512b11537d40357899a30dbaad4e3c031a091fe0
[dragonfly.git] / crypto / openssl-0.9 / CHANGES
1
2  OpenSSL CHANGES
3  _______________
4
5  Changes between 0.9.8f and 0.9.8g  [19 Oct 2007]
6
7   *) Fix various bugs:
8      + Binary incompatibility of ssl_ctx_st structure
9      + DTLS interoperation with non-compliant servers
10      + Don't call get_session_cb() without proposed session
11      + Fix ia64 assembler code
12      [Andy Polyakov, Steve Henson]
13
14  Changes between 0.9.8e and 0.9.8f  [11 Oct 2007]
15
16   *) DTLS Handshake overhaul. There were longstanding issues with
17      OpenSSL DTLS implementation, which were making it impossible for
18      RFC 4347 compliant client to communicate with OpenSSL server.
19      Unfortunately just fixing these incompatibilities would "cut off"
20      pre-0.9.8f clients. To allow for hassle free upgrade post-0.9.8e
21      server keeps tolerating non RFC compliant syntax. The opposite is
22      not true, 0.9.8f client can not communicate with earlier server.
23      This update even addresses CVE-2007-4995.
24      [Andy Polyakov]
25
26   *) Changes to avoid need for function casts in OpenSSL: some compilers
27      (gcc 4.2 and later) reject their use.
28      [Kurt Roeckx <kurt@roeckx.be>, Peter Hartley <pdh@utter.chaos.org.uk>,
29       Steve Henson]
30   
31   *) Add RFC4507 support to OpenSSL. This includes the corrections in
32      RFC4507bis. The encrypted ticket format is an encrypted encoded
33      SSL_SESSION structure, that way new session features are automatically
34      supported.
35
36      If a client application caches session in an SSL_SESSION structure
37      support is transparent because tickets are now stored in the encoded
38      SSL_SESSION.
39      
40      The SSL_CTX structure automatically generates keys for ticket
41      protection in servers so again support should be possible
42      with no application modification.
43
44      If a client or server wishes to disable RFC4507 support then the option
45      SSL_OP_NO_TICKET can be set.
46
47      Add a TLS extension debugging callback to allow the contents of any client
48      or server extensions to be examined.
49
50      This work was sponsored by Google.
51      [Steve Henson]
52
53   *) Add initial support for TLS extensions, specifically for the server_name
54      extension so far.  The SSL_SESSION, SSL_CTX, and SSL data structures now
55      have new members for a host name.  The SSL data structure has an
56      additional member SSL_CTX *initial_ctx so that new sessions can be
57      stored in that context to allow for session resumption, even after the
58      SSL has been switched to a new SSL_CTX in reaction to a client's
59      server_name extension.
60
61      New functions (subject to change):
62
63          SSL_get_servername()
64          SSL_get_servername_type()
65          SSL_set_SSL_CTX()
66
67      New CTRL codes and macros (subject to change):
68
69          SSL_CTRL_SET_TLSEXT_SERVERNAME_CB
70                                  - SSL_CTX_set_tlsext_servername_callback()
71          SSL_CTRL_SET_TLSEXT_SERVERNAME_ARG
72                                       - SSL_CTX_set_tlsext_servername_arg()
73          SSL_CTRL_SET_TLSEXT_HOSTNAME           - SSL_set_tlsext_host_name()
74
75      openssl s_client has a new '-servername ...' option.
76
77      openssl s_server has new options '-servername_host ...', '-cert2 ...',
78      '-key2 ...', '-servername_fatal' (subject to change).  This allows
79      testing the HostName extension for a specific single host name ('-cert'
80      and '-key' remain fallbacks for handshakes without HostName
81      negotiation).  If the unrecogninzed_name alert has to be sent, this by
82      default is a warning; it becomes fatal with the '-servername_fatal'
83      option.
84
85      [Peter Sylvester,  Remy Allais, Christophe Renou, Steve Henson]
86
87   *) Add AES and SSE2 assembly language support to VC++ build.
88      [Steve Henson]
89
90   *) Mitigate attack on final subtraction in Montgomery reduction.
91      [Andy Polyakov]
92
93   *) Fix crypto/ec/ec_mult.c to work properly with scalars of value 0
94      (which previously caused an internal error).
95      [Bodo Moeller]
96
97   *) Squeeze another 10% out of IGE mode when in != out.
98      [Ben Laurie]
99
100   *) AES IGE mode speedup.
101      [Dean Gaudet (Google)]
102
103   *) Add the Korean symmetric 128-bit cipher SEED (see
104      http://www.kisa.or.kr/kisa/seed/jsp/seed_eng.jsp) and
105      add SEED ciphersuites from RFC 4162:
106
107         TLS_RSA_WITH_SEED_CBC_SHA      =  "SEED-SHA"
108         TLS_DHE_DSS_WITH_SEED_CBC_SHA  =  "DHE-DSS-SEED-SHA"
109         TLS_DHE_RSA_WITH_SEED_CBC_SHA  =  "DHE-RSA-SEED-SHA"
110         TLS_DH_anon_WITH_SEED_CBC_SHA  =  "ADH-SEED-SHA"
111
112      To minimize changes between patchlevels in the OpenSSL 0.9.8
113      series, SEED remains excluded from compilation unless OpenSSL
114      is configured with 'enable-seed'.
115      [KISA, Bodo Moeller]
116
117   *) Mitigate branch prediction attacks, which can be practical if a
118      single processor is shared, allowing a spy process to extract
119      information.  For detailed background information, see
120      http://eprint.iacr.org/2007/039 (O. Aciicmez, S. Gueron,
121      J.-P. Seifert, "New Branch Prediction Vulnerabilities in OpenSSL
122      and Necessary Software Countermeasures").  The core of the change
123      are new versions BN_div_no_branch() and
124      BN_mod_inverse_no_branch() of BN_div() and BN_mod_inverse(),
125      respectively, which are slower, but avoid the security-relevant
126      conditional branches.  These are automatically called by BN_div()
127      and BN_mod_inverse() if the flag BN_FLG_CONSTTIME is set for one
128      of the input BIGNUMs.  Also, BN_is_bit_set() has been changed to
129      remove a conditional branch.
130
131      BN_FLG_CONSTTIME is the new name for the previous
132      BN_FLG_EXP_CONSTTIME flag, since it now affects more than just
133      modular exponentiation.  (Since OpenSSL 0.9.7h, setting this flag
134      in the exponent causes BN_mod_exp_mont() to use the alternative
135      implementation in BN_mod_exp_mont_consttime().)  The old name
136      remains as a deprecated alias.
137
138      Similary, RSA_FLAG_NO_EXP_CONSTTIME is replaced by a more general
139      RSA_FLAG_NO_CONSTTIME flag since the RSA implementation now uses
140      constant-time implementations for more than just exponentiation.
141      Here too the old name is kept as a deprecated alias.
142
143      BN_BLINDING_new() will now use BN_dup() for the modulus so that
144      the BN_BLINDING structure gets an independent copy of the
145      modulus.  This means that the previous "BIGNUM *m" argument to
146      BN_BLINDING_new() and to BN_BLINDING_create_param() now
147      essentially becomes "const BIGNUM *m", although we can't actually
148      change this in the header file before 0.9.9.  It allows
149      RSA_setup_blinding() to use BN_with_flags() on the modulus to
150      enable BN_FLG_CONSTTIME.
151
152      [Matthew D Wood (Intel Corp)]
153
154   *) In the SSL/TLS server implementation, be strict about session ID
155      context matching (which matters if an application uses a single
156      external cache for different purposes).  Previously,
157      out-of-context reuse was forbidden only if SSL_VERIFY_PEER was
158      set.  This did ensure strict client verification, but meant that,
159      with applications using a single external cache for quite
160      different requirements, clients could circumvent ciphersuite
161      restrictions for a given session ID context by starting a session
162      in a different context.
163      [Bodo Moeller]
164
165   *) Include "!eNULL" in SSL_DEFAULT_CIPHER_LIST to make sure that
166      a ciphersuite string such as "DEFAULT:RSA" cannot enable
167      authentication-only ciphersuites.
168      [Bodo Moeller]
169
170  Changes between 0.9.8d and 0.9.8e  [23 Feb 2007]
171
172   *) Since AES128 and AES256 (and similarly Camellia128 and
173      Camellia256) share a single mask bit in the logic of
174      ssl/ssl_ciph.c, the code for masking out disabled ciphers needs a
175      kludge to work properly if AES128 is available and AES256 isn't
176      (or if Camellia128 is available and Camellia256 isn't).
177      [Victor Duchovni]
178
179   *) Fix the BIT STRING encoding generated by crypto/ec/ec_asn1.c
180      (within i2d_ECPrivateKey, i2d_ECPKParameters, i2d_ECParameters):
181      When a point or a seed is encoded in a BIT STRING, we need to
182      prevent the removal of trailing zero bits to get the proper DER
183      encoding.  (By default, crypto/asn1/a_bitstr.c assumes the case
184      of a NamedBitList, for which trailing 0 bits need to be removed.)
185      [Bodo Moeller]
186
187   *) Have SSL/TLS server implementation tolerate "mismatched" record
188      protocol version while receiving ClientHello even if the
189      ClientHello is fragmented.  (The server can't insist on the
190      particular protocol version it has chosen before the ServerHello
191      message has informed the client about his choice.)
192      [Bodo Moeller]
193
194   *) Add RFC 3779 support.
195      [Rob Austein for ARIN, Ben Laurie]
196
197   *) Load error codes if they are not already present instead of using a
198      static variable. This allows them to be cleanly unloaded and reloaded.
199      Improve header file function name parsing.
200      [Steve Henson]
201
202   *) extend SMTP and IMAP protocol emulation in s_client to use EHLO
203      or CAPABILITY handshake as required by RFCs.
204      [Goetz Babin-Ebell]
205
206  Changes between 0.9.8c and 0.9.8d  [28 Sep 2006]
207
208   *) Introduce limits to prevent malicious keys being able to
209      cause a denial of service.  (CVE-2006-2940)
210      [Steve Henson, Bodo Moeller]
211
212   *) Fix ASN.1 parsing of certain invalid structures that can result
213      in a denial of service.  (CVE-2006-2937)  [Steve Henson]
214
215   *) Fix buffer overflow in SSL_get_shared_ciphers() function. 
216      (CVE-2006-3738) [Tavis Ormandy and Will Drewry, Google Security Team]
217
218   *) Fix SSL client code which could crash if connecting to a
219      malicious SSLv2 server.  (CVE-2006-4343)
220      [Tavis Ormandy and Will Drewry, Google Security Team]
221
222   *) Since 0.9.8b, ciphersuite strings naming explicit ciphersuites
223      match only those.  Before that, "AES256-SHA" would be interpreted
224      as a pattern and match "AES128-SHA" too (since AES128-SHA got
225      the same strength classification in 0.9.7h) as we currently only
226      have a single AES bit in the ciphersuite description bitmap.
227      That change, however, also applied to ciphersuite strings such as
228      "RC4-MD5" that intentionally matched multiple ciphersuites --
229      namely, SSL 2.0 ciphersuites in addition to the more common ones
230      from SSL 3.0/TLS 1.0.
231
232      So we change the selection algorithm again: Naming an explicit
233      ciphersuite selects this one ciphersuite, and any other similar
234      ciphersuite (same bitmap) from *other* protocol versions.
235      Thus, "RC4-MD5" again will properly select both the SSL 2.0
236      ciphersuite and the SSL 3.0/TLS 1.0 ciphersuite.
237
238      Since SSL 2.0 does not have any ciphersuites for which the
239      128/256 bit distinction would be relevant, this works for now.
240      The proper fix will be to use different bits for AES128 and
241      AES256, which would have avoided the problems from the beginning;
242      however, bits are scarce, so we can only do this in a new release
243      (not just a patchlevel) when we can change the SSL_CIPHER
244      definition to split the single 'unsigned long mask' bitmap into
245      multiple values to extend the available space.
246
247      [Bodo Moeller]
248
249  Changes between 0.9.8b and 0.9.8c  [05 Sep 2006]
250
251   *) Avoid PKCS #1 v1.5 signature attack discovered by Daniel Bleichenbacher
252      (CVE-2006-4339)  [Ben Laurie and Google Security Team]
253
254   *) Add AES IGE and biIGE modes.
255      [Ben Laurie]
256
257   *) Change the Unix randomness entropy gathering to use poll() when
258      possible instead of select(), since the latter has some
259      undesirable limitations.
260      [Darryl Miles via Richard Levitte and Bodo Moeller]
261
262   *) Disable "ECCdraft" ciphersuites more thoroughly.  Now special
263      treatment in ssl/ssl_ciph.s makes sure that these ciphersuites
264      cannot be implicitly activated as part of, e.g., the "AES" alias.
265      However, please upgrade to OpenSSL 0.9.9[-dev] for
266      non-experimental use of the ECC ciphersuites to get TLS extension
267      support, which is required for curve and point format negotiation
268      to avoid potential handshake problems.
269      [Bodo Moeller]
270
271   *) Disable rogue ciphersuites:
272
273       - SSLv2 0x08 0x00 0x80 ("RC4-64-MD5")
274       - SSLv3/TLSv1 0x00 0x61 ("EXP1024-RC2-CBC-MD5")
275       - SSLv3/TLSv1 0x00 0x60 ("EXP1024-RC4-MD5")
276
277      The latter two were purportedly from
278      draft-ietf-tls-56-bit-ciphersuites-0[01].txt, but do not really
279      appear there.
280
281      Also deactivate the remaining ciphersuites from
282      draft-ietf-tls-56-bit-ciphersuites-01.txt.  These are just as
283      unofficial, and the ID has long expired.
284      [Bodo Moeller]
285
286   *) Fix RSA blinding Heisenbug (problems sometimes occured on
287      dual-core machines) and other potential thread-safety issues.
288      [Bodo Moeller]
289
290   *) Add the symmetric cipher Camellia (128-bit, 192-bit, 256-bit key
291      versions), which is now available for royalty-free use
292      (see http://info.isl.ntt.co.jp/crypt/eng/info/chiteki.html).
293      Also, add Camellia TLS ciphersuites from RFC 4132.
294
295      To minimize changes between patchlevels in the OpenSSL 0.9.8
296      series, Camellia remains excluded from compilation unless OpenSSL
297      is configured with 'enable-camellia'.
298      [NTT]
299
300   *) Disable the padding bug check when compression is in use. The padding
301      bug check assumes the first packet is of even length, this is not
302      necessarily true if compresssion is enabled and can result in false
303      positives causing handshake failure. The actual bug test is ancient
304      code so it is hoped that implementations will either have fixed it by
305      now or any which still have the bug do not support compression.
306      [Steve Henson]
307
308  Changes between 0.9.8a and 0.9.8b  [04 May 2006]
309
310   *) When applying a cipher rule check to see if string match is an explicit
311      cipher suite and only match that one cipher suite if it is.
312      [Steve Henson]
313
314   *) Link in manifests for VC++ if needed.
315      [Austin Ziegler <halostatue@gmail.com>]
316
317   *) Update support for ECC-based TLS ciphersuites according to
318      draft-ietf-tls-ecc-12.txt with proposed changes (but without
319      TLS extensions, which are supported starting with the 0.9.9
320      branch, not in the OpenSSL 0.9.8 branch).
321      [Douglas Stebila]
322
323   *) New functions EVP_CIPHER_CTX_new() and EVP_CIPHER_CTX_free() to support
324      opaque EVP_CIPHER_CTX handling.
325      [Steve Henson]
326
327   *) Fixes and enhancements to zlib compression code. We now only use
328      "zlib1.dll" and use the default __cdecl calling convention on Win32
329      to conform with the standards mentioned here:
330            http://www.zlib.net/DLL_FAQ.txt
331      Static zlib linking now works on Windows and the new --with-zlib-include
332      --with-zlib-lib options to Configure can be used to supply the location
333      of the headers and library. Gracefully handle case where zlib library
334      can't be loaded.
335      [Steve Henson]
336
337   *) Several fixes and enhancements to the OID generation code. The old code
338      sometimes allowed invalid OIDs (1.X for X >= 40 for example), couldn't
339      handle numbers larger than ULONG_MAX, truncated printing and had a
340      non standard OBJ_obj2txt() behaviour.
341      [Steve Henson]
342
343   *) Add support for building of engines under engine/ as shared libraries
344      under VC++ build system.
345      [Steve Henson]
346
347   *) Corrected the numerous bugs in the Win32 path splitter in DSO.
348      Hopefully, we will not see any false combination of paths any more.
349      [Richard Levitte]
350
351  Changes between 0.9.8 and 0.9.8a  [11 Oct 2005]
352
353   *) Remove the functionality of SSL_OP_MSIE_SSLV2_RSA_PADDING
354      (part of SSL_OP_ALL).  This option used to disable the
355      countermeasure against man-in-the-middle protocol-version
356      rollback in the SSL 2.0 server implementation, which is a bad
357      idea.  (CVE-2005-2969)
358
359      [Bodo Moeller; problem pointed out by Yutaka Oiwa (Research Center
360      for Information Security, National Institute of Advanced Industrial
361      Science and Technology [AIST], Japan)]
362
363   *) Add two function to clear and return the verify parameter flags.
364      [Steve Henson]
365
366   *) Keep cipherlists sorted in the source instead of sorting them at
367      runtime, thus removing the need for a lock.
368      [Nils Larsch]
369
370   *) Avoid some small subgroup attacks in Diffie-Hellman.
371      [Nick Mathewson and Ben Laurie]
372
373   *) Add functions for well-known primes.
374      [Nick Mathewson]
375
376   *) Extended Windows CE support.
377      [Satoshi Nakamura and Andy Polyakov]
378
379   *) Initialize SSL_METHOD structures at compile time instead of during
380      runtime, thus removing the need for a lock.
381      [Steve Henson]
382
383   *) Make PKCS7_decrypt() work even if no certificate is supplied by
384      attempting to decrypt each encrypted key in turn. Add support to
385      smime utility.
386      [Steve Henson]
387
388  Changes between 0.9.7h and 0.9.8  [05 Jul 2005]
389
390   [NB: OpenSSL 0.9.7i and later 0.9.7 patch levels were released after
391   OpenSSL 0.9.8.]
392
393   *) Add libcrypto.pc and libssl.pc for those who feel they need them.
394      [Richard Levitte]
395
396   *) Change CA.sh and CA.pl so they don't bundle the CSR and the private
397      key into the same file any more.
398      [Richard Levitte]
399
400   *) Add initial support for Win64, both IA64 and AMD64/x64 flavors.
401      [Andy Polyakov]
402
403   *) Add -utf8 command line and config file option to 'ca'.
404      [Stefan <stf@udoma.org]
405
406   *) Removed the macro des_crypt(), as it seems to conflict with some
407      libraries.  Use DES_crypt().
408      [Richard Levitte]
409
410   *) Correct naming of the 'chil' and '4758cca' ENGINEs. This
411      involves renaming the source and generated shared-libs for
412      both. The engines will accept the corrected or legacy ids
413      ('ncipher' and '4758_cca' respectively) when binding. NB,
414      this only applies when building 'shared'.
415      [Corinna Vinschen <vinschen@redhat.com> and Geoff Thorpe]
416
417   *) Add attribute functions to EVP_PKEY structure. Modify
418      PKCS12_create() to recognize a CSP name attribute and
419      use it. Make -CSP option work again in pkcs12 utility.
420      [Steve Henson]
421
422   *) Add new functionality to the bn blinding code:
423      - automatic re-creation of the BN_BLINDING parameters after
424        a fixed number of uses (currently 32)
425      - add new function for parameter creation
426      - introduce flags to control the update behaviour of the
427        BN_BLINDING parameters
428      - hide BN_BLINDING structure
429      Add a second BN_BLINDING slot to the RSA structure to improve
430      performance when a single RSA object is shared among several
431      threads.
432      [Nils Larsch]
433
434   *) Add support for DTLS.
435      [Nagendra Modadugu <nagendra@cs.stanford.edu> and Ben Laurie]
436
437   *) Add support for DER encoded private keys (SSL_FILETYPE_ASN1)
438      to SSL_CTX_use_PrivateKey_file() and SSL_use_PrivateKey_file()
439      [Walter Goulet]
440
441   *) Remove buggy and incompletet DH cert support from
442      ssl/ssl_rsa.c and ssl/s3_both.c
443      [Nils Larsch]
444
445   *) Use SHA-1 instead of MD5 as the default digest algorithm for
446      the apps/openssl applications.
447      [Nils Larsch]
448
449   *) Compile clean with "-Wall -Wmissing-prototypes
450      -Wstrict-prototypes -Wmissing-declarations -Werror". Currently
451      DEBUG_SAFESTACK must also be set.
452      [Ben Laurie]
453
454   *) Change ./Configure so that certain algorithms can be disabled by default.
455      The new counterpiece to "no-xxx" is "enable-xxx".
456
457      The patented RC5 and MDC2 algorithms will now be disabled unless
458      "enable-rc5" and "enable-mdc2", respectively, are specified.
459
460      (IDEA remains enabled despite being patented.  This is because IDEA
461      is frequently required for interoperability, and there is no license
462      fee for non-commercial use.  As before, "no-idea" can be used to
463      avoid this algorithm.)
464
465      [Bodo Moeller]
466
467   *) Add processing of proxy certificates (see RFC 3820).  This work was
468      sponsored by KTH (The Royal Institute of Technology in Stockholm) and
469      EGEE (Enabling Grids for E-science in Europe).
470      [Richard Levitte]
471
472   *) RC4 performance overhaul on modern architectures/implementations, such
473      as Intel P4, IA-64 and AMD64.
474      [Andy Polyakov]
475
476   *) New utility extract-section.pl. This can be used specify an alternative
477      section number in a pod file instead of having to treat each file as
478      a separate case in Makefile. This can be done by adding two lines to the
479      pod file:
480
481      =for comment openssl_section:XXX
482
483      The blank line is mandatory.
484
485      [Steve Henson]
486
487   *) New arguments -certform, -keyform and -pass for s_client and s_server
488      to allow alternative format key and certificate files and passphrase
489      sources.
490      [Steve Henson]
491
492   *) New structure X509_VERIFY_PARAM which combines current verify parameters,
493      update associated structures and add various utility functions.
494
495      Add new policy related verify parameters, include policy checking in 
496      standard verify code. Enhance 'smime' application with extra parameters
497      to support policy checking and print out.
498      [Steve Henson]
499
500   *) Add a new engine to support VIA PadLock ACE extensions in the VIA C3
501      Nehemiah processors. These extensions support AES encryption in hardware
502      as well as RNG (though RNG support is currently disabled).
503      [Michal Ludvig <michal@logix.cz>, with help from Andy Polyakov]
504
505   *) Deprecate BN_[get|set]_params() functions (they were ignored internally).
506      [Geoff Thorpe]
507
508   *) New FIPS 180-2 algorithms, SHA-224/-256/-384/-512 are implemented.
509      [Andy Polyakov and a number of other people]
510
511   *) Improved PowerPC platform support. Most notably BIGNUM assembler
512      implementation contributed by IBM.
513      [Suresh Chari, Peter Waltenberg, Andy Polyakov]
514
515   *) The new 'RSA_generate_key_ex' function now takes a BIGNUM for the public
516      exponent rather than 'unsigned long'. There is a corresponding change to
517      the new 'rsa_keygen' element of the RSA_METHOD structure.
518      [Jelte Jansen, Geoff Thorpe]
519
520   *) Functionality for creating the initial serial number file is now
521      moved from CA.pl to the 'ca' utility with a new option -create_serial.
