Manual review: crypto_sign

Manual review: crypto_lock_init

Forgot to wipe a temporary buffer

Manual review: applying CuleX's advice

Manual review: crypto_lock

Automatically wipe Argon2i work area

crypto_wipe() wipes byte by byte.  This is fine for small buffers, but
for the Argon2i work area, it means losing about 20% performance.

This has a direct impact on security: users are advised to chose the
highest settings they are comfortable with.  A 20% slow down will mean
a 20% edge for the attacker.) Users must then chose between
sacrificing 20% of security, or exposing themselves to side channel
attacks.

---

There is a faster way to wipe that work area: word by word.  Since it
is already required to be aligned for 8-byte words, we can wipe it in
8-bytes chunks.  This is much faster than crypto_wipe, and slows down
the whole process by only 2-3%.

This is a bit ad-hoc, though, and it wouldn't make much sense to add a
crypto_wipe_fast() function or something to handle that special case.
Instead, I've chosen to integrate it in Argon2i itself.  Now users
don't have to wipe the work area any more.

The drawback is, the output hash buffer must not overlap with the work
area, or it will be wiped with it.  This shouldn't be a problem in
practice.

Manual review: applying CuleX's advice

Replaced 'evil' by 'malicious'

Merge pull request #57 from mikejsavage/deterministically

eterministically -> deterministically

Merge branch 'master' into deterministically

Merge branch 'master' into deterministically

Manual review: key exchange

eterministically -> deterministically

Manual review: argon2i

Manual review: verify, wipe, memcmp

Rephrased a bit.
Removed references to the rest of Monocypher.  That advice
belongs to the Blake2b and Argon2i pages.

Manual review: HChacha20

Forgot a contraction

Manual review: applying CuleX's advice

* Removed contractions for a more formal style.
* Spelled BLAKE2b upper case.
* Put a final period *after* the parenthesis.

Manual review: Blake2b

Minor tweaks everywhere, expanded the examples section.

Manual review: side channel protection nitpicking

Wipe some more secret data

Manual review: applying CuleX's advice

Manual review: Poly1305

Merge pull request #56 from CuleX/master+crypto-wipe-man-page

Add man page for crypto_wipe

Add man page for crypto_wipe

This includes adjustments in other manual pages and examples, telling
the user to use crypto_wipe.

Added crypto_wipe() (Erases buffers)

I've been convinced that wiping secrets might be useful to mitigate
some side channel attacks where the attacker might read your memory
after you're done processing those secrets.

This probably wasn't the only copy, though.

Uppercase RFC

Manual review: applying CuleX's advice

Manual review: Chacha20

I intended this to be a fairly light review, but this ended up being a
rather comprehensive rewrite...

I tried to follow the advice of mdoc(7) as much as possible.  CuleX
did a remarkable job adapting the old manual to man pages without
butchering the original text; but I now think it has to be butchered
eventually.

Expanded the EXAMPLES section.  I think it gives a clearer view of all
possible use cases that way.

Replaced STANDARDS by IMPLEMENTATION DETAILS.  The choice of primitive
has implications for the end users, and thus isn't a mere
implementation detail.  Also serves to emphasise that Monocypher does
implement widely reviewed standards, as opposed to home-invented
crypto.

Replaced CAVEATS by SECURITY CONSIDERATIONS.  Arguably, either section
would do.  I changed it because every consideration listed there would
trigger a vulnerability if not observed.

Manual review: intro

Merge pull request #55 from CuleX/master+fix-uninstall

make uninstall should not fail on partial installs

make uninstall should not fail on partial installs

rm returns non-zero when the target file does not exist.  This is
possible when e.g. a user only does install-doc but not install.

Erase old html files before generating the new ones

Merge pull request #53 from CuleX/master+man-page-revamp

Revamp man pages for recent changes

Merge pull request #54 from CuleX/master+fix-code-typo

Fix typo in comment

Fix typo in comment

paralell -> parallel

Revamp man pages for recent changes

New functions documented:
* crypto_sign (incremental interface)
* crypto_verify16/32/64

Deprecated functions:
* crypto_memcmp
* crypto_zerocmp

Other changes:
* crypto_lock and crypto_aead_lock pages have been merged as they are
  closer to each other in complexity than the incremental and low-level
  crypto_lock interface.

The crypto_memcmp and crypto_zerocmp pages have not been removed in case
people still have references to those functions in their code and are
wondering what the canonical replacement is.

Simplified zerocmp32

Fixed bogus comparison functions

Found by michaelforney on Github.

