Merge #407: Modify parameter order of internal functions to match API parameter order

353c1bf Fix secp256k1_ge_set_table_gej_var parameter order (llamasoft)
541b783 Fix secp256k1_ge_set_all_gej_var parameter order (llamasoft)
7d893f4 Fix secp256k1_fe_inv_all_var parameter order (llamasoft)

Merge #411: Remove guarantees about memcmp-ability

91219a1 Remove guarantees about memcmp-ability (Andrew Poelstra)

Merge #421: Update scalar_4x64_impl.h

9d67afa Update scalar_4x64_impl.h (Alex-GR)

Merge #422: Restructure nonce clearing

3769783 Restructure nonce clearing (bgorlick)
0f9e69d Restructure nonce clearing (bgorlick)

Restructure nonce clearing

Make sure we clear the nonce data even if the nonce function fails (it may have written partial data), and call memset only once in the case we iterate to produce a valid signature.

Restructure nonce clearing

Make sure we clear the nonce data even if the nonce function fails (it may have written partial data), and call memset only once in the case we iterate to produce a valid signature.

Update scalar_4x64_impl.h

XOR reg,reg instead of MOV 0 to reg. It should be at least equal in all architectures and faster in some else.

Merge #413: fix auto-enabled static precompuatation

00c5d2e fix auto-enabled static precompuatation (Cory Fields)

fix auto-enabled static precompuatation

This was broken in aa0b1fd14979145d54ef85485cb497a9cdbc22c7

Remove guarantees about memcmp-ability

Merge #410: Add string.h include to ecmult_impl

0bbd5d4 Add string.h include to ecmult_impl (Wladimir J. van der Laan)

Add string.h include to ecmult_impl

`memcpy` and `memset` are used, so include the appropriate header
for the declaration.

Fix secp256k1_ge_set_table_gej_var parameter order

Rearranged secp256k1_ge_set_table_gej_var parameters so length comes last (it modifies both *a and *zr).

Fix secp256k1_ge_set_all_gej_var parameter order

Rearranged secp256k1_ge_set_all_gej_var parameters so length comes after *a.

Fix secp256k1_fe_inv_all_var parameter order

Rearranged secp256k1_fe_inv_all_var parameters so length is after array.
Text editor removed some trailing whitespaces.

Merge #405: Make secp256k1_fe_sqrt constant time

926836a Make secp256k1_fe_sqrt constant time (Pieter Wuille)

Make secp256k1_fe_sqrt constant time

Merge #404: Replace 3M + 4S doubling formula with 2M + 5S one

8ec49d8 Add note about 2M + 5S doubling formula (Andrew Poelstra)

Add note about 2M + 5S doubling formula

Merge #400: A couple minor cleanups

ac01378 build: add -DSECP256K1_BUILD to benchmark_internal build flags (Andrew Poelstra)
a6c6f99 Remove a bunch of unused stdlib #includes (Andrew Poelstra)

build: add -DSECP256K1_BUILD to benchmark_internal build flags

gcc 6 will warn about our non-null checks when SECP256K1_BUILD
our NONNULL marker is nontrivial. This occurs unless SECP256K1_BUILD
is set, which we had forgotten to do for the internal benchmarks,
which compile directly against the library instead of linking.

Remove a bunch of unused stdlib #includes

Merge #403: configure: add flag to disable OpenSSL tests

a9b2a5d configure: add flag to disable OpenSSL tests (Andrew Poelstra)

configure: add flag to disable OpenSSL tests

OpenSSL messes up valgrind.

Merge #402: Add support for testing quadratic residues

e6e9805 Add function for testing quadratic residue field/group elements. (Pieter Wuille)
efd953a Add Jacobi symbol test via GMP (Peter Dettman)

Add function for testing quadratic residue field/group elements.

Add Jacobi symbol test via GMP

Also add native Jacobi symbol test (Andrew)

Rebased-by: Andrew Poelstra
Rebased-by: Pieter Wuille

Merge #401: ecmult_const: unify endomorphism and non-endomorphism skew cases

c6191fd ecmult_const: unify endomorphism and non-endomorphism skew cases (Andrew Poelstra)

ecmult_const: unify endomorphism and non-endomorphism skew cases

We now do a skew correction even without the endomorphism optimization,
which costs one additional group addition but unifies a lot of code.

Merge #378: .gitignore build-aux cleanup

70141a8 Update .gitignore (upgradeadvice)

Merge #384: JNI: align shared files copyright/comments to bitcoinj's

6ceea2c align shared files copyright/comments to bitcoinj's (GreenAddress)

Merge #399: build: verify that the native compiler works for static precomp

aa0b1fd build: verify that the native compiler works for static precomp (Cory Fields)

Merge #398: Test whether ECDH and Schnorr are enabled for JNI

eee808d Test whether ECDH and Schnorr are enabled for JNI (Pieter Wuille)

build: verify that the native compiler works for static precomp

Test whether ECDH and Schnorr are enabled for JNI

Merge #366: ARM assembly implementation of field_10x26 inner (rebase of #173)

