Note Ed25519 fault injection on crypto_sign

See
https://research.kudelskisecurity.com/2017/10/04/defeating-eddsa-with-faults/
and
https://news.ycombinator.com/item?id=15415114

Fix formatting and typos in the man pages

One quote too many

Merge pull request #50 from CuleX/master+add-incr-lock-to-intro-man-page

Add incremental crypto_lock interface to intro TOC

Added a make tarball rule to generate an archive

Also updated the README.md a little: added "manual" and "contributor
notes" sections, expanded the installation section, and a couple minor
other edits.

Merge pull request #51 from CuleX/master+fix-mandoc-invocation

Fix mandoc invocation for recent mandoc versions

Fix mandoc invocation for recent mandoc versions

A commit in mandoc earlier this year subtly broke the -O parsing.
Multiple instances of -O do not get parsed, so all options have to be
passed into the same -O with comma separation as intended.

Add incremental crypto_lock interface to intro TOC

Merge pull request #49 from CuleX/master+fix-man-xr-links

Fix link generation in HTML man page conversion

Fix link generation in HTML man page conversion

We strip the ".3monocypher" from the filename, so the -Oman argument
needs to reflect that.

Generating an html version of the manual

Now the users will be able to enjoy a readable manual even without the
man pages.

One hassle though: I expected links between the pages, and I se none.
Limitation of the converter, or bug in my script?

Credit where credit's due

CuleX contributed more than all others combined, it was past time we
update the author's page.

Merge pull request #48 from CuleX/master+fix-man-pages

Man page improvements; properly document incremental crypto_lock/unlock

Improve the man page for incremental crypto_lock

This fixes the function types in the SYNOPSIS section and removes a
stray macro.

This adds information about the incremental interface to the DESCRIPTION
section.  In particular, it documents the tradeoff (convenience of the
interface vs. performance loss on forged messages).

INCREMENTAL INTERFACE, which seemed to just be a subset to the EXAMPLES
section, got lowered into a second-level heading.

Fix spacing after list in crypto_blake2b man page

Added incremental interface

Fixed #29

Bonus: we now can authenticate a message without decrypting it.

Fixed code coverage checking

Fixed #47

The manual was missing the `-fcoverage-mapping` option, of course we
didn't have coverage data...

Also changed `llvm-cov` to `llvm-cov-3.8` on tests/coverage.sh: some
systems don't have the versionless alias.

Add uninstall target.

Fixes #46

Don't add the .css file when installing the documentation

Fixes #45

Another option would be to move the .css file elsewhere, but this fix
is more resilient.

Merge pull request #44 from CuleX/master+fix-css

Add old CSS class names; add centering

Add old CSS class names; add centering

It turns out that they are still used when doing e.g. .Bf Em (yiedling a
block <div class="emph">...</div>).

I also forgot to add centering, which I've had on my GitHub Pages of
the HTML exported man pages.

Added a `check` target to the makefile, that means the same as `test`

Automake specifies that `make check` runs the test suite.  We should
respect such conventions.  `make test` still works ("test" is a good
name for such a target).

Merge pull request #41 from CuleX/master+argon2i-man-page-fix

Document argon2i allowing all arguments to overlap

No need for testing Ed25519 specificaly

EdDSA works.  SHA-512 is properly tested.  Replacing Blake2b by
SHA-512 is only a pre-processor directive away —it's foolproof.  We
don't need specific Ed-25519 tests.

The speed tests now run.  Removed the README note.

Restored sanitisers based tests.

We no longer ask the user to modify the makefile.  We instead override
the relevant variables from the command line.

Corrected bogus EdDSA coverage test (stack smashing undefined behaviour)

Restored formal analysis scripts

Document argon2i allowing all arguments to overlap

Added overlapping tests for argon2i

Related to #32

Rearranged directory creation for makefile installation target

Tweaking #40 pull request.  Have the `mkdir` on several lines because
of my 80 columns OCD.  It also makes prettier printouts at runtime.

Also removed the spurrious creation of the man directory (it was
already done on the `install-doc:` target).

Merge pull request #40 from CuleX/master+fix-install

Create all installation directories

Create all installation directories

This is required for the DESTDIR variable to actually work and create
the necessary tree.

Added installation instructions to README.md

Added a separate install-doc target

Since Monocypher can be used without any installation (just copy the
source files to your project), some users may want the man pages
without an actual installation.

`make install` still installs everything, documentation included.

Make pkg-config file location $PREFIX compliant

It was previously semi-hard coded, presumably because I was tired.

Merge pull request #39 from CuleX/master+update-man-pages

Add overlapping argument info to the man pages

Add overlapping argument info to the man pages

Removed "crypto_sign() buffers can't overlap" from the man page.

No need to run mandb after installing the man pages

Turns out users don't need to run that program to read freshly
installed man pages.  Plus, that program doesn't seem to exist outside
of GNU systems.

