src/3rdparty/monocypher/CHANGELOG.md

   1 4.0.2
   2 -----
   3 2023/08/24
   4
   5 - Fixed multiple-lanes Argon2.
   6 - Improved Poly1305 performance.
   7 - Improved Argon2 performance.
   8 - Makefiles no longer override standard environment variables.
   9
  10
  11 4.0.1
  12 -----
  13 2023/03/06
  14
  15 - Fixed Ed25519 secret key size in function prototype.
  16 - Fixed soname (should have been changed in 4.0.0)
  17 - Added convenience sub-targets to makefile.
  18 - Briefly specified wire format of Elligator and incremental AEAD.
  19
  20
  21 4.0.0
  22 -----
  23 2023/02/20
  24
  25 - Fixed unsafe signature API.
  26 - Simpler, more flexible low-level signature API.
  27 - Fully specified, consensus-friendly signatures.
  28 - Added Argon2d and Argon2id, support multiple lanes.
  29 - Added safe and fast streaming AEAD.
  30 - Added HKDF-SHA-512 and documented BLAKE2b KDF.
  31 - More consistent and memorable function names.
  32 - POSIX makefile.
  33
  34
  35 3.1.3
  36 -----
  37 2022/04/25
  38
  39 - Fixed many typos in the documentation.
  40 - Fixed buffer overflow in speed benchmarks.
  41 - Fixed some MSVC warnings.
  42 - Fixed a minor violation of the Elligator2 reverse map specs.
  43 - Added `change-prefix.sh` to help changing the `crypto_` prefix.
  44 - Added the `MONOCYPHER_CPP_NAMESPACE` preprocessor definition to
  45   support namespaces for C++.
  46 - Deprecated `crypto_key_exchange()`
  47 - Use GitHub actions to automate the regular test suite.
  48
  49
  50 3.1.2
  51 -----
  52 2020/12/27
  53
  54 - Addressed issues from Cure53's audit:
  55   - MON-01-001: Clarified which CSPRNG to use on Darwin.
  56   - MON-01-002: Won't fix (nonce handling is a core design decision).
  57   - MON-01-004: Compared with Kleshni's implementation.
  58   - MON-01-005: Split a dedicated "advanced" folder in the manual.
  59 - Quality assurance for 2^255-19 arithmetic (elliptic curves):
  60   - Documented carry propagation.
  61   - Enforced slightly safer invariants.
  62 - Improved the speed of EdDSA signature generation.
  63 - Made the vectors.h header more compact and easier to modify.
  64 - TIS-CI integration.
  65 - Added speed benchmark for ed25519-donna.
  66 - Documented lengths limits of `crypto_ietf_chacha20()`
  67
  68
  69 3.1.1
  70 -----
  71 2020/06/15
  72
  73 - Various documentation fixes.
  74 - Fixed various compiler warnings.
  75 - Fixed some integer overflows (16-bit platforms only).
  76
  77
  78 3.1.0
  79 -----
  80 2020/04/03
  81
  82 - Added Elligator 2 mappings (hash to curve, curve to hash).
  83 - Added OPRF support (with scalar inversion).
  84 - Added Edwards25519 -> Curve25519 conversions.
  85
  86
  87 3.0.0
  88 -----
  89 2020/01/19
  90
  91 - Deprecated the incremental AEAD interface.
  92 - Deprecated the incremental Chacha20, added a direct interface.
  93 - Added IETF Chacha20 (96-bit nonce), as described in RFC 8439.
  94 - Moved deprecated interfaces to a separate `src/deprecated` folder.
  95 - Removed the `ED25519_SHA512` preprocessor flag.
  96 - `crypto_x25519()` and `crypto_key_exchange()` now return `void`.
  97 - Added a custom hash interface to EdDSA.  Several instances of EdDSA
  98   can share the same binary.
  99 - Added optional support for HMAC SHA-512.
 100 - Moved SHA-512 operations to `src/optional/monocypher-ed25519.(h|c)`.
 101 - Optional support for Ed25519 no longer requires a preprocessor flag.
 102   Add `src/optional/monocypher-ed25519.(h|c)` to your project instead.
 103
 104
 105 2.0.6
 106 -----
 107 2019/10/21
 108
 109 - Added the `BLAKE2_NO_UNROLLING` preprocessor definition. Activating
 110   it makes the binary about 5KB smaller and speeds up processing times
 111   on many embedded processors.
 112 - Reduced the stack usage of signature verification by about
 113   40%. Signature verification now fits in smaller machines.
 114 - Fixed many implicit casts warnings.
 115 - Fixed the manual here and there.
 116 - Lots of small nitpicks.
 117
 118
 119 2.0.5
 120 -----
 121 2018/08/23
 122
 123 - Faster EdDSA signatures and verification.  Like, 4 times as fast.
 124
 125
 126 2.0.4
 127 -----
 128 2018/06/24
 129
 130 - Corrected a critical vulnerability found by Mike Pechkin in EdDSA,
 131   where crypto_check() was accepting invalid signatures.  The current
 132   fix removes a buggy optimisation, effectively halving the performance
 133   of EdDSA.
 134 - The test suite no longer tries to allocate zero bytes (some platforms
 135   fail such an allocation).
 136
 137 2.0.3
 138 -----
 139 2018/06/16
 140
 141 - Corrected undefined behaviour in BLAKE2b.
 142 - Improved the test suite (faster, better coverage).
 143
 144 2.0.2
 145 -----
 146 2018/04/23
 147
 148 - Corrected a couple failures to wipe secret buffers.
 149 - Corrected a bug that prevented compilation in Ed25519 mode.
 150 - Adjusted the number of test vectors in the test suite.
 151 - Improved tests for incremental interfaces.
