Convert relayd for opaque RSA_METHOD

This is a mostly mechanical diff which will hopefully be superseded
soon by work in libtls.

ok jsing

Remove peer_pkeys from SSL_SESSION.

peer_pkeys comes from some world where peers can send multiple certificates
- in fact, one of each known type. Since we do not live in such a world,
get rid of peer_pkeys and simply use peer_cert instead (in both TLSv1.2
and TLSv1.3, both clients and servers can only send a single leaf
(aka end-entity) certificate).

ok inoguchi@ tb@

Simplify SSL_get_peer_certificate()

ok inoguchi@ tb@

Rename 'peer' to 'peer_cert' in SSL_SESSION.

The 'peer' member of SSL_SESSION is the leaf/end-entity certificate
provided by our peer. Rename it since 'peer' on its own is unhelpful.

ok inoguchi@ tb@

Revise for changes to tls_key_share_peer_public()

Plumb decode errors through key share parsing code.

Distinguish between decode errors and other errors, so that we can send
a SSL_AD_DECODE_ERROR alert when appropriate.

Fixes a tlsfuzzer failure, due to it expecting a decode error alert and
not receiving one.

Prompted by anton@

ok tb@

Use SSL_AD_INTERNAL_ERROR for non-decoding alerts when parsing keyshares.

ok tb@

Simplify tlsext_keyshare_server_parse()

SSL_AD_DECODE_ERROR is the default alert for a TLS extension parsing
failure - remove the various gotos and simply return 0 instead.

ok tb@

Bump KVA space up to 512MB (and a bit).

ok phessler@, deraadt@, miod@

Wrap long lines

Check function return value

Suppress warning

Compare pointer variable with NULL

Remove space between '*' and pointer variable.

Convert openssl(1) smime option handling

Apply new option handling to openssl(1) smime and no functional changes.

input and ok jsing@

Change the way the parser accesses files. It now builds the file path
based on information from the repository, a local path and the filename.
This simplifies some code both in the main process and the parser.
For this to work repositories are passed to the parser before any other
entity of this repository is passed. Struct entity is extended to include
the repoid and the path along the file(name).
Input and OK tb@ & job@

Garbage collect historical setting of dsa->write_params = 1.
This is always 1 with modern libs and write_params will soon go away.

add Synopsys Degisnware UART (dw-apb-uart) support

To fix Allwinner H6's UART problem, need to add dw-apb-uart special code.
ok kettenis@

Remove KASSERT(0) and default switch case. No other sc_ncm_format
switch has a default case and umb_ncm_setup_format() ensures that
only 16 and 32bit formats are accepted. Fixes build error without
DIAGNOSTIC set.
Found by and OK robert@

fix RSB_DMCR_DEVICE_MODE_DATA value to enter RSB mode correctly
ok kettenis@ patrick@

spelling

move allocations in DIOCSADDRULE and DIOCHANGERULE outside of locks.
this diff lets pf_rule_copyin() to be called outside of PF_LOCK()/NET_LOCK().

OK bluhm@

regen

Unlock getpeername(2). For inet and unix sockets it follows the code
which was unlocked with accept(2) unlocking. For key management and
route domain sockets it just copies the read-only data.

ok bluhm@

Produce alive in-flight sockets with positive "f_count == unp_msgcount"
equation. Such sockets should not be killed by unp_gc() otherwise system
will panic.

tested by anton@; ok bluhm@

move kern_unveil.c to use DPRINTF()

Changes the way printf debug is done in kern_unveil.c

Currently, each printf() is enclosed in #ifdef DEBUG_UNVEIL. It moves
to using DPRINTF(), and reduces the number of #ifdef inside the file.

Also changes some strings to use __func__ instead of using the
function name verbatim.

ok visa@

Remove dead store to f and avoid use of unvalidated fd.

Found by LLVM scan-build.

