Fix yesterday typos in bss_dgram.c.
[oweals/openssl.git] / CHANGES
1
2  OpenSSL CHANGES
3  _______________
4
5  Changes between 0.9.8i and 0.9.9  [xx XXX xxxx]
6
7   *) Delta CRL support. New use deltas option which will attempt to locate
8      and search any appropriate delta CRLs available.
9
10      This work was sponsored by Google.
11      [Steve Henson]
12
13   *) Support for CRLs partitioned by reason code. Reorganise CRL processing
14      code and add additional score elements. Validate alternate CRL paths
15      as part of the CRL checking and indicate a new error "CRL path validation
16      error" in this case. Applications wanting additional details can use
17      the verify callback and check the new "parent" field. If this is not
18      NULL CRL path validation is taking place. Existing applications wont
19      see this because it requires extended CRL support which is off by
20      default.
21
22      This work was sponsored by Google.
23      [Steve Henson]
24
25   *) Support for freshest CRL extension.
26
27      This work was sponsored by Google.
28      [Steve Henson]
29
30   *) Initial indirect CRL support. Currently only supported in the CRLs
31      passed directly and not via lookup. Process certificate issuer
32      CRL entry extension and lookup CRL entries by bother issuer name
33      and serial number. Check and process CRL issuer entry in IDP extension.
34
35      This work was sponsored by Google.
36      [Steve Henson]
37
38   *) Add support for distinct certificate and CRL paths. The CRL issuer
39      certificate is validated separately in this case. Only enabled if
40      an extended CRL support flag is set: this flag will enable additional
41      CRL functionality in future.
42
43      This work was sponsored by Google.
44      [Steve Henson]
45
46   *) Add support for policy mappings extension.
47
48      This work was sponsored by Google.
49      [Steve Henson]
50
51   *) Fixes to pathlength constraint, self issued certificate handling,
52      policy processing to align with RFC3280 and PKITS tests.
53
54      This work was sponsored by Google.
55      [Steve Henson]
56
57   *) Support for name constraints certificate extension. DN, email, DNS
58      and URI types are currently supported.
59
60      This work was sponsored by Google.
61      [Steve Henson]
62
63   *) To cater for systems that provide a pointer-based thread ID rather
64      than numeric, deprecate the current numeric thread ID mechanism and
65      replace it with a structure and associated callback type. This
66      mechanism allows a numeric "hash" to be extracted from a thread ID in
67      either case, and on platforms where pointers are larger than 'long',
68      mixing is done to help ensure the numeric 'hash' is usable even if it
69      can't be guaranteed unique. The default mechanism is to use "&errno"
70      as a pointer-based thread ID to distinguish between threads.
71
72      Applications that want to provide their own thread IDs should now use
73      CRYPTO_THREADID_set_callback() to register a callback that will call
74      either CRYPTO_THREADID_set_numeric() or CRYPTO_THREADID_set_pointer().
75
76      Note that ERR_remove_state() is now deprecated, because it is tied
77      to the assumption that thread IDs are numeric.  ERR_remove_state(0)
78      to free the current thread's error state should be replaced by
79      ERR_remove_thread_state(NULL).
80
81      (This new approach replaces the functions CRYPTO_set_idptr_callback(),
82      CRYPTO_get_idptr_callback(), and CRYPTO_thread_idptr() that existed in
83      OpenSSL 0.9.9-dev between June 2006 and August 2008. Also, if an
84      application was previously providing a numeric thread callback that
85      was inappropriate for distinguishing threads, then uniqueness might
86      have been obtained with &errno that happened immediately in the
87      intermediate development versions of OpenSSL; this is no longer the
88      case, the numeric thread callback will now override the automatic use
89      of &errno.)
90      [Geoff Thorpe, with help from Bodo Moeller]
91
92   *) Initial support for different CRL issuing certificates. This covers a
93      simple case where the self issued certificates in the chain exist and
94      the real CRL issuer is higher in the existing chain.
95
96      This work was sponsored by Google.
97      [Steve Henson]
98
99   *) Removed effectively defunct crypto/store from the build.
100      [Ben Laurie]
101
102   *) Revamp of STACK to provide stronger type-checking. Still to come:
103      TXT_DB, bsearch(?), OBJ_bsearch, qsort, CRYPTO_EX_DATA, ASN1_VALUE,
104      ASN1_STRING, CONF_VALUE.
105      [Ben Laurie]
106
107   *) Add a new SSL_MODE_RELEASE_BUFFERS mode flag to release unused buffer
108      RAM on SSL connections.  This option can save about 34k per idle SSL.
109      [Nick Mathewson]
110
111   *) Revamp of LHASH to provide stronger type-checking. Still to come:
112      STACK, TXT_DB, bsearch, qsort.
113      [Ben Laurie]
114
115   *) Initial support for Cryptographic Message Syntax (aka CMS) based
116      on RFC3850, RFC3851 and RFC3852. New cms directory and cms utility,
117      support for data, signedData, compressedData, digestedData and
118      encryptedData, envelopedData types included. Scripts to check against
119      RFC4134 examples draft and interop and consistency checks of many
120      content types and variants.
121      [Steve Henson]
122
123   *) Add options to enc utility to support use of zlib compression BIO.
124      [Steve Henson]
125
126   *) Extend mk1mf to support importing of options and assembly language
127      files from Configure script, currently only included in VC-WIN32.
128      The assembly language rules can now optionally generate the source
129      files from the associated perl scripts.
130      [Steve Henson]
131
132   *) Implement remaining functionality needed to support GOST ciphersuites.
133      Interop testing has been performed using CryptoPro implementations.
134      [Victor B. Wagner <vitus@cryptocom.ru>]
135
136   *) s390x assembler pack.
137      [Andy Polyakov]
138
139   *) ARMv4 assembler pack. ARMv4 refers to v4 and later ISA, not CPU
140      "family."
141      [Andy Polyakov]
142
143   *) Implement Opaque PRF Input TLS extension as specified in
144      draft-rescorla-tls-opaque-prf-input-00.txt.  Since this is not an
145      official specification yet and no extension type assignment by
146      IANA exists, this extension (for now) will have to be explicitly
147      enabled when building OpenSSL by providing the extension number
148      to use.  For example, specify an option
149
150          -DTLSEXT_TYPE_opaque_prf_input=0x9527
151
152      to the "config" or "Configure" script to enable the extension,
153      assuming extension number 0x9527 (which is a completely arbitrary
154      and unofficial assignment based on the MD5 hash of the Internet
155      Draft).  Note that by doing so, you potentially lose
156      interoperability with other TLS implementations since these might
157      be using the same extension number for other purposes.
158
159      SSL_set_tlsext_opaque_prf_input(ssl, src, len) is used to set the
160      opaque PRF input value to use in the handshake.  This will create
161      an interal copy of the length-'len' string at 'src', and will
162      return non-zero for success.
163
164      To get more control and flexibility, provide a callback function
165      by using
166
167           SSL_CTX_set_tlsext_opaque_prf_input_callback(ctx, cb)
168           SSL_CTX_set_tlsext_opaque_prf_input_callback_arg(ctx, arg)
169
170      where
171
172           int (*cb)(SSL *, void *peerinput, size_t len, void *arg);
173           void *arg;
174
175      Callback function 'cb' will be called in handshakes, and is
176      expected to use SSL_set_tlsext_opaque_prf_input() as appropriate.
177      Argument 'arg' is for application purposes (the value as given to
178      SSL_CTX_set_tlsext_opaque_prf_input_callback_arg() will directly
179      be provided to the callback function).  The callback function
180      has to return non-zero to report success: usually 1 to use opaque
181      PRF input just if possible, or 2 to enforce use of the opaque PRF
182      input.  In the latter case, the library will abort the handshake
183      if opaque PRF input is not successfully negotiated.
184
185      Arguments 'peerinput' and 'len' given to the callback function
186      will always be NULL and 0 in the case of a client.  A server will
187      see the client's opaque PRF input through these variables if
188      available (NULL and 0 otherwise).  Note that if the server
189      provides an opaque PRF input, the length must be the same as the
190      length of the client's opaque PRF input.
191
192      Note that the callback function will only be called when creating
193      a new session (session resumption can resume whatever was
194      previously negotiated), and will not be called in SSL 2.0
195      handshakes; thus, SSL_CTX_set_options(ctx, SSL_OP_NO_SSLv2) or
196      SSL_set_options(ssl, SSL_OP_NO_SSLv2) is especially recommended
197      for applications that need to enforce opaque PRF input.
198
199      [Bodo Moeller]
200
201   *) Update ssl code to support digests other than SHA1+MD5 for handshake
202      MAC. 
203
204      [Victor B. Wagner <vitus@cryptocom.ru>]
205
206   *) Add RFC4507 support to OpenSSL. This includes the corrections in
207      RFC4507bis. The encrypted ticket format is an encrypted encoded
208      SSL_SESSION structure, that way new session features are automatically
209      supported.
210
211      If a client application caches session in an SSL_SESSION structure
212      support is transparent because tickets are now stored in the encoded
213      SSL_SESSION.
214      
215      The SSL_CTX structure automatically generates keys for ticket
216      protection in servers so again support should be possible
217      with no application modification.
218
219      If a client or server wishes to disable RFC4507 support then the option
220      SSL_OP_NO_TICKET can be set.
221
222      Add a TLS extension debugging callback to allow the contents of any client
223      or server extensions to be examined.
224
225      This work was sponsored by Google.
226      [Steve Henson]
227
228   *) Final changes to avoid use of pointer pointer casts in OpenSSL.
229      OpenSSL should now compile cleanly on gcc 4.2
230      [Peter Hartley <pdh@utter.chaos.org.uk>, Steve Henson]
231
232   *) Update SSL library to use new EVP_PKEY MAC API. Include generic MAC
233      support including streaming MAC support: this is required for GOST
234      ciphersuite support.
235      [Victor B. Wagner <vitus@cryptocom.ru>, Steve Henson]
236
237   *) Add option -stream to use PKCS#7 streaming in smime utility. New
238      function i2d_PKCS7_bio_stream() and PEM_write_PKCS7_bio_stream()
239      to output in BER and PEM format.
240      [Steve Henson]
241
242   *) Experimental support for use of HMAC via EVP_PKEY interface. This
243      allows HMAC to be handled via the EVP_DigestSign*() interface. The
244      EVP_PKEY "key" in this case is the HMAC key, potentially allowing
245      ENGINE support for HMAC keys which are unextractable. New -mac and
246      -macopt options to dgst utility.
247      [Steve Henson]
248
249   *) New option -sigopt to dgst utility. Update dgst to use
250      EVP_Digest{Sign,Verify}*. These two changes make it possible to use
251      alternative signing paramaters such as X9.31 or PSS in the dgst 
252      utility.
253      [Steve Henson]
254
255   *) Change ssl_cipher_apply_rule(), the internal function that does
256      the work each time a ciphersuite string requests enabling
257      ("foo+bar"), moving ("+foo+bar"), disabling ("-foo+bar", or
258      removing ("!foo+bar") a class of ciphersuites: Now it maintains
259      the order of disabled ciphersuites such that those ciphersuites
260      that most recently went from enabled to disabled not only stay
261      in order with respect to each other, but also have higher priority
262      than other disabled ciphersuites the next time ciphersuites are
263      enabled again.
264
265      This means that you can now say, e.g., "PSK:-PSK:HIGH" to enable
266      the same ciphersuites as with "HIGH" alone, but in a specific
267      order where the PSK ciphersuites come first (since they are the
268      most recently disabled ciphersuites when "HIGH" is parsed).
269
270      Also, change ssl_create_cipher_list() (using this new
271      funcionality) such that between otherwise identical
272      cihpersuites, ephemeral ECDH is preferred over ephemeral DH in
273      the default order.
274      [Bodo Moeller]
275
276   *) Change ssl_create_cipher_list() so that it automatically
277      arranges the ciphersuites in reasonable order before starting
278      to process the rule string.  Thus, the definition for "DEFAULT"
279      (SSL_DEFAULT_CIPHER_LIST) now is just "ALL:!aNULL:!eNULL", but
280      remains equivalent to "AES:ALL:!aNULL:!eNULL:+aECDH:+kRSA:+RC4:@STRENGTH".
281      This makes it much easier to arrive at a reasonable default order
282      in applications for which anonymous ciphers are OK (meaning
283      that you can't actually use DEFAULT).
284      [Bodo Moeller; suggested by Victor Duchovni]
285
286   *) Split the SSL/TLS algorithm mask (as used for ciphersuite string
287      processing) into multiple integers instead of setting
288      "SSL_MKEY_MASK" bits, "SSL_AUTH_MASK" bits, "SSL_ENC_MASK",
289      "SSL_MAC_MASK", and "SSL_SSL_MASK" bits all in a single integer.
290      (These masks as well as the individual bit definitions are hidden
291      away into the non-exported interface ssl/ssl_locl.h, so this
292      change to the definition of the SSL_CIPHER structure shouldn't
293      affect applications.)  This give us more bits for each of these
294      categories, so there is no longer a need to coagulate AES128 and
295      AES256 into a single algorithm bit, and to coagulate Camellia128
296      and Camellia256 into a single algorithm bit, which has led to all
297      kinds of kludges.
298
299      Thus, among other things, the kludge introduced in 0.9.7m and
300      0.9.8e for masking out AES256 independently of AES128 or masking
301      out Camellia256 independently of AES256 is not needed here in 0.9.9.
302
303      With the change, we also introduce new ciphersuite aliases that
304      so far were missing: "AES128", "AES256", "CAMELLIA128", and
305      "CAMELLIA256".
306      [Bodo Moeller]
307
308   *) Add support for dsa-with-SHA224 and dsa-with-SHA256.
309      Use the leftmost N bytes of the signature input if the input is
310      larger than the prime q (with N being the size in bytes of q).
311      [Nils Larsch]
312
313   *) Very *very* experimental PKCS#7 streaming encoder support. Nothing uses
314      it yet and it is largely untested.
315      [Steve Henson]
316
317   *) Add support for the ecdsa-with-SHA224/256/384/512 signature types.
318      [Nils Larsch]
319
320   *) Initial incomplete changes to avoid need for function casts in OpenSSL
321      some compilers (gcc 4.2 and later) reject their use. Safestack is
322      reimplemented.  Update ASN1 to avoid use of legacy functions. 
323      [Steve Henson]
324
325   *) Win32/64 targets are linked with Winsock2.
326      [Andy Polyakov]
327
328   *) Add an X509_CRL_METHOD structure to allow CRL processing to be redirected
329      to external functions. This can be used to increase CRL handling 
330      efficiency especially when CRLs are very large by (for example) storing
331      the CRL revoked certificates in a database.
332      [Steve Henson]
333
334   *) Overhaul of by_dir code. Add support for dynamic loading of CRLs so
335      new CRLs added to a directory can be used. New command line option
336      -verify_return_error to s_client and s_server. This causes real errors
337      to be returned by the verify callback instead of carrying on no matter
338      what. This reflects the way a "real world" verify callback would behave.
339      [Steve Henson]
340
341   *) GOST engine, supporting several GOST algorithms and public key formats.
342      Kindly donated by Cryptocom.
343      [Cryptocom]
344
345   *) Partial support for Issuing Distribution Point CRL extension. CRLs
346      partitioned by DP are handled but no indirect CRL or reason partitioning
347      (yet). Complete overhaul of CRL handling: now the most suitable CRL is
348      selected via a scoring technique which handles IDP and AKID in CRLs.
349      [Steve Henson]
350
351   *) New X509_STORE_CTX callbacks lookup_crls() and lookup_certs() which
352      will ultimately be used for all verify operations: this will remove the
353      X509_STORE dependency on certificate verification and allow alternative
354      lookup methods.  X509_STORE based implementations of these two callbacks.
355      [Steve Henson]
356
357   *) Allow multiple CRLs to exist in an X509_STORE with matching issuer names.
358      Modify get_crl() to find a valid (unexpired) CRL if possible.
359      [Steve Henson]
360
361   *) New function X509_CRL_match() to check if two CRLs are identical. Normally
362      this would be called X509_CRL_cmp() but that name is already used by
363      a function that just compares CRL issuer names. Cache several CRL 
364      extensions in X509_CRL structure and cache CRLDP in X509.
365      [Steve Henson]
366
367   *) Store a "canonical" representation of X509_NAME structure (ASN1 Name)
368      this maps equivalent X509_NAME structures into a consistent structure.
369      Name comparison can then be performed rapidly using memcmp().
370      [Steve Henson]
371
372   *) Non-blocking OCSP request processing. Add -timeout option to ocsp 
373      utility.
374      [Steve Henson]
375
376   *) Allow digests to supply their own micalg string for S/MIME type using
377      the ctrl EVP_MD_CTRL_MICALG.
378      [Steve Henson]
379
380   *) During PKCS7 signing pass the PKCS7 SignerInfo structure to the
381      EVP_PKEY_METHOD before and after signing via the EVP_PKEY_CTRL_PKCS7_SIGN
382      ctrl. It can then customise the structure before and/or after signing
383      if necessary.
384      [Steve Henson]
385
386   *) New function OBJ_add_sigid() to allow application defined signature OIDs
387      to be added to OpenSSLs internal tables. New function OBJ_sigid_free()
388      to free up any added signature OIDs.
389      [Steve Henson]
390
391   *) New functions EVP_CIPHER_do_all(), EVP_CIPHER_do_all_sorted(),
392      EVP_MD_do_all() and EVP_MD_do_all_sorted() to enumerate internal
393      digest and cipher tables. New options added to openssl utility:
394      list-message-digest-algorithms and list-cipher-algorithms.
395      [Steve Henson]
396
397   *) Change the array representation of binary polynomials: the list
398      of degrees of non-zero coefficients is now terminated with -1.
399      Previously it was terminated with 0, which was also part of the
400      value; thus, the array representation was not applicable to
401      polynomials where t^0 has coefficient zero.  This change makes
402      the array representation useful in a more general context.
403      [Douglas Stebila]
404
405   *) Various modifications and fixes to SSL/TLS cipher string
406      handling.  For ECC, the code now distinguishes between fixed ECDH
407      with RSA certificates on the one hand and with ECDSA certificates
408      on the other hand, since these are separate ciphersuites.  The
409      unused code for Fortezza ciphersuites has been removed.
410
411      For consistency with EDH, ephemeral ECDH is now called "EECDH"
412      (not "ECDHE").  For consistency with the code for DH
413      certificates, use of ECDH certificates is now considered ECDH
414      authentication, not RSA or ECDSA authentication (the latter is
415      merely the CA's signing algorithm and not actively used in the
416      protocol).
417
418      The temporary ciphersuite alias "ECCdraft" is no longer
419      available, and ECC ciphersuites are no longer excluded from "ALL"
420      and "DEFAULT".  The following aliases now exist for RFC 4492
421      ciphersuites, most of these by analogy with the DH case:
422
423          kECDHr   - ECDH cert, signed with RSA
424          kECDHe   - ECDH cert, signed with ECDSA
425          kECDH    - ECDH cert (signed with either RSA or ECDSA)
426          kEECDH   - ephemeral ECDH
427          ECDH     - ECDH cert or ephemeral ECDH
428
429          aECDH    - ECDH cert
430          aECDSA   - ECDSA cert
431          ECDSA    - ECDSA cert
432
433          AECDH    - anonymous ECDH
434          EECDH    - non-anonymous ephemeral ECDH (equivalent to "kEECDH:-AECDH")
435
436      [Bodo Moeller]
437
438   *) Add additional S/MIME capabilities for AES and GOST ciphers if supported.
439      Use correct micalg parameters depending on digest(s) in signed message.
440      [Steve Henson]
441
442   *) Add engine support for EVP_PKEY_ASN1_METHOD. Add functions to process
443      an ENGINE asn1 method. Support ENGINE lookups in the ASN1 code.
444      [Steve Henson]
445
446   *) Initial engine support for EVP_PKEY_METHOD. New functions to permit
447      an engine to register a method. Add ENGINE lookups for methods and
448      functional reference processing.
449      [Steve Henson]
450
451   *) New functions EVP_Digest{Sign,Verify)*. These are enchance versions of
452      EVP_{Sign,Verify}* which allow an application to customise the signature
453      process.
454      [Steve Henson]
455
456   *) New -resign option to smime utility. This adds one or more signers
457      to an existing PKCS#7 signedData structure. Also -md option to use an
458      alternative message digest algorithm for signing.
459      [Steve Henson]
460
461   *) Tidy up PKCS#7 routines and add new functions to make it easier to
462      create PKCS7 structures containing multiple signers. Update smime
463      application to support multiple signers.
464      [Steve Henson]
465
466   *) New -macalg option to pkcs12 utility to allow setting of an alternative
467      digest MAC.
468      [Steve Henson]
469
470   *) Initial support for PKCS#5 v2.0 PRFs other than default SHA1 HMAC.
471      Reorganize PBE internals to lookup from a static table using NIDs,
472      add support for HMAC PBE OID translation. Add a EVP_CIPHER ctrl:
473      EVP_CTRL_PBE_PRF_NID this allows a cipher to specify an alternative
474      PRF which will be automatically used with PBES2.
475      [Steve Henson]
476
477   *) Replace the algorithm specific calls to generate keys in "req" with the
478      new API.
479      [Steve Henson]
480
481   *) Update PKCS#7 enveloped data routines to use new API. This is now
482      supported by any public key method supporting the encrypt operation. A
483      ctrl is added to allow the public key algorithm to examine or modify
484      the PKCS#7 RecipientInfo structure if it needs to: for RSA this is
485      a no op.
486      [Steve Henson]
487
488   *) Add a ctrl to asn1 method to allow a public key algorithm to express
489      a default digest type to use. In most cases this will be SHA1 but some
490      algorithms (such as GOST) need to specify an alternative digest. The
491      return value indicates how strong the prefernce is 1 means optional and
492      2 is mandatory (that is it is the only supported type). Modify
493      ASN1_item_sign() to accept a NULL digest argument to indicate it should
494      use the default md. Update openssl utilities to use the default digest
495      type for signing if it is not explicitly indicated.
496      [Steve Henson]
497
498   *) Use OID cross reference table in ASN1_sign() and ASN1_verify(). New 
499      EVP_MD flag EVP_MD_FLAG_PKEY_METHOD_SIGNATURE. This uses the relevant
500      signing method from the key type. This effectively removes the link
501      between digests and public key types.
502      [Steve Henson]
503
504   *) Add an OID cross reference table and utility functions. Its purpose is to
505      translate between signature OIDs such as SHA1WithrsaEncryption and SHA1,
506      rsaEncryption. This will allow some of the algorithm specific hackery
507      needed to use the correct OID to be removed. 
508      [Steve Henson]
509
510   *) Remove algorithm specific dependencies when setting PKCS7_SIGNER_INFO
511      structures for PKCS7_sign(). They are now set up by the relevant public
512      key ASN1 method.
513      [Steve Henson]
514
515   *) Add provisional EC pkey method with support for ECDSA and ECDH.
516      [Steve Henson]
517
518   *) Add support for key derivation (agreement) in the API, DH method and
519      pkeyutl.
520      [Steve Henson]
521
522   *) Add DSA pkey method and DH pkey methods, extend DH ASN1 method to support
523      public and private key formats. As a side effect these add additional 
524      command line functionality not previously available: DSA signatures can be
525      generated and verified using pkeyutl and DH key support and generation in
526      pkey, genpkey.
527      [Steve Henson]
528
529   *) BeOS support.
530      [Oliver Tappe <zooey@hirschkaefer.de>]
531
532   *) New make target "install_html_docs" installs HTML renditions of the
533      manual pages.
534      [Oliver Tappe <zooey@hirschkaefer.de>]
535
536   *) New utility "genpkey" this is analagous to "genrsa" etc except it can
537      generate keys for any algorithm. Extend and update EVP_PKEY_METHOD to
538      support key and parameter generation and add initial key generation
539      functionality for RSA.
540      [Steve Henson]
541
542   *) Add functions for main EVP_PKEY_method operations. The undocumented
543      functions EVP_PKEY_{encrypt,decrypt} have been renamed to
544      EVP_PKEY_{encrypt,decrypt}_old. 
545      [Steve Henson]
546
547   *) Initial definitions for EVP_PKEY_METHOD. This will be a high level public
548      key API, doesn't do much yet.
549      [Steve Henson]
550
551   *) New function EVP_PKEY_asn1_get0_info() to retrieve information about
552      public key algorithms. New option to openssl utility:
553      "list-public-key-algorithms" to print out info.
554      [Steve Henson]
555
556   *) Implement the Supported Elliptic Curves Extension for
557      ECC ciphersuites from draft-ietf-tls-ecc-12.txt.
558      [Douglas Stebila]
559
560   *) Don't free up OIDs in OBJ_cleanup() if they are in use by EVP_MD or
561      EVP_CIPHER structures to avoid later problems in EVP_cleanup().
562      [Steve Henson]
563
564   *) New utilities pkey and pkeyparam. These are similar to algorithm specific
565      utilities such as rsa, dsa, dsaparam etc except they process any key
566      type.
567      [Steve Henson]
568
569   *) Transfer public key printing routines to EVP_PKEY_ASN1_METHOD. New 
570      functions EVP_PKEY_print_public(), EVP_PKEY_print_private(),
571      EVP_PKEY_print_param() to print public key data from an EVP_PKEY
572      structure.
573      [Steve Henson]
574
575   *) Initial support for pluggable public key ASN1.
576      De-spaghettify the public key ASN1 handling. Move public and private
577      key ASN1 handling to a new EVP_PKEY_ASN1_METHOD structure. Relocate
578      algorithm specific handling to a single module within the relevant
579      algorithm directory. Add functions to allow (near) opaque processing
580      of public and private key structures.
581      [Steve Henson]
582
583   *) Implement the Supported Point Formats Extension for
584      ECC ciphersuites from draft-ietf-tls-ecc-12.txt.
585      [Douglas Stebila]
586
587   *) Add initial support for RFC 4279 PSK TLS ciphersuites. Add members
588      for the psk identity [hint] and the psk callback functions to the
589      SSL_SESSION, SSL and SSL_CTX structure.
590      
591      New ciphersuites:
592          PSK-RC4-SHA, PSK-3DES-EDE-CBC-SHA, PSK-AES128-CBC-SHA,
593          PSK-AES256-CBC-SHA
594  
595      New functions:
596          SSL_CTX_use_psk_identity_hint
597          SSL_get_psk_identity_hint
598          SSL_get_psk_identity
599          SSL_use_psk_identity_hint
600
601      [Mika Kousa and Pasi Eronen of Nokia Corporation]
602
603   *) Add RFC 3161 compliant time stamp request creation, response generation
604      and response verification functionality.
605      [Zoltán Glózik <zglozik@opentsa.org>, The OpenTSA Project]
606
607   *) Add initial support for TLS extensions, specifically for the server_name
608      extension so far.  The SSL_SESSION, SSL_CTX, and SSL data structures now
609      have new members for a host name.  The SSL data structure has an
610      additional member SSL_CTX *initial_ctx so that new sessions can be
611      stored in that context to allow for session resumption, even after the
612      SSL has been switched to a new SSL_CTX in reaction to a client's
613      server_name extension.
614
615      New functions (subject to change):
616
617          SSL_get_servername()
618          SSL_get_servername_type()
619          SSL_set_SSL_CTX()
620
621      New CTRL codes and macros (subject to change):
622
623          SSL_CTRL_SET_TLSEXT_SERVERNAME_CB
624                                  - SSL_CTX_set_tlsext_servername_callback()
625          SSL_CTRL_SET_TLSEXT_SERVERNAME_ARG
626                                       - SSL_CTX_set_tlsext_servername_arg()
627          SSL_CTRL_SET_TLSEXT_HOSTNAME           - SSL_set_tlsext_host_name()
628
629      openssl s_client has a new '-servername ...' option.
630
631      openssl s_server has new options '-servername_host ...', '-cert2 ...',
632      '-key2 ...', '-servername_fatal' (subject to change).  This allows
633      testing the HostName extension for a specific single host name ('-cert'
634      and '-key' remain fallbacks for handshakes without HostName
635      negotiation).  If the unrecogninzed_name alert has to be sent, this by
636      default is a warning; it becomes fatal with the '-servername_fatal'
637      option.
638
639      [Peter Sylvester,  Remy Allais, Christophe Renou]
640
641   *) Whirlpool hash implementation is added.
642      [Andy Polyakov]
643
644   *) BIGNUM code on 64-bit SPARCv9 targets is switched from bn(64,64) to
645      bn(64,32). Because of instruction set limitations it doesn't have
646      any negative impact on performance. This was done mostly in order
647      to make it possible to share assembler modules, such as bn_mul_mont
648      implementations, between 32- and 64-bit builds without hassle.
649      [Andy Polyakov]
650
651   *) Move code previously exiled into file crypto/ec/ec2_smpt.c
652      to ec2_smpl.c, and no longer require the OPENSSL_EC_BIN_PT_COMP
653      macro.
654      [Bodo Moeller]
655
656   *) New candidate for BIGNUM assembler implementation, bn_mul_mont,
657      dedicated Montgomery multiplication procedure, is introduced.
658      BN_MONT_CTX is modified to allow bn_mul_mont to reach for higher
659      "64-bit" performance on certain 32-bit targets.
660      [Andy Polyakov]
661
662   *) New option SSL_OP_NO_COMP to disable use of compression selectively
663      in SSL structures. New SSL ctrl to set maximum send fragment size. 
664      Save memory by seeting the I/O buffer sizes dynamically instead of
665      using the maximum available value.
666      [Steve Henson]
667
668   *) New option -V for 'openssl ciphers'. This prints the ciphersuite code
669      in addition to the text details.
670      [Bodo Moeller]
671
672   *) Very, very preliminary EXPERIMENTAL support for printing of general
673      ASN1 structures. This currently produces rather ugly output and doesn't
674      handle several customised structures at all.
675      [Steve Henson]
676
677   *) Integrated support for PVK file format and some related formats such
678      as MS PUBLICKEYBLOB and PRIVATEKEYBLOB. Command line switches to support
679      these in the 'rsa' and 'dsa' utilities.
680      [Steve Henson]
681
682   *) Support for PKCS#1 RSAPublicKey format on rsa utility command line.
683      [Steve Henson]
684
685   *) Remove the ancient ASN1_METHOD code. This was only ever used in one
686      place for the (very old) "NETSCAPE" format certificates which are now
687      handled using new ASN1 code equivalents.
688      [Steve Henson]
689
690   *) Let the TLSv1_method() etc. functions return a 'const' SSL_METHOD
691      pointer and make the SSL_METHOD parameter in SSL_CTX_new,
692      SSL_CTX_set_ssl_version and SSL_set_ssl_method 'const'.
693      [Nils Larsch]
694
695   *) Modify CRL distribution points extension code to print out previously
696      unsupported fields. Enhance extension setting code to allow setting of
697      all fields.
698      [Steve Henson]
699
700   *) Add print and set support for Issuing Distribution Point CRL extension.
701      [Steve Henson]
702
703   *) Change 'Configure' script to enable Camellia by default.
704      [NTT]
705
706  Changes between 0.9.8h and 0.9.8i  [xx XXX xxxx]
707
708   *) Fix a state transitition in s3_srvr.c and d1_srvr.c
709      (was using SSL3_ST_CW_CLNT_HELLO_B, should be ..._ST_SW_SRVR_...).
710      [Nagendra Modadugu]
711
712   *) The fix in 0.9.8c that supposedly got rid of unsafe
713      double-checked locking was incomplete for RSA blinding,
714      addressing just one layer of what turns out to have been
715      doubly unsafe triple-checked locking.
716
717      So now fix this for real by retiring the MONT_HELPER macro
718      in crypto/rsa/rsa_eay.c.
719
720      [Bodo Moeller; problem pointed out by Marius Schilder]
721
722   *) Various precautionary measures:
723
724      - Avoid size_t integer overflow in HASH_UPDATE (md32_common.h).
725
726      - Avoid a buffer overflow in d2i_SSL_SESSION() (ssl_asn1.c).
727        (NB: This would require knowledge of the secret session ticket key
728        to exploit, in which case you'd be SOL either way.)
729
730      - Change bn_nist.c so that it will properly handle input BIGNUMs
731        outside the expected range.
732
733      - Enforce the 'num' check in BN_div() (bn_div.c) for non-BN_DEBUG
734        builds.
735
736      [Neel Mehta, Bodo Moeller]
737
738   *) Add support for Local Machine Keyset attribute in PKCS#12 files.
739      [Steve Henson]
740
741   *) Fix BN_GF2m_mod_arr() top-bit cleanup code.
742      [Huang Ying]
743
744   *) Expand ENGINE to support engine supplied SSL client certificate functions.
745
746      This work was sponsored by Logica.
747      [Steve Henson]
748
749   *) Add CryptoAPI ENGINE to support use of RSA and DSA keys held in Windows
750      keystores. Support for SSL/TLS client authentication too.
751      Not compiled unless enable-capieng specified to Configure.
752
753      This work was sponsored by Logica.
754      [Steve Henson]
755
756 >>> Note: this change doesn't apply to the 0.9.9-dev branch (yet).
757   *) Allow engines to be "soft loaded" - i.e. optionally don't die if
758      the load fails. Useful for distros.
759      [Ben Laurie and the FreeBSD team]
760 <<<
761
762  Changes between 0.9.8g and 0.9.8h  [28 May 2008]
763
764   *) Fix flaw if 'Server Key exchange message' is omitted from a TLS
765      handshake which could lead to a cilent crash as found using the
766      Codenomicon TLS test suite (CVE-2008-1672) 
767      [Steve Henson, Mark Cox]
768
769   *) Fix double free in TLS server name extensions which could lead to
770      a remote crash found by Codenomicon TLS test suite (CVE-2008-0891) 
771      [Joe Orton]
772
773   *) Clear error queue in SSL_CTX_use_certificate_chain_file()
774
775      Clear the error queue to ensure that error entries left from
776      older function calls do not interfere with the correct operation.
777      [Lutz Jaenicke, Erik de Castro Lopo]
778
779   *) Remove root CA certificates of commercial CAs:
780
781      The OpenSSL project does not recommend any specific CA and does not
782      have any policy with respect to including or excluding any CA.
783      Therefore it does not make any sense to ship an arbitrary selection
784      of root CA certificates with the OpenSSL software.
785      [Lutz Jaenicke]
786
787   *) RSA OAEP patches to fix two separate invalid memory reads.
788      The first one involves inputs when 'lzero' is greater than
789      'SHA_DIGEST_LENGTH' (it would read about SHA_DIGEST_LENGTH bytes
790      before the beginning of from). The second one involves inputs where
791      the 'db' section contains nothing but zeroes (there is a one-byte
792      invalid read after the end of 'db').
793      [Ivan Nestlerode <inestlerode@us.ibm.com>]
794
795   *) Partial backport from 0.9.9-dev:
796
797      Introduce bn_mul_mont (dedicated Montgomery multiplication
798      procedure) as a candidate for BIGNUM assembler implementation.
799      While 0.9.9-dev uses assembler for various architectures, only
800      x86_64 is available by default here in the 0.9.8 branch, and
801      32-bit x86 is available through a compile-time setting.
802
803      To try the 32-bit x86 assembler implementation, use Configure
804      option "enable-montasm" (which exists only for this backport).
805
806      As "enable-montasm" for 32-bit x86 disclaims code stability
807      anyway, in this constellation we activate additional code
808      backported from 0.9.9-dev for further performance improvements,
809      namely BN_from_montgomery_word.  (To enable this otherwise,
810      e.g. x86_64, try "-DMONT_FROM_WORD___NON_DEFAULT_0_9_8_BUILD".)
