Clear BTYPE bits when setting up a signal handler and when handling a
PT_CONTINUE ptrace(2) request.  Otherwise we would trap if userland was
interrupted at a point where it is doing an indirect branch that has set
the bits but before it has executed the BTI instruction at the branch
target.

The PT_SETREGS request may need similar treatment, at least when the
PC is changed.  But Linux doesn't do this and debuggers might want full
control over the BTYPE bits.  So leave this alone for now.

ok guenther@

Mark X9.31 BN API for removal

This supports a mostly forgotten, seemingly unused and long retired
standard. No need for this in our public API Dyson sphere.

ok jsing

The BN reciprocal API will also become internal-only

This is unused outside of the library and could do with some reworking.
That's easier without having to care about outside consumers.

ok jsing

Various BN*init() will be removed from the public API

With the corresponding structs now being opaque, the only thing they are
good for outside the library are memory leaks. They will be removed
completely or become internal only.

ok jsing

Mark public bn_nist and ec_nist API for removal

The faster nist code is rife with problematic C. While this is generally
considered to be a pleonasm nowadays, here it specifically refers to
aliasing issues and other flavors of undefined behavior. With compilers
and standardization committees becoming seemingly more determined about
making C even more unusable than it already is, this code has resulted
in miscompilations and generally is a target rich environment for fuzzers
to feast on. We're better off without it. Go look while it's still there.
It's some of the very worst we have to offer.

ok jsing

Mark EC_KEY_{get,insert}_method_data() for removal

This is unused and in the way of some house keeping. Thus it will be
relocated to the attic.

ok jsing

Mark TS_VERIFY_CTX_init() for removal

With opaque TS_VERIFY_CTX the init function dangerous and useless.
It will be dropped.

ok jsing

Prepare addition of X509_STORE_CTX_get1_{certs,crls}(3)

X509_STORE_get1_{certs,crls}(3) was added to the OpenSSL 1.1 API with the
usual care. At some point later it was noticed that they didn't deal with
an X509_STORE at all, but rather with an X509_STORE_CTX, so were misnamed.
The fact that X509_STORE_CTX and X509_STORE have their roles reversed when
compared to other FOO vs FOO_CTX in this API may or may not be related.

Anyway, the X509_STORE versions will be demoted to compat defines and the
X509_STORE_CTX will be added to match OpenSSL 1.1 API more closely. This
was pointed out by schwarze a long time ago and missed in a few bumps.
Hopefully we'll manage to do it this time around.

ok jsing

Mark remaining policy tree public API for removal

ok jsing

Annotate policy tree STACK_OF() goo for removal from public API

ok jsing

The policy tree types become internal ony. Annotate them.

ok jsing

Cipher text stealing will go away. Mark it for removal.

ok jsing

Mark proxy policy API for removal in upcoming bump

ok jsing

Remove the now unused ex_pcpathlen from the X509 struct

ok jsing

More ProxyCertInfo tentacles go to the attic

This removes ProxyCertInfo from extension caching, issuer checking
and it also drops the special path validation for proxy certs from
the legacy verifier.

ok jsing

The lowest performance level state for the E-cores on the M2 Pro/Max is
2 instead of 1.  Handle this by taking the lowest state from the opp tables
instead of hardcoding it.  Fixes cpuperf on the M2 Pro/Max.

ok patrick@

Remove some dead code from the new verifier

The new verifier API is currently unused as we still operate the verifier
in legacy mode. Therefore ctx->xsc is always set and the EXFLAG_PROXY will
soon be dropped from the library, so this error on encountering proxy certs
is effectively doubly dead code.

ok jsing

Drop support for the ProxyCertInfo extension

This removes the ProxyCertInfo extension from RFC 3820 from the list of
supported extensions. Since it is a critical extension, this means that
certificates containing it will no longer be considered valid by default.

ok jsing

Make pcy_int.h pull in x509_local.h it will need it soon

ok jsing

Add /etc/mixerctl.conf to changelist(5).

ok deraadt@ kn@ semarie@

call default db_ktrap() with tf_err, not 0 for exception error code
ok guenther@

Handle T_CP traps from userland by generating SIGILL, with
code ILL_ILLOPC or ILL_BADSTK depending on the error from hardware

lack of handling noted by deraadt@
ok jsg@

Trap 17 (T_ALIGNFLT) supplies an error code in hardware; use TRAP()
instead of ZTRAP().  T_ALIGNFLT fixed in NetBSD on 2003-12-12

ok deraadt@ jsg@

Both trap 21 (T_CP) and trap 17 (T_ALIGNFLT) supply an error code
in hardware; use TRAP() instead of ZTRAP().  T_ALIGNFLT fixed in
NetBSD on 2012-4-21

ok deraadt@ jsg@

vmm(4): save and restore Intel CET state on vm entry/exit.

ec_point_conversion: do not rely on ec.h pulling in bn.h

Use size_t rather than int.