OK millert@ deraadt@

Add temporary verbose logging when remote coverage fails to attach.
In the hopes of tracking down a rare bug seen on syzkaller.

no need to inspect the coverage for the dying test case

In revision 1.43 of kcov.c, the redundant conditional of checking for
an exising kcov descriptor with the given device minor was removed since
kcov is a cloning device; i.e. the device minor should always be unique.

However, there's one edge case to still consider in which one thread
have tracing enabled while another thread closes the same kcov
descriptor. The kcov descriptor is kept alive until thread with tracing
enabled exits to prevent usage after free. This does however cause the
spec file layer above to flag the device minor as unused. Any subsequent
open of /dev/kcov would trip on the assertion in kcovopen() until the
thread with tracing enabled exits.

Therefore unconditionally remove the kcov descriptor from the global
list of active descriptors which is fine since the same kcov descriptor
will later be freed in kcov_exit().

I have never seen this in the wild but realized while hunting another
bug.

spelling

Tidy up some comments

requested by deraadt@

spelling
ok jmc@

"void" functions should not return anything.  From Tim Rice via -portable.

suppress "Connection to xxx closed" messages at LogLevel >= error
bz3378; ok dtucker@

If the install media contains non-free /*firmware*.tgz files, use fw_update
to install them.  This lets users usb-lift firmware on a preloaded install70.img
image like this:
    # vnconfig install70.img
    vnd0
    # (mount /dev/vnd0a /mnt && cd /mnt && fw_update -F iwm iwx iwn intel)
    # umount /mnt && vnconfig -u vnd0
The firmwares are installed after the sets, then all network drivers are
re-configured in the hope that new firmwares have showed up.  The install
script continues to attempt a network firmware install, which might pull/update
additional firmwares.
work done with afresh1

Split 2nd half of enable_network() into a sub-function enable_ifs().
This is the piece which loops over hostname.* files and runs ifconfig
like the inner loop of base /etc/netstart

match on Intel Jasper Lake

cavs/hda is pci class multimedia subclass audio so not automatically
matched by azalia but confirmed to work after matched

tested by Sven Wolf on Acer Swift 1 SF114-34 with Pentium Silver N6000

regen

add Intel Jasper Lake devices
from Intel Pentium Silver and Intel Celeron Processors Datasheet 633935

Convert tls_bio_cb for opaque BIO

joint with jsing

Mechanical conversion of libcsi for opaque DH.

ok jsing

Document EVP_AEAD_CTX_{new,free}() and adjust example code.

looks good to jsing

fix SEE ALSO;

Unbreak tree. Sorry about that.

Return ENOMEM on malloc errors to prevent use of uninitialized stack
memory. Cleanup error handling while here.

ok stsp@ visa@

When rendering the \h (horizontal motion) low-level roff(7) escape
sequence in -T ps and -T pdf output mode, use an appropriate
horizontal distance by correctly using the term_len() utility
function.  Output from the -T ascii, -T utf8, and -T html modes
was already correct and remains unchanged.

Lennart Jablonka <hummsmith42 at gmail dot com> found and reported
this unit conversion bug (misinterpreting AFM units as if they were
en units) when rendering scdoc-generated manuals (which is a low
quality generator, but that's no excuse for mandoc misformatting \h)
on Alpine Linux.  Lennart also tested this patch.

sync

Initialize variables that are touched in the error path.

Reminded by LLVM scan-build.

NULL out pointers after transferring them to the DSA object.

sync

Dedup get_dsa*() code.

Pointed out by jsing

Convert testdsa to accessors for opaque DSA

ok inoguchi jsing

Remove a few unused defines from x509.h

As suggested by schwarze, this removes

X509_EX_V_{INIT,NETSCAPE_HACK} and X509_EXT_PACK_{STRING,UNKNOWN}

ok inoguchi jsing

Use NULL instead of 0 for pointers.

OK bluhm@

Prepare to provide the EVP_MD_meth_* API

This allows implementations to add their own EVP_MD_METHODs.
Only the setters are provided.

