zkSNARK: Ensure that values balance correctly.

zkSNARK: Enforce disclosure of commitments to output notes.

zkSNARK: Enforce that new output notes have unique `rho` to prevent faerie gold attack.

zkSNARK: Authenticate h_sig with a_sk

zkSNARK: Enforce disclosure of input note nullifiers

zkSNARK: Enforce spend-authority of input notes.

zkSNARK: Add "zero" constant variable.

zkSNARK: Foundations of circuit design and verification logic.

Introduce new `libzcash` Zcash protocol API and crypto constructions surrounding the zkSNARK circuit.

Change ciphertext length to match protocol spec, and refactor the use of constants.

Auto merge of #905 - ebfull:test-suite-fixes, r=ebfull

Run `zcash-gtest` in `make check` and fix performance tests.

* gtest tests weren't being run by make check
* performance tests were broken
* We need to automatically upload graphs of performance, [see this PR](https://github.com/Electric-Coin-Company/bbotzc/pull/15).
* Moves zerocash tests into `zcash`'s full test suite, we're removing them anyway later and it'd be nice to remove them in the PR instead of from buildbot

Auto merge of #907 - DoNotUseThisCodeJUSTFORKS:t844-rename-bitcoin-conf, r=defuse

Rename bitcoin.conf and bitcoind.pid

This leaves the mentions of those files in `doc/` and `contrib/` unchanged.

**FORCE PUSHED**

Add googlemock 1.7.0 dependency.

Rename bitcoin.conf and bitcoind.pid to zcash.conf and zcashd.pid in qa/ and src/

Auto merge of #889 - ebfull:new-imt-redux, r=ebfull

Implement and integrate new Incremental Merkle Tree

This supersedes #823.

----

This is an implementation of a new incremental merkle tree with

* no memory safety issues
* a more sensible internal design
* better space efficiency (tree representation, witnessing)
* simpler API

It is intended that this tracks the behavior of the previous tree, which it does, as verified by tests. I even wrote a little circuit for testing that all the paths work.

This PR also integrates the tree into the codebase and deprecates the old tree in almost all of our code. (I left it alone in `zerocashTest` but everything else has been changed.)

This change is compatible with the testnet but you will need to clear your *local* blockchain data out since the serialized representation of the merkle tree is now different.

Closes #517, Closes #519, Closes #591, Closes #460, Closes #473

Distinguish the failure cases of wfcheck in tree.

Perform zerocash tests as part of full-test-suite, in preparation for removal of zerocash waterfall.

Run `zcash-gtest` in `make check` and fix performance tests.

Small nit fixes

Check exception has specific string message.

Clarify the usage of decryption API.

Add additional tests for ephemeral key behavior.

Move NoteEncryption tests to gtest suite.

NoteEncryption implementation and integration, removal of ECIES and crypto++ dependencies.

Move incremental merkle tree tests to zcash-gtest.

Make appending algorithm more succinct.

Add more well-formedness checks/tests to tree.

Improve well-formedness checks and add additional serialization/deserialization tests.

Initialize curve/field parameters in case another test hasn't done so.

Deprecate the old tree and remove old tree tests from the test suite.

Test old tree along with new tree as much as possible.

Integrate new incremental merkle tree implementation into consensus.

New implementation of incremental merkle tree

This is a new implementation of the incremental merkle tree used by our
scheme to witness commitments to spendable value. It serves as a fixed-sized
accumulator.

This new construction has a much simpler API surface area, avoids memory
safety issues, remains pruned at all times, avoids serialization edge cases,
has more efficient insertion, and is abstract over the depth and hash
function used at the type level.

Further, it lays the groundwork for efficient "fast-forwarding" of witnesses
into the tree as the treestate is updated.

Add serialization for primitive boost::optional<T>.

Fix RPC tests

Add empty merkle/noteencryption tests so Sean can rebase.

Fix sighash tests

Add check that vpubs are not both nonzero and test it.

Add coverage support scoped to only the zcash-gtest run; invoke with make zcash-cov; make cov is a superset.

Add a zcash-gtest binary to our build with a single tautological test.

Add a depends description for googletest.

Auto merge of #873 - nathan-at-least:t832-zc2-release, r=nathan-at-least

Update release process docs; release notes; clean up ./docs directory a bit.

closes #834

Rewrite release-process.md and follow the example to generate a changelog-style release-notes file.

Update a bunch of docs by adding a banner, delete a bunch of known bitrot docs; does not update release-process.md.

Fix Equihash state initialisation in miner

After a new block is found or after a few nonces have been tried (currently
after every nonce), the miner checks for global changes. If any of these are
triggered, a new block is built from scratch, which re-initialises the Equihash
input. But if none of the checks are triggered, the miner just updates nTime and
continues mining - without updating the Equihash input to account for the new
block header. This bugfix corrects the behaviour by regenerating the Equihash
input in both situations.

