Merge pull request #120

e3d692f Explain why no y=0 check is necessary for doubling (Pieter Wuille)
f7dc1c6 Optimize doubling: secp256k1 has no y=0 point (Pieter Wuille)

Merge pull request #117

c76be9e Remove unused num functions (Pieter Wuille)
4285a98 Move lambda-splitting code to scalar. (Pieter Wuille)
f24041d Switch all EC/ECDSA logic from num to scalar (Pieter Wuille)
6794be6 Add scalar splitting functions (Pieter Wuille)
d1502eb Add secp256k1_scalar_inverse_var which delegates to GMP (Pieter Wuille)
b5c9ee7 Make test_point_times_order test meaningful again (Pieter Wuille)
0b73059 Switch wnaf splitting from num-based to scalar-based (Pieter Wuille)
1e6c77c Generalize secp256k1_scalar_get_bits (Pieter Wuille)
5213207 Add secp256k1_scalar_add_bit (Pieter Wuille)

Remove unused num functions

Move lambda-splitting code to scalar.

It's not really an operation on group elements.

Switch all EC/ECDSA logic from num to scalar

Add scalar splitting functions

Which currently delegate to the lambda-splitter in group.

Add secp256k1_scalar_inverse_var which delegates to GMP

Make test_point_times_order test meaningful again

As wnaf splitting is scalar based, multiplying with the order directly
would be reduced to multiplication with zero before even converting to
wnaf.

Switch wnaf splitting from num-based to scalar-based

Generalize secp256k1_scalar_get_bits

Add secp256k1_scalar_add_bit

Merge pull request #122

6e05287 Do signature recovery/verification with 4 possible recid case (Pieter Wuille)

Do signature recovery/verification with 4 possible recid case

Explain why no y=0 check is necessary for doubling

Explanation suggested by Greg Maxwell.

Optimize doubling: secp256k1 has no y=0 point

Merge pull request #121

2a54f9b Correct typo in comment (Pieter Wuille)

Correct typo in comment

Merge pull request #114

99f0728 Fix secp256k1_num_set_bin handling of 0 (Pieter Wuille)
d907ebc Add bounds checking to field element setters (Pieter Wuille)

Fix secp256k1_num_set_bin handling of 0

Add bounds checking to field element setters

Merge pull request #116

665775b Don't split the g factor when not using endomorphism (Pieter Wuille)

Don't split the g factor when not using endomorphism

Merge pull request #115

e2274c5 build: osx: attempt to work with homebrew keg-only packages (Cory Fields)

build: osx: attempt to work with homebrew keg-only packages

Merge pull request #110

3bf029d Add test that recovering infinity fails (Pieter Wuille)
4861f83 Test whether recovered public keys are not infinity (Pieter Wuille)
bbe67d8 Make secp256k1_eckey_pubkey_serialize fail for infinity (Pieter Wuille)

Add test that recovering infinity fails

Test whether recovered public keys are not infinity

Fixes a bug discovered by Sergio Demian Lerner.

Make secp256k1_eckey_pubkey_serialize fail for infinity

Merge pull request #107

f49b2ef Add DETERMINISTIC to avoid line number/source dependent binaries (Pieter Wuille)

Add DETERMINISTIC to avoid line number/source dependent binaries

This will make it easier to detect changes without semantic impact.

Merge pull request #108

6c7f0c6 Update README.md (Pieter Wuille)

Update README.md

Merge pull request #105

71712b2 Switch to C89 comments in prep for making the whole codebase C89 compatible. (Gregory Maxwell)

Merge pull request #106

8ca6a9c Correct .gitignore to correctly account for build-aux. (Phillip Mienk)

Correct .gitignore to correctly account for build-aux.

Switch to C89 comments in prep for making the whole codebase C89 compatible.

This should be whitespace/comment only changes and should produce the same
object code.