001f176 ARM assembly implementation of field_10x26 inner (Wladimir J. van der Laan)

ARM assembly implementation of field_10x26 inner

Rebased-by: Pieter Wuille <[email protected]>

Merge #397: Small fixes for sha256

3f8b78e Fix undefs in hash_impl.h (Kirill Fomichev)
2ab4695 Fix state size in sha256 struct (Kirill Fomichev)

Fix undefs in hash_impl.h

Fix state size in sha256 struct

Merge #386: Add some missing `VERIFY_CHECK(ctx != NULL)`

bcc4881 Add some missing `VERIFY_CHECK(ctx != NULL)` for functions that use `ARG_CHECK` (Andrew Poelstra)

Merge #389: Cast pointers through uintptr_t under JNI

47b9e78 Cast pointers through uintptr_t under JNI (Jon Griffiths)

Merge #390: Update bitcoin-core GitHub links

faa2a11 Update bitcoin-core GitHub links (MarcoFalke)

Merge #391: JNI: Only call ecdsa_verify if its inputs parsed correctly

a40c701 JNI: Only call ecdsa_verify if its inputs parsed correctly (Jon Griffiths)

Merge #392: Add testcase which hits additional branch in secp256k1_scalar_sqr

093a497 Add testcase which hits additional branch in secp256k1_scalar_sqr (Jonas Nick)

Merge #388: bench_ecdh: fix call to secp256k1_context_create

f36f9c6 bench_ecdh: fix call to secp256k1_context_create (Andrew Poelstra)

Add testcase which hits additional branch in secp256k1_scalar_sqr

JNI: Only call ecdsa_verify if its inputs parsed correctly

Return 0 otherwise instead of calling it with bad parameters.

Update bitcoin-core GitHub links

Cast pointers through uintptr_t under JNI

Fixes warnings of the form "warning: cast to pointer from integer of
different size" when building on 32 bit platforms. This is the same
approach used for pointer conversions in the openjdk sources.

bench_ecdh: fix call to secp256k1_context_create

Add some missing `VERIFY_CHECK(ctx != NULL)` for functions that use `ARG_CHECK`

The `ARG_CHECK` macro requires that a variable called `ctx` exist and be
non-NULL. However, in several functions that do not use the context variable,
we simply ignore it with `(void)ctx`. Replace these with explicit checks for
non-NULLness to avoid invalid memory accesses.

align shared files copyright/comments to bitcoinj's

Update .gitignore

Don't ignore everything under build-aux

Merge #373: build: fix x86_64 asm detection for some compilers

3f8fdfb build: fix x86_64 asm detection for some compilers (Cory Fields)

Merge #374: Add note about y=0 being possible on one of the sextic twists

e72e93a Add note about y=0 being possible on one of the sextic twists (Andrew Poelstra)

Merge #364: JNI rebased

86e2d07 JNI library: cleanup, removed unimplemented code (GreenAddress)
3093576 JNI library (GreenAddress)

JNI library: cleanup, removed unimplemented code

JNI library

Squashed and rebased. Thanks to @theuni and @faizkhan00 for doing
the majority of work here! Also thanks to @btchip for help with debugging
and review.

Merge pull request #371

e5a9047 [Trivial] Remove double semicolons (paveljanik)

Add note about y=0 being possible on one of the sextic twists

build: fix x86_64 asm detection for some compilers

I Noticed this on OSX with clang, though it likely happens elsewhere as well.
The result is disabled x86_64 asm.

Due to missing escaping, this $0 was interpreted as the function name
SECP_64BIT_ASM_CHECK, causing the compile-check to be broken on some compilers.

The actual check looked like this:

int main()
{
  uint64_t a = 11, tmp;
  __asm__ __volatile__("movq SECP_64BIT_ASM_CHECKx100000000,%1; mulq %%rsi" : "+a"(a) : "S"(tmp) : "cc", "%rdx");
  return 0;
}

It seems even more odd that it compiled anywhere.

[Trivial] Remove double semicolons

Merge pull request #360

83221ec Add experimental features to configure (Pieter Wuille)

Merge pull request #302

03d4611 Add sage verification script for the group laws (Pieter Wuille)

Add sage verification script for the group laws

Merge pull request #361

5d4c5a3 Prevent damage_array in the signature test from going out of bounds. (Gregory Maxwell)

Add experimental features to configure

Prevent damage_array in the signature test from going out of bounds.

Merge pull request #356

03d84a4 Benchmark against OpenSSL verification (Pieter Wuille)

Merge pull request #357

445f7f1 Fix for Windows compile issue (ptschip)

Fix for Windows compile issue

Change CPPFLAGS_FOR_BUILD path  (by paveljanik)

Benchmark against OpenSSL verification

Merge pull request #351

06aeea5 Turn secp256k1_ec_pubkey_serialize outlen to in/out (Pieter Wuille)

Turn secp256k1_ec_pubkey_serialize outlen to in/out

Merge pull request #348

6466625 Improvements for coordinate decompression (Pieter Wuille)

Improvements for coordinate decompression

Merge pull request #347

8e48787 Change secp256k1_ec_pubkey_combine's count argument to size_t. (Gregory Maxwell)
c69dea0 Clear output in more cases for pubkey_combine, adds tests. (Gregory Maxwell)
269d422 Comment copyediting. (Gregory Maxwell)

Change secp256k1_ec_pubkey_combine's count argument to size_t.

