add pubkey prefix constants to include/secp256k1.h

Merge #454: Remove residual parts from the schnorr expirement.

5e95bf2 Remove residual parts from the schnorr expirement. (Gregory Maxwell)

Tree-SHA512: de1e56cc54443e29a60787996a1b1381b0b84eacb87a8f1af06b5ba3900b1771c3a04fd547c65e21979e3c08c3a45d258d699eb951a956f8e617833c5396ecfe

Remove residual parts from the schnorr expirement.

Merge #452: Minor optimizations to _scalar_inverse to save 4M

465159c Further shorten the addition chain for scalar inversion. (Brian Smith)
cf12fa1 Minor optimizations to _scalar_inverse to save 4M (Peter Dettman)

Tree-SHA512: b03ae53bd48435f8ef8a89ba3b45f9a35f3f3c6cfba7deb6820ab2146205656d198e4317a4cb98a986f434df244ae735313d303d0ce5a5c40519d37621238957

Merge #437: Unroll secp256k1_fe_(get|set)_b32 to make them much faster.

a2b6b19 Fix benchmark print_number infinite loop. (Gregory Maxwell)
8b7680a Unroll secp256k1_fe_(get|set)_b32 for 10x26. (Gregory Maxwell)
aa84990 Unroll secp256k1_fe_(get|set)_b32 for 5x52. (CryptoGuru)

Tree-SHA512: b17fa454dc4ef614305e10575b0f87c3b37d398d6d3996d5bbbb8e27b0d9841aa13b3cffe93d13dc637c8c3071f8565919574ec0b07f02bf3b0eb6faf4b93251

Further shorten the addition chain for scalar inversion.

Reduce the number of squarings by one and reduce the number of
multiplications by three.

Fix benchmark print_number infinite loop.

Unroll secp256k1_fe_(get|set)_b32 for 10x26.

field_get_b32: min 0.890us / avg 0.905us / max 0.956us
field_set_b32: min 1.12us / avg 1.15us / max 1.19us

becomes

field_get_b32: min 0us / avg 0.000000119us / max 0.000000238us
field_set_b32: min 0.0532us / avg 0.0584us / max 0.0782us

Unroll secp256k1_fe_(get|set)_b32 for 5x52.

field_get_b32: min 0.647us / avg 0.666us / max 0.751us
field_set_b32: min 0.551us / avg 0.571us / max 0.624us

becomes

field_get_b32: min 0us / avg 0.0000000477us / max 0.000000238us
field_set_b32: min 0us / avg 0.0000000238us / max 0.000000238us

(Patch from https://bitcointalk.org/index.php?topic=1740973.0
 _get was reversed from the patch because this order appeared
 somewhat faster in testing.)

Signed-off-by: Gregory Maxwell <[email protected]>

Minor optimizations to _scalar_inverse to save 4M

- Precalculate x^5 and use for "01010" patterns during accumulation. (net -2M)
- Further use of x^5 to allow shorter addition chain (net -2M)

Merge #408: Add `secp256k1_ec_pubkey_negate` and `secp256k1_ec_privkey_negate`

8e48aa6 Add `secp256k1_ec_pubkey_negate` and `secp256k1_ec_privkey_negate` (Andrew Poelstra)

Tree-SHA512: 28eeca0b04001958ad86b3c802e33a13273514e9e9802d5b358fd577dc95421a2cffb5591716bea10300717f742f0941c465b9df71dbb4c66d174c643887e06f

Merge #441: secp256k1_context_randomize: document.

72d952c FIXUP: Missing "is" (Rusty Russell)
70ff29b secp256k1_context_randomize: document. (Rusty Russell)

Tree-SHA512: c1f48431e07a23b572838d63250d5a356ff5b321dd242cf0af5227ee89b9795d49a762b0c7311bb7284ccd487c68b3d1f16cf6824eac30fc3f8becdf2b891dad

Merge #444: test: Use checked_alloc

5eb030c test: Use checked_alloc (Wladimir J. van der Laan)

Tree-SHA512: f0fada02664fca3b4f48795ce29a187331f86f80fc1605150fcfc451e7eb4671f7b5dff09105c9927e28af6d1dafd1edad1671dddd412110f4b5950153df499d

Merge #449: Remove executable bit from secp256k1.c

51b77ae Remove executable bit from secp256k1.c (Emil Rus)

Remove executable bit from secp256k1.c

test: Use checked_alloc

FIXUP: Missing "is"

Signed-off-by: Rusty Russell <[email protected]>

secp256k1_context_randomize: document.