811
812      [Andy Polyakov (backport partially by Bodo Moeller)]
813
814   *) Add TLS session ticket callback. This allows an application to set
815      TLS ticket cipher and HMAC keys rather than relying on hardcoded fixed
816      values. This is useful for key rollover for example where several key
817      sets may exist with different names.
818      [Steve Henson]
819
820   *) Reverse ENGINE-internal logic for caching default ENGINE handles.
821      This was broken until now in 0.9.8 releases, such that the only way
822      a registered ENGINE could be used (assuming it initialises
823      successfully on the host) was to explicitly set it as the default
824      for the relevant algorithms. This is in contradiction with 0.9.7
825      behaviour and the documentation. With this fix, when an ENGINE is
826      registered into a given algorithm's table of implementations, the
827      'uptodate' flag is reset so that auto-discovery will be used next
828      time a new context for that algorithm attempts to select an
829      implementation.
830      [Ian Lister (tweaked by Geoff Thorpe)]
831
832   *) Backport of CMS code to OpenSSL 0.9.8. This differs from the 0.9.9
833      implemention in the following ways:
834
835      Lack of EVP_PKEY_ASN1_METHOD means algorithm parameters have to be
836      hard coded.
837
838      Lack of BER streaming support means one pass streaming processing is
839      only supported if data is detached: setting the streaming flag is
840      ignored for embedded content.
841
842      CMS support is disabled by default and must be explicitly enabled
843      with the enable-cms configuration option.
844      [Steve Henson]
845
846   *) Update the GMP engine glue to do direct copies between BIGNUM and
847      mpz_t when openssl and GMP use the same limb size. Otherwise the
848      existing "conversion via a text string export" trick is still used.
849      [Paul Sheer <paulsheer@gmail.com>]
850
851   *) Zlib compression BIO. This is a filter BIO which compressed and
852      uncompresses any data passed through it.
853      [Steve Henson]
854
855   *) Add AES_wrap_key() and AES_unwrap_key() functions to implement
856      RFC3394 compatible AES key wrapping.
857      [Steve Henson]
858
859   *) Add utility functions to handle ASN1 structures. ASN1_STRING_set0():
860      sets string data without copying. X509_ALGOR_set0() and
861      X509_ALGOR_get0(): set and retrieve X509_ALGOR (AlgorithmIdentifier)
862      data. Attribute function X509at_get0_data_by_OBJ(): retrieves data
863      from an X509_ATTRIBUTE structure optionally checking it occurs only
864      once. ASN1_TYPE_set1(): set and ASN1_TYPE structure copying supplied
865      data.
866      [Steve Henson]
867
868   *) Fix BN flag handling in RSA_eay_mod_exp() and BN_MONT_CTX_set()
869      to get the expected BN_FLG_CONSTTIME behavior.
870      [Bodo Moeller (Google)]
871   
872   *) Netware support:
873
874      - fixed wrong usage of ioctlsocket() when build for LIBC BSD sockets
875      - fixed do_tests.pl to run the test suite with CLIB builds too (CLIB_OPT)
876      - added some more tests to do_tests.pl
877      - fixed RunningProcess usage so that it works with newer LIBC NDKs too
878      - removed usage of BN_LLONG for CLIB builds to avoid runtime dependency
879      - added new Configure targets netware-clib-bsdsock, netware-clib-gcc,
880        netware-clib-bsdsock-gcc, netware-libc-bsdsock-gcc
881      - various changes to netware.pl to enable gcc-cross builds on Win32
882        platform
883      - changed crypto/bio/b_sock.c to work with macro functions (CLIB BSD)
884      - various changes to fix missing prototype warnings
885      - fixed x86nasm.pl to create correct asm files for NASM COFF output
886      - added AES, WHIRLPOOL and CPUID assembler code to build files
887      - added missing AES assembler make rules to mk1mf.pl
888      - fixed order of includes in apps/ocsp.c so that e_os.h settings apply
889      [Guenter Knauf <eflash@gmx.net>]
890
891   *) Implement certificate status request TLS extension defined in RFC3546.
892      A client can set the appropriate parameters and receive the encoded
893      OCSP response via a callback. A server can query the supplied parameters
894      and set the encoded OCSP response in the callback. Add simplified examples
895      to s_client and s_server.
896      [Steve Henson]
897
898  Changes between 0.9.8f and 0.9.8g  [19 Oct 2007]
899
900   *) Fix various bugs:
901      + Binary incompatibility of ssl_ctx_st structure
902      + DTLS interoperation with non-compliant servers
903      + Don't call get_session_cb() without proposed session
904      + Fix ia64 assembler code
905      [Andy Polyakov, Steve Henson]
906
907  Changes between 0.9.8e and 0.9.8f  [11 Oct 2007]
908
909   *) DTLS Handshake overhaul. There were longstanding issues with
910      OpenSSL DTLS implementation, which were making it impossible for
911      RFC 4347 compliant client to communicate with OpenSSL server.
912      Unfortunately just fixing these incompatibilities would "cut off"
913      pre-0.9.8f clients. To allow for hassle free upgrade post-0.9.8e
914      server keeps tolerating non RFC compliant syntax. The opposite is
915      not true, 0.9.8f client can not communicate with earlier server.
916      This update even addresses CVE-2007-4995.
917      [Andy Polyakov]
918
919   *) Changes to avoid need for function casts in OpenSSL: some compilers
920      (gcc 4.2 and later) reject their use.
921      [Kurt Roeckx <kurt@roeckx.be>, Peter Hartley <pdh@utter.chaos.org.uk>,
922       Steve Henson]
923   
924   *) Add RFC4507 support to OpenSSL. This includes the corrections in
925      RFC4507bis. The encrypted ticket format is an encrypted encoded
926      SSL_SESSION structure, that way new session features are automatically
927      supported.
928
929      If a client application caches session in an SSL_SESSION structure
930      support is transparent because tickets are now stored in the encoded
931      SSL_SESSION.
932      
933      The SSL_CTX structure automatically generates keys for ticket
934      protection in servers so again support should be possible
935      with no application modification.
936
937      If a client or server wishes to disable RFC4507 support then the option
938      SSL_OP_NO_TICKET can be set.
939
940      Add a TLS extension debugging callback to allow the contents of any client
941      or server extensions to be examined.
942
943      This work was sponsored by Google.
944      [Steve Henson]
945
946   *) Add initial support for TLS extensions, specifically for the server_name
947      extension so far.  The SSL_SESSION, SSL_CTX, and SSL data structures now
948      have new members for a host name.  The SSL data structure has an
949      additional member SSL_CTX *initial_ctx so that new sessions can be
950      stored in that context to allow for session resumption, even after the
951      SSL has been switched to a new SSL_CTX in reaction to a client's
952      server_name extension.
953
954      New functions (subject to change):
955
956          SSL_get_servername()
957          SSL_get_servername_type()
958          SSL_set_SSL_CTX()
959
960      New CTRL codes and macros (subject to change):
961
962          SSL_CTRL_SET_TLSEXT_SERVERNAME_CB
963                                  - SSL_CTX_set_tlsext_servername_callback()
964          SSL_CTRL_SET_TLSEXT_SERVERNAME_ARG
965                                       - SSL_CTX_set_tlsext_servername_arg()
966          SSL_CTRL_SET_TLSEXT_HOSTNAME           - SSL_set_tlsext_host_name()
967
968      openssl s_client has a new '-servername ...' option.
969
970      openssl s_server has new options '-servername_host ...', '-cert2 ...',
971      '-key2 ...', '-servername_fatal' (subject to change).  This allows
972      testing the HostName extension for a specific single host name ('-cert'
973      and '-key' remain fallbacks for handshakes without HostName
974      negotiation).  If the unrecogninzed_name alert has to be sent, this by
975      default is a warning; it becomes fatal with the '-servername_fatal'
976      option.
977
978      [Peter Sylvester,  Remy Allais, Christophe Renou, Steve Henson]
979
980   *) Add AES and SSE2 assembly language support to VC++ build.
981      [Steve Henson]
982
983   *) Mitigate attack on final subtraction in Montgomery reduction.
984      [Andy Polyakov]
985
986   *) Fix crypto/ec/ec_mult.c to work properly with scalars of value 0
987      (which previously caused an internal error).
988      [Bodo Moeller]
989
990   *) Squeeze another 10% out of IGE mode when in != out.
991      [Ben Laurie]
992
993   *) AES IGE mode speedup.
994      [Dean Gaudet (Google)]
995
996   *) Add the Korean symmetric 128-bit cipher SEED (see
997      http://www.kisa.or.kr/kisa/seed/jsp/seed_eng.jsp) and
998      add SEED ciphersuites from RFC 4162:
999
1000         TLS_RSA_WITH_SEED_CBC_SHA      =  "SEED-SHA"
1001         TLS_DHE_DSS_WITH_SEED_CBC_SHA  =  "DHE-DSS-SEED-SHA"
1002         TLS_DHE_RSA_WITH_SEED_CBC_SHA  =  "DHE-RSA-SEED-SHA"
1003         TLS_DH_anon_WITH_SEED_CBC_SHA  =  "ADH-SEED-SHA"
1004
1005      To minimize changes between patchlevels in the OpenSSL 0.9.8
1006      series, SEED remains excluded from compilation unless OpenSSL
1007      is configured with 'enable-seed'.
1008      [KISA, Bodo Moeller]
1009
1010   *) Mitigate branch prediction attacks, which can be practical if a
1011      single processor is shared, allowing a spy process to extract
1012      information.  For detailed background information, see
1013      http://eprint.iacr.org/2007/039 (O. Aciicmez, S. Gueron,
1014      J.-P. Seifert, "New Branch Prediction Vulnerabilities in OpenSSL
1015      and Necessary Software Countermeasures").  The core of the change
1016      are new versions BN_div_no_branch() and
1017      BN_mod_inverse_no_branch() of BN_div() and BN_mod_inverse(),
1018      respectively, which are slower, but avoid the security-relevant
1019      conditional branches.  These are automatically called by BN_div()
1020      and BN_mod_inverse() if the flag BN_FLG_CONSTTIME is set for one
1021      of the input BIGNUMs.  Also, BN_is_bit_set() has been changed to
1022      remove a conditional branch.
1023
1024      BN_FLG_CONSTTIME is the new name for the previous
1025      BN_FLG_EXP_CONSTTIME flag, since it now affects more than just
1026      modular exponentiation.  (Since OpenSSL 0.9.7h, setting this flag
1027      in the exponent causes BN_mod_exp_mont() to use the alternative
1028      implementation in BN_mod_exp_mont_consttime().)  The old name
1029      remains as a deprecated alias.
1030
1031      Similary, RSA_FLAG_NO_EXP_CONSTTIME is replaced by a more general
1032      RSA_FLAG_NO_CONSTTIME flag since the RSA implementation now uses
1033      constant-time implementations for more than just exponentiation.
1034      Here too the old name is kept as a deprecated alias.
1035
1036      BN_BLINDING_new() will now use BN_dup() for the modulus so that
1037      the BN_BLINDING structure gets an independent copy of the
1038      modulus.  This means that the previous "BIGNUM *m" argument to
1039      BN_BLINDING_new() and to BN_BLINDING_create_param() now
1040      essentially becomes "const BIGNUM *m", although we can't actually
1041      change this in the header file before 0.9.9.  It allows
1042      RSA_setup_blinding() to use BN_with_flags() on the modulus to
1043      enable BN_FLG_CONSTTIME.
1044
1045      [Matthew D Wood (Intel Corp)]
1046
1047   *) In the SSL/TLS server implementation, be strict about session ID
1048      context matching (which matters if an application uses a single
1049      external cache for different purposes).  Previously,
1050      out-of-context reuse was forbidden only if SSL_VERIFY_PEER was
1051      set.  This did ensure strict client verification, but meant that,
1052      with applications using a single external cache for quite
1053      different requirements, clients could circumvent ciphersuite
1054      restrictions for a given session ID context by starting a session
1055      in a different context.
1056      [Bodo Moeller]
1057
1058   *) Include "!eNULL" in SSL_DEFAULT_CIPHER_LIST to make sure that
1059      a ciphersuite string such as "DEFAULT:RSA" cannot enable
1060      authentication-only ciphersuites.
1061      [Bodo Moeller]
1062
1063   *) Update the SSL_get_shared_ciphers() fix CVE-2006-3738 which was
1064      not complete and could lead to a possible single byte overflow
1065      (CVE-2007-5135) [Ben Laurie]
1066
1067  Changes between 0.9.8d and 0.9.8e  [23 Feb 2007]
1068
1069   *) Since AES128 and AES256 (and similarly Camellia128 and
1070      Camellia256) share a single mask bit in the logic of
1071      ssl/ssl_ciph.c, the code for masking out disabled ciphers needs a
1072      kludge to work properly if AES128 is available and AES256 isn't
1073      (or if Camellia128 is available and Camellia256 isn't).
1074      [Victor Duchovni]
1075
1076   *) Fix the BIT STRING encoding generated by crypto/ec/ec_asn1.c
1077      (within i2d_ECPrivateKey, i2d_ECPKParameters, i2d_ECParameters):
1078      When a point or a seed is encoded in a BIT STRING, we need to
1079      prevent the removal of trailing zero bits to get the proper DER
1080      encoding.  (By default, crypto/asn1/a_bitstr.c assumes the case
1081      of a NamedBitList, for which trailing 0 bits need to be removed.)
1082      [Bodo Moeller]
1083
1084   *) Have SSL/TLS server implementation tolerate "mismatched" record
1085      protocol version while receiving ClientHello even if the
1086      ClientHello is fragmented.  (The server can't insist on the
1087      particular protocol version it has chosen before the ServerHello
1088      message has informed the client about his choice.)
1089      [Bodo Moeller]
1090
1091   *) Add RFC 3779 support.
1092      [Rob Austein for ARIN, Ben Laurie]
1093
1094   *) Load error codes if they are not already present instead of using a
1095      static variable. This allows them to be cleanly unloaded and reloaded.
1096      Improve header file function name parsing.
1097      [Steve Henson]
1098
1099   *) extend SMTP and IMAP protocol emulation in s_client to use EHLO
1100      or CAPABILITY handshake as required by RFCs.
1101      [Goetz Babin-Ebell]
1102
1103  Changes between 0.9.8c and 0.9.8d  [28 Sep 2006]
1104
1105   *) Introduce limits to prevent malicious keys being able to
1106      cause a denial of service.  (CVE-2006-2940)
1107      [Steve Henson, Bodo Moeller]
1108
1109   *) Fix ASN.1 parsing of certain invalid structures that can result
1110      in a denial of service.  (CVE-2006-2937)  [Steve Henson]
1111
1112   *) Fix buffer overflow in SSL_get_shared_ciphers() function. 
1113      (CVE-2006-3738) [Tavis Ormandy and Will Drewry, Google Security Team]
1114
1115   *) Fix SSL client code which could crash if connecting to a
1116      malicious SSLv2 server.  (CVE-2006-4343)
1117      [Tavis Ormandy and Will Drewry, Google Security Team]
1118
1119   *) Since 0.9.8b, ciphersuite strings naming explicit ciphersuites
1120      match only those.  Before that, "AES256-SHA" would be interpreted
1121      as a pattern and match "AES128-SHA" too (since AES128-SHA got
1122      the same strength classification in 0.9.7h) as we currently only
1123      have a single AES bit in the ciphersuite description bitmap.
1124      That change, however, also applied to ciphersuite strings such as
1125      "RC4-MD5" that intentionally matched multiple ciphersuites --
1126      namely, SSL 2.0 ciphersuites in addition to the more common ones
1127      from SSL 3.0/TLS 1.0.
1128
1129      So we change the selection algorithm again: Naming an explicit
1130      ciphersuite selects this one ciphersuite, and any other similar
1131      ciphersuite (same bitmap) from *other* protocol versions.
1132      Thus, "RC4-MD5" again will properly select both the SSL 2.0
1133      ciphersuite and the SSL 3.0/TLS 1.0 ciphersuite.
1134
1135      Since SSL 2.0 does not have any ciphersuites for which the
1136      128/256 bit distinction would be relevant, this works for now.
1137      The proper fix will be to use different bits for AES128 and
1138      AES256, which would have avoided the problems from the beginning;
1139      however, bits are scarce, so we can only do this in a new release
1140      (not just a patchlevel) when we can change the SSL_CIPHER
1141      definition to split the single 'unsigned long mask' bitmap into
1142      multiple values to extend the available space.
1143
1144      [Bodo Moeller]
1145
1146  Changes between 0.9.8b and 0.9.8c  [05 Sep 2006]
1147
1148   *) Avoid PKCS #1 v1.5 signature attack discovered by Daniel Bleichenbacher
1149      (CVE-2006-4339)  [Ben Laurie and Google Security Team]
1150
1151   *) Add AES IGE and biIGE modes.
1152      [Ben Laurie]
1153
1154   *) Change the Unix randomness entropy gathering to use poll() when
1155      possible instead of select(), since the latter has some
1156      undesirable limitations.
1157      [Darryl Miles via Richard Levitte and Bodo Moeller]
1158
1159   *) Disable "ECCdraft" ciphersuites more thoroughly.  Now special
1160      treatment in ssl/ssl_ciph.s makes sure that these ciphersuites
1161      cannot be implicitly activated as part of, e.g., the "AES" alias.
1162      However, please upgrade to OpenSSL 0.9.9[-dev] for
1163      non-experimental use of the ECC ciphersuites to get TLS extension
1164      support, which is required for curve and point format negotiation
1165      to avoid potential handshake problems.
1166      [Bodo Moeller]
1167
1168   *) Disable rogue ciphersuites:
1169
1170       - SSLv2 0x08 0x00 0x80 ("RC4-64-MD5")
1171       - SSLv3/TLSv1 0x00 0x61 ("EXP1024-RC2-CBC-MD5")
1172       - SSLv3/TLSv1 0x00 0x60 ("EXP1024-RC4-MD5")
1173
1174      The latter two were purportedly from
1175      draft-ietf-tls-56-bit-ciphersuites-0[01].txt, but do not really
1176      appear there.
1177
1178      Also deactivate the remaining ciphersuites from
1179      draft-ietf-tls-56-bit-ciphersuites-01.txt.  These are just as
1180      unofficial, and the ID has long expired.
1181      [Bodo Moeller]
1182
1183   *) Fix RSA blinding Heisenbug (problems sometimes occured on
1184      dual-core machines) and other potential thread-safety issues.
1185      [Bodo Moeller]
1186
1187   *) Add the symmetric cipher Camellia (128-bit, 192-bit, 256-bit key
1188      versions), which is now available for royalty-free use
1189      (see http://info.isl.ntt.co.jp/crypt/eng/info/chiteki.html).
1190      Also, add Camellia TLS ciphersuites from RFC 4132.
1191
1192      To minimize changes between patchlevels in the OpenSSL 0.9.8
1193      series, Camellia remains excluded from compilation unless OpenSSL
1194      is configured with 'enable-camellia'.
1195      [NTT]
1196
1197   *) Disable the padding bug check when compression is in use. The padding
1198      bug check assumes the first packet is of even length, this is not
1199      necessarily true if compresssion is enabled and can result in false
1200      positives causing handshake failure. The actual bug test is ancient
1201      code so it is hoped that implementations will either have fixed it by
1202      now or any which still have the bug do not support compression.
1203      [Steve Henson]
1204
1205  Changes between 0.9.8a and 0.9.8b  [04 May 2006]
1206
1207   *) When applying a cipher rule check to see if string match is an explicit
1208      cipher suite and only match that one cipher suite if it is.
1209      [Steve Henson]
1210
1211   *) Link in manifests for VC++ if needed.
1212      [Austin Ziegler <halostatue@gmail.com>]
1213
1214   *) Update support for ECC-based TLS ciphersuites according to
1215      draft-ietf-tls-ecc-12.txt with proposed changes (but without
1216      TLS extensions, which are supported starting with the 0.9.9
1217      branch, not in the OpenSSL 0.9.8 branch).
1218      [Douglas Stebila]
1219
1220   *) New functions EVP_CIPHER_CTX_new() and EVP_CIPHER_CTX_free() to support
1221      opaque EVP_CIPHER_CTX handling.
1222      [Steve Henson]
1223
1224   *) Fixes and enhancements to zlib compression code. We now only use
1225      "zlib1.dll" and use the default __cdecl calling convention on Win32
1226      to conform with the standards mentioned here:
1227            http://www.zlib.net/DLL_FAQ.txt
1228      Static zlib linking now works on Windows and the new --with-zlib-include
1229      --with-zlib-lib options to Configure can be used to supply the location
1230      of the headers and library. Gracefully handle case where zlib library
1231      can't be loaded.
1232      [Steve Henson]
1233
1234   *) Several fixes and enhancements to the OID generation code. The old code
1235      sometimes allowed invalid OIDs (1.X for X >= 40 for example), couldn't
1236      handle numbers larger than ULONG_MAX, truncated printing and had a
1237      non standard OBJ_obj2txt() behaviour.
1238      [Steve Henson]
1239
1240   *) Add support for building of engines under engine/ as shared libraries
1241      under VC++ build system.
1242      [Steve Henson]
1243
1244   *) Corrected the numerous bugs in the Win32 path splitter in DSO.
1245      Hopefully, we will not see any false combination of paths any more.
1246      [Richard Levitte]
1247
1248  Changes between 0.9.8 and 0.9.8a  [11 Oct 2005]
1249
1250   *) Remove the functionality of SSL_OP_MSIE_SSLV2_RSA_PADDING
1251      (part of SSL_OP_ALL).  This option used to disable the
1252      countermeasure against man-in-the-middle protocol-version
1253      rollback in the SSL 2.0 server implementation, which is a bad
1254      idea.  (CVE-2005-2969)
1255
1256      [Bodo Moeller; problem pointed out by Yutaka Oiwa (Research Center
1257      for Information Security, National Institute of Advanced Industrial
1258      Science and Technology [AIST], Japan)]
1259
1260   *) Add two function to clear and return the verify parameter flags.
1261      [Steve Henson]
1262
1263   *) Keep cipherlists sorted in the source instead of sorting them at
1264      runtime, thus removing the need for a lock.
1265      [Nils Larsch]
1266
1267   *) Avoid some small subgroup attacks in Diffie-Hellman.
1268      [Nick Mathewson and Ben Laurie]
1269
1270   *) Add functions for well-known primes.
1271      [Nick Mathewson]
1272
1273   *) Extended Windows CE support.
1274      [Satoshi Nakamura and Andy Polyakov]
1275
1276   *) Initialize SSL_METHOD structures at compile time instead of during
1277      runtime, thus removing the need for a lock.
1278      [Steve Henson]
1279
1280   *) Make PKCS7_decrypt() work even if no certificate is supplied by
1281      attempting to decrypt each encrypted key in turn. Add support to
1282      smime utility.
1283      [Steve Henson]
1284
1285  Changes between 0.9.7h and 0.9.8  [05 Jul 2005]
1286
1287   [NB: OpenSSL 0.9.7i and later 0.9.7 patch levels were released after
1288   OpenSSL 0.9.8.]
1289
1290   *) Add libcrypto.pc and libssl.pc for those who feel they need them.
1291      [Richard Levitte]
1292
1293   *) Change CA.sh and CA.pl so they don't bundle the CSR and the private
1294      key into the same file any more.
1295      [Richard Levitte]
1296
1297   *) Add initial support for Win64, both IA64 and AMD64/x64 flavors.
1298      [Andy Polyakov]
1299
1300   *) Add -utf8 command line and config file option to 'ca'.
1301      [Stefan <stf@udoma.org]
1302
1303   *) Removed the macro des_crypt(), as it seems to conflict with some
1304      libraries.  Use DES_crypt().
1305      [Richard Levitte]
1306
1307   *) Correct naming of the 'chil' and '4758cca' ENGINEs. This
1308      involves renaming the source and generated shared-libs for
1309      both. The engines will accept the corrected or legacy ids
1310      ('ncipher' and '4758_cca' respectively) when binding. NB,
1311      this only applies when building 'shared'.
1312      [Corinna Vinschen <vinschen@redhat.com> and Geoff Thorpe]
1313
1314   *) Add attribute functions to EVP_PKEY structure. Modify
1315      PKCS12_create() to recognize a CSP name attribute and
1316      use it. Make -CSP option work again in pkcs12 utility.
1317      [Steve Henson]
1318
1319   *) Add new functionality to the bn blinding code:
1320      - automatic re-creation of the BN_BLINDING parameters after
1321        a fixed number of uses (currently 32)
1322      - add new function for parameter creation
1323      - introduce flags to control the update behaviour of the
1324        BN_BLINDING parameters
1325      - hide BN_BLINDING structure
1326      Add a second BN_BLINDING slot to the RSA structure to improve
1327      performance when a single RSA object is shared among several
1328      threads.
1329      [Nils Larsch]
1330
1331   *) Add support for DTLS.
1332      [Nagendra Modadugu <nagendra@cs.stanford.edu> and Ben Laurie]
1333
1334   *) Add support for DER encoded private keys (SSL_FILETYPE_ASN1)
1335      to SSL_CTX_use_PrivateKey_file() and SSL_use_PrivateKey_file()
1336      [Walter Goulet]
1337
1338   *) Remove buggy and incompletet DH cert support from
1339      ssl/ssl_rsa.c and ssl/s3_both.c
1340      [Nils Larsch]
1341
1342   *) Use SHA-1 instead of MD5 as the default digest algorithm for
1343      the apps/openssl applications.
1344      [Nils Larsch]
1345
1346   *) Compile clean with "-Wall -Wmissing-prototypes
1347      -Wstrict-prototypes -Wmissing-declarations -Werror". Currently
1348      DEBUG_SAFESTACK must also be set.
1349      [Ben Laurie]
1350
1351   *) Change ./Configure so that certain algorithms can be disabled by default.
1352      The new counterpiece to "no-xxx" is "enable-xxx".
1353
1354      The patented RC5 and MDC2 algorithms will now be disabled unless
1355      "enable-rc5" and "enable-mdc2", respectively, are specified.
1356
1357      (IDEA remains enabled despite being patented.  This is because IDEA
1358      is frequently required for interoperability, and there is no license
1359      fee for non-commercial use.  As before, "no-idea" can be used to
1360      avoid this algorithm.)
1361
1362      [Bodo Moeller]
1363
1364   *) Add processing of proxy certificates (see RFC 3820).  This work was
1365      sponsored by KTH (The Royal Institute of Technology in Stockholm) and
1366      EGEE (Enabling Grids for E-science in Europe).
1367      [Richard Levitte]
1368
1369   *) RC4 performance overhaul on modern architectures/implementations, such
1370      as Intel P4, IA-64 and AMD64.
1371      [Andy Polyakov]
1372
1373   *) New utility extract-section.pl. This can be used specify an alternative
1374      section number in a pod file instead of having to treat each file as
1375      a separate case in Makefile. This can be done by adding two lines to the
1376      pod file:
1377
1378      =for comment openssl_section:XXX
1379
1380      The blank line is mandatory.
1381
1382      [Steve Henson]
1383
1384   *) New arguments -certform, -keyform and -pass for s_client and s_server
1385      to allow alternative format key and certificate files and passphrase
1386      sources.
1387      [Steve Henson]
1388
1389   *) New structure X509_VERIFY_PARAM which combines current verify parameters,
1390      update associated structures and add various utility functions.
1391
1392      Add new policy related verify parameters, include policy checking in 
1393      standard verify code. Enhance 'smime' application with extra parameters
1394      to support policy checking and print out.
1395      [Steve Henson]
1396
1397   *) Add a new engine to support VIA PadLock ACE extensions in the VIA C3
1398      Nehemiah processors. These extensions support AES encryption in hardware
1399      as well as RNG (though RNG support is currently disabled).
1400      [Michal Ludvig <michal@logix.cz>, with help from Andy Polyakov]
1401
1402   *) Deprecate BN_[get|set]_params() functions (they were ignored internally).
1403      [Geoff Thorpe]
1404
1405   *) New FIPS 180-2 algorithms, SHA-224/-256/-384/-512 are implemented.
1406      [Andy Polyakov and a number of other people]
1407
1408   *) Improved PowerPC platform support. Most notably BIGNUM assembler
1409      implementation contributed by IBM.
1410      [Suresh Chari, Peter Waltenberg, Andy Polyakov]
1411
1412   *) The new 'RSA_generate_key_ex' function now takes a BIGNUM for the public
1413      exponent rather than 'unsigned long'. There is a corresponding change to
1414      the new 'rsa_keygen' element of the RSA_METHOD structure.
1415      [Jelte Jansen, Geoff Thorpe]
1416
1417   *) Functionality for creating the initial serial number file is now
1418      moved from CA.pl to the 'ca' utility with a new option -create_serial.
1419
1420      (Before OpenSSL 0.9.7e, CA.pl used to initialize the serial
1421      number file to 1, which is bound to cause problems.  To avoid
1422      the problems while respecting compatibility between different 0.9.7
1423      patchlevels, 0.9.7e  employed 'openssl x509 -next_serial' in
1424      CA.pl for serial number initialization.  With the new release 0.9.8,
1425      we can fix the problem directly in the 'ca' utility.)
1426      [Steve Henson]
1427
1428   *) Reduced header interdepencies by declaring more opaque objects in
1429      ossl_typ.h. As a consequence, including some headers (eg. engine.h) will
1430      give fewer recursive includes, which could break lazy source code - so
1431      this change is covered by the OPENSSL_NO_DEPRECATED symbol. As always,
1432      developers should define this symbol when building and using openssl to
1433      ensure they track the recommended behaviour, interfaces, [etc], but
1434      backwards-compatible behaviour prevails when this isn't defined.
1435      [Geoff Thorpe]
1436
1437   *) New function X509_POLICY_NODE_print() which prints out policy nodes.
1438      [Steve Henson]
1439
1440   *) Add new EVP function EVP_CIPHER_CTX_rand_key and associated functionality.
1441      This will generate a random key of the appropriate length based on the 
1442      cipher context. The EVP_CIPHER can provide its own random key generation
1443      routine to support keys of a specific form. This is used in the des and 
1444      3des routines to generate a key of the correct parity. Update S/MIME
1445      code to use new functions and hence generate correct parity DES keys.
1446      Add EVP_CHECK_DES_KEY #define to return an error if the key is not 
1447      valid (weak or incorrect parity).
1448      [Steve Henson]
1449
1450   *) Add a local set of CRLs that can be used by X509_verify_cert() as well
1451      as looking them up. This is useful when the verified structure may contain
1452      CRLs, for example PKCS#7 signedData. Modify PKCS7_verify() to use any CRLs
1453      present unless the new PKCS7_NO_CRL flag is asserted.
1454      [Steve Henson]
1455
1456   *) Extend ASN1 oid configuration module. It now additionally accepts the
1457      syntax:
1458
1459      shortName = some long name, 1.2.3.4
1460      [Steve Henson]
1461
1462   *) Reimplemented the BN_CTX implementation. There is now no more static
1463      limitation on the number of variables it can handle nor the depth of the
1464      "stack" handling for BN_CTX_start()/BN_CTX_end() pairs. The stack
1465      information can now expand as required, and rather than having a single
1466      static array of bignums, BN_CTX now uses a linked-list of such arrays
1467      allowing it to expand on demand whilst maintaining the usefulness of
1468      BN_CTX's "bundling".
1469      [Geoff Thorpe]
1470
1471   *) Add a missing BN_CTX parameter to the 'rsa_mod_exp' callback in RSA_METHOD
1472      to allow all RSA operations to function using a single BN_CTX.
1473      [Geoff Thorpe]
1474
1475   *) Preliminary support for certificate policy evaluation and checking. This
1476      is initially intended to pass the tests outlined in "Conformance Testing
1477      of Relying Party Client Certificate Path Processing Logic" v1.07.
1478      [Steve Henson]
1479
1480   *) bn_dup_expand() has been deprecated, it was introduced in 0.9.7 and
1481      remained unused and not that useful. A variety of other little bignum
1482      tweaks and fixes have also been made continuing on from the audit (see
1483      below).
1484      [Geoff Thorpe]
1485
1486   *) Constify all or almost all d2i, c2i, s2i and r2i functions, along with
1487      associated ASN1, EVP and SSL functions and old ASN1 macros.
1488      [Richard Levitte]
1489
1490   *) BN_zero() only needs to set 'top' and 'neg' to zero for correct results,
1491      and this should never fail. So the return value from the use of
1492      BN_set_word() (which can fail due to needless expansion) is now deprecated;
1493      if OPENSSL_NO_DEPRECATED is defined, BN_zero() is a void macro.
1494      [Geoff Thorpe]
1495
1496   *) BN_CTX_get() should return zero-valued bignums, providing the same
1497      initialised value as BN_new().
1498      [Geoff Thorpe, suggested by Ulf Möller]
1499
1500   *) Support for inhibitAnyPolicy certificate extension.
1501      [Steve Henson]
1502
1503   *) An audit of the BIGNUM code is underway, for which debugging code is
1504      enabled when BN_DEBUG is defined. This makes stricter enforcements on what
1505      is considered valid when processing BIGNUMs, and causes execution to
1506      assert() when a problem is discovered. If BN_DEBUG_RAND is defined,
1507      further steps are taken to deliberately pollute unused data in BIGNUM
1508      structures to try and expose faulty code further on. For now, openssl will
1509      (in its default mode of operation) continue to tolerate the inconsistent
1510      forms that it has tolerated in the past, but authors and packagers should
1511      consider trying openssl and their own applications when compiled with
1512      these debugging symbols defined. It will help highlight potential bugs in
1513      their own code, and will improve the test coverage for OpenSSL itself. At
1514      some point, these tighter rules will become openssl's default to improve
1515      maintainability, though the assert()s and other overheads will remain only
1516      in debugging configurations. See bn.h for more details.
1517      [Geoff Thorpe, Nils Larsch, Ulf Möller]
1518
1519   *) BN_CTX_init() has been deprecated, as BN_CTX is an opaque structure
1520      that can only be obtained through BN_CTX_new() (which implicitly
1521      initialises it). The presence of this function only made it possible
1522      to overwrite an existing structure (and cause memory leaks).
1523      [Geoff Thorpe]
1524
1525   *) Because of the callback-based approach for implementing LHASH as a
1526      template type, lh_insert() adds opaque objects to hash-tables and
1527      lh_doall() or lh_doall_arg() are typically used with a destructor callback
1528      to clean up those corresponding objects before destroying the hash table
1529      (and losing the object pointers). So some over-zealous constifications in
1530      LHASH have been relaxed so that lh_insert() does not take (nor store) the
1531      objects as "const" and the lh_doall[_arg] callback wrappers are not
1532      prototyped to have "const" restrictions on the object pointers they are
1533      given (and so aren't required to cast them away any more).
1534      [Geoff Thorpe]
1535
1536   *) The tmdiff.h API was so ugly and minimal that our own timing utility
1537      (speed) prefers to use its own implementation. The two implementations
1538      haven't been consolidated as yet (volunteers?) but the tmdiff API has had
1539      its object type properly exposed (MS_TM) instead of casting to/from "char
1540      *". This may still change yet if someone realises MS_TM and "ms_time_***"
1541      aren't necessarily the greatest nomenclatures - but this is what was used
1542      internally to the implementation so I've used that for now.
1543      [Geoff Thorpe]
1544
1545   *) Ensure that deprecated functions do not get compiled when
1546      OPENSSL_NO_DEPRECATED is defined. Some "openssl" subcommands and a few of
1547      the self-tests were still using deprecated key-generation functions so
1548      these have been updated also.
