Merge from vendor branch FILE:
[dragonfly.git] / crypto / openssl-0.9.7e / CHANGES
1
2  OpenSSL CHANGES
3  _______________
4
5  Changes between 0.9.7d and 0.9.7e  [25 Oct 2004]
6
7   *) Avoid a race condition when CRLs are checked in a multi threaded 
8      environment. This would happen due to the reordering of the revoked
9      entries during signature checking and serial number lookup. Now the
10      encoding is cached and the serial number sort performed under a lock.
11      Add new STACK function sk_is_sorted().
12      [Steve Henson]
13
14   *) Add Delta CRL to the extension code.
15      [Steve Henson]
16
17   *) Various fixes to s3_pkt.c so alerts are sent properly.
18      [David Holmes <d.holmes@f5.com>]
19
20   *) Reduce the chances of duplicate issuer name and serial numbers (in
21      violation of RFC3280) using the OpenSSL certificate creation utilities.
22      This is done by creating a random 64 bit value for the initial serial
23      number when a serial number file is created or when a self signed
24      certificate is created using 'openssl req -x509'. The initial serial
25      number file is created using 'openssl x509 -next_serial' in CA.pl
26      rather than being initialized to 1.
27      [Steve Henson]
28
29  Changes between 0.9.7c and 0.9.7d  [17 Mar 2004]
30
31   *) Fix null-pointer assignment in do_change_cipher_spec() revealed           
32      by using the Codenomicon TLS Test Tool (CAN-2004-0079)                    
33      [Joe Orton, Steve Henson]   
34
35   *) Fix flaw in SSL/TLS handshaking when using Kerberos ciphersuites
36      (CAN-2004-0112)
37      [Joe Orton, Steve Henson]   
38
39   *) Make it possible to have multiple active certificates with the same
40      subject in the CA index file.  This is done only if the keyword
41      'unique_subject' is set to 'no' in the main CA section (default
42      if 'CA_default') of the configuration file.  The value is saved
43      with the database itself in a separate index attribute file,
44      named like the index file with '.attr' appended to the name.
45      [Richard Levitte]
46
47   *) X509 verify fixes. Disable broken certificate workarounds when 
48      X509_V_FLAGS_X509_STRICT is set. Check CRL issuer has cRLSign set if
49      keyUsage extension present. Don't accept CRLs with unhandled critical
50      extensions: since verify currently doesn't process CRL extensions this
51      rejects a CRL with *any* critical extensions. Add new verify error codes
52      for these cases.
53      [Steve Henson]
54
55   *) When creating an OCSP nonce use an OCTET STRING inside the extnValue.
56      A clarification of RFC2560 will require the use of OCTET STRINGs and 
57      some implementations cannot handle the current raw format. Since OpenSSL
58      copies and compares OCSP nonces as opaque blobs without any attempt at
59      parsing them this should not create any compatibility issues.
60      [Steve Henson]
61
62   *) New md flag EVP_MD_CTX_FLAG_REUSE this allows md_data to be reused when
63      calling EVP_MD_CTX_copy_ex() to avoid calling OPENSSL_malloc(). Without
64      this HMAC (and other) operations are several times slower than OpenSSL
65      < 0.9.7.
66      [Steve Henson]
67
68   *) Print out GeneralizedTime and UTCTime in ASN1_STRING_print_ex().
69      [Peter Sylvester <Peter.Sylvester@EdelWeb.fr>]
70
71   *) Use the correct content when signing type "other".
72      [Steve Henson]
73
74  Changes between 0.9.7b and 0.9.7c  [30 Sep 2003]
75
76   *) Fix various bugs revealed by running the NISCC test suite:
77
78      Stop out of bounds reads in the ASN1 code when presented with
79      invalid tags (CAN-2003-0543 and CAN-2003-0544).
80      
81      Free up ASN1_TYPE correctly if ANY type is invalid (CAN-2003-0545).
82
83      If verify callback ignores invalid public key errors don't try to check
84      certificate signature with the NULL public key.
85
86      [Steve Henson]
87
88   *) New -ignore_err option in ocsp application to stop the server
89      exiting on the first error in a request.
90      [Steve Henson]
91
92   *) In ssl3_accept() (ssl/s3_srvr.c) only accept a client certificate
93      if the server requested one: as stated in TLS 1.0 and SSL 3.0
94      specifications.
95      [Steve Henson]
96
97   *) In ssl3_get_client_hello() (ssl/s3_srvr.c), tolerate additional
98      extra data after the compression methods not only for TLS 1.0
99      but also for SSL 3.0 (as required by the specification).
100      [Bodo Moeller; problem pointed out by Matthias Loepfe]
101
102   *) Change X509_certificate_type() to mark the key as exported/exportable
103      when it's 512 *bits* long, not 512 bytes.
104      [Richard Levitte]
105
106   *) Change AES_cbc_encrypt() so it outputs exact multiple of
107      blocks during encryption.
108      [Richard Levitte]
109
110   *) Various fixes to base64 BIO and non blocking I/O. On write 
111      flushes were not handled properly if the BIO retried. On read
112      data was not being buffered properly and had various logic bugs.
113      This also affects blocking I/O when the data being decoded is a
114      certain size.
115      [Steve Henson]
116
117   *) Various S/MIME bugfixes and compatibility changes:
118      output correct application/pkcs7 MIME type if
119      PKCS7_NOOLDMIMETYPE is set. Tolerate some broken signatures.
120      Output CR+LF for EOL if PKCS7_CRLFEOL is set (this makes opening
121      of files as .eml work). Correctly handle very long lines in MIME
122      parser.
123      [Steve Henson]
124
125  Changes between 0.9.7a and 0.9.7b  [10 Apr 2003]
126
127   *) Countermeasure against the Klima-Pokorny-Rosa extension of
128      Bleichbacher's attack on PKCS #1 v1.5 padding: treat
129      a protocol version number mismatch like a decryption error
130      in ssl3_get_client_key_exchange (ssl/s3_srvr.c).
131      [Bodo Moeller]
132
133   *) Turn on RSA blinding by default in the default implementation
134      to avoid a timing attack. Applications that don't want it can call
135      RSA_blinding_off() or use the new flag RSA_FLAG_NO_BLINDING.
136      They would be ill-advised to do so in most cases.
137      [Ben Laurie, Steve Henson, Geoff Thorpe, Bodo Moeller]
138
139   *) Change RSA blinding code so that it works when the PRNG is not
140      seeded (in this case, the secret RSA exponent is abused as
141      an unpredictable seed -- if it is not unpredictable, there
142      is no point in blinding anyway).  Make RSA blinding thread-safe
143      by remembering the creator's thread ID in rsa->blinding and
144      having all other threads use local one-time blinding factors
145      (this requires more computation than sharing rsa->blinding, but
146      avoids excessive locking; and if an RSA object is not shared
147      between threads, blinding will still be very fast).
148      [Bodo Moeller]
149
150   *) Fixed a typo bug that would cause ENGINE_set_default() to set an
151      ENGINE as defaults for all supported algorithms irrespective of
152      the 'flags' parameter. 'flags' is now honoured, so applications
153      should make sure they are passing it correctly.
154      [Geoff Thorpe]
155
156   *) Target "mingw" now allows native Windows code to be generated in
157      the Cygwin environment as well as with the MinGW compiler.
158      [Ulf Moeller] 
159
160  Changes between 0.9.7 and 0.9.7a  [19 Feb 2003]
161
162   *) In ssl3_get_record (ssl/s3_pkt.c), minimize information leaked
163      via timing by performing a MAC computation even if incorrrect
164      block cipher padding has been found.  This is a countermeasure
165      against active attacks where the attacker has to distinguish
166      between bad padding and a MAC verification error. (CAN-2003-0078)
167
168      [Bodo Moeller; problem pointed out by Brice Canvel (EPFL),
169      Alain Hiltgen (UBS), Serge Vaudenay (EPFL), and
170      Martin Vuagnoux (EPFL, Ilion)]
171
172   *) Make the no-err option work as intended.  The intention with no-err
173      is not to have the whole error stack handling routines removed from
174      libcrypto, it's only intended to remove all the function name and
175      reason texts, thereby removing some of the footprint that may not
176      be interesting if those errors aren't displayed anyway.
177
178      NOTE: it's still possible for any application or module to have it's
179      own set of error texts inserted.  The routines are there, just not
180      used by default when no-err is given.
181      [Richard Levitte]
182
183   *) Add support for FreeBSD on IA64.
184      [dirk.meyer@dinoex.sub.org via Richard Levitte, resolves #454]
185
186   *) Adjust DES_cbc_cksum() so it returns the same value as the MIT
187      Kerberos function mit_des_cbc_cksum().  Before this change,
188      the value returned by DES_cbc_cksum() was like the one from
189      mit_des_cbc_cksum(), except the bytes were swapped.
190      [Kevin Greaney <Kevin.Greaney@hp.com> and Richard Levitte]
191
192   *) Allow an application to disable the automatic SSL chain building.
193      Before this a rather primitive chain build was always performed in
194      ssl3_output_cert_chain(): an application had no way to send the 
195      correct chain if the automatic operation produced an incorrect result.
196
197      Now the chain builder is disabled if either:
198
199      1. Extra certificates are added via SSL_CTX_add_extra_chain_cert().
200
201      2. The mode flag SSL_MODE_NO_AUTO_CHAIN is set.
202
203      The reasoning behind this is that an application would not want the
204      auto chain building to take place if extra chain certificates are
205      present and it might also want a means of sending no additional
206      certificates (for example the chain has two certificates and the
207      root is omitted).
208      [Steve Henson]
209
210   *) Add the possibility to build without the ENGINE framework.
211      [Steven Reddie <smr@essemer.com.au> via Richard Levitte]
212
213   *) Under Win32 gmtime() can return NULL: check return value in
214      OPENSSL_gmtime(). Add error code for case where gmtime() fails.
215      [Steve Henson]
216
217   *) DSA routines: under certain error conditions uninitialized BN objects
218      could be freed. Solution: make sure initialization is performed early
219      enough. (Reported and fix supplied by Ivan D Nestlerode <nestler@MIT.EDU>,
220      Nils Larsch <nla@trustcenter.de> via PR#459)
221      [Lutz Jaenicke]
222
223   *) Another fix for SSLv2 session ID handling: the session ID was incorrectly
224      checked on reconnect on the client side, therefore session resumption
225      could still fail with a "ssl session id is different" error. This
226      behaviour is masked when SSL_OP_ALL is used due to
227      SSL_OP_MICROSOFT_SESS_ID_BUG being set.
228      Behaviour observed by Crispin Flowerday <crispin@flowerday.cx> as
229      followup to PR #377.
230      [Lutz Jaenicke]
231
232   *) IA-32 assembler support enhancements: unified ELF targets, support
233      for SCO/Caldera platforms, fix for Cygwin shared build.
234      [Andy Polyakov]
235
236   *) Add support for FreeBSD on sparc64.  As a consequence, support for
237      FreeBSD on non-x86 processors is separate from x86 processors on
238      the config script, much like the NetBSD support.
239      [Richard Levitte & Kris Kennaway <kris@obsecurity.org>]
240
241  Changes between 0.9.6h and 0.9.7  [31 Dec 2002]
242
243   [NB: OpenSSL 0.9.6i and later 0.9.6 patch levels were released after
244   OpenSSL 0.9.7.]
245
246   *) Fix session ID handling in SSLv2 client code: the SERVER FINISHED
247      code (06) was taken as the first octet of the session ID and the last
248      octet was ignored consequently. As a result SSLv2 client side session
249      caching could not have worked due to the session ID mismatch between
250      client and server.
251      Behaviour observed by Crispin Flowerday <crispin@flowerday.cx> as
252      PR #377.
253      [Lutz Jaenicke]
254
255   *) Change the declaration of needed Kerberos libraries to use EX_LIBS
256      instead of the special (and badly supported) LIBKRB5.  LIBKRB5 is
257      removed entirely.
258      [Richard Levitte]
259
260   *) The hw_ncipher.c engine requires dynamic locks.  Unfortunately, it
261      seems that in spite of existing for more than a year, many application
262      author have done nothing to provide the necessary callbacks, which
263      means that this particular engine will not work properly anywhere.
264      This is a very unfortunate situation which forces us, in the name
265      of usability, to give the hw_ncipher.c a static lock, which is part
266      of libcrypto.
267      NOTE: This is for the 0.9.7 series ONLY.  This hack will never
268      appear in 0.9.8 or later.  We EXPECT application authors to have
269      dealt properly with this when 0.9.8 is released (unless we actually
270      make such changes in the libcrypto locking code that changes will
271      have to be made anyway).
272      [Richard Levitte]
273
274   *) In asn1_d2i_read_bio() repeatedly call BIO_read() until all content
275      octets have been read, EOF or an error occurs. Without this change
276      some truncated ASN1 structures will not produce an error.
277      [Steve Henson]
278
279   *) Disable Heimdal support, since it hasn't been fully implemented.
280      Still give the possibility to force the use of Heimdal, but with
281      warnings and a request that patches get sent to openssl-dev.
282      [Richard Levitte]
283
284   *) Add the VC-CE target, introduce the WINCE sysname, and add
285      INSTALL.WCE and appropriate conditionals to make it build.
286      [Steven Reddie <smr@essemer.com.au> via Richard Levitte]
287
288   *) Change the DLL names for Cygwin to cygcrypto-x.y.z.dll and
289      cygssl-x.y.z.dll, where x, y and z are the major, minor and
290      edit numbers of the version.
291      [Corinna Vinschen <vinschen@redhat.com> and Richard Levitte]
292
293   *) Introduce safe string copy and catenation functions
294      (BUF_strlcpy() and BUF_strlcat()).
295      [Ben Laurie (CHATS) and Richard Levitte]
296
297   *) Avoid using fixed-size buffers for one-line DNs.
298      [Ben Laurie (CHATS)]
299
300   *) Add BUF_MEM_grow_clean() to avoid information leakage when
301      resizing buffers containing secrets, and use where appropriate.
302      [Ben Laurie (CHATS)]
303
304   *) Avoid using fixed size buffers for configuration file location.
305      [Ben Laurie (CHATS)]
306
307   *) Avoid filename truncation for various CA files.
308      [Ben Laurie (CHATS)]
309
310   *) Use sizeof in preference to magic numbers.
311      [Ben Laurie (CHATS)]
312
313   *) Avoid filename truncation in cert requests.
314      [Ben Laurie (CHATS)]
315
316   *) Add assertions to check for (supposedly impossible) buffer
317      overflows.
318      [Ben Laurie (CHATS)]
319
320   *) Don't cache truncated DNS entries in the local cache (this could
321      potentially lead to a spoofing attack).
322      [Ben Laurie (CHATS)]
323
324   *) Fix various buffers to be large enough for hex/decimal
325      representations in a platform independent manner.
326      [Ben Laurie (CHATS)]
327
328   *) Add CRYPTO_realloc_clean() to avoid information leakage when
329      resizing buffers containing secrets, and use where appropriate.
330      [Ben Laurie (CHATS)]
331
332   *) Add BIO_indent() to avoid much slightly worrying code to do
333      indents.
334      [Ben Laurie (CHATS)]
335
336   *) Convert sprintf()/BIO_puts() to BIO_printf().
337      [Ben Laurie (CHATS)]
338
339   *) buffer_gets() could terminate with the buffer only half
340      full. Fixed.
341      [Ben Laurie (CHATS)]
342
343   *) Add assertions to prevent user-supplied crypto functions from
344      overflowing internal buffers by having large block sizes, etc.
345      [Ben Laurie (CHATS)]
346
347   *) New OPENSSL_assert() macro (similar to assert(), but enabled
348      unconditionally).
349      [Ben Laurie (CHATS)]
350
351   *) Eliminate unused copy of key in RC4.
352      [Ben Laurie (CHATS)]
353
354   *) Eliminate unused and incorrectly sized buffers for IV in pem.h.
355      [Ben Laurie (CHATS)]
356
357   *) Fix off-by-one error in EGD path.
358      [Ben Laurie (CHATS)]
359
360   *) If RANDFILE path is too long, ignore instead of truncating.
361      [Ben Laurie (CHATS)]
362
363   *) Eliminate unused and incorrectly sized X.509 structure
364      CBCParameter.
365      [Ben Laurie (CHATS)]
366
367   *) Eliminate unused and dangerous function knumber().
368      [Ben Laurie (CHATS)]
369
370   *) Eliminate unused and dangerous structure, KSSL_ERR.
371      [Ben Laurie (CHATS)]
372
373   *) Protect against overlong session ID context length in an encoded
374      session object. Since these are local, this does not appear to be
375      exploitable.
376      [Ben Laurie (CHATS)]
377
378   *) Change from security patch (see 0.9.6e below) that did not affect
379      the 0.9.6 release series:
380
381      Remote buffer overflow in SSL3 protocol - an attacker could
382      supply an oversized master key in Kerberos-enabled versions.
383      (CAN-2002-0657)
384      [Ben Laurie (CHATS)]
385
386   *) Change the SSL kerb5 codes to match RFC 2712.
387      [Richard Levitte]
388
389   *) Make -nameopt work fully for req and add -reqopt switch.
390      [Michael Bell <michael.bell@rz.hu-berlin.de>, Steve Henson]
391
392   *) The "block size" for block ciphers in CFB and OFB mode should be 1.
393      [Steve Henson, reported by Yngve Nysaeter Pettersen <yngve@opera.com>]
394
395   *) Make sure tests can be performed even if the corresponding algorithms
396      have been removed entirely.  This was also the last step to make
397      OpenSSL compilable with DJGPP under all reasonable conditions.
398      [Richard Levitte, Doug Kaufman <dkaufman@rahul.net>]
399
400   *) Add cipher selection rules COMPLEMENTOFALL and COMPLEMENTOFDEFAULT
401      to allow version independent disabling of normally unselected ciphers,
402      which may be activated as a side-effect of selecting a single cipher.
403
404      (E.g., cipher list string "RSA" enables ciphersuites that are left
405      out of "ALL" because they do not provide symmetric encryption.
406      "RSA:!COMPLEMEMENTOFALL" avoids these unsafe ciphersuites.)
407      [Lutz Jaenicke, Bodo Moeller]
408
409   *) Add appropriate support for separate platform-dependent build
410      directories.  The recommended way to make a platform-dependent
411      build directory is the following (tested on Linux), maybe with
412      some local tweaks:
413
414         # Place yourself outside of the OpenSSL source tree.  In
415         # this example, the environment variable OPENSSL_SOURCE
416         # is assumed to contain the absolute OpenSSL source directory.
417         mkdir -p objtree/"`uname -s`-`uname -r`-`uname -m`"
418         cd objtree/"`uname -s`-`uname -r`-`uname -m`"
419         (cd $OPENSSL_SOURCE; find . -type f) | while read F; do
420                 mkdir -p `dirname $F`
421                 ln -s $OPENSSL_SOURCE/$F $F
422         done
423
424      To be absolutely sure not to disturb the source tree, a "make clean"
425      is a good thing.  If it isn't successfull, don't worry about it,
426      it probably means the source directory is very clean.
427      [Richard Levitte]
428
429   *) Make sure any ENGINE control commands make local copies of string
430      pointers passed to them whenever necessary. Otherwise it is possible
431      the caller may have overwritten (or deallocated) the original string
432      data when a later ENGINE operation tries to use the stored values.
433      [Götz Babin-Ebell <babinebell@trustcenter.de>]
434
435   *) Improve diagnostics in file reading and command-line digests.
436      [Ben Laurie aided and abetted by Solar Designer <solar@openwall.com>]
437
438   *) Add AES modes CFB and OFB to the object database.  Correct an
439      error in AES-CFB decryption.
440      [Richard Levitte]
441
442   *) Remove most calls to EVP_CIPHER_CTX_cleanup() in evp_enc.c, this 
443      allows existing EVP_CIPHER_CTX structures to be reused after
444      calling EVP_*Final(). This behaviour is used by encryption
445      BIOs and some applications. This has the side effect that
446      applications must explicitly clean up cipher contexts with
447      EVP_CIPHER_CTX_cleanup() or they will leak memory.
448      [Steve Henson]
449
450   *) Check the values of dna and dnb in bn_mul_recursive before calling
451      bn_mul_comba (a non zero value means the a or b arrays do not contain
452      n2 elements) and fallback to bn_mul_normal if either is not zero.
453      [Steve Henson]
454
455   *) Fix escaping of non-ASCII characters when using the -subj option
456      of the "openssl req" command line tool. (Robert Joop <joop@fokus.gmd.de>)
457      [Lutz Jaenicke]
458
459   *) Make object definitions compliant to LDAP (RFC2256): SN is the short
460      form for "surname", serialNumber has no short form.
461      Use "mail" as the short name for "rfc822Mailbox" according to RFC2798;
462      therefore remove "mail" short name for "internet 7".
463      The OID for unique identifiers in X509 certificates is
464      x500UniqueIdentifier, not uniqueIdentifier.
465      Some more OID additions. (Michael Bell <michael.bell@rz.hu-berlin.de>)
466      [Lutz Jaenicke]
467
468   *) Add an "init" command to the ENGINE config module and auto initialize
469      ENGINEs. Without any "init" command the ENGINE will be initialized 
470      after all ctrl commands have been executed on it. If init=1 the 
471      ENGINE is initailized at that point (ctrls before that point are run
472      on the uninitialized ENGINE and after on the initialized one). If
473      init=0 then the ENGINE will not be iniatialized at all.
474      [Steve Henson]
475
476   *) Fix the 'app_verify_callback' interface so that the user-defined
477      argument is actually passed to the callback: In the
478      SSL_CTX_set_cert_verify_callback() prototype, the callback
479      declaration has been changed from
480           int (*cb)()
481      into
482           int (*cb)(X509_STORE_CTX *,void *);
483      in ssl_verify_cert_chain (ssl/ssl_cert.c), the call
484           i=s->ctx->app_verify_callback(&ctx)
485      has been changed into
486           i=s->ctx->app_verify_callback(&ctx, s->ctx->app_verify_arg).
487
488      To update applications using SSL_CTX_set_cert_verify_callback(),
489      a dummy argument can be added to their callback functions.
490      [D. K. Smetters <smetters@parc.xerox.com>]
491
492   *) Added the '4758cca' ENGINE to support IBM 4758 cards.
493      [Maurice Gittens <maurice@gittens.nl>, touchups by Geoff Thorpe]
494
495   *) Add and OPENSSL_LOAD_CONF define which will cause
496      OpenSSL_add_all_algorithms() to load the openssl.cnf config file.
497      This allows older applications to transparently support certain
498      OpenSSL features: such as crypto acceleration and dynamic ENGINE loading.
499      Two new functions OPENSSL_add_all_algorithms_noconf() which will never
500      load the config file and OPENSSL_add_all_algorithms_conf() which will
501      always load it have also been added.
502      [Steve Henson]
503
504   *) Add the OFB, CFB and CTR (all with 128 bit feedback) to AES.
505      Adjust NIDs and EVP layer.
506      [Stephen Sprunk <stephen@sprunk.org> and Richard Levitte]
507
508   *) Config modules support in openssl utility.
509
510      Most commands now load modules from the config file,
511      though in a few (such as version) this isn't done 
512      because it couldn't be used for anything.
513
514      In the case of ca and req the config file used is
515      the same as the utility itself: that is the -config
516      command line option can be used to specify an
517      alternative file.
518      [Steve Henson]
519
520   *) Move default behaviour from OPENSSL_config(). If appname is NULL
521      use "openssl_conf" if filename is NULL use default openssl config file.
522      [Steve Henson]
523
524   *) Add an argument to OPENSSL_config() to allow the use of an alternative
525      config section name. Add a new flag to tolerate a missing config file
526      and move code to CONF_modules_load_file().
527      [Steve Henson]
528
529   *) Support for crypto accelerator cards from Accelerated Encryption
530      Processing, www.aep.ie.  (Use engine 'aep')
531      The support was copied from 0.9.6c [engine] and adapted/corrected
532      to work with the new engine framework.
