Merge #384: JNI: align shared files copyright/comments to bitcoinj's

6ceea2c align shared files copyright/comments to bitcoinj's (GreenAddress)

Merge #399: build: verify that the native compiler works for static precomp

aa0b1fd build: verify that the native compiler works for static precomp (Cory Fields)

Merge #398: Test whether ECDH and Schnorr are enabled for JNI

eee808d Test whether ECDH and Schnorr are enabled for JNI (Pieter Wuille)

build: verify that the native compiler works for static precomp

Test whether ECDH and Schnorr are enabled for JNI

Merge #366: ARM assembly implementation of field_10x26 inner (rebase of #173)

001f176 ARM assembly implementation of field_10x26 inner (Wladimir J. van der Laan)

ARM assembly implementation of field_10x26 inner

Rebased-by: Pieter Wuille <[email protected]>

Merge #397: Small fixes for sha256

3f8b78e Fix undefs in hash_impl.h (Kirill Fomichev)
2ab4695 Fix state size in sha256 struct (Kirill Fomichev)

Fix undefs in hash_impl.h

Fix state size in sha256 struct

Merge #386: Add some missing `VERIFY_CHECK(ctx != NULL)`

bcc4881 Add some missing `VERIFY_CHECK(ctx != NULL)` for functions that use `ARG_CHECK` (Andrew Poelstra)

Merge #389: Cast pointers through uintptr_t under JNI

47b9e78 Cast pointers through uintptr_t under JNI (Jon Griffiths)

Merge #390: Update bitcoin-core GitHub links

faa2a11 Update bitcoin-core GitHub links (MarcoFalke)

Merge #391: JNI: Only call ecdsa_verify if its inputs parsed correctly

a40c701 JNI: Only call ecdsa_verify if its inputs parsed correctly (Jon Griffiths)

Merge #392: Add testcase which hits additional branch in secp256k1_scalar_sqr

093a497 Add testcase which hits additional branch in secp256k1_scalar_sqr (Jonas Nick)

Merge #388: bench_ecdh: fix call to secp256k1_context_create

f36f9c6 bench_ecdh: fix call to secp256k1_context_create (Andrew Poelstra)

Add testcase which hits additional branch in secp256k1_scalar_sqr

JNI: Only call ecdsa_verify if its inputs parsed correctly

Return 0 otherwise instead of calling it with bad parameters.

Update bitcoin-core GitHub links

Cast pointers through uintptr_t under JNI

Fixes warnings of the form "warning: cast to pointer from integer of
different size" when building on 32 bit platforms. This is the same
approach used for pointer conversions in the openjdk sources.

bench_ecdh: fix call to secp256k1_context_create

Add some missing `VERIFY_CHECK(ctx != NULL)` for functions that use `ARG_CHECK`

The `ARG_CHECK` macro requires that a variable called `ctx` exist and be
non-NULL. However, in several functions that do not use the context variable,
we simply ignore it with `(void)ctx`. Replace these with explicit checks for
non-NULLness to avoid invalid memory accesses.

align shared files copyright/comments to bitcoinj's

Merge #373: build: fix x86_64 asm detection for some compilers

3f8fdfb build: fix x86_64 asm detection for some compilers (Cory Fields)

Merge #374: Add note about y=0 being possible on one of the sextic twists

e72e93a Add note about y=0 being possible on one of the sextic twists (Andrew Poelstra)

Merge #364: JNI rebased

86e2d07 JNI library: cleanup, removed unimplemented code (GreenAddress)
3093576 JNI library (GreenAddress)

JNI library: cleanup, removed unimplemented code

JNI library

Squashed and rebased. Thanks to @theuni and @faizkhan00 for doing
the majority of work here! Also thanks to @btchip for help with debugging
and review.

Merge pull request #371

e5a9047 [Trivial] Remove double semicolons (paveljanik)

Add note about y=0 being possible on one of the sextic twists

build: fix x86_64 asm detection for some compilers

I Noticed this on OSX with clang, though it likely happens elsewhere as well.
The result is disabled x86_64 asm.

Due to missing escaping, this $0 was interpreted as the function name
SECP_64BIT_ASM_CHECK, causing the compile-check to be broken on some compilers.

The actual check looked like this:

int main()
{
  uint64_t a = 11, tmp;
  __asm__ __volatile__("movq SECP_64BIT_ASM_CHECKx100000000,%1; mulq %%rsi" : "+a"(a) : "S"(tmp) : "cc", "%rdx");
  return 0;
}

It seems even more odd that it compiled anywhere.

[Trivial] Remove double semicolons

Merge pull request #360

83221ec Add experimental features to configure (Pieter Wuille)

Merge pull request #302

03d4611 Add sage verification script for the group laws (Pieter Wuille)

Add sage verification script for the group laws

Merge pull request #361

5d4c5a3 Prevent damage_array in the signature test from going out of bounds. (Gregory Maxwell)

Add experimental features to configure

Prevent damage_array in the signature test from going out of bounds.