- On neq0     , I used ^ instead of |
- On zerocmp32, I used + instead of |

Both errors lead to false negatives: you *think* all went well and the
number looks like it is indeed, zero, but it's not.  This could lead
to vulnerabilities in practice, where we could use the flaws in the
comparison functions to find pseudo-collisions, that defeat the checks
without being actual collisions.

Oops.

Removed crypto_memcmp and crypto_zerocmp

Fixes #38

This breaks compatibility.  Users need to switch to the crypto_verify
functions.  Sorry.

I do not break compatibility lightly.

Under the heaviest optimisation options (-O3), the old comparison
functions generated a huge amount of code, with quite a few
conditional branches.  It wasn't clear those branches weren't input
dependent.  This could lead to timing attacks down the line.

This is not just theoretical.  During my tests, I have observed
suspect timings (that's why I looked at the assembly in the first
place).  I tried to tweak the implementations, to no avail (some of my
tweaks actually made things worse).

Using more reasonable optimisation settings (-O2) is not an option:
the performance of `-O3` is simply too juicy to be ignored.  Some
users *will* sacrifice security to use it, even if I tell them not to.

The crypto_verify functions emit very terse and clean assembly, which
contains no conditional branches, and no input dependent indices.
That I can trust.

added fixed size buffer comparisons

less code for loads & stores

Use helper function

More robust Argon2i test vectors generation

The default algorithm in libsodium has changed, presumably from
Argon2i to Argon2id.  We now specify Argon2i explicitly.

Refined AEAD streaming interface

Renamed init1 and init2 into init_first_pass and init_second_pass

The names are a bit long for my taste, but we must be absolutely clear
to the user that we need two passes.  Hopefully "first" will act as a
strong enough hint that there is a "second".

Added crypto_sign 2 pass interface

Also refined the crypto_check incremental interface (again).  Having
to pass arguments in the final() function we already passed to init()
is cumbersome and error prone.  I removed this nonsense.

Cosmetic (compressed a few lines of code)

Refined crypto_check incremental interface

Streaming interface for crypto_check()

Added rountrip tests for EdDSA

moved SHA-512 source files to src/optional

There are 2 reasons behind this change:

- The primary way to install Monocypher is to copy the source files
  into one's own project.  But it wasn't clear whether `sha512.c` and
  `sha512.h` are meant to be copied as well.

- Monocypher is advertised as a single source file library (or a 2
  files library if you count the header), and a casual glance may
  disagree.

Now things should be much clearer.

---

I made another slight change to the vector generation process: I
removed the optimisation options, which in conjunction with `-std=c99`
seem to trigger a bug in GCC 5.4.0 (it can't find a type definition).
Clang works.

Those optimisation options slowed down the whole process anyway, so no
loss there.

Missing constant width quotes

Merge pull request #52 from CuleX/master+fix-man-typos

Fix formatting and typos in the man pages; note Ed25519 fault injection on crypto_sign

Note Ed25519 fault injection on crypto_sign

See
https://research.kudelskisecurity.com/2017/10/04/defeating-eddsa-with-faults/
and
https://news.ycombinator.com/item?id=15415114

Fix formatting and typos in the man pages

One quote too many

Merge pull request #50 from CuleX/master+add-incr-lock-to-intro-man-page

Add incremental crypto_lock interface to intro TOC

Added a make tarball rule to generate an archive

Also updated the README.md a little: added "manual" and "contributor
notes" sections, expanded the installation section, and a couple minor
other edits.

Merge pull request #51 from CuleX/master+fix-mandoc-invocation

Fix mandoc invocation for recent mandoc versions

Fix mandoc invocation for recent mandoc versions

A commit in mandoc earlier this year subtly broke the -O parsing.
Multiple instances of -O do not get parsed, so all options have to be
passed into the same -O with comma separation as intended.

Add incremental crypto_lock interface to intro TOC

Merge pull request #49 from CuleX/master+fix-man-xr-links

Fix link generation in HTML man page conversion

Fix link generation in HTML man page conversion

We strip the ".3monocypher" from the filename, so the -Oman argument
needs to reflect that.

Generating an html version of the manual

Now the users will be able to enjoy a readable manual even without the
man pages.

One hassle though: I expected links between the pages, and I se none.
Limitation of the converter, or bug in my script?

Credit where credit's due

CuleX contributed more than all others combined, it was past time we
update the author's page.

Merge pull request #48 from CuleX/master+fix-man-pages

Man page improvements; properly document incremental crypto_lock/unlock

Improve the man page for incremental crypto_lock

This fixes the function types in the SYNOPSIS section and removes a
stray macro.

This adds information about the incremental interface to the DESCRIPTION
section.  In particular, it documents the tradeoff (convenience of the
interface vs. performance loss on forged messages).

INCREMENTAL INTERFACE, which seemed to just be a subset to the EXAMPLES
section, got lowered into a second-level heading.