1549      [Geoff Thorpe]
1550
1551   *) Reorganise PKCS#7 code to separate the digest location functionality
1552      into PKCS7_find_digest(), digest addtion into PKCS7_bio_add_digest().
1553      New function PKCS7_set_digest() to set the digest type for PKCS#7
1554      digestedData type. Add additional code to correctly generate the
1555      digestedData type and add support for this type in PKCS7 initialization
1556      functions.
1557      [Steve Henson]
1558
1559   *) New function PKCS7_set0_type_other() this initializes a PKCS7 
1560      structure of type "other".
1561      [Steve Henson]
1562
1563   *) Fix prime generation loop in crypto/bn/bn_prime.pl by making
1564      sure the loop does correctly stop and breaking ("division by zero")
1565      modulus operations are not performed. The (pre-generated) prime
1566      table crypto/bn/bn_prime.h was already correct, but it could not be
1567      re-generated on some platforms because of the "division by zero"
1568      situation in the script.
1569      [Ralf S. Engelschall]
1570
1571   *) Update support for ECC-based TLS ciphersuites according to
1572      draft-ietf-tls-ecc-03.txt: the KDF1 key derivation function with
1573      SHA-1 now is only used for "small" curves (where the
1574      representation of a field element takes up to 24 bytes); for
1575      larger curves, the field element resulting from ECDH is directly
1576      used as premaster secret.
1577      [Douglas Stebila (Sun Microsystems Laboratories)]
1578
1579   *) Add code for kP+lQ timings to crypto/ec/ectest.c, and add SEC2
1580      curve secp160r1 to the tests.
1581      [Douglas Stebila (Sun Microsystems Laboratories)]
1582
1583   *) Add the possibility to load symbols globally with DSO.
1584      [Götz Babin-Ebell <babin-ebell@trustcenter.de> via Richard Levitte]
1585
1586   *) Add the functions ERR_set_mark() and ERR_pop_to_mark() for better
1587      control of the error stack.
1588      [Richard Levitte]
1589
1590   *) Add support for STORE in ENGINE.
1591      [Richard Levitte]
1592
1593   *) Add the STORE type.  The intention is to provide a common interface
1594      to certificate and key stores, be they simple file-based stores, or
1595      HSM-type store, or LDAP stores, or...
1596      NOTE: The code is currently UNTESTED and isn't really used anywhere.
1597      [Richard Levitte]
1598
1599   *) Add a generic structure called OPENSSL_ITEM.  This can be used to
1600      pass a list of arguments to any function as well as provide a way
1601      for a function to pass data back to the caller.
1602      [Richard Levitte]
1603
1604   *) Add the functions BUF_strndup() and BUF_memdup().  BUF_strndup()
1605      works like BUF_strdup() but can be used to duplicate a portion of
1606      a string.  The copy gets NUL-terminated.  BUF_memdup() duplicates
1607      a memory area.
1608      [Richard Levitte]
1609
1610   *) Add the function sk_find_ex() which works like sk_find(), but will
1611      return an index to an element even if an exact match couldn't be
1612      found.  The index is guaranteed to point at the element where the
1613      searched-for key would be inserted to preserve sorting order.
1614      [Richard Levitte]
1615
1616   *) Add the function OBJ_bsearch_ex() which works like OBJ_bsearch() but
1617      takes an extra flags argument for optional functionality.  Currently,
1618      the following flags are defined:
1619
1620         OBJ_BSEARCH_VALUE_ON_NOMATCH
1621         This one gets OBJ_bsearch_ex() to return a pointer to the first
1622         element where the comparing function returns a negative or zero
1623         number.
1624
1625         OBJ_BSEARCH_FIRST_VALUE_ON_MATCH
1626         This one gets OBJ_bsearch_ex() to return a pointer to the first
1627         element where the comparing function returns zero.  This is useful
1628         if there are more than one element where the comparing function
1629         returns zero.
1630      [Richard Levitte]
1631
1632   *) Make it possible to create self-signed certificates with 'openssl ca'
1633      in such a way that the self-signed certificate becomes part of the
1634      CA database and uses the same mechanisms for serial number generation
1635      as all other certificate signing.  The new flag '-selfsign' enables
1636      this functionality.  Adapt CA.sh and CA.pl.in.
1637      [Richard Levitte]
1638
1639   *) Add functionality to check the public key of a certificate request
1640      against a given private.  This is useful to check that a certificate
1641      request can be signed by that key (self-signing).
1642      [Richard Levitte]
1643
1644   *) Make it possible to have multiple active certificates with the same
1645      subject in the CA index file.  This is done only if the keyword
1646      'unique_subject' is set to 'no' in the main CA section (default
1647      if 'CA_default') of the configuration file.  The value is saved
1648      with the database itself in a separate index attribute file,
1649      named like the index file with '.attr' appended to the name.
1650      [Richard Levitte]
1651
1652   *) Generate muti valued AVAs using '+' notation in config files for
1653      req and dirName.
1654      [Steve Henson]
1655
1656   *) Support for nameConstraints certificate extension.
1657      [Steve Henson]
1658
1659   *) Support for policyConstraints certificate extension.
1660      [Steve Henson]
1661
1662   *) Support for policyMappings certificate extension.
1663      [Steve Henson]
1664
1665   *) Make sure the default DSA_METHOD implementation only uses its
1666      dsa_mod_exp() and/or bn_mod_exp() handlers if they are non-NULL,
1667      and change its own handlers to be NULL so as to remove unnecessary
1668      indirection. This lets alternative implementations fallback to the
1669      default implementation more easily.
1670      [Geoff Thorpe]
1671
1672   *) Support for directoryName in GeneralName related extensions
1673      in config files.
1674      [Steve Henson]
1675
1676   *) Make it possible to link applications using Makefile.shared.
1677      Make that possible even when linking against static libraries!
1678      [Richard Levitte]
1679
1680   *) Support for single pass processing for S/MIME signing. This now
1681      means that S/MIME signing can be done from a pipe, in addition
1682      cleartext signing (multipart/signed type) is effectively streaming
1683      and the signed data does not need to be all held in memory.
1684
1685      This is done with a new flag PKCS7_STREAM. When this flag is set
1686      PKCS7_sign() only initializes the PKCS7 structure and the actual signing
1687      is done after the data is output (and digests calculated) in
1688      SMIME_write_PKCS7().
1689      [Steve Henson]
1690
1691   *) Add full support for -rpath/-R, both in shared libraries and
1692      applications, at least on the platforms where it's known how
1693      to do it.
1694      [Richard Levitte]
1695
1696   *) In crypto/ec/ec_mult.c, implement fast point multiplication with
1697      precomputation, based on wNAF splitting: EC_GROUP_precompute_mult()
1698      will now compute a table of multiples of the generator that
1699      makes subsequent invocations of EC_POINTs_mul() or EC_POINT_mul()
1700      faster (notably in the case of a single point multiplication,
1701      scalar * generator).
1702      [Nils Larsch, Bodo Moeller]
1703
1704   *) IPv6 support for certificate extensions. The various extensions
1705      which use the IP:a.b.c.d can now take IPv6 addresses using the
1706      formats of RFC1884 2.2 . IPv6 addresses are now also displayed
1707      correctly.
1708      [Steve Henson]
1709
1710   *) Added an ENGINE that implements RSA by performing private key
1711      exponentiations with the GMP library. The conversions to and from
1712      GMP's mpz_t format aren't optimised nor are any montgomery forms
1713      cached, and on x86 it appears OpenSSL's own performance has caught up.
1714      However there are likely to be other architectures where GMP could
1715      provide a boost. This ENGINE is not built in by default, but it can be
1716      specified at Configure time and should be accompanied by the necessary
1717      linker additions, eg;
1718          ./config -DOPENSSL_USE_GMP -lgmp
1719      [Geoff Thorpe]
1720
1721   *) "openssl engine" will not display ENGINE/DSO load failure errors when
1722      testing availability of engines with "-t" - the old behaviour is
1723      produced by increasing the feature's verbosity with "-tt".
1724      [Geoff Thorpe]
1725
1726   *) ECDSA routines: under certain error conditions uninitialized BN objects
1727      could be freed. Solution: make sure initialization is performed early
1728      enough. (Reported and fix supplied by Nils Larsch <nla@trustcenter.de>
1729      via PR#459)
1730      [Lutz Jaenicke]
1731
1732   *) Key-generation can now be implemented in RSA_METHOD, DSA_METHOD
1733      and DH_METHOD (eg. by ENGINE implementations) to override the normal
1734      software implementations. For DSA and DH, parameter generation can
1735      also be overriden by providing the appropriate method callbacks.
1736      [Geoff Thorpe]
1737
1738   *) Change the "progress" mechanism used in key-generation and
1739      primality testing to functions that take a new BN_GENCB pointer in
1740      place of callback/argument pairs. The new API functions have "_ex"
1741      postfixes and the older functions are reimplemented as wrappers for
1742      the new ones. The OPENSSL_NO_DEPRECATED symbol can be used to hide
1743      declarations of the old functions to help (graceful) attempts to
1744      migrate to the new functions. Also, the new key-generation API
1745      functions operate on a caller-supplied key-structure and return
1746      success/failure rather than returning a key or NULL - this is to
1747      help make "keygen" another member function of RSA_METHOD etc.
1748
1749      Example for using the new callback interface:
1750
1751           int (*my_callback)(int a, int b, BN_GENCB *cb) = ...;
1752           void *my_arg = ...;
1753           BN_GENCB my_cb;
1754
1755           BN_GENCB_set(&my_cb, my_callback, my_arg);
1756
1757           return BN_is_prime_ex(some_bignum, BN_prime_checks, NULL, &cb);
1758           /* For the meaning of a, b in calls to my_callback(), see the
1759            * documentation of the function that calls the callback.
1760            * cb will point to my_cb; my_arg can be retrieved as cb->arg.
1761            * my_callback should return 1 if it wants BN_is_prime_ex()
1762            * to continue, or 0 to stop.
1763            */
1764
1765      [Geoff Thorpe]
1766
1767   *) Change the ZLIB compression method to be stateful, and make it
1768      available to TLS with the number defined in 
1769      draft-ietf-tls-compression-04.txt.
1770      [Richard Levitte]
1771
1772   *) Add the ASN.1 structures and functions for CertificatePair, which
1773      is defined as follows (according to X.509_4thEditionDraftV6.pdf):
1774
1775      CertificatePair ::= SEQUENCE {
1776         forward         [0]     Certificate OPTIONAL,
1777         reverse         [1]     Certificate OPTIONAL,
1778         -- at least one of the pair shall be present -- }
1779
1780      Also implement the PEM functions to read and write certificate
1781      pairs, and defined the PEM tag as "CERTIFICATE PAIR".
1782
1783      This needed to be defined, mostly for the sake of the LDAP
1784      attribute crossCertificatePair, but may prove useful elsewhere as
1785      well.
1786      [Richard Levitte]
1787
1788   *) Make it possible to inhibit symlinking of shared libraries in
1789      Makefile.shared, for Cygwin's sake.
1790      [Richard Levitte]
1791
1792   *) Extend the BIGNUM API by creating a function 
1793           void BN_set_negative(BIGNUM *a, int neg);
1794      and a macro that behave like
1795           int  BN_is_negative(const BIGNUM *a);
1796
1797      to avoid the need to access 'a->neg' directly in applications.
1798      [Nils Larsch]
1799
1800   *) Implement fast modular reduction for pseudo-Mersenne primes
1801      used in NIST curves (crypto/bn/bn_nist.c, crypto/ec/ecp_nist.c).
1802      EC_GROUP_new_curve_GFp() will now automatically use this
1803      if applicable.
1804      [Nils Larsch <nla@trustcenter.de>]
1805
1806   *) Add new lock type (CRYPTO_LOCK_BN).
1807      [Bodo Moeller]
1808
1809   *) Change the ENGINE framework to automatically load engines
1810      dynamically from specific directories unless they could be
1811      found to already be built in or loaded.  Move all the
1812      current engines except for the cryptodev one to a new
1813      directory engines/.
1814      The engines in engines/ are built as shared libraries if
1815      the "shared" options was given to ./Configure or ./config.
1816      Otherwise, they are inserted in libcrypto.a.
1817      /usr/local/ssl/engines is the default directory for dynamic
1818      engines, but that can be overriden at configure time through
1819      the usual use of --prefix and/or --openssldir, and at run
1820      time with the environment variable OPENSSL_ENGINES.
1821      [Geoff Thorpe and Richard Levitte]
1822
1823   *) Add Makefile.shared, a helper makefile to build shared
1824      libraries.  Addapt Makefile.org.
1825      [Richard Levitte]
1826
1827   *) Add version info to Win32 DLLs.
1828      [Peter 'Luna' Runestig" <peter@runestig.com>]
1829
1830   *) Add new 'medium level' PKCS#12 API. Certificates and keys
1831      can be added using this API to created arbitrary PKCS#12
1832      files while avoiding the low level API.
1833
1834      New options to PKCS12_create(), key or cert can be NULL and
1835      will then be omitted from the output file. The encryption
1836      algorithm NIDs can be set to -1 for no encryption, the mac
1837      iteration count can be set to 0 to omit the mac.
1838
1839      Enhance pkcs12 utility by making the -nokeys and -nocerts
1840      options work when creating a PKCS#12 file. New option -nomac
1841      to omit the mac, NONE can be set for an encryption algorithm.
1842      New code is modified to use the enhanced PKCS12_create()
1843      instead of the low level API.
1844      [Steve Henson]
1845
1846   *) Extend ASN1 encoder to support indefinite length constructed
1847      encoding. This can output sequences tags and octet strings in
1848      this form. Modify pk7_asn1.c to support indefinite length
1849      encoding. This is experimental and needs additional code to
1850      be useful, such as an ASN1 bio and some enhanced streaming
1851      PKCS#7 code.
1852
1853      Extend template encode functionality so that tagging is passed
1854      down to the template encoder.
1855      [Steve Henson]
1856
1857   *) Let 'openssl req' fail if an argument to '-newkey' is not
1858      recognized instead of using RSA as a default.
1859      [Bodo Moeller]
1860
1861   *) Add support for ECC-based ciphersuites from draft-ietf-tls-ecc-01.txt.
1862      As these are not official, they are not included in "ALL";
1863      the "ECCdraft" ciphersuite group alias can be used to select them.
1864      [Vipul Gupta and Sumit Gupta (Sun Microsystems Laboratories)]
1865
1866   *) Add ECDH engine support.
1867      [Nils Gura and Douglas Stebila (Sun Microsystems Laboratories)]
1868
1869   *) Add ECDH in new directory crypto/ecdh/.
1870      [Douglas Stebila (Sun Microsystems Laboratories)]
1871
1872   *) Let BN_rand_range() abort with an error after 100 iterations
1873      without success (which indicates a broken PRNG).
1874      [Bodo Moeller]
1875
1876   *) Change BN_mod_sqrt() so that it verifies that the input value
1877      is really the square of the return value.  (Previously,
1878      BN_mod_sqrt would show GIGO behaviour.)
1879      [Bodo Moeller]
1880
1881   *) Add named elliptic curves over binary fields from X9.62, SECG,
1882      and WAP/WTLS; add OIDs that were still missing.
1883
1884      [Sheueling Chang Shantz and Douglas Stebila
1885      (Sun Microsystems Laboratories)]
1886
1887   *) Extend the EC library for elliptic curves over binary fields
1888      (new files ec2_smpl.c, ec2_smpt.c, ec2_mult.c in crypto/ec/).
1889      New EC_METHOD:
1890
1891           EC_GF2m_simple_method
1892
1893      New API functions:
1894
1895           EC_GROUP_new_curve_GF2m
1896           EC_GROUP_set_curve_GF2m
1897           EC_GROUP_get_curve_GF2m
1898           EC_POINT_set_affine_coordinates_GF2m
1899           EC_POINT_get_affine_coordinates_GF2m
1900           EC_POINT_set_compressed_coordinates_GF2m
1901
1902      Point compression for binary fields is disabled by default for
1903      patent reasons (compile with OPENSSL_EC_BIN_PT_COMP defined to
1904      enable it).
1905
1906      As binary polynomials are represented as BIGNUMs, various members
1907      of the EC_GROUP and EC_POINT data structures can be shared
1908      between the implementations for prime fields and binary fields;
1909      the above ..._GF2m functions (except for EX_GROUP_new_curve_GF2m)
1910      are essentially identical to their ..._GFp counterparts.
1911      (For simplicity, the '..._GFp' prefix has been dropped from
1912      various internal method names.)
1913
1914      An internal 'field_div' method (similar to 'field_mul' and
1915      'field_sqr') has been added; this is used only for binary fields.
1916
1917      [Sheueling Chang Shantz and Douglas Stebila
1918      (Sun Microsystems Laboratories)]
1919
1920   *) Optionally dispatch EC_POINT_mul(), EC_POINT_precompute_mult()
1921      through methods ('mul', 'precompute_mult').
1922
1923      The generic implementations (now internally called 'ec_wNAF_mul'
1924      and 'ec_wNAF_precomputed_mult') remain the default if these
1925      methods are undefined.
1926
1927      [Sheueling Chang Shantz and Douglas Stebila
1928      (Sun Microsystems Laboratories)]
1929
1930   *) New function EC_GROUP_get_degree, which is defined through
1931      EC_METHOD.  For curves over prime fields, this returns the bit
1932      length of the modulus.
1933
1934      [Sheueling Chang Shantz and Douglas Stebila
1935      (Sun Microsystems Laboratories)]
1936
1937   *) New functions EC_GROUP_dup, EC_POINT_dup.
1938      (These simply call ..._new  and ..._copy).
1939
1940      [Sheueling Chang Shantz and Douglas Stebila
1941      (Sun Microsystems Laboratories)]
1942
1943   *) Add binary polynomial arithmetic software in crypto/bn/bn_gf2m.c.
1944      Polynomials are represented as BIGNUMs (where the sign bit is not
1945      used) in the following functions [macros]:  
1946
1947           BN_GF2m_add
1948           BN_GF2m_sub             [= BN_GF2m_add]
1949           BN_GF2m_mod             [wrapper for BN_GF2m_mod_arr]
1950           BN_GF2m_mod_mul         [wrapper for BN_GF2m_mod_mul_arr]
1951           BN_GF2m_mod_sqr         [wrapper for BN_GF2m_mod_sqr_arr]
1952           BN_GF2m_mod_inv
1953           BN_GF2m_mod_exp         [wrapper for BN_GF2m_mod_exp_arr]
1954           BN_GF2m_mod_sqrt        [wrapper for BN_GF2m_mod_sqrt_arr]
1955           BN_GF2m_mod_solve_quad  [wrapper for BN_GF2m_mod_solve_quad_arr]
1956           BN_GF2m_cmp             [= BN_ucmp]
1957
1958      (Note that only the 'mod' functions are actually for fields GF(2^m).
1959      BN_GF2m_add() is misnomer, but this is for the sake of consistency.)
1960
1961      For some functions, an the irreducible polynomial defining a
1962      field can be given as an 'unsigned int[]' with strictly
1963      decreasing elements giving the indices of those bits that are set;
1964      i.e., p[] represents the polynomial
1965           f(t) = t^p[0] + t^p[1] + ... + t^p[k]
1966      where
1967           p[0] > p[1] > ... > p[k] = 0.
1968      This applies to the following functions:
1969
1970           BN_GF2m_mod_arr
1971           BN_GF2m_mod_mul_arr
1972           BN_GF2m_mod_sqr_arr
1973           BN_GF2m_mod_inv_arr        [wrapper for BN_GF2m_mod_inv]
1974           BN_GF2m_mod_div_arr        [wrapper for BN_GF2m_mod_div]
1975           BN_GF2m_mod_exp_arr
1976           BN_GF2m_mod_sqrt_arr
1977           BN_GF2m_mod_solve_quad_arr
1978           BN_GF2m_poly2arr
1979           BN_GF2m_arr2poly
1980
1981      Conversion can be performed by the following functions:
1982
1983           BN_GF2m_poly2arr
1984           BN_GF2m_arr2poly
1985
1986      bntest.c has additional tests for binary polynomial arithmetic.
1987
1988      Two implementations for BN_GF2m_mod_div() are available.
1989      The default algorithm simply uses BN_GF2m_mod_inv() and
1990      BN_GF2m_mod_mul().  The alternative algorithm is compiled in only
1991      if OPENSSL_SUN_GF2M_DIV is defined (patent pending; read the
1992      copyright notice in crypto/bn/bn_gf2m.c before enabling it).
1993
1994      [Sheueling Chang Shantz and Douglas Stebila
1995      (Sun Microsystems Laboratories)]
1996
1997   *) Add new error code 'ERR_R_DISABLED' that can be used when some
1998      functionality is disabled at compile-time.
1999      [Douglas Stebila <douglas.stebila@sun.com>]
2000
2001   *) Change default behaviour of 'openssl asn1parse' so that more
2002      information is visible when viewing, e.g., a certificate:
2003
2004      Modify asn1_parse2 (crypto/asn1/asn1_par.c) so that in non-'dump'
2005      mode the content of non-printable OCTET STRINGs is output in a
2006      style similar to INTEGERs, but with '[HEX DUMP]' prepended to
2007      avoid the appearance of a printable string.
2008      [Nils Larsch <nla@trustcenter.de>]
2009
2010   *) Add 'asn1_flag' and 'asn1_form' member to EC_GROUP with access
2011      functions
2012           EC_GROUP_set_asn1_flag()
2013           EC_GROUP_get_asn1_flag()
2014           EC_GROUP_set_point_conversion_form()
2015           EC_GROUP_get_point_conversion_form()
2016      These control ASN1 encoding details:
2017      - Curves (i.e., groups) are encoded explicitly unless asn1_flag
2018        has been set to OPENSSL_EC_NAMED_CURVE.
2019      - Points are encoded in uncompressed form by default; options for
2020        asn1_for are as for point2oct, namely
2021           POINT_CONVERSION_COMPRESSED
2022           POINT_CONVERSION_UNCOMPRESSED
2023           POINT_CONVERSION_HYBRID
2024
2025      Also add 'seed' and 'seed_len' members to EC_GROUP with access
2026      functions
2027           EC_GROUP_set_seed()
2028           EC_GROUP_get0_seed()
2029           EC_GROUP_get_seed_len()
2030      This is used only for ASN1 purposes (so far).
2031      [Nils Larsch <nla@trustcenter.de>]
2032
2033   *) Add 'field_type' member to EC_METHOD, which holds the NID
2034      of the appropriate field type OID.  The new function
2035      EC_METHOD_get_field_type() returns this value.
2036      [Nils Larsch <nla@trustcenter.de>]
2037
2038   *) Add functions 
2039           EC_POINT_point2bn()
2040           EC_POINT_bn2point()
2041           EC_POINT_point2hex()
2042           EC_POINT_hex2point()
2043      providing useful interfaces to EC_POINT_point2oct() and
2044      EC_POINT_oct2point().
2045      [Nils Larsch <nla@trustcenter.de>]
2046
2047   *) Change internals of the EC library so that the functions
2048           EC_GROUP_set_generator()
2049           EC_GROUP_get_generator()
2050           EC_GROUP_get_order()
2051           EC_GROUP_get_cofactor()
2052      are implemented directly in crypto/ec/ec_lib.c and not dispatched
2053      to methods, which would lead to unnecessary code duplication when
2054      adding different types of curves.
2055      [Nils Larsch <nla@trustcenter.de> with input by Bodo Moeller]
2056
2057   *) Implement compute_wNAF (crypto/ec/ec_mult.c) without BIGNUM
2058      arithmetic, and such that modified wNAFs are generated
2059      (which avoid length expansion in many cases).
2060      [Bodo Moeller]
2061
2062   *) Add a function EC_GROUP_check_discriminant() (defined via
2063      EC_METHOD) that verifies that the curve discriminant is non-zero.
2064
2065      Add a function EC_GROUP_check() that makes some sanity tests
2066      on a EC_GROUP, its generator and order.  This includes
2067      EC_GROUP_check_discriminant().
2068      [Nils Larsch <nla@trustcenter.de>]
2069
2070   *) Add ECDSA in new directory crypto/ecdsa/.
2071
2072      Add applications 'openssl ecparam' and 'openssl ecdsa'
2073      (these are based on 'openssl dsaparam' and 'openssl dsa').
2074
2075      ECDSA support is also included in various other files across the
2076      library.  Most notably,
2077      - 'openssl req' now has a '-newkey ecdsa:file' option;
2078      - EVP_PKCS82PKEY (crypto/evp/evp_pkey.c) now can handle ECDSA;
2079      - X509_PUBKEY_get (crypto/asn1/x_pubkey.c) and
2080        d2i_PublicKey (crypto/asn1/d2i_pu.c) have been modified to make
2081        them suitable for ECDSA where domain parameters must be
2082        extracted before the specific public key;
2083      - ECDSA engine support has been added.
2084      [Nils Larsch <nla@trustcenter.de>]
2085
2086   *) Include some named elliptic curves, and add OIDs from X9.62,
2087      SECG, and WAP/WTLS.  Each curve can be obtained from the new
2088      function
2089           EC_GROUP_new_by_curve_name(),
2090      and the list of available named curves can be obtained with
2091           EC_get_builtin_curves().
2092      Also add a 'curve_name' member to EC_GROUP objects, which can be
2093      accessed via
2094          EC_GROUP_set_curve_name()
2095          EC_GROUP_get_curve_name()
2096      [Nils Larsch <larsch@trustcenter.de, Bodo Moeller]
2097  
2098   *) Remove a few calls to bn_wexpand() in BN_sqr() (the one in there
2099      was actually never needed) and in BN_mul().  The removal in BN_mul()
2100      required a small change in bn_mul_part_recursive() and the addition
2101      of the functions bn_cmp_part_words(), bn_sub_part_words() and
2102      bn_add_part_words(), which do the same thing as bn_cmp_words(),
2103      bn_sub_words() and bn_add_words() except they take arrays with
2104      differing sizes.
2105      [Richard Levitte]
2106
2107  Changes between 0.9.7m and 0.9.7n  [xx XXX xxxx]
2108
2109   *) In the SSL/TLS server implementation, be strict about session ID
2110      context matching (which matters if an application uses a single
2111      external cache for different purposes).  Previously,
2112      out-of-context reuse was forbidden only if SSL_VERIFY_PEER was
2113      set.  This did ensure strict client verification, but meant that,
2114      with applications using a single external cache for quite
2115      different requirements, clients could circumvent ciphersuite
2116      restrictions for a given session ID context by starting a session
2117      in a different context.
2118      [Bodo Moeller]
2119
2120  Changes between 0.9.7l and 0.9.7m  [23 Feb 2007]
2121
2122   *) Cleanse PEM buffers before freeing them since they may contain 
2123      sensitive data.
2124      [Benjamin Bennett <ben@psc.edu>]
2125
2126   *) Include "!eNULL" in SSL_DEFAULT_CIPHER_LIST to make sure that
2127      a ciphersuite string such as "DEFAULT:RSA" cannot enable
2128      authentication-only ciphersuites.
2129      [Bodo Moeller]
2130
2131   *) Since AES128 and AES256 share a single mask bit in the logic of
2132      ssl/ssl_ciph.c, the code for masking out disabled ciphers needs a
2133      kludge to work properly if AES128 is available and AES256 isn't.
2134      [Victor Duchovni]
2135
2136   *) Expand security boundary to match 1.1.1 module.
2137      [Steve Henson]
2138
2139   *) Remove redundant features: hash file source, editing of test vectors
2140      modify fipsld to use external fips_premain.c signature.
2141      [Steve Henson]
2142
2143   *) New perl script mkfipsscr.pl to create shell scripts or batch files to
2144      run algorithm test programs.
2145      [Steve Henson]
2146
2147   *) Make algorithm test programs more tolerant of whitespace.
2148      [Steve Henson]
2149
2150   *) Have SSL/TLS server implementation tolerate "mismatched" record
2151      protocol version while receiving ClientHello even if the
2152      ClientHello is fragmented.  (The server can't insist on the
2153      particular protocol version it has chosen before the ServerHello
2154      message has informed the client about his choice.)
2155      [Bodo Moeller]
2156
2157   *) Load error codes if they are not already present instead of using a
2158      static variable. This allows them to be cleanly unloaded and reloaded.
2159      [Steve Henson]
2160
2161  Changes between 0.9.7k and 0.9.7l  [28 Sep 2006]
2162
2163   *) Introduce limits to prevent malicious keys being able to
2164      cause a denial of service.  (CVE-2006-2940)
2165      [Steve Henson, Bodo Moeller]
2166
2167   *) Fix ASN.1 parsing of certain invalid structures that can result
2168      in a denial of service.  (CVE-2006-2937)  [Steve Henson]
2169
2170   *) Fix buffer overflow in SSL_get_shared_ciphers() function. 
2171      (CVE-2006-3738) [Tavis Ormandy and Will Drewry, Google Security Team]
2172
2173   *) Fix SSL client code which could crash if connecting to a
2174      malicious SSLv2 server.  (CVE-2006-4343)
2175      [Tavis Ormandy and Will Drewry, Google Security Team]
2176
2177   *) Change ciphersuite string processing so that an explicit
2178      ciphersuite selects this one ciphersuite (so that "AES256-SHA"
2179      will no longer include "AES128-SHA"), and any other similar
2180      ciphersuite (same bitmap) from *other* protocol versions (so that
2181      "RC4-MD5" will still include both the SSL 2.0 ciphersuite and the
2182      SSL 3.0/TLS 1.0 ciphersuite).  This is a backport combining
2183      changes from 0.9.8b and 0.9.8d.
2184      [Bodo Moeller]
2185
2186  Changes between 0.9.7j and 0.9.7k  [05 Sep 2006]
2187
2188   *) Avoid PKCS #1 v1.5 signature attack discovered by Daniel Bleichenbacher
2189      (CVE-2006-4339)  [Ben Laurie and Google Security Team]
2190
2191   *) Change the Unix randomness entropy gathering to use poll() when
2192      possible instead of select(), since the latter has some
2193      undesirable limitations.
2194      [Darryl Miles via Richard Levitte and Bodo Moeller]
2195
2196   *) Disable rogue ciphersuites:
2197
2198       - SSLv2 0x08 0x00 0x80 ("RC4-64-MD5")
2199       - SSLv3/TLSv1 0x00 0x61 ("EXP1024-RC2-CBC-MD5")
2200       - SSLv3/TLSv1 0x00 0x60 ("EXP1024-RC4-MD5")
2201
2202      The latter two were purportedly from
2203      draft-ietf-tls-56-bit-ciphersuites-0[01].txt, but do not really
2204      appear there.
2205
2206      Also deactive the remaining ciphersuites from
2207      draft-ietf-tls-56-bit-ciphersuites-01.txt.  These are just as
2208      unofficial, and the ID has long expired.
2209      [Bodo Moeller]
2210
2211   *) Fix RSA blinding Heisenbug (problems sometimes occured on
2212      dual-core machines) and other potential thread-safety issues.
2213      [Bodo Moeller]
2214
2215  Changes between 0.9.7i and 0.9.7j  [04 May 2006]
2216
2217   *) Adapt fipsld and the build system to link against the validated FIPS
2218      module in FIPS mode.
2219      [Steve Henson]
2220
2221   *) Fixes for VC++ 2005 build under Windows.
2222      [Steve Henson]
2223
2224   *) Add new Windows build target VC-32-GMAKE for VC++. This uses GNU make 
2225      from a Windows bash shell such as MSYS. It is autodetected from the
2226      "config" script when run from a VC++ environment. Modify standard VC++
2227      build to use fipscanister.o from the GNU make build. 
2228      [Steve Henson]
2229
2230  Changes between 0.9.7h and 0.9.7i  [14 Oct 2005]
2231
2232   *) Wrapped the definition of EVP_MAX_MD_SIZE in a #ifdef OPENSSL_FIPS.
2233      The value now differs depending on if you build for FIPS or not.
2234      BEWARE!  A program linked with a shared FIPSed libcrypto can't be
2235      safely run with a non-FIPSed libcrypto, as it may crash because of
2236      the difference induced by this change.
2237      [Andy Polyakov]
2238
2239  Changes between 0.9.7g and 0.9.7h  [11 Oct 2005]
2240
2241   *) Remove the functionality of SSL_OP_MSIE_SSLV2_RSA_PADDING
2242      (part of SSL_OP_ALL).  This option used to disable the
2243      countermeasure against man-in-the-middle protocol-version
2244      rollback in the SSL 2.0 server implementation, which is a bad
2245      idea.  (CVE-2005-2969)
2246
2247      [Bodo Moeller; problem pointed out by Yutaka Oiwa (Research Center
2248      for Information Security, National Institute of Advanced Industrial
2249      Science and Technology [AIST], Japan)]
2250
2251   *) Minimal support for X9.31 signatures and PSS padding modes. This is
2252      mainly for FIPS compliance and not fully integrated at this stage.
2253      [Steve Henson]
2254
2255   *) For DSA signing, unless DSA_FLAG_NO_EXP_CONSTTIME is set, perform
2256      the exponentiation using a fixed-length exponent.  (Otherwise,
2257      the information leaked through timing could expose the secret key
2258      after many signatures; cf. Bleichenbacher's attack on DSA with
2259      biased k.)
2260      [Bodo Moeller]
2261
2262   *) Make a new fixed-window mod_exp implementation the default for
2263      RSA, DSA, and DH private-key operations so that the sequence of
2264      squares and multiplies and the memory access pattern are
2265      independent of the particular secret key.  This will mitigate
2266      cache-timing and potential related attacks.
2267
2268      BN_mod_exp_mont_consttime() is the new exponentiation implementation,
2269      and this is automatically used by BN_mod_exp_mont() if the new flag
2270      BN_FLG_EXP_CONSTTIME is set for the exponent.  RSA, DSA, and DH
2271      will use this BN flag for private exponents unless the flag
2272      RSA_FLAG_NO_EXP_CONSTTIME, DSA_FLAG_NO_EXP_CONSTTIME, or
2273      DH_FLAG_NO_EXP_CONSTTIME, respectively, is set.
2274
2275      [Matthew D Wood (Intel Corp), with some changes by Bodo Moeller]
2276
2277   *) Change the client implementation for SSLv23_method() and
2278      SSLv23_client_method() so that is uses the SSL 3.0/TLS 1.0
2279      Client Hello message format if the SSL_OP_NO_SSLv2 option is set.
2280      (Previously, the SSL 2.0 backwards compatible Client Hello
2281      message format would be used even with SSL_OP_NO_SSLv2.)
2282      [Bodo Moeller]
2283
2284   *) Add support for smime-type MIME parameter in S/MIME messages which some
2285      clients need.
2286      [Steve Henson]
2287
2288   *) New function BN_MONT_CTX_set_locked() to set montgomery parameters in
2289      a threadsafe manner. Modify rsa code to use new function and add calls
2290      to dsa and dh code (which had race conditions before).
2291      [Steve Henson]
2292
2293   *) Include the fixed error library code in the C error file definitions
2294      instead of fixing them up at runtime. This keeps the error code
2295      structures constant.
2296      [Steve Henson]
2297
2298  Changes between 0.9.7f and 0.9.7g  [11 Apr 2005]
2299
2300   [NB: OpenSSL 0.9.7h and later 0.9.7 patch levels were released after
2301   OpenSSL 0.9.8.]
2302
2303   *) Fixes for newer kerberos headers. NB: the casts are needed because
2304      the 'length' field is signed on one version and unsigned on another
2305      with no (?) obvious way to tell the difference, without these VC++
2306      complains. Also the "definition" of FAR (blank) is no longer included
2307      nor is the error ENOMEM. KRB5_PRIVATE has to be set to 1 to pick up
2308      some needed definitions.