533      [AEP Inc. and Richard Levitte]
534
535   *) Support for SureWare crypto accelerator cards from Baltimore
536      Technologies.  (Use engine 'sureware')
537      The support was copied from 0.9.6c [engine] and adapted
538      to work with the new engine framework.
539      [Richard Levitte]
540
541   *) Have the CHIL engine fork-safe (as defined by nCipher) and actually
542      make the newer ENGINE framework commands for the CHIL engine work.
543      [Toomas Kiisk <vix@cyber.ee> and Richard Levitte]
544
545   *) Make it possible to produce shared libraries on ReliantUNIX.
546      [Robert Dahlem <Robert.Dahlem@ffm2.siemens.de> via Richard Levitte]
547
548   *) Add the configuration target debug-linux-ppro.
549      Make 'openssl rsa' use the general key loading routines
550      implemented in apps.c, and make those routines able to
551      handle the key format FORMAT_NETSCAPE and the variant
552      FORMAT_IISSGC.
553      [Toomas Kiisk <vix@cyber.ee> via Richard Levitte]
554
555  *) Fix a crashbug and a logic bug in hwcrhk_load_pubkey().
556      [Toomas Kiisk <vix@cyber.ee> via Richard Levitte]
557
558   *) Add -keyform to rsautl, and document -engine.
559      [Richard Levitte, inspired by Toomas Kiisk <vix@cyber.ee>]
560
561   *) Change BIO_new_file (crypto/bio/bss_file.c) to use new
562      BIO_R_NO_SUCH_FILE error code rather than the generic
563      ERR_R_SYS_LIB error code if fopen() fails with ENOENT.
564      [Ben Laurie]
565
566   *) Add new functions
567           ERR_peek_last_error
568           ERR_peek_last_error_line
569           ERR_peek_last_error_line_data.
570      These are similar to
571           ERR_peek_error
572           ERR_peek_error_line
573           ERR_peek_error_line_data,
574      but report on the latest error recorded rather than the first one
575      still in the error queue.
576      [Ben Laurie, Bodo Moeller]
577         
578   *) default_algorithms option in ENGINE config module. This allows things
579      like:
580      default_algorithms = ALL
581      default_algorithms = RSA, DSA, RAND, CIPHERS, DIGESTS
582      [Steve Henson]
583
584   *) Prelminary ENGINE config module.
585      [Steve Henson]
586
587   *) New experimental application configuration code.
588      [Steve Henson]
589
590   *) Change the AES code to follow the same name structure as all other
591      symmetric ciphers, and behave the same way.  Move everything to
592      the directory crypto/aes, thereby obsoleting crypto/rijndael.
593      [Stephen Sprunk <stephen@sprunk.org> and Richard Levitte]
594
595   *) SECURITY: remove unsafe setjmp/signal interaction from ui_openssl.c.
596      [Ben Laurie and Theo de Raadt]
597
598   *) Add option to output public keys in req command.
599      [Massimiliano Pala madwolf@openca.org]
600
601   *) Use wNAFs in EC_POINTs_mul() for improved efficiency
602      (up to about 10% better than before for P-192 and P-224).
603      [Bodo Moeller]
604
605   *) New functions/macros
606
607           SSL_CTX_set_msg_callback(ctx, cb)
608           SSL_CTX_set_msg_callback_arg(ctx, arg)
609           SSL_set_msg_callback(ssl, cb)
610           SSL_set_msg_callback_arg(ssl, arg)
611
612      to request calling a callback function
613
614           void cb(int write_p, int version, int content_type,
615                   const void *buf, size_t len, SSL *ssl, void *arg)
616
617      whenever a protocol message has been completely received
618      (write_p == 0) or sent (write_p == 1).  Here 'version' is the
619      protocol version  according to which the SSL library interprets
620      the current protocol message (SSL2_VERSION, SSL3_VERSION, or
621      TLS1_VERSION).  'content_type' is 0 in the case of SSL 2.0, or
622      the content type as defined in the SSL 3.0/TLS 1.0 protocol
623      specification (change_cipher_spec(20), alert(21), handshake(22)).
624      'buf' and 'len' point to the actual message, 'ssl' to the
625      SSL object, and 'arg' is the application-defined value set by
626      SSL[_CTX]_set_msg_callback_arg().
627
628      'openssl s_client' and 'openssl s_server' have new '-msg' options
629      to enable a callback that displays all protocol messages.
630      [Bodo Moeller]
631
632   *) Change the shared library support so shared libraries are built as
633      soon as the corresponding static library is finished, and thereby get
634      openssl and the test programs linked against the shared library.
635      This still only happens when the keyword "shard" has been given to
636      the configuration scripts.
637
638      NOTE: shared library support is still an experimental thing, and
639      backward binary compatibility is still not guaranteed.
640      ["Maciej W. Rozycki" <macro@ds2.pg.gda.pl> and Richard Levitte]
641
642   *) Add support for Subject Information Access extension.
643      [Peter Sylvester <Peter.Sylvester@EdelWeb.fr>]
644
645   *) Make BUF_MEM_grow() behaviour more consistent: Initialise to zero
646      additional bytes when new memory had to be allocated, not just
647      when reusing an existing buffer.
648      [Bodo Moeller]
649
650   *) New command line and configuration option 'utf8' for the req command.
651      This allows field values to be specified as UTF8 strings.
652      [Steve Henson]
653
654   *) Add -multi and -mr options to "openssl speed" - giving multiple parallel
655      runs for the former and machine-readable output for the latter.
656      [Ben Laurie]
657
658   *) Add '-noemailDN' option to 'openssl ca'.  This prevents inclusion
659      of the e-mail address in the DN (i.e., it will go into a certificate
660      extension only).  The new configuration file option 'email_in_dn = no'
661      has the same effect.
662      [Massimiliano Pala madwolf@openca.org]
663
664   *) Change all functions with names starting with des_ to be starting
665      with DES_ instead.  Add wrappers that are compatible with libdes,
666      but are named _ossl_old_des_*.  Finally, add macros that map the
667      des_* symbols to the corresponding _ossl_old_des_* if libdes
668      compatibility is desired.  If OpenSSL 0.9.6c compatibility is
669      desired, the des_* symbols will be mapped to DES_*, with one
670      exception.
671
672      Since we provide two compatibility mappings, the user needs to
673      define the macro OPENSSL_DES_LIBDES_COMPATIBILITY if libdes
674      compatibility is desired.  The default (i.e., when that macro
675      isn't defined) is OpenSSL 0.9.6c compatibility.
676
677      There are also macros that enable and disable the support of old
678      des functions altogether.  Those are OPENSSL_ENABLE_OLD_DES_SUPPORT
679      and OPENSSL_DISABLE_OLD_DES_SUPPORT.  If none or both of those
680      are defined, the default will apply: to support the old des routines.
681
682      In either case, one must include openssl/des.h to get the correct
683      definitions.  Do not try to just include openssl/des_old.h, that
684      won't work.
685
686      NOTE: This is a major break of an old API into a new one.  Software
687      authors are encouraged to switch to the DES_ style functions.  Some
688      time in the future, des_old.h and the libdes compatibility functions
689      will be disable (i.e. OPENSSL_DISABLE_OLD_DES_SUPPORT will be the
690      default), and then completely removed.
691      [Richard Levitte]
692
693   *) Test for certificates which contain unsupported critical extensions.
694      If such a certificate is found during a verify operation it is 
695      rejected by default: this behaviour can be overridden by either
696      handling the new error X509_V_ERR_UNHANDLED_CRITICAL_EXTENSION or
697      by setting the verify flag X509_V_FLAG_IGNORE_CRITICAL. A new function
698      X509_supported_extension() has also been added which returns 1 if a
699      particular extension is supported.
700      [Steve Henson]
701
702   *) Modify the behaviour of EVP cipher functions in similar way to digests
703      to retain compatibility with existing code.
704      [Steve Henson]
705
706   *) Modify the behaviour of EVP_DigestInit() and EVP_DigestFinal() to retain
707      compatibility with existing code. In particular the 'ctx' parameter does
708      not have to be to be initialized before the call to EVP_DigestInit() and
709      it is tidied up after a call to EVP_DigestFinal(). New function
710      EVP_DigestFinal_ex() which does not tidy up the ctx. Similarly function
711      EVP_MD_CTX_copy() changed to not require the destination to be
712      initialized valid and new function EVP_MD_CTX_copy_ex() added which
713      requires the destination to be valid.
714
715      Modify all the OpenSSL digest calls to use EVP_DigestInit_ex(),
716      EVP_DigestFinal_ex() and EVP_MD_CTX_copy_ex().
717      [Steve Henson]
718
719   *) Change ssl3_get_message (ssl/s3_both.c) and the functions using it
720      so that complete 'Handshake' protocol structures are kept in memory
721      instead of overwriting 'msg_type' and 'length' with 'body' data.
722      [Bodo Moeller]
723
724   *) Add an implementation of SSL_add_dir_cert_subjects_to_stack for Win32.
725      [Massimo Santin via Richard Levitte]
726
727   *) Major restructuring to the underlying ENGINE code. This includes
728      reduction of linker bloat, separation of pure "ENGINE" manipulation
729      (initialisation, etc) from functionality dealing with implementations
730      of specific crypto iterfaces. This change also introduces integrated
731      support for symmetric ciphers and digest implementations - so ENGINEs
732      can now accelerate these by providing EVP_CIPHER and EVP_MD
733      implementations of their own. This is detailed in crypto/engine/README
734      as it couldn't be adequately described here. However, there are a few
735      API changes worth noting - some RSA, DSA, DH, and RAND functions that
736      were changed in the original introduction of ENGINE code have now
737      reverted back - the hooking from this code to ENGINE is now a good
738      deal more passive and at run-time, operations deal directly with
739      RSA_METHODs, DSA_METHODs (etc) as they did before, rather than
740      dereferencing through an ENGINE pointer any more. Also, the ENGINE
741      functions dealing with BN_MOD_EXP[_CRT] handlers have been removed -
742      they were not being used by the framework as there is no concept of a
743      BIGNUM_METHOD and they could not be generalised to the new
744      'ENGINE_TABLE' mechanism that underlies the new code. Similarly,
745      ENGINE_cpy() has been removed as it cannot be consistently defined in
746      the new code.
747      [Geoff Thorpe]
748
749   *) Change ASN1_GENERALIZEDTIME_check() to allow fractional seconds.
750      [Steve Henson]
751
752   *) Change mkdef.pl to sort symbols that get the same entry number,
753      and make sure the automatically generated functions ERR_load_*
754      become part of libeay.num as well.
755      [Richard Levitte]
756
757   *) New function SSL_renegotiate_pending().  This returns true once
758      renegotiation has been requested (either SSL_renegotiate() call
759      or HelloRequest/ClientHello receveived from the peer) and becomes
760      false once a handshake has been completed.
761      (For servers, SSL_renegotiate() followed by SSL_do_handshake()
762      sends a HelloRequest, but does not ensure that a handshake takes
763      place.  SSL_renegotiate_pending() is useful for checking if the
764      client has followed the request.)
765      [Bodo Moeller]
766
767   *) New SSL option SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION.
768      By default, clients may request session resumption even during
769      renegotiation (if session ID contexts permit); with this option,
770      session resumption is possible only in the first handshake.
771
772      SSL_OP_ALL is now 0x00000FFFL instead of 0x000FFFFFL.  This makes
773      more bits available for options that should not be part of
774      SSL_OP_ALL (such as SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION).
775      [Bodo Moeller]
776
777   *) Add some demos for certificate and certificate request creation.
778      [Steve Henson]
779
780   *) Make maximum certificate chain size accepted from the peer application
781      settable (SSL*_get/set_max_cert_list()), as proposed by
782      "Douglas E. Engert" <deengert@anl.gov>.
783      [Lutz Jaenicke]
784
785   *) Add support for shared libraries for Unixware-7
786      (Boyd Lynn Gerber <gerberb@zenez.com>).
787      [Lutz Jaenicke]
788
789   *) Add a "destroy" handler to ENGINEs that allows structural cleanup to
790      be done prior to destruction. Use this to unload error strings from
791      ENGINEs that load their own error strings. NB: This adds two new API
792      functions to "get" and "set" this destroy handler in an ENGINE.
793      [Geoff Thorpe]
794
795   *) Alter all existing ENGINE implementations (except "openssl" and
796      "openbsd") to dynamically instantiate their own error strings. This
797      makes them more flexible to be built both as statically-linked ENGINEs
798      and self-contained shared-libraries loadable via the "dynamic" ENGINE.
799      Also, add stub code to each that makes building them as self-contained
800      shared-libraries easier (see README.ENGINE).
801      [Geoff Thorpe]
802
803   *) Add a "dynamic" ENGINE that provides a mechanism for binding ENGINE
804      implementations into applications that are completely implemented in
805      self-contained shared-libraries. The "dynamic" ENGINE exposes control
806      commands that can be used to configure what shared-library to load and
807      to control aspects of the way it is handled. Also, made an update to
808      the README.ENGINE file that brings its information up-to-date and
809      provides some information and instructions on the "dynamic" ENGINE
810      (ie. how to use it, how to build "dynamic"-loadable ENGINEs, etc).
811      [Geoff Thorpe]
812
813   *) Make it possible to unload ranges of ERR strings with a new
814      "ERR_unload_strings" function.
815      [Geoff Thorpe]
816
817   *) Add a copy() function to EVP_MD.
818      [Ben Laurie]
819
820   *) Make EVP_MD routines take a context pointer instead of just the
821      md_data void pointer.
822      [Ben Laurie]
823
824   *) Add flags to EVP_MD and EVP_MD_CTX. EVP_MD_FLAG_ONESHOT indicates
825      that the digest can only process a single chunk of data
826      (typically because it is provided by a piece of
827      hardware). EVP_MD_CTX_FLAG_ONESHOT indicates that the application
828      is only going to provide a single chunk of data, and hence the
829      framework needn't accumulate the data for oneshot drivers.
830      [Ben Laurie]
831
832   *) As with "ERR", make it possible to replace the underlying "ex_data"
833      functions. This change also alters the storage and management of global
834      ex_data state - it's now all inside ex_data.c and all "class" code (eg.
835      RSA, BIO, SSL_CTX, etc) no longer stores its own STACKS and per-class
836      index counters. The API functions that use this state have been changed
837      to take a "class_index" rather than pointers to the class's local STACK
838      and counter, and there is now an API function to dynamically create new
839      classes. This centralisation allows us to (a) plug a lot of the
840      thread-safety problems that existed, and (b) makes it possible to clean
841      up all allocated state using "CRYPTO_cleanup_all_ex_data()". W.r.t. (b)
842      such data would previously have always leaked in application code and
843      workarounds were in place to make the memory debugging turn a blind eye
844      to it. Application code that doesn't use this new function will still
845      leak as before, but their memory debugging output will announce it now
846      rather than letting it slide.
847
848      Besides the addition of CRYPTO_cleanup_all_ex_data(), another API change
849      induced by the "ex_data" overhaul is that X509_STORE_CTX_init() now
850      has a return value to indicate success or failure.
851      [Geoff Thorpe]
852
853   *) Make it possible to replace the underlying "ERR" functions such that the
854      global state (2 LHASH tables and 2 locks) is only used by the "default"
855      implementation. This change also adds two functions to "get" and "set"
856      the implementation prior to it being automatically set the first time
857      any other ERR function takes place. Ie. an application can call "get",
858      pass the return value to a module it has just loaded, and that module
859      can call its own "set" function using that value. This means the
860      module's "ERR" operations will use (and modify) the error state in the
861      application and not in its own statically linked copy of OpenSSL code.
862      [Geoff Thorpe]
863
864   *) Give DH, DSA, and RSA types their own "**_up_ref()" function to increment
865      reference counts. This performs normal REF_PRINT/REF_CHECK macros on
866      the operation, and provides a more encapsulated way for external code
867      (crypto/evp/ and ssl/) to do this. Also changed the evp and ssl code
868      to use these functions rather than manually incrementing the counts.
869
870      Also rename "DSO_up()" function to more descriptive "DSO_up_ref()".
871      [Geoff Thorpe]
872
873   *) Add EVP test program.
874      [Ben Laurie]
875
876   *) Add symmetric cipher support to ENGINE. Expect the API to change!
877      [Ben Laurie]
878
879   *) New CRL functions: X509_CRL_set_version(), X509_CRL_set_issuer_name()
880      X509_CRL_set_lastUpdate(), X509_CRL_set_nextUpdate(), X509_CRL_sort(),
881      X509_REVOKED_set_serialNumber(), and X509_REVOKED_set_revocationDate().
882      These allow a CRL to be built without having to access X509_CRL fields
883      directly. Modify 'ca' application to use new functions.
884      [Steve Henson]
885
886   *) Move SSL_OP_TLS_ROLLBACK_BUG out of the SSL_OP_ALL list of recommended
887      bug workarounds. Rollback attack detection is a security feature.
888      The problem will only arise on OpenSSL servers when TLSv1 is not
889      available (sslv3_server_method() or SSL_OP_NO_TLSv1).
890      Software authors not wanting to support TLSv1 will have special reasons
891      for their choice and can explicitly enable this option.
892      [Bodo Moeller, Lutz Jaenicke]
893
894   *) Rationalise EVP so it can be extended: don't include a union of
895      cipher/digest structures, add init/cleanup functions for EVP_MD_CTX
896      (similar to those existing for EVP_CIPHER_CTX).
897      Usage example:
898
899          EVP_MD_CTX md;
900
901          EVP_MD_CTX_init(&md);             /* new function call */
902          EVP_DigestInit(&md, EVP_sha1());
903          EVP_DigestUpdate(&md, in, len);
904          EVP_DigestFinal(&md, out, NULL);
905          EVP_MD_CTX_cleanup(&md);          /* new function call */
906
907      [Ben Laurie]
908
909   *) Make DES key schedule conform to the usual scheme, as well as
910      correcting its structure. This means that calls to DES functions
911      now have to pass a pointer to a des_key_schedule instead of a
912      plain des_key_schedule (which was actually always a pointer
913      anyway): E.g.,
914
915          des_key_schedule ks;
916
917          des_set_key_checked(..., &ks);
918          des_ncbc_encrypt(..., &ks, ...);
919
920      (Note that a later change renames 'des_...' into 'DES_...'.)
921      [Ben Laurie]
922
923   *) Initial reduction of linker bloat: the use of some functions, such as
924      PEM causes large amounts of unused functions to be linked in due to
925      poor organisation. For example pem_all.c contains every PEM function
926      which has a knock on effect of linking in large amounts of (unused)
927      ASN1 code. Grouping together similar functions and splitting unrelated
928      functions prevents this.
929      [Steve Henson]
930
931   *) Cleanup of EVP macros.
932      [Ben Laurie]
933
934   *) Change historical references to {NID,SN,LN}_des_ede and ede3 to add the
935      correct _ecb suffix.
936      [Ben Laurie]
937
938   *) Add initial OCSP responder support to ocsp application. The
939      revocation information is handled using the text based index
940      use by the ca application. The responder can either handle
941      requests generated internally, supplied in files (for example
942      via a CGI script) or using an internal minimal server.
943      [Steve Henson]
944
945   *) Add configuration choices to get zlib compression for TLS.
946      [Richard Levitte]
947
948   *) Changes to Kerberos SSL for RFC 2712 compliance:
949      1.  Implemented real KerberosWrapper, instead of just using
950          KRB5 AP_REQ message.  [Thanks to Simon Wilkinson <sxw@sxw.org.uk>]
951      2.  Implemented optional authenticator field of KerberosWrapper.
952
953      Added openssl-style ASN.1 macros for Kerberos ticket, ap_req,
954      and authenticator structs; see crypto/krb5/.
955
956      Generalized Kerberos calls to support multiple Kerberos libraries.
957      [Vern Staats <staatsvr@asc.hpc.mil>,
958       Jeffrey Altman <jaltman@columbia.edu>
959       via Richard Levitte]
960
961   *) Cause 'openssl speed' to use fully hard-coded DSA keys as it
962      already does with RSA. testdsa.h now has 'priv_key/pub_key'
963      values for each of the key sizes rather than having just
964      parameters (and 'speed' generating keys each time).
965      [Geoff Thorpe]
966
967   *) Speed up EVP routines.
968      Before:
969 encrypt
970 type              8 bytes     64 bytes    256 bytes   1024 bytes   8192 bytes
971 des-cbc           4408.85k     5560.51k     5778.46k     5862.20k     5825.16k
972 des-cbc           4389.55k     5571.17k     5792.23k     5846.91k     5832.11k
973 des-cbc           4394.32k     5575.92k     5807.44k     5848.37k     5841.30k
974 decrypt
975 des-cbc           3482.66k     5069.49k     5496.39k     5614.16k     5639.28k
976 des-cbc           3480.74k     5068.76k     5510.34k     5609.87k     5635.52k
977 des-cbc           3483.72k     5067.62k     5504.60k     5708.01k     5724.80k
978      After:
979 encrypt
980 des-cbc           4660.16k     5650.19k     5807.19k     5827.13k     5783.32k
981 decrypt
982 des-cbc           3624.96k     5258.21k     5530.91k     5624.30k     5628.26k
983      [Ben Laurie]
984
985   *) Added the OS2-EMX target.
986      ["Brian Havard" <brianh@kheldar.apana.org.au> and Richard Levitte]
987
988   *) Rewrite apps to use NCONF routines instead of the old CONF. New functions
989      to support NCONF routines in extension code. New function CONF_set_nconf()
990      to allow functions which take an NCONF to also handle the old LHASH
991      structure: this means that the old CONF compatible routines can be
992      retained (in particular wrt extensions) without having to duplicate the
993      code. New function X509V3_add_ext_nconf_sk to add extensions to a stack.
994      [Steve Henson]
995
996   *) Enhance the general user interface with mechanisms for inner control
997      and with possibilities to have yes/no kind of prompts.
998      [Richard Levitte]
999
1000   *) Change all calls to low level digest routines in the library and
1001      applications to use EVP. Add missing calls to HMAC_cleanup() and
1002      don't assume HMAC_CTX can be copied using memcpy().
1003      [Verdon Walker <VWalker@novell.com>, Steve Henson]
1004
1005   *) Add the possibility to control engines through control names but with
1006      arbitrary arguments instead of just a string.
1007      Change the key loaders to take a UI_METHOD instead of a callback
1008      function pointer.  NOTE: this breaks binary compatibility with earlier
1009      versions of OpenSSL [engine].
1010      Adapt the nCipher code for these new conditions and add a card insertion
1011      callback.
1012      [Richard Levitte]
1013
1014   *) Enhance the general user interface with mechanisms to better support
1015      dialog box interfaces, application-defined prompts, the possibility
1016      to use defaults (for example default passwords from somewhere else)
1017      and interrupts/cancellations.
1018      [Richard Levitte]
1019
1020   *) Tidy up PKCS#12 attribute handling. Add support for the CSP name
1021      attribute in PKCS#12 files, add new -CSP option to pkcs12 utility.
1022      [Steve Henson]
1023
1024   *) Fix a memory leak in 'sk_dup()' in the case reallocation fails. (Also
1025      tidy up some unnecessarily weird code in 'sk_new()').
1026      [Geoff, reported by Diego Tartara <dtartara@novamens.com>]
1027
1028   *) Change the key loading routines for ENGINEs to use the same kind
1029      callback (pem_password_cb) as all other routines that need this
1030      kind of callback.
1031      [Richard Levitte]
1032
1033   *) Increase ENTROPY_NEEDED to 32 bytes, as Rijndael can operate with
1034      256 bit (=32 byte) keys. Of course seeding with more entropy bytes
1035      than this minimum value is recommended.
1036      [Lutz Jaenicke]
1037
1038   *) New random seeder for OpenVMS, using the system process statistics
1039      that are easily reachable.
1040      [Richard Levitte]
1041
1042   *) Windows apparently can't transparently handle global
1043      variables defined in DLLs. Initialisations such as:
1044
1045         const ASN1_ITEM *it = &ASN1_INTEGER_it;
1046
1047      wont compile. This is used by the any applications that need to
1048      declare their own ASN1 modules. This was fixed by adding the option
1049      EXPORT_VAR_AS_FN to all Win32 platforms, although this isn't strictly
1050      needed for static libraries under Win32.