Merge pull request #356

03d84a4 Benchmark against OpenSSL verification (Pieter Wuille)

Merge pull request #357

445f7f1 Fix for Windows compile issue (ptschip)

Fix for Windows compile issue

Change CPPFLAGS_FOR_BUILD path  (by paveljanik)

Benchmark against OpenSSL verification

Merge pull request #351

06aeea5 Turn secp256k1_ec_pubkey_serialize outlen to in/out (Pieter Wuille)

Turn secp256k1_ec_pubkey_serialize outlen to in/out

Merge pull request #348

6466625 Improvements for coordinate decompression (Pieter Wuille)

Improvements for coordinate decompression

Merge pull request #347

8e48787 Change secp256k1_ec_pubkey_combine's count argument to size_t. (Gregory Maxwell)
c69dea0 Clear output in more cases for pubkey_combine, adds tests. (Gregory Maxwell)
269d422 Comment copyediting. (Gregory Maxwell)

Change secp256k1_ec_pubkey_combine's count argument to size_t.

Clear output in more cases for pubkey_combine, adds tests.

Also corrects an outdated comment and adds an additional
 secp256k1_ecdsa_signature_parse_compact test.

Comment copyediting.

Merge pull request #344

26abce7 Adds 32 static test vectors for scalar mul, sqr, inv. (Gregory Maxwell)

Merge pull request #345

5b71a3f Better error case handling for pubkey_create & pubkey_serialize, more tests. (Gregory Maxwell)

Adds 32 static test vectors for scalar mul, sqr, inv.

These were generated by testing more than 10^12 random test vectors
 for coverage on instrumented (comparison operator outcomes) 32-bit
 and 64-bit code, plus additional edge condition requirements (e.g.
 inputs of 0, 1, -1) and then solving a minimum set cover problem.

The required responses were generated with Sage.

This significantly improves the lcov branch coverage report and
 makes the tests much more sensitive to mutation testing of the
 scalar code.

The challenges and responses are in the form of pairs of scalars:
  C1 * C2 == R1
  (C1 * C2) * (1 / C2) == C1
  C2 * (1 / C2) == 1
  C1 * C1 == R2
  C1^2    == R2

Better error case handling for pubkey_create & pubkey_serialize, more tests.

Makes secp256k1_ec_pubkey_serialize set the length to zero on failure,
 also makes secp256k1_ec_pubkey_create set the pubkey to zeros when
 the key argument is NULL.

Also adds many additional ARGCHECK tests.

Merge pull request #343

eed87af Change contrib/laxder from headers-only to files compilable as standalone C (Andrew Poelstra)

Change contrib/laxder from headers-only to files compilable as standalone C

Verified that both programs compile with

    gcc -I. -I../include -lsecp256k1 -c -W -Wextra -Wall -Werror -ansi -pedantic lax_der_privatekey_parsing.c
    gcc -I. -I../include -lsecp256k1 -c -W -Wextra -Wall -Werror -ansi -pedantic lax_der_parsing.c

Merge pull request #342

7914a6e Make lax_der_privatekey_parsing.h not depend on internal code (Pieter Wuille)

Make lax_der_privatekey_parsing.h not depend on internal code

Merge pull request #339

9234391 Overhaul flags handling (Pieter Wuille)
1a36898 Make flags more explicit, add runtime checks. (Rusty Russell)

Overhaul flags handling

Make flags more explicit, add runtime checks.

Signed-off-by: Rusty Russell <[email protected]>

Merge pull request #340

96be204 Add additional tests for eckey and arg-checks. (Gregory Maxwell)
bb5aa4d Make the tweak function zeroize-output-on-fail behavior consistent. (Gregory Maxwell)
4a243da Move secp256k1_ec_privkey_import/export to contrib. (Gregory Maxwell)
1b3efc1 Move secp256k1_ecdsa_sig_recover into the recovery module. (Gregory Maxwell)
e3cd679 Eliminate all side-effects from VERIFY_CHECK() usage. (Gregory Maxwell)
b30fc85 Avoid nonce_function_rfc6979 algo16 argument emulation. (Gregory Maxwell)
70d4640 Make secp256k1_ec_pubkey_create skip processing invalid secret keys. (Gregory Maxwell)
6c476a8 Minor comment improvements. (Gregory Maxwell)

Add additional tests for eckey and arg-checks.

This gets branch coverage up over 90% for me.

Make the tweak function zeroize-output-on-fail behavior consistent.

Previously the private key tweak operations left the input unchanged
 on failure but the pubkey versions zeroized on failure.

Move secp256k1_ec_privkey_import/export to contrib.

These functions are intended for compatibility with legacy software,
 and are not normally needed in new secp256k1 applications.

They also do not obeying any particular standard (and likely cannot
 without without undermining their compatibility), and so are a
 better fit for contrib.

Move secp256k1_ecdsa_sig_recover into the recovery module.

Eliminate all side-effects from VERIFY_CHECK() usage.

The side-effects make review somewhat harder because 99.9% of the
 time the macro usage has no sideeffects, so they're easily ignored.

The main motivation for avoiding the side effects is so that the
 macro can be completely stubbed out for branch coverage analysis
 otherwise all the unreachable verify code gets counted against
 coverage.