2309      [Steve Henson]
2310
2311   *) Undo Cygwin change.
2312      [Ulf Möller]
2313
2314   *) Added support for proxy certificates according to RFC 3820.
2315      Because they may be a security thread to unaware applications,
2316      they must be explicitely allowed in run-time.  See
2317      docs/HOWTO/proxy_certificates.txt for further information.
2318      [Richard Levitte]
2319
2320  Changes between 0.9.7e and 0.9.7f  [22 Mar 2005]
2321
2322   *) Use (SSL_RANDOM_VALUE - 4) bytes of pseudo random data when generating
2323      server and client random values. Previously
2324      (SSL_RANDOM_VALUE - sizeof(time_t)) would be used which would result in
2325      less random data when sizeof(time_t) > 4 (some 64 bit platforms).
2326
2327      This change has negligible security impact because:
2328
2329      1. Server and client random values still have 24 bytes of pseudo random
2330         data.
2331
2332      2. Server and client random values are sent in the clear in the initial
2333         handshake.
2334
2335      3. The master secret is derived using the premaster secret (48 bytes in
2336         size for static RSA ciphersuites) as well as client server and random
2337         values.
2338
2339      The OpenSSL team would like to thank the UK NISCC for bringing this issue
2340      to our attention. 
2341
2342      [Stephen Henson, reported by UK NISCC]
2343
2344   *) Use Windows randomness collection on Cygwin.
2345      [Ulf Möller]
2346
2347   *) Fix hang in EGD/PRNGD query when communication socket is closed
2348      prematurely by EGD/PRNGD.
2349      [Darren Tucker <dtucker@zip.com.au> via Lutz Jänicke, resolves #1014]
2350
2351   *) Prompt for pass phrases when appropriate for PKCS12 input format.
2352      [Steve Henson]
2353
2354   *) Back-port of selected performance improvements from development
2355      branch, as well as improved support for PowerPC platforms.
2356      [Andy Polyakov]
2357
2358   *) Add lots of checks for memory allocation failure, error codes to indicate
2359      failure and freeing up memory if a failure occurs.
2360      [Nauticus Networks SSL Team <openssl@nauticusnet.com>, Steve Henson]
2361
2362   *) Add new -passin argument to dgst.
2363      [Steve Henson]
2364
2365   *) Perform some character comparisons of different types in X509_NAME_cmp:
2366      this is needed for some certificates that reencode DNs into UTF8Strings
2367      (in violation of RFC3280) and can't or wont issue name rollover
2368      certificates.
2369      [Steve Henson]
2370
2371   *) Make an explicit check during certificate validation to see that
2372      the CA setting in each certificate on the chain is correct.  As a
2373      side effect always do the following basic checks on extensions,
2374      not just when there's an associated purpose to the check:
2375
2376       - if there is an unhandled critical extension (unless the user
2377         has chosen to ignore this fault)
2378       - if the path length has been exceeded (if one is set at all)
2379       - that certain extensions fit the associated purpose (if one has
2380         been given)
2381      [Richard Levitte]
2382
2383  Changes between 0.9.7d and 0.9.7e  [25 Oct 2004]
2384
2385   *) Avoid a race condition when CRLs are checked in a multi threaded 
2386      environment. This would happen due to the reordering of the revoked
2387      entries during signature checking and serial number lookup. Now the
2388      encoding is cached and the serial number sort performed under a lock.
2389      Add new STACK function sk_is_sorted().
2390      [Steve Henson]
2391
2392   *) Add Delta CRL to the extension code.
2393      [Steve Henson]
2394
2395   *) Various fixes to s3_pkt.c so alerts are sent properly.
2396      [David Holmes <d.holmes@f5.com>]
2397
2398   *) Reduce the chances of duplicate issuer name and serial numbers (in
2399      violation of RFC3280) using the OpenSSL certificate creation utilities.
2400      This is done by creating a random 64 bit value for the initial serial
2401      number when a serial number file is created or when a self signed
2402      certificate is created using 'openssl req -x509'. The initial serial
2403      number file is created using 'openssl x509 -next_serial' in CA.pl
2404      rather than being initialized to 1.
2405      [Steve Henson]
2406
2407  Changes between 0.9.7c and 0.9.7d  [17 Mar 2004]
2408
2409   *) Fix null-pointer assignment in do_change_cipher_spec() revealed           
2410      by using the Codenomicon TLS Test Tool (CVE-2004-0079)                    
2411      [Joe Orton, Steve Henson]   
2412
2413   *) Fix flaw in SSL/TLS handshaking when using Kerberos ciphersuites
2414      (CVE-2004-0112)
2415      [Joe Orton, Steve Henson]   
2416
2417   *) Make it possible to have multiple active certificates with the same
2418      subject in the CA index file.  This is done only if the keyword
2419      'unique_subject' is set to 'no' in the main CA section (default
2420      if 'CA_default') of the configuration file.  The value is saved
2421      with the database itself in a separate index attribute file,
2422      named like the index file with '.attr' appended to the name.
2423      [Richard Levitte]
2424
2425   *) X509 verify fixes. Disable broken certificate workarounds when 
2426      X509_V_FLAGS_X509_STRICT is set. Check CRL issuer has cRLSign set if
2427      keyUsage extension present. Don't accept CRLs with unhandled critical
2428      extensions: since verify currently doesn't process CRL extensions this
2429      rejects a CRL with *any* critical extensions. Add new verify error codes
2430      for these cases.
2431      [Steve Henson]
2432
2433   *) When creating an OCSP nonce use an OCTET STRING inside the extnValue.
2434      A clarification of RFC2560 will require the use of OCTET STRINGs and 
2435      some implementations cannot handle the current raw format. Since OpenSSL
2436      copies and compares OCSP nonces as opaque blobs without any attempt at
2437      parsing them this should not create any compatibility issues.
2438      [Steve Henson]
2439
2440   *) New md flag EVP_MD_CTX_FLAG_REUSE this allows md_data to be reused when
2441      calling EVP_MD_CTX_copy_ex() to avoid calling OPENSSL_malloc(). Without
2442      this HMAC (and other) operations are several times slower than OpenSSL
2443      < 0.9.7.
2444      [Steve Henson]
2445
2446   *) Print out GeneralizedTime and UTCTime in ASN1_STRING_print_ex().
2447      [Peter Sylvester <Peter.Sylvester@EdelWeb.fr>]
2448
2449   *) Use the correct content when signing type "other".
2450      [Steve Henson]
2451
2452  Changes between 0.9.7b and 0.9.7c  [30 Sep 2003]
2453
2454   *) Fix various bugs revealed by running the NISCC test suite:
2455
2456      Stop out of bounds reads in the ASN1 code when presented with
2457      invalid tags (CVE-2003-0543 and CVE-2003-0544).
2458      
2459      Free up ASN1_TYPE correctly if ANY type is invalid (CVE-2003-0545).
2460
2461      If verify callback ignores invalid public key errors don't try to check
2462      certificate signature with the NULL public key.
2463
2464      [Steve Henson]
2465
2466   *) New -ignore_err option in ocsp application to stop the server
2467      exiting on the first error in a request.
2468      [Steve Henson]
2469
2470   *) In ssl3_accept() (ssl/s3_srvr.c) only accept a client certificate
2471      if the server requested one: as stated in TLS 1.0 and SSL 3.0
2472      specifications.
2473      [Steve Henson]
2474
2475   *) In ssl3_get_client_hello() (ssl/s3_srvr.c), tolerate additional
2476      extra data after the compression methods not only for TLS 1.0
2477      but also for SSL 3.0 (as required by the specification).
2478      [Bodo Moeller; problem pointed out by Matthias Loepfe]
2479
2480   *) Change X509_certificate_type() to mark the key as exported/exportable
2481      when it's 512 *bits* long, not 512 bytes.
2482      [Richard Levitte]
2483
2484   *) Change AES_cbc_encrypt() so it outputs exact multiple of
2485      blocks during encryption.
2486      [Richard Levitte]
2487
2488   *) Various fixes to base64 BIO and non blocking I/O. On write 
2489      flushes were not handled properly if the BIO retried. On read
2490      data was not being buffered properly and had various logic bugs.
2491      This also affects blocking I/O when the data being decoded is a
2492      certain size.
2493      [Steve Henson]
2494
2495   *) Various S/MIME bugfixes and compatibility changes:
2496      output correct application/pkcs7 MIME type if
2497      PKCS7_NOOLDMIMETYPE is set. Tolerate some broken signatures.
2498      Output CR+LF for EOL if PKCS7_CRLFEOL is set (this makes opening
2499      of files as .eml work). Correctly handle very long lines in MIME
2500      parser.
2501      [Steve Henson]
2502
2503  Changes between 0.9.7a and 0.9.7b  [10 Apr 2003]
2504
2505   *) Countermeasure against the Klima-Pokorny-Rosa extension of
2506      Bleichbacher's attack on PKCS #1 v1.5 padding: treat
2507      a protocol version number mismatch like a decryption error
2508      in ssl3_get_client_key_exchange (ssl/s3_srvr.c).
2509      [Bodo Moeller]
2510
2511   *) Turn on RSA blinding by default in the default implementation
2512      to avoid a timing attack. Applications that don't want it can call
2513      RSA_blinding_off() or use the new flag RSA_FLAG_NO_BLINDING.
2514      They would be ill-advised to do so in most cases.
2515      [Ben Laurie, Steve Henson, Geoff Thorpe, Bodo Moeller]
2516
2517   *) Change RSA blinding code so that it works when the PRNG is not
2518      seeded (in this case, the secret RSA exponent is abused as
2519      an unpredictable seed -- if it is not unpredictable, there
2520      is no point in blinding anyway).  Make RSA blinding thread-safe
2521      by remembering the creator's thread ID in rsa->blinding and
2522      having all other threads use local one-time blinding factors
2523      (this requires more computation than sharing rsa->blinding, but
2524      avoids excessive locking; and if an RSA object is not shared
2525      between threads, blinding will still be very fast).
2526      [Bodo Moeller]
2527
2528   *) Fixed a typo bug that would cause ENGINE_set_default() to set an
2529      ENGINE as defaults for all supported algorithms irrespective of
2530      the 'flags' parameter. 'flags' is now honoured, so applications
2531      should make sure they are passing it correctly.
2532      [Geoff Thorpe]
2533
2534   *) Target "mingw" now allows native Windows code to be generated in
2535      the Cygwin environment as well as with the MinGW compiler.
2536      [Ulf Moeller] 
2537
2538  Changes between 0.9.7 and 0.9.7a  [19 Feb 2003]
2539
2540   *) In ssl3_get_record (ssl/s3_pkt.c), minimize information leaked
2541      via timing by performing a MAC computation even if incorrrect
2542      block cipher padding has been found.  This is a countermeasure
2543      against active attacks where the attacker has to distinguish
2544      between bad padding and a MAC verification error. (CVE-2003-0078)
2545
2546      [Bodo Moeller; problem pointed out by Brice Canvel (EPFL),
2547      Alain Hiltgen (UBS), Serge Vaudenay (EPFL), and
2548      Martin Vuagnoux (EPFL, Ilion)]
2549
2550   *) Make the no-err option work as intended.  The intention with no-err
2551      is not to have the whole error stack handling routines removed from
2552      libcrypto, it's only intended to remove all the function name and
2553      reason texts, thereby removing some of the footprint that may not
2554      be interesting if those errors aren't displayed anyway.
2555
2556      NOTE: it's still possible for any application or module to have it's
2557      own set of error texts inserted.  The routines are there, just not
2558      used by default when no-err is given.
2559      [Richard Levitte]
2560
2561   *) Add support for FreeBSD on IA64.
2562      [dirk.meyer@dinoex.sub.org via Richard Levitte, resolves #454]
2563
2564   *) Adjust DES_cbc_cksum() so it returns the same value as the MIT
2565      Kerberos function mit_des_cbc_cksum().  Before this change,
2566      the value returned by DES_cbc_cksum() was like the one from
2567      mit_des_cbc_cksum(), except the bytes were swapped.
2568      [Kevin Greaney <Kevin.Greaney@hp.com> and Richard Levitte]
2569
2570   *) Allow an application to disable the automatic SSL chain building.
2571      Before this a rather primitive chain build was always performed in
2572      ssl3_output_cert_chain(): an application had no way to send the 
2573      correct chain if the automatic operation produced an incorrect result.
2574
2575      Now the chain builder is disabled if either:
2576
2577      1. Extra certificates are added via SSL_CTX_add_extra_chain_cert().
2578
2579      2. The mode flag SSL_MODE_NO_AUTO_CHAIN is set.
2580
2581      The reasoning behind this is that an application would not want the
2582      auto chain building to take place if extra chain certificates are
2583      present and it might also want a means of sending no additional
2584      certificates (for example the chain has two certificates and the
2585      root is omitted).
2586      [Steve Henson]
2587
2588   *) Add the possibility to build without the ENGINE framework.
2589      [Steven Reddie <smr@essemer.com.au> via Richard Levitte]
2590
2591   *) Under Win32 gmtime() can return NULL: check return value in
2592      OPENSSL_gmtime(). Add error code for case where gmtime() fails.
2593      [Steve Henson]
2594
2595   *) DSA routines: under certain error conditions uninitialized BN objects
2596      could be freed. Solution: make sure initialization is performed early
2597      enough. (Reported and fix supplied by Ivan D Nestlerode <nestler@MIT.EDU>,
2598      Nils Larsch <nla@trustcenter.de> via PR#459)
2599      [Lutz Jaenicke]
2600
2601   *) Another fix for SSLv2 session ID handling: the session ID was incorrectly
2602      checked on reconnect on the client side, therefore session resumption
2603      could still fail with a "ssl session id is different" error. This
2604      behaviour is masked when SSL_OP_ALL is used due to
2605      SSL_OP_MICROSOFT_SESS_ID_BUG being set.
2606      Behaviour observed by Crispin Flowerday <crispin@flowerday.cx> as
2607      followup to PR #377.
2608      [Lutz Jaenicke]
2609
2610   *) IA-32 assembler support enhancements: unified ELF targets, support
2611      for SCO/Caldera platforms, fix for Cygwin shared build.
2612      [Andy Polyakov]
2613
2614   *) Add support for FreeBSD on sparc64.  As a consequence, support for
2615      FreeBSD on non-x86 processors is separate from x86 processors on
2616      the config script, much like the NetBSD support.
2617      [Richard Levitte & Kris Kennaway <kris@obsecurity.org>]
2618
2619  Changes between 0.9.6h and 0.9.7  [31 Dec 2002]
2620
2621   [NB: OpenSSL 0.9.6i and later 0.9.6 patch levels were released after
2622   OpenSSL 0.9.7.]
2623
2624   *) Fix session ID handling in SSLv2 client code: the SERVER FINISHED
2625      code (06) was taken as the first octet of the session ID and the last
2626      octet was ignored consequently. As a result SSLv2 client side session
2627      caching could not have worked due to the session ID mismatch between
2628      client and server.
2629      Behaviour observed by Crispin Flowerday <crispin@flowerday.cx> as
2630      PR #377.
2631      [Lutz Jaenicke]
2632
2633   *) Change the declaration of needed Kerberos libraries to use EX_LIBS
2634      instead of the special (and badly supported) LIBKRB5.  LIBKRB5 is
2635      removed entirely.
2636      [Richard Levitte]
2637
2638   *) The hw_ncipher.c engine requires dynamic locks.  Unfortunately, it
2639      seems that in spite of existing for more than a year, many application
2640      author have done nothing to provide the necessary callbacks, which
2641      means that this particular engine will not work properly anywhere.
2642      This is a very unfortunate situation which forces us, in the name
2643      of usability, to give the hw_ncipher.c a static lock, which is part
2644      of libcrypto.
2645      NOTE: This is for the 0.9.7 series ONLY.  This hack will never
2646      appear in 0.9.8 or later.  We EXPECT application authors to have
2647      dealt properly with this when 0.9.8 is released (unless we actually
2648      make such changes in the libcrypto locking code that changes will
2649      have to be made anyway).
2650      [Richard Levitte]
2651
2652   *) In asn1_d2i_read_bio() repeatedly call BIO_read() until all content
2653      octets have been read, EOF or an error occurs. Without this change
2654      some truncated ASN1 structures will not produce an error.
2655      [Steve Henson]
2656
2657   *) Disable Heimdal support, since it hasn't been fully implemented.
2658      Still give the possibility to force the use of Heimdal, but with
2659      warnings and a request that patches get sent to openssl-dev.
2660      [Richard Levitte]
2661
2662   *) Add the VC-CE target, introduce the WINCE sysname, and add
2663      INSTALL.WCE and appropriate conditionals to make it build.
2664      [Steven Reddie <smr@essemer.com.au> via Richard Levitte]
2665
2666   *) Change the DLL names for Cygwin to cygcrypto-x.y.z.dll and
2667      cygssl-x.y.z.dll, where x, y and z are the major, minor and
2668      edit numbers of the version.
2669      [Corinna Vinschen <vinschen@redhat.com> and Richard Levitte]
2670
2671   *) Introduce safe string copy and catenation functions
2672      (BUF_strlcpy() and BUF_strlcat()).
2673      [Ben Laurie (CHATS) and Richard Levitte]
2674
2675   *) Avoid using fixed-size buffers for one-line DNs.
2676      [Ben Laurie (CHATS)]
2677
2678   *) Add BUF_MEM_grow_clean() to avoid information leakage when
2679      resizing buffers containing secrets, and use where appropriate.
2680      [Ben Laurie (CHATS)]
2681
2682   *) Avoid using fixed size buffers for configuration file location.
2683      [Ben Laurie (CHATS)]
2684
2685   *) Avoid filename truncation for various CA files.
2686      [Ben Laurie (CHATS)]
2687
2688   *) Use sizeof in preference to magic numbers.
2689      [Ben Laurie (CHATS)]
2690
2691   *) Avoid filename truncation in cert requests.
2692      [Ben Laurie (CHATS)]
2693
2694   *) Add assertions to check for (supposedly impossible) buffer
2695      overflows.
2696      [Ben Laurie (CHATS)]
2697
2698   *) Don't cache truncated DNS entries in the local cache (this could
2699      potentially lead to a spoofing attack).
2700      [Ben Laurie (CHATS)]
2701
2702   *) Fix various buffers to be large enough for hex/decimal
2703      representations in a platform independent manner.
2704      [Ben Laurie (CHATS)]
2705
2706   *) Add CRYPTO_realloc_clean() to avoid information leakage when
2707      resizing buffers containing secrets, and use where appropriate.
2708      [Ben Laurie (CHATS)]
2709
2710   *) Add BIO_indent() to avoid much slightly worrying code to do
2711      indents.
2712      [Ben Laurie (CHATS)]
2713
2714   *) Convert sprintf()/BIO_puts() to BIO_printf().
2715      [Ben Laurie (CHATS)]
2716
2717   *) buffer_gets() could terminate with the buffer only half
2718      full. Fixed.
2719      [Ben Laurie (CHATS)]
2720
2721   *) Add assertions to prevent user-supplied crypto functions from
2722      overflowing internal buffers by having large block sizes, etc.
2723      [Ben Laurie (CHATS)]
2724
2725   *) New OPENSSL_assert() macro (similar to assert(), but enabled
2726      unconditionally).
2727      [Ben Laurie (CHATS)]
2728
2729   *) Eliminate unused copy of key in RC4.
2730      [Ben Laurie (CHATS)]
2731
2732   *) Eliminate unused and incorrectly sized buffers for IV in pem.h.
2733      [Ben Laurie (CHATS)]
2734
2735   *) Fix off-by-one error in EGD path.
2736      [Ben Laurie (CHATS)]
2737
2738   *) If RANDFILE path is too long, ignore instead of truncating.
2739      [Ben Laurie (CHATS)]
2740
2741   *) Eliminate unused and incorrectly sized X.509 structure
2742      CBCParameter.
2743      [Ben Laurie (CHATS)]
2744
2745   *) Eliminate unused and dangerous function knumber().
2746      [Ben Laurie (CHATS)]
2747
2748   *) Eliminate unused and dangerous structure, KSSL_ERR.
2749      [Ben Laurie (CHATS)]
2750
2751   *) Protect against overlong session ID context length in an encoded
2752      session object. Since these are local, this does not appear to be
2753      exploitable.
2754      [Ben Laurie (CHATS)]
2755
2756   *) Change from security patch (see 0.9.6e below) that did not affect
2757      the 0.9.6 release series:
2758
2759      Remote buffer overflow in SSL3 protocol - an attacker could
2760      supply an oversized master key in Kerberos-enabled versions.
2761      (CVE-2002-0657)
2762      [Ben Laurie (CHATS)]
2763
2764   *) Change the SSL kerb5 codes to match RFC 2712.
2765      [Richard Levitte]
2766
2767   *) Make -nameopt work fully for req and add -reqopt switch.
2768      [Michael Bell <michael.bell@rz.hu-berlin.de>, Steve Henson]
2769
2770   *) The "block size" for block ciphers in CFB and OFB mode should be 1.
2771      [Steve Henson, reported by Yngve Nysaeter Pettersen <yngve@opera.com>]
2772
2773   *) Make sure tests can be performed even if the corresponding algorithms
2774      have been removed entirely.  This was also the last step to make
2775      OpenSSL compilable with DJGPP under all reasonable conditions.
2776      [Richard Levitte, Doug Kaufman <dkaufman@rahul.net>]
2777
2778   *) Add cipher selection rules COMPLEMENTOFALL and COMPLEMENTOFDEFAULT
2779      to allow version independent disabling of normally unselected ciphers,
2780      which may be activated as a side-effect of selecting a single cipher.
2781
2782      (E.g., cipher list string "RSA" enables ciphersuites that are left
2783      out of "ALL" because they do not provide symmetric encryption.
2784      "RSA:!COMPLEMEMENTOFALL" avoids these unsafe ciphersuites.)
2785      [Lutz Jaenicke, Bodo Moeller]
2786
2787   *) Add appropriate support for separate platform-dependent build
2788      directories.  The recommended way to make a platform-dependent
2789      build directory is the following (tested on Linux), maybe with
2790      some local tweaks:
2791
2792         # Place yourself outside of the OpenSSL source tree.  In
2793         # this example, the environment variable OPENSSL_SOURCE
2794         # is assumed to contain the absolute OpenSSL source directory.
2795         mkdir -p objtree/"`uname -s`-`uname -r`-`uname -m`"
2796         cd objtree/"`uname -s`-`uname -r`-`uname -m`"
2797         (cd $OPENSSL_SOURCE; find . -type f) | while read F; do
2798                 mkdir -p `dirname $F`
2799                 ln -s $OPENSSL_SOURCE/$F $F
2800         done
2801
2802      To be absolutely sure not to disturb the source tree, a "make clean"
2803      is a good thing.  If it isn't successfull, don't worry about it,
2804      it probably means the source directory is very clean.
2805      [Richard Levitte]
2806
2807   *) Make sure any ENGINE control commands make local copies of string
2808      pointers passed to them whenever necessary. Otherwise it is possible
2809      the caller may have overwritten (or deallocated) the original string
2810      data when a later ENGINE operation tries to use the stored values.
2811      [Götz Babin-Ebell <babinebell@trustcenter.de>]
2812
2813   *) Improve diagnostics in file reading and command-line digests.
2814      [Ben Laurie aided and abetted by Solar Designer <solar@openwall.com>]
2815
2816   *) Add AES modes CFB and OFB to the object database.  Correct an
2817      error in AES-CFB decryption.
2818      [Richard Levitte]
2819
2820   *) Remove most calls to EVP_CIPHER_CTX_cleanup() in evp_enc.c, this 
2821      allows existing EVP_CIPHER_CTX structures to be reused after
2822      calling EVP_*Final(). This behaviour is used by encryption
2823      BIOs and some applications. This has the side effect that
2824      applications must explicitly clean up cipher contexts with
2825      EVP_CIPHER_CTX_cleanup() or they will leak memory.
2826      [Steve Henson]
2827
2828   *) Check the values of dna and dnb in bn_mul_recursive before calling
2829      bn_mul_comba (a non zero value means the a or b arrays do not contain
2830      n2 elements) and fallback to bn_mul_normal if either is not zero.
2831      [Steve Henson]
2832
2833   *) Fix escaping of non-ASCII characters when using the -subj option
2834      of the "openssl req" command line tool. (Robert Joop <joop@fokus.gmd.de>)
2835      [Lutz Jaenicke]
2836
2837   *) Make object definitions compliant to LDAP (RFC2256): SN is the short
2838      form for "surname", serialNumber has no short form.
2839      Use "mail" as the short name for "rfc822Mailbox" according to RFC2798;
2840      therefore remove "mail" short name for "internet 7".
2841      The OID for unique identifiers in X509 certificates is
2842      x500UniqueIdentifier, not uniqueIdentifier.
2843      Some more OID additions. (Michael Bell <michael.bell@rz.hu-berlin.de>)
2844      [Lutz Jaenicke]
2845
2846   *) Add an "init" command to the ENGINE config module and auto initialize
2847      ENGINEs. Without any "init" command the ENGINE will be initialized 
2848      after all ctrl commands have been executed on it. If init=1 the 
2849      ENGINE is initailized at that point (ctrls before that point are run
2850      on the uninitialized ENGINE and after on the initialized one). If
2851      init=0 then the ENGINE will not be iniatialized at all.
2852      [Steve Henson]
2853
2854   *) Fix the 'app_verify_callback' interface so that the user-defined
2855      argument is actually passed to the callback: In the
2856      SSL_CTX_set_cert_verify_callback() prototype, the callback
2857      declaration has been changed from
2858           int (*cb)()
2859      into
2860           int (*cb)(X509_STORE_CTX *,void *);
2861      in ssl_verify_cert_chain (ssl/ssl_cert.c), the call
2862           i=s->ctx->app_verify_callback(&ctx)
2863      has been changed into
2864           i=s->ctx->app_verify_callback(&ctx, s->ctx->app_verify_arg).
2865
2866      To update applications using SSL_CTX_set_cert_verify_callback(),
2867      a dummy argument can be added to their callback functions.
2868      [D. K. Smetters <smetters@parc.xerox.com>]
2869
2870   *) Added the '4758cca' ENGINE to support IBM 4758 cards.
2871      [Maurice Gittens <maurice@gittens.nl>, touchups by Geoff Thorpe]
2872
2873   *) Add and OPENSSL_LOAD_CONF define which will cause
2874      OpenSSL_add_all_algorithms() to load the openssl.cnf config file.
2875      This allows older applications to transparently support certain
2876      OpenSSL features: such as crypto acceleration and dynamic ENGINE loading.
2877      Two new functions OPENSSL_add_all_algorithms_noconf() which will never
2878      load the config file and OPENSSL_add_all_algorithms_conf() which will
2879      always load it have also been added.
2880      [Steve Henson]
2881
2882   *) Add the OFB, CFB and CTR (all with 128 bit feedback) to AES.
2883      Adjust NIDs and EVP layer.
2884      [Stephen Sprunk <stephen@sprunk.org> and Richard Levitte]
2885
2886   *) Config modules support in openssl utility.
2887
2888      Most commands now load modules from the config file,
2889      though in a few (such as version) this isn't done 
2890      because it couldn't be used for anything.
2891
2892      In the case of ca and req the config file used is
2893      the same as the utility itself: that is the -config
2894      command line option can be used to specify an
2895      alternative file.
2896      [Steve Henson]
2897
2898   *) Move default behaviour from OPENSSL_config(). If appname is NULL
2899      use "openssl_conf" if filename is NULL use default openssl config file.
2900      [Steve Henson]
2901
2902   *) Add an argument to OPENSSL_config() to allow the use of an alternative
2903      config section name. Add a new flag to tolerate a missing config file
2904      and move code to CONF_modules_load_file().
2905      [Steve Henson]
2906
2907   *) Support for crypto accelerator cards from Accelerated Encryption
2908      Processing, www.aep.ie.  (Use engine 'aep')
2909      The support was copied from 0.9.6c [engine] and adapted/corrected
2910      to work with the new engine framework.
2911      [AEP Inc. and Richard Levitte]
2912
2913   *) Support for SureWare crypto accelerator cards from Baltimore
2914      Technologies.  (Use engine 'sureware')
2915      The support was copied from 0.9.6c [engine] and adapted
2916      to work with the new engine framework.
2917      [Richard Levitte]
2918
2919   *) Have the CHIL engine fork-safe (as defined by nCipher) and actually
2920      make the newer ENGINE framework commands for the CHIL engine work.
2921      [Toomas Kiisk <vix@cyber.ee> and Richard Levitte]
2922
2923   *) Make it possible to produce shared libraries on ReliantUNIX.
2924      [Robert Dahlem <Robert.Dahlem@ffm2.siemens.de> via Richard Levitte]
2925
2926   *) Add the configuration target debug-linux-ppro.
2927      Make 'openssl rsa' use the general key loading routines
2928      implemented in apps.c, and make those routines able to
2929      handle the key format FORMAT_NETSCAPE and the variant
2930      FORMAT_IISSGC.
2931      [Toomas Kiisk <vix@cyber.ee> via Richard Levitte]
2932
2933  *) Fix a crashbug and a logic bug in hwcrhk_load_pubkey().
2934      [Toomas Kiisk <vix@cyber.ee> via Richard Levitte]
2935
2936   *) Add -keyform to rsautl, and document -engine.
2937      [Richard Levitte, inspired by Toomas Kiisk <vix@cyber.ee>]
2938
2939   *) Change BIO_new_file (crypto/bio/bss_file.c) to use new
2940      BIO_R_NO_SUCH_FILE error code rather than the generic
2941      ERR_R_SYS_LIB error code if fopen() fails with ENOENT.
2942      [Ben Laurie]
2943
2944   *) Add new functions
2945           ERR_peek_last_error
2946           ERR_peek_last_error_line
2947           ERR_peek_last_error_line_data.
2948      These are similar to
2949           ERR_peek_error
2950           ERR_peek_error_line
2951           ERR_peek_error_line_data,
2952      but report on the latest error recorded rather than the first one
2953      still in the error queue.
2954      [Ben Laurie, Bodo Moeller]
2955         
2956   *) default_algorithms option in ENGINE config module. This allows things
2957      like:
2958      default_algorithms = ALL
2959      default_algorithms = RSA, DSA, RAND, CIPHERS, DIGESTS
2960      [Steve Henson]
2961
2962   *) Prelminary ENGINE config module.
2963      [Steve Henson]
2964
2965   *) New experimental application configuration code.
2966      [Steve Henson]
2967
2968   *) Change the AES code to follow the same name structure as all other
2969      symmetric ciphers, and behave the same way.  Move everything to
2970      the directory crypto/aes, thereby obsoleting crypto/rijndael.
2971      [Stephen Sprunk <stephen@sprunk.org> and Richard Levitte]
2972
2973   *) SECURITY: remove unsafe setjmp/signal interaction from ui_openssl.c.
2974      [Ben Laurie and Theo de Raadt]
2975
2976   *) Add option to output public keys in req command.
2977      [Massimiliano Pala madwolf@openca.org]
2978
2979   *) Use wNAFs in EC_POINTs_mul() for improved efficiency
2980      (up to about 10% better than before for P-192 and P-224).
2981      [Bodo Moeller]
2982
2983   *) New functions/macros
2984
2985           SSL_CTX_set_msg_callback(ctx, cb)
2986           SSL_CTX_set_msg_callback_arg(ctx, arg)
2987           SSL_set_msg_callback(ssl, cb)
2988           SSL_set_msg_callback_arg(ssl, arg)
2989
2990      to request calling a callback function
2991
2992           void cb(int write_p, int version, int content_type,
2993                   const void *buf, size_t len, SSL *ssl, void *arg)
2994
2995      whenever a protocol message has been completely received
2996      (write_p == 0) or sent (write_p == 1).  Here 'version' is the
2997      protocol version  according to which the SSL library interprets
2998      the current protocol message (SSL2_VERSION, SSL3_VERSION, or
2999      TLS1_VERSION).  'content_type' is 0 in the case of SSL 2.0, or
3000      the content type as defined in the SSL 3.0/TLS 1.0 protocol
3001      specification (change_cipher_spec(20), alert(21), handshake(22)).
3002      'buf' and 'len' point to the actual message, 'ssl' to the
3003      SSL object, and 'arg' is the application-defined value set by
3004      SSL[_CTX]_set_msg_callback_arg().
3005
3006      'openssl s_client' and 'openssl s_server' have new '-msg' options
3007      to enable a callback that displays all protocol messages.
3008      [Bodo Moeller]
3009
3010   *) Change the shared library support so shared libraries are built as
3011      soon as the corresponding static library is finished, and thereby get
3012      openssl and the test programs linked against the shared library.
3013      This still only happens when the keyword "shard" has been given to
3014      the configuration scripts.
3015
3016      NOTE: shared library support is still an experimental thing, and
3017      backward binary compatibility is still not guaranteed.
3018      ["Maciej W. Rozycki" <macro@ds2.pg.gda.pl> and Richard Levitte]
3019
3020   *) Add support for Subject Information Access extension.
3021      [Peter Sylvester <Peter.Sylvester@EdelWeb.fr>]
3022
3023   *) Make BUF_MEM_grow() behaviour more consistent: Initialise to zero
3024      additional bytes when new memory had to be allocated, not just
3025      when reusing an existing buffer.
3026      [Bodo Moeller]
3027
3028   *) New command line and configuration option 'utf8' for the req command.
3029      This allows field values to be specified as UTF8 strings.
3030      [Steve Henson]
3031
3032   *) Add -multi and -mr options to "openssl speed" - giving multiple parallel
3033      runs for the former and machine-readable output for the latter.
3034      [Ben Laurie]
3035
3036   *) Add '-noemailDN' option to 'openssl ca'.  This prevents inclusion
3037      of the e-mail address in the DN (i.e., it will go into a certificate
3038      extension only).  The new configuration file option 'email_in_dn = no'
3039      has the same effect.
3040      [Massimiliano Pala madwolf@openca.org]
3041
3042   *) Change all functions with names starting with des_ to be starting
3043      with DES_ instead.  Add wrappers that are compatible with libdes,
3044      but are named _ossl_old_des_*.  Finally, add macros that map the
3045      des_* symbols to the corresponding _ossl_old_des_* if libdes
3046      compatibility is desired.  If OpenSSL 0.9.6c compatibility is
3047      desired, the des_* symbols will be mapped to DES_*, with one
3048      exception.
3049
3050      Since we provide two compatibility mappings, the user needs to
3051      define the macro OPENSSL_DES_LIBDES_COMPATIBILITY if libdes
3052      compatibility is desired.  The default (i.e., when that macro
3053      isn't defined) is OpenSSL 0.9.6c compatibility.
3054
3055      There are also macros that enable and disable the support of old
3056      des functions altogether.  Those are OPENSSL_ENABLE_OLD_DES_SUPPORT
3057      and OPENSSL_DISABLE_OLD_DES_SUPPORT.  If none or both of those
3058      are defined, the default will apply: to support the old des routines.
3059
3060      In either case, one must include openssl/des.h to get the correct
3061      definitions.  Do not try to just include openssl/des_old.h, that
3062      won't work.
3063
3064      NOTE: This is a major break of an old API into a new one.  Software
3065      authors are encouraged to switch to the DES_ style functions.  Some
3066      time in the future, des_old.h and the libdes compatibility functions
3067      will be disable (i.e. OPENSSL_DISABLE_OLD_DES_SUPPORT will be the
3068      default), and then completely removed.
3069      [Richard Levitte]
3070
3071   *) Test for certificates which contain unsupported critical extensions.
