost_3410_2012_256_paramSetA to 256-bit

gosthash2012_ref: Optimize XLPS for speed

This results in ~20% improvement for reference implementation on my
Xeon E5630.

`openssl speed -evp streebog256' results (before and after):

   16 bytes    64 bytes   256 bytes  1024 bytes  8192 bytes  16384 bytes
 3815.25k   12874.41k   31497.81k   49823.06k   59932.67k    57021.78k
 4361.29k   14933.06k   37091.67k   59001.86k   71360.51k    72488.28k

gosthash2012: Provide cmake test for _addcarry_u64

Also, simple check if `_addcarry_u64' works correctly.

travis-ci: adjust osx linker options

travis-ci: Optimize and rearrange .travis.yml

- Remove redundant 'os: linux', 'compiler: gcc' tags.
- Order jobs: x86_64 builds, analysers, other arches, other OSes.
- Mark openssl-master build as 'allow_failures' for PRs.
- Build all jobs against 'OpenSSL_1_1_1-stable' by default.
- Do not include 'linux/arch' in the job name, because Travis show
  them already.
- Split name by ' | ' instead of '/' so it's easier to understand.

travis-ci: Fix build on 'OpenSSL_1_1_1-stable'

It's turned out that 'OpenSSL_1_1_1-stable' does not have 'build_sw'
make target. But both 'OpenSSL_1_1_1-stable' and 'master' have
'build_libs' and 'build_programs'.

Fixes: cb1b5ff ("travis-ci: Speed-up openssl build")

gosthash2012: Improve SIMD implementation

Allow aligned/unaligned access. Use better intrinsics and other
small optimizations.

Committed-by: Vitaly Chikunov <vt@altlinux.org>

gosthash2012: Enable building with SIMD implementation

Also, add compile time notice message to show which implementation is
selected.

gosthash2012: Optimize `add512` on x86_64 using Intel intrinsics

`_addcarry_u64' is using `ADC' and does not require ADX extensions
(`-madx').

Committed-by: Vitaly Chikunov <vt@altlinux.org>

gosthash2012: Optimize out temporary `buf' from `stage3'

On-stack `buf' is replaced by manipulation directly on `CTX->buffer'.

Committed-by: Vitaly Chikunov <vt@altlinux.org>

gosthash2012: Optimize `gost2012_hash_block' loop

Some simple optimizations.

Committed-by: Vitaly Chikunov <vt@altlinux.org>

gosthash2012: Change some byte (pointers) to union uint512_u

Introduce byte `.B' union type to `union uint512_u'.
Change `CTX.buffer' type from `unsigned char' to `union uint512_u'.
Change `data' argument of `stage2()' to `union uint512_u *'.
Change `g()' arguments to `union uint512_u *' with `RESTRICT'
allowing compiler to optimize more.

No code changes, only type changes here.

Committed-by: Vitaly Chikunov <vt@altlinux.org>

gosthash2012: Remove temporary variable from `stage2'

Now `stage2' will always get aligned data which is prepared in
`gost2012_hash_block' by copying into `CTX->buffer'.

This will allow to change `data' argument of `stage2' from `unsigned
char *' pointer to `union uint512_u *'.

Committed-by: Vitaly Chikunov <vt@altlinux.org>

gosthash2012: Make `add512' to work in-place

This allows to use `RESTRICT' which allows compiler optimize more.

Committed-by: Vitaly Chikunov <vt@altlinux.org>

gosthash2012: Simpler version of add512

Similar to my commit into adegtyarev/streebog@432d5de.

gosthash2012: Simplify `pad'

`pad' does not need this complicated  memory movements using stack
buffer.

Committed-by: Vitaly Chikunov <vt@altlinux.org>

gosthash2012: Remove redundant `memset' form `init_gost2012_hash_ctx'

`CTX' is already fully zeroed at the beginning of
`init_gost2012_hash_ctx'.

Committed-by: Vitaly Chikunov <vt@altlinux.org>

gosthash2012: Remove unreachable code from `pad'

`CTX->bufsize' cannot be 64 ever.

gosthash2012: Remove redundant `hash' field from `struct gost2012_hash_ctx'

And save 64 bytes.