522
523      (Before OpenSSL 0.9.7e, CA.pl used to initialize the serial
524      number file to 1, which is bound to cause problems.  To avoid
525      the problems while respecting compatibility between different 0.9.7
526      patchlevels, 0.9.7e  employed 'openssl x509 -next_serial' in
527      CA.pl for serial number initialization.  With the new release 0.9.8,
528      we can fix the problem directly in the 'ca' utility.)
529      [Steve Henson]
530
531   *) Reduced header interdepencies by declaring more opaque objects in
532      ossl_typ.h. As a consequence, including some headers (eg. engine.h) will
533      give fewer recursive includes, which could break lazy source code - so
534      this change is covered by the OPENSSL_NO_DEPRECATED symbol. As always,
535      developers should define this symbol when building and using openssl to
536      ensure they track the recommended behaviour, interfaces, [etc], but
537      backwards-compatible behaviour prevails when this isn't defined.
538      [Geoff Thorpe]
539
540   *) New function X509_POLICY_NODE_print() which prints out policy nodes.
541      [Steve Henson]
542
543   *) Add new EVP function EVP_CIPHER_CTX_rand_key and associated functionality.
544      This will generate a random key of the appropriate length based on the 
545      cipher context. The EVP_CIPHER can provide its own random key generation
546      routine to support keys of a specific form. This is used in the des and 
547      3des routines to generate a key of the correct parity. Update S/MIME
548      code to use new functions and hence generate correct parity DES keys.
549      Add EVP_CHECK_DES_KEY #define to return an error if the key is not 
550      valid (weak or incorrect parity).
551      [Steve Henson]
552
553   *) Add a local set of CRLs that can be used by X509_verify_cert() as well
554      as looking them up. This is useful when the verified structure may contain
555      CRLs, for example PKCS#7 signedData. Modify PKCS7_verify() to use any CRLs
556      present unless the new PKCS7_NO_CRL flag is asserted.
557      [Steve Henson]
558
559   *) Extend ASN1 oid configuration module. It now additionally accepts the
560      syntax:
561
562      shortName = some long name, 1.2.3.4
563      [Steve Henson]
564
565   *) Reimplemented the BN_CTX implementation. There is now no more static
566      limitation on the number of variables it can handle nor the depth of the
567      "stack" handling for BN_CTX_start()/BN_CTX_end() pairs. The stack
568      information can now expand as required, and rather than having a single
569      static array of bignums, BN_CTX now uses a linked-list of such arrays
570      allowing it to expand on demand whilst maintaining the usefulness of
571      BN_CTX's "bundling".
572      [Geoff Thorpe]
573
574   *) Add a missing BN_CTX parameter to the 'rsa_mod_exp' callback in RSA_METHOD
575      to allow all RSA operations to function using a single BN_CTX.
576      [Geoff Thorpe]
577
578   *) Preliminary support for certificate policy evaluation and checking. This
579      is initially intended to pass the tests outlined in "Conformance Testing
580      of Relying Party Client Certificate Path Processing Logic" v1.07.
581      [Steve Henson]
582
583   *) bn_dup_expand() has been deprecated, it was introduced in 0.9.7 and
584      remained unused and not that useful. A variety of other little bignum
585      tweaks and fixes have also been made continuing on from the audit (see
586      below).
587      [Geoff Thorpe]
588
589   *) Constify all or almost all d2i, c2i, s2i and r2i functions, along with
590      associated ASN1, EVP and SSL functions and old ASN1 macros.
591      [Richard Levitte]
592
593   *) BN_zero() only needs to set 'top' and 'neg' to zero for correct results,
594      and this should never fail. So the return value from the use of
595      BN_set_word() (which can fail due to needless expansion) is now deprecated;
596      if OPENSSL_NO_DEPRECATED is defined, BN_zero() is a void macro.
597      [Geoff Thorpe]
598
599   *) BN_CTX_get() should return zero-valued bignums, providing the same
600      initialised value as BN_new().
601      [Geoff Thorpe, suggested by Ulf Möller]
602
603   *) Support for inhibitAnyPolicy certificate extension.
604      [Steve Henson]
605
606   *) An audit of the BIGNUM code is underway, for which debugging code is
607      enabled when BN_DEBUG is defined. This makes stricter enforcements on what
608      is considered valid when processing BIGNUMs, and causes execution to
609      assert() when a problem is discovered. If BN_DEBUG_RAND is defined,
610      further steps are taken to deliberately pollute unused data in BIGNUM
611      structures to try and expose faulty code further on. For now, openssl will
612      (in its default mode of operation) continue to tolerate the inconsistent
613      forms that it has tolerated in the past, but authors and packagers should
614      consider trying openssl and their own applications when compiled with
615      these debugging symbols defined. It will help highlight potential bugs in
616      their own code, and will improve the test coverage for OpenSSL itself. At
617      some point, these tighter rules will become openssl's default to improve
618      maintainability, though the assert()s and other overheads will remain only
619      in debugging configurations. See bn.h for more details.
620      [Geoff Thorpe, Nils Larsch, Ulf Möller]
621
622   *) BN_CTX_init() has been deprecated, as BN_CTX is an opaque structure
623      that can only be obtained through BN_CTX_new() (which implicitly
624      initialises it). The presence of this function only made it possible
625      to overwrite an existing structure (and cause memory leaks).
626      [Geoff Thorpe]
627
628   *) Because of the callback-based approach for implementing LHASH as a
629      template type, lh_insert() adds opaque objects to hash-tables and
630      lh_doall() or lh_doall_arg() are typically used with a destructor callback
631      to clean up those corresponding objects before destroying the hash table
632      (and losing the object pointers). So some over-zealous constifications in
633      LHASH have been relaxed so that lh_insert() does not take (nor store) the
634      objects as "const" and the lh_doall[_arg] callback wrappers are not
635      prototyped to have "const" restrictions on the object pointers they are
636      given (and so aren't required to cast them away any more).
637      [Geoff Thorpe]
638
639   *) The tmdiff.h API was so ugly and minimal that our own timing utility
640      (speed) prefers to use its own implementation. The two implementations
641      haven't been consolidated as yet (volunteers?) but the tmdiff API has had
642      its object type properly exposed (MS_TM) instead of casting to/from "char
643      *". This may still change yet if someone realises MS_TM and "ms_time_***"
644      aren't necessarily the greatest nomenclatures - but this is what was used
645      internally to the implementation so I've used that for now.
646      [Geoff Thorpe]
647
648   *) Ensure that deprecated functions do not get compiled when
649      OPENSSL_NO_DEPRECATED is defined. Some "openssl" subcommands and a few of
650      the self-tests were still using deprecated key-generation functions so
651      these have been updated also.
652      [Geoff Thorpe]
653
654   *) Reorganise PKCS#7 code to separate the digest location functionality
655      into PKCS7_find_digest(), digest addtion into PKCS7_bio_add_digest().
656      New function PKCS7_set_digest() to set the digest type for PKCS#7
657      digestedData type. Add additional code to correctly generate the
658      digestedData type and add support for this type in PKCS7 initialization
659      functions.
660      [Steve Henson]
661
662   *) New function PKCS7_set0_type_other() this initializes a PKCS7 
663      structure of type "other".
664      [Steve Henson]
665
666   *) Fix prime generation loop in crypto/bn/bn_prime.pl by making
667      sure the loop does correctly stop and breaking ("division by zero")
668      modulus operations are not performed. The (pre-generated) prime
669      table crypto/bn/bn_prime.h was already correct, but it could not be
670      re-generated on some platforms because of the "division by zero"
671      situation in the script.
672      [Ralf S. Engelschall]
673
674   *) Update support for ECC-based TLS ciphersuites according to
675      draft-ietf-tls-ecc-03.txt: the KDF1 key derivation function with
676      SHA-1 now is only used for "small" curves (where the
677      representation of a field element takes up to 24 bytes); for
678      larger curves, the field element resulting from ECDH is directly
679      used as premaster secret.
680      [Douglas Stebila (Sun Microsystems Laboratories)]
681
682   *) Add code for kP+lQ timings to crypto/ec/ectest.c, and add SEC2
683      curve secp160r1 to the tests.
684      [Douglas Stebila (Sun Microsystems Laboratories)]
685
686   *) Add the possibility to load symbols globally with DSO.
687      [Götz Babin-Ebell <babin-ebell@trustcenter.de> via Richard Levitte]
688
689   *) Add the functions ERR_set_mark() and ERR_pop_to_mark() for better
690      control of the error stack.
691      [Richard Levitte]
692
693   *) Add support for STORE in ENGINE.
694      [Richard Levitte]
695
696   *) Add the STORE type.  The intention is to provide a common interface
697      to certificate and key stores, be they simple file-based stores, or
698      HSM-type store, or LDAP stores, or...
699      NOTE: The code is currently UNTESTED and isn't really used anywhere.
700      [Richard Levitte]
701
702   *) Add a generic structure called OPENSSL_ITEM.  This can be used to
703      pass a list of arguments to any function as well as provide a way
704      for a function to pass data back to the caller.
705      [Richard Levitte]
706
707   *) Add the functions BUF_strndup() and BUF_memdup().  BUF_strndup()
708      works like BUF_strdup() but can be used to duplicate a portion of
709      a string.  The copy gets NUL-terminated.  BUF_memdup() duplicates
710      a memory area.
711      [Richard Levitte]
712
713   *) Add the function sk_find_ex() which works like sk_find(), but will
714      return an index to an element even if an exact match couldn't be
715      found.  The index is guaranteed to point at the element where the
716      searched-for key would be inserted to preserve sorting order.
717      [Richard Levitte]
718
719   *) Add the function OBJ_bsearch_ex() which works like OBJ_bsearch() but
720      takes an extra flags argument for optional functionality.  Currently,
721      the following flags are defined:
722
723         OBJ_BSEARCH_VALUE_ON_NOMATCH
724         This one gets OBJ_bsearch_ex() to return a pointer to the first
725         element where the comparing function returns a negative or zero
726         number.
727
728         OBJ_BSEARCH_FIRST_VALUE_ON_MATCH
729         This one gets OBJ_bsearch_ex() to return a pointer to the first
730         element where the comparing function returns zero.  This is useful
731         if there are more than one element where the comparing function
732         returns zero.
733      [Richard Levitte]
734
735   *) Make it possible to create self-signed certificates with 'openssl ca'
736      in such a way that the self-signed certificate becomes part of the
737      CA database and uses the same mechanisms for serial number generation
738      as all other certificate signing.  The new flag '-selfsign' enables
739      this functionality.  Adapt CA.sh and CA.pl.in.
740      [Richard Levitte]
741
742   *) Add functionality to check the public key of a certificate request
743      against a given private.  This is useful to check that a certificate
744      request can be signed by that key (self-signing).
745      [Richard Levitte]
746
747   *) Make it possible to have multiple active certificates with the same
748      subject in the CA index file.  This is done only if the keyword
749      'unique_subject' is set to 'no' in the main CA section (default
750      if 'CA_default') of the configuration file.  The value is saved
751      with the database itself in a separate index attribute file,
752      named like the index file with '.attr' appended to the name.
753      [Richard Levitte]
754
755   *) Generate muti valued AVAs using '+' notation in config files for
756      req and dirName.
757      [Steve Henson]
758
759   *) Support for nameConstraints certificate extension.
760      [Steve Henson]
761
762   *) Support for policyConstraints certificate extension.
763      [Steve Henson]
764
765   *) Support for policyMappings certificate extension.
766      [Steve Henson]
767
768   *) Make sure the default DSA_METHOD implementation only uses its
769      dsa_mod_exp() and/or bn_mod_exp() handlers if they are non-NULL,
770      and change its own handlers to be NULL so as to remove unnecessary
771      indirection. This lets alternative implementations fallback to the
772      default implementation more easily.
773      [Geoff Thorpe]
774
775   *) Support for directoryName in GeneralName related extensions
776      in config files.
777      [Steve Henson]
778
779   *) Make it possible to link applications using Makefile.shared.
780      Make that possible even when linking against static libraries!
781      [Richard Levitte]
782
783   *) Support for single pass processing for S/MIME signing. This now
784      means that S/MIME signing can be done from a pipe, in addition
785      cleartext signing (multipart/signed type) is effectively streaming
786      and the signed data does not need to be all held in memory.
787
788      This is done with a new flag PKCS7_STREAM. When this flag is set
789      PKCS7_sign() only initializes the PKCS7 structure and the actual signing
790      is done after the data is output (and digests calculated) in
791      SMIME_write_PKCS7().
792      [Steve Henson]
793
794   *) Add full support for -rpath/-R, both in shared libraries and
795      applications, at least on the platforms where it's known how
796      to do it.
797      [Richard Levitte]
798
799   *) In crypto/ec/ec_mult.c, implement fast point multiplication with
800      precomputation, based on wNAF splitting: EC_GROUP_precompute_mult()
801      will now compute a table of multiples of the generator that
802      makes subsequent invocations of EC_POINTs_mul() or EC_POINT_mul()
803      faster (notably in the case of a single point multiplication,
804      scalar * generator).
805      [Nils Larsch, Bodo Moeller]
806
807   *) IPv6 support for certificate extensions. The various extensions
808      which use the IP:a.b.c.d can now take IPv6 addresses using the
809      formats of RFC1884 2.2 . IPv6 addresses are now also displayed
810      correctly.
811      [Steve Henson]
812
813   *) Added an ENGINE that implements RSA by performing private key
814      exponentiations with the GMP library. The conversions to and from
815      GMP's mpz_t format aren't optimised nor are any montgomery forms
816      cached, and on x86 it appears OpenSSL's own performance has caught up.
817      However there are likely to be other architectures where GMP could
818      provide a boost. This ENGINE is not built in by default, but it can be
819      specified at Configure time and should be accompanied by the necessary
820      linker additions, eg;
821          ./config -DOPENSSL_USE_GMP -lgmp
822      [Geoff Thorpe]
823
824   *) "openssl engine" will not display ENGINE/DSO load failure errors when
825      testing availability of engines with "-t" - the old behaviour is
826      produced by increasing the feature's verbosity with "-tt".
827      [Geoff Thorpe]
828
829   *) ECDSA routines: under certain error conditions uninitialized BN objects
830      could be freed. Solution: make sure initialization is performed early
831      enough. (Reported and fix supplied by Nils Larsch <nla@trustcenter.de>
832      via PR#459)
833      [Lutz Jaenicke]
834
835   *) Key-generation can now be implemented in RSA_METHOD, DSA_METHOD
836      and DH_METHOD (eg. by ENGINE implementations) to override the normal
837      software implementations. For DSA and DH, parameter generation can
838      also be overriden by providing the appropriate method callbacks.
839      [Geoff Thorpe]
840
841   *) Change the "progress" mechanism used in key-generation and
842      primality testing to functions that take a new BN_GENCB pointer in
843      place of callback/argument pairs. The new API functions have "_ex"
844      postfixes and the older functions are reimplemented as wrappers for
845      the new ones. The OPENSSL_NO_DEPRECATED symbol can be used to hide
846      declarations of the old functions to help (graceful) attempts to
847      migrate to the new functions. Also, the new key-generation API
848      functions operate on a caller-supplied key-structure and return
849      success/failure rather than returning a key or NULL - this is to
850      help make "keygen" another member function of RSA_METHOD etc.
851
852      Example for using the new callback interface:
853
854           int (*my_callback)(int a, int b, BN_GENCB *cb) = ...;
855           void *my_arg = ...;
856           BN_GENCB my_cb;
857
858           BN_GENCB_set(&my_cb, my_callback, my_arg);
859
860           return BN_is_prime_ex(some_bignum, BN_prime_checks, NULL, &cb);
861           /* For the meaning of a, b in calls to my_callback(), see the
862            * documentation of the function that calls the callback.
863            * cb will point to my_cb; my_arg can be retrieved as cb->arg.
864            * my_callback should return 1 if it wants BN_is_prime_ex()
865            * to continue, or 0 to stop.
866            */
867
868      [Geoff Thorpe]
869
870   *) Change the ZLIB compression method to be stateful, and make it
871      available to TLS with the number defined in 
872      draft-ietf-tls-compression-04.txt.
873      [Richard Levitte]
874
875   *) Add the ASN.1 structures and functions for CertificatePair, which
876      is defined as follows (according to X.509_4thEditionDraftV6.pdf):
877
878      CertificatePair ::= SEQUENCE {
879         forward         [0]     Certificate OPTIONAL,
880         reverse         [1]     Certificate OPTIONAL,
881         -- at least one of the pair shall be present -- }
882
883      Also implement the PEM functions to read and write certificate
884      pairs, and defined the PEM tag as "CERTIFICATE PAIR".
885
886      This needed to be defined, mostly for the sake of the LDAP
887      attribute crossCertificatePair, but may prove useful elsewhere as
888      well.
889      [Richard Levitte]
890
891   *) Make it possible to inhibit symlinking of shared libraries in
892      Makefile.shared, for Cygwin's sake.
893      [Richard Levitte]
894
895   *) Extend the BIGNUM API by creating a function 
896           void BN_set_negative(BIGNUM *a, int neg);
897      and a macro that behave like
898           int  BN_is_negative(const BIGNUM *a);
899
900      to avoid the need to access 'a->neg' directly in applications.
901      [Nils Larsch]
902
903   *) Implement fast modular reduction for pseudo-Mersenne primes
904      used in NIST curves (crypto/bn/bn_nist.c, crypto/ec/ecp_nist.c).
905      EC_GROUP_new_curve_GFp() will now automatically use this
906      if applicable.
907      [Nils Larsch <nla@trustcenter.de>]
908
909   *) Add new lock type (CRYPTO_LOCK_BN).
910      [Bodo Moeller]
911
912   *) Change the ENGINE framework to automatically load engines
913      dynamically from specific directories unless they could be
914      found to already be built in or loaded.  Move all the
915      current engines except for the cryptodev one to a new
916      directory engines/.
917      The engines in engines/ are built as shared libraries if
918      the "shared" options was given to ./Configure or ./config.
919      Otherwise, they are inserted in libcrypto.a.
920      /usr/local/ssl/engines is the default directory for dynamic
921      engines, but that can be overriden at configure time through
922      the usual use of --prefix and/or --openssldir, and at run
923      time with the environment variable OPENSSL_ENGINES.
924      [Geoff Thorpe and Richard Levitte]
925
926   *) Add Makefile.shared, a helper makefile to build shared
927      libraries.  Addapt Makefile.org.
928      [Richard Levitte]
929
930   *) Add version info to Win32 DLLs.
931      [Peter 'Luna' Runestig" <peter@runestig.com>]
932
933   *) Add new 'medium level' PKCS#12 API. Certificates and keys
934      can be added using this API to created arbitrary PKCS#12
935      files while avoiding the low level API.
936
937      New options to PKCS12_create(), key or cert can be NULL and
938      will then be omitted from the output file. The encryption
939      algorithm NIDs can be set to -1 for no encryption, the mac
940      iteration count can be set to 0 to omit the mac.
941
942      Enhance pkcs12 utility by making the -nokeys and -nocerts
943      options work when creating a PKCS#12 file. New option -nomac
944      to omit the mac, NONE can be set for an encryption algorithm.
945      New code is modified to use the enhanced PKCS12_create()
946      instead of the low level API.
947      [Steve Henson]
948
949   *) Extend ASN1 encoder to support indefinite length constructed
950      encoding. This can output sequences tags and octet strings in
951      this form. Modify pk7_asn1.c to support indefinite length
952      encoding. This is experimental and needs additional code to
953      be useful, such as an ASN1 bio and some enhanced streaming
954      PKCS#7 code.
955
956      Extend template encode functionality so that tagging is passed
957      down to the template encoder.
958      [Steve Henson]
959
960   *) Let 'openssl req' fail if an argument to '-newkey' is not
961      recognized instead of using RSA as a default.
962      [Bodo Moeller]
963
964   *) Add support for ECC-based ciphersuites from draft-ietf-tls-ecc-01.txt.
965      As these are not official, they are not included in "ALL";
966      the "ECCdraft" ciphersuite group alias can be used to select them.
967      [Vipul Gupta and Sumit Gupta (Sun Microsystems Laboratories)]
968
969   *) Add ECDH engine support.
970      [Nils Gura and Douglas Stebila (Sun Microsystems Laboratories)]
971
972   *) Add ECDH in new directory crypto/ecdh/.
973      [Douglas Stebila (Sun Microsystems Laboratories)]
974
975   *) Let BN_rand_range() abort with an error after 100 iterations
976      without success (which indicates a broken PRNG).
977      [Bodo Moeller]
978
979   *) Change BN_mod_sqrt() so that it verifies that the input value
980      is really the square of the return value.  (Previously,
981      BN_mod_sqrt would show GIGO behaviour.)
982      [Bodo Moeller]
983
984   *) Add named elliptic curves over binary fields from X9.62, SECG,
985      and WAP/WTLS; add OIDs that were still missing.
986
987      [Sheueling Chang Shantz and Douglas Stebila
988      (Sun Microsystems Laboratories)]
989
990   *) Extend the EC library for elliptic curves over binary fields
991      (new files ec2_smpl.c, ec2_smpt.c, ec2_mult.c in crypto/ec/).
992      New EC_METHOD:
993
994           EC_GF2m_simple_method
995
996      New API functions:
997
998           EC_GROUP_new_curve_GF2m
999           EC_GROUP_set_curve_GF2m
1000           EC_GROUP_get_curve_GF2m
1001           EC_POINT_set_affine_coordinates_GF2m
1002           EC_POINT_get_affine_coordinates_GF2m
1003           EC_POINT_set_compressed_coordinates_GF2m
1004
1005      Point compression for binary fields is disabled by default for
1006      patent reasons (compile with OPENSSL_EC_BIN_PT_COMP defined to
1007      enable it).
1008
1009      As binary polynomials are represented as BIGNUMs, various members
1010      of the EC_GROUP and EC_POINT data structures can be shared
1011      between the implementations for prime fields and binary fields;
1012      the above ..._GF2m functions (except for EX_GROUP_new_curve_GF2m)
1013      are essentially identical to their ..._GFp counterparts.
1014      (For simplicity, the '..._GFp' prefix has been dropped from
1015      various internal method names.)
1016
1017      An internal 'field_div' method (similar to 'field_mul' and
1018      'field_sqr') has been added; this is used only for binary fields.
1019
1020      [Sheueling Chang Shantz and Douglas Stebila
1021      (Sun Microsystems Laboratories)]
1022
1023   *) Optionally dispatch EC_POINT_mul(), EC_POINT_precompute_mult()
1024      through methods ('mul', 'precompute_mult').
1025
1026      The generic implementations (now internally called 'ec_wNAF_mul'
1027      and 'ec_wNAF_precomputed_mult') remain the default if these
1028      methods are undefined.
1029
1030      [Sheueling Chang Shantz and Douglas Stebila
1031      (Sun Microsystems Laboratories)]
1032
1033   *) New function EC_GROUP_get_degree, which is defined through
1034      EC_METHOD.  For curves over prime fields, this returns the bit
1035      length of the modulus.
1036
1037      [Sheueling Chang Shantz and Douglas Stebila
1038      (Sun Microsystems Laboratories)]
1039
1040   *) New functions EC_GROUP_dup, EC_POINT_dup.
1041      (These simply call ..._new  and ..._copy).
1042
1043      [Sheueling Chang Shantz and Douglas Stebila
1044      (Sun Microsystems Laboratories)]
1045
1046   *) Add binary polynomial arithmetic software in crypto/bn/bn_gf2m.c.