3072      If such a certificate is found during a verify operation it is 
3073      rejected by default: this behaviour can be overridden by either
3074      handling the new error X509_V_ERR_UNHANDLED_CRITICAL_EXTENSION or
3075      by setting the verify flag X509_V_FLAG_IGNORE_CRITICAL. A new function
3076      X509_supported_extension() has also been added which returns 1 if a
3077      particular extension is supported.
3078      [Steve Henson]
3079
3080   *) Modify the behaviour of EVP cipher functions in similar way to digests
3081      to retain compatibility with existing code.
3082      [Steve Henson]
3083
3084   *) Modify the behaviour of EVP_DigestInit() and EVP_DigestFinal() to retain
3085      compatibility with existing code. In particular the 'ctx' parameter does
3086      not have to be to be initialized before the call to EVP_DigestInit() and
3087      it is tidied up after a call to EVP_DigestFinal(). New function
3088      EVP_DigestFinal_ex() which does not tidy up the ctx. Similarly function
3089      EVP_MD_CTX_copy() changed to not require the destination to be
3090      initialized valid and new function EVP_MD_CTX_copy_ex() added which
3091      requires the destination to be valid.
3092
3093      Modify all the OpenSSL digest calls to use EVP_DigestInit_ex(),
3094      EVP_DigestFinal_ex() and EVP_MD_CTX_copy_ex().
3095      [Steve Henson]
3096
3097   *) Change ssl3_get_message (ssl/s3_both.c) and the functions using it
3098      so that complete 'Handshake' protocol structures are kept in memory
3099      instead of overwriting 'msg_type' and 'length' with 'body' data.
3100      [Bodo Moeller]
3101
3102   *) Add an implementation of SSL_add_dir_cert_subjects_to_stack for Win32.
3103      [Massimo Santin via Richard Levitte]
3104
3105   *) Major restructuring to the underlying ENGINE code. This includes
3106      reduction of linker bloat, separation of pure "ENGINE" manipulation
3107      (initialisation, etc) from functionality dealing with implementations
3108      of specific crypto iterfaces. This change also introduces integrated
3109      support for symmetric ciphers and digest implementations - so ENGINEs
3110      can now accelerate these by providing EVP_CIPHER and EVP_MD
3111      implementations of their own. This is detailed in crypto/engine/README
3112      as it couldn't be adequately described here. However, there are a few
3113      API changes worth noting - some RSA, DSA, DH, and RAND functions that
3114      were changed in the original introduction of ENGINE code have now
3115      reverted back - the hooking from this code to ENGINE is now a good
3116      deal more passive and at run-time, operations deal directly with
3117      RSA_METHODs, DSA_METHODs (etc) as they did before, rather than
3118      dereferencing through an ENGINE pointer any more. Also, the ENGINE
3119      functions dealing with BN_MOD_EXP[_CRT] handlers have been removed -
3120      they were not being used by the framework as there is no concept of a
3121      BIGNUM_METHOD and they could not be generalised to the new
3122      'ENGINE_TABLE' mechanism that underlies the new code. Similarly,
3123      ENGINE_cpy() has been removed as it cannot be consistently defined in
3124      the new code.
3125      [Geoff Thorpe]
3126
3127   *) Change ASN1_GENERALIZEDTIME_check() to allow fractional seconds.
3128      [Steve Henson]
3129
3130   *) Change mkdef.pl to sort symbols that get the same entry number,
3131      and make sure the automatically generated functions ERR_load_*
3132      become part of libeay.num as well.
3133      [Richard Levitte]
3134
3135   *) New function SSL_renegotiate_pending().  This returns true once
3136      renegotiation has been requested (either SSL_renegotiate() call
3137      or HelloRequest/ClientHello receveived from the peer) and becomes
3138      false once a handshake has been completed.
3139      (For servers, SSL_renegotiate() followed by SSL_do_handshake()
3140      sends a HelloRequest, but does not ensure that a handshake takes
3141      place.  SSL_renegotiate_pending() is useful for checking if the
3142      client has followed the request.)
3143      [Bodo Moeller]
3144
3145   *) New SSL option SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION.
3146      By default, clients may request session resumption even during
3147      renegotiation (if session ID contexts permit); with this option,
3148      session resumption is possible only in the first handshake.
3149
3150      SSL_OP_ALL is now 0x00000FFFL instead of 0x000FFFFFL.  This makes
3151      more bits available for options that should not be part of
3152      SSL_OP_ALL (such as SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION).
3153      [Bodo Moeller]
3154
3155   *) Add some demos for certificate and certificate request creation.
3156      [Steve Henson]
3157
3158   *) Make maximum certificate chain size accepted from the peer application
3159      settable (SSL*_get/set_max_cert_list()), as proposed by
3160      "Douglas E. Engert" <deengert@anl.gov>.
3161      [Lutz Jaenicke]
3162
3163   *) Add support for shared libraries for Unixware-7
3164      (Boyd Lynn Gerber <gerberb@zenez.com>).
3165      [Lutz Jaenicke]
3166
3167   *) Add a "destroy" handler to ENGINEs that allows structural cleanup to
3168      be done prior to destruction. Use this to unload error strings from
3169      ENGINEs that load their own error strings. NB: This adds two new API
3170      functions to "get" and "set" this destroy handler in an ENGINE.
3171      [Geoff Thorpe]
3172
3173   *) Alter all existing ENGINE implementations (except "openssl" and
3174      "openbsd") to dynamically instantiate their own error strings. This
3175      makes them more flexible to be built both as statically-linked ENGINEs
3176      and self-contained shared-libraries loadable via the "dynamic" ENGINE.
3177      Also, add stub code to each that makes building them as self-contained
3178      shared-libraries easier (see README.ENGINE).
3179      [Geoff Thorpe]
3180
3181   *) Add a "dynamic" ENGINE that provides a mechanism for binding ENGINE
3182      implementations into applications that are completely implemented in
3183      self-contained shared-libraries. The "dynamic" ENGINE exposes control
3184      commands that can be used to configure what shared-library to load and
3185      to control aspects of the way it is handled. Also, made an update to
3186      the README.ENGINE file that brings its information up-to-date and
3187      provides some information and instructions on the "dynamic" ENGINE
3188      (ie. how to use it, how to build "dynamic"-loadable ENGINEs, etc).
3189      [Geoff Thorpe]
3190
3191   *) Make it possible to unload ranges of ERR strings with a new
3192      "ERR_unload_strings" function.
3193      [Geoff Thorpe]
3194
3195   *) Add a copy() function to EVP_MD.
3196      [Ben Laurie]
3197
3198   *) Make EVP_MD routines take a context pointer instead of just the
3199      md_data void pointer.
3200      [Ben Laurie]
3201
3202   *) Add flags to EVP_MD and EVP_MD_CTX. EVP_MD_FLAG_ONESHOT indicates
3203      that the digest can only process a single chunk of data
3204      (typically because it is provided by a piece of
3205      hardware). EVP_MD_CTX_FLAG_ONESHOT indicates that the application
3206      is only going to provide a single chunk of data, and hence the
3207      framework needn't accumulate the data for oneshot drivers.
3208      [Ben Laurie]
3209
3210   *) As with "ERR", make it possible to replace the underlying "ex_data"
3211      functions. This change also alters the storage and management of global
3212      ex_data state - it's now all inside ex_data.c and all "class" code (eg.
3213      RSA, BIO, SSL_CTX, etc) no longer stores its own STACKS and per-class
3214      index counters. The API functions that use this state have been changed
3215      to take a "class_index" rather than pointers to the class's local STACK
3216      and counter, and there is now an API function to dynamically create new
3217      classes. This centralisation allows us to (a) plug a lot of the
3218      thread-safety problems that existed, and (b) makes it possible to clean
3219      up all allocated state using "CRYPTO_cleanup_all_ex_data()". W.r.t. (b)
3220      such data would previously have always leaked in application code and
3221      workarounds were in place to make the memory debugging turn a blind eye
3222      to it. Application code that doesn't use this new function will still
3223      leak as before, but their memory debugging output will announce it now
3224      rather than letting it slide.
3225
3226      Besides the addition of CRYPTO_cleanup_all_ex_data(), another API change
3227      induced by the "ex_data" overhaul is that X509_STORE_CTX_init() now
3228      has a return value to indicate success or failure.
3229      [Geoff Thorpe]
3230
3231   *) Make it possible to replace the underlying "ERR" functions such that the
3232      global state (2 LHASH tables and 2 locks) is only used by the "default"
3233      implementation. This change also adds two functions to "get" and "set"
3234      the implementation prior to it being automatically set the first time
3235      any other ERR function takes place. Ie. an application can call "get",
3236      pass the return value to a module it has just loaded, and that module
3237      can call its own "set" function using that value. This means the
3238      module's "ERR" operations will use (and modify) the error state in the
3239      application and not in its own statically linked copy of OpenSSL code.
3240      [Geoff Thorpe]
3241
3242   *) Give DH, DSA, and RSA types their own "**_up_ref()" function to increment
3243      reference counts. This performs normal REF_PRINT/REF_CHECK macros on
3244      the operation, and provides a more encapsulated way for external code
3245      (crypto/evp/ and ssl/) to do this. Also changed the evp and ssl code
3246      to use these functions rather than manually incrementing the counts.
3247
3248      Also rename "DSO_up()" function to more descriptive "DSO_up_ref()".
3249      [Geoff Thorpe]
3250
3251   *) Add EVP test program.
3252      [Ben Laurie]
3253
3254   *) Add symmetric cipher support to ENGINE. Expect the API to change!
3255      [Ben Laurie]
3256
3257   *) New CRL functions: X509_CRL_set_version(), X509_CRL_set_issuer_name()
3258      X509_CRL_set_lastUpdate(), X509_CRL_set_nextUpdate(), X509_CRL_sort(),
3259      X509_REVOKED_set_serialNumber(), and X509_REVOKED_set_revocationDate().
3260      These allow a CRL to be built without having to access X509_CRL fields
3261      directly. Modify 'ca' application to use new functions.
3262      [Steve Henson]
3263
3264   *) Move SSL_OP_TLS_ROLLBACK_BUG out of the SSL_OP_ALL list of recommended
3265      bug workarounds. Rollback attack detection is a security feature.
3266      The problem will only arise on OpenSSL servers when TLSv1 is not
3267      available (sslv3_server_method() or SSL_OP_NO_TLSv1).
3268      Software authors not wanting to support TLSv1 will have special reasons
3269      for their choice and can explicitly enable this option.
3270      [Bodo Moeller, Lutz Jaenicke]
3271
3272   *) Rationalise EVP so it can be extended: don't include a union of
3273      cipher/digest structures, add init/cleanup functions for EVP_MD_CTX
3274      (similar to those existing for EVP_CIPHER_CTX).
3275      Usage example:
3276
3277          EVP_MD_CTX md;
3278
3279          EVP_MD_CTX_init(&md);             /* new function call */
3280          EVP_DigestInit(&md, EVP_sha1());
3281          EVP_DigestUpdate(&md, in, len);
3282          EVP_DigestFinal(&md, out, NULL);
3283          EVP_MD_CTX_cleanup(&md);          /* new function call */
3284
3285      [Ben Laurie]
3286
3287   *) Make DES key schedule conform to the usual scheme, as well as
3288      correcting its structure. This means that calls to DES functions
3289      now have to pass a pointer to a des_key_schedule instead of a
3290      plain des_key_schedule (which was actually always a pointer
3291      anyway): E.g.,
3292
3293          des_key_schedule ks;
3294
3295          des_set_key_checked(..., &ks);
3296          des_ncbc_encrypt(..., &ks, ...);
3297
3298      (Note that a later change renames 'des_...' into 'DES_...'.)
3299      [Ben Laurie]
3300
3301   *) Initial reduction of linker bloat: the use of some functions, such as
3302      PEM causes large amounts of unused functions to be linked in due to
3303      poor organisation. For example pem_all.c contains every PEM function
3304      which has a knock on effect of linking in large amounts of (unused)
3305      ASN1 code. Grouping together similar functions and splitting unrelated
3306      functions prevents this.
3307      [Steve Henson]
3308
3309   *) Cleanup of EVP macros.
3310      [Ben Laurie]
3311
3312   *) Change historical references to {NID,SN,LN}_des_ede and ede3 to add the
3313      correct _ecb suffix.
3314      [Ben Laurie]
3315
3316   *) Add initial OCSP responder support to ocsp application. The
3317      revocation information is handled using the text based index
3318      use by the ca application. The responder can either handle
3319      requests generated internally, supplied in files (for example
3320      via a CGI script) or using an internal minimal server.
3321      [Steve Henson]
3322
3323   *) Add configuration choices to get zlib compression for TLS.
3324      [Richard Levitte]
3325
3326   *) Changes to Kerberos SSL for RFC 2712 compliance:
3327      1.  Implemented real KerberosWrapper, instead of just using
3328          KRB5 AP_REQ message.  [Thanks to Simon Wilkinson <sxw@sxw.org.uk>]
3329      2.  Implemented optional authenticator field of KerberosWrapper.
3330
3331      Added openssl-style ASN.1 macros for Kerberos ticket, ap_req,
3332      and authenticator structs; see crypto/krb5/.
3333
3334      Generalized Kerberos calls to support multiple Kerberos libraries.
3335      [Vern Staats <staatsvr@asc.hpc.mil>,
3336       Jeffrey Altman <jaltman@columbia.edu>
3337       via Richard Levitte]
3338
3339   *) Cause 'openssl speed' to use fully hard-coded DSA keys as it
3340      already does with RSA. testdsa.h now has 'priv_key/pub_key'
3341      values for each of the key sizes rather than having just
3342      parameters (and 'speed' generating keys each time).
3343      [Geoff Thorpe]
3344
3345   *) Speed up EVP routines.
3346      Before:
3347 encrypt
3348 type              8 bytes     64 bytes    256 bytes   1024 bytes   8192 bytes
3349 des-cbc           4408.85k     5560.51k     5778.46k     5862.20k     5825.16k
3350 des-cbc           4389.55k     5571.17k     5792.23k     5846.91k     5832.11k
3351 des-cbc           4394.32k     5575.92k     5807.44k     5848.37k     5841.30k
3352 decrypt
3353 des-cbc           3482.66k     5069.49k     5496.39k     5614.16k     5639.28k
3354 des-cbc           3480.74k     5068.76k     5510.34k     5609.87k     5635.52k
3355 des-cbc           3483.72k     5067.62k     5504.60k     5708.01k     5724.80k
3356      After:
3357 encrypt
3358 des-cbc           4660.16k     5650.19k     5807.19k     5827.13k     5783.32k
3359 decrypt
3360 des-cbc           3624.96k     5258.21k     5530.91k     5624.30k     5628.26k
3361      [Ben Laurie]
3362
3363   *) Added the OS2-EMX target.
3364      ["Brian Havard" <brianh@kheldar.apana.org.au> and Richard Levitte]
3365
3366   *) Rewrite apps to use NCONF routines instead of the old CONF. New functions
3367      to support NCONF routines in extension code. New function CONF_set_nconf()
3368      to allow functions which take an NCONF to also handle the old LHASH
3369      structure: this means that the old CONF compatible routines can be
3370      retained (in particular wrt extensions) without having to duplicate the
3371      code. New function X509V3_add_ext_nconf_sk to add extensions to a stack.
3372      [Steve Henson]
3373
3374   *) Enhance the general user interface with mechanisms for inner control
3375      and with possibilities to have yes/no kind of prompts.
3376      [Richard Levitte]
3377
3378   *) Change all calls to low level digest routines in the library and
3379      applications to use EVP. Add missing calls to HMAC_cleanup() and
3380      don't assume HMAC_CTX can be copied using memcpy().
3381      [Verdon Walker <VWalker@novell.com>, Steve Henson]
3382
3383   *) Add the possibility to control engines through control names but with
3384      arbitrary arguments instead of just a string.
3385      Change the key loaders to take a UI_METHOD instead of a callback
3386      function pointer.  NOTE: this breaks binary compatibility with earlier
3387      versions of OpenSSL [engine].
3388      Adapt the nCipher code for these new conditions and add a card insertion
3389      callback.
3390      [Richard Levitte]
3391
3392   *) Enhance the general user interface with mechanisms to better support
3393      dialog box interfaces, application-defined prompts, the possibility
3394      to use defaults (for example default passwords from somewhere else)
3395      and interrupts/cancellations.
3396      [Richard Levitte]
3397
3398   *) Tidy up PKCS#12 attribute handling. Add support for the CSP name
3399      attribute in PKCS#12 files, add new -CSP option to pkcs12 utility.
3400      [Steve Henson]
3401
3402   *) Fix a memory leak in 'sk_dup()' in the case reallocation fails. (Also
3403      tidy up some unnecessarily weird code in 'sk_new()').
3404      [Geoff, reported by Diego Tartara <dtartara@novamens.com>]
3405
3406   *) Change the key loading routines for ENGINEs to use the same kind
3407      callback (pem_password_cb) as all other routines that need this
3408      kind of callback.
3409      [Richard Levitte]
3410
3411   *) Increase ENTROPY_NEEDED to 32 bytes, as Rijndael can operate with
3412      256 bit (=32 byte) keys. Of course seeding with more entropy bytes
3413      than this minimum value is recommended.
3414      [Lutz Jaenicke]
3415
3416   *) New random seeder for OpenVMS, using the system process statistics
3417      that are easily reachable.
3418      [Richard Levitte]
3419
3420   *) Windows apparently can't transparently handle global
3421      variables defined in DLLs. Initialisations such as:
3422
3423         const ASN1_ITEM *it = &ASN1_INTEGER_it;
3424
3425      wont compile. This is used by the any applications that need to
3426      declare their own ASN1 modules. This was fixed by adding the option
3427      EXPORT_VAR_AS_FN to all Win32 platforms, although this isn't strictly
3428      needed for static libraries under Win32.
3429      [Steve Henson]
3430
3431   *) New functions X509_PURPOSE_set() and X509_TRUST_set() to handle
3432      setting of purpose and trust fields. New X509_STORE trust and
3433      purpose functions and tidy up setting in other SSL functions.
3434      [Steve Henson]
3435
3436   *) Add copies of X509_STORE_CTX fields and callbacks to X509_STORE
3437      structure. These are inherited by X509_STORE_CTX when it is 
3438      initialised. This allows various defaults to be set in the
3439      X509_STORE structure (such as flags for CRL checking and custom
3440      purpose or trust settings) for functions which only use X509_STORE_CTX
3441      internally such as S/MIME.
3442
3443      Modify X509_STORE_CTX_purpose_inherit() so it only sets purposes and
3444      trust settings if they are not set in X509_STORE. This allows X509_STORE
3445      purposes and trust (in S/MIME for example) to override any set by default.
3446
3447      Add command line options for CRL checking to smime, s_client and s_server
3448      applications.
3449      [Steve Henson]
3450
3451   *) Initial CRL based revocation checking. If the CRL checking flag(s)
3452      are set then the CRL is looked up in the X509_STORE structure and
3453      its validity and signature checked, then if the certificate is found
3454      in the CRL the verify fails with a revoked error.
3455
3456      Various new CRL related callbacks added to X509_STORE_CTX structure.
3457
3458      Command line options added to 'verify' application to support this.
3459
3460      This needs some additional work, such as being able to handle multiple
3461      CRLs with different times, extension based lookup (rather than just
3462      by subject name) and ultimately more complete V2 CRL extension
3463      handling.
3464      [Steve Henson]
3465
3466   *) Add a general user interface API (crypto/ui/).  This is designed
3467      to replace things like des_read_password and friends (backward
3468      compatibility functions using this new API are provided).
3469      The purpose is to remove prompting functions from the DES code
3470      section as well as provide for prompting through dialog boxes in
3471      a window system and the like.
3472      [Richard Levitte]
3473
3474   *) Add "ex_data" support to ENGINE so implementations can add state at a
3475      per-structure level rather than having to store it globally.
3476      [Geoff]
3477
3478   *) Make it possible for ENGINE structures to be copied when retrieved by
3479      ENGINE_by_id() if the ENGINE specifies a new flag: ENGINE_FLAGS_BY_ID_COPY.
3480      This causes the "original" ENGINE structure to act like a template,
3481      analogous to the RSA vs. RSA_METHOD type of separation. Because of this
3482      operational state can be localised to each ENGINE structure, despite the
3483      fact they all share the same "methods". New ENGINE structures returned in
3484      this case have no functional references and the return value is the single
3485      structural reference. This matches the single structural reference returned
3486      by ENGINE_by_id() normally, when it is incremented on the pre-existing
3487      ENGINE structure.
3488      [Geoff]
3489
3490   *) Fix ASN1 decoder when decoding type ANY and V_ASN1_OTHER: since this
3491      needs to match any other type at all we need to manually clear the
3492      tag cache.
3493      [Steve Henson]
3494
3495   *) Changes to the "openssl engine" utility to include;
3496      - verbosity levels ('-v', '-vv', and '-vvv') that provide information
3497        about an ENGINE's available control commands.
3498      - executing control commands from command line arguments using the
3499        '-pre' and '-post' switches. '-post' is only used if '-t' is
3500        specified and the ENGINE is successfully initialised. The syntax for
3501        the individual commands are colon-separated, for example;
3502          openssl engine chil -pre FORK_CHECK:0 -pre SO_PATH:/lib/test.so
3503      [Geoff]
3504
3505   *) New dynamic control command support for ENGINEs. ENGINEs can now
3506      declare their own commands (numbers), names (strings), descriptions,
3507      and input types for run-time discovery by calling applications. A
3508      subset of these commands are implicitly classed as "executable"
3509      depending on their input type, and only these can be invoked through
3510      the new string-based API function ENGINE_ctrl_cmd_string(). (Eg. this
3511      can be based on user input, config files, etc). The distinction is
3512      that "executable" commands cannot return anything other than a boolean
3513      result and can only support numeric or string input, whereas some
3514      discoverable commands may only be for direct use through
3515      ENGINE_ctrl(), eg. supporting the exchange of binary data, function
3516      pointers, or other custom uses. The "executable" commands are to
3517      support parameterisations of ENGINE behaviour that can be
3518      unambiguously defined by ENGINEs and used consistently across any
3519      OpenSSL-based application. Commands have been added to all the
3520      existing hardware-supporting ENGINEs, noticeably "SO_PATH" to allow
3521      control over shared-library paths without source code alterations.
3522      [Geoff]
3523
3524   *) Changed all ENGINE implementations to dynamically allocate their
3525      ENGINEs rather than declaring them statically. Apart from this being
3526      necessary with the removal of the ENGINE_FLAGS_MALLOCED distinction,
3527      this also allows the implementations to compile without using the
3528      internal engine_int.h header.
3529      [Geoff]
3530
3531   *) Minor adjustment to "rand" code. RAND_get_rand_method() now returns a
3532      'const' value. Any code that should be able to modify a RAND_METHOD
3533      should already have non-const pointers to it (ie. they should only
3534      modify their own ones).
3535      [Geoff]
3536
3537   *) Made a variety of little tweaks to the ENGINE code.
3538      - "atalla" and "ubsec" string definitions were moved from header files
3539        to C code. "nuron" string definitions were placed in variables
3540        rather than hard-coded - allowing parameterisation of these values
3541        later on via ctrl() commands.
3542      - Removed unused "#if 0"'d code.
3543      - Fixed engine list iteration code so it uses ENGINE_free() to release
3544        structural references.
3545      - Constified the RAND_METHOD element of ENGINE structures.
3546      - Constified various get/set functions as appropriate and added
3547        missing functions (including a catch-all ENGINE_cpy that duplicates
3548        all ENGINE values onto a new ENGINE except reference counts/state).
3549      - Removed NULL parameter checks in get/set functions. Setting a method
3550        or function to NULL is a way of cancelling out a previously set
3551        value.  Passing a NULL ENGINE parameter is just plain stupid anyway
3552        and doesn't justify the extra error symbols and code.
3553      - Deprecate the ENGINE_FLAGS_MALLOCED define and move the area for
3554        flags from engine_int.h to engine.h.
3555      - Changed prototypes for ENGINE handler functions (init(), finish(),
3556        ctrl(), key-load functions, etc) to take an (ENGINE*) parameter.
3557      [Geoff]
3558
3559   *) Implement binary inversion algorithm for BN_mod_inverse in addition
3560      to the algorithm using long division.  The binary algorithm can be
3561      used only if the modulus is odd.  On 32-bit systems, it is faster
3562      only for relatively small moduli (roughly 20-30% for 128-bit moduli,
3563      roughly 5-15% for 256-bit moduli), so we use it only for moduli
3564      up to 450 bits.  In 64-bit environments, the binary algorithm
3565      appears to be advantageous for much longer moduli; here we use it
3566      for moduli up to 2048 bits.
3567      [Bodo Moeller]
3568
3569   *) Rewrite CHOICE field setting in ASN1_item_ex_d2i(). The old code
3570      could not support the combine flag in choice fields.
3571      [Steve Henson]
3572
3573   *) Add a 'copy_extensions' option to the 'ca' utility. This copies
3574      extensions from a certificate request to the certificate.
3575      [Steve Henson]
3576
3577   *) Allow multiple 'certopt' and 'nameopt' options to be separated
3578      by commas. Add 'namopt' and 'certopt' options to the 'ca' config
3579      file: this allows the display of the certificate about to be
3580      signed to be customised, to allow certain fields to be included
3581      or excluded and extension details. The old system didn't display
3582      multicharacter strings properly, omitted fields not in the policy
3583      and couldn't display additional details such as extensions.
3584      [Steve Henson]
3585
3586   *) Function EC_POINTs_mul for multiple scalar multiplication
3587      of an arbitrary number of elliptic curve points
3588           \sum scalars[i]*points[i],
3589      optionally including the generator defined for the EC_GROUP:
3590           scalar*generator +  \sum scalars[i]*points[i].
3591
3592      EC_POINT_mul is a simple wrapper function for the typical case
3593      that the point list has just one item (besides the optional
3594      generator).
3595      [Bodo Moeller]
3596
3597   *) First EC_METHODs for curves over GF(p):
3598
3599      EC_GFp_simple_method() uses the basic BN_mod_mul and BN_mod_sqr
3600      operations and provides various method functions that can also
3601      operate with faster implementations of modular arithmetic.     
3602
3603      EC_GFp_mont_method() reuses most functions that are part of
3604      EC_GFp_simple_method, but uses Montgomery arithmetic.
3605
3606      [Bodo Moeller; point addition and point doubling
3607      implementation directly derived from source code provided by
3608      Lenka Fibikova <fibikova@exp-math.uni-essen.de>]
3609
3610   *) Framework for elliptic curves (crypto/ec/ec.h, crypto/ec/ec_lcl.h,
3611      crypto/ec/ec_lib.c):
3612
3613      Curves are EC_GROUP objects (with an optional group generator)
3614      based on EC_METHODs that are built into the library.
3615
3616      Points are EC_POINT objects based on EC_GROUP objects.
3617
3618      Most of the framework would be able to handle curves over arbitrary
3619      finite fields, but as there are no obvious types for fields other
3620      than GF(p), some functions are limited to that for now.
3621      [Bodo Moeller]
3622
3623   *) Add the -HTTP option to s_server.  It is similar to -WWW, but requires
3624      that the file contains a complete HTTP response.
3625      [Richard Levitte]
3626
3627   *) Add the ec directory to mkdef.pl and mkfiles.pl. In mkdef.pl
3628      change the def and num file printf format specifier from "%-40sXXX"
3629      to "%-39s XXX". The latter will always guarantee a space after the
3630      field while the former will cause them to run together if the field
3631      is 40 of more characters long.
3632      [Steve Henson]
3633
3634   *) Constify the cipher and digest 'method' functions and structures
3635      and modify related functions to take constant EVP_MD and EVP_CIPHER
3636      pointers.
3637      [Steve Henson]
3638
3639   *) Hide BN_CTX structure details in bn_lcl.h instead of publishing them
3640      in <openssl/bn.h>.  Also further increase BN_CTX_NUM to 32.
3641      [Bodo Moeller]
3642
3643   *) Modify EVP_Digest*() routines so they now return values. Although the
3644      internal software routines can never fail additional hardware versions
3645      might.
3646      [Steve Henson]
3647
3648   *) Clean up crypto/err/err.h and change some error codes to avoid conflicts:
3649
3650      Previously ERR_R_FATAL was too small and coincided with ERR_LIB_PKCS7
3651      (= ERR_R_PKCS7_LIB); it is now 64 instead of 32.
3652
3653      ASN1 error codes
3654           ERR_R_NESTED_ASN1_ERROR
3655           ...
3656           ERR_R_MISSING_ASN1_EOS
3657      were 4 .. 9, conflicting with
3658           ERR_LIB_RSA (= ERR_R_RSA_LIB)
3659           ...
3660           ERR_LIB_PEM (= ERR_R_PEM_LIB).
3661      They are now 58 .. 63 (i.e., just below ERR_R_FATAL).
3662
3663      Add new error code 'ERR_R_INTERNAL_ERROR'.
3664      [Bodo Moeller]
3665
3666   *) Don't overuse locks in crypto/err/err.c: For data retrieval, CRYPTO_r_lock
3667      suffices.
3668      [Bodo Moeller]
3669
3670   *) New option '-subj arg' for 'openssl req' and 'openssl ca'.  This
3671      sets the subject name for a new request or supersedes the
3672      subject name in a given request. Formats that can be parsed are
3673           'CN=Some Name, OU=myOU, C=IT'
3674      and
3675           'CN=Some Name/OU=myOU/C=IT'.
3676
3677      Add options '-batch' and '-verbose' to 'openssl req'.
3678      [Massimiliano Pala <madwolf@hackmasters.net>]
3679
3680   *) Introduce the possibility to access global variables through
3681      functions on platform were that's the best way to handle exporting
3682      global variables in shared libraries.  To enable this functionality,
3683      one must configure with "EXPORT_VAR_AS_FN" or defined the C macro
3684      "OPENSSL_EXPORT_VAR_AS_FUNCTION" in crypto/opensslconf.h (the latter
3685      is normally done by Configure or something similar).
3686
3687      To implement a global variable, use the macro OPENSSL_IMPLEMENT_GLOBAL
3688      in the source file (foo.c) like this:
3689
3690         OPENSSL_IMPLEMENT_GLOBAL(int,foo)=1;
3691         OPENSSL_IMPLEMENT_GLOBAL(double,bar);
3692
3693      To declare a global variable, use the macros OPENSSL_DECLARE_GLOBAL
3694      and OPENSSL_GLOBAL_REF in the header file (foo.h) like this:
3695
3696         OPENSSL_DECLARE_GLOBAL(int,foo);
3697         #define foo OPENSSL_GLOBAL_REF(foo)
3698         OPENSSL_DECLARE_GLOBAL(double,bar);
3699         #define bar OPENSSL_GLOBAL_REF(bar)
3700
3701      The #defines are very important, and therefore so is including the
3702      header file everywhere where the defined globals are used.
3703
3704      The macro OPENSSL_EXPORT_VAR_AS_FUNCTION also affects the definition
3705      of ASN.1 items, but that structure is a bit different.
3706
3707      The largest change is in util/mkdef.pl which has been enhanced with
3708      better and easier to understand logic to choose which symbols should
3709      go into the Windows .def files as well as a number of fixes and code
3710      cleanup (among others, algorithm keywords are now sorted
3711      lexicographically to avoid constant rewrites).
3712      [Richard Levitte]
3713
3714   *) In BN_div() keep a copy of the sign of 'num' before writing the
3715      result to 'rm' because if rm==num the value will be overwritten
3716      and produce the wrong result if 'num' is negative: this caused
3717      problems with BN_mod() and BN_nnmod().
3718      [Steve Henson]
3719
3720   *) Function OCSP_request_verify(). This checks the signature on an
3721      OCSP request and verifies the signer certificate. The signer
3722      certificate is just checked for a generic purpose and OCSP request
3723      trust settings.
3724      [Steve Henson]
3725
3726   *) Add OCSP_check_validity() function to check the validity of OCSP
3727      responses. OCSP responses are prepared in real time and may only
3728      be a few seconds old. Simply checking that the current time lies
3729      between thisUpdate and nextUpdate max reject otherwise valid responses
3730      caused by either OCSP responder or client clock inaccuracy. Instead
3731      we allow thisUpdate and nextUpdate to fall within a certain period of
3732      the current time. The age of the response can also optionally be
3733      checked. Two new options -validity_period and -status_age added to
3734      ocsp utility.
3735      [Steve Henson]
3736
3737   *) If signature or public key algorithm is unrecognized print out its
3738      OID rather that just UNKNOWN.
3739      [Steve Henson]
3740
3741   *) Change OCSP_cert_to_id() to tolerate a NULL subject certificate and
3742      OCSP_cert_id_new() a NULL serialNumber. This allows a partial certificate
3743      ID to be generated from the issuer certificate alone which can then be
3744      passed to OCSP_id_issuer_cmp().
3745      [Steve Henson]
3746
3747   *) New compilation option ASN1_ITEM_FUNCTIONS. This causes the new
3748      ASN1 modules to export functions returning ASN1_ITEM pointers
3749      instead of the ASN1_ITEM structures themselves. This adds several
3750      new macros which allow the underlying ASN1 function/structure to
3751      be accessed transparently. As a result code should not use ASN1_ITEM
3752      references directly (such as &X509_it) but instead use the relevant
3753      macros (such as ASN1_ITEM_rptr(X509)). This option is to allow
3754      use of the new ASN1 code on platforms where exporting structures
3755      is problematical (for example in shared libraries) but exporting
3756      functions returning pointers to structures is not.
3757      [Steve Henson]
3758
3759   *) Add support for overriding the generation of SSL/TLS session IDs.
3760      These callbacks can be registered either in an SSL_CTX or per SSL.
3761      The purpose of this is to allow applications to control, if they wish,
3762      the arbitrary values chosen for use as session IDs, particularly as it
3763      can be useful for session caching in multiple-server environments. A
3764      command-line switch for testing this (and any client code that wishes
3765      to use such a feature) has been added to "s_server".
3766      [Geoff Thorpe, Lutz Jaenicke]
3767
3768   *) Modify mkdef.pl to recognise and parse preprocessor conditionals
3769      of the form '#if defined(...) || defined(...) || ...' and
3770      '#if !defined(...) && !defined(...) && ...'.  This also avoids
3771      the growing number of special cases it was previously handling.
3772      [Richard Levitte]
3773
3774   *) Make all configuration macros available for application by making
3775      sure they are available in opensslconf.h, by giving them names starting
3776      with "OPENSSL_" to avoid conflicts with other packages and by making
3777      sure e_os2.h will cover all platform-specific cases together with
3778      opensslconf.h.
3779      Additionally, it is now possible to define configuration/platform-
3780      specific names (called "system identities").  In the C code, these
3781      are prefixed with "OPENSSL_SYSNAME_".  e_os2.h will create another
3782      macro with the name beginning with "OPENSSL_SYS_", which is determined
3783      from "OPENSSL_SYSNAME_*" or compiler-specific macros depending on
3784      what is available.
3785      [Richard Levitte]
3786
3787   *) New option -set_serial to 'req' and 'x509' this allows the serial
3788      number to use to be specified on the command line. Previously self
3789      signed certificates were hard coded with serial number 0 and the 
3790      CA options of 'x509' had to use a serial number in a file which was
3791      auto incremented.
3792      [Steve Henson]
3793
3794   *) New options to 'ca' utility to support V2 CRL entry extensions.
3795      Currently CRL reason, invalidity date and hold instruction are
3796      supported. Add new CRL extensions to V3 code and some new objects.
