Switch 802.11 crypto over to the new AES

OK stsp@

rsa1 is no longer valid;

Stricter pledge for bpf. ok deraadt

Remove check for compatible property here as well.

Remove check for compatible property.  Turns out sunxi relied on the broken
check we had before rev 1.16.

Suggested by jmatthew@

Linux switched from a device-specific pinctrl binding to a the generic version
for Allwinner devices.  Implement support for the latter such that we can
use newer device trees.

ok patrick@

add PubKeyAcceptedKeyTypes to the -o list: scp(1) has it, so i guess
this should too;

remove now obsolete protocol1 options from the -o lists;

Revise MDIO driver code so that device instances can be attached
using fdt. This lets the system utilize multiple MDIO controllers.

This patch enables all RJ45 Ethernet ports on EdgeRouter Pro.
The SFP module slots do not work yet.

OK kettenis@, jmatthew@

Provide pluggable queueing interface for pf

By hiding H-FSC behind pfq_ops structure similar to the ifq_ops,
we provide a possibility to plug alternative queueing interfaces
for use in pf.  This reduces amount of H-FSC specific code in the
pf ioctl handler

While here, change the the order of elements in hfsc_class_stats
to provide some compatibility between queue stat structures of
different traffic conditioners.

No objections from henning@, ok sthen@

Switch glxsb(4), VIA padlock and AES-NI drivers over to the new AES

Sync GMAC and AES-CTR/-XTS regress tests with the new AES code

ok djm

Switch OCF and IPsec over to the new AES

ok djm

Pick the right AES source file

Fix a problem with associating to wifi networks with a hidden SSID.

If an AP is configured to hide its SSID it sends a non-zero length SSID
which contains only zeroes. The AP sends its actual SSID only in probe
responses after a client includes this SSID in a probe request.
If we happened to receive a beacon before the probe response we stored a
non-zero-length SSID of zeroes and never updated the SSID when the probe
response arrived. The client was then unable to find the AP.

test & ok jung@

Resynchronize the guest RTC via vmmci(4) on host resume from zzz/ZZZ
(vmd part)

This feature is for OpenBSD guests only.

ok reyk, kettenis

Resynchronize the guest RTC via vmmci(4) on host resume from zzz/ZZZ
(kernel part)

This feature is for OpenBSD guests only.

ok reyk, kettenis

more -O shuffle; ok djm

remove -1 / -2 options; pointed out by jmc@

remove options -12 from usage();

fix an error in i386 vmd build

Matching i386 commit to previous amd64 commit (initial support for vmctl
send/receive)

tidy up -O somewhat; ok djm

the XXXfree functions being called accept NULL, so don't check first.
ok beck

Add regress for free functions that should be safe with NULL

use freezero() instead of memset/explicit_bzero + free.  Substantially
reduces conditional logic (-218, +82).

MOD_EXP_CTIME_MIN_CACHE_LINE_WIDTH cache alignment calculation bn/bn_exp.c
wasn'tt quite right.  Two other tricky bits with ASN1_STRING_FLAG_NDEF and
BN_FLG_STATIC_DATA where the condition cannot be collapsed completely.

Passes regress.  ok beck

Matching vmd(8) part of previous diff (first part of vmctl send/receive).

ok kettenis

Allow setting of guest MSRs from vmd(8). This change is the first part of
a larger effort to implement vmctl send/vmctl receive (snapshot and VM
migration).

From Pratik Vyas, Siri Chandana, Harshada Mone and Ashwin Agrawal, a
group of students I am supervising.

ok kettenis

A few days ago, a patch from <G dot Branden dot Robinson at gmail dot com>
got committed to groff which changed .TP from using .it to using .itc,
such that groff now supports more than one man(7) macro line in the .TP
head if all but the last line in the head end with \c.

Of course, relying on that behaviour is utterly non-portable, but if
authors are reckless enough to use that idiom, let's do what they want.

when freeing a bitmap, zero all it bytes; spotted by Ilya Kaliman

When trying to expand some columns in a table where the sum of the
widths of the remaining columns is already wider than the line
length, underflowing size_t and dying from ENOMEM is the wrong plan.
Instead, simply refrain from expanding anything in such a situation,
avoiding a crash that tb@ found with afl.