I think I summarized it correctly after IRC discussion with gmaxwell
and andytoshi; I didn't know it existed :(

It's regrettable to expose this level of detail, but users need to know
this to make a decision about how to use it.

Signed-off-by: Rusty Russell <[email protected]>

Merge #428: Exhaustive recovery

2cee5fd exhaustive tests: add recovery module (Andrew Poelstra)
678b0e5 exhaustive tests: remove erroneous comment from ecdsa_sig_sign (Andrew Poelstra)
03ff8c2 group_impl.h: remove unused `secp256k1_ge_set_infinity` function (Andrew Poelstra)
a724d72 configure: add --enable-coverage to set options for coverage analysis (Andrew Poelstra)
b595163 recovery: add tests to cover API misusage (Andrew Poelstra)
6f8ae2f ecdh: test NULL-checking of arguments (Andrew Poelstra)
25e3cfb ecdsa_impl: replace scalar if-checks with VERIFY_CHECKs in ecdsa_sig_sign (Andrew Poelstra)

Add `secp256k1_ec_pubkey_negate` and `secp256k1_ec_privkey_negate`

exhaustive tests: add recovery module

Merge #433: Make the libcrypto detection fail the newer API.

12de863 Make the libcrypto detection fail the newer API. (Gregory Maxwell)

Make the libcrypto detection fail the newer API.

OpenSSL 1.1 makes ECDSA_SIG opaque and our tests need access
inside this object.

The comparison tests against OpenSSL aren't important for most
users, but the build failing is...

exhaustive tests: remove erroneous comment from ecdsa_sig_sign

Mathematically, we always overflow when using the exhaustive tests (because our
scalar order is 13 and our field order is on the order of 2^256), but the
`overflow` variable returned when parsing a b32 as a scalar is always set
to 0, to prevent infinite (or practically infinite) loops searching for
non-overflowing scalars.

Merge #427: Remove Schnorr from travis as well

8eecc4a Remove Schnorr from travis as well (Pieter Wuille)

group_impl.h: remove unused `secp256k1_ge_set_infinity` function

Also remove `secp256k1_fe_verify` from field_*_.impl.h when VERIFY is not defined

configure: add --enable-coverage to set options for coverage analysis

recovery: add tests to cover API misusage

Remove Schnorr from travis as well

ecdh: test NULL-checking of arguments

Boosts the ECDH module to 100% coverage

ecdsa_impl: replace scalar if-checks with VERIFY_CHECKs in ecdsa_sig_sign

Whenever ecdsa_sig_sign is called, in the case that r == 0 or r overflows,
we want to retry with a different nonce rather than fail signing entirely.
Because of this, we always check the nonce conditions before calling
sig_sign, so these checks should always pass (and in particular, they
are inaccessible through the API and appear as uncovered code in test
coverage).

Merge #310: Add exhaustive test for group functions on a low-order subgroup

b4ceedf Add exhaustive test for verification (Andrew Poelstra)
83836a9 Add exhaustive tests for group arithmetic, signing, and ecmult on a small group (Andrew Poelstra)
20b8877 Add exhaustive test for group functions on a low-order subgroup (Andrew Poelstra)

Add exhaustive test for verification

Add exhaustive tests for group arithmetic, signing, and ecmult on a small group

If you compile without ./configure --enable-exhaustive-tests=no,
this will create a binary ./exhaustive_tests which will execute
every function possible on a group of small order obtained by
moving to a twist of our curve and locating a generator of small
order.

Currently defaults to order 13, though by changing some #ifdefs
you can get a couple other ones. (Currently 199, which will take
forever to run, and 14, which won't work because it's composite.)

TODO exhaustive tests for the various modules

Add exhaustive test for group functions on a low-order subgroup

We observe that when changing the b-value in the elliptic curve formula
`y^2 = x^3 + ax + b`, the group law is unchanged. Therefore our functions
for secp256k1 will be correct if and only if they are correct when applied
to the curve defined by `y^2 = x^3 + 4` defined over the same field. This
curve has a point P of order 199.

This commit adds a test which computes the subgroup generated by P and
exhaustively checks that addition of every pair of points gives the correct
result.

Unfortunately we cannot test const-time scalar multiplication by the same
mechanism. The reason is that these ecmult functions both compute a wNAF
representation of the scalar, and this representation is tied to the order
of the group.

Testing with the incomplete version of gej_add_ge (found in 5de4c5dff^)
shows that this detects the incompleteness when adding P - 106P, which
is exactly what we expected since 106 is a cube root of 1 mod 199.

