Merge pull request #156

8336040 build: disable benchmark by default (Cory Fields)

Merge pull request #158

28ade27 build: nuke bashisms (Cory Fields)

build: nuke bashisms

build: disable benchmark by default

Merge pull request #150

cf7b2b4 Fix ECDSA message hashes to 32 bytes (Pieter Wuille)

Merge pull request #151

a3e0611 Enable tests in x86 travis builds (Pieter Wuille)
45da235 x86 builder (Cory Fields)

Merge pull request #149

056ad31 Really compile with -O3 by default (Pieter Wuille)

Merge pull request #142

f22d73e Explicitly access %0..%2 as 64-bit so we use the right registers for x32 ABI (Luke Dashjr)
e66d4d6 Avoid the stack in assembly and use explicit registers (Pieter Wuille)

Enable tests in x86 travis builds

x86 builder

Merge pull request #155

971fe81 build: fix openssl detection for cross builds (Cory Fields)

build: fix openssl detection for cross builds

Make sure that the detected openssl successfully links before enabling support.

Explicitly access %0..%2 as 64-bit so we use the right registers for x32 ABI

Avoid the stack in assembly and use explicit registers

Fix ECDSA message hashes to 32 bytes

Really compile with -O3 by default

Merge pull request #146

c88e2b8 Compile with -O3 by default (Pieter Wuille)

Merge pull request #145

1f46b00 build: fix __builtin_expect detection for clang (Cory Fields)

build: fix __builtin_expect detection for clang

Using AC_CHECK_DECL, the generated test tries to cast the function to void.
Clang doesn't allow that for builtins.

Merge pull request #136

6558a26 Make the benchmarks print out stats (Pieter Wuille)
000bdf6 Rename bench_verify to bench_recovery (Pieter Wuille)

Merge pull request #144

992e03b travis: add clang to the test matrix (Cory Fields)

Merge pull request #141

7c6fed2 Add a few more additional tests. (Gregory Maxwell)
8d11164 Add some additional tests. (Gregory Maxwell)

Compile with -O3 by default

Make the benchmarks print out stats

Rename bench_verify to bench_recovery

Add a few more additional tests.

travis: add clang to the test matrix

Merge pull request #143

e06a924 Include time.h header for time(). (Pavel Janík)

Include time.h header for time().

Add some additional tests.

Merge pull request #118

3ce74b1 Tweak precomputed table size for G (Pieter Wuille)

Merge pull request #137

39bd94d Variable time normalize (Pieter Wuille)

Merge pull request #128

b2c9681 Make {mul,sqr}_inner use the same argument order as {mul,sqr} (Pieter Wuille)
6793505 Convert YASM code into inline assembly (Pieter Wuille)
f048615 Rewrite field assembly to match the C version (Pieter Wuille)

Merge pull request #138

a5759c5 Check return value of malloc (Pieter Wuille)
2b9388b Remove unused secp256k1_fe_inv_all (Pieter Wuille)
f461b76 Allocate precomputation arrays on the heap (Pieter Wuille)

Check return value of malloc

Variable time normalize

Merge pull request #140

54b768c Another redundant secp256k1_fe_normalize (Pieter Wuille)

Another redundant secp256k1_fe_normalize

Merge pull request #139

1c29f2e Remove redundant secp256k1_fe_normalize from secp256k1_gej_add_ge_var. (Gregory Maxwell)

Remove redundant secp256k1_fe_normalize from secp256k1_gej_add_ge_var.

This was a missed optimization in the extraction of gej+ge from gej+gej.

Remove unused secp256k1_fe_inv_all

Allocate precomputation arrays on the heap

Merge pull request #135

ee3eb4b Fix a memory leak and add a number of small tests. (Gregory Maxwell)

Fix a memory leak and add a number of small tests.

This fixes a simple copy and paste induced memory leak for the ecdsa init.

The tests are mostly just improving coverage and aren't interesting.

Make {mul,sqr}_inner use the same argument order as {mul,sqr}

Convert YASM code into inline assembly

Rewrite field assembly to match the C version

Merge pull request #134

29ae131 Make scalar_add_bit test's overflow detection exact (Pieter Wuille)

Merge pull request #127

c35ff1e Convert lambda splitter to pure scalar code. (Pieter Wuille)
cc604e9 Avoid division when decomposing scalars (Peter Dettman)
ff8746d Add secp256k1_scalar_mul_shift_var (Pieter Wuille)

Merge pull request #132

efb7d4b Use constant-time conditional moves instead of byte slicing (Pieter Wuille)

Merge pull request #133

9048def Avoid undefined shift behaviour (Pieter Wuille)

Make scalar_add_bit test's overflow detection exact

Avoid undefined shift behaviour

Use constant-time conditional moves instead of byte slicing

Merge pull request #131

82f9254 Fix typo (Pieter Wuille)

Fix typo

Merge pull request #129

35399e0 Bugfix: b is restricted, not r (Pieter Wuille)

Bugfix: b is restricted, not r

Convert lambda splitter to pure scalar code.