1047      Polynomials are represented as BIGNUMs (where the sign bit is not
1048      used) in the following functions [macros]:  
1049
1050           BN_GF2m_add
1051           BN_GF2m_sub             [= BN_GF2m_add]
1052           BN_GF2m_mod             [wrapper for BN_GF2m_mod_arr]
1053           BN_GF2m_mod_mul         [wrapper for BN_GF2m_mod_mul_arr]
1054           BN_GF2m_mod_sqr         [wrapper for BN_GF2m_mod_sqr_arr]
1055           BN_GF2m_mod_inv
1056           BN_GF2m_mod_exp         [wrapper for BN_GF2m_mod_exp_arr]
1057           BN_GF2m_mod_sqrt        [wrapper for BN_GF2m_mod_sqrt_arr]
1058           BN_GF2m_mod_solve_quad  [wrapper for BN_GF2m_mod_solve_quad_arr]
1059           BN_GF2m_cmp             [= BN_ucmp]
1060
1061      (Note that only the 'mod' functions are actually for fields GF(2^m).
1062      BN_GF2m_add() is misnomer, but this is for the sake of consistency.)
1063
1064      For some functions, an the irreducible polynomial defining a
1065      field can be given as an 'unsigned int[]' with strictly
1066      decreasing elements giving the indices of those bits that are set;
1067      i.e., p[] represents the polynomial
1068           f(t) = t^p[0] + t^p[1] + ... + t^p[k]
1069      where
1070           p[0] > p[1] > ... > p[k] = 0.
1071      This applies to the following functions:
1072
1073           BN_GF2m_mod_arr
1074           BN_GF2m_mod_mul_arr
1075           BN_GF2m_mod_sqr_arr
1076           BN_GF2m_mod_inv_arr        [wrapper for BN_GF2m_mod_inv]
1077           BN_GF2m_mod_div_arr        [wrapper for BN_GF2m_mod_div]
1078           BN_GF2m_mod_exp_arr
1079           BN_GF2m_mod_sqrt_arr
1080           BN_GF2m_mod_solve_quad_arr
1081           BN_GF2m_poly2arr
1082           BN_GF2m_arr2poly
1083
1084      Conversion can be performed by the following functions:
1085
1086           BN_GF2m_poly2arr
1087           BN_GF2m_arr2poly
1088
1089      bntest.c has additional tests for binary polynomial arithmetic.
1090
1091      Two implementations for BN_GF2m_mod_div() are available.
1092      The default algorithm simply uses BN_GF2m_mod_inv() and
1093      BN_GF2m_mod_mul().  The alternative algorithm is compiled in only
1094      if OPENSSL_SUN_GF2M_DIV is defined (patent pending; read the
1095      copyright notice in crypto/bn/bn_gf2m.c before enabling it).
1096
1097      [Sheueling Chang Shantz and Douglas Stebila
1098      (Sun Microsystems Laboratories)]
1099
1100   *) Add new error code 'ERR_R_DISABLED' that can be used when some
1101      functionality is disabled at compile-time.
1102      [Douglas Stebila <douglas.stebila@sun.com>]
1103
1104   *) Change default behaviour of 'openssl asn1parse' so that more
1105      information is visible when viewing, e.g., a certificate:
1106
1107      Modify asn1_parse2 (crypto/asn1/asn1_par.c) so that in non-'dump'
1108      mode the content of non-printable OCTET STRINGs is output in a
1109      style similar to INTEGERs, but with '[HEX DUMP]' prepended to
1110      avoid the appearance of a printable string.
1111      [Nils Larsch <nla@trustcenter.de>]
1112
1113   *) Add 'asn1_flag' and 'asn1_form' member to EC_GROUP with access
1114      functions
1115           EC_GROUP_set_asn1_flag()
1116           EC_GROUP_get_asn1_flag()
1117           EC_GROUP_set_point_conversion_form()
1118           EC_GROUP_get_point_conversion_form()
1119      These control ASN1 encoding details:
1120      - Curves (i.e., groups) are encoded explicitly unless asn1_flag
1121        has been set to OPENSSL_EC_NAMED_CURVE.
1122      - Points are encoded in uncompressed form by default; options for
1123        asn1_for are as for point2oct, namely
1124           POINT_CONVERSION_COMPRESSED
1125           POINT_CONVERSION_UNCOMPRESSED
1126           POINT_CONVERSION_HYBRID
1127
1128      Also add 'seed' and 'seed_len' members to EC_GROUP with access
1129      functions
1130           EC_GROUP_set_seed()
1131           EC_GROUP_get0_seed()
1132           EC_GROUP_get_seed_len()
1133      This is used only for ASN1 purposes (so far).
1134      [Nils Larsch <nla@trustcenter.de>]
1135
1136   *) Add 'field_type' member to EC_METHOD, which holds the NID
1137      of the appropriate field type OID.  The new function
1138      EC_METHOD_get_field_type() returns this value.
1139      [Nils Larsch <nla@trustcenter.de>]
1140
1141   *) Add functions 
1142           EC_POINT_point2bn()
1143           EC_POINT_bn2point()
1144           EC_POINT_point2hex()
1145           EC_POINT_hex2point()
1146      providing useful interfaces to EC_POINT_point2oct() and
1147      EC_POINT_oct2point().
1148      [Nils Larsch <nla@trustcenter.de>]
1149
1150   *) Change internals of the EC library so that the functions
1151           EC_GROUP_set_generator()
1152           EC_GROUP_get_generator()
1153           EC_GROUP_get_order()
1154           EC_GROUP_get_cofactor()
1155      are implemented directly in crypto/ec/ec_lib.c and not dispatched
1156      to methods, which would lead to unnecessary code duplication when
1157      adding different types of curves.
1158      [Nils Larsch <nla@trustcenter.de> with input by Bodo Moeller]
1159
1160   *) Implement compute_wNAF (crypto/ec/ec_mult.c) without BIGNUM
1161      arithmetic, and such that modified wNAFs are generated
1162      (which avoid length expansion in many cases).
1163      [Bodo Moeller]
1164
1165   *) Add a function EC_GROUP_check_discriminant() (defined via
1166      EC_METHOD) that verifies that the curve discriminant is non-zero.
1167
1168      Add a function EC_GROUP_check() that makes some sanity tests
1169      on a EC_GROUP, its generator and order.  This includes
1170      EC_GROUP_check_discriminant().
1171      [Nils Larsch <nla@trustcenter.de>]
1172
1173   *) Add ECDSA in new directory crypto/ecdsa/.
1174
1175      Add applications 'openssl ecparam' and 'openssl ecdsa'
1176      (these are based on 'openssl dsaparam' and 'openssl dsa').
1177
1178      ECDSA support is also included in various other files across the
1179      library.  Most notably,
1180      - 'openssl req' now has a '-newkey ecdsa:file' option;
1181      - EVP_PKCS82PKEY (crypto/evp/evp_pkey.c) now can handle ECDSA;
1182      - X509_PUBKEY_get (crypto/asn1/x_pubkey.c) and
1183        d2i_PublicKey (crypto/asn1/d2i_pu.c) have been modified to make
1184        them suitable for ECDSA where domain parameters must be
1185        extracted before the specific public key;
1186      - ECDSA engine support has been added.
1187      [Nils Larsch <nla@trustcenter.de>]
1188
1189   *) Include some named elliptic curves, and add OIDs from X9.62,
1190      SECG, and WAP/WTLS.  Each curve can be obtained from the new
1191      function
1192           EC_GROUP_new_by_curve_name(),
1193      and the list of available named curves can be obtained with
1194           EC_get_builtin_curves().
1195      Also add a 'curve_name' member to EC_GROUP objects, which can be
1196      accessed via
1197          EC_GROUP_set_curve_name()
1198          EC_GROUP_get_curve_name()
1199      [Nils Larsch <larsch@trustcenter.de, Bodo Moeller]
1200  
1201   *) Remove a few calls to bn_wexpand() in BN_sqr() (the one in there
1202      was actually never needed) and in BN_mul().  The removal in BN_mul()
1203      required a small change in bn_mul_part_recursive() and the addition
1204      of the functions bn_cmp_part_words(), bn_sub_part_words() and
1205      bn_add_part_words(), which do the same thing as bn_cmp_words(),
1206      bn_sub_words() and bn_add_words() except they take arrays with
1207      differing sizes.
1208      [Richard Levitte]
1209
1210  Changes between 0.9.7m and 0.9.7n  [xx XXX xxxx]
1211
1212   *) In the SSL/TLS server implementation, be strict about session ID
1213      context matching (which matters if an application uses a single
1214      external cache for different purposes).  Previously,
1215      out-of-context reuse was forbidden only if SSL_VERIFY_PEER was
1216      set.  This did ensure strict client verification, but meant that,
1217      with applications using a single external cache for quite
1218      different requirements, clients could circumvent ciphersuite
1219      restrictions for a given session ID context by starting a session
1220      in a different context.
1221      [Bodo Moeller]
1222
1223  Changes between 0.9.7l and 0.9.7m  [23 Feb 2007]
1224
1225   *) Cleanse PEM buffers before freeing them since they may contain 
1226      sensitive data.
1227      [Benjamin Bennett <ben@psc.edu>]
1228
1229   *) Include "!eNULL" in SSL_DEFAULT_CIPHER_LIST to make sure that
1230      a ciphersuite string such as "DEFAULT:RSA" cannot enable
1231      authentication-only ciphersuites.
1232      [Bodo Moeller]
1233
1234   *) Since AES128 and AES256 share a single mask bit in the logic of
1235      ssl/ssl_ciph.c, the code for masking out disabled ciphers needs a
1236      kludge to work properly if AES128 is available and AES256 isn't.
1237      [Victor Duchovni]
1238
1239   *) Expand security boundary to match 1.1.1 module.
1240      [Steve Henson]
1241
1242   *) Remove redundant features: hash file source, editing of test vectors
1243      modify fipsld to use external fips_premain.c signature.
1244      [Steve Henson]
1245
1246   *) New perl script mkfipsscr.pl to create shell scripts or batch files to
1247      run algorithm test programs.
1248      [Steve Henson]
1249
1250   *) Make algorithm test programs more tolerant of whitespace.
1251      [Steve Henson]
1252
1253   *) Have SSL/TLS server implementation tolerate "mismatched" record
1254      protocol version while receiving ClientHello even if the
1255      ClientHello is fragmented.  (The server can't insist on the
1256      particular protocol version it has chosen before the ServerHello
1257      message has informed the client about his choice.)
1258      [Bodo Moeller]
1259
1260   *) Load error codes if they are not already present instead of using a
1261      static variable. This allows them to be cleanly unloaded and reloaded.
1262      [Steve Henson]
1263
1264  Changes between 0.9.7k and 0.9.7l  [28 Sep 2006]
1265
1266   *) Introduce limits to prevent malicious keys being able to
1267      cause a denial of service.  (CVE-2006-2940)
1268      [Steve Henson, Bodo Moeller]
1269
1270   *) Fix ASN.1 parsing of certain invalid structures that can result
1271      in a denial of service.  (CVE-2006-2937)  [Steve Henson]
1272
1273   *) Fix buffer overflow in SSL_get_shared_ciphers() function. 
1274      (CVE-2006-3738) [Tavis Ormandy and Will Drewry, Google Security Team]
1275
1276   *) Fix SSL client code which could crash if connecting to a
1277      malicious SSLv2 server.  (CVE-2006-4343)
1278      [Tavis Ormandy and Will Drewry, Google Security Team]
1279
1280   *) Change ciphersuite string processing so that an explicit
1281      ciphersuite selects this one ciphersuite (so that "AES256-SHA"
1282      will no longer include "AES128-SHA"), and any other similar
1283      ciphersuite (same bitmap) from *other* protocol versions (so that
1284      "RC4-MD5" will still include both the SSL 2.0 ciphersuite and the
1285      SSL 3.0/TLS 1.0 ciphersuite).  This is a backport combining
1286      changes from 0.9.8b and 0.9.8d.
1287      [Bodo Moeller]
1288
1289  Changes between 0.9.7j and 0.9.7k  [05 Sep 2006]
1290
1291   *) Avoid PKCS #1 v1.5 signature attack discovered by Daniel Bleichenbacher
1292      (CVE-2006-4339)  [Ben Laurie and Google Security Team]
1293
1294   *) Change the Unix randomness entropy gathering to use poll() when
1295      possible instead of select(), since the latter has some
1296      undesirable limitations.
1297      [Darryl Miles via Richard Levitte and Bodo Moeller]
1298
1299   *) Disable rogue ciphersuites:
1300
1301       - SSLv2 0x08 0x00 0x80 ("RC4-64-MD5")
1302       - SSLv3/TLSv1 0x00 0x61 ("EXP1024-RC2-CBC-MD5")
1303       - SSLv3/TLSv1 0x00 0x60 ("EXP1024-RC4-MD5")
1304
1305      The latter two were purportedly from
1306      draft-ietf-tls-56-bit-ciphersuites-0[01].txt, but do not really
1307      appear there.
1308
1309      Also deactive the remaining ciphersuites from
1310      draft-ietf-tls-56-bit-ciphersuites-01.txt.  These are just as
1311      unofficial, and the ID has long expired.
1312      [Bodo Moeller]
1313
1314   *) Fix RSA blinding Heisenbug (problems sometimes occured on
1315      dual-core machines) and other potential thread-safety issues.
1316      [Bodo Moeller]
1317
1318  Changes between 0.9.7i and 0.9.7j  [04 May 2006]
1319
1320   *) Adapt fipsld and the build system to link against the validated FIPS
1321      module in FIPS mode.
1322      [Steve Henson]
1323
1324   *) Fixes for VC++ 2005 build under Windows.
1325      [Steve Henson]
1326
1327   *) Add new Windows build target VC-32-GMAKE for VC++. This uses GNU make 
1328      from a Windows bash shell such as MSYS. It is autodetected from the
1329      "config" script when run from a VC++ environment. Modify standard VC++
1330      build to use fipscanister.o from the GNU make build. 
1331      [Steve Henson]
1332
1333  Changes between 0.9.7h and 0.9.7i  [14 Oct 2005]
1334
1335   *) Wrapped the definition of EVP_MAX_MD_SIZE in a #ifdef OPENSSL_FIPS.
1336      The value now differs depending on if you build for FIPS or not.
1337      BEWARE!  A program linked with a shared FIPSed libcrypto can't be
1338      safely run with a non-FIPSed libcrypto, as it may crash because of
1339      the difference induced by this change.
1340      [Andy Polyakov]
1341
1342  Changes between 0.9.7g and 0.9.7h  [11 Oct 2005]
1343
1344   *) Remove the functionality of SSL_OP_MSIE_SSLV2_RSA_PADDING
1345      (part of SSL_OP_ALL).  This option used to disable the
1346      countermeasure against man-in-the-middle protocol-version
1347      rollback in the SSL 2.0 server implementation, which is a bad
1348      idea.  (CVE-2005-2969)
1349
1350      [Bodo Moeller; problem pointed out by Yutaka Oiwa (Research Center
1351      for Information Security, National Institute of Advanced Industrial
1352      Science and Technology [AIST], Japan)]
1353
1354   *) Minimal support for X9.31 signatures and PSS padding modes. This is
1355      mainly for FIPS compliance and not fully integrated at this stage.
1356      [Steve Henson]
1357
1358   *) For DSA signing, unless DSA_FLAG_NO_EXP_CONSTTIME is set, perform
1359      the exponentiation using a fixed-length exponent.  (Otherwise,
1360      the information leaked through timing could expose the secret key
1361      after many signatures; cf. Bleichenbacher's attack on DSA with
1362      biased k.)
1363      [Bodo Moeller]
1364
1365   *) Make a new fixed-window mod_exp implementation the default for
1366      RSA, DSA, and DH private-key operations so that the sequence of
1367      squares and multiplies and the memory access pattern are
1368      independent of the particular secret key.  This will mitigate
1369      cache-timing and potential related attacks.
1370
1371      BN_mod_exp_mont_consttime() is the new exponentiation implementation,
1372      and this is automatically used by BN_mod_exp_mont() if the new flag
1373      BN_FLG_EXP_CONSTTIME is set for the exponent.  RSA, DSA, and DH
1374      will use this BN flag for private exponents unless the flag
1375      RSA_FLAG_NO_EXP_CONSTTIME, DSA_FLAG_NO_EXP_CONSTTIME, or
1376      DH_FLAG_NO_EXP_CONSTTIME, respectively, is set.
1377
1378      [Matthew D Wood (Intel Corp), with some changes by Bodo Moeller]
1379
1380   *) Change the client implementation for SSLv23_method() and
1381      SSLv23_client_method() so that is uses the SSL 3.0/TLS 1.0
1382      Client Hello message format if the SSL_OP_NO_SSLv2 option is set.
1383      (Previously, the SSL 2.0 backwards compatible Client Hello
1384      message format would be used even with SSL_OP_NO_SSLv2.)
1385      [Bodo Moeller]
1386
1387   *) Add support for smime-type MIME parameter in S/MIME messages which some
1388      clients need.
1389      [Steve Henson]
1390
1391   *) New function BN_MONT_CTX_set_locked() to set montgomery parameters in
1392      a threadsafe manner. Modify rsa code to use new function and add calls
1393      to dsa and dh code (which had race conditions before).
1394      [Steve Henson]
1395
1396   *) Include the fixed error library code in the C error file definitions
1397      instead of fixing them up at runtime. This keeps the error code
1398      structures constant.
1399      [Steve Henson]
1400
1401  Changes between 0.9.7f and 0.9.7g  [11 Apr 2005]
1402
1403   [NB: OpenSSL 0.9.7h and later 0.9.7 patch levels were released after
1404   OpenSSL 0.9.8.]
1405
1406   *) Fixes for newer kerberos headers. NB: the casts are needed because
1407      the 'length' field is signed on one version and unsigned on another
1408      with no (?) obvious way to tell the difference, without these VC++
1409      complains. Also the "definition" of FAR (blank) is no longer included
1410      nor is the error ENOMEM. KRB5_PRIVATE has to be set to 1 to pick up
1411      some needed definitions.
1412      [Steve Henson]
1413
1414   *) Undo Cygwin change.
1415      [Ulf Möller]
1416
1417   *) Added support for proxy certificates according to RFC 3820.
1418      Because they may be a security thread to unaware applications,
1419      they must be explicitely allowed in run-time.  See
1420      docs/HOWTO/proxy_certificates.txt for further information.
1421      [Richard Levitte]
1422
1423  Changes between 0.9.7e and 0.9.7f  [22 Mar 2005]
1424
1425   *) Use (SSL_RANDOM_VALUE - 4) bytes of pseudo random data when generating
1426      server and client random values. Previously
1427      (SSL_RANDOM_VALUE - sizeof(time_t)) would be used which would result in
1428      less random data when sizeof(time_t) > 4 (some 64 bit platforms).
1429
1430      This change has negligible security impact because:
1431
1432      1. Server and client random values still have 24 bytes of pseudo random
1433         data.
1434
1435      2. Server and client random values are sent in the clear in the initial
1436         handshake.
1437
1438      3. The master secret is derived using the premaster secret (48 bytes in
1439         size for static RSA ciphersuites) as well as client server and random
1440         values.
1441
1442      The OpenSSL team would like to thank the UK NISCC for bringing this issue
1443      to our attention. 
1444
1445      [Stephen Henson, reported by UK NISCC]
1446
1447   *) Use Windows randomness collection on Cygwin.
1448      [Ulf Möller]
1449
1450   *) Fix hang in EGD/PRNGD query when communication socket is closed
1451      prematurely by EGD/PRNGD.
1452      [Darren Tucker <dtucker@zip.com.au> via Lutz Jänicke, resolves #1014]
1453
1454   *) Prompt for pass phrases when appropriate for PKCS12 input format.
1455      [Steve Henson]
1456
1457   *) Back-port of selected performance improvements from development
1458      branch, as well as improved support for PowerPC platforms.
1459      [Andy Polyakov]
1460
1461   *) Add lots of checks for memory allocation failure, error codes to indicate
1462      failure and freeing up memory if a failure occurs.
1463      [Nauticus Networks SSL Team <openssl@nauticusnet.com>, Steve Henson]
1464
1465   *) Add new -passin argument to dgst.
1466      [Steve Henson]
1467
1468   *) Perform some character comparisons of different types in X509_NAME_cmp:
1469      this is needed for some certificates that reencode DNs into UTF8Strings
1470      (in violation of RFC3280) and can't or wont issue name rollover
1471      certificates.
1472      [Steve Henson]
1473
1474   *) Make an explicit check during certificate validation to see that
1475      the CA setting in each certificate on the chain is correct.  As a
1476      side effect always do the following basic checks on extensions,
1477      not just when there's an associated purpose to the check:
1478
1479       - if there is an unhandled critical extension (unless the user
1480         has chosen to ignore this fault)
1481       - if the path length has been exceeded (if one is set at all)
1482       - that certain extensions fit the associated purpose (if one has
1483         been given)
1484      [Richard Levitte]
1485
1486  Changes between 0.9.7d and 0.9.7e  [25 Oct 2004]
1487
1488   *) Avoid a race condition when CRLs are checked in a multi threaded 
1489      environment. This would happen due to the reordering of the revoked
1490      entries during signature checking and serial number lookup. Now the
1491      encoding is cached and the serial number sort performed under a lock.
1492      Add new STACK function sk_is_sorted().
1493      [Steve Henson]
1494
1495   *) Add Delta CRL to the extension code.
1496      [Steve Henson]
1497
1498   *) Various fixes to s3_pkt.c so alerts are sent properly.
1499      [David Holmes <d.holmes@f5.com>]
1500
1501   *) Reduce the chances of duplicate issuer name and serial numbers (in
1502      violation of RFC3280) using the OpenSSL certificate creation utilities.
1503      This is done by creating a random 64 bit value for the initial serial
1504      number when a serial number file is created or when a self signed
1505      certificate is created using 'openssl req -x509'. The initial serial
1506      number file is created using 'openssl x509 -next_serial' in CA.pl
1507      rather than being initialized to 1.
1508      [Steve Henson]
1509
1510  Changes between 0.9.7c and 0.9.7d  [17 Mar 2004]
1511
1512   *) Fix null-pointer assignment in do_change_cipher_spec() revealed           
1513      by using the Codenomicon TLS Test Tool (CVE-2004-0079)                    
1514      [Joe Orton, Steve Henson]   
1515
1516   *) Fix flaw in SSL/TLS handshaking when using Kerberos ciphersuites
1517      (CVE-2004-0112)
1518      [Joe Orton, Steve Henson]   
1519
1520   *) Make it possible to have multiple active certificates with the same
1521      subject in the CA index file.  This is done only if the keyword
1522      'unique_subject' is set to 'no' in the main CA section (default
1523      if 'CA_default') of the configuration file.  The value is saved
1524      with the database itself in a separate index attribute file,
1525      named like the index file with '.attr' appended to the name.
1526      [Richard Levitte]
1527
1528   *) X509 verify fixes. Disable broken certificate workarounds when 
1529      X509_V_FLAGS_X509_STRICT is set. Check CRL issuer has cRLSign set if
1530      keyUsage extension present. Don't accept CRLs with unhandled critical
1531      extensions: since verify currently doesn't process CRL extensions this
1532      rejects a CRL with *any* critical extensions. Add new verify error codes
1533      for these cases.
1534      [Steve Henson]
1535
1536   *) When creating an OCSP nonce use an OCTET STRING inside the extnValue.
1537      A clarification of RFC2560 will require the use of OCTET STRINGs and 
1538      some implementations cannot handle the current raw format. Since OpenSSL
1539      copies and compares OCSP nonces as opaque blobs without any attempt at
1540      parsing them this should not create any compatibility issues.