1051      [Steve Henson]
1052
1053   *) New functions X509_PURPOSE_set() and X509_TRUST_set() to handle
1054      setting of purpose and trust fields. New X509_STORE trust and
1055      purpose functions and tidy up setting in other SSL functions.
1056      [Steve Henson]
1057
1058   *) Add copies of X509_STORE_CTX fields and callbacks to X509_STORE
1059      structure. These are inherited by X509_STORE_CTX when it is 
1060      initialised. This allows various defaults to be set in the
1061      X509_STORE structure (such as flags for CRL checking and custom
1062      purpose or trust settings) for functions which only use X509_STORE_CTX
1063      internally such as S/MIME.
1064
1065      Modify X509_STORE_CTX_purpose_inherit() so it only sets purposes and
1066      trust settings if they are not set in X509_STORE. This allows X509_STORE
1067      purposes and trust (in S/MIME for example) to override any set by default.
1068
1069      Add command line options for CRL checking to smime, s_client and s_server
1070      applications.
1071      [Steve Henson]
1072
1073   *) Initial CRL based revocation checking. If the CRL checking flag(s)
1074      are set then the CRL is looked up in the X509_STORE structure and
1075      its validity and signature checked, then if the certificate is found
1076      in the CRL the verify fails with a revoked error.
1077
1078      Various new CRL related callbacks added to X509_STORE_CTX structure.
1079
1080      Command line options added to 'verify' application to support this.
1081
1082      This needs some additional work, such as being able to handle multiple
1083      CRLs with different times, extension based lookup (rather than just
1084      by subject name) and ultimately more complete V2 CRL extension
1085      handling.
1086      [Steve Henson]
1087
1088   *) Add a general user interface API (crypto/ui/).  This is designed
1089      to replace things like des_read_password and friends (backward
1090      compatibility functions using this new API are provided).
1091      The purpose is to remove prompting functions from the DES code
1092      section as well as provide for prompting through dialog boxes in
1093      a window system and the like.
1094      [Richard Levitte]
1095
1096   *) Add "ex_data" support to ENGINE so implementations can add state at a
1097      per-structure level rather than having to store it globally.
1098      [Geoff]
1099
1100   *) Make it possible for ENGINE structures to be copied when retrieved by
1101      ENGINE_by_id() if the ENGINE specifies a new flag: ENGINE_FLAGS_BY_ID_COPY.
1102      This causes the "original" ENGINE structure to act like a template,
1103      analogous to the RSA vs. RSA_METHOD type of separation. Because of this
1104      operational state can be localised to each ENGINE structure, despite the
1105      fact they all share the same "methods". New ENGINE structures returned in
1106      this case have no functional references and the return value is the single
1107      structural reference. This matches the single structural reference returned
1108      by ENGINE_by_id() normally, when it is incremented on the pre-existing
1109      ENGINE structure.
1110      [Geoff]
1111
1112   *) Fix ASN1 decoder when decoding type ANY and V_ASN1_OTHER: since this
1113      needs to match any other type at all we need to manually clear the
1114      tag cache.
1115      [Steve Henson]
1116
1117   *) Changes to the "openssl engine" utility to include;
1118      - verbosity levels ('-v', '-vv', and '-vvv') that provide information
1119        about an ENGINE's available control commands.
1120      - executing control commands from command line arguments using the
1121        '-pre' and '-post' switches. '-post' is only used if '-t' is
1122        specified and the ENGINE is successfully initialised. The syntax for
1123        the individual commands are colon-separated, for example;
1124          openssl engine chil -pre FORK_CHECK:0 -pre SO_PATH:/lib/test.so
1125      [Geoff]
1126
1127   *) New dynamic control command support for ENGINEs. ENGINEs can now
1128      declare their own commands (numbers), names (strings), descriptions,
1129      and input types for run-time discovery by calling applications. A
1130      subset of these commands are implicitly classed as "executable"
1131      depending on their input type, and only these can be invoked through
1132      the new string-based API function ENGINE_ctrl_cmd_string(). (Eg. this
1133      can be based on user input, config files, etc). The distinction is
1134      that "executable" commands cannot return anything other than a boolean
1135      result and can only support numeric or string input, whereas some
1136      discoverable commands may only be for direct use through
1137      ENGINE_ctrl(), eg. supporting the exchange of binary data, function
1138      pointers, or other custom uses. The "executable" commands are to
1139      support parameterisations of ENGINE behaviour that can be
1140      unambiguously defined by ENGINEs and used consistently across any
1141      OpenSSL-based application. Commands have been added to all the
1142      existing hardware-supporting ENGINEs, noticeably "SO_PATH" to allow
1143      control over shared-library paths without source code alterations.
1144      [Geoff]
1145
1146   *) Changed all ENGINE implementations to dynamically allocate their
1147      ENGINEs rather than declaring them statically. Apart from this being
1148      necessary with the removal of the ENGINE_FLAGS_MALLOCED distinction,
1149      this also allows the implementations to compile without using the
1150      internal engine_int.h header.
1151      [Geoff]
1152
1153   *) Minor adjustment to "rand" code. RAND_get_rand_method() now returns a
1154      'const' value. Any code that should be able to modify a RAND_METHOD
1155      should already have non-const pointers to it (ie. they should only
1156      modify their own ones).
1157      [Geoff]
1158
1159   *) Made a variety of little tweaks to the ENGINE code.
1160      - "atalla" and "ubsec" string definitions were moved from header files
1161        to C code. "nuron" string definitions were placed in variables
1162        rather than hard-coded - allowing parameterisation of these values
1163        later on via ctrl() commands.
1164      - Removed unused "#if 0"'d code.
1165      - Fixed engine list iteration code so it uses ENGINE_free() to release
1166        structural references.
1167      - Constified the RAND_METHOD element of ENGINE structures.
1168      - Constified various get/set functions as appropriate and added
1169        missing functions (including a catch-all ENGINE_cpy that duplicates
1170        all ENGINE values onto a new ENGINE except reference counts/state).
1171      - Removed NULL parameter checks in get/set functions. Setting a method
1172        or function to NULL is a way of cancelling out a previously set
1173        value.  Passing a NULL ENGINE parameter is just plain stupid anyway
1174        and doesn't justify the extra error symbols and code.
1175      - Deprecate the ENGINE_FLAGS_MALLOCED define and move the area for
1176        flags from engine_int.h to engine.h.
1177      - Changed prototypes for ENGINE handler functions (init(), finish(),
1178        ctrl(), key-load functions, etc) to take an (ENGINE*) parameter.
1179      [Geoff]
1180
1181   *) Implement binary inversion algorithm for BN_mod_inverse in addition
1182      to the algorithm using long division.  The binary algorithm can be
1183      used only if the modulus is odd.  On 32-bit systems, it is faster
1184      only for relatively small moduli (roughly 20-30% for 128-bit moduli,
1185      roughly 5-15% for 256-bit moduli), so we use it only for moduli
1186      up to 450 bits.  In 64-bit environments, the binary algorithm
1187      appears to be advantageous for much longer moduli; here we use it
1188      for moduli up to 2048 bits.
1189      [Bodo Moeller]
1190
1191   *) Rewrite CHOICE field setting in ASN1_item_ex_d2i(). The old code
1192      could not support the combine flag in choice fields.
1193      [Steve Henson]
1194
1195   *) Add a 'copy_extensions' option to the 'ca' utility. This copies
1196      extensions from a certificate request to the certificate.
1197      [Steve Henson]
1198
1199   *) Allow multiple 'certopt' and 'nameopt' options to be separated
1200      by commas. Add 'namopt' and 'certopt' options to the 'ca' config
1201      file: this allows the display of the certificate about to be
1202      signed to be customised, to allow certain fields to be included
1203      or excluded and extension details. The old system didn't display
1204      multicharacter strings properly, omitted fields not in the policy
1205      and couldn't display additional details such as extensions.
1206      [Steve Henson]
1207
1208   *) Function EC_POINTs_mul for multiple scalar multiplication
1209      of an arbitrary number of elliptic curve points
1210           \sum scalars[i]*points[i],
1211      optionally including the generator defined for the EC_GROUP:
1212           scalar*generator +  \sum scalars[i]*points[i].
1213
1214      EC_POINT_mul is a simple wrapper function for the typical case
1215      that the point list has just one item (besides the optional
1216      generator).
1217      [Bodo Moeller]
1218
1219   *) First EC_METHODs for curves over GF(p):
1220
1221      EC_GFp_simple_method() uses the basic BN_mod_mul and BN_mod_sqr
1222      operations and provides various method functions that can also
1223      operate with faster implementations of modular arithmetic.     
1224
1225      EC_GFp_mont_method() reuses most functions that are part of
1226      EC_GFp_simple_method, but uses Montgomery arithmetic.
1227
1228      [Bodo Moeller; point addition and point doubling
1229      implementation directly derived from source code provided by
1230      Lenka Fibikova <fibikova@exp-math.uni-essen.de>]
1231
1232   *) Framework for elliptic curves (crypto/ec/ec.h, crypto/ec/ec_lcl.h,
1233      crypto/ec/ec_lib.c):
1234
1235      Curves are EC_GROUP objects (with an optional group generator)
1236      based on EC_METHODs that are built into the library.
1237
1238      Points are EC_POINT objects based on EC_GROUP objects.
1239
1240      Most of the framework would be able to handle curves over arbitrary
1241      finite fields, but as there are no obvious types for fields other
1242      than GF(p), some functions are limited to that for now.
1243      [Bodo Moeller]
1244
1245   *) Add the -HTTP option to s_server.  It is similar to -WWW, but requires
1246      that the file contains a complete HTTP response.
1247      [Richard Levitte]
1248
1249   *) Add the ec directory to mkdef.pl and mkfiles.pl. In mkdef.pl
1250      change the def and num file printf format specifier from "%-40sXXX"
1251      to "%-39s XXX". The latter will always guarantee a space after the
1252      field while the former will cause them to run together if the field
1253      is 40 of more characters long.
1254      [Steve Henson]
1255
1256   *) Constify the cipher and digest 'method' functions and structures
1257      and modify related functions to take constant EVP_MD and EVP_CIPHER
1258      pointers.
1259      [Steve Henson]
1260
1261   *) Hide BN_CTX structure details in bn_lcl.h instead of publishing them
1262      in <openssl/bn.h>.  Also further increase BN_CTX_NUM to 32.
1263      [Bodo Moeller]
1264
1265   *) Modify EVP_Digest*() routines so they now return values. Although the
1266      internal software routines can never fail additional hardware versions
1267      might.
1268      [Steve Henson]
1269
1270   *) Clean up crypto/err/err.h and change some error codes to avoid conflicts:
1271
1272      Previously ERR_R_FATAL was too small and coincided with ERR_LIB_PKCS7
1273      (= ERR_R_PKCS7_LIB); it is now 64 instead of 32.
1274
1275      ASN1 error codes
1276           ERR_R_NESTED_ASN1_ERROR
1277           ...
1278           ERR_R_MISSING_ASN1_EOS
1279      were 4 .. 9, conflicting with
1280           ERR_LIB_RSA (= ERR_R_RSA_LIB)
1281           ...
1282           ERR_LIB_PEM (= ERR_R_PEM_LIB).
1283      They are now 58 .. 63 (i.e., just below ERR_R_FATAL).
1284
1285      Add new error code 'ERR_R_INTERNAL_ERROR'.
1286      [Bodo Moeller]
1287
1288   *) Don't overuse locks in crypto/err/err.c: For data retrieval, CRYPTO_r_lock
1289      suffices.
1290      [Bodo Moeller]
1291
1292   *) New option '-subj arg' for 'openssl req' and 'openssl ca'.  This
1293      sets the subject name for a new request or supersedes the
1294      subject name in a given request. Formats that can be parsed are
1295           'CN=Some Name, OU=myOU, C=IT'
1296      and
1297           'CN=Some Name/OU=myOU/C=IT'.
1298
1299      Add options '-batch' and '-verbose' to 'openssl req'.
1300      [Massimiliano Pala <madwolf@hackmasters.net>]
1301
1302   *) Introduce the possibility to access global variables through
1303      functions on platform were that's the best way to handle exporting
1304      global variables in shared libraries.  To enable this functionality,
1305      one must configure with "EXPORT_VAR_AS_FN" or defined the C macro
1306      "OPENSSL_EXPORT_VAR_AS_FUNCTION" in crypto/opensslconf.h (the latter
1307      is normally done by Configure or something similar).
1308
1309      To implement a global variable, use the macro OPENSSL_IMPLEMENT_GLOBAL
1310      in the source file (foo.c) like this:
1311
1312         OPENSSL_IMPLEMENT_GLOBAL(int,foo)=1;
1313         OPENSSL_IMPLEMENT_GLOBAL(double,bar);
1314
1315      To declare a global variable, use the macros OPENSSL_DECLARE_GLOBAL
1316      and OPENSSL_GLOBAL_REF in the header file (foo.h) like this:
1317
1318         OPENSSL_DECLARE_GLOBAL(int,foo);
1319         #define foo OPENSSL_GLOBAL_REF(foo)
1320         OPENSSL_DECLARE_GLOBAL(double,bar);
1321         #define bar OPENSSL_GLOBAL_REF(bar)
1322
1323      The #defines are very important, and therefore so is including the
1324      header file everywhere where the defined globals are used.
1325
1326      The macro OPENSSL_EXPORT_VAR_AS_FUNCTION also affects the definition
1327      of ASN.1 items, but that structure is a bit different.
1328
1329      The largest change is in util/mkdef.pl which has been enhanced with
1330      better and easier to understand logic to choose which symbols should
1331      go into the Windows .def files as well as a number of fixes and code
1332      cleanup (among others, algorithm keywords are now sorted
1333      lexicographically to avoid constant rewrites).
1334      [Richard Levitte]
1335
1336   *) In BN_div() keep a copy of the sign of 'num' before writing the
1337      result to 'rm' because if rm==num the value will be overwritten
1338      and produce the wrong result if 'num' is negative: this caused
1339      problems with BN_mod() and BN_nnmod().
1340      [Steve Henson]
1341
1342   *) Function OCSP_request_verify(). This checks the signature on an
1343      OCSP request and verifies the signer certificate. The signer
1344      certificate is just checked for a generic purpose and OCSP request
1345      trust settings.
1346      [Steve Henson]
1347
1348   *) Add OCSP_check_validity() function to check the validity of OCSP
1349      responses. OCSP responses are prepared in real time and may only
1350      be a few seconds old. Simply checking that the current time lies
1351      between thisUpdate and nextUpdate max reject otherwise valid responses
1352      caused by either OCSP responder or client clock inaccuracy. Instead
1353      we allow thisUpdate and nextUpdate to fall within a certain period of
1354      the current time. The age of the response can also optionally be
1355      checked. Two new options -validity_period and -status_age added to
1356      ocsp utility.
1357      [Steve Henson]
1358
1359   *) If signature or public key algorithm is unrecognized print out its
1360      OID rather that just UNKNOWN.
1361      [Steve Henson]
1362
1363   *) Change OCSP_cert_to_id() to tolerate a NULL subject certificate and
1364      OCSP_cert_id_new() a NULL serialNumber. This allows a partial certificate
1365      ID to be generated from the issuer certificate alone which can then be
1366      passed to OCSP_id_issuer_cmp().
1367      [Steve Henson]
1368
1369   *) New compilation option ASN1_ITEM_FUNCTIONS. This causes the new
1370      ASN1 modules to export functions returning ASN1_ITEM pointers
1371      instead of the ASN1_ITEM structures themselves. This adds several
1372      new macros which allow the underlying ASN1 function/structure to
1373      be accessed transparently. As a result code should not use ASN1_ITEM
1374      references directly (such as &X509_it) but instead use the relevant
1375      macros (such as ASN1_ITEM_rptr(X509)). This option is to allow
1376      use of the new ASN1 code on platforms where exporting structures
1377      is problematical (for example in shared libraries) but exporting
1378      functions returning pointers to structures is not.
1379      [Steve Henson]
1380
1381   *) Add support for overriding the generation of SSL/TLS session IDs.
1382      These callbacks can be registered either in an SSL_CTX or per SSL.
1383      The purpose of this is to allow applications to control, if they wish,
1384      the arbitrary values chosen for use as session IDs, particularly as it
1385      can be useful for session caching in multiple-server environments. A
1386      command-line switch for testing this (and any client code that wishes
1387      to use such a feature) has been added to "s_server".
1388      [Geoff Thorpe, Lutz Jaenicke]
1389
1390   *) Modify mkdef.pl to recognise and parse preprocessor conditionals
1391      of the form '#if defined(...) || defined(...) || ...' and
1392      '#if !defined(...) && !defined(...) && ...'.  This also avoids
1393      the growing number of special cases it was previously handling.
1394      [Richard Levitte]
1395
1396   *) Make all configuration macros available for application by making
1397      sure they are available in opensslconf.h, by giving them names starting
1398      with "OPENSSL_" to avoid conflicts with other packages and by making
1399      sure e_os2.h will cover all platform-specific cases together with
1400      opensslconf.h.
1401      Additionally, it is now possible to define configuration/platform-
1402      specific names (called "system identities").  In the C code, these
1403      are prefixed with "OPENSSL_SYSNAME_".  e_os2.h will create another
1404      macro with the name beginning with "OPENSSL_SYS_", which is determined
1405      from "OPENSSL_SYSNAME_*" or compiler-specific macros depending on
1406      what is available.
1407      [Richard Levitte]
1408
1409   *) New option -set_serial to 'req' and 'x509' this allows the serial
1410      number to use to be specified on the command line. Previously self
1411      signed certificates were hard coded with serial number 0 and the 
1412      CA options of 'x509' had to use a serial number in a file which was
1413      auto incremented.
1414      [Steve Henson]
1415
1416   *) New options to 'ca' utility to support V2 CRL entry extensions.
1417      Currently CRL reason, invalidity date and hold instruction are
1418      supported. Add new CRL extensions to V3 code and some new objects.
1419      [Steve Henson]
1420
1421   *) New function EVP_CIPHER_CTX_set_padding() this is used to
1422      disable standard block padding (aka PKCS#5 padding) in the EVP
1423      API, which was previously mandatory. This means that the data is
1424      not padded in any way and so the total length much be a multiple
1425      of the block size, otherwise an error occurs.
1426      [Steve Henson]
1427
1428   *) Initial (incomplete) OCSP SSL support.
1429      [Steve Henson]
1430
1431   *) New function OCSP_parse_url(). This splits up a URL into its host,
1432      port and path components: primarily to parse OCSP URLs. New -url
1433      option to ocsp utility.
1434      [Steve Henson]
1435
1436   *) New nonce behavior. The return value of OCSP_check_nonce() now 
1437      reflects the various checks performed. Applications can decide
1438      whether to tolerate certain situations such as an absent nonce
1439      in a response when one was present in a request: the ocsp application
1440      just prints out a warning. New function OCSP_add1_basic_nonce()
1441      this is to allow responders to include a nonce in a response even if
1442      the request is nonce-less.
1443      [Steve Henson]
1444
1445   *) Disable stdin buffering in load_cert (apps/apps.c) so that no certs are
1446      skipped when using openssl x509 multiple times on a single input file,
1447      e.g. "(openssl x509 -out cert1; openssl x509 -out cert2) <certs".
1448      [Bodo Moeller]
1449
1450   *) Make ASN1_UTCTIME_set_string() and ASN1_GENERALIZEDTIME_set_string()
1451      set string type: to handle setting ASN1_TIME structures. Fix ca
1452      utility to correctly initialize revocation date of CRLs.
1453      [Steve Henson]
1454
1455   *) New option SSL_OP_CIPHER_SERVER_PREFERENCE allows the server to override
1456      the clients preferred ciphersuites and rather use its own preferences.
1457      Should help to work around M$ SGC (Server Gated Cryptography) bug in
1458      Internet Explorer by ensuring unchanged hash method during stepup.
1459      (Also replaces the broken/deactivated SSL_OP_NON_EXPORT_FIRST option.)
1460      [Lutz Jaenicke]
1461
1462   *) Make mkdef.pl recognise all DECLARE_ASN1 macros, change rijndael
1463      to aes and add a new 'exist' option to print out symbols that don't
1464      appear to exist.
1465      [Steve Henson]
1466
1467   *) Additional options to ocsp utility to allow flags to be set and
1468      additional certificates supplied.
1469      [Steve Henson]
1470
1471   *) Add the option -VAfile to 'openssl ocsp', so the user can give the
1472      OCSP client a number of certificate to only verify the response
1473      signature against.
1474      [Richard Levitte]
1475
1476   *) Update Rijndael code to version 3.0 and change EVP AES ciphers to
1477      handle the new API. Currently only ECB, CBC modes supported. Add new
1478      AES OIDs.
1479
1480      Add TLS AES ciphersuites as described in RFC3268, "Advanced
1481      Encryption Standard (AES) Ciphersuites for Transport Layer
1482      Security (TLS)".  (In beta versions of OpenSSL 0.9.7, these were
1483      not enabled by default and were not part of the "ALL" ciphersuite
1484      alias because they were not yet official; they could be
1485      explicitly requested by specifying the "AESdraft" ciphersuite
1486      group alias.  In the final release of OpenSSL 0.9.7, the group
1487      alias is called "AES" and is part of "ALL".)
1488      [Ben Laurie, Steve  Henson, Bodo Moeller]
1489
1490   *) New function OCSP_copy_nonce() to copy nonce value (if present) from
1491      request to response.
1492      [Steve Henson]
1493
1494   *) Functions for OCSP responders. OCSP_request_onereq_count(),
1495      OCSP_request_onereq_get0(), OCSP_onereq_get0_id() and OCSP_id_get0_info()
1496      extract information from a certificate request. OCSP_response_create()
1497      creates a response and optionally adds a basic response structure.
1498      OCSP_basic_add1_status() adds a complete single response to a basic
1499      response and returns the OCSP_SINGLERESP structure just added (to allow
1500      extensions to be included for example). OCSP_basic_add1_cert() adds a
1501      certificate to a basic response and OCSP_basic_sign() signs a basic
1502      response with various flags. New helper functions ASN1_TIME_check()
1503      (checks validity of ASN1_TIME structure) and ASN1_TIME_to_generalizedtime()
1504      (converts ASN1_TIME to GeneralizedTime).
1505      [Steve Henson]
1506
1507   *) Various new functions. EVP_Digest() combines EVP_Digest{Init,Update,Final}()
1508      in a single operation. X509_get0_pubkey_bitstr() extracts the public_key
1509      structure from a certificate. X509_pubkey_digest() digests the public_key
1510      contents: this is used in various key identifiers. 
1511      [Steve Henson]
1512
1513   *) Make sk_sort() tolerate a NULL argument.
1514      [Steve Henson reported by Massimiliano Pala <madwolf@comune.modena.it>]
1515
1516   *) New OCSP verify flag OCSP_TRUSTOTHER. When set the "other" certificates
1517      passed by the function are trusted implicitly. If any of them signed the
1518      response then it is assumed to be valid and is not verified.
1519      [Steve Henson]
1520
1521   *) In PKCS7_set_type() initialise content_type in PKCS7_ENC_CONTENT
1522      to data. This was previously part of the PKCS7 ASN1 code. This
1523      was causing problems with OpenSSL created PKCS#12 and PKCS#7 structures.
1524      [Steve Henson, reported by Kenneth R. Robinette
1525                                 <support@securenetterm.com>]
1526
1527   *) Add CRYPTO_push_info() and CRYPTO_pop_info() calls to new ASN1
1528      routines: without these tracing memory leaks is very painful.
1529      Fix leaks in PKCS12 and PKCS7 routines.
1530      [Steve Henson]
1531
1532   *) Make X509_time_adj() cope with the new behaviour of ASN1_TIME_new().