Merge pull request #103

f8cce95 Add overflow analysis to field_10x26_impl.h (Pieter Wuille)
a518598 Add overflow analysis to field_5x52_int128_impl.h (Pieter Wuille)
fa0d620 Add equalities relating input and output variables (Pieter Wuille)
5dd421b Rewrite mul/sqr for 32bit/64bit (Peter Dettman)

Add overflow analysis to field_10x26_impl.h

Add overflow analysis to field_5x52_int128_impl.h

Add equalities relating input and output variables

Rewrite mul/sqr for 32bit/64bit

- interleave calculation of the lower and upper partial product ranges, and reduction
- less registers needed, more opportunities for parallel ops

Merge pull request #102

a099073 Enable warnings. (Gregory Maxwell)
861f9a5 field_gmp's negate doesn't need to use the magnitude argument. (Gregory Maxwell)
f0709ac Avoid forward static decl of undefined functions, also fix a paren warning in the tests. (Gregory Maxwell)
3276e7d Signed/unsigned comparisons in tests. (Gregory Maxwell)
850562e Avoid unsigned comparison in scalar arith. (Gregory Maxwell)
65a14ab Fix varrious signed/unsigned comparisons. (Gregory Maxwell)
e9e0e21 Avoid a shadowed variable. (Gregory Maxwell)
e28a8b8 Remove a VERIFY_CHECK for >=0ness on an unsigned type. (Gregory Maxwell)
2cad067 Correct function prototypes and avoid unused parameter warnings. (Gregory Maxwell)
a4a43d7 Reorder static to comply with C99 and switch to the inline macro. (Gregory Maxwell)

Enable warnings.

Wno-unused-function is used for the moment because of the checking
 functions which are currently only used by VERIFY but are not (yet?)
 ifdefed out in normal builds.

field_gmp's negate doesn't need to use the magnitude argument.

Avoid forward static decl of undefined functions, also fix a paren warning in the tests.

Signed/unsigned comparisons in tests.

Avoid unsigned comparison in scalar arith.

Fix varrious signed/unsigned comparisons.

Avoid a shadowed variable.

Remove a VERIFY_CHECK for >=0ness on an unsigned type.

Correct function prototypes and avoid unused parameter warnings.

Merge pull request #101

8563713 Add non-null and unused-result warnings for the external API. (Gregory Maxwell)

Reorder static to comply with C99 and switch to the inline macro.

Add non-null and unused-result warnings for the external API.

GCC (and clang) supports extensions to annotate functions so that their
 results must be used and so that their arguments can't be statically
 provable to be null. If a caller violates these requirements they
 get a warning, so this helps them write correct code.

I deployed this in libopus a couple years ago with good success, and
 the implementation here is basically copied straight from that.

One consideration is that the non-null annotation teaches the optimizer
 and will actually compile out runtime non-nullness checks as dead-code.
 Since this is usually not whats wanted, the non-null annotations are
 disabled when compiling the library itself.

The commit also removes some dead inclusions of assert.h and introduces
 compatibility macros for restrict and inline in preparation for some
 portability improvements.

Merge pull request #96

6fac238 Use same build template as bitcoin. Add bitcoin_secp.m4. (kiwigb)
f9aac5b Remove INCLUDES. Obsolete, appears unused anyway. (kiwigb)
db72c18 Add autoreconf warnings. Replace obsolete AC_TRY_COMPILE. Remove redundant checks (already done by LT_INIT). (kiwigb)

Merge pull request #99

c27fdc0 Document some preconditions (Pieter Wuille)

Document some preconditions

Merge pull request #98

fb1bb0b Rearrange _gej_add_ge to save an _fe_negate (Peter Dettman)
9338dbf Branch-free point addition (Pieter Wuille)

Rearrange _gej_add_ge to save an _fe_negate

Branch-free point addition

Use same build template as bitcoin. Add bitcoin_secp.m4.

Remove INCLUDES. Obsolete, appears unused anyway.

Add autoreconf warnings. Replace obsolete AC_TRY_COMPILE.
Remove redundant checks (already done by LT_INIT).