Also buy a vowel for rsiz.

Add SHA3 digest length define that was previously missed.

Remove sha3() function, which will not be used or exposed.

Mark sha3_keccakf() as static and remove prototype from header.

Use memset() to zero the context, instead of zeroing manually.

Provide SHA3 length related defines.

These will make EVP integration easier, as well as being used in the SHA3
implementation itself.

Use the same byte order tests as we do elsewhere in libcrypto.

Adjust documentation of X9.31 padding mode

Stop supporting the long-retired X9.31 standard

This isolates the three API functions from the library so they can be
easily removed and any attempt to use RSA_X931_PADDING mode will now
result in an error.

ok jsing

Prepare rsa.h for X9.31 support removal

This wraps the three public functions in the usual #if stanza.

RSA_X931_PADDING is unfortunately exposed by rust-openssl and erlang.
Therefore it will remain visible to avoid breaking the build of
lang/rust. Its use in the library will be neutered shortly.

ok jsing

Remove now unused GF2m perlasm generators

Rename SHA3 context struct field from 'st' to 'state'.

Rename SHA3 context to align with existing code.

Move some defines out of the sha3_internal.h header.

Stop building GF2m assembly

GF2m support will be removed shortly. In the interim drop some of this
unused code already and let it fall back to the C implementation.

ok jsing

Revise header guards.

Pull constant tables out of sha3_keccakf().

Strip and reformat comments.

Remove various comments that are unhelpful or obvious. Reformat remaining
comments per style(9).

Apply style(9) (first pass).

Import sha3_internal.h.

Add license to sha3 files.

Import tiny_sha3

This is a minimal and readable SHA3 implementation.

ok tb@

ssltest: Drop more policy go from this test.

Hopefully that is all. What an absolutely horrid mess.

ssltest: initial pass of dropping proxy cert goo

symbols test: drop LIBRESSL_INTERNAL

This tests the external API, so it should not have visibility to the
inside. Silences two warnings since EC_{GROUP,POINT}_clear_free() are
now wrapped in #ifndef LIBRESSL_INTERNAL.

Unlock in_ioctl_get(), push kernel lock into in_ioctl_{set,change}_ifaddr()

Just like in6_ioctl_get(), read ioctls are safe with the shared net lock to
protect interface addresses and flags.

OK mvs

return directly to drop needless error variable;  OK mvs

Introduce an ANYTOKEN token which can be used instead of NOTOKEN to allow
to fall back to another table if no other element in the current table
matched. ANYTOKEN needs to be the last element in a table.

With this 'bgpctl show rib 192.0.2.1 detail' works.
OK tb@

fixed regulators might rely on other regulators specified by "vin-supply"

when turning a fixed regulator on, turn on the regulator specified
in vin-supply too.

kettenis agrees we should do this.

change trap16 from IDTVEC_NOALIGN to IDTVEC as it is now the first
in the reserved block
ok deraadt@

add endbr defines and control protection trap
ok deraadt@

Disallow issuer and subject unique identifiers

In 1992, the ITU-T - through X.509 version 2 - introduced subject and
issuer unique identifier fields to handle the possibility of reuse
of subject and/or issuer names over time. However, the standing
recommendation is that names not be reused for different entities and
that Internet certificates not make use of unique identifiers.
Conforming RPKI CAs will never issue certificates with unique identifiers.

OK tb@ claudio@

vmm: NENTRY -> ENTRY

Originally used NENTRY macros in the asm, but the plan is for endbr64
to appear in the ENTRY macros.

cluestick from deraadt@

Use designated initializer for ffs_vtbl.
OK kn

vmm(4): add NENTRY/END macros around asm functions.

Part of prep for endbr64 on amd64 hosts.

ok mlarkin@

add VMX/VMCS defines for amd64 endbr64 features

"these are fine," mlarkin@

openssl11/Makefile: make spacing consistent

Add a missing void

Add two missing void to appease clang 15

There is another thing clang 15 is whining about - this will be resolved
in upcoming work by dv.

ok dv

Drop policy printing from openssl

Nothing really uses the policy tree. It's desgined with built-in DoS
capabilities directly from the RFC. It will be removed from the attack
surface and replaced with something equivalent that doesn't grow
exponentially with the depth.