3797      [Steve Henson]
3798
3799   *) New function EVP_CIPHER_CTX_set_padding() this is used to
3800      disable standard block padding (aka PKCS#5 padding) in the EVP
3801      API, which was previously mandatory. This means that the data is
3802      not padded in any way and so the total length much be a multiple
3803      of the block size, otherwise an error occurs.
3804      [Steve Henson]
3805
3806   *) Initial (incomplete) OCSP SSL support.
3807      [Steve Henson]
3808
3809   *) New function OCSP_parse_url(). This splits up a URL into its host,
3810      port and path components: primarily to parse OCSP URLs. New -url
3811      option to ocsp utility.
3812      [Steve Henson]
3813
3814   *) New nonce behavior. The return value of OCSP_check_nonce() now 
3815      reflects the various checks performed. Applications can decide
3816      whether to tolerate certain situations such as an absent nonce
3817      in a response when one was present in a request: the ocsp application
3818      just prints out a warning. New function OCSP_add1_basic_nonce()
3819      this is to allow responders to include a nonce in a response even if
3820      the request is nonce-less.
3821      [Steve Henson]
3822
3823   *) Disable stdin buffering in load_cert (apps/apps.c) so that no certs are
3824      skipped when using openssl x509 multiple times on a single input file,
3825      e.g. "(openssl x509 -out cert1; openssl x509 -out cert2) <certs".
3826      [Bodo Moeller]
3827
3828   *) Make ASN1_UTCTIME_set_string() and ASN1_GENERALIZEDTIME_set_string()
3829      set string type: to handle setting ASN1_TIME structures. Fix ca
3830      utility to correctly initialize revocation date of CRLs.
3831      [Steve Henson]
3832
3833   *) New option SSL_OP_CIPHER_SERVER_PREFERENCE allows the server to override
3834      the clients preferred ciphersuites and rather use its own preferences.
3835      Should help to work around M$ SGC (Server Gated Cryptography) bug in
3836      Internet Explorer by ensuring unchanged hash method during stepup.
3837      (Also replaces the broken/deactivated SSL_OP_NON_EXPORT_FIRST option.)
3838      [Lutz Jaenicke]
3839
3840   *) Make mkdef.pl recognise all DECLARE_ASN1 macros, change rijndael
3841      to aes and add a new 'exist' option to print out symbols that don't
3842      appear to exist.
3843      [Steve Henson]
3844
3845   *) Additional options to ocsp utility to allow flags to be set and
3846      additional certificates supplied.
3847      [Steve Henson]
3848
3849   *) Add the option -VAfile to 'openssl ocsp', so the user can give the
3850      OCSP client a number of certificate to only verify the response
3851      signature against.
3852      [Richard Levitte]
3853
3854   *) Update Rijndael code to version 3.0 and change EVP AES ciphers to
3855      handle the new API. Currently only ECB, CBC modes supported. Add new
3856      AES OIDs.
3857
3858      Add TLS AES ciphersuites as described in RFC3268, "Advanced
3859      Encryption Standard (AES) Ciphersuites for Transport Layer
3860      Security (TLS)".  (In beta versions of OpenSSL 0.9.7, these were
3861      not enabled by default and were not part of the "ALL" ciphersuite
3862      alias because they were not yet official; they could be
3863      explicitly requested by specifying the "AESdraft" ciphersuite
3864      group alias.  In the final release of OpenSSL 0.9.7, the group
3865      alias is called "AES" and is part of "ALL".)
3866      [Ben Laurie, Steve  Henson, Bodo Moeller]
3867
3868   *) New function OCSP_copy_nonce() to copy nonce value (if present) from
3869      request to response.
3870      [Steve Henson]
3871
3872   *) Functions for OCSP responders. OCSP_request_onereq_count(),
3873      OCSP_request_onereq_get0(), OCSP_onereq_get0_id() and OCSP_id_get0_info()
3874      extract information from a certificate request. OCSP_response_create()
3875      creates a response and optionally adds a basic response structure.
3876      OCSP_basic_add1_status() adds a complete single response to a basic
3877      response and returns the OCSP_SINGLERESP structure just added (to allow
3878      extensions to be included for example). OCSP_basic_add1_cert() adds a
3879      certificate to a basic response and OCSP_basic_sign() signs a basic
3880      response with various flags. New helper functions ASN1_TIME_check()
3881      (checks validity of ASN1_TIME structure) and ASN1_TIME_to_generalizedtime()
3882      (converts ASN1_TIME to GeneralizedTime).
3883      [Steve Henson]
3884
3885   *) Various new functions. EVP_Digest() combines EVP_Digest{Init,Update,Final}()
3886      in a single operation. X509_get0_pubkey_bitstr() extracts the public_key
3887      structure from a certificate. X509_pubkey_digest() digests the public_key
3888      contents: this is used in various key identifiers. 
3889      [Steve Henson]
3890
3891   *) Make sk_sort() tolerate a NULL argument.
3892      [Steve Henson reported by Massimiliano Pala <madwolf@comune.modena.it>]
3893
3894   *) New OCSP verify flag OCSP_TRUSTOTHER. When set the "other" certificates
3895      passed by the function are trusted implicitly. If any of them signed the
3896      response then it is assumed to be valid and is not verified.
3897      [Steve Henson]
3898
3899   *) In PKCS7_set_type() initialise content_type in PKCS7_ENC_CONTENT
3900      to data. This was previously part of the PKCS7 ASN1 code. This
3901      was causing problems with OpenSSL created PKCS#12 and PKCS#7 structures.
3902      [Steve Henson, reported by Kenneth R. Robinette
3903                                 <support@securenetterm.com>]
3904
3905   *) Add CRYPTO_push_info() and CRYPTO_pop_info() calls to new ASN1
3906      routines: without these tracing memory leaks is very painful.
3907      Fix leaks in PKCS12 and PKCS7 routines.
3908      [Steve Henson]
3909
3910   *) Make X509_time_adj() cope with the new behaviour of ASN1_TIME_new().
3911      Previously it initialised the 'type' argument to V_ASN1_UTCTIME which
3912      effectively meant GeneralizedTime would never be used. Now it
3913      is initialised to -1 but X509_time_adj() now has to check the value
3914      and use ASN1_TIME_set() if the value is not V_ASN1_UTCTIME or
3915      V_ASN1_GENERALIZEDTIME, without this it always uses GeneralizedTime.
3916      [Steve Henson, reported by Kenneth R. Robinette
3917                                 <support@securenetterm.com>]
3918
3919   *) Fixes to BN_to_ASN1_INTEGER when bn is zero. This would previously
3920      result in a zero length in the ASN1_INTEGER structure which was
3921      not consistent with the structure when d2i_ASN1_INTEGER() was used
3922      and would cause ASN1_INTEGER_cmp() to fail. Enhance s2i_ASN1_INTEGER()
3923      to cope with hex and negative integers. Fix bug in i2a_ASN1_INTEGER()
3924      where it did not print out a minus for negative ASN1_INTEGER.
3925      [Steve Henson]
3926
3927   *) Add summary printout to ocsp utility. The various functions which
3928      convert status values to strings have been renamed to:
3929      OCSP_response_status_str(), OCSP_cert_status_str() and
3930      OCSP_crl_reason_str() and are no longer static. New options
3931      to verify nonce values and to disable verification. OCSP response
3932      printout format cleaned up.
3933      [Steve Henson]
3934
3935   *) Add additional OCSP certificate checks. These are those specified
3936      in RFC2560. This consists of two separate checks: the CA of the
3937      certificate being checked must either be the OCSP signer certificate
3938      or the issuer of the OCSP signer certificate. In the latter case the
3939      OCSP signer certificate must contain the OCSP signing extended key
3940      usage. This check is performed by attempting to match the OCSP
3941      signer or the OCSP signer CA to the issuerNameHash and issuerKeyHash
3942      in the OCSP_CERTID structures of the response.
3943      [Steve Henson]
3944
3945   *) Initial OCSP certificate verification added to OCSP_basic_verify()
3946      and related routines. This uses the standard OpenSSL certificate
3947      verify routines to perform initial checks (just CA validity) and
3948      to obtain the certificate chain. Then additional checks will be
3949      performed on the chain. Currently the root CA is checked to see
3950      if it is explicitly trusted for OCSP signing. This is used to set
3951      a root CA as a global signing root: that is any certificate that
3952      chains to that CA is an acceptable OCSP signing certificate.
3953      [Steve Henson]
3954
3955   *) New '-extfile ...' option to 'openssl ca' for reading X.509v3
3956      extensions from a separate configuration file.
3957      As when reading extensions from the main configuration file,
3958      the '-extensions ...' option may be used for specifying the
3959      section to use.
3960      [Massimiliano Pala <madwolf@comune.modena.it>]
3961
3962   *) New OCSP utility. Allows OCSP requests to be generated or
3963      read. The request can be sent to a responder and the output
3964      parsed, outputed or printed in text form. Not complete yet:
3965      still needs to check the OCSP response validity.
3966      [Steve Henson]
3967
3968   *) New subcommands for 'openssl ca':
3969      'openssl ca -status <serial>' prints the status of the cert with
3970      the given serial number (according to the index file).
3971      'openssl ca -updatedb' updates the expiry status of certificates
3972      in the index file.
3973      [Massimiliano Pala <madwolf@comune.modena.it>]
3974
3975   *) New '-newreq-nodes' command option to CA.pl.  This is like
3976      '-newreq', but calls 'openssl req' with the '-nodes' option
3977      so that the resulting key is not encrypted.
3978      [Damien Miller <djm@mindrot.org>]
3979
3980   *) New configuration for the GNU Hurd.
3981      [Jonathan Bartlett <johnnyb@wolfram.com> via Richard Levitte]
3982
3983   *) Initial code to implement OCSP basic response verify. This
3984      is currently incomplete. Currently just finds the signer's
3985      certificate and verifies the signature on the response.
3986      [Steve Henson]
3987
3988   *) New SSLeay_version code SSLEAY_DIR to determine the compiled-in
3989      value of OPENSSLDIR.  This is available via the new '-d' option
3990      to 'openssl version', and is also included in 'openssl version -a'.
3991      [Bodo Moeller]
3992
3993   *) Allowing defining memory allocation callbacks that will be given
3994      file name and line number information in additional arguments
3995      (a const char* and an int).  The basic functionality remains, as
3996      well as the original possibility to just replace malloc(),
3997      realloc() and free() by functions that do not know about these
3998      additional arguments.  To register and find out the current
3999      settings for extended allocation functions, the following
4000      functions are provided:
4001
4002         CRYPTO_set_mem_ex_functions
4003         CRYPTO_set_locked_mem_ex_functions
4004         CRYPTO_get_mem_ex_functions
4005         CRYPTO_get_locked_mem_ex_functions
4006
4007      These work the same way as CRYPTO_set_mem_functions and friends.
4008      CRYPTO_get_[locked_]mem_functions now writes 0 where such an
4009      extended allocation function is enabled.
4010      Similarly, CRYPTO_get_[locked_]mem_ex_functions writes 0 where
4011      a conventional allocation function is enabled.
4012      [Richard Levitte, Bodo Moeller]
4013
4014   *) Finish off removing the remaining LHASH function pointer casts.
4015      There should no longer be any prototype-casting required when using
4016      the LHASH abstraction, and any casts that remain are "bugs". See
4017      the callback types and macros at the head of lhash.h for details
4018      (and "OBJ_cleanup" in crypto/objects/obj_dat.c as an example).
4019      [Geoff Thorpe]
4020
4021   *) Add automatic query of EGD sockets in RAND_poll() for the unix variant.
4022      If /dev/[u]random devices are not available or do not return enough
4023      entropy, EGD style sockets (served by EGD or PRNGD) will automatically
4024      be queried.
4025      The locations /var/run/egd-pool, /dev/egd-pool, /etc/egd-pool, and
4026      /etc/entropy will be queried once each in this sequence, quering stops
4027      when enough entropy was collected without querying more sockets.
4028      [Lutz Jaenicke]
4029
4030   *) Change the Unix RAND_poll() variant to be able to poll several
4031      random devices, as specified by DEVRANDOM, until a sufficient amount
4032      of data has been collected.   We spend at most 10 ms on each file
4033      (select timeout) and read in non-blocking mode.  DEVRANDOM now
4034      defaults to the list "/dev/urandom", "/dev/random", "/dev/srandom"
4035      (previously it was just the string "/dev/urandom"), so on typical
4036      platforms the 10 ms delay will never occur.
4037      Also separate out the Unix variant to its own file, rand_unix.c.
4038      For VMS, there's a currently-empty rand_vms.c.
4039      [Richard Levitte]
4040
4041   *) Move OCSP client related routines to ocsp_cl.c. These
4042      provide utility functions which an application needing
4043      to issue a request to an OCSP responder and analyse the
4044      response will typically need: as opposed to those which an
4045      OCSP responder itself would need which will be added later.
4046
4047      OCSP_request_sign() signs an OCSP request with an API similar
4048      to PKCS7_sign(). OCSP_response_status() returns status of OCSP
4049      response. OCSP_response_get1_basic() extracts basic response
4050      from response. OCSP_resp_find_status(): finds and extracts status
4051      information from an OCSP_CERTID structure (which will be created
4052      when the request structure is built). These are built from lower
4053      level functions which work on OCSP_SINGLERESP structures but
4054      wont normally be used unless the application wishes to examine
4055      extensions in the OCSP response for example.
4056
4057      Replace nonce routines with a pair of functions.
4058      OCSP_request_add1_nonce() adds a nonce value and optionally
4059      generates a random value. OCSP_check_nonce() checks the
4060      validity of the nonce in an OCSP response.
4061      [Steve Henson]
4062
4063   *) Change function OCSP_request_add() to OCSP_request_add0_id().
4064      This doesn't copy the supplied OCSP_CERTID and avoids the
4065      need to free up the newly created id. Change return type
4066      to OCSP_ONEREQ to return the internal OCSP_ONEREQ structure.
4067      This can then be used to add extensions to the request.
4068      Deleted OCSP_request_new(), since most of its functionality
4069      is now in OCSP_REQUEST_new() (and the case insensitive name
4070      clash) apart from the ability to set the request name which
4071      will be added elsewhere.
4072      [Steve Henson]
4073
4074   *) Update OCSP API. Remove obsolete extensions argument from
4075      various functions. Extensions are now handled using the new
4076      OCSP extension code. New simple OCSP HTTP function which 
4077      can be used to send requests and parse the response.
4078      [Steve Henson]
4079
4080   *) Fix the PKCS#7 (S/MIME) code to work with new ASN1. Two new
4081      ASN1_ITEM structures help with sign and verify. PKCS7_ATTR_SIGN
4082      uses the special reorder version of SET OF to sort the attributes
4083      and reorder them to match the encoded order. This resolves a long
4084      standing problem: a verify on a PKCS7 structure just after signing
4085      it used to fail because the attribute order did not match the
4086      encoded order. PKCS7_ATTR_VERIFY does not reorder the attributes:
4087      it uses the received order. This is necessary to tolerate some broken
4088      software that does not order SET OF. This is handled by encoding
4089      as a SEQUENCE OF but using implicit tagging (with UNIVERSAL class)
4090      to produce the required SET OF.
4091      [Steve Henson]
4092
4093   *) Have mk1mf.pl generate the macros OPENSSL_BUILD_SHLIBCRYPTO and
4094      OPENSSL_BUILD_SHLIBSSL and use them appropriately in the header
4095      files to get correct declarations of the ASN.1 item variables.
4096      [Richard Levitte]
4097
4098   *) Rewrite of PKCS#12 code to use new ASN1 functionality. Replace many
4099      PKCS#12 macros with real functions. Fix two unrelated ASN1 bugs:
4100      asn1_check_tlen() would sometimes attempt to use 'ctx' when it was
4101      NULL and ASN1_TYPE was not dereferenced properly in asn1_ex_c2i().
4102      New ASN1 macro: DECLARE_ASN1_ITEM() which just declares the relevant
4103      ASN1_ITEM and no wrapper functions.
4104      [Steve Henson]
4105
4106   *) New functions or ASN1_item_d2i_fp() and ASN1_item_d2i_bio(). These
4107      replace the old function pointer based I/O routines. Change most of
4108      the *_d2i_bio() and *_d2i_fp() functions to use these.
4109      [Steve Henson]
4110
4111   *) Enhance mkdef.pl to be more accepting about spacing in C preprocessor
4112      lines, recognice more "algorithms" that can be deselected, and make
4113      it complain about algorithm deselection that isn't recognised.
4114      [Richard Levitte]
4115
4116   *) New ASN1 functions to handle dup, sign, verify, digest, pack and
4117      unpack operations in terms of ASN1_ITEM. Modify existing wrappers
4118      to use new functions. Add NO_ASN1_OLD which can be set to remove
4119      some old style ASN1 functions: this can be used to determine if old
4120      code will still work when these eventually go away.
4121      [Steve Henson]
4122
4123   *) New extension functions for OCSP structures, these follow the
4124      same conventions as certificates and CRLs.
4125      [Steve Henson]
4126
4127   *) New function X509V3_add1_i2d(). This automatically encodes and
4128      adds an extension. Its behaviour can be customised with various
4129      flags to append, replace or delete. Various wrappers added for
4130      certifcates and CRLs.
4131      [Steve Henson]
4132
4133   *) Fix to avoid calling the underlying ASN1 print routine when
4134      an extension cannot be parsed. Correct a typo in the
4135      OCSP_SERVICELOC extension. Tidy up print OCSP format.
4136      [Steve Henson]
4137
4138   *) Make mkdef.pl parse some of the ASN1 macros and add apropriate
4139      entries for variables.
4140      [Steve Henson]
4141
4142   *) Add functionality to apps/openssl.c for detecting locking
4143      problems: As the program is single-threaded, all we have
4144      to do is register a locking callback using an array for
4145      storing which locks are currently held by the program.
4146      [Bodo Moeller]
4147
4148   *) Use a lock around the call to CRYPTO_get_ex_new_index() in
4149      SSL_get_ex_data_X509_STORE_idx(), which is used in
4150      ssl_verify_cert_chain() and thus can be called at any time
4151      during TLS/SSL handshakes so that thread-safety is essential.
4152      Unfortunately, the ex_data design is not at all suited
4153      for multi-threaded use, so it probably should be abolished.
4154      [Bodo Moeller]
4155
4156   *) Added Broadcom "ubsec" ENGINE to OpenSSL.
4157      [Broadcom, tweaked and integrated by Geoff Thorpe]
4158
4159   *) Move common extension printing code to new function
4160      X509V3_print_extensions(). Reorganise OCSP print routines and
4161      implement some needed OCSP ASN1 functions. Add OCSP extensions.
4162      [Steve Henson]
4163
4164   *) New function X509_signature_print() to remove duplication in some
4165      print routines.
4166      [Steve Henson]
4167
4168   *) Add a special meaning when SET OF and SEQUENCE OF flags are both
4169      set (this was treated exactly the same as SET OF previously). This
4170      is used to reorder the STACK representing the structure to match the
4171      encoding. This will be used to get round a problem where a PKCS7
4172      structure which was signed could not be verified because the STACK
4173      order did not reflect the encoded order.
4174      [Steve Henson]
4175
4176   *) Reimplement the OCSP ASN1 module using the new code.
4177      [Steve Henson]
4178
4179   *) Update the X509V3 code to permit the use of an ASN1_ITEM structure
4180      for its ASN1 operations. The old style function pointers still exist
4181      for now but they will eventually go away.
4182      [Steve Henson]
4183
4184   *) Merge in replacement ASN1 code from the ASN1 branch. This almost
4185      completely replaces the old ASN1 functionality with a table driven
4186      encoder and decoder which interprets an ASN1_ITEM structure describing
4187      the ASN1 module. Compatibility with the existing ASN1 API (i2d,d2i) is
4188      largely maintained. Almost all of the old asn1_mac.h macro based ASN1
4189      has also been converted to the new form.
4190      [Steve Henson]
4191
4192   *) Change BN_mod_exp_recp so that negative moduli are tolerated
4193      (the sign is ignored).  Similarly, ignore the sign in BN_MONT_CTX_set
4194      so that BN_mod_exp_mont and BN_mod_exp_mont_word work
4195      for negative moduli.
4196      [Bodo Moeller]
4197
4198   *) Fix BN_uadd and BN_usub: Always return non-negative results instead
4199      of not touching the result's sign bit.
4200      [Bodo Moeller]
4201
4202   *) BN_div bugfix: If the result is 0, the sign (res->neg) must not be
4203      set.
4204      [Bodo Moeller]
4205
4206   *) Changed the LHASH code to use prototypes for callbacks, and created
4207      macros to declare and implement thin (optionally static) functions
4208      that provide type-safety and avoid function pointer casting for the
4209      type-specific callbacks.
4210      [Geoff Thorpe]
4211
4212   *) Added Kerberos Cipher Suites to be used with TLS, as written in
4213      RFC 2712.
4214      [Veers Staats <staatsvr@asc.hpc.mil>,
4215       Jeffrey Altman <jaltman@columbia.edu>, via Richard Levitte]
4216
4217   *) Reformat the FAQ so the different questions and answers can be divided
4218      in sections depending on the subject.
4219      [Richard Levitte]
4220
4221   *) Have the zlib compression code load ZLIB.DLL dynamically under
4222      Windows.
4223      [Richard Levitte]
4224
4225   *) New function BN_mod_sqrt for computing square roots modulo a prime
4226      (using the probabilistic Tonelli-Shanks algorithm unless
4227      p == 3 (mod 4)  or  p == 5 (mod 8),  which are cases that can
4228      be handled deterministically).
4229      [Lenka Fibikova <fibikova@exp-math.uni-essen.de>, Bodo Moeller]
4230
4231   *) Make BN_mod_inverse faster by explicitly handling small quotients
4232      in the Euclid loop. (Speed gain about 20% for small moduli [256 or
4233      512 bits], about 30% for larger ones [1024 or 2048 bits].)
4234      [Bodo Moeller]
4235
4236   *) New function BN_kronecker.
4237      [Bodo Moeller]
4238
4239   *) Fix BN_gcd so that it works on negative inputs; the result is
4240      positive unless both parameters are zero.
4241      Previously something reasonably close to an infinite loop was
4242      possible because numbers could be growing instead of shrinking
4243      in the implementation of Euclid's algorithm.
4244      [Bodo Moeller]
4245
4246   *) Fix BN_is_word() and BN_is_one() macros to take into account the
4247      sign of the number in question.
4248
4249      Fix BN_is_word(a,w) to work correctly for w == 0.
4250
4251      The old BN_is_word(a,w) macro is now called BN_abs_is_word(a,w)
4252      because its test if the absolute value of 'a' equals 'w'.
4253      Note that BN_abs_is_word does *not* handle w == 0 reliably;
4254      it exists mostly for use in the implementations of BN_is_zero(),
4255      BN_is_one(), and BN_is_word().
4256      [Bodo Moeller]
4257
4258   *) New function BN_swap.
4259      [Bodo Moeller]
4260
4261   *) Use BN_nnmod instead of BN_mod in crypto/bn/bn_exp.c so that
4262      the exponentiation functions are more likely to produce reasonable
4263      results on negative inputs.
4264      [Bodo Moeller]
4265
4266   *) Change BN_mod_mul so that the result is always non-negative.
4267      Previously, it could be negative if one of the factors was negative;
4268      I don't think anyone really wanted that behaviour.
4269      [Bodo Moeller]
4270
4271   *) Move BN_mod_... functions into new file crypto/bn/bn_mod.c
4272      (except for exponentiation, which stays in crypto/bn/bn_exp.c,
4273      and BN_mod_mul_reciprocal, which stays in crypto/bn/bn_recp.c)
4274      and add new functions:
4275
4276           BN_nnmod
4277           BN_mod_sqr
4278           BN_mod_add
4279           BN_mod_add_quick
4280           BN_mod_sub
4281           BN_mod_sub_quick
4282           BN_mod_lshift1
4283           BN_mod_lshift1_quick
4284           BN_mod_lshift
4285           BN_mod_lshift_quick
4286
4287      These functions always generate non-negative results.
4288
4289      BN_nnmod otherwise is like BN_mod (if BN_mod computes a remainder  r
4290      such that  |m| < r < 0,  BN_nnmod will output  rem + |m|  instead).
4291
4292      BN_mod_XXX_quick(r, a, [b,] m) generates the same result as
4293      BN_mod_XXX(r, a, [b,] m, ctx), but requires that  a  [and  b]
4294      be reduced modulo  m.
4295      [Lenka Fibikova <fibikova@exp-math.uni-essen.de>, Bodo Moeller]
4296
4297 #if 0
4298      The following entry accidentily appeared in the CHANGES file
4299      distributed with OpenSSL 0.9.7.  The modifications described in
4300      it do *not* apply to OpenSSL 0.9.7.
4301
4302   *) Remove a few calls to bn_wexpand() in BN_sqr() (the one in there
4303      was actually never needed) and in BN_mul().  The removal in BN_mul()
4304      required a small change in bn_mul_part_recursive() and the addition
4305      of the functions bn_cmp_part_words(), bn_sub_part_words() and
4306      bn_add_part_words(), which do the same thing as bn_cmp_words(),
4307      bn_sub_words() and bn_add_words() except they take arrays with
4308      differing sizes.
4309      [Richard Levitte]
4310 #endif
4311
4312   *) In 'openssl passwd', verify passwords read from the terminal
4313      unless the '-salt' option is used (which usually means that
4314      verification would just waste user's time since the resulting
4315      hash is going to be compared with some given password hash)
4316      or the new '-noverify' option is used.
4317
4318      This is an incompatible change, but it does not affect
4319      non-interactive use of 'openssl passwd' (passwords on the command
4320      line, '-stdin' option, '-in ...' option) and thus should not
4321      cause any problems.
4322      [Bodo Moeller]
4323
4324   *) Remove all references to RSAref, since there's no more need for it.
4325      [Richard Levitte]
4326
4327   *) Make DSO load along a path given through an environment variable
4328      (SHLIB_PATH) with shl_load().
4329      [Richard Levitte]
4330
4331   *) Constify the ENGINE code as a result of BIGNUM constification.
4332      Also constify the RSA code and most things related to it.  In a
4333      few places, most notable in the depth of the ASN.1 code, ugly
4334      casts back to non-const were required (to be solved at a later
4335      time)
4336      [Richard Levitte]
4337
4338   *) Make it so the openssl application has all engines loaded by default.
4339      [Richard Levitte]
4340
4341   *) Constify the BIGNUM routines a little more.
4342      [Richard Levitte]
4343
4344   *) Add the following functions:
4345
4346         ENGINE_load_cswift()
4347         ENGINE_load_chil()
4348         ENGINE_load_atalla()
4349         ENGINE_load_nuron()
4350         ENGINE_load_builtin_engines()
4351
4352      That way, an application can itself choose if external engines that
4353      are built-in in OpenSSL shall ever be used or not.  The benefit is
4354      that applications won't have to be linked with libdl or other dso
4355      libraries unless it's really needed.
4356
4357      Changed 'openssl engine' to load all engines on demand.
4358      Changed the engine header files to avoid the duplication of some
4359      declarations (they differed!).
4360      [Richard Levitte]
4361
4362   *) 'openssl engine' can now list capabilities.
4363      [Richard Levitte]
4364
4365   *) Better error reporting in 'openssl engine'.
4366      [Richard Levitte]
4367
4368   *) Never call load_dh_param(NULL) in s_server.
4369      [Bodo Moeller]
4370
4371   *) Add engine application.  It can currently list engines by name and
4372      identity, and test if they are actually available.
4373      [Richard Levitte]
4374
4375   *) Improve RPM specification file by forcing symbolic linking and making
4376      sure the installed documentation is also owned by root.root.
4377      [Damien Miller <djm@mindrot.org>]
4378
4379   *) Give the OpenSSL applications more possibilities to make use of
4380      keys (public as well as private) handled by engines.
4381      [Richard Levitte]
4382
4383   *) Add OCSP code that comes from CertCo.
4384      [Richard Levitte]
4385
4386   *) Add VMS support for the Rijndael code.
4387      [Richard Levitte]
4388
4389   *) Added untested support for Nuron crypto accelerator.
4390      [Ben Laurie]
4391
4392   *) Add support for external cryptographic devices.  This code was
4393      previously distributed separately as the "engine" branch.
4394      [Geoff Thorpe, Richard Levitte]
4395
4396   *) Rework the filename-translation in the DSO code. It is now possible to
4397      have far greater control over how a "name" is turned into a filename
4398      depending on the operating environment and any oddities about the
4399      different shared library filenames on each system.
4400      [Geoff Thorpe]
4401
4402   *) Support threads on FreeBSD-elf in Configure.
4403      [Richard Levitte]
4404
4405   *) Fix for SHA1 assembly problem with MASM: it produces
4406      warnings about corrupt line number information when assembling
4407      with debugging information. This is caused by the overlapping
4408      of two sections.
4409      [Bernd Matthes <mainbug@celocom.de>, Steve Henson]
4410
4411   *) NCONF changes.
4412      NCONF_get_number() has no error checking at all.  As a replacement,
4413      NCONF_get_number_e() is defined (_e for "error checking") and is
4414      promoted strongly.  The old NCONF_get_number is kept around for
4415      binary backward compatibility.
4416      Make it possible for methods to load from something other than a BIO,
4417      by providing a function pointer that is given a name instead of a BIO.
4418      For example, this could be used to load configuration data from an
4419      LDAP server.
4420      [Richard Levitte]
4421
4422   *) Fix for non blocking accept BIOs. Added new I/O special reason
4423      BIO_RR_ACCEPT to cover this case. Previously use of accept BIOs
4424      with non blocking I/O was not possible because no retry code was
4425      implemented. Also added new SSL code SSL_WANT_ACCEPT to cover
4426      this case.
4427      [Steve Henson]
4428
4429   *) Added the beginnings of Rijndael support.
4430      [Ben Laurie]
4431
4432   *) Fix for bug in DirectoryString mask setting. Add support for
4433      X509_NAME_print_ex() in 'req' and X509_print_ex() function
4434      to allow certificate printing to more controllable, additional
4435      'certopt' option to 'x509' to allow new printing options to be
4436      set.
4437      [Steve Henson]
4438
4439   *) Clean old EAY MD5 hack from e_os.h.
4440      [Richard Levitte]
4441
4442  Changes between 0.9.6l and 0.9.6m  [17 Mar 2004]
4443
4444   *) Fix null-pointer assignment in do_change_cipher_spec() revealed
4445      by using the Codenomicon TLS Test Tool (CVE-2004-0079)
4446      [Joe Orton, Steve Henson]
4447
4448  Changes between 0.9.6k and 0.9.6l  [04 Nov 2003]
4449
4450   *) Fix additional bug revealed by the NISCC test suite:
4451
4452      Stop bug triggering large recursion when presented with
4453      certain ASN.1 tags (CVE-2003-0851)
4454      [Steve Henson]
4455
4456  Changes between 0.9.6j and 0.9.6k  [30 Sep 2003]
4457
4458   *) Fix various bugs revealed by running the NISCC test suite:
4459
4460      Stop out of bounds reads in the ASN1 code when presented with
4461      invalid tags (CVE-2003-0543 and CVE-2003-0544).
4462      
4463      If verify callback ignores invalid public key errors don't try to check
4464      certificate signature with the NULL public key.
4465
4466      [Steve Henson]
4467
4468   *) In ssl3_accept() (ssl/s3_srvr.c) only accept a client certificate
4469      if the server requested one: as stated in TLS 1.0 and SSL 3.0
4470      specifications.
4471      [Steve Henson]
4472
4473   *) In ssl3_get_client_hello() (ssl/s3_srvr.c), tolerate additional
4474      extra data after the compression methods not only for TLS 1.0
4475      but also for SSL 3.0 (as required by the specification).
4476      [Bodo Moeller; problem pointed out by Matthias Loepfe]
4477
4478   *) Change X509_certificate_type() to mark the key as exported/exportable
4479      when it's 512 *bits* long, not 512 bytes.
4480      [Richard Levitte]
4481
4482  Changes between 0.9.6i and 0.9.6j  [10 Apr 2003]
4483
4484   *) Countermeasure against the Klima-Pokorny-Rosa extension of
4485      Bleichbacher's attack on PKCS #1 v1.5 padding: treat
4486      a protocol version number mismatch like a decryption error
4487      in ssl3_get_client_key_exchange (ssl/s3_srvr.c).
4488      [Bodo Moeller]
4489
4490   *) Turn on RSA blinding by default in the default implementation
4491      to avoid a timing attack. Applications that don't want it can call
4492      RSA_blinding_off() or use the new flag RSA_FLAG_NO_BLINDING.
4493      They would be ill-advised to do so in most cases.
4494      [Ben Laurie, Steve Henson, Geoff Thorpe, Bodo Moeller]
4495
4496   *) Change RSA blinding code so that it works when the PRNG is not
4497      seeded (in this case, the secret RSA exponent is abused as
4498      an unpredictable seed -- if it is not unpredictable, there
4499      is no point in blinding anyway).  Make RSA blinding thread-safe
4500      by remembering the creator's thread ID in rsa->blinding and
4501      having all other threads use local one-time blinding factors
4502      (this requires more computation than sharing rsa->blinding, but
4503      avoids excessive locking; and if an RSA object is not shared
4504      between threads, blinding will still be very fast).
4505      [Bodo Moeller]
4506
4507  Changes between 0.9.6h and 0.9.6i  [19 Feb 2003]
4508
4509   *) In ssl3_get_record (ssl/s3_pkt.c), minimize information leaked
4510      via timing by performing a MAC computation even if incorrrect
4511      block cipher padding has been found.  This is a countermeasure
4512      against active attacks where the attacker has to distinguish
4513      between bad padding and a MAC verification error. (CVE-2003-0078)
4514
4515      [Bodo Moeller; problem pointed out by Brice Canvel (EPFL),
4516      Alain Hiltgen (UBS), Serge Vaudenay (EPFL), and
4517      Martin Vuagnoux (EPFL, Ilion)]
4518
4519  Changes between 0.9.6g and 0.9.6h  [5 Dec 2002]
4520
4521   *) New function OPENSSL_cleanse(), which is used to cleanse a section of
4522      memory from it's contents.  This is done with a counter that will
4523      place alternating values in each byte.  This can be used to solve
4524      two issues: 1) the removal of calls to memset() by highly optimizing
4525      compilers, and 2) cleansing with other values than 0, since those can
4526      be read through on certain media, for example a swap space on disk.
4527      [Geoff Thorpe]
4528
4529   *) Bugfix: client side session caching did not work with external caching,
4530      because the session->cipher setting was not restored when reloading
4531      from the external cache. This problem was masked, when
4532      SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG (part of SSL_OP_ALL) was set.
4533      (Found by Steve Haslam <steve@araqnid.ddts.net>.)
4534      [Lutz Jaenicke]
4535
4536   *) Fix client_certificate (ssl/s2_clnt.c): The permissible total
4537      length of the REQUEST-CERTIFICATE message is 18 .. 34, not 17 .. 33.
4538      [Zeev Lieber <zeev-l@yahoo.com>]
4539
4540   *) Undo an undocumented change introduced in 0.9.6e which caused
4541      repeated calls to OpenSSL_add_all_ciphers() and 
4542      OpenSSL_add_all_digests() to be ignored, even after calling
4543      EVP_cleanup().
4544      [Richard Levitte]
4545
4546   *) Change the default configuration reader to deal with last line not
4547      being properly terminated.
4548      [Richard Levitte]
4549
4550   *) Change X509_NAME_cmp() so it applies the special rules on handling
4551      DN values that are of type PrintableString, as well as RDNs of type
4552      emailAddress where the value has the type ia5String.