This enables the use of the endomorphism optimization without bignum.

Avoid division when decomposing scalars

- In secp256k1_gej_split_exp, there are two divisions used. Since the denominator is a constant known at compile-time, each can be replaced by a multiplication followed by a right-shift (and rounding).
- Add the constants g1, g2 for this purpose and rewrite secp256k1_scalar_split_lambda_var accordingly.
- Remove secp256k1_num_div since no longer used

Rebased-by: Pieter Wuille

Add secp256k1_scalar_mul_shift_var

Merge pull request #119

597128d Make num optional (Pieter Wuille)
659b554 Make constant initializers independent from num (Pieter Wuille)

Merge pull request #124

4d4eeea Make secp256k1_fe_mul_inner use the r != property (Pieter Wuille)
be82e92 Require that r and b are different for field multiplication. (Pieter Wuille)

Merge pull request #126

24b3c65 Add a test case for ECDSA recomputing infinity (Pieter Wuille)
32600e5 Add a test for r >= order signature handling (Pieter Wuille)

Add a test case for ECDSA recomputing infinity

Add a test for r >= order signature handling

Suggested by Greg Maxwell.

Make secp256k1_fe_mul_inner use the r != property

Suggested by Peter Dettman.

Require that r and b are different for field multiplication.

Suggested by Peter Dettman, this prepares for slightly faster muitiplication
which writes results immediately to r before finishing reading b.

Make num optional

Make constant initializers independent from num

Merge pull request #120

e3d692f Explain why no y=0 check is necessary for doubling (Pieter Wuille)
f7dc1c6 Optimize doubling: secp256k1 has no y=0 point (Pieter Wuille)

Merge pull request #117

c76be9e Remove unused num functions (Pieter Wuille)
4285a98 Move lambda-splitting code to scalar. (Pieter Wuille)
f24041d Switch all EC/ECDSA logic from num to scalar (Pieter Wuille)
6794be6 Add scalar splitting functions (Pieter Wuille)
d1502eb Add secp256k1_scalar_inverse_var which delegates to GMP (Pieter Wuille)
b5c9ee7 Make test_point_times_order test meaningful again (Pieter Wuille)
0b73059 Switch wnaf splitting from num-based to scalar-based (Pieter Wuille)
1e6c77c Generalize secp256k1_scalar_get_bits (Pieter Wuille)
5213207 Add secp256k1_scalar_add_bit (Pieter Wuille)

Remove unused num functions

Move lambda-splitting code to scalar.

It's not really an operation on group elements.

Switch all EC/ECDSA logic from num to scalar

Add scalar splitting functions

Which currently delegate to the lambda-splitter in group.

Add secp256k1_scalar_inverse_var which delegates to GMP

Make test_point_times_order test meaningful again

As wnaf splitting is scalar based, multiplying with the order directly
would be reduced to multiplication with zero before even converting to
wnaf.

Switch wnaf splitting from num-based to scalar-based

Generalize secp256k1_scalar_get_bits

Add secp256k1_scalar_add_bit

Merge pull request #122

6e05287 Do signature recovery/verification with 4 possible recid case (Pieter Wuille)

Do signature recovery/verification with 4 possible recid case

Explain why no y=0 check is necessary for doubling

Explanation suggested by Greg Maxwell.

Optimize doubling: secp256k1 has no y=0 point

Merge pull request #121

2a54f9b Correct typo in comment (Pieter Wuille)

Correct typo in comment

Tweak precomputed table size for G

Merge pull request #114

99f0728 Fix secp256k1_num_set_bin handling of 0 (Pieter Wuille)
d907ebc Add bounds checking to field element setters (Pieter Wuille)

Fix secp256k1_num_set_bin handling of 0

Add bounds checking to field element setters

Merge pull request #116

665775b Don't split the g factor when not using endomorphism (Pieter Wuille)

Don't split the g factor when not using endomorphism

Merge pull request #115

e2274c5 build: osx: attempt to work with homebrew keg-only packages (Cory Fields)

build: osx: attempt to work with homebrew keg-only packages

Merge pull request #110

3bf029d Add test that recovering infinity fails (Pieter Wuille)
4861f83 Test whether recovered public keys are not infinity (Pieter Wuille)
bbe67d8 Make secp256k1_eckey_pubkey_serialize fail for infinity (Pieter Wuille)

Add test that recovering infinity fails

Test whether recovered public keys are not infinity

Fixes a bug discovered by Sergio Demian Lerner.

Make secp256k1_eckey_pubkey_serialize fail for infinity

Merge pull request #107

f49b2ef Add DETERMINISTIC to avoid line number/source dependent binaries (Pieter Wuille)