This removes the only reason the policy tree itself ever leaked out of
the library.

ok jsing

check if there is actually anything to extract from the firmware tarball
on apple silicon so that we don't fill up the ramdisk by extracting the
whole tarball

while here, change the code so that the machdep.compatible sysctl gets
read once and then that value is used in the script instead of calling
sysctl several times

from input and ok kn@, kettenis@

cttest: plug leak due to missing SCT_LIST_free()

Plug a memleak caused by an extra bump of a refcount

SSL_set_session() should really be called SSL_set1_session()...

Cast the uint64_t SCT timestamps to (unsigned long long) for printing.
What a wonderful choice between this and that PRI ugliness...

Wire up the iwm_updatechan and iwx_updatechan callbacks.

These callbacks were not reachable by mistake. This change is a first step
towards preventing iwx SYSASSERT 0x20101A28 as seen by beck@ and Mikhail
when an 11ac AP switches channel width. The callbacks may still not trigger
after this change. Possibly because APs use channel switch announcements (CSA)
which we currently ignore. We only check the 11n HTOP IE for channel info.
We may eventually need to add CSA support in order to detect channel
width changes in 11ac mode.

No regressions seen by jmc@ on iwx, nor by florian@, millert@ on iwm

Make the signertest work better with the portable test framework

Make the apitest work better with the portable tets framework

Make cttest work better with the portable test harness

Fix cttest to use public header

Rename the largely misnamed bn_print.c to bn_convert.c

This file primarily contains the various BN_bn2*() and BN_*2bn() functions
(along with BN_print() and BN_options()). More function shuffling will
follow.

Discussed with tb@

Provide and use bn_copy_words() in BN_copy().

This is simpler than the current code, while still being well optimised by
compilers, across a range of architectures. In many cases we even get a
performance gain for the BN sizes that we primarily care about.

Joint work with tb@

Add support for truncated SHA512 variants.

This adds support for SHA512/224 and SHA512/256, as specified in FIPS
FIPS 180-4. These are truncated versions of the SHA512 hash.

ok tb@

Provide soon to be used crypto_store_htobe32().

ok tb@

Use memset() and only initialise non-zero struct members.

ok tb@

Fix double free in error path in openssl(1) x509

A conversion from X509_REQ_get_pubkey() to X509_REQ_get0_pubkey() missed
one free of pkey in an unlikely error path. After the conversion pkey is
no longer owned by us, so we mustn't free it.

ok jsing

add support for "rockchip,cryptov2-rng"

the steps to operate rockchip,cryptov2-rng are basically the same
as the existing rockchip,cryptov1-rng support, but the registers
and bits have moved around. add some abstraction for the register
differences and have the state machine call the different backends.

this is present on rk356x chips as the "True Random Number Generator
(TRNG)".

tested on a bunch of different rk3568 boards.
ok kettenis@

A tab snuck in

add the "local experiments" ethertypes

Avoid an overflow in the ELF SYSV ABI hash function.
The hash function is supposed to return a value less than or equal
to 0x0fffffff.  Due to a bug in the sample code supplied with the
ELF SYSV ABI documentation, the hash function can overflow on 64-bit
systems.  Apply the same fix used by GNU libc, MUSL libc and FreeBSD.
Prompted by https://maskray.me/blog/2023-04-12-elf-hash-function
OK tb@ miod@

Sprinkle UL suffix to constant literals which don't fit in int. NFCI

Catch up with box drawing characters which have been standardized in unicode
after the original wscons code was written and chose placeholder values.

From NetBSD (wsemul_vt100_chars.c r1.8 and r1.14) via Crystal Kolipe, thanks!

Use ANSI-style functions for Base64 wrappers

Silences a few -Wdeprecated-non-prototype warnings emitted by clang 15.

ok bluhm miod

Check whether products listed on a manifest were issued by the same authority as the manifest itself

OK tb@

Simplify how IMSG_CTL_SHOW_RIB_COMMUNITIES is constructed. This can just
call imsg_compose() and be done with it.
OK tb@

Grammar fixes in comments.

pmap_copy() has never, ever, been implemented in any of the platforms OpenBSD
ever ran on, and it's unlikely to ever be implemented, so remove it.
ok jsg@

The NBs have been duly noted and ignored. Drop them.

Zap trailing whitespace

Remove intentionally undocumented pci_{io,mem}_find and convert their last
few users to pci_mapreg_info().

ok jsg@

Move USRSTACK to the end of userland address space.

Remove files that definitely contain no code anymore
(experts disagree whether they ever did)

Drop now useless files from the Makefile

Fold ECDSA sign and verify mess into ecs_ossl.c

discussed with jsing

Move RSA_generate_key() from rsa_depr.c to rsa_gen.c

Discussed with jsing