Merge pull request #73 from mikejsavage/poly1305feedback

Poly1305 manual tweaks based on Loup's comments

Poly1305 manual tweaks based on Loup's comments

Merge pull request #72 from mikejsavage/keyexchangereview

Key exchange manual tweaks

Merge pull request #70 from mikejsavage/lockincreview

Incremental crypto_lock manual tweaks

Merge pull request #71 from mikejsavage/poly1305review

Poly1305 manual tweaks

Key exchange manual tweaks

Re-add the paragraph about corruption being 3x slower to detect

More tweaking

Poly1305 keys are 32 _bytes_!

Poly1305 manual tweaks

"can happen because of" -> "can be caused by"

Incremental crypto_lock manual tweaks

Merge pull request #69 from mikejsavage/verifyreview

crypto_verify manual tweaks

Merge pull request #68 from mikejsavage/cryptosignreview

crypto_sign manual tweaks

Merge pull request #67 from mikejsavage/cryptosignincrementalreview

Incremental crypto_sign manual tweaks

Merge pull request #66 from mikejsavage/chacha20review

chacha20 manual tweaks

Merge pull request #65 from mikejsavage/blakereview

BLAKE2b manual tweaks

Merge pull request #64 from mikejsavage/chacha20hreview

chacha20_H manual tweaks

Merge pull request #63 from mikejsavage/wipereview

crypto_wipe manual tweaks

Remove parens around "like memcmp"

Formatting fix

64 bit -> 64-byte

crypto_wipe manual tweaks

crypto_verify manual tweaks

Incremental crypto_sign manual tweaks

chacha20 manual tweaks

crypto_sign manual tweaks

chacha20_H manual tweaks

BLAKE2b manual tweaks

Merge pull request #62 from CuleX/master+add-missing-symlink

Add symlink for crypto_argon2i_general.3monocypher

Add symlink for crypto_argon2i_general.3monocypher

This also adds it to intro(3monocypher).

Reviewing  mikejsavage's manual tweaks

Merge pull request #59 from mikejsavage/cryptolockdoc

crypto_lock manual tweaks

Merge pull request #60 from mikejsavage/argondoc

Argon manual tweaks

Merge pull request #61 from mikejsavage/introdoc

Explicitly talk about compression being harmful in the intro

Reword CRIME sentence

Explicitly mention compression, see intro for details

Argon manual tweaks

tw=72

New lines after .

crypto_lock manual tweaks

Explicitly talk about data compression being harmful in the intro

Changed Argon2i API

- Removed the key and ad from crypto_argon2i()
- Added crypto_argon2i_general(), which conform to the old API, to
  compensate.
- Updated the manual.

Related to #58
Rationale: the key and ad arguments are rarely used.  Regular users
shouldn't be burdened with them.

Faster Blake2b.

Between 25% and 30% faster on my corei5 skylake laptop.

more warnings for multiplication timings

Following CuleX's advice.

Whitelisted x86, x86_64, ARM, and ARM64.  Users should check
how multiplication is done on other platforms.

Manual review: applying CuleX's advice

Renamed crypto_poly1305_auth to crypto_poly1305

Manual review: intro

Manual review: applying CuleX's advice

Forgot to wipe a temporary buffer

Manual review: applying CuleX's advice

Manual review: crypto_sign_init

Removed "The *** function" patterns

Manual review: applying CuleX's advice

Manual review: spell check

Manual review: crypto_sign

Manual review: crypto_lock_init

Forgot to wipe a temporary buffer

Manual review: applying CuleX's advice

Manual review: crypto_lock

Automatically wipe Argon2i work area

crypto_wipe() wipes byte by byte.  This is fine for small buffers, but
for the Argon2i work area, it means losing about 20% performance.

This has a direct impact on security: users are advised to chose the
highest settings they are comfortable with.  A 20% slow down will mean
a 20% edge for the attacker.) Users must then chose between
sacrificing 20% of security, or exposing themselves to side channel
attacks.

---

There is a faster way to wipe that work area: word by word.  Since it
is already required to be aligned for 8-byte words, we can wipe it in
8-bytes chunks.  This is much faster than crypto_wipe, and slows down
the whole process by only 2-3%.

This is a bit ad-hoc, though, and it wouldn't make much sense to add a
crypto_wipe_fast() function or something to handle that special case.
Instead, I've chosen to integrate it in Argon2i itself.  Now users
don't have to wipe the work area any more.

The drawback is, the output hash buffer must not overlap with the work
area, or it will be wiped with it.  This shouldn't be a problem in
practice.

Manual review: applying CuleX's advice

Replaced 'evil' by 'malicious'

Merge pull request #57 from mikejsavage/deterministically

eterministically -> deterministically

Merge branch 'master' into deterministically

Merge branch 'master' into deterministically

Manual review: key exchange

eterministically -> deterministically

Manual review: argon2i

Manual review: verify, wipe, memcmp

Rephrased a bit.
Removed references to the rest of Monocypher.  That advice
belongs to the Blake2b and Argon2i pages.