Merge pull request #95

79ad6d4 Remove some dead variables in the tests. (Gregory Maxwell)
9974d86 Misc. Warning and cosmetic error cleanups. (Gregory Maxwell)

Merge pull request #77

1d52a8b Implementations for scalar without data-dependent branches. (Pieter Wuille)

Remove some dead variables in the tests.

Misc. Warning and cosmetic error cleanups.

This fixes a cosmetic precedence bug in the tests along with some
 type warnings.

It also adds a dummy cast to the CHECK macro to avoid hundreds
 of statement with no effect warnings on compilers that warn about
 such things.

Implementations for scalar without data-dependent branches.

Merge pull request #94

da55986 Label variable-time functions correctly and don't use those in sign (Pieter Wuille)

Label variable-time functions correctly and don't use those in sign

Fix typo

Merge pull request #92

137e77a Address 'constant-time' TODOs in field impls (Peter Dettman)

Address 'constant-time' TODOs in field impls

Merge pull request #93

5362875 warnings: enable quiet builds (Cory Fields)

warnings: enable quiet builds

Merge pull request #85

7a8e385 Fix interaction between magnitudes and negation (Pieter Wuille)

Merge pull request #89

501d58f Get rid of {num,scalar,ecdsa_sig}_{init,free} (Pieter Wuille)

Get rid of {num,scalar,ecdsa_sig}_{init,free}

Merge pull request #70

e2d66a2 Fix build for 64bit field under OSX (Peter Dettman)

Fix build for 64bit field under OSX

- caused by https://github.com/bitcoin/secp256k1/commit/8881212ebc43e67052ec06dec8beb459769fbab7
- OSX's ar tool doesn't work for empty archives ("ar: no archive members specified")
- introduce COMMON_LIB variable; leave empty when not using asm

Fix interaction between magnitudes and negation

Magnitude m means values are allowed to be up to 2 * 0xFFF...FFF * m,
while the argument passed to secp256k1_fe_negate didn't take the 2 into
account. Fix this.

Merge pull request #82

8f9a307 Better .gitignore for bench binaries (Pieter Wuille)
fa5c13f Add bench_sign tool (Pieter Wuille)

Merge pull request #83

7d681ac Add verification to 32bit field (Peter Dettman)

Better .gitignore for bench binaries

Add verification to 32bit field

- implement _fe_verify for 10x26
- fe is normalized after _fe_clear
- a few corresponding changes in 64bit field

Add bench_sign tool

Merge pull request #80

504c63d Rename bench to bench_verify (Pieter Wuille)
01097dd Make bench deterministic (Pieter Wuille)

Rename bench to bench_verify

Make bench deterministic

Merge pull request #79

ae2679b Add bench_inv tool (Pieter Wuille)

Merge pull request #78

520ba3c Remove OpenSSL bignum implementation (Pieter Wuille)

Remove OpenSSL bignum implementation

Add bench_inv tool

Merge pull request #76

7935930 Add unit tests for scalars. (Pieter Wuille)
eca6cdb Switch scalar to use get/set 32-byte arrays (Pieter Wuille)

Add unit tests for scalars.

Also add a secp256k1_scalar_is_one function.

Switch scalar to use get/set 32-byte arrays

Merge pull request #75

a9f5c8b Introduce secp256k1_scalar_t for future constant-time mod order operations (Pieter Wuille)

Introduce secp256k1_scalar_t for future constant-time mod order operations

Merge pull request #72

eb74c36 Abstract out tweak logic to secp256k1_eckey_* functions (Pieter Wuille)
ffffc87 Use internal secp256k1_eckey_ prefix for functions in eckey (Pieter Wuille)
e2f71f1 Move non-ECDSA operations from ecdsa to eckey (Pieter Wuille)
ae6bc76 [API CHANGE] Use secp256k1_ec_ prefix for non-ECDSA key operations (Pieter Wuille)

Abstract out tweak logic to secp256k1_eckey_* functions