Merge #425: Remove Schnorr experiment

e06e878 Remove Schnorr experiment (Pieter Wuille)

Remove Schnorr experiment

Merge #407: Modify parameter order of internal functions to match API parameter order

353c1bf Fix secp256k1_ge_set_table_gej_var parameter order (llamasoft)
541b783 Fix secp256k1_ge_set_all_gej_var parameter order (llamasoft)
7d893f4 Fix secp256k1_fe_inv_all_var parameter order (llamasoft)

Merge #411: Remove guarantees about memcmp-ability

91219a1 Remove guarantees about memcmp-ability (Andrew Poelstra)

Merge #421: Update scalar_4x64_impl.h

9d67afa Update scalar_4x64_impl.h (Alex-GR)

Merge #422: Restructure nonce clearing

3769783 Restructure nonce clearing (bgorlick)
0f9e69d Restructure nonce clearing (bgorlick)

Restructure nonce clearing

Make sure we clear the nonce data even if the nonce function fails (it may have written partial data), and call memset only once in the case we iterate to produce a valid signature.

Restructure nonce clearing

Make sure we clear the nonce data even if the nonce function fails (it may have written partial data), and call memset only once in the case we iterate to produce a valid signature.

Update scalar_4x64_impl.h

XOR reg,reg instead of MOV 0 to reg. It should be at least equal in all architectures and faster in some else.

Merge #413: fix auto-enabled static precompuatation

00c5d2e fix auto-enabled static precompuatation (Cory Fields)

fix auto-enabled static precompuatation

This was broken in aa0b1fd14979145d54ef85485cb497a9cdbc22c7

Remove guarantees about memcmp-ability

Merge #410: Add string.h include to ecmult_impl

0bbd5d4 Add string.h include to ecmult_impl (Wladimir J. van der Laan)

Add string.h include to ecmult_impl

`memcpy` and `memset` are used, so include the appropriate header
for the declaration.

Fix secp256k1_ge_set_table_gej_var parameter order

Rearranged secp256k1_ge_set_table_gej_var parameters so length comes last (it modifies both *a and *zr).

Fix secp256k1_ge_set_all_gej_var parameter order

Rearranged secp256k1_ge_set_all_gej_var parameters so length comes after *a.

Fix secp256k1_fe_inv_all_var parameter order

Rearranged secp256k1_fe_inv_all_var parameters so length is after array.
Text editor removed some trailing whitespaces.

Merge #405: Make secp256k1_fe_sqrt constant time

926836a Make secp256k1_fe_sqrt constant time (Pieter Wuille)

Make secp256k1_fe_sqrt constant time

Merge #404: Replace 3M + 4S doubling formula with 2M + 5S one

8ec49d8 Add note about 2M + 5S doubling formula (Andrew Poelstra)

Add note about 2M + 5S doubling formula

Merge #400: A couple minor cleanups

ac01378 build: add -DSECP256K1_BUILD to benchmark_internal build flags (Andrew Poelstra)
a6c6f99 Remove a bunch of unused stdlib #includes (Andrew Poelstra)

build: add -DSECP256K1_BUILD to benchmark_internal build flags

gcc 6 will warn about our non-null checks when SECP256K1_BUILD
our NONNULL marker is nontrivial. This occurs unless SECP256K1_BUILD
is set, which we had forgotten to do for the internal benchmarks,
which compile directly against the library instead of linking.

Remove a bunch of unused stdlib #includes

Merge #403: configure: add flag to disable OpenSSL tests

a9b2a5d configure: add flag to disable OpenSSL tests (Andrew Poelstra)

configure: add flag to disable OpenSSL tests

OpenSSL messes up valgrind.

Merge #402: Add support for testing quadratic residues

e6e9805 Add function for testing quadratic residue field/group elements. (Pieter Wuille)
efd953a Add Jacobi symbol test via GMP (Peter Dettman)

Add function for testing quadratic residue field/group elements.

Add Jacobi symbol test via GMP

Also add native Jacobi symbol test (Andrew)

Rebased-by: Andrew Poelstra
Rebased-by: Pieter Wuille

Merge #401: ecmult_const: unify endomorphism and non-endomorphism skew cases

c6191fd ecmult_const: unify endomorphism and non-endomorphism skew cases (Andrew Poelstra)

ecmult_const: unify endomorphism and non-endomorphism skew cases

We now do a skew correction even without the endomorphism optimization,
which costs one additional group addition but unifies a lot of code.