 152 - Replaced the GNU all permissive licence by a public domain dedication
 153   (Creative Commons CC-0).  The BSD licence remains as a fallback.
 154
 155 2.0.1
 156 -----
 157 2018/03/07
 158
 159 - Followed a systematic pattern for the loading code of symmetric
 160   crypto.  It is now easier to review.
 161 - Tweaked Poly1305 code to make it easier to prove correct.
 162
 163 2.0.0
 164 -----
 165 2018/02/14
 166
 167 - Changed the authenticated encryption format.  It now conforms to
 168   RFC 7539, with one exception: it uses XChacha20 initialisation instead
 169   of the IETF version of Chacha20.  This new format conforms to
 170   libsodium's `crypto_aead_xchacha20poly1305_ietf_encrypt`.
 171 - Removed `crypto_lock_encrypt()` and `crypto_lock_auth()`.
 172 - Renamed `crypto_lock_aead_auth()` to `crypto_lock_auth_ad()`.
 173 - Renamed `crypto_unlock_aead_auth()` to `crypto_unlock_auth_ad()`.
 174 - Added `crypto_lock_auth_message()` and `crypto_unlock_auth_message()`.
 175 - Renamed `crypto_aead_lock` to `crypto_lock_aead`.
 176 - Renamed `crypto_aead_unlock` to `crypto_unlock_aead`.
 177
 178 The format change facilitates optimisation by aligning data to block
 179 boundaries.  The API changes increase consistency.
 180
 181 1.1.0
 182 -----
 183 2018/02/06
 184
 185 - Rewrote the manual into proper man pages.
 186 - Added incremental interfaces for authenticated encryption and
 187   signatures.
 188 - Replaced `crypto_memcmp()` by 3 fixed size buffer comparisons (16, 32,
 189   and 64 bytes), to make sure the generated code remains constant time.
 190 - A couple breaking API changes, easily fixed by renaming the affected
 191   functions.
 192
 193 1.0.1
 194 -----
 195 2017/07/23
 196
 197 - Optimised the loading and unloading code of the symmetric crypto
 198   (BLAKE2b, SHA-512, Chacha20, and Poly1305).
 199 - Fused self-contained tests together for easier analysis with Frama-C
 200   and the TIS interpreter.
 201
 202 1.0
 203 ---
 204 2017/07/18
 205
 206 - Renamed `crypto_chacha20_Xinit` to `crypto_chacha20_x_init`, for
 207   consistency reasons (snake case everywhere).
 208 - Fixed signed integer overflow detected by UBSan.
 209 - Doubled the speed of EdDSA by performing the scalar product in
 210   Montgomery space.
 211
 212 0.8
 213 ---
 214 2017/07/06
 215
 216 - Added about a hundred lines of code to improve performance of public
 217   key cryptography.  Diffie-Hellman is now 20% faster than before.
 218   The effects are less pronounced for EdDSA.
 219 - Added random self-consistency tests.
 220 - Added a speed benchmark against libsodium.
 221
 222 0.7
 223 ---
 224 2017/06/07
 225
 226 - Slightly changed the authenticated encryption API.  Functions are
 227   now all in "detached" mode.  The reason is better support for
 228   authenticated encryption _without_ additional data.
 229 - Rewrote BLAKE2b from spec so it can use the same licence as
 230   everything else.
 231 - Added random tests that compare Monocypher with libsodium and
 232   ed25519-donna.
 233 - Added explicit support for Frama-C analysis (this doesn't affect the
 234   source code).
 235
 236 0.6
 237 ---
 238 2017/03/17
 239
 240 - Fixed incorrect Poly1305 output on empty messages.  (Found by Mike
 241   Pechkin.)
 242
 243 0.5
 244 ---
 245 2017/03/10
 246
 247 - Fixed many undefined behaviours in Curve25519 that occur whenever
 248   we perform a left shift on a signed negative integer.  It doesn't
 249   affect the generated code, but you never know.  (Found with Frama-C
 250   by André Maroneze.)
 251
 252 Fun fact: TweetNaCl and ref10 have the same bug.  Libsodium has
 253 corrected the issue, though.
 254
 255 For those who don't comprehend the magnitude of this madness, the
 256 expression `-1 << 3` is undefined in C.  This is explained in
 257 section 6.5.7(§4) of the C11 standard.
 258
 259 0.4
 260 ---
 261 2017/03/09
 262
 263 - Fixed critical bug causing Argon2i to fail whenever it uses more
 264   than 512 blocks.  It was reading uninitialised memory and the
 265   results were incorrect.  (Found by Mike Pechkin.)
 266 - Fixed an undefined behaviour in Curve25519 (`fe_tobytes()`).  It was
 267   accessing uninitialised memory before throwing it away.  It didn't
 268   affect the compiled code nor the results, but you never know.
 269   (Found with [Frama-C](http://frama-c.com) by André Maroneze.)
 270
 271 0.3
 272 ---
 273 2017/02/27
 274
 275 - Got the invariants of Poly1305 right and put them in the comments.
 276   There was no bug, but that was lucky (turned out the IETF test
 277   vectors were designed to trigger the bugs I was afraid of).
 278 - Simplified Poly1305 finalisation (replaced conditional subtraction
 279   by a carry propagation).
 280 - Made a few cosmetic changes here and there.
 281
 282 0.2
 283 ---
 284 ????/??/??
 285
 286 - Public interface significantly reworked. Removed redundant, hard to
 287   mess up constructions.
 288 - Added AEAD.
 289 - Sped up Curve25519 by a factor of more than 6 (switched to ref10
 290   arithmetic).
 291 - Added various test vectors and completed the consistency tests.
 292
 293 0.1
 294 ---
 295 2016/??/??