1541      [Steve Henson]
1542
1543   *) New md flag EVP_MD_CTX_FLAG_REUSE this allows md_data to be reused when
1544      calling EVP_MD_CTX_copy_ex() to avoid calling OPENSSL_malloc(). Without
1545      this HMAC (and other) operations are several times slower than OpenSSL
1546      < 0.9.7.
1547      [Steve Henson]
1548
1549   *) Print out GeneralizedTime and UTCTime in ASN1_STRING_print_ex().
1550      [Peter Sylvester <Peter.Sylvester@EdelWeb.fr>]
1551
1552   *) Use the correct content when signing type "other".
1553      [Steve Henson]
1554
1555  Changes between 0.9.7b and 0.9.7c  [30 Sep 2003]
1556
1557   *) Fix various bugs revealed by running the NISCC test suite:
1558
1559      Stop out of bounds reads in the ASN1 code when presented with
1560      invalid tags (CVE-2003-0543 and CVE-2003-0544).
1561      
1562      Free up ASN1_TYPE correctly if ANY type is invalid (CVE-2003-0545).
1563
1564      If verify callback ignores invalid public key errors don't try to check
1565      certificate signature with the NULL public key.
1566
1567      [Steve Henson]
1568
1569   *) New -ignore_err option in ocsp application to stop the server
1570      exiting on the first error in a request.
1571      [Steve Henson]
1572
1573   *) In ssl3_accept() (ssl/s3_srvr.c) only accept a client certificate
1574      if the server requested one: as stated in TLS 1.0 and SSL 3.0
1575      specifications.
1576      [Steve Henson]
1577
1578   *) In ssl3_get_client_hello() (ssl/s3_srvr.c), tolerate additional
1579      extra data after the compression methods not only for TLS 1.0
1580      but also for SSL 3.0 (as required by the specification).
1581      [Bodo Moeller; problem pointed out by Matthias Loepfe]
1582
1583   *) Change X509_certificate_type() to mark the key as exported/exportable
1584      when it's 512 *bits* long, not 512 bytes.
1585      [Richard Levitte]
1586
1587   *) Change AES_cbc_encrypt() so it outputs exact multiple of
1588      blocks during encryption.
1589      [Richard Levitte]
1590
1591   *) Various fixes to base64 BIO and non blocking I/O. On write 
1592      flushes were not handled properly if the BIO retried. On read
1593      data was not being buffered properly and had various logic bugs.
1594      This also affects blocking I/O when the data being decoded is a
1595      certain size.
1596      [Steve Henson]
1597
1598   *) Various S/MIME bugfixes and compatibility changes:
1599      output correct application/pkcs7 MIME type if
1600      PKCS7_NOOLDMIMETYPE is set. Tolerate some broken signatures.
1601      Output CR+LF for EOL if PKCS7_CRLFEOL is set (this makes opening
1602      of files as .eml work). Correctly handle very long lines in MIME
1603      parser.
1604      [Steve Henson]
1605
1606  Changes between 0.9.7a and 0.9.7b  [10 Apr 2003]
1607
1608   *) Countermeasure against the Klima-Pokorny-Rosa extension of
1609      Bleichbacher's attack on PKCS #1 v1.5 padding: treat
1610      a protocol version number mismatch like a decryption error
1611      in ssl3_get_client_key_exchange (ssl/s3_srvr.c).
1612      [Bodo Moeller]
1613
1614   *) Turn on RSA blinding by default in the default implementation
1615      to avoid a timing attack. Applications that don't want it can call
1616      RSA_blinding_off() or use the new flag RSA_FLAG_NO_BLINDING.
1617      They would be ill-advised to do so in most cases.
1618      [Ben Laurie, Steve Henson, Geoff Thorpe, Bodo Moeller]
1619
1620   *) Change RSA blinding code so that it works when the PRNG is not
1621      seeded (in this case, the secret RSA exponent is abused as
1622      an unpredictable seed -- if it is not unpredictable, there
1623      is no point in blinding anyway).  Make RSA blinding thread-safe
1624      by remembering the creator's thread ID in rsa->blinding and
1625      having all other threads use local one-time blinding factors
1626      (this requires more computation than sharing rsa->blinding, but
1627      avoids excessive locking; and if an RSA object is not shared
1628      between threads, blinding will still be very fast).
1629      [Bodo Moeller]
1630
1631   *) Fixed a typo bug that would cause ENGINE_set_default() to set an
1632      ENGINE as defaults for all supported algorithms irrespective of
1633      the 'flags' parameter. 'flags' is now honoured, so applications
1634      should make sure they are passing it correctly.
1635      [Geoff Thorpe]
1636
1637   *) Target "mingw" now allows native Windows code to be generated in
1638      the Cygwin environment as well as with the MinGW compiler.
1639      [Ulf Moeller] 
1640
1641  Changes between 0.9.7 and 0.9.7a  [19 Feb 2003]
1642
1643   *) In ssl3_get_record (ssl/s3_pkt.c), minimize information leaked
1644      via timing by performing a MAC computation even if incorrrect
1645      block cipher padding has been found.  This is a countermeasure
1646      against active attacks where the attacker has to distinguish
1647      between bad padding and a MAC verification error. (CVE-2003-0078)
1648
1649      [Bodo Moeller; problem pointed out by Brice Canvel (EPFL),
1650      Alain Hiltgen (UBS), Serge Vaudenay (EPFL), and
1651      Martin Vuagnoux (EPFL, Ilion)]
1652
1653   *) Make the no-err option work as intended.  The intention with no-err
1654      is not to have the whole error stack handling routines removed from
1655      libcrypto, it's only intended to remove all the function name and
1656      reason texts, thereby removing some of the footprint that may not
1657      be interesting if those errors aren't displayed anyway.
1658
1659      NOTE: it's still possible for any application or module to have it's
1660      own set of error texts inserted.  The routines are there, just not
1661      used by default when no-err is given.
1662      [Richard Levitte]
1663
1664   *) Add support for FreeBSD on IA64.
1665      [dirk.meyer@dinoex.sub.org via Richard Levitte, resolves #454]
1666
1667   *) Adjust DES_cbc_cksum() so it returns the same value as the MIT
1668      Kerberos function mit_des_cbc_cksum().  Before this change,
1669      the value returned by DES_cbc_cksum() was like the one from
1670      mit_des_cbc_cksum(), except the bytes were swapped.
1671      [Kevin Greaney <Kevin.Greaney@hp.com> and Richard Levitte]
1672
1673   *) Allow an application to disable the automatic SSL chain building.
1674      Before this a rather primitive chain build was always performed in
1675      ssl3_output_cert_chain(): an application had no way to send the 
1676      correct chain if the automatic operation produced an incorrect result.
1677
1678      Now the chain builder is disabled if either:
1679
1680      1. Extra certificates are added via SSL_CTX_add_extra_chain_cert().
1681
1682      2. The mode flag SSL_MODE_NO_AUTO_CHAIN is set.
1683
1684      The reasoning behind this is that an application would not want the
1685      auto chain building to take place if extra chain certificates are
1686      present and it might also want a means of sending no additional
1687      certificates (for example the chain has two certificates and the
1688      root is omitted).
1689      [Steve Henson]
1690
1691   *) Add the possibility to build without the ENGINE framework.
1692      [Steven Reddie <smr@essemer.com.au> via Richard Levitte]
1693
1694   *) Under Win32 gmtime() can return NULL: check return value in
1695      OPENSSL_gmtime(). Add error code for case where gmtime() fails.
1696      [Steve Henson]
1697
1698   *) DSA routines: under certain error conditions uninitialized BN objects
1699      could be freed. Solution: make sure initialization is performed early
1700      enough. (Reported and fix supplied by Ivan D Nestlerode <nestler@MIT.EDU>,
1701      Nils Larsch <nla@trustcenter.de> via PR#459)
1702      [Lutz Jaenicke]
1703
1704   *) Another fix for SSLv2 session ID handling: the session ID was incorrectly
1705      checked on reconnect on the client side, therefore session resumption
1706      could still fail with a "ssl session id is different" error. This
1707      behaviour is masked when SSL_OP_ALL is used due to
1708      SSL_OP_MICROSOFT_SESS_ID_BUG being set.
1709      Behaviour observed by Crispin Flowerday <crispin@flowerday.cx> as
1710      followup to PR #377.
1711      [Lutz Jaenicke]
1712
1713   *) IA-32 assembler support enhancements: unified ELF targets, support
1714      for SCO/Caldera platforms, fix for Cygwin shared build.
1715      [Andy Polyakov]
1716
1717   *) Add support for FreeBSD on sparc64.  As a consequence, support for
1718      FreeBSD on non-x86 processors is separate from x86 processors on
1719      the config script, much like the NetBSD support.
1720      [Richard Levitte & Kris Kennaway <kris@obsecurity.org>]
1721
1722  Changes between 0.9.6h and 0.9.7  [31 Dec 2002]
1723
1724   [NB: OpenSSL 0.9.6i and later 0.9.6 patch levels were released after
1725   OpenSSL 0.9.7.]
1726
1727   *) Fix session ID handling in SSLv2 client code: the SERVER FINISHED
1728      code (06) was taken as the first octet of the session ID and the last
1729      octet was ignored consequently. As a result SSLv2 client side session
1730      caching could not have worked due to the session ID mismatch between
1731      client and server.
1732      Behaviour observed by Crispin Flowerday <crispin@flowerday.cx> as
1733      PR #377.
1734      [Lutz Jaenicke]
1735
1736   *) Change the declaration of needed Kerberos libraries to use EX_LIBS
1737      instead of the special (and badly supported) LIBKRB5.  LIBKRB5 is
1738      removed entirely.
1739      [Richard Levitte]
1740
1741   *) The hw_ncipher.c engine requires dynamic locks.  Unfortunately, it
1742      seems that in spite of existing for more than a year, many application
1743      author have done nothing to provide the necessary callbacks, which
1744      means that this particular engine will not work properly anywhere.
1745      This is a very unfortunate situation which forces us, in the name
1746      of usability, to give the hw_ncipher.c a static lock, which is part
1747      of libcrypto.
1748      NOTE: This is for the 0.9.7 series ONLY.  This hack will never
1749      appear in 0.9.8 or later.  We EXPECT application authors to have
1750      dealt properly with this when 0.9.8 is released (unless we actually
1751      make such changes in the libcrypto locking code that changes will
1752      have to be made anyway).
1753      [Richard Levitte]
1754
1755   *) In asn1_d2i_read_bio() repeatedly call BIO_read() until all content
1756      octets have been read, EOF or an error occurs. Without this change
1757      some truncated ASN1 structures will not produce an error.
1758      [Steve Henson]
1759
1760   *) Disable Heimdal support, since it hasn't been fully implemented.
1761      Still give the possibility to force the use of Heimdal, but with
1762      warnings and a request that patches get sent to openssl-dev.
1763      [Richard Levitte]
1764
1765   *) Add the VC-CE target, introduce the WINCE sysname, and add
1766      INSTALL.WCE and appropriate conditionals to make it build.
1767      [Steven Reddie <smr@essemer.com.au> via Richard Levitte]
1768
1769   *) Change the DLL names for Cygwin to cygcrypto-x.y.z.dll and
1770      cygssl-x.y.z.dll, where x, y and z are the major, minor and
1771      edit numbers of the version.
1772      [Corinna Vinschen <vinschen@redhat.com> and Richard Levitte]
1773
1774   *) Introduce safe string copy and catenation functions
1775      (BUF_strlcpy() and BUF_strlcat()).
1776      [Ben Laurie (CHATS) and Richard Levitte]
1777
1778   *) Avoid using fixed-size buffers for one-line DNs.
1779      [Ben Laurie (CHATS)]
1780
1781   *) Add BUF_MEM_grow_clean() to avoid information leakage when
1782      resizing buffers containing secrets, and use where appropriate.
1783      [Ben Laurie (CHATS)]
1784
1785   *) Avoid using fixed size buffers for configuration file location.
1786      [Ben Laurie (CHATS)]
1787
1788   *) Avoid filename truncation for various CA files.
1789      [Ben Laurie (CHATS)]
1790
1791   *) Use sizeof in preference to magic numbers.
1792      [Ben Laurie (CHATS)]
1793
1794   *) Avoid filename truncation in cert requests.
1795      [Ben Laurie (CHATS)]
1796
1797   *) Add assertions to check for (supposedly impossible) buffer
1798      overflows.
1799      [Ben Laurie (CHATS)]
1800
1801   *) Don't cache truncated DNS entries in the local cache (this could
1802      potentially lead to a spoofing attack).
1803      [Ben Laurie (CHATS)]
1804
1805   *) Fix various buffers to be large enough for hex/decimal
1806      representations in a platform independent manner.
1807      [Ben Laurie (CHATS)]
1808
1809   *) Add CRYPTO_realloc_clean() to avoid information leakage when
1810      resizing buffers containing secrets, and use where appropriate.
1811      [Ben Laurie (CHATS)]
1812
1813   *) Add BIO_indent() to avoid much slightly worrying code to do
1814      indents.
1815      [Ben Laurie (CHATS)]
1816
1817   *) Convert sprintf()/BIO_puts() to BIO_printf().
1818      [Ben Laurie (CHATS)]
1819
1820   *) buffer_gets() could terminate with the buffer only half
1821      full. Fixed.
1822      [Ben Laurie (CHATS)]
1823
1824   *) Add assertions to prevent user-supplied crypto functions from
1825      overflowing internal buffers by having large block sizes, etc.
1826      [Ben Laurie (CHATS)]
1827
1828   *) New OPENSSL_assert() macro (similar to assert(), but enabled
1829      unconditionally).
1830      [Ben Laurie (CHATS)]
1831
1832   *) Eliminate unused copy of key in RC4.
1833      [Ben Laurie (CHATS)]
1834
1835   *) Eliminate unused and incorrectly sized buffers for IV in pem.h.
1836      [Ben Laurie (CHATS)]
1837
1838   *) Fix off-by-one error in EGD path.
1839      [Ben Laurie (CHATS)]
1840
1841   *) If RANDFILE path is too long, ignore instead of truncating.
1842      [Ben Laurie (CHATS)]
1843
1844   *) Eliminate unused and incorrectly sized X.509 structure
1845      CBCParameter.
1846      [Ben Laurie (CHATS)]
1847
1848   *) Eliminate unused and dangerous function knumber().
1849      [Ben Laurie (CHATS)]
1850
1851   *) Eliminate unused and dangerous structure, KSSL_ERR.
1852      [Ben Laurie (CHATS)]
1853
1854   *) Protect against overlong session ID context length in an encoded
1855      session object. Since these are local, this does not appear to be
1856      exploitable.
1857      [Ben Laurie (CHATS)]
1858
1859   *) Change from security patch (see 0.9.6e below) that did not affect
1860      the 0.9.6 release series:
1861
1862      Remote buffer overflow in SSL3 protocol - an attacker could
1863      supply an oversized master key in Kerberos-enabled versions.
1864      (CVE-2002-0657)
1865      [Ben Laurie (CHATS)]
1866
1867   *) Change the SSL kerb5 codes to match RFC 2712.
1868      [Richard Levitte]
1869
1870   *) Make -nameopt work fully for req and add -reqopt switch.
1871      [Michael Bell <michael.bell@rz.hu-berlin.de>, Steve Henson]
1872
1873   *) The "block size" for block ciphers in CFB and OFB mode should be 1.
1874      [Steve Henson, reported by Yngve Nysaeter Pettersen <yngve@opera.com>]
1875
1876   *) Make sure tests can be performed even if the corresponding algorithms
1877      have been removed entirely.  This was also the last step to make
1878      OpenSSL compilable with DJGPP under all reasonable conditions.
1879      [Richard Levitte, Doug Kaufman <dkaufman@rahul.net>]
1880
1881   *) Add cipher selection rules COMPLEMENTOFALL and COMPLEMENTOFDEFAULT
1882      to allow version independent disabling of normally unselected ciphers,
1883      which may be activated as a side-effect of selecting a single cipher.
1884
1885      (E.g., cipher list string "RSA" enables ciphersuites that are left
1886      out of "ALL" because they do not provide symmetric encryption.
1887      "RSA:!COMPLEMEMENTOFALL" avoids these unsafe ciphersuites.)
1888      [Lutz Jaenicke, Bodo Moeller]
1889
1890   *) Add appropriate support for separate platform-dependent build
1891      directories.  The recommended way to make a platform-dependent
1892      build directory is the following (tested on Linux), maybe with
1893      some local tweaks:
1894
1895         # Place yourself outside of the OpenSSL source tree.  In
1896         # this example, the environment variable OPENSSL_SOURCE
1897         # is assumed to contain the absolute OpenSSL source directory.
1898         mkdir -p objtree/"`uname -s`-`uname -r`-`uname -m`"
1899         cd objtree/"`uname -s`-`uname -r`-`uname -m`"
1900         (cd $OPENSSL_SOURCE; find . -type f) | while read F; do
1901                 mkdir -p `dirname $F`
1902                 ln -s $OPENSSL_SOURCE/$F $F
1903         done
1904
1905      To be absolutely sure not to disturb the source tree, a "make clean"
1906      is a good thing.  If it isn't successfull, don't worry about it,
1907      it probably means the source directory is very clean.
1908      [Richard Levitte]
1909
1910   *) Make sure any ENGINE control commands make local copies of string
1911      pointers passed to them whenever necessary. Otherwise it is possible
1912      the caller may have overwritten (or deallocated) the original string
1913      data when a later ENGINE operation tries to use the stored values.
1914      [Götz Babin-Ebell <babinebell@trustcenter.de>]
1915
1916   *) Improve diagnostics in file reading and command-line digests.
1917      [Ben Laurie aided and abetted by Solar Designer <solar@openwall.com>]
1918
1919   *) Add AES modes CFB and OFB to the object database.  Correct an
1920      error in AES-CFB decryption.
1921      [Richard Levitte]
1922
1923   *) Remove most calls to EVP_CIPHER_CTX_cleanup() in evp_enc.c, this 
1924      allows existing EVP_CIPHER_CTX structures to be reused after
1925      calling EVP_*Final(). This behaviour is used by encryption
1926      BIOs and some applications. This has the side effect that
1927      applications must explicitly clean up cipher contexts with
1928      EVP_CIPHER_CTX_cleanup() or they will leak memory.
1929      [Steve Henson]
1930
1931   *) Check the values of dna and dnb in bn_mul_recursive before calling
1932      bn_mul_comba (a non zero value means the a or b arrays do not contain
1933      n2 elements) and fallback to bn_mul_normal if either is not zero.
1934      [Steve Henson]
1935
1936   *) Fix escaping of non-ASCII characters when using the -subj option
1937      of the "openssl req" command line tool. (Robert Joop <joop@fokus.gmd.de>)
1938      [Lutz Jaenicke]
1939
1940   *) Make object definitions compliant to LDAP (RFC2256): SN is the short
1941      form for "surname", serialNumber has no short form.
1942      Use "mail" as the short name for "rfc822Mailbox" according to RFC2798;
1943      therefore remove "mail" short name for "internet 7".
1944      The OID for unique identifiers in X509 certificates is
1945      x500UniqueIdentifier, not uniqueIdentifier.
1946      Some more OID additions. (Michael Bell <michael.bell@rz.hu-berlin.de>)
1947      [Lutz Jaenicke]
1948
1949   *) Add an "init" command to the ENGINE config module and auto initialize
1950      ENGINEs. Without any "init" command the ENGINE will be initialized 
1951      after all ctrl commands have been executed on it. If init=1 the 
1952      ENGINE is initailized at that point (ctrls before that point are run
1953      on the uninitialized ENGINE and after on the initialized one). If
1954      init=0 then the ENGINE will not be iniatialized at all.
1955      [Steve Henson]
1956
1957   *) Fix the 'app_verify_callback' interface so that the user-defined
1958      argument is actually passed to the callback: In the
1959      SSL_CTX_set_cert_verify_callback() prototype, the callback
1960      declaration has been changed from
1961           int (*cb)()
1962      into
1963           int (*cb)(X509_STORE_CTX *,void *);
1964      in ssl_verify_cert_chain (ssl/ssl_cert.c), the call
1965           i=s->ctx->app_verify_callback(&ctx)
1966      has been changed into
1967           i=s->ctx->app_verify_callback(&ctx, s->ctx->app_verify_arg).
1968
1969      To update applications using SSL_CTX_set_cert_verify_callback(),
1970      a dummy argument can be added to their callback functions.
1971      [D. K. Smetters <smetters@parc.xerox.com>]
1972
1973   *) Added the '4758cca' ENGINE to support IBM 4758 cards.
1974      [Maurice Gittens <maurice@gittens.nl>, touchups by Geoff Thorpe]
1975
1976   *) Add and OPENSSL_LOAD_CONF define which will cause
1977      OpenSSL_add_all_algorithms() to load the openssl.cnf config file.
1978      This allows older applications to transparently support certain
1979      OpenSSL features: such as crypto acceleration and dynamic ENGINE loading.
1980      Two new functions OPENSSL_add_all_algorithms_noconf() which will never
1981      load the config file and OPENSSL_add_all_algorithms_conf() which will
1982      always load it have also been added.
1983      [Steve Henson]
1984
1985   *) Add the OFB, CFB and CTR (all with 128 bit feedback) to AES.
1986      Adjust NIDs and EVP layer.
1987      [Stephen Sprunk <stephen@sprunk.org> and Richard Levitte]
1988
1989   *) Config modules support in openssl utility.
1990
1991      Most commands now load modules from the config file,
1992      though in a few (such as version) this isn't done 
1993      because it couldn't be used for anything.
1994
1995      In the case of ca and req the config file used is
1996      the same as the utility itself: that is the -config
1997      command line option can be used to specify an
1998      alternative file.
1999      [Steve Henson]
2000
2001   *) Move default behaviour from OPENSSL_config(). If appname is NULL
2002      use "openssl_conf" if filename is NULL use default openssl config file.
2003      [Steve Henson]
2004
2005   *) Add an argument to OPENSSL_config() to allow the use of an alternative
2006      config section name. Add a new flag to tolerate a missing config file
2007      and move code to CONF_modules_load_file().
2008      [Steve Henson]
2009
2010   *) Support for crypto accelerator cards from Accelerated Encryption
2011      Processing, www.aep.ie.  (Use engine 'aep')
2012      The support was copied from 0.9.6c [engine] and adapted/corrected
2013      to work with the new engine framework.
2014      [AEP Inc. and Richard Levitte]
2015
2016   *) Support for SureWare crypto accelerator cards from Baltimore
2017      Technologies.  (Use engine 'sureware')
2018      The support was copied from 0.9.6c [engine] and adapted
2019      to work with the new engine framework.
2020      [Richard Levitte]
2021
2022   *) Have the CHIL engine fork-safe (as defined by nCipher) and actually
2023      make the newer ENGINE framework commands for the CHIL engine work.
2024      [Toomas Kiisk <vix@cyber.ee> and Richard Levitte]
2025
2026   *) Make it possible to produce shared libraries on ReliantUNIX.
2027      [Robert Dahlem <Robert.Dahlem@ffm2.siemens.de> via Richard Levitte]
2028
2029   *) Add the configuration target debug-linux-ppro.
2030      Make 'openssl rsa' use the general key loading routines
2031      implemented in apps.c, and make those routines able to
2032      handle the key format FORMAT_NETSCAPE and the variant
2033      FORMAT_IISSGC.
2034      [Toomas Kiisk <vix@cyber.ee> via Richard Levitte]
2035
2036  *) Fix a crashbug and a logic bug in hwcrhk_load_pubkey().
2037      [Toomas Kiisk <vix@cyber.ee> via Richard Levitte]
2038
2039   *) Add -keyform to rsautl, and document -engine.