4553      [stefank@valicert.com via Richard Levitte]
4554
4555   *) Add a SSL_SESS_CACHE_NO_INTERNAL_STORE flag to take over half
4556      the job SSL_SESS_CACHE_NO_INTERNAL_LOOKUP was inconsistently
4557      doing, define a new flag (SSL_SESS_CACHE_NO_INTERNAL) to be
4558      the bitwise-OR of the two for use by the majority of applications
4559      wanting this behaviour, and update the docs. The documented
4560      behaviour and actual behaviour were inconsistent and had been
4561      changing anyway, so this is more a bug-fix than a behavioural
4562      change.
4563      [Geoff Thorpe, diagnosed by Nadav Har'El]
4564
4565   *) Don't impose a 16-byte length minimum on session IDs in ssl/s3_clnt.c
4566      (the SSL 3.0 and TLS 1.0 specifications allow any length up to 32 bytes).
4567      [Bodo Moeller]
4568
4569   *) Fix initialization code race conditions in
4570         SSLv23_method(),  SSLv23_client_method(),   SSLv23_server_method(),
4571         SSLv2_method(),   SSLv2_client_method(),    SSLv2_server_method(),
4572         SSLv3_method(),   SSLv3_client_method(),    SSLv3_server_method(),
4573         TLSv1_method(),   TLSv1_client_method(),    TLSv1_server_method(),
4574         ssl2_get_cipher_by_char(),
4575         ssl3_get_cipher_by_char().
4576      [Patrick McCormick <patrick@tellme.com>, Bodo Moeller]
4577
4578   *) Reorder cleanup sequence in SSL_CTX_free(): only remove the ex_data after
4579      the cached sessions are flushed, as the remove_cb() might use ex_data
4580      contents. Bug found by Sam Varshavchik <mrsam@courier-mta.com>
4581      (see [openssl.org #212]).
4582      [Geoff Thorpe, Lutz Jaenicke]
4583
4584   *) Fix typo in OBJ_txt2obj which incorrectly passed the content
4585      length, instead of the encoding length to d2i_ASN1_OBJECT.
4586      [Steve Henson]
4587
4588  Changes between 0.9.6f and 0.9.6g  [9 Aug 2002]
4589
4590   *) [In 0.9.6g-engine release:]
4591      Fix crypto/engine/vendor_defns/cswift.h for WIN32 (use '_stdcall').
4592      [Lynn Gazis <lgazis@rainbow.com>]
4593
4594  Changes between 0.9.6e and 0.9.6f  [8 Aug 2002]
4595
4596   *) Fix ASN1 checks. Check for overflow by comparing with LONG_MAX
4597      and get fix the header length calculation.
4598      [Florian Weimer <Weimer@CERT.Uni-Stuttgart.DE>,
4599         Alon Kantor <alonk@checkpoint.com> (and others),
4600         Steve Henson]
4601
4602   *) Use proper error handling instead of 'assertions' in buffer
4603      overflow checks added in 0.9.6e.  This prevents DoS (the
4604      assertions could call abort()).
4605      [Arne Ansper <arne@ats.cyber.ee>, Bodo Moeller]
4606
4607  Changes between 0.9.6d and 0.9.6e  [30 Jul 2002]
4608
4609   *) Add various sanity checks to asn1_get_length() to reject
4610      the ASN1 length bytes if they exceed sizeof(long), will appear
4611      negative or the content length exceeds the length of the
4612      supplied buffer.
4613      [Steve Henson, Adi Stav <stav@mercury.co.il>, James Yonan <jim@ntlp.com>]
4614
4615   *) Fix cipher selection routines: ciphers without encryption had no flags
4616      for the cipher strength set and where therefore not handled correctly
4617      by the selection routines (PR #130).
4618      [Lutz Jaenicke]
4619
4620   *) Fix EVP_dsa_sha macro.
4621      [Nils Larsch]
4622
4623   *) New option
4624           SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS
4625      for disabling the SSL 3.0/TLS 1.0 CBC vulnerability countermeasure
4626      that was added in OpenSSL 0.9.6d.
4627
4628      As the countermeasure turned out to be incompatible with some
4629      broken SSL implementations, the new option is part of SSL_OP_ALL.
4630      SSL_OP_ALL is usually employed when compatibility with weird SSL
4631      implementations is desired (e.g. '-bugs' option to 's_client' and
4632      's_server'), so the new option is automatically set in many
4633      applications.
4634      [Bodo Moeller]
4635
4636   *) Changes in security patch:
4637
4638      Changes marked "(CHATS)" were sponsored by the Defense Advanced
4639      Research Projects Agency (DARPA) and Air Force Research Laboratory,
4640      Air Force Materiel Command, USAF, under agreement number
4641      F30602-01-2-0537.
4642
4643   *) Add various sanity checks to asn1_get_length() to reject
4644      the ASN1 length bytes if they exceed sizeof(long), will appear
4645      negative or the content length exceeds the length of the
4646      supplied buffer. (CVE-2002-0659)
4647      [Steve Henson, Adi Stav <stav@mercury.co.il>, James Yonan <jim@ntlp.com>]
4648
4649   *) Assertions for various potential buffer overflows, not known to
4650      happen in practice.
4651      [Ben Laurie (CHATS)]
4652
4653   *) Various temporary buffers to hold ASCII versions of integers were
4654      too small for 64 bit platforms. (CVE-2002-0655)
4655      [Matthew Byng-Maddick <mbm@aldigital.co.uk> and Ben Laurie (CHATS)>
4656
4657   *) Remote buffer overflow in SSL3 protocol - an attacker could
4658      supply an oversized session ID to a client. (CVE-2002-0656)
4659      [Ben Laurie (CHATS)]
4660
4661   *) Remote buffer overflow in SSL2 protocol - an attacker could
4662      supply an oversized client master key. (CVE-2002-0656)
4663      [Ben Laurie (CHATS)]
4664
4665  Changes between 0.9.6c and 0.9.6d  [9 May 2002]
4666
4667   *) Fix crypto/asn1/a_sign.c so that 'parameters' is omitted (not
4668      encoded as NULL) with id-dsa-with-sha1.
4669      [Nils Larsch <nla@trustcenter.de>; problem pointed out by Bodo Moeller]
4670
4671   *) Check various X509_...() return values in apps/req.c.
4672      [Nils Larsch <nla@trustcenter.de>]
4673
4674   *) Fix BASE64 decode (EVP_DecodeUpdate) for data with CR/LF ended lines:
4675      an end-of-file condition would erronously be flagged, when the CRLF
4676      was just at the end of a processed block. The bug was discovered when
4677      processing data through a buffering memory BIO handing the data to a
4678      BASE64-decoding BIO. Bug fund and patch submitted by Pavel Tsekov
4679      <ptsekov@syntrex.com> and Nedelcho Stanev.
4680      [Lutz Jaenicke]
4681
4682   *) Implement a countermeasure against a vulnerability recently found
4683      in CBC ciphersuites in SSL 3.0/TLS 1.0: Send an empty fragment
4684      before application data chunks to avoid the use of known IVs
4685      with data potentially chosen by the attacker.
4686      [Bodo Moeller]
4687
4688   *) Fix length checks in ssl3_get_client_hello().
4689      [Bodo Moeller]
4690
4691   *) TLS/SSL library bugfix: use s->s3->in_read_app_data differently
4692      to prevent ssl3_read_internal() from incorrectly assuming that
4693      ssl3_read_bytes() found application data while handshake
4694      processing was enabled when in fact s->s3->in_read_app_data was
4695      merely automatically cleared during the initial handshake.
4696      [Bodo Moeller; problem pointed out by Arne Ansper <arne@ats.cyber.ee>]
4697
4698   *) Fix object definitions for Private and Enterprise: they were not
4699      recognized in their shortname (=lowercase) representation. Extend
4700      obj_dat.pl to issue an error when using undefined keywords instead
4701      of silently ignoring the problem (Svenning Sorensen
4702      <sss@sss.dnsalias.net>).
4703      [Lutz Jaenicke]
4704
4705   *) Fix DH_generate_parameters() so that it works for 'non-standard'
4706      generators, i.e. generators other than 2 and 5.  (Previously, the
4707      code did not properly initialise the 'add' and 'rem' values to
4708      BN_generate_prime().)
4709
4710      In the new general case, we do not insist that 'generator' is
4711      actually a primitive root: This requirement is rather pointless;
4712      a generator of the order-q subgroup is just as good, if not
4713      better.
4714      [Bodo Moeller]
4715  
4716   *) Map new X509 verification errors to alerts. Discovered and submitted by
4717      Tom Wu <tom@arcot.com>.
4718      [Lutz Jaenicke]
4719
4720   *) Fix ssl3_pending() (ssl/s3_lib.c) to prevent SSL_pending() from
4721      returning non-zero before the data has been completely received
4722      when using non-blocking I/O.
4723      [Bodo Moeller; problem pointed out by John Hughes]
4724
4725   *) Some of the ciphers missed the strength entry (SSL_LOW etc).
4726      [Ben Laurie, Lutz Jaenicke]
4727
4728   *) Fix bug in SSL_clear(): bad sessions were not removed (found by
4729      Yoram Zahavi <YoramZ@gilian.com>).
4730      [Lutz Jaenicke]
4731
4732   *) Add information about CygWin 1.3 and on, and preserve proper
4733      configuration for the versions before that.
4734      [Corinna Vinschen <vinschen@redhat.com> and Richard Levitte]
4735
4736   *) Make removal from session cache (SSL_CTX_remove_session()) more robust:
4737      check whether we deal with a copy of a session and do not delete from
4738      the cache in this case. Problem reported by "Izhar Shoshani Levi"
4739      <izhar@checkpoint.com>.
4740      [Lutz Jaenicke]
4741
4742   *) Do not store session data into the internal session cache, if it
4743      is never intended to be looked up (SSL_SESS_CACHE_NO_INTERNAL_LOOKUP
4744      flag is set). Proposed by Aslam <aslam@funk.com>.
4745      [Lutz Jaenicke]
4746
4747   *) Have ASN1_BIT_STRING_set_bit() really clear a bit when the requested
4748      value is 0.
4749      [Richard Levitte]
4750
4751   *) [In 0.9.6d-engine release:]
4752      Fix a crashbug and a logic bug in hwcrhk_load_pubkey().
4753      [Toomas Kiisk <vix@cyber.ee> via Richard Levitte]
4754
4755   *) Add the configuration target linux-s390x.
4756      [Neale Ferguson <Neale.Ferguson@SoftwareAG-USA.com> via Richard Levitte]
4757
4758   *) The earlier bugfix for the SSL3_ST_SW_HELLO_REQ_C case of
4759      ssl3_accept (ssl/s3_srvr.c) incorrectly used a local flag
4760      variable as an indication that a ClientHello message has been
4761      received.  As the flag value will be lost between multiple
4762      invocations of ssl3_accept when using non-blocking I/O, the
4763      function may not be aware that a handshake has actually taken
4764      place, thus preventing a new session from being added to the
4765      session cache.
4766
4767      To avoid this problem, we now set s->new_session to 2 instead of
4768      using a local variable.
4769      [Lutz Jaenicke, Bodo Moeller]
4770
4771   *) Bugfix: Return -1 from ssl3_get_server_done (ssl3/s3_clnt.c)
4772      if the SSL_R_LENGTH_MISMATCH error is detected.
4773      [Geoff Thorpe, Bodo Moeller]
4774
4775   *) New 'shared_ldflag' column in Configure platform table.
4776      [Richard Levitte]
4777
4778   *) Fix EVP_CIPHER_mode macro.
4779      ["Dan S. Camper" <dan@bti.net>]
4780
4781   *) Fix ssl3_read_bytes (ssl/s3_pkt.c): To ignore messages of unknown
4782      type, we must throw them away by setting rr->length to 0.
4783      [D P Chang <dpc@qualys.com>]
4784
4785  Changes between 0.9.6b and 0.9.6c  [21 dec 2001]
4786
4787   *) Fix BN_rand_range bug pointed out by Dominikus Scherkl
4788      <Dominikus.Scherkl@biodata.com>.  (The previous implementation
4789      worked incorrectly for those cases where  range = 10..._2  and
4790      3*range  is two bits longer than  range.)
4791      [Bodo Moeller]
4792
4793   *) Only add signing time to PKCS7 structures if it is not already
4794      present.
4795      [Steve Henson]
4796
4797   *) Fix crypto/objects/objects.h: "ld-ce" should be "id-ce",
4798      OBJ_ld_ce should be OBJ_id_ce.
4799      Also some ip-pda OIDs in crypto/objects/objects.txt were
4800      incorrect (cf. RFC 3039).
4801      [Matt Cooper, Frederic Giudicelli, Bodo Moeller]
4802
4803   *) Release CRYPTO_LOCK_DYNLOCK when CRYPTO_destroy_dynlockid()
4804      returns early because it has nothing to do.
4805      [Andy Schneider <andy.schneider@bjss.co.uk>]
4806
4807   *) [In 0.9.6c-engine release:]
4808      Fix mutex callback return values in crypto/engine/hw_ncipher.c.
4809      [Andy Schneider <andy.schneider@bjss.co.uk>]
4810
4811   *) [In 0.9.6c-engine release:]
4812      Add support for Cryptographic Appliance's keyserver technology.
4813      (Use engine 'keyclient')
4814      [Cryptographic Appliances and Geoff Thorpe]
4815
4816   *) Add a configuration entry for OS/390 Unix.  The C compiler 'c89'
4817      is called via tools/c89.sh because arguments have to be
4818      rearranged (all '-L' options must appear before the first object
4819      modules).
4820      [Richard Shapiro <rshapiro@abinitio.com>]
4821
4822   *) [In 0.9.6c-engine release:]
4823      Add support for Broadcom crypto accelerator cards, backported
4824      from 0.9.7.
4825      [Broadcom, Nalin Dahyabhai <nalin@redhat.com>, Mark Cox]
4826
4827   *) [In 0.9.6c-engine release:]
4828      Add support for SureWare crypto accelerator cards from 
4829      Baltimore Technologies.  (Use engine 'sureware')
4830      [Baltimore Technologies and Mark Cox]
4831
4832   *) [In 0.9.6c-engine release:]
4833      Add support for crypto accelerator cards from Accelerated
4834      Encryption Processing, www.aep.ie.  (Use engine 'aep')
4835      [AEP Inc. and Mark Cox]
4836
4837   *) Add a configuration entry for gcc on UnixWare.
4838      [Gary Benson <gbenson@redhat.com>]
4839
4840   *) Change ssl/s2_clnt.c and ssl/s2_srvr.c so that received handshake
4841      messages are stored in a single piece (fixed-length part and
4842      variable-length part combined) and fix various bugs found on the way.
4843      [Bodo Moeller]
4844
4845   *) Disable caching in BIO_gethostbyname(), directly use gethostbyname()
4846      instead.  BIO_gethostbyname() does not know what timeouts are
4847      appropriate, so entries would stay in cache even when they have
4848      become invalid.
4849      [Bodo Moeller; problem pointed out by Rich Salz <rsalz@zolera.com>
4850
4851   *) Change ssl23_get_client_hello (ssl/s23_srvr.c) behaviour when
4852      faced with a pathologically small ClientHello fragment that does
4853      not contain client_version: Instead of aborting with an error,
4854      simply choose the highest available protocol version (i.e.,
4855      TLS 1.0 unless it is disabled).  In practice, ClientHello
4856      messages are never sent like this, but this change gives us
4857      strictly correct behaviour at least for TLS.
4858      [Bodo Moeller]
4859
4860   *) Fix SSL handshake functions and SSL_clear() such that SSL_clear()
4861      never resets s->method to s->ctx->method when called from within
4862      one of the SSL handshake functions.
4863      [Bodo Moeller; problem pointed out by Niko Baric]
4864
4865   *) In ssl3_get_client_hello (ssl/s3_srvr.c), generate a fatal alert
4866      (sent using the client's version number) if client_version is
4867      smaller than the protocol version in use.  Also change
4868      ssl23_get_client_hello (ssl/s23_srvr.c) to select TLS 1.0 if
4869      the client demanded SSL 3.0 but only TLS 1.0 is enabled; then
4870      the client will at least see that alert.
4871      [Bodo Moeller]
4872
4873   *) Fix ssl3_get_message (ssl/s3_both.c) to handle message fragmentation
4874      correctly.
4875      [Bodo Moeller]
4876
4877   *) Avoid infinite loop in ssl3_get_message (ssl/s3_both.c) if a
4878      client receives HelloRequest while in a handshake.
4879      [Bodo Moeller; bug noticed by Andy Schneider <andy.schneider@bjss.co.uk>]
4880
4881   *) Bugfix in ssl3_accept (ssl/s3_srvr.c): Case SSL3_ST_SW_HELLO_REQ_C
4882      should end in 'break', not 'goto end' which circuments various
4883      cleanups done in state SSL_ST_OK.   But session related stuff
4884      must be disabled for SSL_ST_OK in the case that we just sent a
4885      HelloRequest.
4886
4887      Also avoid some overhead by not calling ssl_init_wbio_buffer()
4888      before just sending a HelloRequest.
4889      [Bodo Moeller, Eric Rescorla <ekr@rtfm.com>]
4890
4891   *) Fix ssl/s3_enc.c, ssl/t1_enc.c and ssl/s3_pkt.c so that we don't
4892      reveal whether illegal block cipher padding was found or a MAC
4893      verification error occured.  (Neither SSLerr() codes nor alerts
4894      are directly visible to potential attackers, but the information
4895      may leak via logfiles.)
4896
4897      Similar changes are not required for the SSL 2.0 implementation
4898      because the number of padding bytes is sent in clear for SSL 2.0,
4899      and the extra bytes are just ignored.  However ssl/s2_pkt.c
4900      failed to verify that the purported number of padding bytes is in
4901      the legal range.
4902      [Bodo Moeller]
4903
4904   *) Add OpenUNIX-8 support including shared libraries
4905      (Boyd Lynn Gerber <gerberb@zenez.com>).
4906      [Lutz Jaenicke]
4907
4908   *) Improve RSA_padding_check_PKCS1_OAEP() check again to avoid
4909      'wristwatch attack' using huge encoding parameters (cf.
4910      James H. Manger's CRYPTO 2001 paper).  Note that the
4911      RSA_PKCS1_OAEP_PADDING case of RSA_private_decrypt() does not use
4912      encoding parameters and hence was not vulnerable.
4913      [Bodo Moeller]
4914
4915   *) BN_sqr() bug fix.
4916      [Ulf Möller, reported by Jim Ellis <jim.ellis@cavium.com>]
4917
4918   *) Rabin-Miller test analyses assume uniformly distributed witnesses,
4919      so use BN_pseudo_rand_range() instead of using BN_pseudo_rand()
4920      followed by modular reduction.
4921      [Bodo Moeller; pointed out by Adam Young <AYoung1@NCSUS.JNJ.COM>]
4922
4923   *) Add BN_pseudo_rand_range() with obvious functionality: BN_rand_range()
4924      equivalent based on BN_pseudo_rand() instead of BN_rand().
4925      [Bodo Moeller]
4926
4927   *) s3_srvr.c: allow sending of large client certificate lists (> 16 kB).
4928      This function was broken, as the check for a new client hello message
4929      to handle SGC did not allow these large messages.
4930      (Tracked down by "Douglas E. Engert" <deengert@anl.gov>.)
4931      [Lutz Jaenicke]
4932
4933   *) Add alert descriptions for TLSv1 to SSL_alert_desc_string[_long]().
4934      [Lutz Jaenicke]
4935
4936   *) Fix buggy behaviour of BIO_get_num_renegotiates() and BIO_ctrl()
4937      for BIO_C_GET_WRITE_BUF_SIZE ("Stephen Hinton" <shinton@netopia.com>).
4938      [Lutz Jaenicke]
4939
4940   *) Rework the configuration and shared library support for Tru64 Unix.
4941      The configuration part makes use of modern compiler features and
4942      still retains old compiler behavior for those that run older versions
4943      of the OS.  The shared library support part includes a variant that
4944      uses the RPATH feature, and is available through the special
4945      configuration target "alpha-cc-rpath", which will never be selected
4946      automatically.
4947      [Tim Mooney <mooney@dogbert.cc.ndsu.NoDak.edu> via Richard Levitte]
4948
4949   *) In ssl3_get_key_exchange (ssl/s3_clnt.c), call ssl3_get_message()
4950      with the same message size as in ssl3_get_certificate_request().
4951      Otherwise, if no ServerKeyExchange message occurs, CertificateRequest
4952      messages might inadvertently be reject as too long.
4953      [Petr Lampa <lampa@fee.vutbr.cz>]
4954
4955   *) Enhanced support for IA-64 Unix platforms (well, Linux and HP-UX).
4956      [Andy Polyakov]
4957
4958   *) Modified SSL library such that the verify_callback that has been set
4959      specificly for an SSL object with SSL_set_verify() is actually being
4960      used. Before the change, a verify_callback set with this function was
4961      ignored and the verify_callback() set in the SSL_CTX at the time of
4962      the call was used. New function X509_STORE_CTX_set_verify_cb() introduced
4963      to allow the necessary settings.
4964      [Lutz Jaenicke]
4965
4966   *) Initialize static variable in crypto/dsa/dsa_lib.c and crypto/dh/dh_lib.c
4967      explicitly to NULL, as at least on Solaris 8 this seems not always to be
4968      done automatically (in contradiction to the requirements of the C
4969      standard). This made problems when used from OpenSSH.
4970      [Lutz Jaenicke]
4971
4972   *) In OpenSSL 0.9.6a and 0.9.6b, crypto/dh/dh_key.c ignored
4973      dh->length and always used
4974
4975           BN_rand_range(priv_key, dh->p).
4976
4977      BN_rand_range() is not necessary for Diffie-Hellman, and this
4978      specific range makes Diffie-Hellman unnecessarily inefficient if
4979      dh->length (recommended exponent length) is much smaller than the
4980      length of dh->p.  We could use BN_rand_range() if the order of
4981      the subgroup was stored in the DH structure, but we only have
4982      dh->length.
4983
4984      So switch back to
4985
4986           BN_rand(priv_key, l, ...)
4987
4988      where 'l' is dh->length if this is defined, or BN_num_bits(dh->p)-1
4989      otherwise.
4990      [Bodo Moeller]
4991
4992   *) In
4993
4994           RSA_eay_public_encrypt
4995           RSA_eay_private_decrypt
4996           RSA_eay_private_encrypt (signing)
4997           RSA_eay_public_decrypt (signature verification)
4998
4999      (default implementations for RSA_public_encrypt,
5000      RSA_private_decrypt, RSA_private_encrypt, RSA_public_decrypt),
5001      always reject numbers >= n.
5002      [Bodo Moeller]
5003
5004   *) In crypto/rand/md_rand.c, use a new short-time lock CRYPTO_LOCK_RAND2
5005      to synchronize access to 'locking_thread'.  This is necessary on
5006      systems where access to 'locking_thread' (an 'unsigned long'
5007      variable) is not atomic.
5008      [Bodo Moeller]
5009
5010   *) In crypto/rand/md_rand.c, set 'locking_thread' to current thread's ID
5011      *before* setting the 'crypto_lock_rand' flag.  The previous code had
5012      a race condition if 0 is a valid thread ID.
5013      [Travis Vitek <vitek@roguewave.com>]
5014
5015   *) Add support for shared libraries under Irix.
5016      [Albert Chin-A-Young <china@thewrittenword.com>]
5017
5018   *) Add configuration option to build on Linux on both big-endian and
5019      little-endian MIPS.
5020      [Ralf Baechle <ralf@uni-koblenz.de>]
5021
5022   *) Add the possibility to create shared libraries on HP-UX.
5023      [Richard Levitte]
5024
5025  Changes between 0.9.6a and 0.9.6b  [9 Jul 2001]
5026
5027   *) Change ssleay_rand_bytes (crypto/rand/md_rand.c)
5028      to avoid a SSLeay/OpenSSL PRNG weakness pointed out by
5029      Markku-Juhani O. Saarinen <markku-juhani.saarinen@nokia.com>:
5030      PRNG state recovery was possible based on the output of
5031      one PRNG request appropriately sized to gain knowledge on
5032      'md' followed by enough consecutive 1-byte PRNG requests
5033      to traverse all of 'state'.
5034
5035      1. When updating 'md_local' (the current thread's copy of 'md')
5036         during PRNG output generation, hash all of the previous
5037         'md_local' value, not just the half used for PRNG output.
5038
5039      2. Make the number of bytes from 'state' included into the hash
5040         independent from the number of PRNG bytes requested.
5041
5042      The first measure alone would be sufficient to avoid
5043      Markku-Juhani's attack.  (Actually it had never occurred
5044      to me that the half of 'md_local' used for chaining was the
5045      half from which PRNG output bytes were taken -- I had always
5046      assumed that the secret half would be used.)  The second
5047      measure makes sure that additional data from 'state' is never
5048      mixed into 'md_local' in small portions; this heuristically
5049      further strengthens the PRNG.
5050      [Bodo Moeller]
5051
5052   *) Fix crypto/bn/asm/mips3.s.
5053      [Andy Polyakov]
5054
5055   *) When only the key is given to "enc", the IV is undefined. Print out
5056      an error message in this case.
5057      [Lutz Jaenicke]
5058
5059   *) Handle special case when X509_NAME is empty in X509 printing routines.
5060      [Steve Henson]
5061
5062   *) In dsa_do_verify (crypto/dsa/dsa_ossl.c), verify that r and s are
5063      positive and less than q.
5064      [Bodo Moeller]
5065
5066   *) Don't change *pointer in CRYPTO_add_lock() is add_lock_callback is
5067      used: it isn't thread safe and the add_lock_callback should handle
5068      that itself.
5069      [Paul Rose <Paul.Rose@bridge.com>]
5070
5071   *) Verify that incoming data obeys the block size in
5072      ssl3_enc (ssl/s3_enc.c) and tls1_enc (ssl/t1_enc.c).
5073      [Bodo Moeller]
5074
5075   *) Fix OAEP check.
5076      [Ulf Möller, Bodo Möller]
5077
5078   *) The countermeasure against Bleichbacher's attack on PKCS #1 v1.5
5079      RSA encryption was accidentally removed in s3_srvr.c in OpenSSL 0.9.5
5080      when fixing the server behaviour for backwards-compatible 'client
5081      hello' messages.  (Note that the attack is impractical against
5082      SSL 3.0 and TLS 1.0 anyway because length and version checking
5083      means that the probability of guessing a valid ciphertext is
5084      around 2^-40; see section 5 in Bleichenbacher's CRYPTO '98
5085      paper.)
5086
5087      Before 0.9.5, the countermeasure (hide the error by generating a
5088      random 'decryption result') did not work properly because
5089      ERR_clear_error() was missing, meaning that SSL_get_error() would
5090      detect the supposedly ignored error.
5091
5092      Both problems are now fixed.
5093      [Bodo Moeller]
5094
5095   *) In crypto/bio/bf_buff.c, increase DEFAULT_BUFFER_SIZE to 4096
5096      (previously it was 1024).
5097      [Bodo Moeller]
5098
5099   *) Fix for compatibility mode trust settings: ignore trust settings
5100      unless some valid trust or reject settings are present.
5101      [Steve Henson]
5102
5103   *) Fix for blowfish EVP: its a variable length cipher.
5104      [Steve Henson]
5105
5106   *) Fix various bugs related to DSA S/MIME verification. Handle missing
5107      parameters in DSA public key structures and return an error in the
5108      DSA routines if parameters are absent.
5109      [Steve Henson]
5110
5111   *) In versions up to 0.9.6, RAND_file_name() resorted to file ".rnd"
5112      in the current directory if neither $RANDFILE nor $HOME was set.
5113      RAND_file_name() in 0.9.6a returned NULL in this case.  This has
5114      caused some confusion to Windows users who haven't defined $HOME.
5115      Thus RAND_file_name() is changed again: e_os.h can define a
5116      DEFAULT_HOME, which will be used if $HOME is not set.
5117      For Windows, we use "C:"; on other platforms, we still require
5118      environment variables.
5119
5120   *) Move 'if (!initialized) RAND_poll()' into regions protected by
5121      CRYPTO_LOCK_RAND.  This is not strictly necessary, but avoids
5122      having multiple threads call RAND_poll() concurrently.
5123      [Bodo Moeller]
5124
5125   *) In crypto/rand/md_rand.c, replace 'add_do_not_lock' flag by a
5126      combination of a flag and a thread ID variable.
5127      Otherwise while one thread is in ssleay_rand_bytes (which sets the
5128      flag), *other* threads can enter ssleay_add_bytes without obeying
5129      the CRYPTO_LOCK_RAND lock (and may even illegally release the lock
5130      that they do not hold after the first thread unsets add_do_not_lock).
5131      [Bodo Moeller]
5132
5133   *) Change bctest again: '-x' expressions are not available in all
5134      versions of 'test'.
5135      [Bodo Moeller]
5136
5137  Changes between 0.9.6 and 0.9.6a  [5 Apr 2001]
5138
5139   *) Fix a couple of memory leaks in PKCS7_dataDecode()
5140      [Steve Henson, reported by Heyun Zheng <hzheng@atdsprint.com>]
5141
5142   *) Change Configure and Makefiles to provide EXE_EXT, which will contain
5143      the default extension for executables, if any.  Also, make the perl
5144      scripts that use symlink() to test if it really exists and use "cp"
5145      if it doesn't.  All this made OpenSSL compilable and installable in
5146      CygWin.
5147      [Richard Levitte]
5148
5149   *) Fix for asn1_GetSequence() for indefinite length constructed data.
5150      If SEQUENCE is length is indefinite just set c->slen to the total
5151      amount of data available.
5152      [Steve Henson, reported by shige@FreeBSD.org]
5153      [This change does not apply to 0.9.7.]
5154
5155   *) Change bctest to avoid here-documents inside command substitution
5156      (workaround for FreeBSD /bin/sh bug).
5157      For compatibility with Ultrix, avoid shell functions (introduced
5158      in the bctest version that searches along $PATH).
5159      [Bodo Moeller]
5160
5161   *) Rename 'des_encrypt' to 'des_encrypt1'.  This avoids the clashes
5162      with des_encrypt() defined on some operating systems, like Solaris
5163      and UnixWare.
5164      [Richard Levitte]
5165
5166   *) Check the result of RSA-CRT (see D. Boneh, R. DeMillo, R. Lipton:
5167      On the Importance of Eliminating Errors in Cryptographic
5168      Computations, J. Cryptology 14 (2001) 2, 101-119,
5169      http://theory.stanford.edu/~dabo/papers/faults.ps.gz).
5170      [Ulf Moeller]
5171   
5172   *) MIPS assembler BIGNUM division bug fix. 
5173      [Andy Polyakov]
5174
5175   *) Disabled incorrect Alpha assembler code.
5176      [Richard Levitte]
5177
5178   *) Fix PKCS#7 decode routines so they correctly update the length
5179      after reading an EOC for the EXPLICIT tag.
5180      [Steve Henson]
5181      [This change does not apply to 0.9.7.]
5182
5183   *) Fix bug in PKCS#12 key generation routines. This was triggered
5184      if a 3DES key was generated with a 0 initial byte. Include
5185      PKCS12_BROKEN_KEYGEN compilation option to retain the old
5186      (but broken) behaviour.
5187      [Steve Henson]
5188
5189   *) Enhance bctest to search for a working bc along $PATH and print
5190      it when found.
5191      [Tim Rice <tim@multitalents.net> via Richard Levitte]
5192
5193   *) Fix memory leaks in err.c: free err_data string if necessary;
5194      don't write to the wrong index in ERR_set_error_data.
5195      [Bodo Moeller]
5196
5197   *) Implement ssl23_peek (analogous to ssl23_read), which previously
5198      did not exist.
5199      [Bodo Moeller]
5200
5201   *) Replace rdtsc with _emit statements for VC++ version 5.
5202      [Jeremy Cooper <jeremy@baymoo.org>]
5203
5204   *) Make it possible to reuse SSLv2 sessions.
5205      [Richard Levitte]
5206
5207   *) In copy_email() check for >= 0 as a return value for
5208      X509_NAME_get_index_by_NID() since 0 is a valid index.
5209      [Steve Henson reported by Massimiliano Pala <madwolf@opensca.org>]
5210
5211   *) Avoid coredump with unsupported or invalid public keys by checking if
5212      X509_get_pubkey() fails in PKCS7_verify(). Fix memory leak when
5213      PKCS7_verify() fails with non detached data.
5214      [Steve Henson]
5215
5216   *) Don't use getenv in library functions when run as setuid/setgid.
5217      New function OPENSSL_issetugid().
5218      [Ulf Moeller]
5219
5220   *) Avoid false positives in memory leak detection code (crypto/mem_dbg.c)
5221      due to incorrect handling of multi-threading:
5222
5223      1. Fix timing glitch in the MemCheck_off() portion of CRYPTO_mem_ctrl().
5224
5225      2. Fix logical glitch in is_MemCheck_on() aka CRYPTO_is_mem_check_on().
5226
5227      3. Count how many times MemCheck_off() has been called so that
5228         nested use can be treated correctly.  This also avoids 
5229         inband-signalling in the previous code (which relied on the
5230         assumption that thread ID 0 is impossible).
5231      [Bodo Moeller]
5232
5233   *) Add "-rand" option also to s_client and s_server.
5234      [Lutz Jaenicke]
5235
5236   *) Fix CPU detection on Irix 6.x.
5237      [Kurt Hockenbury <khockenb@stevens-tech.edu> and
5238       "Bruce W. Forsberg" <bruce.forsberg@baesystems.com>]
5239
5240   *) Fix X509_NAME bug which produced incorrect encoding if X509_NAME
5241      was empty.
5242      [Steve Henson]
5243      [This change does not apply to 0.9.7.]
5244
5245   *) Use the cached encoding of an X509_NAME structure rather than
5246      copying it. This is apparently the reason for the libsafe "errors"
5247      but the code is actually correct.
5248      [Steve Henson]
5249
5250   *) Add new function BN_rand_range(), and fix DSA_sign_setup() to prevent
5251      Bleichenbacher's DSA attack.
5252      Extend BN_[pseudo_]rand: As before, top=1 forces the highest two bits
5253      to be set and top=0 forces the highest bit to be set; top=-1 is new
5254      and leaves the highest bit random.
5255      [Ulf Moeller, Bodo Moeller]
5256
5257   *) In the NCONF_...-based implementations for CONF_... queries
5258      (crypto/conf/conf_lib.c), if the input LHASH is NULL, avoid using
5259      a temporary CONF structure with the data component set to NULL
5260      (which gives segmentation faults in lh_retrieve).
5261      Instead, use NULL for the CONF pointer in CONF_get_string and
5262      CONF_get_number (which may use environment variables) and directly
5263      return NULL from CONF_get_section.
5264      [Bodo Moeller]
5265
5266   *) Fix potential buffer overrun for EBCDIC.
5267      [Ulf Moeller]
5268
5269   *) Tolerate nonRepudiation as being valid for S/MIME signing and certSign
5270      keyUsage if basicConstraints absent for a CA.
5271      [Steve Henson]
5272
5273   *) Make SMIME_write_PKCS7() write mail header values with a format that
5274      is more generally accepted (no spaces before the semicolon), since
5275      some programs can't parse those values properly otherwise.  Also make
5276      sure BIO's that break lines after each write do not create invalid
5277      headers.
5278      [Richard Levitte]
5279
5280   *) Make the CRL encoding routines work with empty SEQUENCE OF. The
5281      macros previously used would not encode an empty SEQUENCE OF
5282      and break the signature.