1533      Previously it initialised the 'type' argument to V_ASN1_UTCTIME which
1534      effectively meant GeneralizedTime would never be used. Now it
1535      is initialised to -1 but X509_time_adj() now has to check the value
1536      and use ASN1_TIME_set() if the value is not V_ASN1_UTCTIME or
1537      V_ASN1_GENERALIZEDTIME, without this it always uses GeneralizedTime.
1538      [Steve Henson, reported by Kenneth R. Robinette
1539                                 <support@securenetterm.com>]
1540
1541   *) Fixes to BN_to_ASN1_INTEGER when bn is zero. This would previously
1542      result in a zero length in the ASN1_INTEGER structure which was
1543      not consistent with the structure when d2i_ASN1_INTEGER() was used
1544      and would cause ASN1_INTEGER_cmp() to fail. Enhance s2i_ASN1_INTEGER()
1545      to cope with hex and negative integers. Fix bug in i2a_ASN1_INTEGER()
1546      where it did not print out a minus for negative ASN1_INTEGER.
1547      [Steve Henson]
1548
1549   *) Add summary printout to ocsp utility. The various functions which
1550      convert status values to strings have been renamed to:
1551      OCSP_response_status_str(), OCSP_cert_status_str() and
1552      OCSP_crl_reason_str() and are no longer static. New options
1553      to verify nonce values and to disable verification. OCSP response
1554      printout format cleaned up.
1555      [Steve Henson]
1556
1557   *) Add additional OCSP certificate checks. These are those specified
1558      in RFC2560. This consists of two separate checks: the CA of the
1559      certificate being checked must either be the OCSP signer certificate
1560      or the issuer of the OCSP signer certificate. In the latter case the
1561      OCSP signer certificate must contain the OCSP signing extended key
1562      usage. This check is performed by attempting to match the OCSP
1563      signer or the OCSP signer CA to the issuerNameHash and issuerKeyHash
1564      in the OCSP_CERTID structures of the response.
1565      [Steve Henson]
1566
1567   *) Initial OCSP certificate verification added to OCSP_basic_verify()
1568      and related routines. This uses the standard OpenSSL certificate
1569      verify routines to perform initial checks (just CA validity) and
1570      to obtain the certificate chain. Then additional checks will be
1571      performed on the chain. Currently the root CA is checked to see
1572      if it is explicitly trusted for OCSP signing. This is used to set
1573      a root CA as a global signing root: that is any certificate that
1574      chains to that CA is an acceptable OCSP signing certificate.
1575      [Steve Henson]
1576
1577   *) New '-extfile ...' option to 'openssl ca' for reading X.509v3
1578      extensions from a separate configuration file.
1579      As when reading extensions from the main configuration file,
1580      the '-extensions ...' option may be used for specifying the
1581      section to use.
1582      [Massimiliano Pala <madwolf@comune.modena.it>]
1583
1584   *) New OCSP utility. Allows OCSP requests to be generated or
1585      read. The request can be sent to a responder and the output
1586      parsed, outputed or printed in text form. Not complete yet:
1587      still needs to check the OCSP response validity.
1588      [Steve Henson]
1589
1590   *) New subcommands for 'openssl ca':
1591      'openssl ca -status <serial>' prints the status of the cert with
1592      the given serial number (according to the index file).
1593      'openssl ca -updatedb' updates the expiry status of certificates
1594      in the index file.
1595      [Massimiliano Pala <madwolf@comune.modena.it>]
1596
1597   *) New '-newreq-nodes' command option to CA.pl.  This is like
1598      '-newreq', but calls 'openssl req' with the '-nodes' option
1599      so that the resulting key is not encrypted.
1600      [Damien Miller <djm@mindrot.org>]
1601
1602   *) New configuration for the GNU Hurd.
1603      [Jonathan Bartlett <johnnyb@wolfram.com> via Richard Levitte]
1604
1605   *) Initial code to implement OCSP basic response verify. This
1606      is currently incomplete. Currently just finds the signer's
1607      certificate and verifies the signature on the response.
1608      [Steve Henson]
1609
1610   *) New SSLeay_version code SSLEAY_DIR to determine the compiled-in
1611      value of OPENSSLDIR.  This is available via the new '-d' option
1612      to 'openssl version', and is also included in 'openssl version -a'.
1613      [Bodo Moeller]
1614
1615   *) Allowing defining memory allocation callbacks that will be given
1616      file name and line number information in additional arguments
1617      (a const char* and an int).  The basic functionality remains, as
1618      well as the original possibility to just replace malloc(),
1619      realloc() and free() by functions that do not know about these
1620      additional arguments.  To register and find out the current
1621      settings for extended allocation functions, the following
1622      functions are provided:
1623
1624         CRYPTO_set_mem_ex_functions
1625         CRYPTO_set_locked_mem_ex_functions
1626         CRYPTO_get_mem_ex_functions
1627         CRYPTO_get_locked_mem_ex_functions
1628
1629      These work the same way as CRYPTO_set_mem_functions and friends.
1630      CRYPTO_get_[locked_]mem_functions now writes 0 where such an
1631      extended allocation function is enabled.
1632      Similarly, CRYPTO_get_[locked_]mem_ex_functions writes 0 where
1633      a conventional allocation function is enabled.
1634      [Richard Levitte, Bodo Moeller]
1635
1636   *) Finish off removing the remaining LHASH function pointer casts.
1637      There should no longer be any prototype-casting required when using
1638      the LHASH abstraction, and any casts that remain are "bugs". See
1639      the callback types and macros at the head of lhash.h for details
1640      (and "OBJ_cleanup" in crypto/objects/obj_dat.c as an example).
1641      [Geoff Thorpe]
1642
1643   *) Add automatic query of EGD sockets in RAND_poll() for the unix variant.
1644      If /dev/[u]random devices are not available or do not return enough
1645      entropy, EGD style sockets (served by EGD or PRNGD) will automatically
1646      be queried.
1647      The locations /var/run/egd-pool, /dev/egd-pool, /etc/egd-pool, and
1648      /etc/entropy will be queried once each in this sequence, quering stops
1649      when enough entropy was collected without querying more sockets.
1650      [Lutz Jaenicke]
1651
1652   *) Change the Unix RAND_poll() variant to be able to poll several
1653      random devices, as specified by DEVRANDOM, until a sufficient amount
1654      of data has been collected.   We spend at most 10 ms on each file
1655      (select timeout) and read in non-blocking mode.  DEVRANDOM now
1656      defaults to the list "/dev/urandom", "/dev/random", "/dev/srandom"
1657      (previously it was just the string "/dev/urandom"), so on typical
1658      platforms the 10 ms delay will never occur.
1659      Also separate out the Unix variant to its own file, rand_unix.c.
1660      For VMS, there's a currently-empty rand_vms.c.
1661      [Richard Levitte]
1662
1663   *) Move OCSP client related routines to ocsp_cl.c. These
1664      provide utility functions which an application needing
1665      to issue a request to an OCSP responder and analyse the
1666      response will typically need: as opposed to those which an
1667      OCSP responder itself would need which will be added later.
1668
1669      OCSP_request_sign() signs an OCSP request with an API similar
1670      to PKCS7_sign(). OCSP_response_status() returns status of OCSP
1671      response. OCSP_response_get1_basic() extracts basic response
1672      from response. OCSP_resp_find_status(): finds and extracts status
1673      information from an OCSP_CERTID structure (which will be created
1674      when the request structure is built). These are built from lower
1675      level functions which work on OCSP_SINGLERESP structures but
1676      wont normally be used unless the application wishes to examine
1677      extensions in the OCSP response for example.
1678
1679      Replace nonce routines with a pair of functions.
1680      OCSP_request_add1_nonce() adds a nonce value and optionally
1681      generates a random value. OCSP_check_nonce() checks the
1682      validity of the nonce in an OCSP response.
1683      [Steve Henson]
1684
1685   *) Change function OCSP_request_add() to OCSP_request_add0_id().
1686      This doesn't copy the supplied OCSP_CERTID and avoids the
1687      need to free up the newly created id. Change return type
1688      to OCSP_ONEREQ to return the internal OCSP_ONEREQ structure.
1689      This can then be used to add extensions to the request.
1690      Deleted OCSP_request_new(), since most of its functionality
1691      is now in OCSP_REQUEST_new() (and the case insensitive name
1692      clash) apart from the ability to set the request name which
1693      will be added elsewhere.
1694      [Steve Henson]
1695
1696   *) Update OCSP API. Remove obsolete extensions argument from
1697      various functions. Extensions are now handled using the new
1698      OCSP extension code. New simple OCSP HTTP function which 
1699      can be used to send requests and parse the response.
1700      [Steve Henson]
1701
1702   *) Fix the PKCS#7 (S/MIME) code to work with new ASN1. Two new
1703      ASN1_ITEM structures help with sign and verify. PKCS7_ATTR_SIGN
1704      uses the special reorder version of SET OF to sort the attributes
1705      and reorder them to match the encoded order. This resolves a long
1706      standing problem: a verify on a PKCS7 structure just after signing
1707      it used to fail because the attribute order did not match the
1708      encoded order. PKCS7_ATTR_VERIFY does not reorder the attributes:
1709      it uses the received order. This is necessary to tolerate some broken
1710      software that does not order SET OF. This is handled by encoding
1711      as a SEQUENCE OF but using implicit tagging (with UNIVERSAL class)
1712      to produce the required SET OF.
1713      [Steve Henson]
1714
1715   *) Have mk1mf.pl generate the macros OPENSSL_BUILD_SHLIBCRYPTO and
1716      OPENSSL_BUILD_SHLIBSSL and use them appropriately in the header
1717      files to get correct declarations of the ASN.1 item variables.
1718      [Richard Levitte]
1719
1720   *) Rewrite of PKCS#12 code to use new ASN1 functionality. Replace many
1721      PKCS#12 macros with real functions. Fix two unrelated ASN1 bugs:
1722      asn1_check_tlen() would sometimes attempt to use 'ctx' when it was
1723      NULL and ASN1_TYPE was not dereferenced properly in asn1_ex_c2i().
1724      New ASN1 macro: DECLARE_ASN1_ITEM() which just declares the relevant
1725      ASN1_ITEM and no wrapper functions.
1726      [Steve Henson]
1727
1728   *) New functions or ASN1_item_d2i_fp() and ASN1_item_d2i_bio(). These
1729      replace the old function pointer based I/O routines. Change most of
1730      the *_d2i_bio() and *_d2i_fp() functions to use these.
1731      [Steve Henson]
1732
1733   *) Enhance mkdef.pl to be more accepting about spacing in C preprocessor
1734      lines, recognice more "algorithms" that can be deselected, and make
1735      it complain about algorithm deselection that isn't recognised.
1736      [Richard Levitte]
1737
1738   *) New ASN1 functions to handle dup, sign, verify, digest, pack and
1739      unpack operations in terms of ASN1_ITEM. Modify existing wrappers
1740      to use new functions. Add NO_ASN1_OLD which can be set to remove
1741      some old style ASN1 functions: this can be used to determine if old
1742      code will still work when these eventually go away.
1743      [Steve Henson]
1744
1745   *) New extension functions for OCSP structures, these follow the
1746      same conventions as certificates and CRLs.
1747      [Steve Henson]
1748
1749   *) New function X509V3_add1_i2d(). This automatically encodes and
1750      adds an extension. Its behaviour can be customised with various
1751      flags to append, replace or delete. Various wrappers added for
1752      certifcates and CRLs.
1753      [Steve Henson]
1754
1755   *) Fix to avoid calling the underlying ASN1 print routine when
1756      an extension cannot be parsed. Correct a typo in the
1757      OCSP_SERVICELOC extension. Tidy up print OCSP format.
1758      [Steve Henson]
1759
1760   *) Make mkdef.pl parse some of the ASN1 macros and add apropriate
1761      entries for variables.
1762      [Steve Henson]
1763
1764   *) Add functionality to apps/openssl.c for detecting locking
1765      problems: As the program is single-threaded, all we have
1766      to do is register a locking callback using an array for
1767      storing which locks are currently held by the program.
1768      [Bodo Moeller]
1769
1770   *) Use a lock around the call to CRYPTO_get_ex_new_index() in
1771      SSL_get_ex_data_X509_STORE_idx(), which is used in
1772      ssl_verify_cert_chain() and thus can be called at any time
1773      during TLS/SSL handshakes so that thread-safety is essential.
1774      Unfortunately, the ex_data design is not at all suited
1775      for multi-threaded use, so it probably should be abolished.
1776      [Bodo Moeller]
1777
1778   *) Added Broadcom "ubsec" ENGINE to OpenSSL.
1779      [Broadcom, tweaked and integrated by Geoff Thorpe]
1780
1781   *) Move common extension printing code to new function
1782      X509V3_print_extensions(). Reorganise OCSP print routines and
1783      implement some needed OCSP ASN1 functions. Add OCSP extensions.
1784      [Steve Henson]
1785
1786   *) New function X509_signature_print() to remove duplication in some
1787      print routines.
1788      [Steve Henson]
1789
1790   *) Add a special meaning when SET OF and SEQUENCE OF flags are both
1791      set (this was treated exactly the same as SET OF previously). This
1792      is used to reorder the STACK representing the structure to match the
1793      encoding. This will be used to get round a problem where a PKCS7
1794      structure which was signed could not be verified because the STACK
1795      order did not reflect the encoded order.
1796      [Steve Henson]
1797
1798   *) Reimplement the OCSP ASN1 module using the new code.
1799      [Steve Henson]
1800
1801   *) Update the X509V3 code to permit the use of an ASN1_ITEM structure
1802      for its ASN1 operations. The old style function pointers still exist
1803      for now but they will eventually go away.
1804      [Steve Henson]
1805
1806   *) Merge in replacement ASN1 code from the ASN1 branch. This almost
1807      completely replaces the old ASN1 functionality with a table driven
1808      encoder and decoder which interprets an ASN1_ITEM structure describing
1809      the ASN1 module. Compatibility with the existing ASN1 API (i2d,d2i) is
1810      largely maintained. Almost all of the old asn1_mac.h macro based ASN1
1811      has also been converted to the new form.
1812      [Steve Henson]
1813
1814   *) Change BN_mod_exp_recp so that negative moduli are tolerated
1815      (the sign is ignored).  Similarly, ignore the sign in BN_MONT_CTX_set
1816      so that BN_mod_exp_mont and BN_mod_exp_mont_word work
1817      for negative moduli.
1818      [Bodo Moeller]
1819
1820   *) Fix BN_uadd and BN_usub: Always return non-negative results instead
1821      of not touching the result's sign bit.
1822      [Bodo Moeller]
1823
1824   *) BN_div bugfix: If the result is 0, the sign (res->neg) must not be
1825      set.
1826      [Bodo Moeller]
1827
1828   *) Changed the LHASH code to use prototypes for callbacks, and created
1829      macros to declare and implement thin (optionally static) functions
1830      that provide type-safety and avoid function pointer casting for the
1831      type-specific callbacks.
1832      [Geoff Thorpe]
1833
1834   *) Added Kerberos Cipher Suites to be used with TLS, as written in
1835      RFC 2712.
1836      [Veers Staats <staatsvr@asc.hpc.mil>,
1837       Jeffrey Altman <jaltman@columbia.edu>, via Richard Levitte]
1838
1839   *) Reformat the FAQ so the different questions and answers can be divided
1840      in sections depending on the subject.
1841      [Richard Levitte]
1842
1843   *) Have the zlib compression code load ZLIB.DLL dynamically under
1844      Windows.
1845      [Richard Levitte]
1846
1847   *) New function BN_mod_sqrt for computing square roots modulo a prime
1848      (using the probabilistic Tonelli-Shanks algorithm unless
1849      p == 3 (mod 4)  or  p == 5 (mod 8),  which are cases that can
1850      be handled deterministically).
1851      [Lenka Fibikova <fibikova@exp-math.uni-essen.de>, Bodo Moeller]
1852
1853   *) Make BN_mod_inverse faster by explicitly handling small quotients
1854      in the Euclid loop. (Speed gain about 20% for small moduli [256 or
1855      512 bits], about 30% for larger ones [1024 or 2048 bits].)
1856      [Bodo Moeller]
1857
1858   *) New function BN_kronecker.
1859      [Bodo Moeller]
1860
1861   *) Fix BN_gcd so that it works on negative inputs; the result is
1862      positive unless both parameters are zero.
1863      Previously something reasonably close to an infinite loop was
1864      possible because numbers could be growing instead of shrinking
1865      in the implementation of Euclid's algorithm.
1866      [Bodo Moeller]
1867
1868   *) Fix BN_is_word() and BN_is_one() macros to take into account the
1869      sign of the number in question.
1870
1871      Fix BN_is_word(a,w) to work correctly for w == 0.
1872
1873      The old BN_is_word(a,w) macro is now called BN_abs_is_word(a,w)
1874      because its test if the absolute value of 'a' equals 'w'.
1875      Note that BN_abs_is_word does *not* handle w == 0 reliably;
1876      it exists mostly for use in the implementations of BN_is_zero(),
1877      BN_is_one(), and BN_is_word().
1878      [Bodo Moeller]
1879
1880   *) New function BN_swap.
1881      [Bodo Moeller]
1882
1883   *) Use BN_nnmod instead of BN_mod in crypto/bn/bn_exp.c so that
1884      the exponentiation functions are more likely to produce reasonable
1885      results on negative inputs.
1886      [Bodo Moeller]
1887
1888   *) Change BN_mod_mul so that the result is always non-negative.
1889      Previously, it could be negative if one of the factors was negative;
1890      I don't think anyone really wanted that behaviour.
1891      [Bodo Moeller]
1892
1893   *) Move BN_mod_... functions into new file crypto/bn/bn_mod.c
1894      (except for exponentiation, which stays in crypto/bn/bn_exp.c,
1895      and BN_mod_mul_reciprocal, which stays in crypto/bn/bn_recp.c)
1896      and add new functions:
1897
1898           BN_nnmod
1899           BN_mod_sqr
1900           BN_mod_add
1901           BN_mod_add_quick
1902           BN_mod_sub
1903           BN_mod_sub_quick
1904           BN_mod_lshift1
1905           BN_mod_lshift1_quick
1906           BN_mod_lshift
1907           BN_mod_lshift_quick
1908
1909      These functions always generate non-negative results.
1910
1911      BN_nnmod otherwise is like BN_mod (if BN_mod computes a remainder  r
1912      such that  |m| < r < 0,  BN_nnmod will output  rem + |m|  instead).
1913
1914      BN_mod_XXX_quick(r, a, [b,] m) generates the same result as
1915      BN_mod_XXX(r, a, [b,] m, ctx), but requires that  a  [and  b]
1916      be reduced modulo  m.
1917      [Lenka Fibikova <fibikova@exp-math.uni-essen.de>, Bodo Moeller]
1918
1919 #if 0
1920      The following entry accidentily appeared in the CHANGES file
1921      distributed with OpenSSL 0.9.7.  The modifications described in
1922      it do *not* apply to OpenSSL 0.9.7.
1923
1924   *) Remove a few calls to bn_wexpand() in BN_sqr() (the one in there
1925      was actually never needed) and in BN_mul().  The removal in BN_mul()
1926      required a small change in bn_mul_part_recursive() and the addition
1927      of the functions bn_cmp_part_words(), bn_sub_part_words() and
1928      bn_add_part_words(), which do the same thing as bn_cmp_words(),
1929      bn_sub_words() and bn_add_words() except they take arrays with
1930      differing sizes.
1931      [Richard Levitte]
1932 #endif
1933
1934   *) In 'openssl passwd', verify passwords read from the terminal
1935      unless the '-salt' option is used (which usually means that
1936      verification would just waste user's time since the resulting
1937      hash is going to be compared with some given password hash)
1938      or the new '-noverify' option is used.
1939
1940      This is an incompatible change, but it does not affect
1941      non-interactive use of 'openssl passwd' (passwords on the command
1942      line, '-stdin' option, '-in ...' option) and thus should not
1943      cause any problems.
1944      [Bodo Moeller]
1945
1946   *) Remove all references to RSAref, since there's no more need for it.
1947      [Richard Levitte]
1948
1949   *) Make DSO load along a path given through an environment variable
1950      (SHLIB_PATH) with shl_load().
1951      [Richard Levitte]
1952
1953   *) Constify the ENGINE code as a result of BIGNUM constification.
1954      Also constify the RSA code and most things related to it.  In a
1955      few places, most notable in the depth of the ASN.1 code, ugly
1956      casts back to non-const were required (to be solved at a later
1957      time)
1958      [Richard Levitte]
1959
1960   *) Make it so the openssl application has all engines loaded by default.
1961      [Richard Levitte]
1962
1963   *) Constify the BIGNUM routines a little more.
1964      [Richard Levitte]
1965
1966   *) Add the following functions:
1967
1968         ENGINE_load_cswift()
1969         ENGINE_load_chil()
1970         ENGINE_load_atalla()
1971         ENGINE_load_nuron()
1972         ENGINE_load_builtin_engines()
1973
1974      That way, an application can itself choose if external engines that
1975      are built-in in OpenSSL shall ever be used or not.  The benefit is
1976      that applications won't have to be linked with libdl or other dso
1977      libraries unless it's really needed.
1978
1979      Changed 'openssl engine' to load all engines on demand.
1980      Changed the engine header files to avoid the duplication of some
1981      declarations (they differed!).
1982      [Richard Levitte]
1983
1984   *) 'openssl engine' can now list capabilities.
1985      [Richard Levitte]
1986
1987   *) Better error reporting in 'openssl engine'.
1988      [Richard Levitte]
1989
1990   *) Never call load_dh_param(NULL) in s_server.
1991      [Bodo Moeller]
1992
1993   *) Add engine application.  It can currently list engines by name and
1994      identity, and test if they are actually available.
1995      [Richard Levitte]
1996
1997   *) Improve RPM specification file by forcing symbolic linking and making
1998      sure the installed documentation is also owned by root.root.
1999      [Damien Miller <djm@mindrot.org>]
2000
2001   *) Give the OpenSSL applications more possibilities to make use of
2002      keys (public as well as private) handled by engines.
2003      [Richard Levitte]
2004
2005   *) Add OCSP code that comes from CertCo.
2006      [Richard Levitte]
2007
2008   *) Add VMS support for the Rijndael code.
2009      [Richard Levitte]
2010
2011   *) Added untested support for Nuron crypto accelerator.
2012      [Ben Laurie]
2013
2014   *) Add support for external cryptographic devices.  This code was
2015      previously distributed separately as the "engine" branch.
2016      [Geoff Thorpe, Richard Levitte]
2017
2018   *) Rework the filename-translation in the DSO code. It is now possible to
2019      have far greater control over how a "name" is turned into a filename
2020      depending on the operating environment and any oddities about the
2021      different shared library filenames on each system.
2022      [Geoff Thorpe]
2023
2024   *) Support threads on FreeBSD-elf in Configure.
2025      [Richard Levitte]
2026
2027   *) Fix for SHA1 assembly problem with MASM: it produces
2028      warnings about corrupt line number information when assembling
2029      with debugging information. This is caused by the overlapping
2030      of two sections.
2031      [Bernd Matthes <mainbug@celocom.de>, Steve Henson]
2032
2033   *) NCONF changes.
2034      NCONF_get_number() has no error checking at all.  As a replacement,
2035      NCONF_get_number_e() is defined (_e for "error checking") and is
2036      promoted strongly.  The old NCONF_get_number is kept around for
2037      binary backward compatibility.
2038      Make it possible for methods to load from something other than a BIO,
2039      by providing a function pointer that is given a name instead of a BIO.
2040      For example, this could be used to load configuration data from an
2041      LDAP server.
2042      [Richard Levitte]
2043
2044   *) Fix for non blocking accept BIOs. Added new I/O special reason
2045      BIO_RR_ACCEPT to cover this case. Previously use of accept BIOs
2046      with non blocking I/O was not possible because no retry code was
2047      implemented. Also added new SSL code SSL_WANT_ACCEPT to cover
2048      this case.
2049      [Steve Henson]
2050
2051   *) Added the beginnings of Rijndael support.
