Tweak versions comment for CRLs

piuid and psuid have annoyed me for long enough

x509 trust: remove unneeded headers

Implement support for the RISC-V UEFI Boot Protocol.  This provides us
the boot hart ID for firmware that doesn't provide it through the device
tree such as the EDK2-based firmware for the Sophgo SG2042 SoC.

ok patrick@, miod@

add cfi instructions to repair this test on amd64 and arm64.
ok kettenis@

Improve spinning in mtx_enter().

Instead of calling mtx_enter_try() in each spinning loop, do it
only if the result of a lockless read indicates that the mutex has
been released.  This avoids some expensive atomic compare-and-swap
operations.  Up to 5% reduction of spinning time during kernel build
can been seen on a 8 core amd64 machine.  On other machines there
was no visible effect.

Test on powerpc64 has revealed a bug in mtx_owner declaration.  Not
the variable was volatile, but the object it points to.  Move the
volatile declaration in struct mutex to avoid a hang when going to
multiuser.

from Mateusz Guzik; input kettenis@ jca@; OK mpi@

Implement the chmod a-x bsd.upgrade trick in the sparc64 ofwboot bootloader.
OK deraadt@ florian@ kn@

Rework input and output handling for sha1.

Use be32toh(), htobe32() and crypto_{load,store}_htobe32() as appropriate.

Also use the same while() loop that is used for other hash functions.

ok joshua@ tb@

Move the SendHoldTimer code into start_timer_sendholdtime() and ensure
the timer is stopped if HoldTime is 0.
OK tb@

Inline initial values.

No functional change.

Rework input and output handling for md4.

Use le32toh(), htole32() and crypto_{load,store}_htole32() as appropriate.

ok joshua@ tb@

Simplify HMAC_CTX_new()

There is no need to call HMAC_CTX_init() as the memory has already been
initialised to zero.

ok tb

Clean up EVP_DigestSignFinal

ok jsing tb

Temporarily change the connector to unregistered when adding the backlight
property to avoid warnings.  Matches how inteldrm_native_backlight()
handles this.

problem reported and fix tested by tb@

Reject setting invalid versions for certs, CRLs and CSRs

The toolkit aspect bites again. Lots of invalid CRLs and CSRs are produced
because people neither read the RFCs nor does the toolkit check anything it
is fed. Reviewers apparently also aren't capable of remembering that they
have three copy-pasted versions of the same API and that adding a version
check to one of the might suggest adding one for the other two.

This requires ruby-openssl 20240326p0 to pass

ok beck job jsing

test bl_idx instead of the connector type to check for backlight
tested by tb@

Fix selection present check, reported by M Kelly.

Avoid NULL pointer dereference in routing table an_match().

OK mvs@

Use `sb_mtx' to protect `so_rcv' receive buffer of unix(4) sockets.

This makes re-locking unnecessary in the uipc_*send() paths, because
it's enough to lock one socket to prevent peer from concurrent
disconnection. As the little bonus, one  unix(4) socket can perform
simultaneous transmission and reception with one exception for
uipc_rcvd(), which still requires the re-lock for connection oriented
sockets.

The socket lock is not held while filt_soread() and filt_soexcept()
called from uipc_*send() through sorwakeup(). However, the unlocked
access to the `so_options', `so_state' and `so_error' is fine.

The receiving socket can't be or became listening socket. It also can't
be disconnected concurrently. This makes immutable SO_ACCEPTCONN,
SS_ISDISCONNECTED and SS_ISCONNECTED bits which are clean and set
respectively.

`so_error' is set on the peer sockets only by unp_detach(), which also
can't be called concurrently on sending socket.

This is also true for filt_fiforead() and filt_fifoexcept(). For other
callers like kevent(2) or doaccept() the socket lock is still held.

ok bluhm

Add TLS_ERROR_INVALID_CONTEXT error code to libtls

ok jsing@ beck@

test -h is the POSIXly way of testing for a symlink.  Reduces diff vs
Portable.

Remove now unnecessary do {} while (0);

Inline HASH_MAKE_STRING.

No change to generated assembly.

Remove PKCS5_pbe2_set_iv()

This used to be a generalization of PKCS5_pbe2_set(). Its only caller was
the latter, which always passes aiv == NULL and pbe_prf == -1. Thus, the
iv would always be random and regarding the pbe_prf, it would always end
up being NID_hmacWithSHA1 since the only ctrl grokking EVP_CTRL_PBE_PRF_NID
was RC2's control, but only if PBE_PRF_TEST was defined, which it wasn't.

ok jsing

Reorder functions expanded from md32_common.h.

No functional change.

