Move des sources to primary Makefile.

Now that all platforms use a C des implementation, move it to the primary
Makefile.

Remove now unused des assembly.

Stop building the assembly implementation of des on sparc64.

This one was hiding behind an m4 script.

Build tested by tb@

Remove now unused ripemd i386 assembly.

Stop building the assembly implementation of des and ripemd on i386.

This is the only architecture that has an assembly implementation for these
algorithms. There is little to gain from accelerating legacy algorithms on
a legacy architecture.

Discussed with beck@ and tb@

Consolidate most of the AES modes into a single C file.

Discussed with tb@

PKCS#1.5 PBE: test and assign

Stop pandering to the loadbalancer industrial complex.

So we initially kept this hack around for f5 boxes that
should have been patched in 2014, and were not as of 2017.

The f5 article for the bug archived on their web site,
and any of these devices on the public internet will have
since been upgraded to deal with a host of record layer, TLS,
and other bugs, or they likely won't be talking to modern
stacks, since as of this point the software with the bug
would not have been updated in 10 years.

So just make this spec compliant and reject a supported groups
extension that should not have been sent by a server.

ok tb@ jsing@

fix leaks in the horrible ssl whackery necessary for this test.

ok tb@

The RISC-V architecture specification says that memory read/writes are
not ordered with respect to mmio read/writes.  This appears to happen on
T-Head C920 cores as I'm seeing interrupts being enabled before the lock
is released in mtx_leave() despite program order releasing the lock
before enabling interrupts.  This is fixed by adding the necessary fences
in more or less the same places where Linux uses them.

ok patrick@, jca@

Fix fdt_find_node().  We should make sure we match the full name when
matching path components (but we do allow matches with the @unit bit).

This fixes a problem on the Milk-V Pioneer where /soc/serial@123456
accidentally match a /socket0-clocks node and we would fail to find the
serial console.

ok miod@

Introduce SB_OWNLOCK to mark sockets which `so_rcv' buffer modified
outside socket lock.

`sb_mtx' mutex(9) used for this case and it should not be released between
`so_rcv' usage check and corresponding sbwait() sleep. Otherwise wakeup()
could be lost sometimes.

ok bluhm

Fix up server processing of key shares.

Ensure that the client can not provide a duplicate key share
for any group, or send more key shares than groups they support.

Ensure that the key shares must be provided in the same order
as the client preference order specified in supported_groups.

Ensure we only will choose to use a key share that is for the
most preferred group by the client that we also support,
to avoid the client being downgraded by sending a less preferred
key share. If we do not end up with a key share for the most preferred
mutually supported group, will then do a hello retry request
selecting that group.

Add regress for this to regress/tlsext/tlsexttest.c

ok jsing@

When the syscall number has to be loaded from a pc-relative location,
abuse END macros to place the number at the end of the syscall wrapper
rather than in the middle of it, so that there is no need to branch
around it; this saves two instructions per syscall number >= 128.

While there, also tweak the error return (SET_ERRNO_AND_RETURN) to only
return a 64-bit value for lseek; this saves another instruction for
all other syscalls.

With input from guenther@; "Anything that makes the machine faster" deraadt@

Initialize uvm_km_pages.mtx before use.
okay mpi@ miod@

Initialize pmap_tramp.pm_mtx before use.
okay mpi@ miod@

Support having bcmpcie(4) as both PCIe bus and simplebus to enable
use of the Raspberry Pi 5's RP1 I/O controller, which is connected
over PCIe.  With this, the peripherals on the RP1 are enumerated and
attached as well.

ok kettenis@

printtime: use the Unix epoch if the file's timestamp is invalid
Fixes a crash in "ls -l" for files with bogus timestamp values.
OK miod@ denis@

Remove unused rc4 parisc assembly.

This is already disabled since it is "about 35% slower than C code".

Catch the blowfish that escaped.

Consolidate rc4 code.

Discussed with tb@

Remove assembly for stitched modes.

The stitched modes have been removed, so having assembly for them is of
little use.

Remove empty rc4_local.h include.

Discussed with tb@

Remove private_RC4_set_key() from the public rc4.h header.

This does not exist in libcrypto.

Unifdef BF_PTR2.