The mandb program just refreshes a cache. Users can read the freshly
installed man pages without running it.

Man pages belong to $(DESTDIR)/$(PREFIX)/share/man/man3 folder

They were originally sent to the man3monocypher folder instead, but we
don't need that: their .3monocypher extension already takes care of
the disambiguation.  It also has the advantage of allowing the user to
search for the man page in section 3 directly.

Add tests about overlapping input/output buffers.

Chacha20 plaintext and cypher text memory buffers may be the same
(they cannot be different *and* overlaping).

Poly1305 input and tag buffer may overlap.
Blake2b input and hash buffers may overlap.
SHA-512 input and hash buffers may overlap.
Argon2i input and hash buffers may overlap.
EdDSA message and signature buffers may overlap.

Allows crypto_sign() to overlap its message and output

Fixes #32

The signature output buffer was set before the last message read.  If
they overlaped, we would have a bogus signature.

Install man pages with the library

Fixes $24 (hopefully, nothing is missing this time).

Add installation target to the makefile

Fixes #24

Defines and uses the $DESTDIR and $PREFIX variables. They can be
overriden from the command line. By default, they are set to "" and
"usr/local" respectively.

Defines and uses a $PKGCONFIG variable to set the location of the
pkgconfig configuration file (monocypher.pc).  That variable depends
on $PREFIX.

Copies libmonocypher.a, libmonocypher.so and monocypher.h to their
respective destinations, and creates the pkgconfig configuration file.

Fix last variable length array warning

All gone now. Fixed #37

Corrected timing computation for the speed benchmark

I intended to take the best timing out of several tries.  Turned out I
only took the *last* timing, which defeats the purpose.

Now we take the fastest try as intended.  The results are now a bit
more stable.

More robust timing tests, based on ratios.

Fixes #25

Note: I noticed something iffy about comparing against all zeroes: for
big buffers, the timings were way off (small buffers were okay).  This
suggest they were *not* constant time, which is worrying.

The generated assembly is too big for me to review.  I can't tell
whether there's a variable time optimisation in there.  Thankfully, we
rarely use crypto_memcmp() to compare big zeroed buffers in practice.
Instead, we compare small, pseudo random data such as hashes or
authentication tags.  So I used pseudo-random data for the tests.

While we should be good in practice, I'm a bit worried.  Someone may
want to check that compilers haven't become too clever.

Try to fix variable length array warnings (#37)

Explain what to do if test vectors are missing

Users who try to `make test` without the test vectors will have a nice
error message explaining how to actually perform the tests (either
generate those test vectors, or grab an official release.

It should thus be clear what libsodium is for, and why end users don't
need it.

Move everything back from the dist/ directory

Making a separate dist/ folder was stupid, we can use tar's exclusion
patterns to take care of clean archiving.  It's simpler for everyone
without the indirection.

Restored the speed benchmark

The benchmark now gives absolute speeds instead of comparisons against
other libraries.  This is more useful that way: the important
information is whether Monocypher is fast *enough*.  This also
increases portability, so end users can actually run the benchmark
themselves.

Besides, we can always add Libsodium and TweetNaCl benchmarks later.

printf() shall use %z for size_t

Removed redundant initialization

We no longer need dist.sh

We do need a make_tarball.sh script however

Cleaner generation of test vectors.

The makefile that generates the test vectors directly puts the
vectors.h header in the dist/tests/ directory.  No more weird script
to do half that work.

As a side effect, BSD users can now switch to gmake more easily (they
don't depend on a script to do stuff like `make || gmake`.

Closes #33, though not satisfactorily (the makefiles still rely on GNU
make, because portable makefiles are just crippled).

vectors.h is generated.  It belongs to the tarball

Fixed #34. The README has been split in 2

Created a dedicated dist/ directory for end user releases

Related to #14 and #24.  The repository is now unfit for distribution
to end users.  We must first execute the dist.sh script to generate
test vectors and move the relevant files to the dist/ directory, which
can then be archived and distributed.  This archive will contain a
makefile to compile and test Monocypher.

Stuff left to do:

- Review and finalise the tests.
- Generate html files for the manual.
- Revise the frama-c.sh and coverage.sh scripts
- Have the makefile install Monocypher
- Automate archive generation (and print the archive's blake2 hash).

Merge pull request #31 from CuleX/master+man-page-type-fix

crypto_sign man page improvements

Document that message and signature cannot overlap

The signature variable gets overwritten halfway through the crypto_sign
function and that value is then reused in multiple places.

Fix function type on man page for crypto_sign

Clarified why we need to hash the message twice in EdDSA

The code isn't crystal clear about the fact we reuse the result of the
first hash in the second hash.  A little comment makes sure reviewers
don't miss it.