Fix spacing after list in crypto_blake2b man page

Added incremental interface

Fixed #29

Bonus: we now can authenticate a message without decrypting it.

Fixed code coverage checking

Fixed #47

The manual was missing the `-fcoverage-mapping` option, of course we
didn't have coverage data...

Also changed `llvm-cov` to `llvm-cov-3.8` on tests/coverage.sh: some
systems don't have the versionless alias.

Add uninstall target.

Fixes #46

Don't add the .css file when installing the documentation

Fixes #45

Another option would be to move the .css file elsewhere, but this fix
is more resilient.

Merge pull request #44 from CuleX/master+fix-css

Add old CSS class names; add centering

Add old CSS class names; add centering

It turns out that they are still used when doing e.g. .Bf Em (yiedling a
block <div class="emph">...</div>).

I also forgot to add centering, which I've had on my GitHub Pages of
the HTML exported man pages.

Added a `check` target to the makefile, that means the same as `test`

Automake specifies that `make check` runs the test suite.  We should
respect such conventions.  `make test` still works ("test" is a good
name for such a target).

Merge pull request #41 from CuleX/master+argon2i-man-page-fix

Document argon2i allowing all arguments to overlap

No need for testing Ed25519 specificaly

EdDSA works.  SHA-512 is properly tested.  Replacing Blake2b by
SHA-512 is only a pre-processor directive away —it's foolproof.  We
don't need specific Ed-25519 tests.

The speed tests now run.  Removed the README note.

Restored sanitisers based tests.

We no longer ask the user to modify the makefile.  We instead override
the relevant variables from the command line.

Corrected bogus EdDSA coverage test (stack smashing undefined behaviour)

Restored formal analysis scripts

Document argon2i allowing all arguments to overlap

Added overlapping tests for argon2i

Related to #32

Rearranged directory creation for makefile installation target

Tweaking #40 pull request.  Have the `mkdir` on several lines because
of my 80 columns OCD.  It also makes prettier printouts at runtime.

Also removed the spurrious creation of the man directory (it was
already done on the `install-doc:` target).

Merge pull request #40 from CuleX/master+fix-install

Create all installation directories

Create all installation directories

This is required for the DESTDIR variable to actually work and create
the necessary tree.

Added installation instructions to README.md

Added a separate install-doc target

Since Monocypher can be used without any installation (just copy the
source files to your project), some users may want the man pages
without an actual installation.

`make install` still installs everything, documentation included.

Make pkg-config file location $PREFIX compliant

It was previously semi-hard coded, presumably because I was tired.

Merge pull request #39 from CuleX/master+update-man-pages

Add overlapping argument info to the man pages

Add overlapping argument info to the man pages

Removed "crypto_sign() buffers can't overlap" from the man page.

No need to run mandb after installing the man pages

Turns out users don't need to run that program to read freshly
installed man pages.  Plus, that program doesn't seem to exist outside
of GNU systems.

The mandb program just refreshes a cache. Users can read the freshly
installed man pages without running it.

Man pages belong to $(DESTDIR)/$(PREFIX)/share/man/man3 folder

They were originally sent to the man3monocypher folder instead, but we
don't need that: their .3monocypher extension already takes care of
the disambiguation.  It also has the advantage of allowing the user to
search for the man page in section 3 directly.

Add tests about overlapping input/output buffers.

Chacha20 plaintext and cypher text memory buffers may be the same
(they cannot be different *and* overlaping).

Poly1305 input and tag buffer may overlap.
Blake2b input and hash buffers may overlap.
SHA-512 input and hash buffers may overlap.
Argon2i input and hash buffers may overlap.
EdDSA message and signature buffers may overlap.

Allows crypto_sign() to overlap its message and output

Fixes #32

The signature output buffer was set before the last message read.  If
they overlaped, we would have a bogus signature.

Install man pages with the library

Fixes $24 (hopefully, nothing is missing this time).

Add installation target to the makefile

Fixes #24

Defines and uses the $DESTDIR and $PREFIX variables. They can be
overriden from the command line. By default, they are set to "" and
"usr/local" respectively.

Defines and uses a $PKGCONFIG variable to set the location of the
pkgconfig configuration file (monocypher.pc).  That variable depends
on $PREFIX.

Copies libmonocypher.a, libmonocypher.so and monocypher.h to their
respective destinations, and creates the pkgconfig configuration file.

Fix last variable length array warning

All gone now. Fixed #37

Corrected timing computation for the speed benchmark

I intended to take the best timing out of several tries.  Turned out I
only took the *last* timing, which defeats the purpose.

Now we take the fastest try as intended.  The results are now a bit
more stable.