Manual review: HChacha20

Forgot a contraction

Manual review: applying CuleX's advice

* Removed contractions for a more formal style.
* Spelled BLAKE2b upper case.
* Put a final period *after* the parenthesis.

Manual review: Blake2b

Minor tweaks everywhere, expanded the examples section.

Manual review: side channel protection nitpicking

Wipe some more secret data

Manual review: applying CuleX's advice

Manual review: Poly1305

Merge pull request #56 from CuleX/master+crypto-wipe-man-page

Add man page for crypto_wipe

Add man page for crypto_wipe

This includes adjustments in other manual pages and examples, telling
the user to use crypto_wipe.

Added crypto_wipe() (Erases buffers)

I've been convinced that wiping secrets might be useful to mitigate
some side channel attacks where the attacker might read your memory
after you're done processing those secrets.

This probably wasn't the only copy, though.

Uppercase RFC

Manual review: applying CuleX's advice

Manual review: Chacha20

I intended this to be a fairly light review, but this ended up being a
rather comprehensive rewrite...

I tried to follow the advice of mdoc(7) as much as possible.  CuleX
did a remarkable job adapting the old manual to man pages without
butchering the original text; but I now think it has to be butchered
eventually.

Expanded the EXAMPLES section.  I think it gives a clearer view of all
possible use cases that way.

Replaced STANDARDS by IMPLEMENTATION DETAILS.  The choice of primitive
has implications for the end users, and thus isn't a mere
implementation detail.  Also serves to emphasise that Monocypher does
implement widely reviewed standards, as opposed to home-invented
crypto.

Replaced CAVEATS by SECURITY CONSIDERATIONS.  Arguably, either section
would do.  I changed it because every consideration listed there would
trigger a vulnerability if not observed.

Manual review: intro

Merge pull request #55 from CuleX/master+fix-uninstall

make uninstall should not fail on partial installs

make uninstall should not fail on partial installs

rm returns non-zero when the target file does not exist.  This is
possible when e.g. a user only does install-doc but not install.

Erase old html files before generating the new ones

Merge pull request #53 from CuleX/master+man-page-revamp

Revamp man pages for recent changes

Merge pull request #54 from CuleX/master+fix-code-typo

Fix typo in comment

Fix typo in comment

paralell -> parallel

Revamp man pages for recent changes

New functions documented:
* crypto_sign (incremental interface)
* crypto_verify16/32/64

Deprecated functions:
* crypto_memcmp
* crypto_zerocmp

Other changes:
* crypto_lock and crypto_aead_lock pages have been merged as they are
  closer to each other in complexity than the incremental and low-level
  crypto_lock interface.

The crypto_memcmp and crypto_zerocmp pages have not been removed in case
people still have references to those functions in their code and are
wondering what the canonical replacement is.

Simplified zerocmp32

Fixed bogus comparison functions

Found by michaelforney on Github.

- On neq0     , I used ^ instead of |
- On zerocmp32, I used + instead of |

Both errors lead to false negatives: you *think* all went well and the
number looks like it is indeed, zero, but it's not.  This could lead
to vulnerabilities in practice, where we could use the flaws in the
comparison functions to find pseudo-collisions, that defeat the checks
without being actual collisions.

Oops.

Removed crypto_memcmp and crypto_zerocmp

Fixes #38

This breaks compatibility.  Users need to switch to the crypto_verify
functions.  Sorry.

I do not break compatibility lightly.

Under the heaviest optimisation options (-O3), the old comparison
functions generated a huge amount of code, with quite a few
conditional branches.  It wasn't clear those branches weren't input
dependent.  This could lead to timing attacks down the line.

This is not just theoretical.  During my tests, I have observed
suspect timings (that's why I looked at the assembly in the first
place).  I tried to tweak the implementations, to no avail (some of my
tweaks actually made things worse).

Using more reasonable optimisation settings (-O2) is not an option:
the performance of `-O3` is simply too juicy to be ignored.  Some
users *will* sacrifice security to use it, even if I tell them not to.

The crypto_verify functions emit very terse and clean assembly, which
contains no conditional branches, and no input dependent indices.
That I can trust.

added fixed size buffer comparisons

less code for loads & stores

Use helper function

More robust Argon2i test vectors generation

The default algorithm in libsodium has changed, presumably from
Argon2i to Argon2id.  We now specify Argon2i explicitly.

Refined AEAD streaming interface

Renamed init1 and init2 into init_first_pass and init_second_pass

The names are a bit long for my taste, but we must be absolutely clear
to the user that we need two passes.  Hopefully "first" will act as a
strong enough hint that there is a "second".