Auto merge of #846 - DoNotUseThisCodeJUSTFORKS:automated-performance-measurement-zcash-cli-method, r=ebfull

Automated performance measurement

Supersedes #843 because that one would have merged into the wrong branch. (Oh yeah and I rebased).

**REBASED AND FORCE PUSHED**

Auto merge of #831 - ebfull:foundersreward, r=nathan-at-least

Implement Founders' Reward

More info:  https://z.cash/blog/funding.html

The consensus rule is as follows:

```
All blocks before the first subsidy halving block, with the exception of
the genesis block, must contain an output which sends 20% of the block
subsidy value to a scriptPubKey `FOUNDERS_REWARD_SCRIPT`.
```

Right now, `FOUNDERS_REWARD_SCRIPT` is a 2-of-3 multisig P2SH.

Closes #125

Change pchMessageStart for new testnet.

Fix remaining RPC tests.

Benchmark a random equihash input.

Make benchmark specified by command-line arguments

Use a separate datadir for the benchmarks

Don't leave massif.out lying around after the benchmarks

Add verify equihash benchmark

Add JoinSplit verification benchmarks

Add equihash solving benchmarks

Add automated performance measurement system.

Specify Sean as the second contact for conduct issues.

Signed-off-by: Daira Hopwood <[email protected]>

Merge pull request #817 from daira/zc.v0.11.2.ticket802.code-of-conduct.0

Add Code of Conduct. fixes #802

Fix (most) rpc tests by updating balances. zcpour, zcpourdoublespend, and txn_doublespend currently fail.

Apply a patch from Sean to update wallet to use our new founders-reward aware balances.

Log all failing rpc tests concisely.

Implementation of Founders' Reward.

All blocks before the first subsidy halving block, with the exception of
the genesis block, must contain an output which sends 20% of the block
subsidy value to a scriptPubKey `FOUNDERS_REWARD_SCRIPT`.

Add missing synchronization that causes race condition in test.

Fix pow_tests to work with Equihash

Changing the order of difficulty calculation operations to divide first doesn't
affect the result significantly, but ensures we never overflow the arith_uint256
during multiplication and get an artificial jump in difficulty.

Fix miner_tests to work with equihash

Fix tests that depend on old block header format

Changes to bloom tests were done by running the following commands:

sed -i 's/\(CDataStream stream(ParseHex(".\{152\}\)\(.\{8\}\)/\100000000000000000000000000000000000000000000000000000000\200/' src/test/bloom_tests.cpp
sed -i 's/\(vector<unsigned char> vch = ParseHex(".\{152\}\)\(.\{8\}\)/\100000000000000000000000000000000000000000000000000000000\200/' src/test/bloom_tests.cpp

and then reverting the single change to the transaction line.

Adjust genesis blocks to have valid solutions and hashes

The mainnet genesis block is artifically easy; we will revert this when we
actually start using mainnet.

Use Equihash for Proof-of-Work

The main and test networks are configured to use parameters that are currently
low-memory but usable with the basic solver; they will be increased once the
solver is optimised. The regtest network is configured to have extremely low
memory usage for speed.

Note that Bitcoin's double-hasher is used for the difficulty check. This does
not match the paper, but is simpler than changing the block header
serialization. Single hashing is kept for the EquiHash solver because there is
no requirement on execution time there, only on memory usage.

Add test vectors for Equihash

Implement validator and basic solver for Equihash

Run all RPC tests, even when they fail.

Add Code of Conduct. fixes #802

Signed-off-by: Daira Hopwood <[email protected]>

Auto merge of #800 - str4d:592-disable-comparison-utility, r=defuse

Disable comparison utility

Also fixes `configure` to check that Java is present if `--with-comparison-tool` is set.

Closes #592

Try downloading from our mirror first to avoid headaches.

Create new hasher for sha256() utility.

Improve testing and API of CSHA256 compression.

Remove zerocash's SHA256 implementation

Added SHA256Compress to Bitcoin's SHA256 implementation.

Disable comparison utility

Closes #592

Require java for --with-comparison-tool

Initialize libsodium first.

Initialize libsodium and remove openssl headers from util.cpp

Link with libsodium and replace a CSPRNG.

Add libsodium to the depends system.

Reorder proving key and verifying key arguments.

Lazily load the proving key at time of first pour.

Remove unnecessary comment.

Merge pull request #741 from zcash/zc.v0.11.2.update-repo-url.0

Update repo URL in README.md

Update repo URL in README.md

Fix typo

Merge pull request #726 from Electric-Coin-Company/import-libzerocash

Bring libzerocash in tree

Fix `test_pour` return type.

Fix test paths.

Add merkleTest and utilTest to test suite.

Add zerocash tests and utilities.

Remove unnecessary comments.

Build and link libzerocash.

Reorganizing the zerocash tree.

Remove ate-pairing, xbyak and libzerocash dependencies from the depends tree.

The ALT_BN128 curve does not need ate-pairing or xbyak.

Also, remove crypto++ dependency from libsnark.