Avoid nonce_function_rfc6979 algo16 argument emulation.

This avoids data=NULL and data = zeros to producing the same nonce.

Previously the code tried to avoid the case where some data inputs
 aliased algo16 inputs by always padding out the data.

But because algo16 and data are different lengths they cannot
 emulate each other, and the padding would match a data value of
 all zeros.

Make secp256k1_ec_pubkey_create skip processing invalid secret keys.

This makes it somewhat less constant time in error conditions, but
 avoids encountering an internal assertion failure when trying
 to write out the point at infinity.

Minor comment improvements.

Merge pull request #334

0c6ab2f Introduce explicit lower-S normalization (Pieter Wuille)
fea19e7 Add contrib/lax_der_parsing.h (Pieter Wuille)
3bb9c44 Rewrite ECDSA signature parsing code (Pieter Wuille)
fa57f1b Use secp256k1_rand_int and secp256k1_rand_bits more (Pieter Wuille)
49b3749 Add new tests for the extra testrand functions (Pieter Wuille)
f684d7d Faster secp256k1_rand_int implementation (Pieter Wuille)
251b1a6 Improve testrand: add extra random functions (Pieter Wuille)

Introduce explicit lower-S normalization

ECDSA signature verification now requires normalized signatures (with S in the
lower half of the range). In case the input cannot be guaranteed to provide this,
a new function secp256k1_ecdsa_signature_normalize is provided to preprocess it.

Add contrib/lax_der_parsing.h

This shows a snippet of code to do lax DER parsing, without obeying to any
particular standard.

Rewrite ECDSA signature parsing code

There are now 2 encoding formats supported: 64-byte "compact" and DER.
The latter is strict: the data has to be exact DER, though the values
inside don't need to be valid.

Use secp256k1_rand_int and secp256k1_rand_bits more

Update the unit tests to make use of the new RNG functions.

Add new tests for the extra testrand functions

Faster secp256k1_rand_int implementation

Improve testrand: add extra random functions

This commit adds functions:
* secp256k1_rand_bits, which works like secp256k1_rand32, but consumes
  less randomness
* secp256k1_rand_int, which produces a uniform integer over any range
* secp256k1_rand_bytes_test, which works like secp256k1_rand256_test
  but for arbitrary byte array

Merge pull request #338

f79aa88 Bugfix: swap arguments to noncefp (Pieter Wuille)

Bugfix: swap arguments to noncefp

Merge pull request #319

67f7da4 Extensive interface and operations tests for secp256k1_ec_pubkey_parse. (Gregory Maxwell)
ee2cb40 Add ARG_CHECKs to secp256k1_ec_pubkey_parse/secp256k1_ec_pubkey_serialize (Gregory Maxwell)

Extensive interface and operations tests for secp256k1_ec_pubkey_parse.

This also makes use of optional valgrind instrumentation if -DVALGRIND
 is set.

This also moves secp256k1.c above secp256k1.h in tests.c or otherwise
 we get non-null macros on the public functions which may defeat some
 of the VERIFY checks.

Add ARG_CHECKs to secp256k1_ec_pubkey_parse/secp256k1_ec_pubkey_serialize

This also makes secp256k1_ec_pubkey_parse's init of pubkey more unconditional.

Merge pull request #328

7c823e3 travis: fixup module configs (Cory Fields)

Merge pull request #329

b13d749 Fix couple of typos in API comments (Gustav Simonsson)

Merge pull request #332

37100d7 improve ECDH header-doc (Jonas Schnelli)

improve ECDH header-doc

- use pubkey instead of point
- use privkey instead of scalar

Fix couple of typos in API comments

travis: fixup module configs

Merge pull request #325

338fc8b Add API exports to secp256k1_nonce_function_default and secp256k1_nonce_function_rfc6979. (Gregory Maxwell)

Merge pull request #326

213aa67 Do not force benchmarks to be statically linked. (Gregory Maxwell)

Do not force benchmarks to be statically linked.

Libtool will do the right thing and use whatever is available
 based on --enable-shared/--enable-static.

This also means that some of the things we build actually
 test the dynamic library.

Add API exports to secp256k1_nonce_function_default and secp256k1_nonce_function_rfc6979.

Merge pull request #320

9f6993f Remove some dead code. (Gregory Maxwell)

Remove some dead code.

Merge pull request #314

118cd82 Use explicit symbol visibility. (Gregory Maxwell)
4e64608 Include public module headers when compiling modules. (Gregory Maxwell)

Use explicit symbol visibility.

The use of static makes this somewhat redundant currently, though if
 we later have multiple compilation units it will be needed.

This also sets the dllexport needed for shared libraries on win32.

Include public module headers when compiling modules.

Also fix the nullness requirements for schnorr nonce-pair generation.

Merge pull request #316

2b199de Use the explicit NULL macro for pointer comparisons. (Gregory Maxwell)

Merge pull request #317

cfe0ed9 Fix miscellaneous style nits that irritate overactive static analysis. (Gregory Maxwell)