Committed-by: Vitaly Chikunov <vt@altlinux.org>

travis-ci: Add 32-bit build (i386)

Make sure everything is OK on 32-bit platform.

travis-ci: Speed-up openssl build

Do not build openssl documentation.
Also, split build line into several lines.

travis-ci: Add (big-endian) s390x build

s390x is big-endian which is different from any other arch we build.
We have endianness dependent code, thus this is useful to test.

travis-ci: Add clang build for linux/x86_64/openssl-master

Previously Clang is only used for OSX build.

travis-ci: Always describe openssl branch

Log full commit id that we build OpenSSL against, because `master' is
moving target. That should be useful for old logs to reproduce these
builds.

Remove unset local buffer meshing. This removes valgrind errors.

CMakeLists.txt: Workaround openssl deprecation of HMAC and CMAC primitives

Following commits mark CMAC and HMAC primitives deprecated:

  commit a6d572e60120e0ffb42aece17a085f0fed1b8f6f
  Author: Pauli <paul.dale@oracle.com>
  Date:   Tue Jan 14 10:59:11 2020 +1000

      Deprecate the low level CMAC functions

  commit dbde4726889a19af0a718fe9c5542f39c81acbd3
  Author: Pauli <paul.dale@oracle.com>
  Date:   Tue Jan 14 12:11:50 2020 +1000

      Deprecate the low level HMAC functions

Add `-Wno-error=deprecated-declarations' to appropriate targets.

References:
  https://github.com/openssl/openssl/commit/a6d572e601
  https://github.com/openssl/openssl/commit/dbde472688

travis-ci: adjust names

travis-ci: add PR testing for OpenSSL-1.1.1 branch

CI: do not use LD_BIRARY_PATH anymore

travis-ci: remove redundant cpanminus installation, remove cmake compile from source

travis-ci: Add descriptive names to the tests

Format is `os/compiler[+env]/arch'.

travis-ci: Fix quietness of building of openssl

No need for `build.log' as `make -s' will output any failure.

Also, redirection was broken anyway since splitting make into two makes
with separate `-j' and install phase.

Add `travis_wait' to make traves not time-out on slow arches. Reference:
  https://docs.travis-ci.com/user/common-build-problems/#build-times-out-because-no-output-was-received

Fixes: c38ec7587 ("travis: speed up Travis build")

tcl_tests: Abbreviate output when run under CI

To make CI output not too long - output only header of every test set
and output only relevant log entries on test failures.

When `CI' env is defined. Which should be defined for both Travis and
Cirrus. Reference:
  https://docs.travis-ci.com/user/environment-variables/
  https://cirrus-ci.org/guide/writing-tasks/#environment-variables

tcl_tests: Rearrange runtest.sh to run from dirrerent env

Add more debug output to fix Travis-CI issues. Move definition of
OPENSSL_CONF above first tcl test run. Define OPENSSL_ENGINES from
ENGINE_DIR by default.

travis-ci: Add tcl_tests to the builds

travis-ci: Remove redundant linux/gcc test

Fis was same as the first test.

tcl_tests: Fix ocsp test by removing -md_gost94 option

Otherwise you'll get:

  ocsp: Digest must be before -cert or -serial
  ocsp: Use -help for summary.

tcl_tests: Disable failing ssl tests and suites

Remove GOST2012-MAGMA-MAGMAOMAC and GOST2012-KUZNYECHIK-KUZNYECHIKOMAC
suites from the test.

Disable handshake tests.

tcl_tests: Fix cms and smime_io tests by telling that signature is -binary

Verification failure
139891902039680:error:2E09A09E:CMS routines:CMS_SignerInfo_verify_content:verification failure:crypto/cms/cms_sd.c:848:
139891902039680:error:2E09D06D:CMS routines:CMS_verify:content verify error:crypto/cms/cms_smime.c:393:

tcl_tests: Fix smimeenc test by removing entries with empty params

This is not robust to have such tests.

tcl_tests: Fix and update enc test

- Set expected default value for CRYPT_PARAMS.
- Disable `RIC 1' params tests.
- Disable `Magma-ACPKM' test.
- Update test descriptions to include cipher name.

tcl_tests: Fix and extend ca test

- Add more curves to test.
- Properly handle R 1323565.1.023-2018 (5.2.1.2) - absence of
  digestParamSet for some curves.

tcl_tests: Add more parameters to pkcs12 test

tcl_tests: Fix and extend req-newkey test (with TC26 parameters)

`gost2012_512:C' was reported as invalid but it's now valid parameter.
Also, add TC26 `TC{A,B,C,D}' parameters (note different OIDs).

tcl_tests: Fix req-genpkey test (show OID for gost2012_256:0)

tcl_tests: Fix pkcs8 test (showing public key)

tcl_tests: Allow running tests separately

For debug purposes.