Merge #378: .gitignore build-aux cleanup

70141a8 Update .gitignore (upgradeadvice)

Merge #384: JNI: align shared files copyright/comments to bitcoinj's

6ceea2c align shared files copyright/comments to bitcoinj's (GreenAddress)

Merge #399: build: verify that the native compiler works for static precomp

aa0b1fd build: verify that the native compiler works for static precomp (Cory Fields)

Merge #398: Test whether ECDH and Schnorr are enabled for JNI

eee808d Test whether ECDH and Schnorr are enabled for JNI (Pieter Wuille)

build: verify that the native compiler works for static precomp

Test whether ECDH and Schnorr are enabled for JNI

Merge #366: ARM assembly implementation of field_10x26 inner (rebase of #173)

001f176 ARM assembly implementation of field_10x26 inner (Wladimir J. van der Laan)

ARM assembly implementation of field_10x26 inner

Rebased-by: Pieter Wuille <[email protected]>

Merge #397: Small fixes for sha256

3f8b78e Fix undefs in hash_impl.h (Kirill Fomichev)
2ab4695 Fix state size in sha256 struct (Kirill Fomichev)

Fix undefs in hash_impl.h

Fix state size in sha256 struct

Merge #386: Add some missing `VERIFY_CHECK(ctx != NULL)`

bcc4881 Add some missing `VERIFY_CHECK(ctx != NULL)` for functions that use `ARG_CHECK` (Andrew Poelstra)

Merge #389: Cast pointers through uintptr_t under JNI

47b9e78 Cast pointers through uintptr_t under JNI (Jon Griffiths)

Merge #390: Update bitcoin-core GitHub links

faa2a11 Update bitcoin-core GitHub links (MarcoFalke)

Merge #391: JNI: Only call ecdsa_verify if its inputs parsed correctly

a40c701 JNI: Only call ecdsa_verify if its inputs parsed correctly (Jon Griffiths)

Merge #392: Add testcase which hits additional branch in secp256k1_scalar_sqr

093a497 Add testcase which hits additional branch in secp256k1_scalar_sqr (Jonas Nick)

Merge #388: bench_ecdh: fix call to secp256k1_context_create

f36f9c6 bench_ecdh: fix call to secp256k1_context_create (Andrew Poelstra)

Add testcase which hits additional branch in secp256k1_scalar_sqr

JNI: Only call ecdsa_verify if its inputs parsed correctly

Return 0 otherwise instead of calling it with bad parameters.

Update bitcoin-core GitHub links

Cast pointers through uintptr_t under JNI

Fixes warnings of the form "warning: cast to pointer from integer of
different size" when building on 32 bit platforms. This is the same
approach used for pointer conversions in the openjdk sources.

bench_ecdh: fix call to secp256k1_context_create

Add some missing `VERIFY_CHECK(ctx != NULL)` for functions that use `ARG_CHECK`

The `ARG_CHECK` macro requires that a variable called `ctx` exist and be
non-NULL. However, in several functions that do not use the context variable,
we simply ignore it with `(void)ctx`. Replace these with explicit checks for
non-NULLness to avoid invalid memory accesses.

align shared files copyright/comments to bitcoinj's

Update .gitignore

Don't ignore everything under build-aux

Merge #373: build: fix x86_64 asm detection for some compilers

3f8fdfb build: fix x86_64 asm detection for some compilers (Cory Fields)

Merge #374: Add note about y=0 being possible on one of the sextic twists

e72e93a Add note about y=0 being possible on one of the sextic twists (Andrew Poelstra)

Merge #364: JNI rebased

86e2d07 JNI library: cleanup, removed unimplemented code (GreenAddress)
3093576 JNI library (GreenAddress)

JNI library: cleanup, removed unimplemented code

JNI library

Squashed and rebased. Thanks to @theuni and @faizkhan00 for doing
the majority of work here! Also thanks to @btchip for help with debugging
and review.

Merge pull request #371

e5a9047 [Trivial] Remove double semicolons (paveljanik)

Add note about y=0 being possible on one of the sextic twists

build: fix x86_64 asm detection for some compilers

I Noticed this on OSX with clang, though it likely happens elsewhere as well.
The result is disabled x86_64 asm.

Due to missing escaping, this $0 was interpreted as the function name
SECP_64BIT_ASM_CHECK, causing the compile-check to be broken on some compilers.

The actual check looked like this:

int main()
{
  uint64_t a = 11, tmp;
  __asm__ __volatile__("movq SECP_64BIT_ASM_CHECKx100000000,%1; mulq %%rsi" : "+a"(a) : "S"(tmp) : "cc", "%rdx");
  return 0;
}

It seems even more odd that it compiled anywhere.

[Trivial] Remove double semicolons