2052      [Ben Laurie]
2053
2054   *) Fix for bug in DirectoryString mask setting. Add support for
2055      X509_NAME_print_ex() in 'req' and X509_print_ex() function
2056      to allow certificate printing to more controllable, additional
2057      'certopt' option to 'x509' to allow new printing options to be
2058      set.
2059      [Steve Henson]
2060
2061   *) Clean old EAY MD5 hack from e_os.h.
2062      [Richard Levitte]
2063
2064  Changes between 0.9.6l and 0.9.6m  [17 Mar 2004]
2065
2066   *) Fix null-pointer assignment in do_change_cipher_spec() revealed
2067      by using the Codenomicon TLS Test Tool (CAN-2004-0079)
2068      [Joe Orton, Steve Henson]
2069
2070  Changes between 0.9.6k and 0.9.6l  [04 Nov 2003]
2071
2072   *) Fix additional bug revealed by the NISCC test suite:
2073
2074      Stop bug triggering large recursion when presented with
2075      certain ASN.1 tags (CAN-2003-0851)
2076      [Steve Henson]
2077
2078  Changes between 0.9.6j and 0.9.6k  [30 Sep 2003]
2079
2080   *) Fix various bugs revealed by running the NISCC test suite:
2081
2082      Stop out of bounds reads in the ASN1 code when presented with
2083      invalid tags (CAN-2003-0543 and CAN-2003-0544).
2084      
2085      If verify callback ignores invalid public key errors don't try to check
2086      certificate signature with the NULL public key.
2087
2088      [Steve Henson]
2089
2090   *) In ssl3_accept() (ssl/s3_srvr.c) only accept a client certificate
2091      if the server requested one: as stated in TLS 1.0 and SSL 3.0
2092      specifications.
2093      [Steve Henson]
2094
2095   *) In ssl3_get_client_hello() (ssl/s3_srvr.c), tolerate additional
2096      extra data after the compression methods not only for TLS 1.0
2097      but also for SSL 3.0 (as required by the specification).
2098      [Bodo Moeller; problem pointed out by Matthias Loepfe]
2099
2100   *) Change X509_certificate_type() to mark the key as exported/exportable
2101      when it's 512 *bits* long, not 512 bytes.
2102      [Richard Levitte]
2103
2104  Changes between 0.9.6i and 0.9.6j  [10 Apr 2003]
2105
2106   *) Countermeasure against the Klima-Pokorny-Rosa extension of
2107      Bleichbacher's attack on PKCS #1 v1.5 padding: treat
2108      a protocol version number mismatch like a decryption error
2109      in ssl3_get_client_key_exchange (ssl/s3_srvr.c).
2110      [Bodo Moeller]
2111
2112   *) Turn on RSA blinding by default in the default implementation
2113      to avoid a timing attack. Applications that don't want it can call
2114      RSA_blinding_off() or use the new flag RSA_FLAG_NO_BLINDING.
2115      They would be ill-advised to do so in most cases.
2116      [Ben Laurie, Steve Henson, Geoff Thorpe, Bodo Moeller]
2117
2118   *) Change RSA blinding code so that it works when the PRNG is not
2119      seeded (in this case, the secret RSA exponent is abused as
2120      an unpredictable seed -- if it is not unpredictable, there
2121      is no point in blinding anyway).  Make RSA blinding thread-safe
2122      by remembering the creator's thread ID in rsa->blinding and
2123      having all other threads use local one-time blinding factors
2124      (this requires more computation than sharing rsa->blinding, but
2125      avoids excessive locking; and if an RSA object is not shared
2126      between threads, blinding will still be very fast).
2127      [Bodo Moeller]
2128
2129  Changes between 0.9.6h and 0.9.6i  [19 Feb 2003]
2130
2131   *) In ssl3_get_record (ssl/s3_pkt.c), minimize information leaked
2132      via timing by performing a MAC computation even if incorrrect
2133      block cipher padding has been found.  This is a countermeasure
2134      against active attacks where the attacker has to distinguish
2135      between bad padding and a MAC verification error. (CAN-2003-0078)
2136
2137      [Bodo Moeller; problem pointed out by Brice Canvel (EPFL),
2138      Alain Hiltgen (UBS), Serge Vaudenay (EPFL), and
2139      Martin Vuagnoux (EPFL, Ilion)]
2140
2141  Changes between 0.9.6g and 0.9.6h  [5 Dec 2002]
2142
2143   *) New function OPENSSL_cleanse(), which is used to cleanse a section of
2144      memory from it's contents.  This is done with a counter that will
2145      place alternating values in each byte.  This can be used to solve
2146      two issues: 1) the removal of calls to memset() by highly optimizing
2147      compilers, and 2) cleansing with other values than 0, since those can
2148      be read through on certain media, for example a swap space on disk.
2149      [Geoff Thorpe]
2150
2151   *) Bugfix: client side session caching did not work with external caching,
2152      because the session->cipher setting was not restored when reloading
2153      from the external cache. This problem was masked, when
2154      SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG (part of SSL_OP_ALL) was set.
2155      (Found by Steve Haslam <steve@araqnid.ddts.net>.)
2156      [Lutz Jaenicke]
2157
2158   *) Fix client_certificate (ssl/s2_clnt.c): The permissible total
2159      length of the REQUEST-CERTIFICATE message is 18 .. 34, not 17 .. 33.
2160      [Zeev Lieber <zeev-l@yahoo.com>]
2161
2162   *) Undo an undocumented change introduced in 0.9.6e which caused
2163      repeated calls to OpenSSL_add_all_ciphers() and 
2164      OpenSSL_add_all_digests() to be ignored, even after calling
2165      EVP_cleanup().
2166      [Richard Levitte]
2167
2168   *) Change the default configuration reader to deal with last line not
2169      being properly terminated.
2170      [Richard Levitte]
2171
2172   *) Change X509_NAME_cmp() so it applies the special rules on handling
2173      DN values that are of type PrintableString, as well as RDNs of type
2174      emailAddress where the value has the type ia5String.
2175      [stefank@valicert.com via Richard Levitte]
2176
2177   *) Add a SSL_SESS_CACHE_NO_INTERNAL_STORE flag to take over half
2178      the job SSL_SESS_CACHE_NO_INTERNAL_LOOKUP was inconsistently
2179      doing, define a new flag (SSL_SESS_CACHE_NO_INTERNAL) to be
2180      the bitwise-OR of the two for use by the majority of applications
2181      wanting this behaviour, and update the docs. The documented
2182      behaviour and actual behaviour were inconsistent and had been
2183      changing anyway, so this is more a bug-fix than a behavioural
2184      change.
2185      [Geoff Thorpe, diagnosed by Nadav Har'El]
2186
2187   *) Don't impose a 16-byte length minimum on session IDs in ssl/s3_clnt.c
2188      (the SSL 3.0 and TLS 1.0 specifications allow any length up to 32 bytes).
2189      [Bodo Moeller]
2190
2191   *) Fix initialization code race conditions in
2192         SSLv23_method(),  SSLv23_client_method(),   SSLv23_server_method(),
2193         SSLv2_method(),   SSLv2_client_method(),    SSLv2_server_method(),
2194         SSLv3_method(),   SSLv3_client_method(),    SSLv3_server_method(),
2195         TLSv1_method(),   TLSv1_client_method(),    TLSv1_server_method(),
2196         ssl2_get_cipher_by_char(),
2197         ssl3_get_cipher_by_char().
2198      [Patrick McCormick <patrick@tellme.com>, Bodo Moeller]
2199
2200   *) Reorder cleanup sequence in SSL_CTX_free(): only remove the ex_data after
2201      the cached sessions are flushed, as the remove_cb() might use ex_data
2202      contents. Bug found by Sam Varshavchik <mrsam@courier-mta.com>
2203      (see [openssl.org #212]).
2204      [Geoff Thorpe, Lutz Jaenicke]
2205
2206   *) Fix typo in OBJ_txt2obj which incorrectly passed the content
2207      length, instead of the encoding length to d2i_ASN1_OBJECT.
2208      [Steve Henson]
2209
2210  Changes between 0.9.6f and 0.9.6g  [9 Aug 2002]
2211
2212   *) [In 0.9.6g-engine release:]
2213      Fix crypto/engine/vendor_defns/cswift.h for WIN32 (use '_stdcall').
2214      [Lynn Gazis <lgazis@rainbow.com>]
2215
2216  Changes between 0.9.6e and 0.9.6f  [8 Aug 2002]
2217
2218   *) Fix ASN1 checks. Check for overflow by comparing with LONG_MAX
2219      and get fix the header length calculation.
2220      [Florian Weimer <Weimer@CERT.Uni-Stuttgart.DE>,
2221         Alon Kantor <alonk@checkpoint.com> (and others),
2222         Steve Henson]
2223
2224   *) Use proper error handling instead of 'assertions' in buffer
2225      overflow checks added in 0.9.6e.  This prevents DoS (the
2226      assertions could call abort()).
2227      [Arne Ansper <arne@ats.cyber.ee>, Bodo Moeller]
2228
2229  Changes between 0.9.6d and 0.9.6e  [30 Jul 2002]
2230
2231   *) Add various sanity checks to asn1_get_length() to reject
2232      the ASN1 length bytes if they exceed sizeof(long), will appear
2233      negative or the content length exceeds the length of the
2234      supplied buffer.
2235      [Steve Henson, Adi Stav <stav@mercury.co.il>, James Yonan <jim@ntlp.com>]
2236
2237   *) Fix cipher selection routines: ciphers without encryption had no flags
2238      for the cipher strength set and where therefore not handled correctly
2239      by the selection routines (PR #130).
2240      [Lutz Jaenicke]
2241
2242   *) Fix EVP_dsa_sha macro.
2243      [Nils Larsch]
2244
2245   *) New option
2246           SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS
2247      for disabling the SSL 3.0/TLS 1.0 CBC vulnerability countermeasure
2248      that was added in OpenSSL 0.9.6d.
2249
2250      As the countermeasure turned out to be incompatible with some
2251      broken SSL implementations, the new option is part of SSL_OP_ALL.
2252      SSL_OP_ALL is usually employed when compatibility with weird SSL
2253      implementations is desired (e.g. '-bugs' option to 's_client' and
2254      's_server'), so the new option is automatically set in many
2255      applications.
2256      [Bodo Moeller]
2257
2258   *) Changes in security patch:
2259
2260      Changes marked "(CHATS)" were sponsored by the Defense Advanced
2261      Research Projects Agency (DARPA) and Air Force Research Laboratory,
2262      Air Force Materiel Command, USAF, under agreement number
2263      F30602-01-2-0537.
2264
2265   *) Add various sanity checks to asn1_get_length() to reject
2266      the ASN1 length bytes if they exceed sizeof(long), will appear
2267      negative or the content length exceeds the length of the
2268      supplied buffer. (CAN-2002-0659)
2269      [Steve Henson, Adi Stav <stav@mercury.co.il>, James Yonan <jim@ntlp.com>]
2270
2271   *) Assertions for various potential buffer overflows, not known to
2272      happen in practice.
2273      [Ben Laurie (CHATS)]
2274
2275   *) Various temporary buffers to hold ASCII versions of integers were
2276      too small for 64 bit platforms. (CAN-2002-0655)
2277      [Matthew Byng-Maddick <mbm@aldigital.co.uk> and Ben Laurie (CHATS)>
2278
2279   *) Remote buffer overflow in SSL3 protocol - an attacker could
2280      supply an oversized session ID to a client. (CAN-2002-0656)
2281      [Ben Laurie (CHATS)]
2282
2283   *) Remote buffer overflow in SSL2 protocol - an attacker could
2284      supply an oversized client master key. (CAN-2002-0656)
2285      [Ben Laurie (CHATS)]
2286
2287  Changes between 0.9.6c and 0.9.6d  [9 May 2002]
2288
2289   *) Fix crypto/asn1/a_sign.c so that 'parameters' is omitted (not
2290      encoded as NULL) with id-dsa-with-sha1.
2291      [Nils Larsch <nla@trustcenter.de>; problem pointed out by Bodo Moeller]
2292
2293   *) Check various X509_...() return values in apps/req.c.
2294      [Nils Larsch <nla@trustcenter.de>]
2295
2296   *) Fix BASE64 decode (EVP_DecodeUpdate) for data with CR/LF ended lines:
2297      an end-of-file condition would erronously be flagged, when the CRLF
2298      was just at the end of a processed block. The bug was discovered when
2299      processing data through a buffering memory BIO handing the data to a
2300      BASE64-decoding BIO. Bug fund and patch submitted by Pavel Tsekov
2301      <ptsekov@syntrex.com> and Nedelcho Stanev.
2302      [Lutz Jaenicke]
2303
2304   *) Implement a countermeasure against a vulnerability recently found
2305      in CBC ciphersuites in SSL 3.0/TLS 1.0: Send an empty fragment
2306      before application data chunks to avoid the use of known IVs
2307      with data potentially chosen by the attacker.
2308      [Bodo Moeller]
2309
2310   *) Fix length checks in ssl3_get_client_hello().
2311      [Bodo Moeller]
2312
2313   *) TLS/SSL library bugfix: use s->s3->in_read_app_data differently
2314      to prevent ssl3_read_internal() from incorrectly assuming that
2315      ssl3_read_bytes() found application data while handshake
2316      processing was enabled when in fact s->s3->in_read_app_data was
2317      merely automatically cleared during the initial handshake.
2318      [Bodo Moeller; problem pointed out by Arne Ansper <arne@ats.cyber.ee>]
2319
2320   *) Fix object definitions for Private and Enterprise: they were not
2321      recognized in their shortname (=lowercase) representation. Extend
2322      obj_dat.pl to issue an error when using undefined keywords instead
2323      of silently ignoring the problem (Svenning Sorensen
2324      <sss@sss.dnsalias.net>).
2325      [Lutz Jaenicke]
2326
2327   *) Fix DH_generate_parameters() so that it works for 'non-standard'
2328      generators, i.e. generators other than 2 and 5.  (Previously, the
2329      code did not properly initialise the 'add' and 'rem' values to
2330      BN_generate_prime().)
2331
2332      In the new general case, we do not insist that 'generator' is
2333      actually a primitive root: This requirement is rather pointless;
2334      a generator of the order-q subgroup is just as good, if not
2335      better.
2336      [Bodo Moeller]
2337  
2338   *) Map new X509 verification errors to alerts. Discovered and submitted by
2339      Tom Wu <tom@arcot.com>.
2340      [Lutz Jaenicke]
2341
2342   *) Fix ssl3_pending() (ssl/s3_lib.c) to prevent SSL_pending() from
2343      returning non-zero before the data has been completely received
2344      when using non-blocking I/O.
2345      [Bodo Moeller; problem pointed out by John Hughes]
2346
2347   *) Some of the ciphers missed the strength entry (SSL_LOW etc).
2348      [Ben Laurie, Lutz Jaenicke]
2349
2350   *) Fix bug in SSL_clear(): bad sessions were not removed (found by
2351      Yoram Zahavi <YoramZ@gilian.com>).
2352      [Lutz Jaenicke]
2353
2354   *) Add information about CygWin 1.3 and on, and preserve proper
2355      configuration for the versions before that.
2356      [Corinna Vinschen <vinschen@redhat.com> and Richard Levitte]
2357
2358   *) Make removal from session cache (SSL_CTX_remove_session()) more robust:
2359      check whether we deal with a copy of a session and do not delete from
2360      the cache in this case. Problem reported by "Izhar Shoshani Levi"
2361      <izhar@checkpoint.com>.
2362      [Lutz Jaenicke]
2363
2364   *) Do not store session data into the internal session cache, if it
2365      is never intended to be looked up (SSL_SESS_CACHE_NO_INTERNAL_LOOKUP
2366      flag is set). Proposed by Aslam <aslam@funk.com>.
2367      [Lutz Jaenicke]
2368
2369   *) Have ASN1_BIT_STRING_set_bit() really clear a bit when the requested
2370      value is 0.
2371      [Richard Levitte]
2372
2373   *) [In 0.9.6d-engine release:]
2374      Fix a crashbug and a logic bug in hwcrhk_load_pubkey().
2375      [Toomas Kiisk <vix@cyber.ee> via Richard Levitte]
2376
2377   *) Add the configuration target linux-s390x.
2378      [Neale Ferguson <Neale.Ferguson@SoftwareAG-USA.com> via Richard Levitte]
2379
2380   *) The earlier bugfix for the SSL3_ST_SW_HELLO_REQ_C case of
2381      ssl3_accept (ssl/s3_srvr.c) incorrectly used a local flag
2382      variable as an indication that a ClientHello message has been
2383      received.  As the flag value will be lost between multiple
2384      invocations of ssl3_accept when using non-blocking I/O, the
2385      function may not be aware that a handshake has actually taken
2386      place, thus preventing a new session from being added to the
2387      session cache.
2388
2389      To avoid this problem, we now set s->new_session to 2 instead of
2390      using a local variable.
2391      [Lutz Jaenicke, Bodo Moeller]
2392
2393   *) Bugfix: Return -1 from ssl3_get_server_done (ssl3/s3_clnt.c)
2394      if the SSL_R_LENGTH_MISMATCH error is detected.
2395      [Geoff Thorpe, Bodo Moeller]
2396
2397   *) New 'shared_ldflag' column in Configure platform table.
2398      [Richard Levitte]
2399
2400   *) Fix EVP_CIPHER_mode macro.
2401      ["Dan S. Camper" <dan@bti.net>]
2402
2403   *) Fix ssl3_read_bytes (ssl/s3_pkt.c): To ignore messages of unknown
2404      type, we must throw them away by setting rr->length to 0.
2405      [D P Chang <dpc@qualys.com>]
2406
2407  Changes between 0.9.6b and 0.9.6c  [21 dec 2001]
2408
2409   *) Fix BN_rand_range bug pointed out by Dominikus Scherkl
2410      <Dominikus.Scherkl@biodata.com>.  (The previous implementation
2411      worked incorrectly for those cases where  range = 10..._2  and
2412      3*range  is two bits longer than  range.)
2413      [Bodo Moeller]
2414
2415   *) Only add signing time to PKCS7 structures if it is not already
2416      present.
2417      [Steve Henson]
2418
2419   *) Fix crypto/objects/objects.h: "ld-ce" should be "id-ce",
2420      OBJ_ld_ce should be OBJ_id_ce.
2421      Also some ip-pda OIDs in crypto/objects/objects.txt were
2422      incorrect (cf. RFC 3039).
2423      [Matt Cooper, Frederic Giudicelli, Bodo Moeller]
2424
2425   *) Release CRYPTO_LOCK_DYNLOCK when CRYPTO_destroy_dynlockid()
2426      returns early because it has nothing to do.
2427      [Andy Schneider <andy.schneider@bjss.co.uk>]
2428
2429   *) [In 0.9.6c-engine release:]
2430      Fix mutex callback return values in crypto/engine/hw_ncipher.c.
2431      [Andy Schneider <andy.schneider@bjss.co.uk>]
2432
2433   *) [In 0.9.6c-engine release:]
2434      Add support for Cryptographic Appliance's keyserver technology.
2435      (Use engine 'keyclient')
2436      [Cryptographic Appliances and Geoff Thorpe]
2437
2438   *) Add a configuration entry for OS/390 Unix.  The C compiler 'c89'
2439      is called via tools/c89.sh because arguments have to be
2440      rearranged (all '-L' options must appear before the first object
2441      modules).
2442      [Richard Shapiro <rshapiro@abinitio.com>]
2443
2444   *) [In 0.9.6c-engine release:]
2445      Add support for Broadcom crypto accelerator cards, backported
2446      from 0.9.7.
2447      [Broadcom, Nalin Dahyabhai <nalin@redhat.com>, Mark Cox]
2448
2449   *) [In 0.9.6c-engine release:]
2450      Add support for SureWare crypto accelerator cards from 
2451      Baltimore Technologies.  (Use engine 'sureware')
2452      [Baltimore Technologies and Mark Cox]
2453
2454   *) [In 0.9.6c-engine release:]
2455      Add support for crypto accelerator cards from Accelerated
2456      Encryption Processing, www.aep.ie.  (Use engine 'aep')
2457      [AEP Inc. and Mark Cox]
2458
2459   *) Add a configuration entry for gcc on UnixWare.
2460      [Gary Benson <gbenson@redhat.com>]
2461
2462   *) Change ssl/s2_clnt.c and ssl/s2_srvr.c so that received handshake
2463      messages are stored in a single piece (fixed-length part and
2464      variable-length part combined) and fix various bugs found on the way.
2465      [Bodo Moeller]
2466
2467   *) Disable caching in BIO_gethostbyname(), directly use gethostbyname()
2468      instead.  BIO_gethostbyname() does not know what timeouts are
2469      appropriate, so entries would stay in cache even when they have
2470      become invalid.
2471      [Bodo Moeller; problem pointed out by Rich Salz <rsalz@zolera.com>
2472
2473   *) Change ssl23_get_client_hello (ssl/s23_srvr.c) behaviour when
2474      faced with a pathologically small ClientHello fragment that does
2475      not contain client_version: Instead of aborting with an error,
2476      simply choose the highest available protocol version (i.e.,
2477      TLS 1.0 unless it is disabled).  In practice, ClientHello
2478      messages are never sent like this, but this change gives us
2479      strictly correct behaviour at least for TLS.
2480      [Bodo Moeller]
2481
2482   *) Fix SSL handshake functions and SSL_clear() such that SSL_clear()
2483      never resets s->method to s->ctx->method when called from within
2484      one of the SSL handshake functions.
2485      [Bodo Moeller; problem pointed out by Niko Baric]
2486
2487   *) In ssl3_get_client_hello (ssl/s3_srvr.c), generate a fatal alert
2488      (sent using the client's version number) if client_version is
2489      smaller than the protocol version in use.  Also change
2490      ssl23_get_client_hello (ssl/s23_srvr.c) to select TLS 1.0 if
2491      the client demanded SSL 3.0 but only TLS 1.0 is enabled; then
2492      the client will at least see that alert.
2493      [Bodo Moeller]
2494
2495   *) Fix ssl3_get_message (ssl/s3_both.c) to handle message fragmentation
2496      correctly.
2497      [Bodo Moeller]
2498
2499   *) Avoid infinite loop in ssl3_get_message (ssl/s3_both.c) if a
2500      client receives HelloRequest while in a handshake.
2501      [Bodo Moeller; bug noticed by Andy Schneider <andy.schneider@bjss.co.uk>]
2502
2503   *) Bugfix in ssl3_accept (ssl/s3_srvr.c): Case SSL3_ST_SW_HELLO_REQ_C
2504      should end in 'break', not 'goto end' which circuments various
2505      cleanups done in state SSL_ST_OK.   But session related stuff
2506      must be disabled for SSL_ST_OK in the case that we just sent a
2507      HelloRequest.
2508
2509      Also avoid some overhead by not calling ssl_init_wbio_buffer()
2510      before just sending a HelloRequest.
2511      [Bodo Moeller, Eric Rescorla <ekr@rtfm.com>]
2512
2513   *) Fix ssl/s3_enc.c, ssl/t1_enc.c and ssl/s3_pkt.c so that we don't
2514      reveal whether illegal block cipher padding was found or a MAC
2515      verification error occured.  (Neither SSLerr() codes nor alerts
2516      are directly visible to potential attackers, but the information
2517      may leak via logfiles.)
2518
2519      Similar changes are not required for the SSL 2.0 implementation
2520      because the number of padding bytes is sent in clear for SSL 2.0,
2521      and the extra bytes are just ignored.  However ssl/s2_pkt.c
2522      failed to verify that the purported number of padding bytes is in
2523      the legal range.
2524      [Bodo Moeller]
2525
2526   *) Add OpenUNIX-8 support including shared libraries
2527      (Boyd Lynn Gerber <gerberb@zenez.com>).
2528      [Lutz Jaenicke]
2529
2530   *) Improve RSA_padding_check_PKCS1_OAEP() check again to avoid
2531      'wristwatch attack' using huge encoding parameters (cf.
2532      James H. Manger's CRYPTO 2001 paper).  Note that the
2533      RSA_PKCS1_OAEP_PADDING case of RSA_private_decrypt() does not use
2534      encoding parameters and hence was not vulnerable.