2040      [Richard Levitte, inspired by Toomas Kiisk <vix@cyber.ee>]
2041
2042   *) Change BIO_new_file (crypto/bio/bss_file.c) to use new
2043      BIO_R_NO_SUCH_FILE error code rather than the generic
2044      ERR_R_SYS_LIB error code if fopen() fails with ENOENT.
2045      [Ben Laurie]
2046
2047   *) Add new functions
2048           ERR_peek_last_error
2049           ERR_peek_last_error_line
2050           ERR_peek_last_error_line_data.
2051      These are similar to
2052           ERR_peek_error
2053           ERR_peek_error_line
2054           ERR_peek_error_line_data,
2055      but report on the latest error recorded rather than the first one
2056      still in the error queue.
2057      [Ben Laurie, Bodo Moeller]
2058         
2059   *) default_algorithms option in ENGINE config module. This allows things
2060      like:
2061      default_algorithms = ALL
2062      default_algorithms = RSA, DSA, RAND, CIPHERS, DIGESTS
2063      [Steve Henson]
2064
2065   *) Prelminary ENGINE config module.
2066      [Steve Henson]
2067
2068   *) New experimental application configuration code.
2069      [Steve Henson]
2070
2071   *) Change the AES code to follow the same name structure as all other
2072      symmetric ciphers, and behave the same way.  Move everything to
2073      the directory crypto/aes, thereby obsoleting crypto/rijndael.
2074      [Stephen Sprunk <stephen@sprunk.org> and Richard Levitte]
2075
2076   *) SECURITY: remove unsafe setjmp/signal interaction from ui_openssl.c.
2077      [Ben Laurie and Theo de Raadt]
2078
2079   *) Add option to output public keys in req command.
2080      [Massimiliano Pala madwolf@openca.org]
2081
2082   *) Use wNAFs in EC_POINTs_mul() for improved efficiency
2083      (up to about 10% better than before for P-192 and P-224).
2084      [Bodo Moeller]
2085
2086   *) New functions/macros
2087
2088           SSL_CTX_set_msg_callback(ctx, cb)
2089           SSL_CTX_set_msg_callback_arg(ctx, arg)
2090           SSL_set_msg_callback(ssl, cb)
2091           SSL_set_msg_callback_arg(ssl, arg)
2092
2093      to request calling a callback function
2094
2095           void cb(int write_p, int version, int content_type,
2096                   const void *buf, size_t len, SSL *ssl, void *arg)
2097
2098      whenever a protocol message has been completely received
2099      (write_p == 0) or sent (write_p == 1).  Here 'version' is the
2100      protocol version  according to which the SSL library interprets
2101      the current protocol message (SSL2_VERSION, SSL3_VERSION, or
2102      TLS1_VERSION).  'content_type' is 0 in the case of SSL 2.0, or
2103      the content type as defined in the SSL 3.0/TLS 1.0 protocol
2104      specification (change_cipher_spec(20), alert(21), handshake(22)).
2105      'buf' and 'len' point to the actual message, 'ssl' to the
2106      SSL object, and 'arg' is the application-defined value set by
2107      SSL[_CTX]_set_msg_callback_arg().
2108
2109      'openssl s_client' and 'openssl s_server' have new '-msg' options
2110      to enable a callback that displays all protocol messages.
2111      [Bodo Moeller]
2112
2113   *) Change the shared library support so shared libraries are built as
2114      soon as the corresponding static library is finished, and thereby get
2115      openssl and the test programs linked against the shared library.
2116      This still only happens when the keyword "shard" has been given to
2117      the configuration scripts.
2118
2119      NOTE: shared library support is still an experimental thing, and
2120      backward binary compatibility is still not guaranteed.
2121      ["Maciej W. Rozycki" <macro@ds2.pg.gda.pl> and Richard Levitte]
2122
2123   *) Add support for Subject Information Access extension.
2124      [Peter Sylvester <Peter.Sylvester@EdelWeb.fr>]
2125
2126   *) Make BUF_MEM_grow() behaviour more consistent: Initialise to zero
2127      additional bytes when new memory had to be allocated, not just
2128      when reusing an existing buffer.
2129      [Bodo Moeller]
2130
2131   *) New command line and configuration option 'utf8' for the req command.
2132      This allows field values to be specified as UTF8 strings.
2133      [Steve Henson]
2134
2135   *) Add -multi and -mr options to "openssl speed" - giving multiple parallel
2136      runs for the former and machine-readable output for the latter.
2137      [Ben Laurie]
2138
2139   *) Add '-noemailDN' option to 'openssl ca'.  This prevents inclusion
2140      of the e-mail address in the DN (i.e., it will go into a certificate
2141      extension only).  The new configuration file option 'email_in_dn = no'
2142      has the same effect.
2143      [Massimiliano Pala madwolf@openca.org]
2144
2145   *) Change all functions with names starting with des_ to be starting
2146      with DES_ instead.  Add wrappers that are compatible with libdes,
2147      but are named _ossl_old_des_*.  Finally, add macros that map the
2148      des_* symbols to the corresponding _ossl_old_des_* if libdes
2149      compatibility is desired.  If OpenSSL 0.9.6c compatibility is
2150      desired, the des_* symbols will be mapped to DES_*, with one
2151      exception.
2152
2153      Since we provide two compatibility mappings, the user needs to
2154      define the macro OPENSSL_DES_LIBDES_COMPATIBILITY if libdes
2155      compatibility is desired.  The default (i.e., when that macro
2156      isn't defined) is OpenSSL 0.9.6c compatibility.
2157
2158      There are also macros that enable and disable the support of old
2159      des functions altogether.  Those are OPENSSL_ENABLE_OLD_DES_SUPPORT
2160      and OPENSSL_DISABLE_OLD_DES_SUPPORT.  If none or both of those
2161      are defined, the default will apply: to support the old des routines.
2162
2163      In either case, one must include openssl/des.h to get the correct
2164      definitions.  Do not try to just include openssl/des_old.h, that
2165      won't work.
2166
2167      NOTE: This is a major break of an old API into a new one.  Software
2168      authors are encouraged to switch to the DES_ style functions.  Some
2169      time in the future, des_old.h and the libdes compatibility functions
2170      will be disable (i.e. OPENSSL_DISABLE_OLD_DES_SUPPORT will be the
2171      default), and then completely removed.
2172      [Richard Levitte]
2173
2174   *) Test for certificates which contain unsupported critical extensions.
2175      If such a certificate is found during a verify operation it is 
2176      rejected by default: this behaviour can be overridden by either
2177      handling the new error X509_V_ERR_UNHANDLED_CRITICAL_EXTENSION or
2178      by setting the verify flag X509_V_FLAG_IGNORE_CRITICAL. A new function
2179      X509_supported_extension() has also been added which returns 1 if a
2180      particular extension is supported.
2181      [Steve Henson]
2182
2183   *) Modify the behaviour of EVP cipher functions in similar way to digests
2184      to retain compatibility with existing code.
2185      [Steve Henson]
2186
2187   *) Modify the behaviour of EVP_DigestInit() and EVP_DigestFinal() to retain
2188      compatibility with existing code. In particular the 'ctx' parameter does
2189      not have to be to be initialized before the call to EVP_DigestInit() and
2190      it is tidied up after a call to EVP_DigestFinal(). New function
2191      EVP_DigestFinal_ex() which does not tidy up the ctx. Similarly function
2192      EVP_MD_CTX_copy() changed to not require the destination to be
2193      initialized valid and new function EVP_MD_CTX_copy_ex() added which
2194      requires the destination to be valid.
2195
2196      Modify all the OpenSSL digest calls to use EVP_DigestInit_ex(),
2197      EVP_DigestFinal_ex() and EVP_MD_CTX_copy_ex().
2198      [Steve Henson]
2199
2200   *) Change ssl3_get_message (ssl/s3_both.c) and the functions using it
2201      so that complete 'Handshake' protocol structures are kept in memory
2202      instead of overwriting 'msg_type' and 'length' with 'body' data.
2203      [Bodo Moeller]
2204
2205   *) Add an implementation of SSL_add_dir_cert_subjects_to_stack for Win32.
2206      [Massimo Santin via Richard Levitte]
2207
2208   *) Major restructuring to the underlying ENGINE code. This includes
2209      reduction of linker bloat, separation of pure "ENGINE" manipulation
2210      (initialisation, etc) from functionality dealing with implementations
2211      of specific crypto iterfaces. This change also introduces integrated
2212      support for symmetric ciphers and digest implementations - so ENGINEs
2213      can now accelerate these by providing EVP_CIPHER and EVP_MD
2214      implementations of their own. This is detailed in crypto/engine/README
2215      as it couldn't be adequately described here. However, there are a few
2216      API changes worth noting - some RSA, DSA, DH, and RAND functions that
2217      were changed in the original introduction of ENGINE code have now
2218      reverted back - the hooking from this code to ENGINE is now a good
2219      deal more passive and at run-time, operations deal directly with
2220      RSA_METHODs, DSA_METHODs (etc) as they did before, rather than
2221      dereferencing through an ENGINE pointer any more. Also, the ENGINE
2222      functions dealing with BN_MOD_EXP[_CRT] handlers have been removed -
2223      they were not being used by the framework as there is no concept of a
2224      BIGNUM_METHOD and they could not be generalised to the new
2225      'ENGINE_TABLE' mechanism that underlies the new code. Similarly,
2226      ENGINE_cpy() has been removed as it cannot be consistently defined in
2227      the new code.
2228      [Geoff Thorpe]
2229
2230   *) Change ASN1_GENERALIZEDTIME_check() to allow fractional seconds.
2231      [Steve Henson]
2232
2233   *) Change mkdef.pl to sort symbols that get the same entry number,
2234      and make sure the automatically generated functions ERR_load_*
2235      become part of libeay.num as well.
2236      [Richard Levitte]
2237
2238   *) New function SSL_renegotiate_pending().  This returns true once
2239      renegotiation has been requested (either SSL_renegotiate() call
2240      or HelloRequest/ClientHello receveived from the peer) and becomes
2241      false once a handshake has been completed.
2242      (For servers, SSL_renegotiate() followed by SSL_do_handshake()
2243      sends a HelloRequest, but does not ensure that a handshake takes
2244      place.  SSL_renegotiate_pending() is useful for checking if the
2245      client has followed the request.)
2246      [Bodo Moeller]
2247
2248   *) New SSL option SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION.
2249      By default, clients may request session resumption even during
2250      renegotiation (if session ID contexts permit); with this option,
2251      session resumption is possible only in the first handshake.
2252
2253      SSL_OP_ALL is now 0x00000FFFL instead of 0x000FFFFFL.  This makes
2254      more bits available for options that should not be part of
2255      SSL_OP_ALL (such as SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION).
2256      [Bodo Moeller]
2257
2258   *) Add some demos for certificate and certificate request creation.
2259      [Steve Henson]
2260
2261   *) Make maximum certificate chain size accepted from the peer application
2262      settable (SSL*_get/set_max_cert_list()), as proposed by
2263      "Douglas E. Engert" <deengert@anl.gov>.
2264      [Lutz Jaenicke]
2265
2266   *) Add support for shared libraries for Unixware-7
2267      (Boyd Lynn Gerber <gerberb@zenez.com>).
2268      [Lutz Jaenicke]
2269
2270   *) Add a "destroy" handler to ENGINEs that allows structural cleanup to
2271      be done prior to destruction. Use this to unload error strings from
2272      ENGINEs that load their own error strings. NB: This adds two new API
2273      functions to "get" and "set" this destroy handler in an ENGINE.
2274      [Geoff Thorpe]
2275
2276   *) Alter all existing ENGINE implementations (except "openssl" and
2277      "openbsd") to dynamically instantiate their own error strings. This
2278      makes them more flexible to be built both as statically-linked ENGINEs
2279      and self-contained shared-libraries loadable via the "dynamic" ENGINE.
2280      Also, add stub code to each that makes building them as self-contained
2281      shared-libraries easier (see README.ENGINE).
2282      [Geoff Thorpe]
2283
2284   *) Add a "dynamic" ENGINE that provides a mechanism for binding ENGINE
2285      implementations into applications that are completely implemented in
2286      self-contained shared-libraries. The "dynamic" ENGINE exposes control
2287      commands that can be used to configure what shared-library to load and
2288      to control aspects of the way it is handled. Also, made an update to
2289      the README.ENGINE file that brings its information up-to-date and
2290      provides some information and instructions on the "dynamic" ENGINE
2291      (ie. how to use it, how to build "dynamic"-loadable ENGINEs, etc).
2292      [Geoff Thorpe]
2293
2294   *) Make it possible to unload ranges of ERR strings with a new
2295      "ERR_unload_strings" function.
2296      [Geoff Thorpe]
2297
2298   *) Add a copy() function to EVP_MD.
2299      [Ben Laurie]
2300
2301   *) Make EVP_MD routines take a context pointer instead of just the
2302      md_data void pointer.
2303      [Ben Laurie]
2304
2305   *) Add flags to EVP_MD and EVP_MD_CTX. EVP_MD_FLAG_ONESHOT indicates
2306      that the digest can only process a single chunk of data
2307      (typically because it is provided by a piece of
2308      hardware). EVP_MD_CTX_FLAG_ONESHOT indicates that the application
2309      is only going to provide a single chunk of data, and hence the
2310      framework needn't accumulate the data for oneshot drivers.
2311      [Ben Laurie]
2312
2313   *) As with "ERR", make it possible to replace the underlying "ex_data"
2314      functions. This change also alters the storage and management of global
2315      ex_data state - it's now all inside ex_data.c and all "class" code (eg.
2316      RSA, BIO, SSL_CTX, etc) no longer stores its own STACKS and per-class
2317      index counters. The API functions that use this state have been changed
2318      to take a "class_index" rather than pointers to the class's local STACK
2319      and counter, and there is now an API function to dynamically create new
2320      classes. This centralisation allows us to (a) plug a lot of the
2321      thread-safety problems that existed, and (b) makes it possible to clean
2322      up all allocated state using "CRYPTO_cleanup_all_ex_data()". W.r.t. (b)
2323      such data would previously have always leaked in application code and
2324      workarounds were in place to make the memory debugging turn a blind eye
2325      to it. Application code that doesn't use this new function will still
2326      leak as before, but their memory debugging output will announce it now
2327      rather than letting it slide.
2328
2329      Besides the addition of CRYPTO_cleanup_all_ex_data(), another API change
2330      induced by the "ex_data" overhaul is that X509_STORE_CTX_init() now
2331      has a return value to indicate success or failure.
2332      [Geoff Thorpe]
2333
2334   *) Make it possible to replace the underlying "ERR" functions such that the
2335      global state (2 LHASH tables and 2 locks) is only used by the "default"
2336      implementation. This change also adds two functions to "get" and "set"
2337      the implementation prior to it being automatically set the first time
2338      any other ERR function takes place. Ie. an application can call "get",
2339      pass the return value to a module it has just loaded, and that module
2340      can call its own "set" function using that value. This means the
2341      module's "ERR" operations will use (and modify) the error state in the
2342      application and not in its own statically linked copy of OpenSSL code.
2343      [Geoff Thorpe]
2344
2345   *) Give DH, DSA, and RSA types their own "**_up_ref()" function to increment
2346      reference counts. This performs normal REF_PRINT/REF_CHECK macros on
2347      the operation, and provides a more encapsulated way for external code
2348      (crypto/evp/ and ssl/) to do this. Also changed the evp and ssl code
2349      to use these functions rather than manually incrementing the counts.
2350
2351      Also rename "DSO_up()" function to more descriptive "DSO_up_ref()".
2352      [Geoff Thorpe]
2353
2354   *) Add EVP test program.
2355      [Ben Laurie]
2356
2357   *) Add symmetric cipher support to ENGINE. Expect the API to change!
2358      [Ben Laurie]
2359
2360   *) New CRL functions: X509_CRL_set_version(), X509_CRL_set_issuer_name()
2361      X509_CRL_set_lastUpdate(), X509_CRL_set_nextUpdate(), X509_CRL_sort(),
2362      X509_REVOKED_set_serialNumber(), and X509_REVOKED_set_revocationDate().
2363      These allow a CRL to be built without having to access X509_CRL fields
2364      directly. Modify 'ca' application to use new functions.
2365      [Steve Henson]
2366
2367   *) Move SSL_OP_TLS_ROLLBACK_BUG out of the SSL_OP_ALL list of recommended
2368      bug workarounds. Rollback attack detection is a security feature.
2369      The problem will only arise on OpenSSL servers when TLSv1 is not
2370      available (sslv3_server_method() or SSL_OP_NO_TLSv1).
2371      Software authors not wanting to support TLSv1 will have special reasons
2372      for their choice and can explicitly enable this option.
2373      [Bodo Moeller, Lutz Jaenicke]
2374
2375   *) Rationalise EVP so it can be extended: don't include a union of
2376      cipher/digest structures, add init/cleanup functions for EVP_MD_CTX
2377      (similar to those existing for EVP_CIPHER_CTX).
2378      Usage example:
2379
2380          EVP_MD_CTX md;
2381
2382          EVP_MD_CTX_init(&md);             /* new function call */
2383          EVP_DigestInit(&md, EVP_sha1());
2384          EVP_DigestUpdate(&md, in, len);
2385          EVP_DigestFinal(&md, out, NULL);
2386          EVP_MD_CTX_cleanup(&md);          /* new function call */
2387
2388      [Ben Laurie]
2389
2390   *) Make DES key schedule conform to the usual scheme, as well as
2391      correcting its structure. This means that calls to DES functions
2392      now have to pass a pointer to a des_key_schedule instead of a
2393      plain des_key_schedule (which was actually always a pointer
2394      anyway): E.g.,
2395
2396          des_key_schedule ks;
2397
2398          des_set_key_checked(..., &ks);
2399          des_ncbc_encrypt(..., &ks, ...);
2400
2401      (Note that a later change renames 'des_...' into 'DES_...'.)
2402      [Ben Laurie]
2403
2404   *) Initial reduction of linker bloat: the use of some functions, such as
2405      PEM causes large amounts of unused functions to be linked in due to
2406      poor organisation. For example pem_all.c contains every PEM function
2407      which has a knock on effect of linking in large amounts of (unused)
2408      ASN1 code. Grouping together similar functions and splitting unrelated
2409      functions prevents this.
2410      [Steve Henson]
2411
2412   *) Cleanup of EVP macros.
2413      [Ben Laurie]
2414
2415   *) Change historical references to {NID,SN,LN}_des_ede and ede3 to add the
2416      correct _ecb suffix.
2417      [Ben Laurie]
2418
2419   *) Add initial OCSP responder support to ocsp application. The
2420      revocation information is handled using the text based index
2421      use by the ca application. The responder can either handle
2422      requests generated internally, supplied in files (for example
2423      via a CGI script) or using an internal minimal server.
2424      [Steve Henson]
2425
2426   *) Add configuration choices to get zlib compression for TLS.
2427      [Richard Levitte]
2428
2429   *) Changes to Kerberos SSL for RFC 2712 compliance:
2430      1.  Implemented real KerberosWrapper, instead of just using
2431          KRB5 AP_REQ message.  [Thanks to Simon Wilkinson <sxw@sxw.org.uk>]
2432      2.  Implemented optional authenticator field of KerberosWrapper.
2433
2434      Added openssl-style ASN.1 macros for Kerberos ticket, ap_req,
2435      and authenticator structs; see crypto/krb5/.
2436
2437      Generalized Kerberos calls to support multiple Kerberos libraries.
2438      [Vern Staats <staatsvr@asc.hpc.mil>,
2439       Jeffrey Altman <jaltman@columbia.edu>
2440       via Richard Levitte]
2441
2442   *) Cause 'openssl speed' to use fully hard-coded DSA keys as it
2443      already does with RSA. testdsa.h now has 'priv_key/pub_key'
2444      values for each of the key sizes rather than having just
2445      parameters (and 'speed' generating keys each time).
2446      [Geoff Thorpe]
2447
2448   *) Speed up EVP routines.
2449      Before:
2450 encrypt
2451 type              8 bytes     64 bytes    256 bytes   1024 bytes   8192 bytes
2452 des-cbc           4408.85k     5560.51k     5778.46k     5862.20k     5825.16k
2453 des-cbc           4389.55k     5571.17k     5792.23k     5846.91k     5832.11k
2454 des-cbc           4394.32k     5575.92k     5807.44k     5848.37k     5841.30k
2455 decrypt
2456 des-cbc           3482.66k     5069.49k     5496.39k     5614.16k     5639.28k
2457 des-cbc           3480.74k     5068.76k     5510.34k     5609.87k     5635.52k
2458 des-cbc           3483.72k     5067.62k     5504.60k     5708.01k     5724.80k
2459      After:
2460 encrypt
2461 des-cbc           4660.16k     5650.19k     5807.19k     5827.13k     5783.32k
2462 decrypt
2463 des-cbc           3624.96k     5258.21k     5530.91k     5624.30k     5628.26k
2464      [Ben Laurie]
2465
2466   *) Added the OS2-EMX target.
2467      ["Brian Havard" <brianh@kheldar.apana.org.au> and Richard Levitte]
2468
2469   *) Rewrite apps to use NCONF routines instead of the old CONF. New functions
2470      to support NCONF routines in extension code. New function CONF_set_nconf()
2471      to allow functions which take an NCONF to also handle the old LHASH
2472      structure: this means that the old CONF compatible routines can be
2473      retained (in particular wrt extensions) without having to duplicate the
2474      code. New function X509V3_add_ext_nconf_sk to add extensions to a stack.
2475      [Steve Henson]
2476
2477   *) Enhance the general user interface with mechanisms for inner control
2478      and with possibilities to have yes/no kind of prompts.
2479      [Richard Levitte]
2480
2481   *) Change all calls to low level digest routines in the library and
2482      applications to use EVP. Add missing calls to HMAC_cleanup() and
2483      don't assume HMAC_CTX can be copied using memcpy().
2484      [Verdon Walker <VWalker@novell.com>, Steve Henson]
2485
2486   *) Add the possibility to control engines through control names but with
2487      arbitrary arguments instead of just a string.
2488      Change the key loaders to take a UI_METHOD instead of a callback
2489      function pointer.  NOTE: this breaks binary compatibility with earlier
2490      versions of OpenSSL [engine].
2491      Adapt the nCipher code for these new conditions and add a card insertion
2492      callback.
2493      [Richard Levitte]
2494
2495   *) Enhance the general user interface with mechanisms to better support
2496      dialog box interfaces, application-defined prompts, the possibility
2497      to use defaults (for example default passwords from somewhere else)
2498      and interrupts/cancellations.
2499      [Richard Levitte]
2500
2501   *) Tidy up PKCS#12 attribute handling. Add support for the CSP name
2502      attribute in PKCS#12 files, add new -CSP option to pkcs12 utility.
2503      [Steve Henson]
2504
2505   *) Fix a memory leak in 'sk_dup()' in the case reallocation fails. (Also
2506      tidy up some unnecessarily weird code in 'sk_new()').
2507      [Geoff, reported by Diego Tartara <dtartara@novamens.com>]
2508
2509   *) Change the key loading routines for ENGINEs to use the same kind
2510      callback (pem_password_cb) as all other routines that need this
2511      kind of callback.
2512      [Richard Levitte]
2513
2514   *) Increase ENTROPY_NEEDED to 32 bytes, as Rijndael can operate with
2515      256 bit (=32 byte) keys. Of course seeding with more entropy bytes
2516      than this minimum value is recommended.
