src/scalar.h

   1 /**********************************************************************
   2  * Copyright (c) 2014 Pieter Wuille                                   *
   3  * Distributed under the MIT software license, see the accompanying   *
   4  * file COPYING or http://www.opensource.org/licenses/mit-license.php.*
   5  **********************************************************************/
   6
   7 #ifndef SECP256K1_SCALAR_H
   8 #define SECP256K1_SCALAR_H
   9
  10 #include "num.h"
  11 #include "util.h"
  12
  13 #if defined HAVE_CONFIG_H
  14 #include "libsecp256k1-config.h"
  15 #endif
  16
  17 #if defined(EXHAUSTIVE_TEST_ORDER)
  18 #include "scalar_low.h"
  19 #elif defined(SECP256K1_WIDEMUL_INT128)
  20 #include "scalar_4x64.h"
  21 #elif defined(SECP256K1_WIDEMUL_INT64)
  22 #include "scalar_8x32.h"
  23 #else
  24 #error "Please select wide multiplication implementation"
  25 #endif
  26
  27 /** Clear a scalar to prevent the leak of sensitive data. */
  28 static void secp256k1_scalar_clear(secp256k1_scalar *r);
  29
  30 /** Access bits from a scalar. All requested bits must belong to the same 32-bit limb. */
  31 static unsigned int secp256k1_scalar_get_bits(const secp256k1_scalar *a, unsigned int offset, unsigned int count);
  32
  33 /** Access bits from a scalar. Not constant time. */
  34 static unsigned int secp256k1_scalar_get_bits_var(const secp256k1_scalar *a, unsigned int offset, unsigned int count);
  35
  36 /** Set a scalar from a big endian byte array. The scalar will be reduced modulo group order `n`.
  37  * In:      bin:        pointer to a 32-byte array.
  38  * Out:     r:          scalar to be set.
  39  *          overflow:   non-zero if the scalar was bigger or equal to `n` before reduction, zero otherwise (can be NULL).
  40  */
  41 static void secp256k1_scalar_set_b32(secp256k1_scalar *r, const unsigned char *bin, int *overflow);
  42
  43 /** Set a scalar from a big endian byte array and returns 1 if it is a valid
  44  *  seckey and 0 otherwise. */
  45 static int secp256k1_scalar_set_b32_seckey(secp256k1_scalar *r, const unsigned char *bin);
  46
  47 /** Set a scalar to an unsigned integer. */
  48 static void secp256k1_scalar_set_int(secp256k1_scalar *r, unsigned int v);
  49
  50 /** Convert a scalar to a byte array. */
  51 static void secp256k1_scalar_get_b32(unsigned char *bin, const secp256k1_scalar* a);
  52
  53 /** Add two scalars together (modulo the group order). Returns whether it overflowed. */
  54 static int secp256k1_scalar_add(secp256k1_scalar *r, const secp256k1_scalar *a, const secp256k1_scalar *b);
  55
  56 /** Conditionally add a power of two to a scalar. The result is not allowed to overflow. */
  57 static void secp256k1_scalar_cadd_bit(secp256k1_scalar *r, unsigned int bit, int flag);
  58
  59 /** Multiply two scalars (modulo the group order). */
  60 static void secp256k1_scalar_mul(secp256k1_scalar *r, const secp256k1_scalar *a, const secp256k1_scalar *b);
  61
  62 /** Shift a scalar right by some amount strictly between 0 and 16, returning
  63  *  the low bits that were shifted off */
  64 static int secp256k1_scalar_shr_int(secp256k1_scalar *r, int n);
  65
  66 /** Compute the square of a scalar (modulo the group order). */
  67 static void secp256k1_scalar_sqr(secp256k1_scalar *r, const secp256k1_scalar *a);
  68
  69 /** Compute the inverse of a scalar (modulo the group order). */
  70 static void secp256k1_scalar_inverse(secp256k1_scalar *r, const secp256k1_scalar *a);
  71
  72 /** Compute the inverse of a scalar (modulo the group order), without constant-time guarantee. */
  73 static void secp256k1_scalar_inverse_var(secp256k1_scalar *r, const secp256k1_scalar *a);
  74
  75 /** Compute the complement of a scalar (modulo the group order). */
  76 static void secp256k1_scalar_negate(secp256k1_scalar *r, const secp256k1_scalar *a);
  77
  78 /** Check whether a scalar equals zero. */
  79 static int secp256k1_scalar_is_zero(const secp256k1_scalar *a);
  80
  81 /** Check whether a scalar equals one. */
  82 static int secp256k1_scalar_is_one(const secp256k1_scalar *a);
  83
  84 /** Check whether a scalar, considered as an nonnegative integer, is even. */
  85 static int secp256k1_scalar_is_even(const secp256k1_scalar *a);
  86
  87 /** Check whether a scalar is higher than the group order divided by 2. */
  88 static int secp256k1_scalar_is_high(const secp256k1_scalar *a);
  89
  90 /** Conditionally negate a number, in constant time.
  91  * Returns -1 if the number was negated, 1 otherwise */
  92 static int secp256k1_scalar_cond_negate(secp256k1_scalar *a, int flag);
  93
  94 #ifndef USE_NUM_NONE
  95 /** Convert a scalar to a number. */
  96 static void secp256k1_scalar_get_num(secp256k1_num *r, const secp256k1_scalar *a);
  97
  98 /** Get the order of the group as a number. */
  99 static void secp256k1_scalar_order_get_num(secp256k1_num *r);
 100 #endif
 101
 102 /** Compare two scalars. */
 103 static int secp256k1_scalar_eq(const secp256k1_scalar *a, const secp256k1_scalar *b);
 104
 105 #ifdef USE_ENDOMORPHISM
 106 /** Find r1 and r2 such that r1+r2*2^128 = a. */
 107 static void secp256k1_scalar_split_128(secp256k1_scalar *r1, secp256k1_scalar *r2, const secp256k1_scalar *a);
 108 /** Find r1 and r2 such that r1+r2*lambda = a, and r1 and r2 are maximum 128 bits long (see secp256k1_gej_mul_lambda). */
 109 static void secp256k1_scalar_split_lambda(secp256k1_scalar *r1, secp256k1_scalar *r2, const secp256k1_scalar *a);
 110 #endif
 111
 112 /** Multiply a and b (without taking the modulus!), divide by 2**shift, and round to the nearest integer. Shift must be at least 256. */
 113 static void secp256k1_scalar_mul_shift_var(secp256k1_scalar *r, const secp256k1_scalar *a, const secp256k1_scalar *b, unsigned int shift);
 114
 115 /** If flag is true, set *r equal to *a; otherwise leave it. Constant-time.  Both *r and *a must be initialized.*/
 116 static void secp256k1_scalar_cmov(secp256k1_scalar *r, const secp256k1_scalar *a, int flag);
 117
 118 #endif /* SECP256K1_SCALAR_H */