This removes the unused Intel special version of BF_ENC().

ok tb@

Remove unused c2l/c2ln/l2c/l2cn macros.

Consolidate blowfish code.

Requested by tb@

Replace GETU32 and PUTU32.

Replace GETU32 with crypto_load_be32toh() and PUTU32 with
crypto_store_htobe32(). Make the offset handling cleaner at the
same time.

ok beck@ joshua@ tb@

Remove now unused files.

Move bf_enc.c to the primary Makefile.

Now that all architectures are using bf_enc.c, it does not make sense to
have it in every Makefile.inc file.

Stop building the assembly implementation of blowfish on i386.

This is the only architecture that has an assembly implementation. There is
little to gain from accelerating a legacy algorithm on a legacy
architecture.

ok beck@ tb@

Do not allow duplicate groups in supported groups.

While we are here refactor this to single return.

ok jsing@ tb@

zlib: sync with base

zlib: sync with upstream

The change in zconf.h only affects mingw;
The change in inflate.h updates a comment

Remove near duplicate AES_set_{encrypt,decrypt}_key() functions.

There are currently three ways in which AES is implemented - all in
assembly (amd64 et al), all in C (aarch64 et al) and, half in C and
half in assembly (hppa and sparc64). The last of these cases currently
makes use of a near duplicate AES_set_{encrypt,decrypt}_key()
implementation that avoids using the AES tables.

Remove the near duplicate version and if only a half assembly version is
implemented, use the same C version of AES_set_{encrypt,decrypt}_key() as
everyone else. This adds around 8KB of rodata to libcrypto on these two
platforms.

Discussed with beck and tb.

Explain the weird copy dance in EVP_DigestSignFinal()

with jsing

Add TLS_ERROR_INVALID_ARGUMENT error code to libtls

This is an initial pass, defining the error code and using it for
"too long"/length-related errors.

ok beck jsing

Fix whitespace

Use crypto_rol_u32() instead of an undefined ROTATE macro.

ok tb@

Unify up_ref implementations in libssl

ok jsing

Remove unused NDEBUG define.

Tidy includes and a comment.

Remove rather scary unused experimental code.

ok tb@

Clean up use of EVP_MD_CTX_{legacy_clear,cleanup} in
EVP_DigestSignFinal

Additionally, this cleans up some more surrounding code.
This is a fixed version of r1.21.

ok tb

Demacro md4.

Use static inline functions instead of macros. Also number rounds as per
the RFC.

ok joshua@ tb@

Hide symbols in engine

ok jsing

drm: Fix drm_fixp2int_round() making it add 0.5

From Arthur Grillo
296e6678a432aaff0b8c6a6a17b9b2b193556c71 in linux-6.6.y/6.6.23
807f96abdf14c80f534c78f2d854c2590963345c in mainline linux

drm/amd/pm: Fix esm reg mask use to get pcie speed

From Asad Kamal
310ae9eb3d2a13345f2590e7581fd45d97323a02 in linux-6.6.y/6.6.23
b485b899e5b8f83723833feca30a1a1e3df778df in mainline linux

drm/amdgpu: Fix missing break in ATOM_ARG_IMM Case of atom_get_src_int()

From Srinivasan Shanmugam
bf13e50a4b760a0155d4cce869dac8480c5ae839 in linux-6.6.y/6.6.23
7cf1ad2fe10634238b38442a851d89514cb14ea2 in mainline linux

drm/amd/display: Add 'replay' NULL check in 'edp_set_replay_allow_active()'

From Srinivasan Shanmugam
f610c46771ef1047e46d61807aa7c69cd29e63d8 in linux-6.6.y/6.6.23
f6aed043ee5d75b3d1bfc452b1a9584b63c8f76b in mainline linux

drm/amd/display: fix NULL checks for adev->dm.dc in amdgpu_dm_fini()

From Nikita Zhandarovich
e040f1fbe9abae91b12b074cfc3bbb5367b79811 in linux-6.6.y/6.6.23
2a3cfb9a24a28da9cc13d2c525a76548865e182c in mainline linux

drm/radeon/ni: Fix wrong firmware size logging in ni_init_microcode()