Quiet an "implicit conversion from 'int' to 'char' changes value"
warning from clang.

Revert r1.170 and remove the id==0 check.
The id binary is not available in nfs diskless setups at this point.

reported by Andreas Kusalananda, thanks.
discussed with deraadt@

move some binutils files from gcc sets back to md sets
ok deraadt@

Apply same change of defaultroute handling as in r1.179 of netstart.

Now that routes are automatically G/C with the address they are
attached to there's no reason to duplicate the kernel's job.

Remove last remnants of rtsol. IPv6 autoconfiguration of interfaces is now
done in ifstart(). Remove ipv6autoconf() and replace rtsolif with a boolean
variable V6_AUTOCONF. Replace dhcpif with a boolean variable V4_DHCPCONF.
Both are later used in defaultroute() to decide whether or not to configre
defaultroutes from /etc/mygate.

OK krw@

Remove last remnants of rtsol. IPv6 autoconfiguration of interfaces
is now done in ifstart(). Replace rtsolif with a boolean variable
V6_AUTOCONF. Replace dhcpif with a boolean variable V4_DHCPCONF.
Both are later used to decide whether or not to configre defaultroutes
from /etc/mygate.

OK krw@

this one I did forget to "cvs rm"

Comments and spacing.

move more gcc files to gcc sets
ok deraadt@

In order that people can use formats like #D in #() in the status line
and not have to wait for an update when they change pane, we allow
commands to run more than once a second if the expanded form
changes. Unfortunately this can mean them being run far too often
(pretty much continually) when multiple clients exist, because some
formats (including #D) will always differ between clients.

To avoid this, give each client its own tree of jobs which means that
the same command will be different instances for each client - similar
to how we have the tag to separate commands for different panes.

GitHub issue 889; test case reported by Paul Johnson.

in function used for tracing, display unknown lookup types as "???"

diff from Wolf480pl

don't know why cvs didn't exterminate these the first time around,
I use rm -f and everuthing...

pointed out by sobrado@

Fewer kgdb(7) references and fix previous.

Pointed by jmc@

update currency exchange rates;

remove unused variable

Document that wait3/waitpid can receive SIGCHILD when wpid does
not exist or is not a child of the calling process.
Document what happens when SIGCHLD is ignored or SA_NOCLDWAIT is
set in sa_flags (this part from FreeBSD).
OK guenther@

fixup setting ciphercontext->plaintext (lost in SSHv1 purge), though
it isn't really used for much anymore.

sync

eliminate explicit specification of protocol in tests and loops over
protocol. We only support SSHv2 now.

remove SSHv1 support from unit tests

flense SSHv1 support from ssh-agent, considerably simplifying it

ok markus

obliterate ssh1.h and some dead code that used it

ok markus@

exterminate the -1 flag from scp

ok markus@

purge the last traces of SSHv1 from the TTY modes handling code

ok markus

remove the (in)famous SSHv1 CRC compensation attack detector.

Despite your cameo in The Matrix movies, you will not be missed.

ok markus

undo some local debugging stuff that I committed by accident

remove SSHv1 support from packet and buffer APIs

ok markus@

remove SSHv1-related buffers from client code

remove KEY_RSA1

ok markus@

remove SSHv1 configuration options and man pages bits

ok markus@

remove SSH1 make flag and associated files
ok markus@

remove SSHv1 ciphers; ok markus@

remove compat20/compat13/compat15 variables

ok markus@

remove options.protocol and client Protocol configuration knob

ok markus@

unifdef WITH_SSH1
ok markus@

Make early attrbute work here as well.  Remove unreachable panic while there.

ok visa@, patrick@, drahn@

Fix priority handling.  The interrupt priority registers expose the full range
of priorities available in secure mode (minimally 32).  For non-secure
interrupts we need to make sure the top bit is set and shift our interrupt
priority level into the remaining bits.  The priority mask register on the
other hand only exposes the priority levels available to the mode from which
it is accessed.  So when accessed from non-secure mode, we need to shift our
interrupt priority level by a different amount.