2517      [Lutz Jaenicke]
2518
2519   *) New random seeder for OpenVMS, using the system process statistics
2520      that are easily reachable.
2521      [Richard Levitte]
2522
2523   *) Windows apparently can't transparently handle global
2524      variables defined in DLLs. Initialisations such as:
2525
2526         const ASN1_ITEM *it = &ASN1_INTEGER_it;
2527
2528      wont compile. This is used by the any applications that need to
2529      declare their own ASN1 modules. This was fixed by adding the option
2530      EXPORT_VAR_AS_FN to all Win32 platforms, although this isn't strictly
2531      needed for static libraries under Win32.
2532      [Steve Henson]
2533
2534   *) New functions X509_PURPOSE_set() and X509_TRUST_set() to handle
2535      setting of purpose and trust fields. New X509_STORE trust and
2536      purpose functions and tidy up setting in other SSL functions.
2537      [Steve Henson]
2538
2539   *) Add copies of X509_STORE_CTX fields and callbacks to X509_STORE
2540      structure. These are inherited by X509_STORE_CTX when it is 
2541      initialised. This allows various defaults to be set in the
2542      X509_STORE structure (such as flags for CRL checking and custom
2543      purpose or trust settings) for functions which only use X509_STORE_CTX
2544      internally such as S/MIME.
2545
2546      Modify X509_STORE_CTX_purpose_inherit() so it only sets purposes and
2547      trust settings if they are not set in X509_STORE. This allows X509_STORE
2548      purposes and trust (in S/MIME for example) to override any set by default.
2549
2550      Add command line options for CRL checking to smime, s_client and s_server
2551      applications.
2552      [Steve Henson]
2553
2554   *) Initial CRL based revocation checking. If the CRL checking flag(s)
2555      are set then the CRL is looked up in the X509_STORE structure and
2556      its validity and signature checked, then if the certificate is found
2557      in the CRL the verify fails with a revoked error.
2558
2559      Various new CRL related callbacks added to X509_STORE_CTX structure.
2560
2561      Command line options added to 'verify' application to support this.
2562
2563      This needs some additional work, such as being able to handle multiple
2564      CRLs with different times, extension based lookup (rather than just
2565      by subject name) and ultimately more complete V2 CRL extension
2566      handling.
2567      [Steve Henson]
2568
2569   *) Add a general user interface API (crypto/ui/).  This is designed
2570      to replace things like des_read_password and friends (backward
2571      compatibility functions using this new API are provided).
2572      The purpose is to remove prompting functions from the DES code
2573      section as well as provide for prompting through dialog boxes in
2574      a window system and the like.
2575      [Richard Levitte]
2576
2577   *) Add "ex_data" support to ENGINE so implementations can add state at a
2578      per-structure level rather than having to store it globally.
2579      [Geoff]
2580
2581   *) Make it possible for ENGINE structures to be copied when retrieved by
2582      ENGINE_by_id() if the ENGINE specifies a new flag: ENGINE_FLAGS_BY_ID_COPY.
2583      This causes the "original" ENGINE structure to act like a template,
2584      analogous to the RSA vs. RSA_METHOD type of separation. Because of this
2585      operational state can be localised to each ENGINE structure, despite the
2586      fact they all share the same "methods". New ENGINE structures returned in
2587      this case have no functional references and the return value is the single
2588      structural reference. This matches the single structural reference returned
2589      by ENGINE_by_id() normally, when it is incremented on the pre-existing
2590      ENGINE structure.
2591      [Geoff]
2592
2593   *) Fix ASN1 decoder when decoding type ANY and V_ASN1_OTHER: since this
2594      needs to match any other type at all we need to manually clear the
2595      tag cache.
2596      [Steve Henson]
2597
2598   *) Changes to the "openssl engine" utility to include;
2599      - verbosity levels ('-v', '-vv', and '-vvv') that provide information
2600        about an ENGINE's available control commands.
2601      - executing control commands from command line arguments using the
2602        '-pre' and '-post' switches. '-post' is only used if '-t' is
2603        specified and the ENGINE is successfully initialised. The syntax for
2604        the individual commands are colon-separated, for example;
2605          openssl engine chil -pre FORK_CHECK:0 -pre SO_PATH:/lib/test.so
2606      [Geoff]
2607
2608   *) New dynamic control command support for ENGINEs. ENGINEs can now
2609      declare their own commands (numbers), names (strings), descriptions,
2610      and input types for run-time discovery by calling applications. A
2611      subset of these commands are implicitly classed as "executable"
2612      depending on their input type, and only these can be invoked through
2613      the new string-based API function ENGINE_ctrl_cmd_string(). (Eg. this
2614      can be based on user input, config files, etc). The distinction is
2615      that "executable" commands cannot return anything other than a boolean
2616      result and can only support numeric or string input, whereas some
2617      discoverable commands may only be for direct use through
2618      ENGINE_ctrl(), eg. supporting the exchange of binary data, function
2619      pointers, or other custom uses. The "executable" commands are to
2620      support parameterisations of ENGINE behaviour that can be
2621      unambiguously defined by ENGINEs and used consistently across any
2622      OpenSSL-based application. Commands have been added to all the
2623      existing hardware-supporting ENGINEs, noticeably "SO_PATH" to allow
2624      control over shared-library paths without source code alterations.
2625      [Geoff]
2626
2627   *) Changed all ENGINE implementations to dynamically allocate their
2628      ENGINEs rather than declaring them statically. Apart from this being
2629      necessary with the removal of the ENGINE_FLAGS_MALLOCED distinction,
2630      this also allows the implementations to compile without using the
2631      internal engine_int.h header.
2632      [Geoff]
2633
2634   *) Minor adjustment to "rand" code. RAND_get_rand_method() now returns a
2635      'const' value. Any code that should be able to modify a RAND_METHOD
2636      should already have non-const pointers to it (ie. they should only
2637      modify their own ones).
2638      [Geoff]
2639
2640   *) Made a variety of little tweaks to the ENGINE code.
2641      - "atalla" and "ubsec" string definitions were moved from header files
2642        to C code. "nuron" string definitions were placed in variables
2643        rather than hard-coded - allowing parameterisation of these values
2644        later on via ctrl() commands.
2645      - Removed unused "#if 0"'d code.
2646      - Fixed engine list iteration code so it uses ENGINE_free() to release
2647        structural references.
2648      - Constified the RAND_METHOD element of ENGINE structures.
2649      - Constified various get/set functions as appropriate and added
2650        missing functions (including a catch-all ENGINE_cpy that duplicates
2651        all ENGINE values onto a new ENGINE except reference counts/state).
2652      - Removed NULL parameter checks in get/set functions. Setting a method
2653        or function to NULL is a way of cancelling out a previously set
2654        value.  Passing a NULL ENGINE parameter is just plain stupid anyway
2655        and doesn't justify the extra error symbols and code.
2656      - Deprecate the ENGINE_FLAGS_MALLOCED define and move the area for
2657        flags from engine_int.h to engine.h.
2658      - Changed prototypes for ENGINE handler functions (init(), finish(),
2659        ctrl(), key-load functions, etc) to take an (ENGINE*) parameter.
2660      [Geoff]
2661
2662   *) Implement binary inversion algorithm for BN_mod_inverse in addition
2663      to the algorithm using long division.  The binary algorithm can be
2664      used only if the modulus is odd.  On 32-bit systems, it is faster
2665      only for relatively small moduli (roughly 20-30% for 128-bit moduli,
2666      roughly 5-15% for 256-bit moduli), so we use it only for moduli
2667      up to 450 bits.  In 64-bit environments, the binary algorithm
2668      appears to be advantageous for much longer moduli; here we use it
2669      for moduli up to 2048 bits.
2670      [Bodo Moeller]
2671
2672   *) Rewrite CHOICE field setting in ASN1_item_ex_d2i(). The old code
2673      could not support the combine flag in choice fields.
2674      [Steve Henson]
2675
2676   *) Add a 'copy_extensions' option to the 'ca' utility. This copies
2677      extensions from a certificate request to the certificate.
2678      [Steve Henson]
2679
2680   *) Allow multiple 'certopt' and 'nameopt' options to be separated
2681      by commas. Add 'namopt' and 'certopt' options to the 'ca' config
2682      file: this allows the display of the certificate about to be
2683      signed to be customised, to allow certain fields to be included
2684      or excluded and extension details. The old system didn't display
2685      multicharacter strings properly, omitted fields not in the policy
2686      and couldn't display additional details such as extensions.
2687      [Steve Henson]
2688
2689   *) Function EC_POINTs_mul for multiple scalar multiplication
2690      of an arbitrary number of elliptic curve points
2691           \sum scalars[i]*points[i],
2692      optionally including the generator defined for the EC_GROUP:
2693           scalar*generator +  \sum scalars[i]*points[i].
2694
2695      EC_POINT_mul is a simple wrapper function for the typical case
2696      that the point list has just one item (besides the optional
2697      generator).
2698      [Bodo Moeller]
2699
2700   *) First EC_METHODs for curves over GF(p):
2701
2702      EC_GFp_simple_method() uses the basic BN_mod_mul and BN_mod_sqr
2703      operations and provides various method functions that can also
2704      operate with faster implementations of modular arithmetic.     
2705
2706      EC_GFp_mont_method() reuses most functions that are part of
2707      EC_GFp_simple_method, but uses Montgomery arithmetic.
2708
2709      [Bodo Moeller; point addition and point doubling
2710      implementation directly derived from source code provided by
2711      Lenka Fibikova <fibikova@exp-math.uni-essen.de>]
2712
2713   *) Framework for elliptic curves (crypto/ec/ec.h, crypto/ec/ec_lcl.h,
2714      crypto/ec/ec_lib.c):
2715
2716      Curves are EC_GROUP objects (with an optional group generator)
2717      based on EC_METHODs that are built into the library.
2718
2719      Points are EC_POINT objects based on EC_GROUP objects.
2720
2721      Most of the framework would be able to handle curves over arbitrary
2722      finite fields, but as there are no obvious types for fields other
2723      than GF(p), some functions are limited to that for now.
2724      [Bodo Moeller]
2725
2726   *) Add the -HTTP option to s_server.  It is similar to -WWW, but requires
2727      that the file contains a complete HTTP response.
2728      [Richard Levitte]
2729
2730   *) Add the ec directory to mkdef.pl and mkfiles.pl. In mkdef.pl
2731      change the def and num file printf format specifier from "%-40sXXX"
2732      to "%-39s XXX". The latter will always guarantee a space after the
2733      field while the former will cause them to run together if the field
2734      is 40 of more characters long.
2735      [Steve Henson]
2736
2737   *) Constify the cipher and digest 'method' functions and structures
2738      and modify related functions to take constant EVP_MD and EVP_CIPHER
2739      pointers.
2740      [Steve Henson]
2741
2742   *) Hide BN_CTX structure details in bn_lcl.h instead of publishing them
2743      in <openssl/bn.h>.  Also further increase BN_CTX_NUM to 32.
2744      [Bodo Moeller]
2745
2746   *) Modify EVP_Digest*() routines so they now return values. Although the
2747      internal software routines can never fail additional hardware versions
2748      might.
2749      [Steve Henson]
2750
2751   *) Clean up crypto/err/err.h and change some error codes to avoid conflicts:
2752
2753      Previously ERR_R_FATAL was too small and coincided with ERR_LIB_PKCS7
2754      (= ERR_R_PKCS7_LIB); it is now 64 instead of 32.
2755
2756      ASN1 error codes
2757           ERR_R_NESTED_ASN1_ERROR
2758           ...
2759           ERR_R_MISSING_ASN1_EOS
2760      were 4 .. 9, conflicting with
2761           ERR_LIB_RSA (= ERR_R_RSA_LIB)
2762           ...
2763           ERR_LIB_PEM (= ERR_R_PEM_LIB).
2764      They are now 58 .. 63 (i.e., just below ERR_R_FATAL).
2765
2766      Add new error code 'ERR_R_INTERNAL_ERROR'.
2767      [Bodo Moeller]
2768
2769   *) Don't overuse locks in crypto/err/err.c: For data retrieval, CRYPTO_r_lock
2770      suffices.
2771      [Bodo Moeller]
2772
2773   *) New option '-subj arg' for 'openssl req' and 'openssl ca'.  This
2774      sets the subject name for a new request or supersedes the
2775      subject name in a given request. Formats that can be parsed are
2776           'CN=Some Name, OU=myOU, C=IT'
2777      and
2778           'CN=Some Name/OU=myOU/C=IT'.
2779
2780      Add options '-batch' and '-verbose' to 'openssl req'.
2781      [Massimiliano Pala <madwolf@hackmasters.net>]
2782
2783   *) Introduce the possibility to access global variables through
2784      functions on platform were that's the best way to handle exporting
2785      global variables in shared libraries.  To enable this functionality,
2786      one must configure with "EXPORT_VAR_AS_FN" or defined the C macro
2787      "OPENSSL_EXPORT_VAR_AS_FUNCTION" in crypto/opensslconf.h (the latter
2788      is normally done by Configure or something similar).
2789
2790      To implement a global variable, use the macro OPENSSL_IMPLEMENT_GLOBAL
2791      in the source file (foo.c) like this:
2792
2793         OPENSSL_IMPLEMENT_GLOBAL(int,foo)=1;
2794         OPENSSL_IMPLEMENT_GLOBAL(double,bar);
2795
2796      To declare a global variable, use the macros OPENSSL_DECLARE_GLOBAL
2797      and OPENSSL_GLOBAL_REF in the header file (foo.h) like this:
2798
2799         OPENSSL_DECLARE_GLOBAL(int,foo);
2800         #define foo OPENSSL_GLOBAL_REF(foo)
2801         OPENSSL_DECLARE_GLOBAL(double,bar);
2802         #define bar OPENSSL_GLOBAL_REF(bar)
2803
2804      The #defines are very important, and therefore so is including the
2805      header file everywhere where the defined globals are used.
2806
2807      The macro OPENSSL_EXPORT_VAR_AS_FUNCTION also affects the definition
2808      of ASN.1 items, but that structure is a bit different.
2809
2810      The largest change is in util/mkdef.pl which has been enhanced with
2811      better and easier to understand logic to choose which symbols should
2812      go into the Windows .def files as well as a number of fixes and code
2813      cleanup (among others, algorithm keywords are now sorted
2814      lexicographically to avoid constant rewrites).
2815      [Richard Levitte]
2816
2817   *) In BN_div() keep a copy of the sign of 'num' before writing the
2818      result to 'rm' because if rm==num the value will be overwritten
2819      and produce the wrong result if 'num' is negative: this caused
2820      problems with BN_mod() and BN_nnmod().
2821      [Steve Henson]
2822
2823   *) Function OCSP_request_verify(). This checks the signature on an
2824      OCSP request and verifies the signer certificate. The signer
2825      certificate is just checked for a generic purpose and OCSP request
2826      trust settings.
2827      [Steve Henson]
2828
2829   *) Add OCSP_check_validity() function to check the validity of OCSP
2830      responses. OCSP responses are prepared in real time and may only
2831      be a few seconds old. Simply checking that the current time lies
2832      between thisUpdate and nextUpdate max reject otherwise valid responses
2833      caused by either OCSP responder or client clock inaccuracy. Instead
2834      we allow thisUpdate and nextUpdate to fall within a certain period of
2835      the current time. The age of the response can also optionally be
2836      checked. Two new options -validity_period and -status_age added to
2837      ocsp utility.
2838      [Steve Henson]
2839
2840   *) If signature or public key algorithm is unrecognized print out its
2841      OID rather that just UNKNOWN.
2842      [Steve Henson]
2843
2844   *) Change OCSP_cert_to_id() to tolerate a NULL subject certificate and
2845      OCSP_cert_id_new() a NULL serialNumber. This allows a partial certificate
2846      ID to be generated from the issuer certificate alone which can then be
2847      passed to OCSP_id_issuer_cmp().
2848      [Steve Henson]
2849
2850   *) New compilation option ASN1_ITEM_FUNCTIONS. This causes the new
2851      ASN1 modules to export functions returning ASN1_ITEM pointers
2852      instead of the ASN1_ITEM structures themselves. This adds several
2853      new macros which allow the underlying ASN1 function/structure to
2854      be accessed transparently. As a result code should not use ASN1_ITEM
2855      references directly (such as &X509_it) but instead use the relevant
2856      macros (such as ASN1_ITEM_rptr(X509)). This option is to allow
2857      use of the new ASN1 code on platforms where exporting structures
2858      is problematical (for example in shared libraries) but exporting
2859      functions returning pointers to structures is not.
2860      [Steve Henson]
2861
2862   *) Add support for overriding the generation of SSL/TLS session IDs.
2863      These callbacks can be registered either in an SSL_CTX or per SSL.
2864      The purpose of this is to allow applications to control, if they wish,
2865      the arbitrary values chosen for use as session IDs, particularly as it
2866      can be useful for session caching in multiple-server environments. A
2867      command-line switch for testing this (and any client code that wishes
2868      to use such a feature) has been added to "s_server".
2869      [Geoff Thorpe, Lutz Jaenicke]
2870
2871   *) Modify mkdef.pl to recognise and parse preprocessor conditionals
2872      of the form '#if defined(...) || defined(...) || ...' and
2873      '#if !defined(...) && !defined(...) && ...'.  This also avoids
2874      the growing number of special cases it was previously handling.
2875      [Richard Levitte]
2876
2877   *) Make all configuration macros available for application by making
2878      sure they are available in opensslconf.h, by giving them names starting
2879      with "OPENSSL_" to avoid conflicts with other packages and by making
2880      sure e_os2.h will cover all platform-specific cases together with
2881      opensslconf.h.
2882      Additionally, it is now possible to define configuration/platform-
2883      specific names (called "system identities").  In the C code, these
2884      are prefixed with "OPENSSL_SYSNAME_".  e_os2.h will create another
2885      macro with the name beginning with "OPENSSL_SYS_", which is determined
2886      from "OPENSSL_SYSNAME_*" or compiler-specific macros depending on
2887      what is available.
2888      [Richard Levitte]
2889
2890   *) New option -set_serial to 'req' and 'x509' this allows the serial
2891      number to use to be specified on the command line. Previously self
2892      signed certificates were hard coded with serial number 0 and the 
2893      CA options of 'x509' had to use a serial number in a file which was
2894      auto incremented.
2895      [Steve Henson]
2896
2897   *) New options to 'ca' utility to support V2 CRL entry extensions.
2898      Currently CRL reason, invalidity date and hold instruction are
2899      supported. Add new CRL extensions to V3 code and some new objects.
2900      [Steve Henson]
2901
2902   *) New function EVP_CIPHER_CTX_set_padding() this is used to
2903      disable standard block padding (aka PKCS#5 padding) in the EVP
2904      API, which was previously mandatory. This means that the data is
2905      not padded in any way and so the total length much be a multiple
2906      of the block size, otherwise an error occurs.
2907      [Steve Henson]
2908
2909   *) Initial (incomplete) OCSP SSL support.
2910      [Steve Henson]
2911
2912   *) New function OCSP_parse_url(). This splits up a URL into its host,
2913      port and path components: primarily to parse OCSP URLs. New -url
2914      option to ocsp utility.
2915      [Steve Henson]
2916
2917   *) New nonce behavior. The return value of OCSP_check_nonce() now 
2918      reflects the various checks performed. Applications can decide
2919      whether to tolerate certain situations such as an absent nonce
2920      in a response when one was present in a request: the ocsp application
2921      just prints out a warning. New function OCSP_add1_basic_nonce()
2922      this is to allow responders to include a nonce in a response even if
2923      the request is nonce-less.
2924      [Steve Henson]
2925
2926   *) Disable stdin buffering in load_cert (apps/apps.c) so that no certs are
2927      skipped when using openssl x509 multiple times on a single input file,
2928      e.g. "(openssl x509 -out cert1; openssl x509 -out cert2) <certs".
2929      [Bodo Moeller]
2930
2931   *) Make ASN1_UTCTIME_set_string() and ASN1_GENERALIZEDTIME_set_string()
2932      set string type: to handle setting ASN1_TIME structures. Fix ca
2933      utility to correctly initialize revocation date of CRLs.
2934      [Steve Henson]
2935
2936   *) New option SSL_OP_CIPHER_SERVER_PREFERENCE allows the server to override
2937      the clients preferred ciphersuites and rather use its own preferences.
2938      Should help to work around M$ SGC (Server Gated Cryptography) bug in
2939      Internet Explorer by ensuring unchanged hash method during stepup.
2940      (Also replaces the broken/deactivated SSL_OP_NON_EXPORT_FIRST option.)
2941      [Lutz Jaenicke]
2942
2943   *) Make mkdef.pl recognise all DECLARE_ASN1 macros, change rijndael
2944      to aes and add a new 'exist' option to print out symbols that don't
2945      appear to exist.
2946      [Steve Henson]
2947
2948   *) Additional options to ocsp utility to allow flags to be set and
2949      additional certificates supplied.
2950      [Steve Henson]
2951
2952   *) Add the option -VAfile to 'openssl ocsp', so the user can give the
2953      OCSP client a number of certificate to only verify the response
2954      signature against.
2955      [Richard Levitte]
2956
2957   *) Update Rijndael code to version 3.0 and change EVP AES ciphers to
2958      handle the new API. Currently only ECB, CBC modes supported. Add new
2959      AES OIDs.
2960
2961      Add TLS AES ciphersuites as described in RFC3268, "Advanced
2962      Encryption Standard (AES) Ciphersuites for Transport Layer
2963      Security (TLS)".  (In beta versions of OpenSSL 0.9.7, these were
2964      not enabled by default and were not part of the "ALL" ciphersuite
2965      alias because they were not yet official; they could be
2966      explicitly requested by specifying the "AESdraft" ciphersuite
2967      group alias.  In the final release of OpenSSL 0.9.7, the group
2968      alias is called "AES" and is part of "ALL".)
2969      [Ben Laurie, Steve  Henson, Bodo Moeller]
2970
2971   *) New function OCSP_copy_nonce() to copy nonce value (if present) from
2972      request to response.
2973      [Steve Henson]
2974
2975   *) Functions for OCSP responders. OCSP_request_onereq_count(),
2976      OCSP_request_onereq_get0(), OCSP_onereq_get0_id() and OCSP_id_get0_info()
2977      extract information from a certificate request. OCSP_response_create()
2978      creates a response and optionally adds a basic response structure.
2979      OCSP_basic_add1_status() adds a complete single response to a basic
2980      response and returns the OCSP_SINGLERESP structure just added (to allow
2981      extensions to be included for example). OCSP_basic_add1_cert() adds a
2982      certificate to a basic response and OCSP_basic_sign() signs a basic
2983      response with various flags. New helper functions ASN1_TIME_check()
2984      (checks validity of ASN1_TIME structure) and ASN1_TIME_to_generalizedtime()
2985      (converts ASN1_TIME to GeneralizedTime).
2986      [Steve Henson]
2987
2988   *) Various new functions. EVP_Digest() combines EVP_Digest{Init,Update,Final}()
2989      in a single operation. X509_get0_pubkey_bitstr() extracts the public_key
2990      structure from a certificate. X509_pubkey_digest() digests the public_key
2991      contents: this is used in various key identifiers. 
2992      [Steve Henson]
2993
2994   *) Make sk_sort() tolerate a NULL argument.
2995      [Steve Henson reported by Massimiliano Pala <madwolf@comune.modena.it>]
2996
2997   *) New OCSP verify flag OCSP_TRUSTOTHER. When set the "other" certificates
2998      passed by the function are trusted implicitly. If any of them signed the
2999      response then it is assumed to be valid and is not verified.