Unifdef PBE_PRF_TEST

This gets use of the last mention of EVP_CTRL_PBE_PRF_NID outside of evp.h

ok jsing

Expand HASH_* defines.

No change to generated assembly.

Inline hash functions from md32_common.h.

No change to generated assembly.

Fix previous commit.

Add error code support to libtls

This adds tls_config_error_code() and tls_error_code(), which will become
public API at a later date.

Additional error codes will be added in follow-up commits.

ok jsing@ beck@

Reorder functions.

No functional change.

Provide an optimised bn_subw() for amd64.

bn_subw() will be used more widely in an upcoming change.

Clean up use of EVP_MD_CTX_{legacy_clear,cleanup} in EVP_SignFinal

ok jsing@

Stop including md32_common.h in md5.c and remove unused defines.

This is now no longer needed.

ok tb@

Clean up use of EVP_MD_CTX_{legacy_clear,cleanup} in EVP_VerifyFinal

ok tb@

Include stdint.h for uintptr_t.

Add back x509_local.h for PBKDF2PARAM

PKCS5_pbe2_set_iv() can be local to p5_pbev2

quoth the muppet "yes I know this is horrible!"

Clean up use of EVP_MD_CTX_{legacy_clear,cleanup} in PKCS1_MGF1

ok tb@

Clean up use of EVP_MD_CTX_{legacy_clear,cleanup} in
RSA_verify_PKCS1_PSS_mgf1

ok jsing@ tb@

Clean up use of EVP_CIPHER_CTX_{legacy_clear,cleanup} in EVP_OpenInit

ok tb@

Demacro MD5 and improve data loading.

Use static inline functions instead of macros and improve handling of
aligned data. Also number rounds as per RFC 1321.

ok tb@

Mark internal functions as static.

Move bn_montgomery_reduce() and drop prototype.

No functional change.

Fix function guards.

Add an indicator that an extension has been processed.

ok jsing@

Fix expected client hello value to allow for supported_groups change.

ok jsing@

Garbage collect the unused verifyctx() and verifyctx_init()

ok joshua jsing

adapt ttm fault handler to OpenBSD
used by gem objects on dg2

Import regenerated moduli.

Process supported groups before key share.

This will allow us to know the client preferences for an upcoming
change to key share processing.

ok jsing@

Disable client handshake test for now for pending changes.

ok jsing@

Use errno_value instead of num for readability

ok jsing@

print amps and watts

amps and watts types

volts felt lonely

Use errno_value instead of num for readability

ok beck@ jsing@

Change ts to only support one second precision.

RFC 3631 allows for sub second ASN1 GENERALIZED times, if you
choose to support sub second time precison. It does not
indicate that an implementation must support them.

Supporting sub second timestamps is just silly and unrealistic,
so set our maximum to one second of precision. We then simplify
this code by removing some nasty eye-bleed that made artisinally
hand crafted strings and jammed them into an ASN1_GENERALIZEDTIME.

ok tb@, jsing@, with one second precision tested by kn@

Clean up conf's module_init()

Immediately error out when no name or value is passed instead of hiding
this in a a combination of ternary operator and strdup error check.
Use calloc(). Unindent some stupid, don't pretend this function can return
anything but -1 and 1, turn the whole thing into single exit and call the
now existing imodule_free() instead of handrolling it.

ok jsing

Add missing SFENCE.VMA instructions after switching page tables during
early kernel bootstrap.

ok jsg@, mlarkin@

Add the VLAN_HWTAGGING capability. Big thanks to bket@ for testing,
rebasing, refactoring, and addressing feedback for this diff.
ok bluhm@, jan@

optional debugging

remove possibly bogus length check

len is initially the line length, but then the two go out of sync.
ok millert@

Move the "no (hard) linking directories" and "no cross-mount links"
checks from all the filesystems that support hardlinks at all into
the VFS layer.  Simplify, EPERM description in link(2).

ok miod@ mpi@

regen

Unlock shutdown(2).

ok bluhm

Add rpigpio(4), a driver for the RP1 GPIO controller on the Raspberry Pi 5.

With this, GPIOs can be correctly configured and engaged.  Complete pinctrl
as well as IRQ functionality is yet to be implemented.

ok kettenis@

whois: use getline(3) instead of fgetln(3)
This simplifies the code and fixes a potential out of bounds read.
OK op@ mbuhl@

Rewrite HKDF_expand().