Example:
  sh ./runtest.sh dgst pkcs8

tcl_tests: Fix engine.try (add more algos)

tcl_tests: Integrate TCL tests into build system

Run `make tcl_tests' to run the tests. Tests report success state to
make. Tests aren't run by default because of too many failures, yet.

tcl_tests: Make utf-8 encoding work

- Remove emacs coding: cp1251 tag
- Change stats file encoding to utf-8
- Change packages source to have -encoding utf-8
- Run tclsh with -encoding utf-8
- Make `proc rus' noop.

This will make Tcl automatically translate scripts output from utf-8 to
system encoding.

tcl_tests: Add TCL tests files

All source files are converted from cp1251 to utf-8.

Tests against master

cirrus-ci: switch to openssl-1.1.1 for a while

make tests against openssl-stable-1.1.x

make tests against openssl-stable-1.1.1

travis-ci: run coverity scan in separate cron task

ameth: fill digestParamSet for the sake of backwards compatibility

Even though it is not recommended by R 1323565.1.023-2018 fill
digestParamSet field for 512-bit curves Test, TC26-A, TC26-B because old
cryptoproviders expect this field to be present.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

travis-ci: enable ARM64 builds

Merge branch 'master' of https://github.com/gost-engine/engine

License matching the openssl one

Merge pull request #183 from chipitsine/master

travis-ci: enable coverity scan

travis-ci: enable coverity scan

Merge pull request #182 from outspace/master

Fix leaks in priv_encode_gost()

Merge pull request #181 from vt-alt/issues/174

Issues/174

Fix leaks in priv_encode_gost()

gost_ec_keyx: Remove redundant code

This `if' statement is redundant since ce40d60 ("Bugfix.")

get_gost_engine_param() have no side effects and `param' is set to
`gost_cipher_list' only if already equal to `gost_cipher_list'.

gost_ec_keyx: Fix CID 253282 Dereference null return value

`param' is used unconditionally in pkey_GOST_ECcp_encrypt() so we can
unconditionally check (vs in any particular `if' branch) for it's being
non-NULL. This is similar to how pkey_GOST_ECcp_decrypt() works with
`param'.

Closes #174.

Fix potential memory leak

Fixes #180

Merge branch 'master' of https://github.com/gost-engine/engine

Fix of potential memory leak

Fixes #178

Merge pull request #176 from lumag/gost512-test-param

Add support for NID_id_tc26_gost_3410_2012_512_paramSetTest

Add support for NID_id_tc26_gost_3410_2012_512_paramSetTest

Add support for 512-bit curve parameters.

Signed-off-by: Dmitry Eremin-Solenikov <dbaryshkov@gmail.com>

Merge pull request #175 from vt-alt/scan20190918

Fixes for Scan 20190918

gost_ec_keyx: Fix CID 253283 Unchecked return value in VKO_compute_key

Calling EC_POINT_get_affine_coordinates() without checking
return value.
Some fixes for Coverity Scan from issue #174.

test_grasshopper: Fix CIDs 253281, 253280, 253279, 253275

Unchecked return value (CHECKED_RETURN)
Some fixes for Coverity Scan from issue #174.

Fix OOB read. CID 253274

Fix resource leak. CID 253277

Coveruty CID253284

Fix fb infer complain

Fix fb infer complain

Merge pull request #170 from hackomatic/wip

Fix compilation with Microsoft Visual C.

Make VKO_compute_key public.

Fix compilation with Microsoft Visual C.

Get rid of EVP_MD_CTRL_MAC_LEN

Merge pull request #169 from levitte/omac-ctx-size

For Grasshopper OMAC_ACPKM, OMAC and MAGMA, support XOF

For Grasshopper OMAC_ACPKM, OMAC and MAGMA, support XOF

XOF (eXtendable-Output Function) is supported in OpenSSL since version
1.1.1.  Unfortunately, that support is limited, as it requires calling
EVP_DigestFinalXOF().  However, the grasshopper code wasn't compatible.

This changeset adds XOF support in grasshopper

This changeset removes the _meth_ calls from test_grasshopper.c (they
should never have been there, but considering support for XOF came so
late in OpenSSL, their presence is understandable) and uses supported
functionality for this sort of thing instead.

Merge pull request #166 from levitte/cleanup-tests

Cleanup tests