From Nikita Zhandarovich
6fc5fb8ebef803285a8f71e298e8a658d836a492 in linux-6.6.y/6.6.23
c4891d979c7668b195a0a75787967ec95a24ecef in mainline linux

drm/amdgpu: Fix potential out-of-bounds access in 'amdgpu_discovery_reg_base_init()'

From Srinivasan Shanmugam
8f3e68c6a3fff53c2240762a47a0045d89371775 in linux-6.6.y/6.6.23
cdb637d339572398821204a1142d8d615668f1e9 in mainline linux

drm/amd/display: Fix potential NULL pointer dereferences in 'dcn10_set_output_transfer_func()'

From Srinivasan Shanmugam
2d9fe7787af01188dc470a649bdbb842d6511fd7 in linux-6.6.y/6.6.23
9ccfe80d022df7c595f1925afb31de2232900656 in mainline linux

drm/amd/display: Fix a potential buffer overflow in 'dp_dsc_clock_en_read()'

From Srinivasan Shanmugam
ad76fd30557d6a106c481e4606a981221ca525f7 in linux-6.6.y/6.6.23
4b09715f1504f1b6e8dff0e9643630610bc05141 in mainline linux

drm: Don't treat 0 as -1 in drm_fixp2int_ceil

From Harry Wentland
bac3d37d2f7cab3d9c42a7c9775c84aee4fa89d9 in linux-6.6.y/6.6.23
cf8837d7204481026335461629b84ac7f4538fa5 in mainline linux

drm/amdgpu: Enable gpu reset for S3 abort cases on Raven series

From Prike Liang
b5f085b46f0e9482f5035f798b402d1ad7ee8e3c in linux-6.6.y/6.6.23
c671ec01311b4744b377f98b0b4c6d033fe569b3 in mainline linux

Recommit r1.20

ok tb jsing

Revert to r1.19 while we track down a bug in the last two commits.

Clean up use of EVP_MD_CTX_{legacy_clear,cleanup} in
EVP_DigestSignFinal

Additionally, this cleans up some more surrounding code.

ok tB

Use dsa for DSA and dh for DH

This unifies variable names and does some other cleanup. Only change in
generated assembly is line number changes.

Use dh for DH function arguments.

No need for a variety of r, d, ...

Unify *_up_ref() implementations

No need for an inconsistently named local variable and a ternary operator.

ok jsing

Additional length check for IPv6 reassembled fragments.

FreeBSD-SA-23:06.ipv6 security advisory has added an additional
overflow check in frag6_input().  OpenBSD is not affected by that
as the bug was introduced by another change in 2019.  The existing
code is complicated and NetBSD has taken the FreeBSD fix, although
they were also not affected.

The additional check makes the complicated code more robust.  Length
calculation taken from NetBSD.  Discussed with FreeBSD.

OK sashan@ mvs@

Remove superfluous parentheses in X509_REQ setters

No change in generated assembly

Cosmetics, mostly removal of silly parentheses

No change in generated assembly

Drop superfluous parentheses in X509_set_version()

The devicetree standard allows for multiple /memory nodes, each with
multiple memory ranges.  We support the latter, but not the former.
Fix this, such that we detect all the memory on the Milk-V Pioneer
board.

ok miod@

Tweak versions comment for CRLs

piuid and psuid have annoyed me for long enough

x509 trust: remove unneeded headers

Implement support for the RISC-V UEFI Boot Protocol.  This provides us
the boot hart ID for firmware that doesn't provide it through the device
tree such as the EDK2-based firmware for the Sophgo SG2042 SoC.

ok patrick@, miod@

add cfi instructions to repair this test on amd64 and arm64.
ok kettenis@

Improve spinning in mtx_enter().

Instead of calling mtx_enter_try() in each spinning loop, do it
only if the result of a lockless read indicates that the mutex has
been released.  This avoids some expensive atomic compare-and-swap
operations.  Up to 5% reduction of spinning time during kernel build
can been seen on a 8 core amd64 machine.  On other machines there
was no visible effect.

Test on powerpc64 has revealed a bug in mtx_owner declaration.  Not
the variable was volatile, but the object it points to.  Move the
volatile declaration in struct mutex to avoid a hang when going to
multiuser.

from Mateusz Guzik; input kettenis@ jca@; OK mpi@

Implement the chmod a-x bsd.upgrade trick in the sparc64 ofwboot bootloader.
OK deraadt@ florian@ kn@

Rework input and output handling for sha1.