This is used by erlang for the otp_test_engine.

ok inoguchi jsing

speeling

this should be most of the necessary info for this driver.

Document openssl pkey -check,-pubcheck and param -check

Implement openssl pkey -{,pub}check and pkeyparam -check

These expose EVP_PKEY_{,public_,param_}check() to the command line.
They are currently noops and will be enabled in the upcoming bump.

ok inoguchi jsing

Prepare to provide EVP_PKEY_{public,param}_check

This implements checking of a public key and of key generation
parameters for DH and EC keys. With the same logic and setters
and const quirks as for EVP_PKEY_check().

There are a couple of quirks: For DH no default EVP_PKEY_check()
is implemented, instead EVP_PKEY_param_check() calls DH_check_ex()
even though DH_param_check_ex() was added for this purpose.
EVP_PKEY_public_check() for EC curves also checks the private key
if present.

ok inoguchi jsing

Provide DH_check*_ex and many error codes

DH_check{,_pub_key}_ex() wrap their non-ex versions to translate
the flags argument of the original functions into OpenSSL errors.
For this almost a dozen new error codes need to be added.

DH_params_check{,_ex}() is a new version of DH_check that only
performs a cheap subset of the checks.

They are needed to implement EVP_PKEY_{public,param}_check()
(observe the consistent naming) although the actual implementation
of EVP_PKEY_param_check() chose to use DH_check_ex().

As far as I can tell, the only raison d'être of the _ex functions
and error codes is to spew them to stderr in a couple of openssl(1)
commands. This couldn't have been solved differently...

These functions will not be exposed publicly.

ok inoguchi jsing

Prepare to provide EVP_PKEY_check()

This allows checking the validity of an EVP_PKEY. Only RSA and EC keys
are supported. If a check function is set the EVP_PKEY_METHOD, it will
be used, otherwise the check function on the EVP_PKEY_ASN1_METHOD is
used.  The default ASN.1 methods wrap RSA_check_key() and
EC_KEY_check_key(), respectively.

The corresponding setters are EVP_PKEY_{asn1,meth}_set_check().

It is unclear why the PKEY method has no const while the ASN.1 method
has const.

Requested by tobhe and used by PHP 8.1.
Based on OpenSSL commit 2aee35d3

ok inoguchi jsing

add a bit more.

Prevent a double free in EVP_MD_CTX_copy_ex()

NULL out two pointer values after memcpy() to avoid a double free.
In the event that both in->pctx and in->md_data are non-NULL and
the calloc() of out->md_data fails, a double free could occur.

ok inoguchi jsing

tweak slightly

In pmap_enter(9), only perform a TLB flush if we actually changed a PTE.
To make this intent more obvious, group the call to the TLB flush function
togther with the call that inserts/updates/removes a PTE.
Remove an incorrect comment related to this.

ok patrick@

aplsmc(4)

Add aplsmc(4), a driver for the SMC found on Apple M1 SoCs.

The SMC implements a lot of functionality.  For now the driver only
implements a bunch of sensors.  This is a small subset of the sensors
that are made available by the SMC as we don't know what measurments
are provided for most sensors.

ok patrick@

hang some flesh off the bones that jsg provided.

mark up the ioctl requests with Dv

initial kstat.4
ok dlg@

provide access to the hardware counters (MIB counters in the doc) via kstat

handle the status ring entries as 64bit words instead of a struct.

the status ring entries are 8 bytes/64bit, and depending on the
type of entry it has fields all over the place. this loads the
descriptor with a single 64bit read, and then shifts and masks the
bits out of it depending on the type of descriptor. this looks
cleaner for the tx completions in particular.

zap trailing whitespace

Check that the RSA exponent is neither even nor 1 in RSA_check_key()

Part of OpenSSL commit 464d59a5

ok inoguchi jsing

Use C99 initializers for test_sha_md

ok inoguchi jsing

Add an essentially empty comp_local.h and include it where it will
be needed.

discussed with jsing

Simplify igc_rxrinfo() to improve consistency and appease Coverity.