3000      [Steve Henson]
3001
3002   *) In PKCS7_set_type() initialise content_type in PKCS7_ENC_CONTENT
3003      to data. This was previously part of the PKCS7 ASN1 code. This
3004      was causing problems with OpenSSL created PKCS#12 and PKCS#7 structures.
3005      [Steve Henson, reported by Kenneth R. Robinette
3006                                 <support@securenetterm.com>]
3007
3008   *) Add CRYPTO_push_info() and CRYPTO_pop_info() calls to new ASN1
3009      routines: without these tracing memory leaks is very painful.
3010      Fix leaks in PKCS12 and PKCS7 routines.
3011      [Steve Henson]
3012
3013   *) Make X509_time_adj() cope with the new behaviour of ASN1_TIME_new().
3014      Previously it initialised the 'type' argument to V_ASN1_UTCTIME which
3015      effectively meant GeneralizedTime would never be used. Now it
3016      is initialised to -1 but X509_time_adj() now has to check the value
3017      and use ASN1_TIME_set() if the value is not V_ASN1_UTCTIME or
3018      V_ASN1_GENERALIZEDTIME, without this it always uses GeneralizedTime.
3019      [Steve Henson, reported by Kenneth R. Robinette
3020                                 <support@securenetterm.com>]
3021
3022   *) Fixes to BN_to_ASN1_INTEGER when bn is zero. This would previously
3023      result in a zero length in the ASN1_INTEGER structure which was
3024      not consistent with the structure when d2i_ASN1_INTEGER() was used
3025      and would cause ASN1_INTEGER_cmp() to fail. Enhance s2i_ASN1_INTEGER()
3026      to cope with hex and negative integers. Fix bug in i2a_ASN1_INTEGER()
3027      where it did not print out a minus for negative ASN1_INTEGER.
3028      [Steve Henson]
3029
3030   *) Add summary printout to ocsp utility. The various functions which
3031      convert status values to strings have been renamed to:
3032      OCSP_response_status_str(), OCSP_cert_status_str() and
3033      OCSP_crl_reason_str() and are no longer static. New options
3034      to verify nonce values and to disable verification. OCSP response
3035      printout format cleaned up.
3036      [Steve Henson]
3037
3038   *) Add additional OCSP certificate checks. These are those specified
3039      in RFC2560. This consists of two separate checks: the CA of the
3040      certificate being checked must either be the OCSP signer certificate
3041      or the issuer of the OCSP signer certificate. In the latter case the
3042      OCSP signer certificate must contain the OCSP signing extended key
3043      usage. This check is performed by attempting to match the OCSP
3044      signer or the OCSP signer CA to the issuerNameHash and issuerKeyHash
3045      in the OCSP_CERTID structures of the response.
3046      [Steve Henson]
3047
3048   *) Initial OCSP certificate verification added to OCSP_basic_verify()
3049      and related routines. This uses the standard OpenSSL certificate
3050      verify routines to perform initial checks (just CA validity) and
3051      to obtain the certificate chain. Then additional checks will be
3052      performed on the chain. Currently the root CA is checked to see
3053      if it is explicitly trusted for OCSP signing. This is used to set
3054      a root CA as a global signing root: that is any certificate that
3055      chains to that CA is an acceptable OCSP signing certificate.
3056      [Steve Henson]
3057
3058   *) New '-extfile ...' option to 'openssl ca' for reading X.509v3
3059      extensions from a separate configuration file.
3060      As when reading extensions from the main configuration file,
3061      the '-extensions ...' option may be used for specifying the
3062      section to use.
3063      [Massimiliano Pala <madwolf@comune.modena.it>]
3064
3065   *) New OCSP utility. Allows OCSP requests to be generated or
3066      read. The request can be sent to a responder and the output
3067      parsed, outputed or printed in text form. Not complete yet:
3068      still needs to check the OCSP response validity.
3069      [Steve Henson]
3070
3071   *) New subcommands for 'openssl ca':
3072      'openssl ca -status <serial>' prints the status of the cert with
3073      the given serial number (according to the index file).
3074      'openssl ca -updatedb' updates the expiry status of certificates
3075      in the index file.
3076      [Massimiliano Pala <madwolf@comune.modena.it>]
3077
3078   *) New '-newreq-nodes' command option to CA.pl.  This is like
3079      '-newreq', but calls 'openssl req' with the '-nodes' option
3080      so that the resulting key is not encrypted.
3081      [Damien Miller <djm@mindrot.org>]
3082
3083   *) New configuration for the GNU Hurd.
3084      [Jonathan Bartlett <johnnyb@wolfram.com> via Richard Levitte]
3085
3086   *) Initial code to implement OCSP basic response verify. This
3087      is currently incomplete. Currently just finds the signer's
3088      certificate and verifies the signature on the response.
3089      [Steve Henson]
3090
3091   *) New SSLeay_version code SSLEAY_DIR to determine the compiled-in
3092      value of OPENSSLDIR.  This is available via the new '-d' option
3093      to 'openssl version', and is also included in 'openssl version -a'.
3094      [Bodo Moeller]
3095
3096   *) Allowing defining memory allocation callbacks that will be given
3097      file name and line number information in additional arguments
3098      (a const char* and an int).  The basic functionality remains, as
3099      well as the original possibility to just replace malloc(),
3100      realloc() and free() by functions that do not know about these
3101      additional arguments.  To register and find out the current
3102      settings for extended allocation functions, the following
3103      functions are provided:
3104
3105         CRYPTO_set_mem_ex_functions
3106         CRYPTO_set_locked_mem_ex_functions
3107         CRYPTO_get_mem_ex_functions
3108         CRYPTO_get_locked_mem_ex_functions
3109
3110      These work the same way as CRYPTO_set_mem_functions and friends.
3111      CRYPTO_get_[locked_]mem_functions now writes 0 where such an
3112      extended allocation function is enabled.
3113      Similarly, CRYPTO_get_[locked_]mem_ex_functions writes 0 where
3114      a conventional allocation function is enabled.
3115      [Richard Levitte, Bodo Moeller]
3116
3117   *) Finish off removing the remaining LHASH function pointer casts.
3118      There should no longer be any prototype-casting required when using
3119      the LHASH abstraction, and any casts that remain are "bugs". See
3120      the callback types and macros at the head of lhash.h for details
3121      (and "OBJ_cleanup" in crypto/objects/obj_dat.c as an example).
3122      [Geoff Thorpe]
3123
3124   *) Add automatic query of EGD sockets in RAND_poll() for the unix variant.
3125      If /dev/[u]random devices are not available or do not return enough
3126      entropy, EGD style sockets (served by EGD or PRNGD) will automatically
3127      be queried.
3128      The locations /var/run/egd-pool, /dev/egd-pool, /etc/egd-pool, and
3129      /etc/entropy will be queried once each in this sequence, quering stops
3130      when enough entropy was collected without querying more sockets.
3131      [Lutz Jaenicke]
3132
3133   *) Change the Unix RAND_poll() variant to be able to poll several
3134      random devices, as specified by DEVRANDOM, until a sufficient amount
3135      of data has been collected.   We spend at most 10 ms on each file
3136      (select timeout) and read in non-blocking mode.  DEVRANDOM now
3137      defaults to the list "/dev/urandom", "/dev/random", "/dev/srandom"
3138      (previously it was just the string "/dev/urandom"), so on typical
3139      platforms the 10 ms delay will never occur.
3140      Also separate out the Unix variant to its own file, rand_unix.c.
3141      For VMS, there's a currently-empty rand_vms.c.
3142      [Richard Levitte]
3143
3144   *) Move OCSP client related routines to ocsp_cl.c. These
3145      provide utility functions which an application needing
3146      to issue a request to an OCSP responder and analyse the
3147      response will typically need: as opposed to those which an
3148      OCSP responder itself would need which will be added later.
3149
3150      OCSP_request_sign() signs an OCSP request with an API similar
3151      to PKCS7_sign(). OCSP_response_status() returns status of OCSP
3152      response. OCSP_response_get1_basic() extracts basic response
3153      from response. OCSP_resp_find_status(): finds and extracts status
3154      information from an OCSP_CERTID structure (which will be created
3155      when the request structure is built). These are built from lower
3156      level functions which work on OCSP_SINGLERESP structures but
3157      wont normally be used unless the application wishes to examine
3158      extensions in the OCSP response for example.
3159
3160      Replace nonce routines with a pair of functions.
3161      OCSP_request_add1_nonce() adds a nonce value and optionally
3162      generates a random value. OCSP_check_nonce() checks the
3163      validity of the nonce in an OCSP response.
3164      [Steve Henson]
3165
3166   *) Change function OCSP_request_add() to OCSP_request_add0_id().
3167      This doesn't copy the supplied OCSP_CERTID and avoids the
3168      need to free up the newly created id. Change return type
3169      to OCSP_ONEREQ to return the internal OCSP_ONEREQ structure.
3170      This can then be used to add extensions to the request.
3171      Deleted OCSP_request_new(), since most of its functionality
3172      is now in OCSP_REQUEST_new() (and the case insensitive name
3173      clash) apart from the ability to set the request name which
3174      will be added elsewhere.
3175      [Steve Henson]
3176
3177   *) Update OCSP API. Remove obsolete extensions argument from
3178      various functions. Extensions are now handled using the new
3179      OCSP extension code. New simple OCSP HTTP function which 
3180      can be used to send requests and parse the response.
3181      [Steve Henson]
3182
3183   *) Fix the PKCS#7 (S/MIME) code to work with new ASN1. Two new
3184      ASN1_ITEM structures help with sign and verify. PKCS7_ATTR_SIGN
3185      uses the special reorder version of SET OF to sort the attributes
3186      and reorder them to match the encoded order. This resolves a long
3187      standing problem: a verify on a PKCS7 structure just after signing
3188      it used to fail because the attribute order did not match the
3189      encoded order. PKCS7_ATTR_VERIFY does not reorder the attributes:
3190      it uses the received order. This is necessary to tolerate some broken
3191      software that does not order SET OF. This is handled by encoding
3192      as a SEQUENCE OF but using implicit tagging (with UNIVERSAL class)
3193      to produce the required SET OF.
3194      [Steve Henson]
3195
3196   *) Have mk1mf.pl generate the macros OPENSSL_BUILD_SHLIBCRYPTO and
3197      OPENSSL_BUILD_SHLIBSSL and use them appropriately in the header
3198      files to get correct declarations of the ASN.1 item variables.
3199      [Richard Levitte]
3200
3201   *) Rewrite of PKCS#12 code to use new ASN1 functionality. Replace many
3202      PKCS#12 macros with real functions. Fix two unrelated ASN1 bugs:
3203      asn1_check_tlen() would sometimes attempt to use 'ctx' when it was
3204      NULL and ASN1_TYPE was not dereferenced properly in asn1_ex_c2i().
3205      New ASN1 macro: DECLARE_ASN1_ITEM() which just declares the relevant
3206      ASN1_ITEM and no wrapper functions.
3207      [Steve Henson]
3208
3209   *) New functions or ASN1_item_d2i_fp() and ASN1_item_d2i_bio(). These
3210      replace the old function pointer based I/O routines. Change most of
3211      the *_d2i_bio() and *_d2i_fp() functions to use these.
3212      [Steve Henson]
3213
3214   *) Enhance mkdef.pl to be more accepting about spacing in C preprocessor
3215      lines, recognice more "algorithms" that can be deselected, and make
3216      it complain about algorithm deselection that isn't recognised.
3217      [Richard Levitte]
3218
3219   *) New ASN1 functions to handle dup, sign, verify, digest, pack and
3220      unpack operations in terms of ASN1_ITEM. Modify existing wrappers
3221      to use new functions. Add NO_ASN1_OLD which can be set to remove
3222      some old style ASN1 functions: this can be used to determine if old
3223      code will still work when these eventually go away.
3224      [Steve Henson]
3225
3226   *) New extension functions for OCSP structures, these follow the
3227      same conventions as certificates and CRLs.
3228      [Steve Henson]
3229
3230   *) New function X509V3_add1_i2d(). This automatically encodes and
3231      adds an extension. Its behaviour can be customised with various
3232      flags to append, replace or delete. Various wrappers added for
3233      certifcates and CRLs.
3234      [Steve Henson]
3235
3236   *) Fix to avoid calling the underlying ASN1 print routine when
3237      an extension cannot be parsed. Correct a typo in the
3238      OCSP_SERVICELOC extension. Tidy up print OCSP format.
3239      [Steve Henson]
3240
3241   *) Make mkdef.pl parse some of the ASN1 macros and add apropriate
3242      entries for variables.
3243      [Steve Henson]
3244
3245   *) Add functionality to apps/openssl.c for detecting locking
3246      problems: As the program is single-threaded, all we have
3247      to do is register a locking callback using an array for
3248      storing which locks are currently held by the program.
3249      [Bodo Moeller]
3250
3251   *) Use a lock around the call to CRYPTO_get_ex_new_index() in
3252      SSL_get_ex_data_X509_STORE_idx(), which is used in
3253      ssl_verify_cert_chain() and thus can be called at any time
3254      during TLS/SSL handshakes so that thread-safety is essential.
3255      Unfortunately, the ex_data design is not at all suited
3256      for multi-threaded use, so it probably should be abolished.
3257      [Bodo Moeller]
3258
3259   *) Added Broadcom "ubsec" ENGINE to OpenSSL.
3260      [Broadcom, tweaked and integrated by Geoff Thorpe]
3261
3262   *) Move common extension printing code to new function
3263      X509V3_print_extensions(). Reorganise OCSP print routines and
3264      implement some needed OCSP ASN1 functions. Add OCSP extensions.
3265      [Steve Henson]
3266
3267   *) New function X509_signature_print() to remove duplication in some
3268      print routines.
3269      [Steve Henson]
3270
3271   *) Add a special meaning when SET OF and SEQUENCE OF flags are both
3272      set (this was treated exactly the same as SET OF previously). This
3273      is used to reorder the STACK representing the structure to match the
3274      encoding. This will be used to get round a problem where a PKCS7
3275      structure which was signed could not be verified because the STACK
3276      order did not reflect the encoded order.
3277      [Steve Henson]
3278
3279   *) Reimplement the OCSP ASN1 module using the new code.
3280      [Steve Henson]
3281
3282   *) Update the X509V3 code to permit the use of an ASN1_ITEM structure
3283      for its ASN1 operations. The old style function pointers still exist
3284      for now but they will eventually go away.
3285      [Steve Henson]
3286
3287   *) Merge in replacement ASN1 code from the ASN1 branch. This almost
3288      completely replaces the old ASN1 functionality with a table driven
3289      encoder and decoder which interprets an ASN1_ITEM structure describing
3290      the ASN1 module. Compatibility with the existing ASN1 API (i2d,d2i) is
3291      largely maintained. Almost all of the old asn1_mac.h macro based ASN1
3292      has also been converted to the new form.
3293      [Steve Henson]
3294
3295   *) Change BN_mod_exp_recp so that negative moduli are tolerated
3296      (the sign is ignored).  Similarly, ignore the sign in BN_MONT_CTX_set
3297      so that BN_mod_exp_mont and BN_mod_exp_mont_word work
3298      for negative moduli.
3299      [Bodo Moeller]
3300
3301   *) Fix BN_uadd and BN_usub: Always return non-negative results instead
3302      of not touching the result's sign bit.
3303      [Bodo Moeller]
3304
3305   *) BN_div bugfix: If the result is 0, the sign (res->neg) must not be
3306      set.
3307      [Bodo Moeller]
3308
3309   *) Changed the LHASH code to use prototypes for callbacks, and created
3310      macros to declare and implement thin (optionally static) functions
3311      that provide type-safety and avoid function pointer casting for the
3312      type-specific callbacks.
3313      [Geoff Thorpe]
3314
3315   *) Added Kerberos Cipher Suites to be used with TLS, as written in
3316      RFC 2712.
3317      [Veers Staats <staatsvr@asc.hpc.mil>,
3318       Jeffrey Altman <jaltman@columbia.edu>, via Richard Levitte]
3319
3320   *) Reformat the FAQ so the different questions and answers can be divided
3321      in sections depending on the subject.
3322      [Richard Levitte]
3323
3324   *) Have the zlib compression code load ZLIB.DLL dynamically under
3325      Windows.
3326      [Richard Levitte]
3327
3328   *) New function BN_mod_sqrt for computing square roots modulo a prime
3329      (using the probabilistic Tonelli-Shanks algorithm unless
3330      p == 3 (mod 4)  or  p == 5 (mod 8),  which are cases that can
3331      be handled deterministically).
3332      [Lenka Fibikova <fibikova@exp-math.uni-essen.de>, Bodo Moeller]
3333
3334   *) Make BN_mod_inverse faster by explicitly handling small quotients
3335      in the Euclid loop. (Speed gain about 20% for small moduli [256 or
3336      512 bits], about 30% for larger ones [1024 or 2048 bits].)
3337      [Bodo Moeller]
3338
3339   *) New function BN_kronecker.
3340      [Bodo Moeller]
3341
3342   *) Fix BN_gcd so that it works on negative inputs; the result is
3343      positive unless both parameters are zero.
3344      Previously something reasonably close to an infinite loop was
3345      possible because numbers could be growing instead of shrinking
3346      in the implementation of Euclid's algorithm.
3347      [Bodo Moeller]
3348
3349   *) Fix BN_is_word() and BN_is_one() macros to take into account the
3350      sign of the number in question.
3351
3352      Fix BN_is_word(a,w) to work correctly for w == 0.
3353
3354      The old BN_is_word(a,w) macro is now called BN_abs_is_word(a,w)
3355      because its test if the absolute value of 'a' equals 'w'.
3356      Note that BN_abs_is_word does *not* handle w == 0 reliably;
3357      it exists mostly for use in the implementations of BN_is_zero(),
3358      BN_is_one(), and BN_is_word().
3359      [Bodo Moeller]
3360
3361   *) New function BN_swap.
3362      [Bodo Moeller]
3363
3364   *) Use BN_nnmod instead of BN_mod in crypto/bn/bn_exp.c so that
3365      the exponentiation functions are more likely to produce reasonable
3366      results on negative inputs.
3367      [Bodo Moeller]
3368
3369   *) Change BN_mod_mul so that the result is always non-negative.
3370      Previously, it could be negative if one of the factors was negative;
3371      I don't think anyone really wanted that behaviour.
3372      [Bodo Moeller]
3373
3374   *) Move BN_mod_... functions into new file crypto/bn/bn_mod.c
3375      (except for exponentiation, which stays in crypto/bn/bn_exp.c,
3376      and BN_mod_mul_reciprocal, which stays in crypto/bn/bn_recp.c)
3377      and add new functions:
3378
3379           BN_nnmod
3380           BN_mod_sqr
3381           BN_mod_add
3382           BN_mod_add_quick
3383           BN_mod_sub
3384           BN_mod_sub_quick
3385           BN_mod_lshift1
3386           BN_mod_lshift1_quick
3387           BN_mod_lshift
3388           BN_mod_lshift_quick
3389
3390      These functions always generate non-negative results.
3391
3392      BN_nnmod otherwise is like BN_mod (if BN_mod computes a remainder  r
3393      such that  |m| < r < 0,  BN_nnmod will output  rem + |m|  instead).
3394
3395      BN_mod_XXX_quick(r, a, [b,] m) generates the same result as
3396      BN_mod_XXX(r, a, [b,] m, ctx), but requires that  a  [and  b]
3397      be reduced modulo  m.
3398      [Lenka Fibikova <fibikova@exp-math.uni-essen.de>, Bodo Moeller]
3399
3400 #if 0
3401      The following entry accidentily appeared in the CHANGES file
3402      distributed with OpenSSL 0.9.7.  The modifications described in
3403      it do *not* apply to OpenSSL 0.9.7.
3404
3405   *) Remove a few calls to bn_wexpand() in BN_sqr() (the one in there
3406      was actually never needed) and in BN_mul().  The removal in BN_mul()
3407      required a small change in bn_mul_part_recursive() and the addition
3408      of the functions bn_cmp_part_words(), bn_sub_part_words() and
3409      bn_add_part_words(), which do the same thing as bn_cmp_words(),
3410      bn_sub_words() and bn_add_words() except they take arrays with
3411      differing sizes.
3412      [Richard Levitte]
3413 #endif
3414
3415   *) In 'openssl passwd', verify passwords read from the terminal
3416      unless the '-salt' option is used (which usually means that
3417      verification would just waste user's time since the resulting
3418      hash is going to be compared with some given password hash)
3419      or the new '-noverify' option is used.
3420
3421      This is an incompatible change, but it does not affect
3422      non-interactive use of 'openssl passwd' (passwords on the command
3423      line, '-stdin' option, '-in ...' option) and thus should not
3424      cause any problems.
3425      [Bodo Moeller]
3426
3427   *) Remove all references to RSAref, since there's no more need for it.
3428      [Richard Levitte]
3429
3430   *) Make DSO load along a path given through an environment variable
3431      (SHLIB_PATH) with shl_load().
3432      [Richard Levitte]
3433
3434   *) Constify the ENGINE code as a result of BIGNUM constification.
3435      Also constify the RSA code and most things related to it.  In a
3436      few places, most notable in the depth of the ASN.1 code, ugly
3437      casts back to non-const were required (to be solved at a later
3438      time)
3439      [Richard Levitte]
3440
3441   *) Make it so the openssl application has all engines loaded by default.
3442      [Richard Levitte]
3443
3444   *) Constify the BIGNUM routines a little more.
3445      [Richard Levitte]
3446
3447   *) Add the following functions:
3448
3449         ENGINE_load_cswift()
3450         ENGINE_load_chil()
3451         ENGINE_load_atalla()
3452         ENGINE_load_nuron()
3453         ENGINE_load_builtin_engines()
3454
3455      That way, an application can itself choose if external engines that
3456      are built-in in OpenSSL shall ever be used or not.  The benefit is
3457      that applications won't have to be linked with libdl or other dso
3458      libraries unless it's really needed.
3459
3460      Changed 'openssl engine' to load all engines on demand.
3461      Changed the engine header files to avoid the duplication of some
3462      declarations (they differed!).
3463      [Richard Levitte]
3464
3465   *) 'openssl engine' can now list capabilities.
3466      [Richard Levitte]
3467
3468   *) Better error reporting in 'openssl engine'.
3469      [Richard Levitte]
3470
3471   *) Never call load_dh_param(NULL) in s_server.
3472      [Bodo Moeller]
3473
3474   *) Add engine application.  It can currently list engines by name and
3475      identity, and test if they are actually available.
3476      [Richard Levitte]
3477
3478   *) Improve RPM specification file by forcing symbolic linking and making
3479      sure the installed documentation is also owned by root.root.
3480      [Damien Miller <djm@mindrot.org>]
3481
3482   *) Give the OpenSSL applications more possibilities to make use of
3483      keys (public as well as private) handled by engines.
3484      [Richard Levitte]
3485
3486   *) Add OCSP code that comes from CertCo.
3487      [Richard Levitte]
3488
3489   *) Add VMS support for the Rijndael code.
3490      [Richard Levitte]
3491
3492   *) Added untested support for Nuron crypto accelerator.
3493      [Ben Laurie]
3494
3495   *) Add support for external cryptographic devices.  This code was
3496      previously distributed separately as the "engine" branch.
3497      [Geoff Thorpe, Richard Levitte]
3498
3499   *) Rework the filename-translation in the DSO code. It is now possible to
3500      have far greater control over how a "name" is turned into a filename
3501      depending on the operating environment and any oddities about the
3502      different shared library filenames on each system.
3503      [Geoff Thorpe]
3504
3505   *) Support threads on FreeBSD-elf in Configure.