Simplify overflow checking and length tracking, use a CBB to handle output
and use HMAC_CTX_new() rather than having a HMAC_CTX on the stack.

ok tb@

Add 'ws_' prefix to 'wseventvar' structure members. No functional
changes.

ok miod

Revert r1.13 since it currently breaks openssl-ruby regress tests.

ok tb@

Inline sctx in EVP_DigestSignFinal

ok tb@ jsing@

Clean up use of EVP_MD_CTX_{legacy_clear,cleanup} in PKCS5_PBE_keyivgen

ok tb@

fix xbacklight on amdgpu

Call amdgpu_init_backlight() after drm_dev_register() otherwise
the connector isn't registered yet and dm->backlight_dev is not set.

tb@ mentioned this broke with the 6.6 drm update and confirmed this fixes it.
Debugged with help from dtucker@ on another machine.

Error on setting an invalid CSR version

Reported by David Benjamin (BoringSSL)

OK tb@

Remove unneeded brackets from if statement in EVP_DigestSignFinal

ok tb@

Clean up use of EVP_MD_CTX_{legacy_clear,cleanup} in EVP_BytesToKey

ok tb@

Codify more insane CRYPTO_EX_DATA API.

The current CRYPTO_EX_DATA implementation allows for data to be set without
calling new, indexes can be used without allocation, new can be called without
getting an index and dup can be called after new or without calling new.

Revise for TLS extension parsing/processing changes.

Simplify TLS extension parsing and processing.

Rather than having a separate parse and process step for each TLS
extension, do a first pass that parses all of the TLS outer extensions and
retains the extension data, before running a second pass that calls the TLS
extension processing code.

ok beck@ tb@

Clean up create_digest()

The ts code is its own kind of special. I only sent this diff out to hear
beck squeal. This diff doesn't actually fix anything, apart from (maybe)
appeasing some obscure static analyzer. It is decidedly less bad than a
similar change in openssl's issue tracker.

ok beck

Fix time conversion that broke regress.

ok tb@

Move custom sigctx handling out of EVP_DigestSignFinal

ok tb@

Verify string returned from local shell command.

Fix typo msg_types -> msg_type

from jsing

Revise TLS extension regress for parse/process changes.

Clean up EVP_CIPHER_CTX_{legacy_clear,cleanup} usage in evp/bio_enc.c

Additionally, this tidies up some surrounding code and replaces usage of
free with freezero and malloc with calloc.

ok tb@

Final tweaks in x509_trs.c for now

looked over by jsing

Split TLS extension parsing from processing.

The TLS extension parsing and processing order is currently dependent on
the order of the extensions in the handshake message. This means that the
processing order (and callback order) is not under our control. Split the
parsing from the processing such that the processing (and callbacks) are
run in a defined order.

Convert ALPN to the new model - other extensions will be split into
separate parse/process in following diffs.

ok beck@ tb@

Kill X509_TRUST

After peeling off enough layers, the entire wacky abstraction turns out
to be nothing but dispatching from a trust_id to a trust handler and
passing the appropriate nid and the cert.

ok beck jsing

Clean up EVP_MD_CTX_{legacy_clear,cleanup}() usage in x509/x509_cmp.c

ok tb@

Improve shell portability: grep -q is not portable so redirect stdout,
and use printf instead of relying on echo to do \n substitution.  Reduces
diff vs Portable.

Decouple TLS extension table order from tlsext_randomize_build_order()

The PSK extension must be the last extension in the client hello. This is
currently implemented by relying on the fact that it is the last extension
in the TLS extension table. Remove this dependency so that we can reorder
the table as needed.

ok tb@

Add back trust member of X509_TRUST that I accidentally deleted

Save error code from SSH for use inside case statement, from portable.
In some shells, "case" will reset the value of $?, so save it first.

Const correct the trust handlers

The certificates no longer need to be modified since we cache the
extensions up front.

ok beck

Increase timeout.  Resyncs with portable where some of the test
VMs are slow enough for this to matter.

In PuTTY interop test, don't assume the PuTTY major version is 0.
Patch from cjwatson at debian.org via bz#3671.

Pass the nid instead of the entire trust structure

This code is so ridiculously overengineered that it is an achievement even
by early OpenSSL standards.

ok beck

Pull extension caching into X509_check_trust()

This way the trust handlers can stop modifying the certificates.

ok beck

Remove unnecessary stat() calls from by_dir

When searching for a CA or CRL file in by_dir, this stat()
was used to short circuit attempting to open the file with
X509_load_cert_file(). This was a deliberate TOCTOU introduced
to avoid setting an error on the error stack, when what you
really want to say is "we couldn't find a CA" and continue
merrily on your way.

As it so happens you really do not care why the load_file failed
in any of these cases, it all boils down to "I can't find the CA
or CRL". Instead we just omit the stat call, and clear the error
stack if the load_file fails. The fact that you don't have a CA or
CRL is caught later in the callers and is what you want, mimicing
the non by_dir behaviour instead of possibly some bizzaro file
system error.

Based on a similar change in Boring.

ok tb@