CID 1510483

ok kevlo@

unwind/unbound: prepare for opaque DSA and RSA.

Use the OpenSSL 1.1 codepath using accessors that have been available
since LibreSSL 2.7 instead of reaching into the structs.

ok sthen

do not call ranlib -t anymore because it does nothing except wasting time;

ok jca@, millert@

ssl_check_srvr_ecc_cert_and_alg() only returns 0/1 - test accordingly.

Swap arguments to ssl_check_srvr_ecc_cert_and_alg()

If a libssl function takes an SSL *, it should normally be the first
argument.

Clean up ssl3_{send,get}_client_kex_gost()

Fix leaks, use sizeof() instead of hardcoded sizes, actually check return
codes, explicit_bzero() the premaster secret on the server side and
generally try to kick the GOST kex code into some sort of shape.

ok inoguchi@ tb@

Return 0/1 from ssl3_{send,get}_client_kex_gost()

Like other KEX handling functions, there is no need to return anything
other than failure/success here.

ok inoguchi@ tb@

Remove a comment from Captain Obvious.

Fix GOST skip certificate verify handling.

GOST skip certificate verify handling got broken in r1.132 of s3_srvr.c
circa 2016. Prior to this, ssl3_get_client_key_exchange() returned an
'extra special' value to indicate that the state machine should skip
certificate verify. Fix this by setting and checking the
TLS1_FLAGS_SKIP_CERT_VERIFY flag, which is the same as is done in the
client.

ok inoguchi@ tb@

Prepare to provide EVP_MD_CTX{,_set}_pkey_ctx()

This API with very strange ownership handling is used by Ruby 3.1,
unfortunately.

For unclear reasons, it was decided that the caller retains ownership of
the pctx passed in.  EVP_PKEY_CTX aren't refcounted, so a flag was added to
make sure that md_ctx->pctx is not freed in EVP_MD_CTX_{cleanup,reset}().
Since EVP_MD_CTX_copy_ex() duplicates the md_ctx->pctx, the flag also needs
to be unset on the duplicated EVP_MD_CTX.

ok inoguchi jsing

Indicate that mvpxa(4) depends on sdhc code.

OK deraadt@ phessler@

Add attribute for indicating sdhc dependency.

OK deraadt@ phessler@

Clean up pkey handling in ssl3_get_server_key_exchange()

With TLSv1.2 and earlier, the authentication algorithm used to sign the
ServerKeyExchange message is dependent on the cipher suite in use and has
nothing to do with the key exchange algorithm. As such, check the
authentication algorithm based on the cipher suite in
ssl3_get_server_key_exchange() and handle things accordingly.

ok inoguchi@ tb@

Add two test cases from semarie@ which are solved by the last unveil
commit.

Add an UNVEIL_USERSET flag which is set when a unveil node is added via
unveil(2). It is not set for nodes that are added as a result of a file
being added via unveil(2). Use this flag to test if backtracking should
be done or not. Also introduce UNVEIL_MASK which checks if any user flags
are set and is used to properly return EACCES vs ENOENT.

This fixes a problem where unveil("/", "r") & unveil("/usr/bin/id", "rx")
cause an error when read accessing "/usr/bin". It also makes sure that
unveil(path, "") will return ENOENT for any access of anything under path.

Reported by and OK semarie@

Increase the max size of allocations, in prep for a large cache implementation.

spelling
feedback and ok tb@ jmc@ ok ratchov@

__LDPGSZ hasn't been used here since rev 1.23 (2013).
Delete comment referring to it

ok jsg@

Don't download SHA256.sig unless it's needed

This allows installing local files without network.

it *might* work now deraadt@

Prepare to provide OBJ_length() and OBJ_get0_data()

OBJ_length() turns the int obj->length into a size_t, so add
an overflow check. While obj->length should never be negative,
who knows...

ok jsing

archdep.h needed for _dl_dcbf, on powerpc

need "archdep.h" for _dl_md_plabel on hppa