Merge pull request #30 from CuleX/master+man-page-fixes

Man page fixes

Add note to intro page that getrandom() is new

Improve the crypto_sign man page

1. Reorder the arguments so that crypto_sign_public_key() comes directly
   after crypto_sign().  This harmonizes the order of the public key
   generation functions with crypto_key_exchange(3monocypher).
2. Move implementation details and complaints about SHA-512 to the
   IMPLEMENTATION DETAILS section.
3. Note that there is no incremental interface available in the
   DESCRIPTION and explain it in the IMPLEMENTATION DETAILS section.
4. Add an example for key generation.  Key generation using straight
   random bytes may come as a surprise to people not used working with
   Curve25519.

Improve the intro man page

1. This adds the crypto_memcmp and crypto_zerocmp functions to the index
   and the SEE ALSO section.
2. SEE ALSO got reordered from mirroring the topical index to an
   alphabetical index.  Having the same list twice is to nobody's
   benefit and makes searching alphabetically (e.g. when the reader
   already has a vague idea what the function is supposed to be called)
   more difficult.

Fix example for crypto_argon2i

It actually did not have a password and password length parameter.

The invocation line was thus split up into logical blocks to avoid
confusing the reader.  A similar layout can be observed in
tests/self.c:argon2i().

Improve the man page for crypto_key_exchange

1. Improve wording in the section on public keys that yield an all-zero
   result.
2. Fix casing (HCHacha20 -> HChacha20).
3. Resolve contraction to keep the manual style.
4. Add example for key generation and key exchange.  It's not quite
   obvious that you just use straight random bytes.  If coming from
   other X25519 implementations, it may be a surprise not having to
   trim the key.  If coming from other public key cryptographic systems,
   it may be a surprise that key generation is this straightforward.

Merge pull request #28 from CuleX/master+key-exchange-man-page

Minor improvements to crypto_key_exchange man page

Clarify function argument to crypto_x25519

1. Change param "shared_secret" in crypto_x25519 to "raw_shared_secret"
   to aid quick identification of the difference between it and
   crypto_key_exchange; the "key" vs. "secret" gets lost easily because
   of the shared prefix "shared_".
   This change was traced everywhere in the source code where the old
   name was used as well as the man page.
2. Fix not having punctuation as a separate word in man page macro.

added test vector generators

Merge pull request #26 from njlr/docs/buck-port

Note about the Buck port to the README

Merge pull request #27 from CuleX/master+man-page-fix-formatting

Fix formatting on man page for crypto_chacha20_*

Fix formatting on man page for crypto_chacha20_*

Missing .Pp after .Ed.

 * Added a note about the Buck port to the README

Properly initialise libsodium for the speed benchmarks

Without this initialisation, libsodium can't select the fastest
implementation for the platform, and has to revert to a portable,
slower one.  This leads to misleading benchmarks.

Merge pull request #22 from CuleX/master+man-pages

Add man pages

Fix centering in style.css

Remove Xr to system man pages

These create broken links when generating the manual page and there is
no way to selectively disable link generation in mandoc.

This change should not create much of an impact to readers on console,
who would enter a man command for the respective page regardless.

This also fixes a small usage error of the Xr macro in
crypto_aead_lock.3monocypher.

Add symbolic links

Generated with:

find . -name '*.3monocypher' -not -type l -and -not -type d | \
grep -v '^\./?' | \
xargs grep '^\.Nm' | \
sed -e 's/^\([^:]*\):\.Nm \([a-zA-Z0-9_]*\).*$/
[ ! -f \2.3monocypher ] \&\& ln -s \1 \2.3monocypher/'

Add style.css for HTML manual generation

Add man pages

They've been given a custom section 3monocypher to avoid potential
clashes with the system.  This also allows having a custom intro
page, which would otherwise clash or need a different name.

Merge pull request #21 from CuleX/master+fix-tests-typo

Fix typo in "Property based tests tests"

Fix typo in "Property based tests tests"

Merge pull request #20 from CuleX/master+fix-solaris-32bit

Fix Chacha20 ctr test when size_t < u64

Fix Chacha20 ctr test when size_t < u64

This can happen on 32-bit platforms and was reproduced on a 32-bit build
of Solaris 11.

Explained key and ad arguments for Argon2i

added memory locking advice

Merge pull request #17 from occivink/master

Change vocabulary in manual to match the header's

Change vocabulary in manual to match the header's

referenced AUR package for Arch Linux

more readable one liners

added edDSA test for invalid public key rejection

added link to lua bindings

More sensitive constant timing test

32 bytes buffers weren't big enough to make a difference if crypto_memcmp
and crypto_zerocmp don't run in constant time.  Increased to 64Kib instead.

added a language bindings section to the README

cosmetic

Merge branch 'master' of github.com:LoupVaillant/Monocypher

Merge pull request #13 from CuleX/master+cmp-tests

Test constant-timeness of comparison functions