Clear output in more cases for pubkey_combine, adds tests.

Also corrects an outdated comment and adds an additional
 secp256k1_ecdsa_signature_parse_compact test.

Comment copyediting.

Merge pull request #344

26abce7 Adds 32 static test vectors for scalar mul, sqr, inv. (Gregory Maxwell)

Merge pull request #345

5b71a3f Better error case handling for pubkey_create & pubkey_serialize, more tests. (Gregory Maxwell)

Adds 32 static test vectors for scalar mul, sqr, inv.

These were generated by testing more than 10^12 random test vectors
 for coverage on instrumented (comparison operator outcomes) 32-bit
 and 64-bit code, plus additional edge condition requirements (e.g.
 inputs of 0, 1, -1) and then solving a minimum set cover problem.

The required responses were generated with Sage.

This significantly improves the lcov branch coverage report and
 makes the tests much more sensitive to mutation testing of the
 scalar code.

The challenges and responses are in the form of pairs of scalars:
  C1 * C2 == R1
  (C1 * C2) * (1 / C2) == C1
  C2 * (1 / C2) == 1
  C1 * C1 == R2
  C1^2    == R2

Better error case handling for pubkey_create & pubkey_serialize, more tests.

Makes secp256k1_ec_pubkey_serialize set the length to zero on failure,
 also makes secp256k1_ec_pubkey_create set the pubkey to zeros when
 the key argument is NULL.

Also adds many additional ARGCHECK tests.

Merge pull request #343

eed87af Change contrib/laxder from headers-only to files compilable as standalone C (Andrew Poelstra)

Change contrib/laxder from headers-only to files compilable as standalone C

Verified that both programs compile with

    gcc -I. -I../include -lsecp256k1 -c -W -Wextra -Wall -Werror -ansi -pedantic lax_der_privatekey_parsing.c
    gcc -I. -I../include -lsecp256k1 -c -W -Wextra -Wall -Werror -ansi -pedantic lax_der_parsing.c

Merge pull request #342

7914a6e Make lax_der_privatekey_parsing.h not depend on internal code (Pieter Wuille)

Make lax_der_privatekey_parsing.h not depend on internal code

Merge pull request #339

9234391 Overhaul flags handling (Pieter Wuille)
1a36898 Make flags more explicit, add runtime checks. (Rusty Russell)

Overhaul flags handling

Make flags more explicit, add runtime checks.

Signed-off-by: Rusty Russell <[email protected]>

Merge pull request #340

96be204 Add additional tests for eckey and arg-checks. (Gregory Maxwell)
bb5aa4d Make the tweak function zeroize-output-on-fail behavior consistent. (Gregory Maxwell)
4a243da Move secp256k1_ec_privkey_import/export to contrib. (Gregory Maxwell)
1b3efc1 Move secp256k1_ecdsa_sig_recover into the recovery module. (Gregory Maxwell)
e3cd679 Eliminate all side-effects from VERIFY_CHECK() usage. (Gregory Maxwell)
b30fc85 Avoid nonce_function_rfc6979 algo16 argument emulation. (Gregory Maxwell)
70d4640 Make secp256k1_ec_pubkey_create skip processing invalid secret keys. (Gregory Maxwell)
6c476a8 Minor comment improvements. (Gregory Maxwell)

Add additional tests for eckey and arg-checks.

This gets branch coverage up over 90% for me.

Make the tweak function zeroize-output-on-fail behavior consistent.

Previously the private key tweak operations left the input unchanged
 on failure but the pubkey versions zeroized on failure.

Move secp256k1_ec_privkey_import/export to contrib.

These functions are intended for compatibility with legacy software,
 and are not normally needed in new secp256k1 applications.

They also do not obeying any particular standard (and likely cannot
 without without undermining their compatibility), and so are a
 better fit for contrib.

Move secp256k1_ecdsa_sig_recover into the recovery module.

Eliminate all side-effects from VERIFY_CHECK() usage.

The side-effects make review somewhat harder because 99.9% of the
 time the macro usage has no sideeffects, so they're easily ignored.

The main motivation for avoiding the side effects is so that the
 macro can be completely stubbed out for branch coverage analysis
 otherwise all the unreachable verify code gets counted against
 coverage.

Avoid nonce_function_rfc6979 algo16 argument emulation.

This avoids data=NULL and data = zeros to producing the same nonce.

Previously the code tried to avoid the case where some data inputs
 aliased algo16 inputs by always padding out the data.

But because algo16 and data are different lengths they cannot
 emulate each other, and the padding would match a data value of
 all zeros.

Make secp256k1_ec_pubkey_create skip processing invalid secret keys.

This makes it somewhat less constant time in error conditions, but
 avoids encountering an internal assertion failure when trying
 to write out the point at infinity.