2535      [Bodo Moeller]
2536
2537   *) BN_sqr() bug fix.
2538      [Ulf Möller, reported by Jim Ellis <jim.ellis@cavium.com>]
2539
2540   *) Rabin-Miller test analyses assume uniformly distributed witnesses,
2541      so use BN_pseudo_rand_range() instead of using BN_pseudo_rand()
2542      followed by modular reduction.
2543      [Bodo Moeller; pointed out by Adam Young <AYoung1@NCSUS.JNJ.COM>]
2544
2545   *) Add BN_pseudo_rand_range() with obvious functionality: BN_rand_range()
2546      equivalent based on BN_pseudo_rand() instead of BN_rand().
2547      [Bodo Moeller]
2548
2549   *) s3_srvr.c: allow sending of large client certificate lists (> 16 kB).
2550      This function was broken, as the check for a new client hello message
2551      to handle SGC did not allow these large messages.
2552      (Tracked down by "Douglas E. Engert" <deengert@anl.gov>.)
2553      [Lutz Jaenicke]
2554
2555   *) Add alert descriptions for TLSv1 to SSL_alert_desc_string[_long]().
2556      [Lutz Jaenicke]
2557
2558   *) Fix buggy behaviour of BIO_get_num_renegotiates() and BIO_ctrl()
2559      for BIO_C_GET_WRITE_BUF_SIZE ("Stephen Hinton" <shinton@netopia.com>).
2560      [Lutz Jaenicke]
2561
2562   *) Rework the configuration and shared library support for Tru64 Unix.
2563      The configuration part makes use of modern compiler features and
2564      still retains old compiler behavior for those that run older versions
2565      of the OS.  The shared library support part includes a variant that
2566      uses the RPATH feature, and is available through the special
2567      configuration target "alpha-cc-rpath", which will never be selected
2568      automatically.
2569      [Tim Mooney <mooney@dogbert.cc.ndsu.NoDak.edu> via Richard Levitte]
2570
2571   *) In ssl3_get_key_exchange (ssl/s3_clnt.c), call ssl3_get_message()
2572      with the same message size as in ssl3_get_certificate_request().
2573      Otherwise, if no ServerKeyExchange message occurs, CertificateRequest
2574      messages might inadvertently be reject as too long.
2575      [Petr Lampa <lampa@fee.vutbr.cz>]
2576
2577   *) Enhanced support for IA-64 Unix platforms (well, Linux and HP-UX).
2578      [Andy Polyakov]
2579
2580   *) Modified SSL library such that the verify_callback that has been set
2581      specificly for an SSL object with SSL_set_verify() is actually being
2582      used. Before the change, a verify_callback set with this function was
2583      ignored and the verify_callback() set in the SSL_CTX at the time of
2584      the call was used. New function X509_STORE_CTX_set_verify_cb() introduced
2585      to allow the necessary settings.
2586      [Lutz Jaenicke]
2587
2588   *) Initialize static variable in crypto/dsa/dsa_lib.c and crypto/dh/dh_lib.c
2589      explicitly to NULL, as at least on Solaris 8 this seems not always to be
2590      done automatically (in contradiction to the requirements of the C
2591      standard). This made problems when used from OpenSSH.
2592      [Lutz Jaenicke]
2593
2594   *) In OpenSSL 0.9.6a and 0.9.6b, crypto/dh/dh_key.c ignored
2595      dh->length and always used
2596
2597           BN_rand_range(priv_key, dh->p).
2598
2599      BN_rand_range() is not necessary for Diffie-Hellman, and this
2600      specific range makes Diffie-Hellman unnecessarily inefficient if
2601      dh->length (recommended exponent length) is much smaller than the
2602      length of dh->p.  We could use BN_rand_range() if the order of
2603      the subgroup was stored in the DH structure, but we only have
2604      dh->length.
2605
2606      So switch back to
2607
2608           BN_rand(priv_key, l, ...)
2609
2610      where 'l' is dh->length if this is defined, or BN_num_bits(dh->p)-1
2611      otherwise.
2612      [Bodo Moeller]
2613
2614   *) In
2615
2616           RSA_eay_public_encrypt
2617           RSA_eay_private_decrypt
2618           RSA_eay_private_encrypt (signing)
2619           RSA_eay_public_decrypt (signature verification)
2620
2621      (default implementations for RSA_public_encrypt,
2622      RSA_private_decrypt, RSA_private_encrypt, RSA_public_decrypt),
2623      always reject numbers >= n.
2624      [Bodo Moeller]
2625
2626   *) In crypto/rand/md_rand.c, use a new short-time lock CRYPTO_LOCK_RAND2
2627      to synchronize access to 'locking_thread'.  This is necessary on
2628      systems where access to 'locking_thread' (an 'unsigned long'
2629      variable) is not atomic.
2630      [Bodo Moeller]
2631
2632   *) In crypto/rand/md_rand.c, set 'locking_thread' to current thread's ID
2633      *before* setting the 'crypto_lock_rand' flag.  The previous code had
2634      a race condition if 0 is a valid thread ID.
2635      [Travis Vitek <vitek@roguewave.com>]
2636
2637   *) Add support for shared libraries under Irix.
2638      [Albert Chin-A-Young <china@thewrittenword.com>]
2639
2640   *) Add configuration option to build on Linux on both big-endian and
2641      little-endian MIPS.
2642      [Ralf Baechle <ralf@uni-koblenz.de>]
2643
2644   *) Add the possibility to create shared libraries on HP-UX.
2645      [Richard Levitte]
2646
2647  Changes between 0.9.6a and 0.9.6b  [9 Jul 2001]
2648
2649   *) Change ssleay_rand_bytes (crypto/rand/md_rand.c)
2650      to avoid a SSLeay/OpenSSL PRNG weakness pointed out by
2651      Markku-Juhani O. Saarinen <markku-juhani.saarinen@nokia.com>:
2652      PRNG state recovery was possible based on the output of
2653      one PRNG request appropriately sized to gain knowledge on
2654      'md' followed by enough consecutive 1-byte PRNG requests
2655      to traverse all of 'state'.
2656
2657      1. When updating 'md_local' (the current thread's copy of 'md')
2658         during PRNG output generation, hash all of the previous
2659         'md_local' value, not just the half used for PRNG output.
2660
2661      2. Make the number of bytes from 'state' included into the hash
2662         independent from the number of PRNG bytes requested.
2663
2664      The first measure alone would be sufficient to avoid
2665      Markku-Juhani's attack.  (Actually it had never occurred
2666      to me that the half of 'md_local' used for chaining was the
2667      half from which PRNG output bytes were taken -- I had always
2668      assumed that the secret half would be used.)  The second
2669      measure makes sure that additional data from 'state' is never
2670      mixed into 'md_local' in small portions; this heuristically
2671      further strengthens the PRNG.
2672      [Bodo Moeller]
2673
2674   *) Fix crypto/bn/asm/mips3.s.
2675      [Andy Polyakov]
2676
2677   *) When only the key is given to "enc", the IV is undefined. Print out
2678      an error message in this case.
2679      [Lutz Jaenicke]
2680
2681   *) Handle special case when X509_NAME is empty in X509 printing routines.
2682      [Steve Henson]
2683
2684   *) In dsa_do_verify (crypto/dsa/dsa_ossl.c), verify that r and s are
2685      positive and less than q.
2686      [Bodo Moeller]
2687
2688   *) Don't change *pointer in CRYPTO_add_lock() is add_lock_callback is
2689      used: it isn't thread safe and the add_lock_callback should handle
2690      that itself.
2691      [Paul Rose <Paul.Rose@bridge.com>]
2692
2693   *) Verify that incoming data obeys the block size in
2694      ssl3_enc (ssl/s3_enc.c) and tls1_enc (ssl/t1_enc.c).
2695      [Bodo Moeller]
2696
2697   *) Fix OAEP check.
2698      [Ulf Möller, Bodo Möller]
2699
2700   *) The countermeasure against Bleichbacher's attack on PKCS #1 v1.5
2701      RSA encryption was accidentally removed in s3_srvr.c in OpenSSL 0.9.5
2702      when fixing the server behaviour for backwards-compatible 'client
2703      hello' messages.  (Note that the attack is impractical against
2704      SSL 3.0 and TLS 1.0 anyway because length and version checking
2705      means that the probability of guessing a valid ciphertext is
2706      around 2^-40; see section 5 in Bleichenbacher's CRYPTO '98
2707      paper.)
2708
2709      Before 0.9.5, the countermeasure (hide the error by generating a
2710      random 'decryption result') did not work properly because
2711      ERR_clear_error() was missing, meaning that SSL_get_error() would
2712      detect the supposedly ignored error.
2713
2714      Both problems are now fixed.
2715      [Bodo Moeller]
2716
2717   *) In crypto/bio/bf_buff.c, increase DEFAULT_BUFFER_SIZE to 4096
2718      (previously it was 1024).
2719      [Bodo Moeller]
2720
2721   *) Fix for compatibility mode trust settings: ignore trust settings
2722      unless some valid trust or reject settings are present.
2723      [Steve Henson]
2724
2725   *) Fix for blowfish EVP: its a variable length cipher.
2726      [Steve Henson]
2727
2728   *) Fix various bugs related to DSA S/MIME verification. Handle missing
2729      parameters in DSA public key structures and return an error in the
2730      DSA routines if parameters are absent.
2731      [Steve Henson]
2732
2733   *) In versions up to 0.9.6, RAND_file_name() resorted to file ".rnd"
2734      in the current directory if neither $RANDFILE nor $HOME was set.
2735      RAND_file_name() in 0.9.6a returned NULL in this case.  This has
2736      caused some confusion to Windows users who haven't defined $HOME.
2737      Thus RAND_file_name() is changed again: e_os.h can define a
2738      DEFAULT_HOME, which will be used if $HOME is not set.
2739      For Windows, we use "C:"; on other platforms, we still require
2740      environment variables.
2741
2742   *) Move 'if (!initialized) RAND_poll()' into regions protected by
2743      CRYPTO_LOCK_RAND.  This is not strictly necessary, but avoids
2744      having multiple threads call RAND_poll() concurrently.
2745      [Bodo Moeller]
2746
2747   *) In crypto/rand/md_rand.c, replace 'add_do_not_lock' flag by a
2748      combination of a flag and a thread ID variable.
2749      Otherwise while one thread is in ssleay_rand_bytes (which sets the
2750      flag), *other* threads can enter ssleay_add_bytes without obeying
2751      the CRYPTO_LOCK_RAND lock (and may even illegally release the lock
2752      that they do not hold after the first thread unsets add_do_not_lock).
2753      [Bodo Moeller]
2754
2755   *) Change bctest again: '-x' expressions are not available in all
2756      versions of 'test'.
2757      [Bodo Moeller]
2758
2759  Changes between 0.9.6 and 0.9.6a  [5 Apr 2001]
2760
2761   *) Fix a couple of memory leaks in PKCS7_dataDecode()
2762      [Steve Henson, reported by Heyun Zheng <hzheng@atdsprint.com>]
2763
2764   *) Change Configure and Makefiles to provide EXE_EXT, which will contain
2765      the default extension for executables, if any.  Also, make the perl
2766      scripts that use symlink() to test if it really exists and use "cp"
2767      if it doesn't.  All this made OpenSSL compilable and installable in
2768      CygWin.
2769      [Richard Levitte]
2770
2771   *) Fix for asn1_GetSequence() for indefinite length constructed data.
2772      If SEQUENCE is length is indefinite just set c->slen to the total
2773      amount of data available.
2774      [Steve Henson, reported by shige@FreeBSD.org]
2775      [This change does not apply to 0.9.7.]
2776
2777   *) Change bctest to avoid here-documents inside command substitution
2778      (workaround for FreeBSD /bin/sh bug).
2779      For compatibility with Ultrix, avoid shell functions (introduced
2780      in the bctest version that searches along $PATH).
2781      [Bodo Moeller]
2782
2783   *) Rename 'des_encrypt' to 'des_encrypt1'.  This avoids the clashes
2784      with des_encrypt() defined on some operating systems, like Solaris
2785      and UnixWare.
2786      [Richard Levitte]
2787
2788   *) Check the result of RSA-CRT (see D. Boneh, R. DeMillo, R. Lipton:
2789      On the Importance of Eliminating Errors in Cryptographic
2790      Computations, J. Cryptology 14 (2001) 2, 101-119,
2791      http://theory.stanford.edu/~dabo/papers/faults.ps.gz).
2792      [Ulf Moeller]
2793   
2794   *) MIPS assembler BIGNUM division bug fix. 
2795      [Andy Polyakov]
2796
2797   *) Disabled incorrect Alpha assembler code.
2798      [Richard Levitte]
2799
2800   *) Fix PKCS#7 decode routines so they correctly update the length
2801      after reading an EOC for the EXPLICIT tag.
2802      [Steve Henson]
2803      [This change does not apply to 0.9.7.]
2804
2805   *) Fix bug in PKCS#12 key generation routines. This was triggered
2806      if a 3DES key was generated with a 0 initial byte. Include
2807      PKCS12_BROKEN_KEYGEN compilation option to retain the old
2808      (but broken) behaviour.
2809      [Steve Henson]
2810
2811   *) Enhance bctest to search for a working bc along $PATH and print
2812      it when found.
2813      [Tim Rice <tim@multitalents.net> via Richard Levitte]
2814
2815   *) Fix memory leaks in err.c: free err_data string if necessary;
2816      don't write to the wrong index in ERR_set_error_data.
2817      [Bodo Moeller]
2818
2819   *) Implement ssl23_peek (analogous to ssl23_read), which previously
2820      did not exist.
2821      [Bodo Moeller]
2822
2823   *) Replace rdtsc with _emit statements for VC++ version 5.
2824      [Jeremy Cooper <jeremy@baymoo.org>]
2825
2826   *) Make it possible to reuse SSLv2 sessions.
2827      [Richard Levitte]
2828
2829   *) In copy_email() check for >= 0 as a return value for
2830      X509_NAME_get_index_by_NID() since 0 is a valid index.
2831      [Steve Henson reported by Massimiliano Pala <madwolf@opensca.org>]
2832
2833   *) Avoid coredump with unsupported or invalid public keys by checking if
2834      X509_get_pubkey() fails in PKCS7_verify(). Fix memory leak when
2835      PKCS7_verify() fails with non detached data.
2836      [Steve Henson]
2837
2838   *) Don't use getenv in library functions when run as setuid/setgid.
2839      New function OPENSSL_issetugid().
2840      [Ulf Moeller]
2841
2842   *) Avoid false positives in memory leak detection code (crypto/mem_dbg.c)
2843      due to incorrect handling of multi-threading:
2844
2845      1. Fix timing glitch in the MemCheck_off() portion of CRYPTO_mem_ctrl().
2846
2847      2. Fix logical glitch in is_MemCheck_on() aka CRYPTO_is_mem_check_on().
2848
2849      3. Count how many times MemCheck_off() has been called so that
2850         nested use can be treated correctly.  This also avoids 
2851         inband-signalling in the previous code (which relied on the
2852         assumption that thread ID 0 is impossible).
2853      [Bodo Moeller]
2854
2855   *) Add "-rand" option also to s_client and s_server.
2856      [Lutz Jaenicke]
2857
2858   *) Fix CPU detection on Irix 6.x.
2859      [Kurt Hockenbury <khockenb@stevens-tech.edu> and
2860       "Bruce W. Forsberg" <bruce.forsberg@baesystems.com>]
2861
2862   *) Fix X509_NAME bug which produced incorrect encoding if X509_NAME
2863      was empty.
2864      [Steve Henson]
2865      [This change does not apply to 0.9.7.]
2866
2867   *) Use the cached encoding of an X509_NAME structure rather than
2868      copying it. This is apparently the reason for the libsafe "errors"
2869      but the code is actually correct.
2870      [Steve Henson]
2871
2872   *) Add new function BN_rand_range(), and fix DSA_sign_setup() to prevent
2873      Bleichenbacher's DSA attack.
2874      Extend BN_[pseudo_]rand: As before, top=1 forces the highest two bits
2875      to be set and top=0 forces the highest bit to be set; top=-1 is new
2876      and leaves the highest bit random.
2877      [Ulf Moeller, Bodo Moeller]
2878
2879   *) In the NCONF_...-based implementations for CONF_... queries
2880      (crypto/conf/conf_lib.c), if the input LHASH is NULL, avoid using
2881      a temporary CONF structure with the data component set to NULL
2882      (which gives segmentation faults in lh_retrieve).
2883      Instead, use NULL for the CONF pointer in CONF_get_string and
2884      CONF_get_number (which may use environment variables) and directly
2885      return NULL from CONF_get_section.
2886      [Bodo Moeller]
2887
2888   *) Fix potential buffer overrun for EBCDIC.
2889      [Ulf Moeller]
2890
2891   *) Tolerate nonRepudiation as being valid for S/MIME signing and certSign
2892      keyUsage if basicConstraints absent for a CA.
2893      [Steve Henson]
2894
2895   *) Make SMIME_write_PKCS7() write mail header values with a format that
2896      is more generally accepted (no spaces before the semicolon), since
2897      some programs can't parse those values properly otherwise.  Also make
2898      sure BIO's that break lines after each write do not create invalid
2899      headers.
2900      [Richard Levitte]
2901
2902   *) Make the CRL encoding routines work with empty SEQUENCE OF. The
2903      macros previously used would not encode an empty SEQUENCE OF
2904      and break the signature.
2905      [Steve Henson]
2906      [This change does not apply to 0.9.7.]
2907
2908   *) Zero the premaster secret after deriving the master secret in
2909      DH ciphersuites.
2910      [Steve Henson]
2911
2912   *) Add some EVP_add_digest_alias registrations (as found in
2913      OpenSSL_add_all_digests()) to SSL_library_init()
2914      aka OpenSSL_add_ssl_algorithms().  This provides improved
2915      compatibility with peers using X.509 certificates
2916      with unconventional AlgorithmIdentifier OIDs.
2917      [Bodo Moeller]
2918
2919   *) Fix for Irix with NO_ASM.
2920      ["Bruce W. Forsberg" <bruce.forsberg@baesystems.com>]
2921
2922   *) ./config script fixes.
2923      [Ulf Moeller, Richard Levitte]
2924
2925   *) Fix 'openssl passwd -1'.
2926      [Bodo Moeller]
2927
2928   *) Change PKCS12_key_gen_asc() so it can cope with non null
2929      terminated strings whose length is passed in the passlen
2930      parameter, for example from PEM callbacks. This was done
2931      by adding an extra length parameter to asc2uni().
2932      [Steve Henson, reported by <oddissey@samsung.co.kr>]
2933
2934   *) Fix C code generated by 'openssl dsaparam -C': If a BN_bin2bn
2935      call failed, free the DSA structure.
2936      [Bodo Moeller]
2937
2938   *) Fix to uni2asc() to cope with zero length Unicode strings.
2939      These are present in some PKCS#12 files.
2940      [Steve Henson]
2941
2942   *) Increase s2->wbuf allocation by one byte in ssl2_new (ssl/s2_lib.c).
2943      Otherwise do_ssl_write (ssl/s2_pkt.c) will write beyond buffer limits
2944      when writing a 32767 byte record.
2945      [Bodo Moeller; problem reported by Eric Day <eday@concentric.net>]
2946
2947   *) In RSA_eay_public_{en,ed}crypt and RSA_eay_mod_exp (rsa_eay.c),
2948      obtain lock CRYPTO_LOCK_RSA before setting rsa->_method_mod_{n,p,q}.
2949
2950      (RSA objects have a reference count access to which is protected
2951      by CRYPTO_LOCK_RSA [see rsa_lib.c, s3_srvr.c, ssl_cert.c, ssl_rsa.c],
2952      so they are meant to be shared between threads.)
2953      [Bodo Moeller, Geoff Thorpe; original patch submitted by
2954      "Reddie, Steven" <Steven.Reddie@ca.com>]
2955
2956   *) Fix a deadlock in CRYPTO_mem_leaks().
2957      [Bodo Moeller]
2958
2959   *) Use better test patterns in bntest.
2960      [Ulf Möller]
2961
2962   *) rand_win.c fix for Borland C.
2963      [Ulf Möller]
2964  
2965   *) BN_rshift bugfix for n == 0.
2966      [Bodo Moeller]
2967
2968   *) Add a 'bctest' script that checks for some known 'bc' bugs
2969      so that 'make test' does not abort just because 'bc' is broken.
2970      [Bodo Moeller]
2971
2972   *) Store verify_result within SSL_SESSION also for client side to
2973      avoid potential security hole. (Re-used sessions on the client side
2974      always resulted in verify_result==X509_V_OK, not using the original
2975      result of the server certificate verification.)
2976      [Lutz Jaenicke]
2977
2978   *) Fix ssl3_pending: If the record in s->s3->rrec is not of type
2979      SSL3_RT_APPLICATION_DATA, return 0.
2980      Similarly, change ssl2_pending to return 0 if SSL_in_init(s) is true.
2981      [Bodo Moeller]
2982
2983   *) Fix SSL_peek:
2984      Both ssl2_peek and ssl3_peek, which were totally broken in earlier
2985      releases, have been re-implemented by renaming the previous
2986      implementations of ssl2_read and ssl3_read to ssl2_read_internal
2987      and ssl3_read_internal, respectively, and adding 'peek' parameters
2988      to them.  The new ssl[23]_{read,peek} functions are calls to
2989      ssl[23]_read_internal with the 'peek' flag set appropriately.
2990      A 'peek' parameter has also been added to ssl3_read_bytes, which
2991      does the actual work for ssl3_read_internal.
2992      [Bodo Moeller]
2993
2994   *) Initialise "ex_data" member of RSA/DSA/DH structures prior to calling
2995      the method-specific "init()" handler. Also clean up ex_data after
2996      calling the method-specific "finish()" handler. Previously, this was
2997      happening the other way round.
2998      [Geoff Thorpe]
2999
3000   *) Increase BN_CTX_NUM (the number of BIGNUMs in a BN_CTX) to 16.
3001      The previous value, 12, was not always sufficient for BN_mod_exp().
3002      [Bodo Moeller]
3003
3004   *) Make sure that shared libraries get the internal name engine with
3005      the full version number and not just 0.  This should mark the
3006      shared libraries as not backward compatible.  Of course, this should
3007      be changed again when we can guarantee backward binary compatibility.
3008      [Richard Levitte]
3009
3010   *) Fix typo in get_cert_by_subject() in by_dir.c
3011      [Jean-Marc Desperrier <jean-marc.desperrier@certplus.com>]
3012
3013   *) Rework the system to generate shared libraries:
3014
3015      - Make note of the expected extension for the shared libraries and
3016        if there is a need for symbolic links from for example libcrypto.so.0
3017        to libcrypto.so.0.9.7.  There is extended info in Configure for
3018        that.
3019
3020      - Make as few rebuilds of the shared libraries as possible.
3021
3022      - Still avoid linking the OpenSSL programs with the shared libraries.
3023
3024      - When installing, install the shared libraries separately from the
3025        static ones.
3026      [Richard Levitte]
3027
3028   *) Fix SSL_CTX_set_read_ahead macro to actually use its argument.
3029
3030      Copy SSL_CTX's read_ahead flag to SSL object directly in SSL_new
3031      and not in SSL_clear because the latter is also used by the
3032      accept/connect functions; previously, the settings made by
3033      SSL_set_read_ahead would be lost during the handshake.
3034      [Bodo Moeller; problems reported by Anders Gertz <gertz@epact.se>]     
3035
3036   *) Correct util/mkdef.pl to be selective about disabled algorithms.
3037      Previously, it would create entries for disableed algorithms no
3038      matter what.
3039      [Richard Levitte]
3040
3041   *) Added several new manual pages for SSL_* function.
3042      [Lutz Jaenicke]
3043
3044  Changes between 0.9.5a and 0.9.6  [24 Sep 2000]
3045
3046   *) In ssl23_get_client_hello, generate an error message when faced
3047      with an initial SSL 3.0/TLS record that is too small to contain the
3048      first two bytes of the ClientHello message, i.e. client_version.