3506      [Richard Levitte]
3507
3508   *) Fix for SHA1 assembly problem with MASM: it produces
3509      warnings about corrupt line number information when assembling
3510      with debugging information. This is caused by the overlapping
3511      of two sections.
3512      [Bernd Matthes <mainbug@celocom.de>, Steve Henson]
3513
3514   *) NCONF changes.
3515      NCONF_get_number() has no error checking at all.  As a replacement,
3516      NCONF_get_number_e() is defined (_e for "error checking") and is
3517      promoted strongly.  The old NCONF_get_number is kept around for
3518      binary backward compatibility.
3519      Make it possible for methods to load from something other than a BIO,
3520      by providing a function pointer that is given a name instead of a BIO.
3521      For example, this could be used to load configuration data from an
3522      LDAP server.
3523      [Richard Levitte]
3524
3525   *) Fix for non blocking accept BIOs. Added new I/O special reason
3526      BIO_RR_ACCEPT to cover this case. Previously use of accept BIOs
3527      with non blocking I/O was not possible because no retry code was
3528      implemented. Also added new SSL code SSL_WANT_ACCEPT to cover
3529      this case.
3530      [Steve Henson]
3531
3532   *) Added the beginnings of Rijndael support.
3533      [Ben Laurie]
3534
3535   *) Fix for bug in DirectoryString mask setting. Add support for
3536      X509_NAME_print_ex() in 'req' and X509_print_ex() function
3537      to allow certificate printing to more controllable, additional
3538      'certopt' option to 'x509' to allow new printing options to be
3539      set.
3540      [Steve Henson]
3541
3542   *) Clean old EAY MD5 hack from e_os.h.
3543      [Richard Levitte]
3544
3545  Changes between 0.9.6l and 0.9.6m  [17 Mar 2004]
3546
3547   *) Fix null-pointer assignment in do_change_cipher_spec() revealed
3548      by using the Codenomicon TLS Test Tool (CVE-2004-0079)
3549      [Joe Orton, Steve Henson]
3550
3551  Changes between 0.9.6k and 0.9.6l  [04 Nov 2003]
3552
3553   *) Fix additional bug revealed by the NISCC test suite:
3554
3555      Stop bug triggering large recursion when presented with
3556      certain ASN.1 tags (CVE-2003-0851)
3557      [Steve Henson]
3558
3559  Changes between 0.9.6j and 0.9.6k  [30 Sep 2003]
3560
3561   *) Fix various bugs revealed by running the NISCC test suite:
3562
3563      Stop out of bounds reads in the ASN1 code when presented with
3564      invalid tags (CVE-2003-0543 and CVE-2003-0544).
3565      
3566      If verify callback ignores invalid public key errors don't try to check
3567      certificate signature with the NULL public key.
3568
3569      [Steve Henson]
3570
3571   *) In ssl3_accept() (ssl/s3_srvr.c) only accept a client certificate
3572      if the server requested one: as stated in TLS 1.0 and SSL 3.0
3573      specifications.
3574      [Steve Henson]
3575
3576   *) In ssl3_get_client_hello() (ssl/s3_srvr.c), tolerate additional
3577      extra data after the compression methods not only for TLS 1.0
3578      but also for SSL 3.0 (as required by the specification).
3579      [Bodo Moeller; problem pointed out by Matthias Loepfe]
3580
3581   *) Change X509_certificate_type() to mark the key as exported/exportable
3582      when it's 512 *bits* long, not 512 bytes.
3583      [Richard Levitte]
3584
3585  Changes between 0.9.6i and 0.9.6j  [10 Apr 2003]
3586
3587   *) Countermeasure against the Klima-Pokorny-Rosa extension of
3588      Bleichbacher's attack on PKCS #1 v1.5 padding: treat
3589      a protocol version number mismatch like a decryption error
3590      in ssl3_get_client_key_exchange (ssl/s3_srvr.c).
3591      [Bodo Moeller]
3592
3593   *) Turn on RSA blinding by default in the default implementation
3594      to avoid a timing attack. Applications that don't want it can call
3595      RSA_blinding_off() or use the new flag RSA_FLAG_NO_BLINDING.
3596      They would be ill-advised to do so in most cases.
3597      [Ben Laurie, Steve Henson, Geoff Thorpe, Bodo Moeller]
3598
3599   *) Change RSA blinding code so that it works when the PRNG is not
3600      seeded (in this case, the secret RSA exponent is abused as
3601      an unpredictable seed -- if it is not unpredictable, there
3602      is no point in blinding anyway).  Make RSA blinding thread-safe
3603      by remembering the creator's thread ID in rsa->blinding and
3604      having all other threads use local one-time blinding factors
3605      (this requires more computation than sharing rsa->blinding, but
3606      avoids excessive locking; and if an RSA object is not shared
3607      between threads, blinding will still be very fast).
3608      [Bodo Moeller]
3609
3610  Changes between 0.9.6h and 0.9.6i  [19 Feb 2003]
3611
3612   *) In ssl3_get_record (ssl/s3_pkt.c), minimize information leaked
3613      via timing by performing a MAC computation even if incorrrect
3614      block cipher padding has been found.  This is a countermeasure
3615      against active attacks where the attacker has to distinguish
3616      between bad padding and a MAC verification error. (CVE-2003-0078)
3617
3618      [Bodo Moeller; problem pointed out by Brice Canvel (EPFL),
3619      Alain Hiltgen (UBS), Serge Vaudenay (EPFL), and
3620      Martin Vuagnoux (EPFL, Ilion)]
3621
3622  Changes between 0.9.6g and 0.9.6h  [5 Dec 2002]
3623
3624   *) New function OPENSSL_cleanse(), which is used to cleanse a section of
3625      memory from it's contents.  This is done with a counter that will
3626      place alternating values in each byte.  This can be used to solve
3627      two issues: 1) the removal of calls to memset() by highly optimizing
3628      compilers, and 2) cleansing with other values than 0, since those can
3629      be read through on certain media, for example a swap space on disk.
3630      [Geoff Thorpe]
3631
3632   *) Bugfix: client side session caching did not work with external caching,
3633      because the session->cipher setting was not restored when reloading
3634      from the external cache. This problem was masked, when
3635      SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG (part of SSL_OP_ALL) was set.
3636      (Found by Steve Haslam <steve@araqnid.ddts.net>.)
3637      [Lutz Jaenicke]
3638
3639   *) Fix client_certificate (ssl/s2_clnt.c): The permissible total
3640      length of the REQUEST-CERTIFICATE message is 18 .. 34, not 17 .. 33.
3641      [Zeev Lieber <zeev-l@yahoo.com>]
3642
3643   *) Undo an undocumented change introduced in 0.9.6e which caused
3644      repeated calls to OpenSSL_add_all_ciphers() and 
3645      OpenSSL_add_all_digests() to be ignored, even after calling
3646      EVP_cleanup().
3647      [Richard Levitte]
3648
3649   *) Change the default configuration reader to deal with last line not
3650      being properly terminated.
3651      [Richard Levitte]
3652
3653   *) Change X509_NAME_cmp() so it applies the special rules on handling
3654      DN values that are of type PrintableString, as well as RDNs of type
3655      emailAddress where the value has the type ia5String.
3656      [stefank@valicert.com via Richard Levitte]
3657
3658   *) Add a SSL_SESS_CACHE_NO_INTERNAL_STORE flag to take over half
3659      the job SSL_SESS_CACHE_NO_INTERNAL_LOOKUP was inconsistently
3660      doing, define a new flag (SSL_SESS_CACHE_NO_INTERNAL) to be
3661      the bitwise-OR of the two for use by the majority of applications
3662      wanting this behaviour, and update the docs. The documented
3663      behaviour and actual behaviour were inconsistent and had been
3664      changing anyway, so this is more a bug-fix than a behavioural
3665      change.
3666      [Geoff Thorpe, diagnosed by Nadav Har'El]
3667
3668   *) Don't impose a 16-byte length minimum on session IDs in ssl/s3_clnt.c
3669      (the SSL 3.0 and TLS 1.0 specifications allow any length up to 32 bytes).
3670      [Bodo Moeller]
3671
3672   *) Fix initialization code race conditions in
3673         SSLv23_method(),  SSLv23_client_method(),   SSLv23_server_method(),
3674         SSLv2_method(),   SSLv2_client_method(),    SSLv2_server_method(),
3675         SSLv3_method(),   SSLv3_client_method(),    SSLv3_server_method(),
3676         TLSv1_method(),   TLSv1_client_method(),    TLSv1_server_method(),
3677         ssl2_get_cipher_by_char(),
3678         ssl3_get_cipher_by_char().
3679      [Patrick McCormick <patrick@tellme.com>, Bodo Moeller]
3680
3681   *) Reorder cleanup sequence in SSL_CTX_free(): only remove the ex_data after
3682      the cached sessions are flushed, as the remove_cb() might use ex_data
3683      contents. Bug found by Sam Varshavchik <mrsam@courier-mta.com>
3684      (see [openssl.org #212]).
3685      [Geoff Thorpe, Lutz Jaenicke]
3686
3687   *) Fix typo in OBJ_txt2obj which incorrectly passed the content
3688      length, instead of the encoding length to d2i_ASN1_OBJECT.
3689      [Steve Henson]
3690
3691  Changes between 0.9.6f and 0.9.6g  [9 Aug 2002]
3692
3693   *) [In 0.9.6g-engine release:]
3694      Fix crypto/engine/vendor_defns/cswift.h for WIN32 (use '_stdcall').
3695      [Lynn Gazis <lgazis@rainbow.com>]
3696
3697  Changes between 0.9.6e and 0.9.6f  [8 Aug 2002]
3698
3699   *) Fix ASN1 checks. Check for overflow by comparing with LONG_MAX
3700      and get fix the header length calculation.
3701      [Florian Weimer <Weimer@CERT.Uni-Stuttgart.DE>,
3702         Alon Kantor <alonk@checkpoint.com> (and others),
3703         Steve Henson]
3704
3705   *) Use proper error handling instead of 'assertions' in buffer
3706      overflow checks added in 0.9.6e.  This prevents DoS (the
3707      assertions could call abort()).
3708      [Arne Ansper <arne@ats.cyber.ee>, Bodo Moeller]
3709
3710  Changes between 0.9.6d and 0.9.6e  [30 Jul 2002]
3711
3712   *) Add various sanity checks to asn1_get_length() to reject
3713      the ASN1 length bytes if they exceed sizeof(long), will appear
3714      negative or the content length exceeds the length of the
3715      supplied buffer.
3716      [Steve Henson, Adi Stav <stav@mercury.co.il>, James Yonan <jim@ntlp.com>]
3717
3718   *) Fix cipher selection routines: ciphers without encryption had no flags
3719      for the cipher strength set and where therefore not handled correctly
3720      by the selection routines (PR #130).
3721      [Lutz Jaenicke]
3722
3723   *) Fix EVP_dsa_sha macro.
3724      [Nils Larsch]
3725
3726   *) New option
3727           SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS
3728      for disabling the SSL 3.0/TLS 1.0 CBC vulnerability countermeasure
3729      that was added in OpenSSL 0.9.6d.
3730
3731      As the countermeasure turned out to be incompatible with some
3732      broken SSL implementations, the new option is part of SSL_OP_ALL.
3733      SSL_OP_ALL is usually employed when compatibility with weird SSL
3734      implementations is desired (e.g. '-bugs' option to 's_client' and
3735      's_server'), so the new option is automatically set in many
3736      applications.
3737      [Bodo Moeller]
3738
3739   *) Changes in security patch:
3740
3741      Changes marked "(CHATS)" were sponsored by the Defense Advanced
3742      Research Projects Agency (DARPA) and Air Force Research Laboratory,
3743      Air Force Materiel Command, USAF, under agreement number
3744      F30602-01-2-0537.
3745
3746   *) Add various sanity checks to asn1_get_length() to reject
3747      the ASN1 length bytes if they exceed sizeof(long), will appear
3748      negative or the content length exceeds the length of the
3749      supplied buffer. (CVE-2002-0659)
3750      [Steve Henson, Adi Stav <stav@mercury.co.il>, James Yonan <jim@ntlp.com>]
3751
3752   *) Assertions for various potential buffer overflows, not known to
3753      happen in practice.
3754      [Ben Laurie (CHATS)]
3755
3756   *) Various temporary buffers to hold ASCII versions of integers were
3757      too small for 64 bit platforms. (CVE-2002-0655)
3758      [Matthew Byng-Maddick <mbm@aldigital.co.uk> and Ben Laurie (CHATS)>
3759
3760   *) Remote buffer overflow in SSL3 protocol - an attacker could
3761      supply an oversized session ID to a client. (CVE-2002-0656)
3762      [Ben Laurie (CHATS)]
3763
3764   *) Remote buffer overflow in SSL2 protocol - an attacker could
3765      supply an oversized client master key. (CVE-2002-0656)
3766      [Ben Laurie (CHATS)]
3767
3768  Changes between 0.9.6c and 0.9.6d  [9 May 2002]
3769
3770   *) Fix crypto/asn1/a_sign.c so that 'parameters' is omitted (not
3771      encoded as NULL) with id-dsa-with-sha1.
3772      [Nils Larsch <nla@trustcenter.de>; problem pointed out by Bodo Moeller]
3773
3774   *) Check various X509_...() return values in apps/req.c.
3775      [Nils Larsch <nla@trustcenter.de>]
3776
3777   *) Fix BASE64 decode (EVP_DecodeUpdate) for data with CR/LF ended lines:
3778      an end-of-file condition would erronously be flagged, when the CRLF
3779      was just at the end of a processed block. The bug was discovered when
3780      processing data through a buffering memory BIO handing the data to a
3781      BASE64-decoding BIO. Bug fund and patch submitted by Pavel Tsekov
3782      <ptsekov@syntrex.com> and Nedelcho Stanev.
3783      [Lutz Jaenicke]
3784
3785   *) Implement a countermeasure against a vulnerability recently found
3786      in CBC ciphersuites in SSL 3.0/TLS 1.0: Send an empty fragment
3787      before application data chunks to avoid the use of known IVs
3788      with data potentially chosen by the attacker.
3789      [Bodo Moeller]
3790
3791   *) Fix length checks in ssl3_get_client_hello().
3792      [Bodo Moeller]
3793
3794   *) TLS/SSL library bugfix: use s->s3->in_read_app_data differently
3795      to prevent ssl3_read_internal() from incorrectly assuming that
3796      ssl3_read_bytes() found application data while handshake
3797      processing was enabled when in fact s->s3->in_read_app_data was
3798      merely automatically cleared during the initial handshake.
3799      [Bodo Moeller; problem pointed out by Arne Ansper <arne@ats.cyber.ee>]
3800
3801   *) Fix object definitions for Private and Enterprise: they were not
3802      recognized in their shortname (=lowercase) representation. Extend
3803      obj_dat.pl to issue an error when using undefined keywords instead
3804      of silently ignoring the problem (Svenning Sorensen
3805      <sss@sss.dnsalias.net>).
3806      [Lutz Jaenicke]
3807
3808   *) Fix DH_generate_parameters() so that it works for 'non-standard'
3809      generators, i.e. generators other than 2 and 5.  (Previously, the
3810      code did not properly initialise the 'add' and 'rem' values to
3811      BN_generate_prime().)
3812
3813      In the new general case, we do not insist that 'generator' is
3814      actually a primitive root: This requirement is rather pointless;
3815      a generator of the order-q subgroup is just as good, if not
3816      better.
3817      [Bodo Moeller]
3818  
3819   *) Map new X509 verification errors to alerts. Discovered and submitted by
3820      Tom Wu <tom@arcot.com>.
3821      [Lutz Jaenicke]
3822
3823   *) Fix ssl3_pending() (ssl/s3_lib.c) to prevent SSL_pending() from
3824      returning non-zero before the data has been completely received
3825      when using non-blocking I/O.
3826      [Bodo Moeller; problem pointed out by John Hughes]
3827
3828   *) Some of the ciphers missed the strength entry (SSL_LOW etc).
3829      [Ben Laurie, Lutz Jaenicke]
3830
3831   *) Fix bug in SSL_clear(): bad sessions were not removed (found by
3832      Yoram Zahavi <YoramZ@gilian.com>).
3833      [Lutz Jaenicke]
3834
3835   *) Add information about CygWin 1.3 and on, and preserve proper
3836      configuration for the versions before that.
3837      [Corinna Vinschen <vinschen@redhat.com> and Richard Levitte]
3838
3839   *) Make removal from session cache (SSL_CTX_remove_session()) more robust:
3840      check whether we deal with a copy of a session and do not delete from
3841      the cache in this case. Problem reported by "Izhar Shoshani Levi"
3842      <izhar@checkpoint.com>.
3843      [Lutz Jaenicke]
3844
3845   *) Do not store session data into the internal session cache, if it
3846      is never intended to be looked up (SSL_SESS_CACHE_NO_INTERNAL_LOOKUP
3847      flag is set). Proposed by Aslam <aslam@funk.com>.
3848      [Lutz Jaenicke]
3849
3850   *) Have ASN1_BIT_STRING_set_bit() really clear a bit when the requested
3851      value is 0.
3852      [Richard Levitte]
3853
3854   *) [In 0.9.6d-engine release:]
3855      Fix a crashbug and a logic bug in hwcrhk_load_pubkey().
3856      [Toomas Kiisk <vix@cyber.ee> via Richard Levitte]
3857
3858   *) Add the configuration target linux-s390x.
3859      [Neale Ferguson <Neale.Ferguson@SoftwareAG-USA.com> via Richard Levitte]
3860
3861   *) The earlier bugfix for the SSL3_ST_SW_HELLO_REQ_C case of
3862      ssl3_accept (ssl/s3_srvr.c) incorrectly used a local flag
3863      variable as an indication that a ClientHello message has been
3864      received.  As the flag value will be lost between multiple
3865      invocations of ssl3_accept when using non-blocking I/O, the
3866      function may not be aware that a handshake has actually taken
3867      place, thus preventing a new session from being added to the
3868      session cache.
3869
3870      To avoid this problem, we now set s->new_session to 2 instead of
3871      using a local variable.
3872      [Lutz Jaenicke, Bodo Moeller]
3873
3874   *) Bugfix: Return -1 from ssl3_get_server_done (ssl3/s3_clnt.c)
3875      if the SSL_R_LENGTH_MISMATCH error is detected.
3876      [Geoff Thorpe, Bodo Moeller]
3877
3878   *) New 'shared_ldflag' column in Configure platform table.
3879      [Richard Levitte]
3880
3881   *) Fix EVP_CIPHER_mode macro.
3882      ["Dan S. Camper" <dan@bti.net>]
3883
3884   *) Fix ssl3_read_bytes (ssl/s3_pkt.c): To ignore messages of unknown
3885      type, we must throw them away by setting rr->length to 0.
3886      [D P Chang <dpc@qualys.com>]
3887
3888  Changes between 0.9.6b and 0.9.6c  [21 dec 2001]
3889
3890   *) Fix BN_rand_range bug pointed out by Dominikus Scherkl
3891      <Dominikus.Scherkl@biodata.com>.  (The previous implementation
3892      worked incorrectly for those cases where  range = 10..._2  and
3893      3*range  is two bits longer than  range.)
3894      [Bodo Moeller]
3895
3896   *) Only add signing time to PKCS7 structures if it is not already
3897      present.
3898      [Steve Henson]
3899
3900   *) Fix crypto/objects/objects.h: "ld-ce" should be "id-ce",
3901      OBJ_ld_ce should be OBJ_id_ce.
3902      Also some ip-pda OIDs in crypto/objects/objects.txt were
3903      incorrect (cf. RFC 3039).
3904      [Matt Cooper, Frederic Giudicelli, Bodo Moeller]
3905
3906   *) Release CRYPTO_LOCK_DYNLOCK when CRYPTO_destroy_dynlockid()
3907      returns early because it has nothing to do.
3908      [Andy Schneider <andy.schneider@bjss.co.uk>]
3909
3910   *) [In 0.9.6c-engine release:]
3911      Fix mutex callback return values in crypto/engine/hw_ncipher.c.
3912      [Andy Schneider <andy.schneider@bjss.co.uk>]
3913
3914   *) [In 0.9.6c-engine release:]
3915      Add support for Cryptographic Appliance's keyserver technology.
3916      (Use engine 'keyclient')
3917      [Cryptographic Appliances and Geoff Thorpe]
3918
3919   *) Add a configuration entry for OS/390 Unix.  The C compiler 'c89'
3920      is called via tools/c89.sh because arguments have to be
3921      rearranged (all '-L' options must appear before the first object
3922      modules).
3923      [Richard Shapiro <rshapiro@abinitio.com>]
3924
3925   *) [In 0.9.6c-engine release:]
3926      Add support for Broadcom crypto accelerator cards, backported
3927      from 0.9.7.
3928      [Broadcom, Nalin Dahyabhai <nalin@redhat.com>, Mark Cox]
3929
3930   *) [In 0.9.6c-engine release:]
3931      Add support for SureWare crypto accelerator cards from 
3932      Baltimore Technologies.  (Use engine 'sureware')
3933      [Baltimore Technologies and Mark Cox]
3934
3935   *) [In 0.9.6c-engine release:]
3936      Add support for crypto accelerator cards from Accelerated
3937      Encryption Processing, www.aep.ie.  (Use engine 'aep')
3938      [AEP Inc. and Mark Cox]
3939
3940   *) Add a configuration entry for gcc on UnixWare.
3941      [Gary Benson <gbenson@redhat.com>]
3942
3943   *) Change ssl/s2_clnt.c and ssl/s2_srvr.c so that received handshake
3944      messages are stored in a single piece (fixed-length part and
3945      variable-length part combined) and fix various bugs found on the way.
3946      [Bodo Moeller]
3947
3948   *) Disable caching in BIO_gethostbyname(), directly use gethostbyname()
3949      instead.  BIO_gethostbyname() does not know what timeouts are
3950      appropriate, so entries would stay in cache even when they have
3951      become invalid.
3952      [Bodo Moeller; problem pointed out by Rich Salz <rsalz@zolera.com>
3953
3954   *) Change ssl23_get_client_hello (ssl/s23_srvr.c) behaviour when
3955      faced with a pathologically small ClientHello fragment that does
3956      not contain client_version: Instead of aborting with an error,
3957      simply choose the highest available protocol version (i.e.,
3958      TLS 1.0 unless it is disabled).  In practice, ClientHello
3959      messages are never sent like this, but this change gives us
3960      strictly correct behaviour at least for TLS.
3961      [Bodo Moeller]
3962
3963   *) Fix SSL handshake functions and SSL_clear() such that SSL_clear()
3964      never resets s->method to s->ctx->method when called from within
3965      one of the SSL handshake functions.
3966      [Bodo Moeller; problem pointed out by Niko Baric]
3967
3968   *) In ssl3_get_client_hello (ssl/s3_srvr.c), generate a fatal alert
3969      (sent using the client's version number) if client_version is
3970      smaller than the protocol version in use.  Also change
3971      ssl23_get_client_hello (ssl/s23_srvr.c) to select TLS 1.0 if
3972      the client demanded SSL 3.0 but only TLS 1.0 is enabled; then
3973      the client will at least see that alert.
3974      [Bodo Moeller]
3975
3976   *) Fix ssl3_get_message (ssl/s3_both.c) to handle message fragmentation
3977      correctly.
3978      [Bodo Moeller]
3979
3980   *) Avoid infinite loop in ssl3_get_message (ssl/s3_both.c) if a
3981      client receives HelloRequest while in a handshake.
3982      [Bodo Moeller; bug noticed by Andy Schneider <andy.schneider@bjss.co.uk>]