Use be32toh(), htobe32() and crypto_{load,store}_htobe32() as appropriate.

Also use the same while() loop that is used for other hash functions.

ok joshua@ tb@

Move the SendHoldTimer code into start_timer_sendholdtime() and ensure
the timer is stopped if HoldTime is 0.
OK tb@

Inline initial values.

No functional change.

Rework input and output handling for md4.

Use le32toh(), htole32() and crypto_{load,store}_htole32() as appropriate.

ok joshua@ tb@

Simplify HMAC_CTX_new()

There is no need to call HMAC_CTX_init() as the memory has already been
initialised to zero.

ok tb

Clean up EVP_DigestSignFinal

ok jsing tb

Temporarily change the connector to unregistered when adding the backlight
property to avoid warnings.  Matches how inteldrm_native_backlight()
handles this.

problem reported and fix tested by tb@

Reject setting invalid versions for certs, CRLs and CSRs

The toolkit aspect bites again. Lots of invalid CRLs and CSRs are produced
because people neither read the RFCs nor does the toolkit check anything it
is fed. Reviewers apparently also aren't capable of remembering that they
have three copy-pasted versions of the same API and that adding a version
check to one of the might suggest adding one for the other two.

This requires ruby-openssl 20240326p0 to pass

ok beck job jsing

test bl_idx instead of the connector type to check for backlight
tested by tb@

Fix selection present check, reported by M Kelly.

Avoid NULL pointer dereference in routing table an_match().

OK mvs@

Use `sb_mtx' to protect `so_rcv' receive buffer of unix(4) sockets.

This makes re-locking unnecessary in the uipc_*send() paths, because
it's enough to lock one socket to prevent peer from concurrent
disconnection. As the little bonus, one  unix(4) socket can perform
simultaneous transmission and reception with one exception for
uipc_rcvd(), which still requires the re-lock for connection oriented
sockets.

The socket lock is not held while filt_soread() and filt_soexcept()
called from uipc_*send() through sorwakeup(). However, the unlocked
access to the `so_options', `so_state' and `so_error' is fine.

The receiving socket can't be or became listening socket. It also can't
be disconnected concurrently. This makes immutable SO_ACCEPTCONN,
SS_ISDISCONNECTED and SS_ISCONNECTED bits which are clean and set
respectively.

`so_error' is set on the peer sockets only by unp_detach(), which also
can't be called concurrently on sending socket.

This is also true for filt_fiforead() and filt_fifoexcept(). For other
callers like kevent(2) or doaccept() the socket lock is still held.

ok bluhm

Add TLS_ERROR_INVALID_CONTEXT error code to libtls

ok jsing@ beck@

test -h is the POSIXly way of testing for a symlink.  Reduces diff vs
Portable.

Remove now unnecessary do {} while (0);

Inline HASH_MAKE_STRING.

No change to generated assembly.

Remove PKCS5_pbe2_set_iv()

This used to be a generalization of PKCS5_pbe2_set(). Its only caller was
the latter, which always passes aiv == NULL and pbe_prf == -1. Thus, the
iv would always be random and regarding the pbe_prf, it would always end
up being NID_hmacWithSHA1 since the only ctrl grokking EVP_CTRL_PBE_PRF_NID
was RC2's control, but only if PBE_PRF_TEST was defined, which it wasn't.

ok jsing

Reorder functions expanded from md32_common.h.

No functional change.

Unifdef PBE_PRF_TEST

This gets use of the last mention of EVP_CTRL_PBE_PRF_NID outside of evp.h

ok jsing

Expand HASH_* defines.

No change to generated assembly.

Inline hash functions from md32_common.h.

No change to generated assembly.

Fix previous commit.

Add error code support to libtls

This adds tls_config_error_code() and tls_error_code(), which will become
public API at a later date.

Additional error codes will be added in follow-up commits.

ok jsing@ beck@

Reorder functions.

No functional change.

Provide an optimised bn_subw() for amd64.

bn_subw() will be used more widely in an upcoming change.