3049      (Note that this is a pathologic case that probably has never happened
3050      in real life.)  The previous approach was to use the version number
3051      from the record header as a substitute; but our protocol choice
3052      should not depend on that one because it is not authenticated
3053      by the Finished messages.
3054      [Bodo Moeller]
3055
3056   *) More robust randomness gathering functions for Windows.
3057      [Jeffrey Altman <jaltman@columbia.edu>]
3058
3059   *) For compatibility reasons if the flag X509_V_FLAG_ISSUER_CHECK is
3060      not set then we don't setup the error code for issuer check errors
3061      to avoid possibly overwriting other errors which the callback does
3062      handle. If an application does set the flag then we assume it knows
3063      what it is doing and can handle the new informational codes
3064      appropriately.
3065      [Steve Henson]
3066
3067   *) Fix for a nasty bug in ASN1_TYPE handling. ASN1_TYPE is used for
3068      a general "ANY" type, as such it should be able to decode anything
3069      including tagged types. However it didn't check the class so it would
3070      wrongly interpret tagged types in the same way as their universal
3071      counterpart and unknown types were just rejected. Changed so that the
3072      tagged and unknown types are handled in the same way as a SEQUENCE:
3073      that is the encoding is stored intact. There is also a new type
3074      "V_ASN1_OTHER" which is used when the class is not universal, in this
3075      case we have no idea what the actual type is so we just lump them all
3076      together.
3077      [Steve Henson]
3078
3079   *) On VMS, stdout may very well lead to a file that is written to
3080      in a record-oriented fashion.  That means that every write() will
3081      write a separate record, which will be read separately by the
3082      programs trying to read from it.  This can be very confusing.
3083
3084      The solution is to put a BIO filter in the way that will buffer
3085      text until a linefeed is reached, and then write everything a
3086      line at a time, so every record written will be an actual line,
3087      not chunks of lines and not (usually doesn't happen, but I've
3088      seen it once) several lines in one record.  BIO_f_linebuffer() is
3089      the answer.
3090
3091      Currently, it's a VMS-only method, because that's where it has
3092      been tested well enough.
3093      [Richard Levitte]
3094
3095   *) Remove 'optimized' squaring variant in BN_mod_mul_montgomery,
3096      it can return incorrect results.
3097      (Note: The buggy variant was not enabled in OpenSSL 0.9.5a,
3098      but it was in 0.9.6-beta[12].)
3099      [Bodo Moeller]
3100
3101   *) Disable the check for content being present when verifying detached
3102      signatures in pk7_smime.c. Some versions of Netscape (wrongly)
3103      include zero length content when signing messages.
3104      [Steve Henson]
3105
3106   *) New BIO_shutdown_wr macro, which invokes the BIO_C_SHUTDOWN_WR
3107      BIO_ctrl (for BIO pairs).
3108      [Bodo Möller]
3109
3110   *) Add DSO method for VMS.
3111      [Richard Levitte]
3112
3113   *) Bug fix: Montgomery multiplication could produce results with the
3114      wrong sign.
3115      [Ulf Möller]
3116
3117   *) Add RPM specification openssl.spec and modify it to build three
3118      packages.  The default package contains applications, application
3119      documentation and run-time libraries.  The devel package contains
3120      include files, static libraries and function documentation.  The
3121      doc package contains the contents of the doc directory.  The original
3122      openssl.spec was provided by Damien Miller <djm@mindrot.org>.
3123      [Richard Levitte]
3124      
3125   *) Add a large number of documentation files for many SSL routines.
3126      [Lutz Jaenicke <Lutz.Jaenicke@aet.TU-Cottbus.DE>]
3127
3128   *) Add a configuration entry for Sony News 4.
3129      [NAKAJI Hiroyuki <nakaji@tutrp.tut.ac.jp>]
3130
3131   *) Don't set the two most significant bits to one when generating a
3132      random number < q in the DSA library.
3133      [Ulf Möller]
3134
3135   *) New SSL API mode 'SSL_MODE_AUTO_RETRY'.  This disables the default
3136      behaviour that SSL_read may result in SSL_ERROR_WANT_READ (even if
3137      the underlying transport is blocking) if a handshake took place.
3138      (The default behaviour is needed by applications such as s_client
3139      and s_server that use select() to determine when to use SSL_read;
3140      but for applications that know in advance when to expect data, it
3141      just makes things more complicated.)
3142      [Bodo Moeller]
3143
3144   *) Add RAND_egd_bytes(), which gives control over the number of bytes read
3145      from EGD.
3146      [Ben Laurie]
3147
3148   *) Add a few more EBCDIC conditionals that make `req' and `x509'
3149      work better on such systems.
3150      [Martin Kraemer <Martin.Kraemer@MchP.Siemens.De>]
3151
3152   *) Add two demo programs for PKCS12_parse() and PKCS12_create().
3153      Update PKCS12_parse() so it copies the friendlyName and the
3154      keyid to the certificates aux info.
3155      [Steve Henson]
3156
3157   *) Fix bug in PKCS7_verify() which caused an infinite loop
3158      if there was more than one signature.
3159      [Sven Uszpelkat <su@celocom.de>]
3160
3161   *) Major change in util/mkdef.pl to include extra information
3162      about each symbol, as well as presentig variables as well
3163      as functions.  This change means that there's n more need
3164      to rebuild the .num files when some algorithms are excluded.
3165      [Richard Levitte]
3166
3167   *) Allow the verify time to be set by an application,
3168      rather than always using the current time.
3169      [Steve Henson]
3170   
3171   *) Phase 2 verify code reorganisation. The certificate
3172      verify code now looks up an issuer certificate by a
3173      number of criteria: subject name, authority key id
3174      and key usage. It also verifies self signed certificates
3175      by the same criteria. The main comparison function is
3176      X509_check_issued() which performs these checks.
3177  
3178      Lot of changes were necessary in order to support this
3179      without completely rewriting the lookup code.
3180  
3181      Authority and subject key identifier are now cached.
3182  
3183      The LHASH 'certs' is X509_STORE has now been replaced
3184      by a STACK_OF(X509_OBJECT). This is mainly because an
3185      LHASH can't store or retrieve multiple objects with
3186      the same hash value.
3187
3188      As a result various functions (which were all internal
3189      use only) have changed to handle the new X509_STORE
3190      structure. This will break anything that messed round
3191      with X509_STORE internally.
3192  
3193      The functions X509_STORE_add_cert() now checks for an
3194      exact match, rather than just subject name.
3195  
3196      The X509_STORE API doesn't directly support the retrieval
3197      of multiple certificates matching a given criteria, however
3198      this can be worked round by performing a lookup first
3199      (which will fill the cache with candidate certificates)
3200      and then examining the cache for matches. This is probably
3201      the best we can do without throwing out X509_LOOKUP
3202      entirely (maybe later...).
3203  
3204      The X509_VERIFY_CTX structure has been enhanced considerably.
3205  
3206      All certificate lookup operations now go via a get_issuer()
3207      callback. Although this currently uses an X509_STORE it
3208      can be replaced by custom lookups. This is a simple way
3209      to bypass the X509_STORE hackery necessary to make this
3210      work and makes it possible to use more efficient techniques
3211      in future. A very simple version which uses a simple
3212      STACK for its trusted certificate store is also provided
3213      using X509_STORE_CTX_trusted_stack().
3214  
3215      The verify_cb() and verify() callbacks now have equivalents
3216      in the X509_STORE_CTX structure.
3217  
3218      X509_STORE_CTX also has a 'flags' field which can be used
3219      to customise the verify behaviour.
3220      [Steve Henson]
3221  
3222   *) Add new PKCS#7 signing option PKCS7_NOSMIMECAP which 
3223      excludes S/MIME capabilities.
3224      [Steve Henson]
3225
3226   *) When a certificate request is read in keep a copy of the
3227      original encoding of the signed data and use it when outputing
3228      again. Signatures then use the original encoding rather than
3229      a decoded, encoded version which may cause problems if the
3230      request is improperly encoded.
3231      [Steve Henson]
3232
3233   *) For consistency with other BIO_puts implementations, call
3234      buffer_write(b, ...) directly in buffer_puts instead of calling
3235      BIO_write(b, ...).
3236
3237      In BIO_puts, increment b->num_write as in BIO_write.
3238      [Peter.Sylvester@EdelWeb.fr]
3239
3240   *) Fix BN_mul_word for the case where the word is 0. (We have to use
3241      BN_zero, we may not return a BIGNUM with an array consisting of
3242      words set to zero.)
3243      [Bodo Moeller]
3244
3245   *) Avoid calling abort() from within the library when problems are
3246      detected, except if preprocessor symbols have been defined
3247      (such as REF_CHECK, BN_DEBUG etc.).
3248      [Bodo Moeller]
3249
3250   *) New openssl application 'rsautl'. This utility can be
3251      used for low level RSA operations. DER public key
3252      BIO/fp routines also added.
3253      [Steve Henson]
3254
3255   *) New Configure entry and patches for compiling on QNX 4.
3256      [Andreas Schneider <andreas@ds3.etech.fh-hamburg.de>]
3257
3258   *) A demo state-machine implementation was sponsored by
3259      Nuron (http://www.nuron.com/) and is now available in
3260      demos/state_machine.
3261      [Ben Laurie]
3262
3263   *) New options added to the 'dgst' utility for signature
3264      generation and verification.
3265      [Steve Henson]
3266
3267   *) Unrecognized PKCS#7 content types are now handled via a
3268      catch all ASN1_TYPE structure. This allows unsupported
3269      types to be stored as a "blob" and an application can
3270      encode and decode it manually.
3271      [Steve Henson]
3272
3273   *) Fix various signed/unsigned issues to make a_strex.c
3274      compile under VC++.
3275      [Oscar Jacobsson <oscar.jacobsson@celocom.com>]
3276
3277   *) ASN1 fixes. i2d_ASN1_OBJECT was not returning the correct
3278      length if passed a buffer. ASN1_INTEGER_to_BN failed
3279      if passed a NULL BN and its argument was negative.
3280      [Steve Henson, pointed out by Sven Heiberg <sven@tartu.cyber.ee>]
3281
3282   *) Modification to PKCS#7 encoding routines to output definite
3283      length encoding. Since currently the whole structures are in
3284      memory there's not real point in using indefinite length 
3285      constructed encoding. However if OpenSSL is compiled with
3286      the flag PKCS7_INDEFINITE_ENCODING the old form is used.
3287      [Steve Henson]
3288
3289   *) Added BIO_vprintf() and BIO_vsnprintf().
3290      [Richard Levitte]
3291
3292   *) Added more prefixes to parse for in the the strings written
3293      through a logging bio, to cover all the levels that are available
3294      through syslog.  The prefixes are now:
3295
3296         PANIC, EMERG, EMR       =>      LOG_EMERG
3297         ALERT, ALR              =>      LOG_ALERT
3298         CRIT, CRI               =>      LOG_CRIT
3299         ERROR, ERR              =>      LOG_ERR
3300         WARNING, WARN, WAR      =>      LOG_WARNING
3301         NOTICE, NOTE, NOT       =>      LOG_NOTICE
3302         INFO, INF               =>      LOG_INFO
3303         DEBUG, DBG              =>      LOG_DEBUG
3304
3305      and as before, if none of those prefixes are present at the
3306      beginning of the string, LOG_ERR is chosen.
3307
3308      On Win32, the LOG_* levels are mapped according to this:
3309
3310         LOG_EMERG, LOG_ALERT, LOG_CRIT, LOG_ERR => EVENTLOG_ERROR_TYPE
3311         LOG_WARNING                             => EVENTLOG_WARNING_TYPE
3312         LOG_NOTICE, LOG_INFO, LOG_DEBUG         => EVENTLOG_INFORMATION_TYPE
3313
3314      [Richard Levitte]
3315
3316   *) Made it possible to reconfigure with just the configuration
3317      argument "reconf" or "reconfigure".  The command line arguments
3318      are stored in Makefile.ssl in the variable CONFIGURE_ARGS,
3319      and are retrieved from there when reconfiguring.
3320      [Richard Levitte]
3321
3322   *) MD4 implemented.
3323      [Assar Westerlund <assar@sics.se>, Richard Levitte]
3324
3325   *) Add the arguments -CAfile and -CApath to the pkcs12 utility.
3326      [Richard Levitte]
3327
3328   *) The obj_dat.pl script was messing up the sorting of object
3329      names. The reason was that it compared the quoted version
3330      of strings as a result "OCSP" > "OCSP Signing" because
3331      " > SPACE. Changed script to store unquoted versions of
3332      names and add quotes on output. It was also omitting some
3333      names from the lookup table if they were given a default
3334      value (that is if SN is missing it is given the same
3335      value as LN and vice versa), these are now added on the
3336      grounds that if an object has a name we should be able to
3337      look it up. Finally added warning output when duplicate
3338      short or long names are found.
3339      [Steve Henson]
3340
3341   *) Changes needed for Tandem NSK.
3342      [Scott Uroff <scott@xypro.com>]
3343
3344   *) Fix SSL 2.0 rollback checking: Due to an off-by-one error in
3345      RSA_padding_check_SSLv23(), special padding was never detected
3346      and thus the SSL 3.0/TLS 1.0 countermeasure against protocol
3347      version rollback attacks was not effective.
3348
3349      In s23_clnt.c, don't use special rollback-attack detection padding
3350      (RSA_SSLV23_PADDING) if SSL 2.0 is the only protocol enabled in the
3351      client; similarly, in s23_srvr.c, don't do the rollback check if
3352      SSL 2.0 is the only protocol enabled in the server.
3353      [Bodo Moeller]
3354
3355   *) Make it possible to get hexdumps of unprintable data with 'openssl
3356      asn1parse'.  By implication, the functions ASN1_parse_dump() and
3357      BIO_dump_indent() are added.
3358      [Richard Levitte]
3359
3360   *) New functions ASN1_STRING_print_ex() and X509_NAME_print_ex()
3361      these print out strings and name structures based on various
3362      flags including RFC2253 support and proper handling of
3363      multibyte characters. Added options to the 'x509' utility 
3364      to allow the various flags to be set.
3365      [Steve Henson]
3366
3367   *) Various fixes to use ASN1_TIME instead of ASN1_UTCTIME.
3368      Also change the functions X509_cmp_current_time() and
3369      X509_gmtime_adj() work with an ASN1_TIME structure,
3370      this will enable certificates using GeneralizedTime in validity
3371      dates to be checked.
3372      [Steve Henson]
3373
3374   *) Make the NEG_PUBKEY_BUG code (which tolerates invalid
3375      negative public key encodings) on by default,
3376      NO_NEG_PUBKEY_BUG can be set to disable it.
3377      [Steve Henson]
3378
3379   *) New function c2i_ASN1_OBJECT() which acts on ASN1_OBJECT
3380      content octets. An i2c_ASN1_OBJECT is unnecessary because
3381      the encoding can be trivially obtained from the structure.
3382      [Steve Henson]
3383
3384   *) crypto/err.c locking bugfix: Use write locks (CRYPTO_w_[un]lock),
3385      not read locks (CRYPTO_r_[un]lock).
3386      [Bodo Moeller]
3387
3388   *) A first attempt at creating official support for shared
3389      libraries through configuration.  I've kept it so the
3390      default is static libraries only, and the OpenSSL programs
3391      are always statically linked for now, but there are
3392      preparations for dynamic linking in place.
3393      This has been tested on Linux and Tru64.
3394      [Richard Levitte]
3395
3396   *) Randomness polling function for Win9x, as described in:
3397      Peter Gutmann, Software Generation of Practically Strong
3398      Random Numbers.
3399      [Ulf Möller]
3400
3401   *) Fix so PRNG is seeded in req if using an already existing
3402      DSA key.
3403      [Steve Henson]
3404
3405   *) New options to smime application. -inform and -outform
3406      allow alternative formats for the S/MIME message including
3407      PEM and DER. The -content option allows the content to be
3408      specified separately. This should allow things like Netscape
3409      form signing output easier to verify.
3410      [Steve Henson]
3411
3412   *) Fix the ASN1 encoding of tags using the 'long form'.
3413      [Steve Henson]
3414
3415   *) New ASN1 functions, i2c_* and c2i_* for INTEGER and BIT
3416      STRING types. These convert content octets to and from the
3417      underlying type. The actual tag and length octets are
3418      already assumed to have been read in and checked. These
3419      are needed because all other string types have virtually
3420      identical handling apart from the tag. By having versions
3421      of the ASN1 functions that just operate on content octets
3422      IMPLICIT tagging can be handled properly. It also allows
3423      the ASN1_ENUMERATED code to be cut down because ASN1_ENUMERATED
3424      and ASN1_INTEGER are identical apart from the tag.
3425      [Steve Henson]
3426
3427   *) Change the handling of OID objects as follows:
3428
3429      - New object identifiers are inserted in objects.txt, following
3430        the syntax given in objects.README.
3431      - objects.pl is used to process obj_mac.num and create a new
3432        obj_mac.h.
3433      - obj_dat.pl is used to create a new obj_dat.h, using the data in
3434        obj_mac.h.
3435
3436      This is currently kind of a hack, and the perl code in objects.pl
3437      isn't very elegant, but it works as I intended.  The simplest way
3438      to check that it worked correctly is to look in obj_dat.h and
3439      check the array nid_objs and make sure the objects haven't moved
3440      around (this is important!).  Additions are OK, as well as
3441      consistent name changes. 
3442      [Richard Levitte]
3443
3444   *) Add BSD-style MD5-based passwords to 'openssl passwd' (option '-1').
3445      [Bodo Moeller]
3446
3447   *) Addition of the command line parameter '-rand file' to 'openssl req'.
3448      The given file adds to whatever has already been seeded into the
3449      random pool through the RANDFILE configuration file option or
3450      environment variable, or the default random state file.
3451      [Richard Levitte]
3452
3453   *) mkstack.pl now sorts each macro group into lexical order.
3454      Previously the output order depended on the order the files
3455      appeared in the directory, resulting in needless rewriting
3456      of safestack.h .
3457      [Steve Henson]
3458
3459   *) Patches to make OpenSSL compile under Win32 again. Mostly
3460      work arounds for the VC++ problem that it treats func() as
3461      func(void). Also stripped out the parts of mkdef.pl that
3462      added extra typesafe functions: these no longer exist.
3463      [Steve Henson]
3464
3465   *) Reorganisation of the stack code. The macros are now all 
3466      collected in safestack.h . Each macro is defined in terms of
3467      a "stack macro" of the form SKM_<name>(type, a, b). The 
3468      DEBUG_SAFESTACK is now handled in terms of function casts,
3469      this has the advantage of retaining type safety without the
3470      use of additional functions. If DEBUG_SAFESTACK is not defined
3471      then the non typesafe macros are used instead. Also modified the
3472      mkstack.pl script to handle the new form. Needs testing to see
3473      if which (if any) compilers it chokes and maybe make DEBUG_SAFESTACK
3474      the default if no major problems. Similar behaviour for ASN1_SET_OF
3475      and PKCS12_STACK_OF.
3476      [Steve Henson]
3477
3478   *) When some versions of IIS use the 'NET' form of private key the
3479      key derivation algorithm is different. Normally MD5(password) is
3480      used as a 128 bit RC4 key. In the modified case
3481      MD5(MD5(password) + "SGCKEYSALT")  is used insted. Added some
3482      new functions i2d_RSA_NET(), d2i_RSA_NET() etc which are the same
3483      as the old Netscape_RSA functions except they have an additional
3484      'sgckey' parameter which uses the modified algorithm. Also added
3485      an -sgckey command line option to the rsa utility. Thanks to 
3486      Adrian Peck <bertie@ncipher.com> for posting details of the modified
3487      algorithm to openssl-dev.
3488      [Steve Henson]
3489
3490   *) The evp_local.h macros were using 'c.##kname' which resulted in
3491      invalid expansion on some systems (SCO 5.0.5 for example).
3492      Corrected to 'c.kname'.
3493      [Phillip Porch <root@theporch.com>]
3494
3495   *) New X509_get1_email() and X509_REQ_get1_email() functions that return
3496      a STACK of email addresses from a certificate or request, these look
3497      in the subject name and the subject alternative name extensions and 
3498      omit any duplicate addresses.
3499      [Steve Henson]
3500
3501   *) Re-implement BN_mod_exp2_mont using independent (and larger) windows.
3502      This makes DSA verification about 2 % faster.
3503      [Bodo Moeller]
3504
3505   *) Increase maximum window size in BN_mod_exp_... to 6 bits instead of 5
3506      (meaning that now 2^5 values will be precomputed, which is only 4 KB
3507      plus overhead for 1024 bit moduli).
3508      This makes exponentiations about 0.5 % faster for 1024 bit
3509      exponents (as measured by "openssl speed rsa2048").
3510      [Bodo Moeller]
3511
3512   *) Rename memory handling macros to avoid conflicts with other
3513      software:
3514           Malloc         =>  OPENSSL_malloc
3515           Malloc_locked  =>  OPENSSL_malloc_locked
3516           Realloc        =>  OPENSSL_realloc
3517           Free           =>  OPENSSL_free
3518      [Richard Levitte]
3519
3520   *) New function BN_mod_exp_mont_word for small bases (roughly 15%
3521      faster than BN_mod_exp_mont, i.e. 7% for a full DH exchange).
3522      [Bodo Moeller]
3523
3524   *) CygWin32 support.
3525      [John Jarvie <jjarvie@newsguy.com>]
3526
3527   *) The type-safe stack code has been rejigged. It is now only compiled
3528      in when OpenSSL is configured with the DEBUG_SAFESTACK option and
3529      by default all type-specific stack functions are "#define"d back to
3530      standard stack functions. This results in more streamlined output
3531      but retains the type-safety checking possibilities of the original
3532      approach.
3533      [Geoff Thorpe]
3534
3535   *) The STACK code has been cleaned up, and certain type declarations
3536      that didn't make a lot of sense have been brought in line. This has
3537      also involved a cleanup of sorts in safestack.h to more correctly
3538      map type-safe stack functions onto their plain stack counterparts.
3539      This work has also resulted in a variety of "const"ifications of
3540      lots of the code, especially "_cmp" operations which should normally
3541      be prototyped with "const" parameters anyway.
3542      [Geoff Thorpe]
3543
3544   *) When generating bytes for the first time in md_rand.c, 'stir the pool'
3545      by seeding with STATE_SIZE dummy bytes (with zero entropy count).
3546      (The PRNG state consists of two parts, the large pool 'state' and 'md',
3547      where all of 'md' is used each time the PRNG is used, but 'state'
3548      is used only indexed by a cyclic counter. As entropy may not be
3549      well distributed from the beginning, 'md' is important as a
3550      chaining variable. However, the output function chains only half
3551      of 'md', i.e. 80 bits.  ssleay_rand_add, on the other hand, chains
3552      all of 'md', and seeding with STATE_SIZE dummy bytes will result
3553      in all of 'state' being rewritten, with the new values depending
3554      on virtually all of 'md'.  This overcomes the 80 bit limitation.)
3555      [Bodo Moeller]
3556
3557   *) In ssl/s2_clnt.c and ssl/s3_clnt.c, call ERR_clear_error() when
3558      the handshake is continued after ssl_verify_cert_chain();
3559      otherwise, if SSL_VERIFY_NONE is set, remaining error codes
3560      can lead to 'unexplainable' connection aborts later.
3561      [Bodo Moeller; problem tracked down by Lutz Jaenicke]
3562
3563   *) Major EVP API cipher revision.
3564      Add hooks for extra EVP features. This allows various cipher
3565      parameters to be set in the EVP interface. Support added for variable
3566      key length ciphers via the EVP_CIPHER_CTX_set_key_length() function and
3567      setting of RC2 and RC5 parameters.
3568
3569      Modify EVP_OpenInit() and EVP_SealInit() to cope with variable key length
3570      ciphers.
3571
3572      Remove lots of duplicated code from the EVP library. For example *every*
3573      cipher init() function handles the 'iv' in the same way according to the
3574      cipher mode. They also all do nothing if the 'key' parameter is NULL and
3575      for CFB and OFB modes they zero ctx->num.