Also set the binary point register to zero to make sure the maximum number of
available bits are used for the priority group and priority masking actually
works as expected.

This makes the FireFly-RK3399 boot multi-user with the root filesystem on USB.

ok drahn@

Switch AES testcase to the new implementation

OK djm@

Constant time AES implementation

This introduces a 32-bit constant time AES implementation from
Thomas Pornin originally for BearSSL and then adjusted by Thomas
and myself to fit OpenBSD kernel. One of the additional features
is an API for encryption and decryption subkey expansion in the
format specified by NIST in FIPS 197.

Tested by myself and naddy@, ok djm@

sync

Move FlexLexer.h from /usr/include/g++ to /usr/include.  It is not
a g++-specific header and this matches most other systems.  Needed
to use flex++ with clang.  OK espie@ kettenis@

Remove KGDB references.

Remove some KGDB leftovers.

From Amit Kulkarni.

Do not try to delete a default route before adding it.

Now that route are automatically G/C with the address they are attached
to there's no reason to duplicate the kernel's job.

Fix a regression introduced with multipath default routes.

ok deraadt@

No original OpenSSL code remains in this file. Relicense

whitespace

Add rkclock(4), a driver for the Rockchip RK3399 clocks.

Rename Debugger() into db_enter().

Using a name with the 'db_' prefix makes it invisible from the dynamic
profiler.

ok deraadt@, kettenis@, visa@

sync

Mention that escaping "^" as "\(ha" in source code samples improves
portability, in particular when rendering to formats such as PDF
with real typesetters such as groff.

While here, make it even more explicit that the rendering of raw
ASCII accents ( ` ' ~ ^ ) found in the input is kind of a mess and
varies among implementations, software versions, macro sets, and
output devices.

Issue noticed when reading the groff_char(7) manual, and confirmed
by testing with current groff.

OK bentley@, "certainly no objection" jmc@

N.B.: Nobody will get scolded for ignoring this subtlety.

Add xhci@fdt, and move ehci(4) from the sunxi block to the generic block.

Add rkgrf(4), a driver that makes the "generic register file" of the Rockchip
RK3399 available to other drivers through the regmap interface.

Make early attrbute work here as well.  Remove unreachable panic while there.

ok visa@

Tweak error message when running on an unsupported release.

Unifdef KGDB.

It doesn't compile und hasn't been working during the last decade.

ok kettenis@, deraadt@

Check that unsupported operation returns ENOSYS.

Return ENOSYS for unsupported operation.

Regression tests for futex(2).

Add futex(2) shim, bump minor.

Inputs from guenther@, ok kettenis@, visa@

Make BIO_get_host_ip just yet another getaddrinfo wrapper

Rework BIO_accept to be more like modern code.
ok jsing@

Only enable -Werror on libcrypto/libssl/libtls if we are building with
gcc4. This should avoid failed builds while transitioning compilers.
While here also make the CFLAGS blocks consistent across makefiles.

Discussed with deraadt@, ok beck@

Remove unused POW status functions. Makes clang happier.

Switch back to freezero() and explicitly initialise data_len to zero. The
previous code was safe since data would always be NULL if data_len was
uninitialised, however compilers cannot know this.

Microsoft Windows hates BIO_get_accept_socket in portable. Fix it to
not be awful or have any claims on supporting ipv6 when it does so
very badly
ok jsing@

Add missing tls_init() and tls_free() calls.

Add a tls_keypair_clear_key() function that uses freezero() to make key
material inaccessible, then call it from the appropriate places.

ok beck@

Fix a bug caused by the return value being set early to signal successful
DTLS cookie validation. This can mask a later failure and result in a
positive return value being returned from ssl3_get_client_hello(), when
it should return a negative value to propagate the error.

Ironically this was introduced in OpenSSL 2e9802b7a7b with the commit
message "Fix DTLS cookie management bugs".

Fix based on OpenSSL.

Issue reported by Nicolas Bouliane <nbouliane at jive dot com>.

ok beck@

Revert previous - we still want to do this, but I forgot about the installer
and want to avoid the wrath of theo when he arrives home in a couple
of hours :)