3576
3577      New functionality allows removal of S/MIME code RC2 hack.
3578
3579      Most of the routines have the same form and so can be declared in terms
3580      of macros.
3581
3582      By shifting this to the top level EVP_CipherInit() it can be removed from
3583      all individual ciphers. If the cipher wants to handle IVs or keys
3584      differently it can set the EVP_CIPH_CUSTOM_IV or EVP_CIPH_ALWAYS_CALL_INIT
3585      flags.
3586
3587      Change lots of functions like EVP_EncryptUpdate() to now return a
3588      value: although software versions of the algorithms cannot fail
3589      any installed hardware versions can.
3590      [Steve Henson]
3591
3592   *) Implement SSL_OP_TLS_ROLLBACK_BUG: In ssl3_get_client_key_exchange, if
3593      this option is set, tolerate broken clients that send the negotiated
3594      protocol version number instead of the requested protocol version
3595      number.
3596      [Bodo Moeller]
3597
3598   *) Call dh_tmp_cb (set by ..._TMP_DH_CB) with correct 'is_export' flag;
3599      i.e. non-zero for export ciphersuites, zero otherwise.
3600      Previous versions had this flag inverted, inconsistent with
3601      rsa_tmp_cb (..._TMP_RSA_CB).
3602      [Bodo Moeller; problem reported by Amit Chopra]
3603
3604   *) Add missing DSA library text string. Work around for some IIS
3605      key files with invalid SEQUENCE encoding.
3606      [Steve Henson]
3607
3608   *) Add a document (doc/standards.txt) that list all kinds of standards
3609      and so on that are implemented in OpenSSL.
3610      [Richard Levitte]
3611
3612   *) Enhance c_rehash script. Old version would mishandle certificates
3613      with the same subject name hash and wouldn't handle CRLs at all.
3614      Added -fingerprint option to crl utility, to support new c_rehash
3615      features.
3616      [Steve Henson]
3617
3618   *) Eliminate non-ANSI declarations in crypto.h and stack.h.
3619      [Ulf Möller]
3620
3621   *) Fix for SSL server purpose checking. Server checking was
3622      rejecting certificates which had extended key usage present
3623      but no ssl client purpose.
3624      [Steve Henson, reported by Rene Grosser <grosser@hisolutions.com>]
3625
3626   *) Make PKCS#12 code work with no password. The PKCS#12 spec
3627      is a little unclear about how a blank password is handled.
3628      Since the password in encoded as a BMPString with terminating
3629      double NULL a zero length password would end up as just the
3630      double NULL. However no password at all is different and is
3631      handled differently in the PKCS#12 key generation code. NS
3632      treats a blank password as zero length. MSIE treats it as no
3633      password on export: but it will try both on import. We now do
3634      the same: PKCS12_parse() tries zero length and no password if
3635      the password is set to "" or NULL (NULL is now a valid password:
3636      it wasn't before) as does the pkcs12 application.
3637      [Steve Henson]
3638
3639   *) Bugfixes in apps/x509.c: Avoid a memory leak; and don't use
3640      perror when PEM_read_bio_X509_REQ fails, the error message must
3641      be obtained from the error queue.
3642      [Bodo Moeller]
3643
3644   *) Avoid 'thread_hash' memory leak in crypto/err/err.c by freeing
3645      it in ERR_remove_state if appropriate, and change ERR_get_state
3646      accordingly to avoid race conditions (this is necessary because
3647      thread_hash is no longer constant once set).
3648      [Bodo Moeller]
3649
3650   *) Bugfix for linux-elf makefile.one.
3651      [Ulf Möller]
3652
3653   *) RSA_get_default_method() will now cause a default
3654      RSA_METHOD to be chosen if one doesn't exist already.
3655      Previously this was only set during a call to RSA_new()
3656      or RSA_new_method(NULL) meaning it was possible for
3657      RSA_get_default_method() to return NULL.
3658      [Geoff Thorpe]
3659
3660   *) Added native name translation to the existing DSO code
3661      that will convert (if the flag to do so is set) filenames
3662      that are sufficiently small and have no path information
3663      into a canonical native form. Eg. "blah" converted to
3664      "libblah.so" or "blah.dll" etc.
3665      [Geoff Thorpe]
3666
3667   *) New function ERR_error_string_n(e, buf, len) which is like
3668      ERR_error_string(e, buf), but writes at most 'len' bytes
3669      including the 0 terminator.  For ERR_error_string_n, 'buf'
3670      may not be NULL.
3671      [Damien Miller <djm@mindrot.org>, Bodo Moeller]
3672
3673   *) CONF library reworked to become more general.  A new CONF
3674      configuration file reader "class" is implemented as well as a
3675      new functions (NCONF_*, for "New CONF") to handle it.  The now
3676      old CONF_* functions are still there, but are reimplemented to
3677      work in terms of the new functions.  Also, a set of functions
3678      to handle the internal storage of the configuration data is
3679      provided to make it easier to write new configuration file
3680      reader "classes" (I can definitely see something reading a
3681      configuration file in XML format, for example), called _CONF_*,
3682      or "the configuration storage API"...
3683
3684      The new configuration file reading functions are:
3685
3686         NCONF_new, NCONF_free, NCONF_load, NCONF_load_fp, NCONF_load_bio,
3687         NCONF_get_section, NCONF_get_string, NCONF_get_numbre
3688
3689         NCONF_default, NCONF_WIN32
3690
3691         NCONF_dump_fp, NCONF_dump_bio
3692
3693      NCONF_default and NCONF_WIN32 are method (or "class") choosers,
3694      NCONF_new creates a new CONF object.  This works in the same way
3695      as other interfaces in OpenSSL, like the BIO interface.
3696      NCONF_dump_* dump the internal storage of the configuration file,
3697      which is useful for debugging.  All other functions take the same
3698      arguments as the old CONF_* functions wth the exception of the
3699      first that must be a `CONF *' instead of a `LHASH *'.
3700
3701      To make it easer to use the new classes with the old CONF_* functions,
3702      the function CONF_set_default_method is provided.
3703      [Richard Levitte]
3704
3705   *) Add '-tls1' option to 'openssl ciphers', which was already
3706      mentioned in the documentation but had not been implemented.
3707      (This option is not yet really useful because even the additional
3708      experimental TLS 1.0 ciphers are currently treated as SSL 3.0 ciphers.)
3709      [Bodo Moeller]
3710
3711   *) Initial DSO code added into libcrypto for letting OpenSSL (and
3712      OpenSSL-based applications) load shared libraries and bind to
3713      them in a portable way.
3714      [Geoff Thorpe, with contributions from Richard Levitte]
3715
3716  Changes between 0.9.5 and 0.9.5a  [1 Apr 2000]
3717
3718   *) Make sure _lrotl and _lrotr are only used with MSVC.
3719
3720   *) Use lock CRYPTO_LOCK_RAND correctly in ssleay_rand_status
3721      (the default implementation of RAND_status).
3722
3723   *) Rename openssl x509 option '-crlext', which was added in 0.9.5,
3724      to '-clrext' (= clear extensions), as intended and documented.
3725      [Bodo Moeller; inconsistency pointed out by Michael Attili
3726      <attili@amaxo.com>]
3727
3728   *) Fix for HMAC. It wasn't zeroing the rest of the block if the key length
3729      was larger than the MD block size.      
3730      [Steve Henson, pointed out by Yost William <YostW@tce.com>]
3731
3732   *) Modernise PKCS12_parse() so it uses STACK_OF(X509) for its ca argument
3733      fix a leak when the ca argument was passed as NULL. Stop X509_PUBKEY_set()
3734      using the passed key: if the passed key was a private key the result
3735      of X509_print(), for example, would be to print out all the private key
3736      components.
3737      [Steve Henson]
3738
3739   *) des_quad_cksum() byte order bug fix.
3740      [Ulf Möller, using the problem description in krb4-0.9.7, where
3741       the solution is attributed to Derrick J Brashear <shadow@DEMENTIA.ORG>]
3742
3743   *) Fix so V_ASN1_APP_CHOOSE works again: however its use is strongly
3744      discouraged.
3745      [Steve Henson, pointed out by Brian Korver <briank@cs.stanford.edu>]
3746
3747   *) For easily testing in shell scripts whether some command
3748      'openssl XXX' exists, the new pseudo-command 'openssl no-XXX'
3749      returns with exit code 0 iff no command of the given name is available.
3750      'no-XXX' is printed in this case, 'XXX' otherwise.  In both cases,
3751      the output goes to stdout and nothing is printed to stderr.
3752      Additional arguments are always ignored.
3753
3754      Since for each cipher there is a command of the same name,
3755      the 'no-cipher' compilation switches can be tested this way.
3756
3757      ('openssl no-XXX' is not able to detect pseudo-commands such
3758      as 'quit', 'list-XXX-commands', or 'no-XXX' itself.)
3759      [Bodo Moeller]
3760
3761   *) Update test suite so that 'make test' succeeds in 'no-rsa' configuration.
3762      [Bodo Moeller]
3763
3764   *) For SSL_[CTX_]set_tmp_dh, don't create a DH key if SSL_OP_SINGLE_DH_USE
3765      is set; it will be thrown away anyway because each handshake creates
3766      its own key.
3767      ssl_cert_dup, which is used by SSL_new, now copies DH keys in addition
3768      to parameters -- in previous versions (since OpenSSL 0.9.3) the
3769      'default key' from SSL_CTX_set_tmp_dh would always be lost, meanining
3770      you effectivly got SSL_OP_SINGLE_DH_USE when using this macro.
3771      [Bodo Moeller]
3772
3773   *) New s_client option -ign_eof: EOF at stdin is ignored, and
3774      'Q' and 'R' lose their special meanings (quit/renegotiate).
3775      This is part of what -quiet does; unlike -quiet, -ign_eof
3776      does not suppress any output.
3777      [Richard Levitte]
3778
3779   *) Add compatibility options to the purpose and trust code. The
3780      purpose X509_PURPOSE_ANY is "any purpose" which automatically
3781      accepts a certificate or CA, this was the previous behaviour,
3782      with all the associated security issues.
3783
3784      X509_TRUST_COMPAT is the old trust behaviour: only and
3785      automatically trust self signed roots in certificate store. A
3786      new trust setting X509_TRUST_DEFAULT is used to specify that
3787      a purpose has no associated trust setting and it should instead
3788      use the value in the default purpose.
3789      [Steve Henson]
3790
3791   *) Fix the PKCS#8 DSA private key code so it decodes keys again
3792      and fix a memory leak.
3793      [Steve Henson]
3794
3795   *) In util/mkerr.pl (which implements 'make errors'), preserve
3796      reason strings from the previous version of the .c file, as
3797      the default to have only downcase letters (and digits) in
3798      automatically generated reasons codes is not always appropriate.
3799      [Bodo Moeller]
3800
3801   *) In ERR_load_ERR_strings(), build an ERR_LIB_SYS error reason table
3802      using strerror.  Previously, ERR_reason_error_string() returned
3803      library names as reason strings for SYSerr; but SYSerr is a special
3804      case where small numbers are errno values, not library numbers.
3805      [Bodo Moeller]
3806
3807   *) Add '-dsaparam' option to 'openssl dhparam' application.  This
3808      converts DSA parameters into DH parameters. (When creating parameters,
3809      DSA_generate_parameters is used.)
3810      [Bodo Moeller]
3811
3812   *) Include 'length' (recommended exponent length) in C code generated
3813      by 'openssl dhparam -C'.
3814      [Bodo Moeller]
3815
3816   *) The second argument to set_label in perlasm was already being used
3817      so couldn't be used as a "file scope" flag. Moved to third argument
3818      which was free.
3819      [Steve Henson]
3820
3821   *) In PEM_ASN1_write_bio and some other functions, use RAND_pseudo_bytes
3822      instead of RAND_bytes for encryption IVs and salts.
3823      [Bodo Moeller]
3824
3825   *) Include RAND_status() into RAND_METHOD instead of implementing
3826      it only for md_rand.c  Otherwise replacing the PRNG by calling
3827      RAND_set_rand_method would be impossible.
3828      [Bodo Moeller]
3829
3830   *) Don't let DSA_generate_key() enter an infinite loop if the random
3831      number generation fails.
3832      [Bodo Moeller]
3833
3834   *) New 'rand' application for creating pseudo-random output.
3835      [Bodo Moeller]
3836
3837   *) Added configuration support for Linux/IA64
3838      [Rolf Haberrecker <rolf@suse.de>]
3839
3840   *) Assembler module support for Mingw32.
3841      [Ulf Möller]
3842
3843   *) Shared library support for HPUX (in shlib/).
3844      [Lutz Jaenicke <Lutz.Jaenicke@aet.TU-Cottbus.DE> and Anonymous]
3845
3846   *) Shared library support for Solaris gcc.
3847      [Lutz Behnke <behnke@trustcenter.de>]
3848
3849  Changes between 0.9.4 and 0.9.5  [28 Feb 2000]
3850
3851   *) PKCS7_encrypt() was adding text MIME headers twice because they
3852      were added manually and by SMIME_crlf_copy().
3853      [Steve Henson]
3854
3855   *) In bntest.c don't call BN_rand with zero bits argument.
3856      [Steve Henson, pointed out by Andrew W. Gray <agray@iconsinc.com>]
3857
3858   *) BN_mul bugfix: In bn_mul_part_recursion() only the a>a[n] && b>b[n]
3859      case was implemented. This caused BN_div_recp() to fail occasionally.
3860      [Ulf Möller]
3861
3862   *) Add an optional second argument to the set_label() in the perl
3863      assembly language builder. If this argument exists and is set
3864      to 1 it signals that the assembler should use a symbol whose 
3865      scope is the entire file, not just the current function. This
3866      is needed with MASM which uses the format label:: for this scope.
3867      [Steve Henson, pointed out by Peter Runestig <peter@runestig.com>]
3868
3869   *) Change the ASN1 types so they are typedefs by default. Before
3870      almost all types were #define'd to ASN1_STRING which was causing
3871      STACK_OF() problems: you couldn't declare STACK_OF(ASN1_UTF8STRING)
3872      for example.
3873      [Steve Henson]
3874
3875   *) Change names of new functions to the new get1/get0 naming
3876      convention: After 'get1', the caller owns a reference count
3877      and has to call ..._free; 'get0' returns a pointer to some
3878      data structure without incrementing reference counters.
3879      (Some of the existing 'get' functions increment a reference
3880      counter, some don't.)
3881      Similarly, 'set1' and 'add1' functions increase reference
3882      counters or duplicate objects.
3883      [Steve Henson]
3884
3885   *) Allow for the possibility of temp RSA key generation failure:
3886      the code used to assume it always worked and crashed on failure.
3887      [Steve Henson]
3888
3889   *) Fix potential buffer overrun problem in BIO_printf().
3890      [Ulf Möller, using public domain code by Patrick Powell; problem
3891       pointed out by David Sacerdote <das33@cornell.edu>]
3892
3893   *) Support EGD <http://www.lothar.com/tech/crypto/>.  New functions
3894      RAND_egd() and RAND_status().  In the command line application,
3895      the EGD socket can be specified like a seed file using RANDFILE
3896      or -rand.
3897      [Ulf Möller]
3898
3899   *) Allow the string CERTIFICATE to be tolerated in PKCS#7 structures.
3900      Some CAs (e.g. Verisign) distribute certificates in this form.
3901      [Steve Henson]
3902
3903   *) Remove the SSL_ALLOW_ADH compile option and set the default cipher
3904      list to exclude them. This means that no special compilation option
3905      is needed to use anonymous DH: it just needs to be included in the
3906      cipher list.
3907      [Steve Henson]
3908
3909   *) Change the EVP_MD_CTX_type macro so its meaning consistent with
3910      EVP_MD_type. The old functionality is available in a new macro called
3911      EVP_MD_md(). Change code that uses it and update docs.
3912      [Steve Henson]
3913
3914   *) ..._ctrl functions now have corresponding ..._callback_ctrl functions
3915      where the 'void *' argument is replaced by a function pointer argument.
3916      Previously 'void *' was abused to point to functions, which works on
3917      many platforms, but is not correct.  As these functions are usually
3918      called by macros defined in OpenSSL header files, most source code
3919      should work without changes.
3920      [Richard Levitte]
3921
3922   *) <openssl/opensslconf.h> (which is created by Configure) now contains
3923      sections with information on -D... compiler switches used for
3924      compiling the library so that applications can see them.  To enable
3925      one of these sections, a pre-processor symbol OPENSSL_..._DEFINES
3926      must be defined.  E.g.,
3927         #define OPENSSL_ALGORITHM_DEFINES
3928         #include <openssl/opensslconf.h>
3929      defines all pertinent NO_<algo> symbols, such as NO_IDEA, NO_RSA, etc.
3930      [Richard Levitte, Ulf and Bodo Möller]
3931
3932   *) Bugfix: Tolerate fragmentation and interleaving in the SSL 3/TLS
3933      record layer.
3934      [Bodo Moeller]
3935
3936   *) Change the 'other' type in certificate aux info to a STACK_OF
3937      X509_ALGOR. Although not an AlgorithmIdentifier as such it has
3938      the required ASN1 format: arbitrary types determined by an OID.
3939      [Steve Henson]
3940
3941   *) Add some PEM_write_X509_REQ_NEW() functions and a command line
3942      argument to 'req'. This is not because the function is newer or
3943      better than others it just uses the work 'NEW' in the certificate
3944      request header lines. Some software needs this.
3945      [Steve Henson]
3946
3947   *) Reorganise password command line arguments: now passwords can be
3948      obtained from various sources. Delete the PEM_cb function and make
3949      it the default behaviour: i.e. if the callback is NULL and the
3950      usrdata argument is not NULL interpret it as a null terminated pass
3951      phrase. If usrdata and the callback are NULL then the pass phrase
3952      is prompted for as usual.
3953      [Steve Henson]
3954
3955   *) Add support for the Compaq Atalla crypto accelerator. If it is installed,
3956      the support is automatically enabled. The resulting binaries will
3957      autodetect the card and use it if present.
3958      [Ben Laurie and Compaq Inc.]
3959
3960   *) Work around for Netscape hang bug. This sends certificate request
3961      and server done in one record. Since this is perfectly legal in the
3962      SSL/TLS protocol it isn't a "bug" option and is on by default. See
3963      the bugs/SSLv3 entry for more info.
3964      [Steve Henson]
3965
3966   *) HP-UX tune-up: new unified configs, HP C compiler bug workaround.
3967      [Andy Polyakov]
3968
3969   *) Add -rand argument to smime and pkcs12 applications and read/write
3970      of seed file.
3971      [Steve Henson]
3972
3973   *) New 'passwd' tool for crypt(3) and apr1 password hashes.
3974      [Bodo Moeller]
3975
3976   *) Add command line password options to the remaining applications.
3977      [Steve Henson]
3978
3979   *) Bug fix for BN_div_recp() for numerators with an even number of
3980      bits.
3981      [Ulf Möller]
3982
3983   *) More tests in bntest.c, and changed test_bn output.
3984      [Ulf Möller]
3985
3986   *) ./config recognizes MacOS X now.
3987      [Andy Polyakov]
3988
3989   *) Bug fix for BN_div() when the first words of num and divsor are
3990      equal (it gave wrong results if (rem=(n1-q*d0)&BN_MASK2) < d0).
3991      [Ulf Möller]
3992
3993   *) Add support for various broken PKCS#8 formats, and command line
3994      options to produce them.
3995      [Steve Henson]
3996
3997   *) New functions BN_CTX_start(), BN_CTX_get() and BT_CTX_end() to
3998      get temporary BIGNUMs from a BN_CTX.
3999      [Ulf Möller]
4000
4001   *) Correct return values in BN_mod_exp_mont() and BN_mod_exp2_mont()
4002      for p == 0.
4003      [Ulf Möller]
4004
4005   *) Change the SSLeay_add_all_*() functions to OpenSSL_add_all_*() and
4006      include a #define from the old name to the new. The original intent
4007      was that statically linked binaries could for example just call
4008      SSLeay_add_all_ciphers() to just add ciphers to the table and not
4009      link with digests. This never worked becayse SSLeay_add_all_digests()
4010      and SSLeay_add_all_ciphers() were in the same source file so calling
4011      one would link with the other. They are now in separate source files.
4012      [Steve Henson]
4013
4014   *) Add a new -notext option to 'ca' and a -pubkey option to 'spkac'.
4015      [Steve Henson]
4016
4017   *) Use a less unusual form of the Miller-Rabin primality test (it used
4018      a binary algorithm for exponentiation integrated into the Miller-Rabin
4019      loop, our standard modexp algorithms are faster).
4020      [Bodo Moeller]
4021
4022   *) Support for the EBCDIC character set completed.
4023      [Martin Kraemer <Martin.Kraemer@Mch.SNI.De>]
4024
4025   *) Source code cleanups: use const where appropriate, eliminate casts,
4026      use void * instead of char * in lhash.
4027      [Ulf Möller] 
4028
4029   *) Bugfix: ssl3_send_server_key_exchange was not restartable
4030      (the state was not changed to SSL3_ST_SW_KEY_EXCH_B, and because of
4031      this the server could overwrite ephemeral keys that the client
4032      has already seen).
4033      [Bodo Moeller]
4034
4035   *) Turn DSA_is_prime into a macro that calls BN_is_prime,
4036      using 50 iterations of the Rabin-Miller test.
4037
4038      DSA_generate_parameters now uses BN_is_prime_fasttest (with 50
4039      iterations of the Rabin-Miller test as required by the appendix
4040      to FIPS PUB 186[-1]) instead of DSA_is_prime.
4041      As BN_is_prime_fasttest includes trial division, DSA parameter
4042      generation becomes much faster.
4043
4044      This implies a change for the callback functions in DSA_is_prime
4045      and DSA_generate_parameters: The callback function is called once
4046      for each positive witness in the Rabin-Miller test, not just
4047      occasionally in the inner loop; and the parameters to the
4048      callback function now provide an iteration count for the outer
4049      loop rather than for the current invocation of the inner loop.
4050      DSA_generate_parameters additionally can call the callback
4051      function with an 'iteration count' of -1, meaning that a
4052      candidate has passed the trial division test (when q is generated 
4053      from an application-provided seed, trial division is skipped).
4054      [Bodo Moeller]
4055
4056   *) New function BN_is_prime_fasttest that optionally does trial
4057      division before starting the Rabin-Miller test and has
4058      an additional BN_CTX * argument (whereas BN_is_prime always
4059      has to allocate at least one BN_CTX).
4060      'callback(1, -1, cb_arg)' is called when a number has passed the
4061      trial division stage.
4062      [Bodo Moeller]
4063
4064   *) Fix for bug in CRL encoding. The validity dates weren't being handled
4065      as ASN1_TIME.
4066      [Steve Henson]
4067
4068   *) New -pkcs12 option to CA.pl script to write out a PKCS#12 file.
4069      [Steve Henson]
4070
4071   *) New function BN_pseudo_rand().
4072      [Ulf Möller]
4073
4074   *) Clean up BN_mod_mul_montgomery(): replace the broken (and unreadable)
4075      bignum version of BN_from_montgomery() with the working code from
4076      SSLeay 0.9.0 (the word based version is faster anyway), and clean up
4077      the comments.
4078      [Ulf Möller]
4079
4080   *) Avoid a race condition in s2_clnt.c (function get_server_hello) that
4081      made it impossible to use the same SSL_SESSION data structure in
4082      SSL2 clients in multiple threads.
4083      [Bodo Moeller]
4084
4085   *) The return value of RAND_load_file() no longer counts bytes obtained
4086      by stat().  RAND_load_file(..., -1) is new and uses the complete file
4087      to seed the PRNG (previously an explicit byte count was required).
4088      [Ulf Möller, Bodo Möller]
4089
4090   *) Clean up CRYPTO_EX_DATA functions, some of these didn't have prototypes
4091      used (char *) instead of (void *) and had casts all over the place.
4092      [Steve Henson]
4093