5283      [Steve Henson]
5284      [This change does not apply to 0.9.7.]
5285
5286   *) Zero the premaster secret after deriving the master secret in
5287      DH ciphersuites.
5288      [Steve Henson]
5289
5290   *) Add some EVP_add_digest_alias registrations (as found in
5291      OpenSSL_add_all_digests()) to SSL_library_init()
5292      aka OpenSSL_add_ssl_algorithms().  This provides improved
5293      compatibility with peers using X.509 certificates
5294      with unconventional AlgorithmIdentifier OIDs.
5295      [Bodo Moeller]
5296
5297   *) Fix for Irix with NO_ASM.
5298      ["Bruce W. Forsberg" <bruce.forsberg@baesystems.com>]
5299
5300   *) ./config script fixes.
5301      [Ulf Moeller, Richard Levitte]
5302
5303   *) Fix 'openssl passwd -1'.
5304      [Bodo Moeller]
5305
5306   *) Change PKCS12_key_gen_asc() so it can cope with non null
5307      terminated strings whose length is passed in the passlen
5308      parameter, for example from PEM callbacks. This was done
5309      by adding an extra length parameter to asc2uni().
5310      [Steve Henson, reported by <oddissey@samsung.co.kr>]
5311
5312   *) Fix C code generated by 'openssl dsaparam -C': If a BN_bin2bn
5313      call failed, free the DSA structure.
5314      [Bodo Moeller]
5315
5316   *) Fix to uni2asc() to cope with zero length Unicode strings.
5317      These are present in some PKCS#12 files.
5318      [Steve Henson]
5319
5320   *) Increase s2->wbuf allocation by one byte in ssl2_new (ssl/s2_lib.c).
5321      Otherwise do_ssl_write (ssl/s2_pkt.c) will write beyond buffer limits
5322      when writing a 32767 byte record.
5323      [Bodo Moeller; problem reported by Eric Day <eday@concentric.net>]
5324
5325   *) In RSA_eay_public_{en,ed}crypt and RSA_eay_mod_exp (rsa_eay.c),
5326      obtain lock CRYPTO_LOCK_RSA before setting rsa->_method_mod_{n,p,q}.
5327
5328      (RSA objects have a reference count access to which is protected
5329      by CRYPTO_LOCK_RSA [see rsa_lib.c, s3_srvr.c, ssl_cert.c, ssl_rsa.c],
5330      so they are meant to be shared between threads.)
5331      [Bodo Moeller, Geoff Thorpe; original patch submitted by
5332      "Reddie, Steven" <Steven.Reddie@ca.com>]
5333
5334   *) Fix a deadlock in CRYPTO_mem_leaks().
5335      [Bodo Moeller]
5336
5337   *) Use better test patterns in bntest.
5338      [Ulf Möller]
5339
5340   *) rand_win.c fix for Borland C.
5341      [Ulf Möller]
5342  
5343   *) BN_rshift bugfix for n == 0.
5344      [Bodo Moeller]
5345
5346   *) Add a 'bctest' script that checks for some known 'bc' bugs
5347      so that 'make test' does not abort just because 'bc' is broken.
5348      [Bodo Moeller]
5349
5350   *) Store verify_result within SSL_SESSION also for client side to
5351      avoid potential security hole. (Re-used sessions on the client side
5352      always resulted in verify_result==X509_V_OK, not using the original
5353      result of the server certificate verification.)
5354      [Lutz Jaenicke]
5355
5356   *) Fix ssl3_pending: If the record in s->s3->rrec is not of type
5357      SSL3_RT_APPLICATION_DATA, return 0.
5358      Similarly, change ssl2_pending to return 0 if SSL_in_init(s) is true.
5359      [Bodo Moeller]
5360
5361   *) Fix SSL_peek:
5362      Both ssl2_peek and ssl3_peek, which were totally broken in earlier
5363      releases, have been re-implemented by renaming the previous
5364      implementations of ssl2_read and ssl3_read to ssl2_read_internal
5365      and ssl3_read_internal, respectively, and adding 'peek' parameters
5366      to them.  The new ssl[23]_{read,peek} functions are calls to
5367      ssl[23]_read_internal with the 'peek' flag set appropriately.
5368      A 'peek' parameter has also been added to ssl3_read_bytes, which
5369      does the actual work for ssl3_read_internal.
5370      [Bodo Moeller]
5371
5372   *) Initialise "ex_data" member of RSA/DSA/DH structures prior to calling
5373      the method-specific "init()" handler. Also clean up ex_data after
5374      calling the method-specific "finish()" handler. Previously, this was
5375      happening the other way round.
5376      [Geoff Thorpe]
5377
5378   *) Increase BN_CTX_NUM (the number of BIGNUMs in a BN_CTX) to 16.
5379      The previous value, 12, was not always sufficient for BN_mod_exp().
5380      [Bodo Moeller]
5381
5382   *) Make sure that shared libraries get the internal name engine with
5383      the full version number and not just 0.  This should mark the
5384      shared libraries as not backward compatible.  Of course, this should
5385      be changed again when we can guarantee backward binary compatibility.
5386      [Richard Levitte]
5387
5388   *) Fix typo in get_cert_by_subject() in by_dir.c
5389      [Jean-Marc Desperrier <jean-marc.desperrier@certplus.com>]
5390
5391   *) Rework the system to generate shared libraries:
5392
5393      - Make note of the expected extension for the shared libraries and
5394        if there is a need for symbolic links from for example libcrypto.so.0
5395        to libcrypto.so.0.9.7.  There is extended info in Configure for
5396        that.
5397
5398      - Make as few rebuilds of the shared libraries as possible.
5399
5400      - Still avoid linking the OpenSSL programs with the shared libraries.
5401
5402      - When installing, install the shared libraries separately from the
5403        static ones.
5404      [Richard Levitte]
5405
5406   *) Fix SSL_CTX_set_read_ahead macro to actually use its argument.
5407
5408      Copy SSL_CTX's read_ahead flag to SSL object directly in SSL_new
5409      and not in SSL_clear because the latter is also used by the
5410      accept/connect functions; previously, the settings made by
5411      SSL_set_read_ahead would be lost during the handshake.
5412      [Bodo Moeller; problems reported by Anders Gertz <gertz@epact.se>]     
5413
5414   *) Correct util/mkdef.pl to be selective about disabled algorithms.
5415      Previously, it would create entries for disableed algorithms no
5416      matter what.
5417      [Richard Levitte]
5418
5419   *) Added several new manual pages for SSL_* function.
5420      [Lutz Jaenicke]
5421
5422  Changes between 0.9.5a and 0.9.6  [24 Sep 2000]
5423
5424   *) In ssl23_get_client_hello, generate an error message when faced
5425      with an initial SSL 3.0/TLS record that is too small to contain the
5426      first two bytes of the ClientHello message, i.e. client_version.
5427      (Note that this is a pathologic case that probably has never happened
5428      in real life.)  The previous approach was to use the version number
5429      from the record header as a substitute; but our protocol choice
5430      should not depend on that one because it is not authenticated
5431      by the Finished messages.
5432      [Bodo Moeller]
5433
5434   *) More robust randomness gathering functions for Windows.
5435      [Jeffrey Altman <jaltman@columbia.edu>]
5436
5437   *) For compatibility reasons if the flag X509_V_FLAG_ISSUER_CHECK is
5438      not set then we don't setup the error code for issuer check errors
5439      to avoid possibly overwriting other errors which the callback does
5440      handle. If an application does set the flag then we assume it knows
5441      what it is doing and can handle the new informational codes
5442      appropriately.
5443      [Steve Henson]
5444
5445   *) Fix for a nasty bug in ASN1_TYPE handling. ASN1_TYPE is used for
5446      a general "ANY" type, as such it should be able to decode anything
5447      including tagged types. However it didn't check the class so it would
5448      wrongly interpret tagged types in the same way as their universal
5449      counterpart and unknown types were just rejected. Changed so that the
5450      tagged and unknown types are handled in the same way as a SEQUENCE:
5451      that is the encoding is stored intact. There is also a new type
5452      "V_ASN1_OTHER" which is used when the class is not universal, in this
5453      case we have no idea what the actual type is so we just lump them all
5454      together.
5455      [Steve Henson]
5456
5457   *) On VMS, stdout may very well lead to a file that is written to
5458      in a record-oriented fashion.  That means that every write() will
5459      write a separate record, which will be read separately by the
5460      programs trying to read from it.  This can be very confusing.
5461
5462      The solution is to put a BIO filter in the way that will buffer
5463      text until a linefeed is reached, and then write everything a
5464      line at a time, so every record written will be an actual line,
5465      not chunks of lines and not (usually doesn't happen, but I've
5466      seen it once) several lines in one record.  BIO_f_linebuffer() is
5467      the answer.
5468
5469      Currently, it's a VMS-only method, because that's where it has
5470      been tested well enough.
5471      [Richard Levitte]
5472
5473   *) Remove 'optimized' squaring variant in BN_mod_mul_montgomery,
5474      it can return incorrect results.
5475      (Note: The buggy variant was not enabled in OpenSSL 0.9.5a,
5476      but it was in 0.9.6-beta[12].)
5477      [Bodo Moeller]
5478
5479   *) Disable the check for content being present when verifying detached
5480      signatures in pk7_smime.c. Some versions of Netscape (wrongly)
5481      include zero length content when signing messages.
5482      [Steve Henson]
5483
5484   *) New BIO_shutdown_wr macro, which invokes the BIO_C_SHUTDOWN_WR
5485      BIO_ctrl (for BIO pairs).
5486      [Bodo Möller]
5487
5488   *) Add DSO method for VMS.
5489      [Richard Levitte]
5490
5491   *) Bug fix: Montgomery multiplication could produce results with the
5492      wrong sign.
5493      [Ulf Möller]
5494
5495   *) Add RPM specification openssl.spec and modify it to build three
5496      packages.  The default package contains applications, application
5497      documentation and run-time libraries.  The devel package contains
5498      include files, static libraries and function documentation.  The
5499      doc package contains the contents of the doc directory.  The original
5500      openssl.spec was provided by Damien Miller <djm@mindrot.org>.
5501      [Richard Levitte]
5502      
5503   *) Add a large number of documentation files for many SSL routines.
5504      [Lutz Jaenicke <Lutz.Jaenicke@aet.TU-Cottbus.DE>]
5505
5506   *) Add a configuration entry for Sony News 4.
5507      [NAKAJI Hiroyuki <nakaji@tutrp.tut.ac.jp>]
5508
5509   *) Don't set the two most significant bits to one when generating a
5510      random number < q in the DSA library.
5511      [Ulf Möller]
5512
5513   *) New SSL API mode 'SSL_MODE_AUTO_RETRY'.  This disables the default
5514      behaviour that SSL_read may result in SSL_ERROR_WANT_READ (even if
5515      the underlying transport is blocking) if a handshake took place.
5516      (The default behaviour is needed by applications such as s_client
5517      and s_server that use select() to determine when to use SSL_read;
5518      but for applications that know in advance when to expect data, it
5519      just makes things more complicated.)
5520      [Bodo Moeller]
5521
5522   *) Add RAND_egd_bytes(), which gives control over the number of bytes read
5523      from EGD.
5524      [Ben Laurie]
5525
5526   *) Add a few more EBCDIC conditionals that make `req' and `x509'
5527      work better on such systems.
5528      [Martin Kraemer <Martin.Kraemer@MchP.Siemens.De>]
5529
5530   *) Add two demo programs for PKCS12_parse() and PKCS12_create().
5531      Update PKCS12_parse() so it copies the friendlyName and the
5532      keyid to the certificates aux info.
5533      [Steve Henson]
5534
5535   *) Fix bug in PKCS7_verify() which caused an infinite loop
5536      if there was more than one signature.
5537      [Sven Uszpelkat <su@celocom.de>]
5538
5539   *) Major change in util/mkdef.pl to include extra information
5540      about each symbol, as well as presentig variables as well
5541      as functions.  This change means that there's n more need
5542      to rebuild the .num files when some algorithms are excluded.
5543      [Richard Levitte]
5544
5545   *) Allow the verify time to be set by an application,
5546      rather than always using the current time.
5547      [Steve Henson]
5548   
5549   *) Phase 2 verify code reorganisation. The certificate
5550      verify code now looks up an issuer certificate by a
5551      number of criteria: subject name, authority key id
5552      and key usage. It also verifies self signed certificates
5553      by the same criteria. The main comparison function is
5554      X509_check_issued() which performs these checks.
5555  
5556      Lot of changes were necessary in order to support this
5557      without completely rewriting the lookup code.
5558  
5559      Authority and subject key identifier are now cached.
5560  
5561      The LHASH 'certs' is X509_STORE has now been replaced
5562      by a STACK_OF(X509_OBJECT). This is mainly because an
5563      LHASH can't store or retrieve multiple objects with
5564      the same hash value.
5565
5566      As a result various functions (which were all internal
5567      use only) have changed to handle the new X509_STORE
5568      structure. This will break anything that messed round
5569      with X509_STORE internally.
5570  
5571      The functions X509_STORE_add_cert() now checks for an
5572      exact match, rather than just subject name.
5573  
5574      The X509_STORE API doesn't directly support the retrieval
5575      of multiple certificates matching a given criteria, however
5576      this can be worked round by performing a lookup first
5577      (which will fill the cache with candidate certificates)
5578      and then examining the cache for matches. This is probably
5579      the best we can do without throwing out X509_LOOKUP
5580      entirely (maybe later...).
5581  
5582      The X509_VERIFY_CTX structure has been enhanced considerably.
5583  
5584      All certificate lookup operations now go via a get_issuer()
5585      callback. Although this currently uses an X509_STORE it
5586      can be replaced by custom lookups. This is a simple way
5587      to bypass the X509_STORE hackery necessary to make this
5588      work and makes it possible to use more efficient techniques
5589      in future. A very simple version which uses a simple
5590      STACK for its trusted certificate store is also provided
5591      using X509_STORE_CTX_trusted_stack().
5592  
5593      The verify_cb() and verify() callbacks now have equivalents
5594      in the X509_STORE_CTX structure.
5595  
5596      X509_STORE_CTX also has a 'flags' field which can be used
5597      to customise the verify behaviour.
5598      [Steve Henson]
5599  
5600   *) Add new PKCS#7 signing option PKCS7_NOSMIMECAP which 
5601      excludes S/MIME capabilities.
5602      [Steve Henson]
5603
5604   *) When a certificate request is read in keep a copy of the
5605      original encoding of the signed data and use it when outputing
5606      again. Signatures then use the original encoding rather than
5607      a decoded, encoded version which may cause problems if the
5608      request is improperly encoded.
5609      [Steve Henson]
5610
5611   *) For consistency with other BIO_puts implementations, call
5612      buffer_write(b, ...) directly in buffer_puts instead of calling
5613      BIO_write(b, ...).
5614
5615      In BIO_puts, increment b->num_write as in BIO_write.
5616      [Peter.Sylvester@EdelWeb.fr]
5617
5618   *) Fix BN_mul_word for the case where the word is 0. (We have to use
5619      BN_zero, we may not return a BIGNUM with an array consisting of
5620      words set to zero.)
5621      [Bodo Moeller]
5622
5623   *) Avoid calling abort() from within the library when problems are
5624      detected, except if preprocessor symbols have been defined
5625      (such as REF_CHECK, BN_DEBUG etc.).
5626      [Bodo Moeller]
5627
5628   *) New openssl application 'rsautl'. This utility can be
5629      used for low level RSA operations. DER public key
5630      BIO/fp routines also added.
5631      [Steve Henson]
5632
5633   *) New Configure entry and patches for compiling on QNX 4.
5634      [Andreas Schneider <andreas@ds3.etech.fh-hamburg.de>]
5635
5636   *) A demo state-machine implementation was sponsored by
5637      Nuron (http://www.nuron.com/) and is now available in
5638      demos/state_machine.
5639      [Ben Laurie]
5640
5641   *) New options added to the 'dgst' utility for signature
5642      generation and verification.
5643      [Steve Henson]
5644
5645   *) Unrecognized PKCS#7 content types are now handled via a
5646      catch all ASN1_TYPE structure. This allows unsupported
5647      types to be stored as a "blob" and an application can
5648      encode and decode it manually.
5649      [Steve Henson]
5650
5651   *) Fix various signed/unsigned issues to make a_strex.c
5652      compile under VC++.
5653      [Oscar Jacobsson <oscar.jacobsson@celocom.com>]
5654
5655   *) ASN1 fixes. i2d_ASN1_OBJECT was not returning the correct
5656      length if passed a buffer. ASN1_INTEGER_to_BN failed
5657      if passed a NULL BN and its argument was negative.
5658      [Steve Henson, pointed out by Sven Heiberg <sven@tartu.cyber.ee>]
5659
5660   *) Modification to PKCS#7 encoding routines to output definite
5661      length encoding. Since currently the whole structures are in
5662      memory there's not real point in using indefinite length 
5663      constructed encoding. However if OpenSSL is compiled with
5664      the flag PKCS7_INDEFINITE_ENCODING the old form is used.
5665      [Steve Henson]
5666
5667   *) Added BIO_vprintf() and BIO_vsnprintf().
5668      [Richard Levitte]
5669
5670   *) Added more prefixes to parse for in the the strings written
5671      through a logging bio, to cover all the levels that are available
5672      through syslog.  The prefixes are now:
5673
5674         PANIC, EMERG, EMR       =>      LOG_EMERG
5675         ALERT, ALR              =>      LOG_ALERT
5676         CRIT, CRI               =>      LOG_CRIT
5677         ERROR, ERR              =>      LOG_ERR
5678         WARNING, WARN, WAR      =>      LOG_WARNING
5679         NOTICE, NOTE, NOT       =>      LOG_NOTICE
5680         INFO, INF               =>      LOG_INFO
5681         DEBUG, DBG              =>      LOG_DEBUG
5682
5683      and as before, if none of those prefixes are present at the
5684      beginning of the string, LOG_ERR is chosen.
5685
5686      On Win32, the LOG_* levels are mapped according to this:
5687
5688         LOG_EMERG, LOG_ALERT, LOG_CRIT, LOG_ERR => EVENTLOG_ERROR_TYPE
5689         LOG_WARNING                             => EVENTLOG_WARNING_TYPE
5690         LOG_NOTICE, LOG_INFO, LOG_DEBUG         => EVENTLOG_INFORMATION_TYPE
5691
5692      [Richard Levitte]
5693
5694   *) Made it possible to reconfigure with just the configuration
5695      argument "reconf" or "reconfigure".  The command line arguments
5696      are stored in Makefile.ssl in the variable CONFIGURE_ARGS,
5697      and are retrieved from there when reconfiguring.
5698      [Richard Levitte]
5699
5700   *) MD4 implemented.
5701      [Assar Westerlund <assar@sics.se>, Richard Levitte]
5702
5703   *) Add the arguments -CAfile and -CApath to the pkcs12 utility.
5704      [Richard Levitte]
5705
5706   *) The obj_dat.pl script was messing up the sorting of object
5707      names. The reason was that it compared the quoted version
5708      of strings as a result "OCSP" > "OCSP Signing" because
5709      " > SPACE. Changed script to store unquoted versions of
5710      names and add quotes on output. It was also omitting some
5711      names from the lookup table if they were given a default
5712      value (that is if SN is missing it is given the same
5713      value as LN and vice versa), these are now added on the
5714      grounds that if an object has a name we should be able to
5715      look it up. Finally added warning output when duplicate
5716      short or long names are found.
5717      [Steve Henson]
5718
5719   *) Changes needed for Tandem NSK.
5720      [Scott Uroff <scott@xypro.com>]
5721
5722   *) Fix SSL 2.0 rollback checking: Due to an off-by-one error in
5723      RSA_padding_check_SSLv23(), special padding was never detected
5724      and thus the SSL 3.0/TLS 1.0 countermeasure against protocol
5725      version rollback attacks was not effective.
5726
5727      In s23_clnt.c, don't use special rollback-attack detection padding
5728      (RSA_SSLV23_PADDING) if SSL 2.0 is the only protocol enabled in the
5729      client; similarly, in s23_srvr.c, don't do the rollback check if
5730      SSL 2.0 is the only protocol enabled in the server.
5731      [Bodo Moeller]
5732
5733   *) Make it possible to get hexdumps of unprintable data with 'openssl
5734      asn1parse'.  By implication, the functions ASN1_parse_dump() and
5735      BIO_dump_indent() are added.
5736      [Richard Levitte]
5737
5738   *) New functions ASN1_STRING_print_ex() and X509_NAME_print_ex()
5739      these print out strings and name structures based on various
5740      flags including RFC2253 support and proper handling of
5741      multibyte characters. Added options to the 'x509' utility 
5742      to allow the various flags to be set.
5743      [Steve Henson]
5744
5745   *) Various fixes to use ASN1_TIME instead of ASN1_UTCTIME.
5746      Also change the functions X509_cmp_current_time() and
5747      X509_gmtime_adj() work with an ASN1_TIME structure,
5748      this will enable certificates using GeneralizedTime in validity
5749      dates to be checked.
5750      [Steve Henson]
5751
5752   *) Make the NEG_PUBKEY_BUG code (which tolerates invalid
5753      negative public key encodings) on by default,
5754      NO_NEG_PUBKEY_BUG can be set to disable it.
5755      [Steve Henson]
5756
5757   *) New function c2i_ASN1_OBJECT() which acts on ASN1_OBJECT
5758      content octets. An i2c_ASN1_OBJECT is unnecessary because
5759      the encoding can be trivially obtained from the structure.
5760      [Steve Henson]
5761
5762   *) crypto/err.c locking bugfix: Use write locks (CRYPTO_w_[un]lock),
5763      not read locks (CRYPTO_r_[un]lock).
5764      [Bodo Moeller]
5765
5766   *) A first attempt at creating official support for shared
5767      libraries through configuration.  I've kept it so the
5768      default is static libraries only, and the OpenSSL programs
5769      are always statically linked for now, but there are
5770      preparations for dynamic linking in place.
5771      This has been tested on Linux and Tru64.
5772      [Richard Levitte]
5773
5774   *) Randomness polling function for Win9x, as described in:
5775      Peter Gutmann, Software Generation of Practically Strong
5776      Random Numbers.
5777      [Ulf Möller]
5778
5779   *) Fix so PRNG is seeded in req if using an already existing
5780      DSA key.
5781      [Steve Henson]
5782
5783   *) New options to smime application. -inform and -outform
5784      allow alternative formats for the S/MIME message including
5785      PEM and DER. The -content option allows the content to be
5786      specified separately. This should allow things like Netscape
5787      form signing output easier to verify.
5788      [Steve Henson]
5789
5790   *) Fix the ASN1 encoding of tags using the 'long form'.
5791      [Steve Henson]
5792
5793   *) New ASN1 functions, i2c_* and c2i_* for INTEGER and BIT
5794      STRING types. These convert content octets to and from the
5795      underlying type. The actual tag and length octets are
5796      already assumed to have been read in and checked. These
5797      are needed because all other string types have virtually
5798      identical handling apart from the tag. By having versions
5799      of the ASN1 functions that just operate on content octets
5800      IMPLICIT tagging can be handled properly. It also allows
5801      the ASN1_ENUMERATED code to be cut down because ASN1_ENUMERATED
5802      and ASN1_INTEGER are identical apart from the tag.
5803      [Steve Henson]
5804
5805   *) Change the handling of OID objects as follows:
5806
5807      - New object identifiers are inserted in objects.txt, following
5808        the syntax given in objects.README.
5809      - objects.pl is used to process obj_mac.num and create a new
5810        obj_mac.h.
5811      - obj_dat.pl is used to create a new obj_dat.h, using the data in
5812        obj_mac.h.
5813
5814      This is currently kind of a hack, and the perl code in objects.pl
5815      isn't very elegant, but it works as I intended.  The simplest way
5816      to check that it worked correctly is to look in obj_dat.h and
5817      check the array nid_objs and make sure the objects haven't moved
5818      around (this is important!).  Additions are OK, as well as
5819      consistent name changes. 
5820      [Richard Levitte]
5821
5822   *) Add BSD-style MD5-based passwords to 'openssl passwd' (option '-1').
5823      [Bodo Moeller]
5824
5825   *) Addition of the command line parameter '-rand file' to 'openssl req'.
5826      The given file adds to whatever has already been seeded into the
5827      random pool through the RANDFILE configuration file option or
5828      environment variable, or the default random state file.
5829      [Richard Levitte]
5830
5831   *) mkstack.pl now sorts each macro group into lexical order.
5832      Previously the output order depended on the order the files
5833      appeared in the directory, resulting in needless rewriting
5834      of safestack.h .
5835      [Steve Henson]
5836
5837   *) Patches to make OpenSSL compile under Win32 again. Mostly
5838      work arounds for the VC++ problem that it treats func() as
5839      func(void). Also stripped out the parts of mkdef.pl that
5840      added extra typesafe functions: these no longer exist.
5841      [Steve Henson]
5842
5843   *) Reorganisation of the stack code. The macros are now all 
5844      collected in safestack.h . Each macro is defined in terms of
5845      a "stack macro" of the form SKM_<name>(type, a, b). The 
5846      DEBUG_SAFESTACK is now handled in terms of function casts,
5847      this has the advantage of retaining type safety without the
5848      use of additional functions. If DEBUG_SAFESTACK is not defined
5849      then the non typesafe macros are used instead. Also modified the
5850      mkstack.pl script to handle the new form. Needs testing to see
5851      if which (if any) compilers it chokes and maybe make DEBUG_SAFESTACK
5852      the default if no major problems. Similar behaviour for ASN1_SET_OF
5853      and PKCS12_STACK_OF.
5854      [Steve Henson]
5855
5856   *) When some versions of IIS use the 'NET' form of private key the
5857      key derivation algorithm is different. Normally MD5(password) is
5858      used as a 128 bit RC4 key. In the modified case
5859      MD5(MD5(password) + "SGCKEYSALT")  is used insted. Added some
5860      new functions i2d_RSA_NET(), d2i_RSA_NET() etc which are the same
5861      as the old Netscape_RSA functions except they have an additional
5862      'sgckey' parameter which uses the modified algorithm. Also added
5863      an -sgckey command line option to the rsa utility. Thanks to 
5864      Adrian Peck <bertie@ncipher.com> for posting details of the modified
5865      algorithm to openssl-dev.
5866      [Steve Henson]
5867
5868   *) The evp_local.h macros were using 'c.##kname' which resulted in
5869      invalid expansion on some systems (SCO 5.0.5 for example).
5870      Corrected to 'c.kname'.
5871      [Phillip Porch <root@theporch.com>]
5872
5873   *) New X509_get1_email() and X509_REQ_get1_email() functions that return
5874      a STACK of email addresses from a certificate or request, these look
5875      in the subject name and the subject alternative name extensions and 
5876      omit any duplicate addresses.
5877      [Steve Henson]
5878
5879   *) Re-implement BN_mod_exp2_mont using independent (and larger) windows.
5880      This makes DSA verification about 2 % faster.
5881      [Bodo Moeller]
5882
5883   *) Increase maximum window size in BN_mod_exp_... to 6 bits instead of 5
5884      (meaning that now 2^5 values will be precomputed, which is only 4 KB
5885      plus overhead for 1024 bit moduli).
5886      This makes exponentiations about 0.5 % faster for 1024 bit
5887      exponents (as measured by "openssl speed rsa2048").
5888      [Bodo Moeller]
5889
5890   *) Rename memory handling macros to avoid conflicts with other
5891      software:
5892           Malloc         =>  OPENSSL_malloc
5893           Malloc_locked  =>  OPENSSL_malloc_locked
5894           Realloc        =>  OPENSSL_realloc
5895           Free           =>  OPENSSL_free
5896      [Richard Levitte]
5897
5898   *) New function BN_mod_exp_mont_word for small bases (roughly 15%
5899      faster than BN_mod_exp_mont, i.e. 7% for a full DH exchange).
5900      [Bodo Moeller]
5901
5902   *) CygWin32 support.
5903      [John Jarvie <jjarvie@newsguy.com>]
5904
5905   *) The type-safe stack code has been rejigged. It is now only compiled
5906      in when OpenSSL is configured with the DEBUG_SAFESTACK option and
5907      by default all type-specific stack functions are "#define"d back to
5908      standard stack functions. This results in more streamlined output
5909      but retains the type-safety checking possibilities of the original
5910      approach.
5911      [Geoff Thorpe]
5912
5913   *) The STACK code has been cleaned up, and certain type declarations
5914      that didn't make a lot of sense have been brought in line. This has
5915      also involved a cleanup of sorts in safestack.h to more correctly
5916      map type-safe stack functions onto their plain stack counterparts.
5917      This work has also resulted in a variety of "const"ifications of
5918      lots of the code, especially "_cmp" operations which should normally
5919      be prototyped with "const" parameters anyway.
5920      [Geoff Thorpe]
5921
5922   *) When generating bytes for the first time in md_rand.c, 'stir the pool'
5923      by seeding with STATE_SIZE dummy bytes (with zero entropy count).
5924      (The PRNG state consists of two parts, the large pool 'state' and 'md',
5925      where all of 'md' is used each time the PRNG is used, but 'state'
5926      is used only indexed by a cyclic counter. As entropy may not be
5927      well distributed from the beginning, 'md' is important as a
5928      chaining variable. However, the output function chains only half
5929      of 'md', i.e. 80 bits.  ssleay_rand_add, on the other hand, chains
5930      all of 'md', and seeding with STATE_SIZE dummy bytes will result
5931      in all of 'state' being rewritten, with the new values depending
5932      on virtually all of 'md'.  This overcomes the 80 bit limitation.)
5933      [Bodo Moeller]
5934
5935   *) In ssl/s2_clnt.c and ssl/s3_clnt.c, call ERR_clear_error() when
5936      the handshake is continued after ssl_verify_cert_chain();
5937      otherwise, if SSL_VERIFY_NONE is set, remaining error codes
5938      can lead to 'unexplainable' connection aborts later.
5939      [Bodo Moeller; problem tracked down by Lutz Jaenicke]
5940
5941   *) Major EVP API cipher revision.
5942      Add hooks for extra EVP features. This allows various cipher
5943      parameters to be set in the EVP interface. Support added for variable
5944      key length ciphers via the EVP_CIPHER_CTX_set_key_length() function and
5945      setting of RC2 and RC5 parameters.
5946
5947      Modify EVP_OpenInit() and EVP_SealInit() to cope with variable key length
5948      ciphers.
5949
5950      Remove lots of duplicated code from the EVP library. For example *every*
5951      cipher init() function handles the 'iv' in the same way according to the
5952      cipher mode. They also all do nothing if the 'key' parameter is NULL and
5953      for CFB and OFB modes they zero ctx->num.
5954
5955      New functionality allows removal of S/MIME code RC2 hack.
5956
5957      Most of the routines have the same form and so can be declared in terms
5958      of macros.
5959
5960      By shifting this to the top level EVP_CipherInit() it can be removed from
5961      all individual ciphers. If the cipher wants to handle IVs or keys
5962      differently it can set the EVP_CIPH_CUSTOM_IV or EVP_CIPH_ALWAYS_CALL_INIT
5963      flags.
5964
5965      Change lots of functions like EVP_EncryptUpdate() to now return a
5966      value: although software versions of the algorithms cannot fail
5967      any installed hardware versions can.
5968      [Steve Henson]
5969
5970   *) Implement SSL_OP_TLS_ROLLBACK_BUG: In ssl3_get_client_key_exchange, if
5971      this option is set, tolerate broken clients that send the negotiated
5972      protocol version number instead of the requested protocol version
5973      number.
5974      [Bodo Moeller]
5975
5976   *) Call dh_tmp_cb (set by ..._TMP_DH_CB) with correct 'is_export' flag;
5977      i.e. non-zero for export ciphersuites, zero otherwise.
5978      Previous versions had this flag inverted, inconsistent with
5979      rsa_tmp_cb (..._TMP_RSA_CB).
5980      [Bodo Moeller; problem reported by Amit Chopra]
5981
5982   *) Add missing DSA library text string. Work around for some IIS
5983      key files with invalid SEQUENCE encoding.
5984      [Steve Henson]
5985
5986   *) Add a document (doc/standards.txt) that list all kinds of standards
5987      and so on that are implemented in OpenSSL.
5988      [Richard Levitte]
5989
5990   *) Enhance c_rehash script. Old version would mishandle certificates
5991      with the same subject name hash and wouldn't handle CRLs at all.
5992      Added -fingerprint option to crl utility, to support new c_rehash
5993      features.
5994      [Steve Henson]
5995
5996   *) Eliminate non-ANSI declarations in crypto.h and stack.h.
5997      [Ulf Möller]
5998
5999   *) Fix for SSL server purpose checking. Server checking was
6000      rejecting certificates which had extended key usage present
6001      but no ssl client purpose.
6002      [Steve Henson, reported by Rene Grosser <grosser@hisolutions.com>]
6003
6004   *) Make PKCS#12 code work with no password. The PKCS#12 spec
6005      is a little unclear about how a blank password is handled.
6006      Since the password in encoded as a BMPString with terminating
6007      double NULL a zero length password would end up as just the
6008      double NULL. However no password at all is different and is
6009      handled differently in the PKCS#12 key generation code. NS
6010      treats a blank password as zero length. MSIE treats it as no
6011      password on export: but it will try both on import. We now do
6012      the same: PKCS12_parse() tries zero length and no password if
6013      the password is set to "" or NULL (NULL is now a valid password:
6014      it wasn't before) as does the pkcs12 application.
6015      [Steve Henson]
6016
6017   *) Bugfixes in apps/x509.c: Avoid a memory leak; and don't use
6018      perror when PEM_read_bio_X509_REQ fails, the error message must
6019      be obtained from the error queue.
6020      [Bodo Moeller]
6021
6022   *) Avoid 'thread_hash' memory leak in crypto/err/err.c by freeing
6023      it in ERR_remove_state if appropriate, and change ERR_get_state
6024      accordingly to avoid race conditions (this is necessary because
6025      thread_hash is no longer constant once set).
6026      [Bodo Moeller]
6027
6028   *) Bugfix for linux-elf makefile.one.
6029      [Ulf Möller]
6030
6031   *) RSA_get_default_method() will now cause a default
6032      RSA_METHOD to be chosen if one doesn't exist already.
6033      Previously this was only set during a call to RSA_new()
6034      or RSA_new_method(NULL) meaning it was possible for
6035      RSA_get_default_method() to return NULL.
6036      [Geoff Thorpe]
6037
6038   *) Added native name translation to the existing DSO code
6039      that will convert (if the flag to do so is set) filenames
6040      that are sufficiently small and have no path information
6041      into a canonical native form. Eg. "blah" converted to
6042      "libblah.so" or "blah.dll" etc.
6043      [Geoff Thorpe]
6044
6045   *) New function ERR_error_string_n(e, buf, len) which is like
6046      ERR_error_string(e, buf), but writes at most 'len' bytes
6047      including the 0 terminator.  For ERR_error_string_n, 'buf'
6048      may not be NULL.
6049      [Damien Miller <djm@mindrot.org>, Bodo Moeller]
6050
6051   *) CONF library reworked to become more general.  A new CONF
6052      configuration file reader "class" is implemented as well as a
6053      new functions (NCONF_*, for "New CONF") to handle it.  The now
6054      old CONF_* functions are still there, but are reimplemented to
6055      work in terms of the new functions.  Also, a set of functions
6056      to handle the internal storage of the configuration data is
6057      provided to make it easier to write new configuration file
6058      reader "classes" (I can definitely see something reading a
6059      configuration file in XML format, for example), called _CONF_*,
6060      or "the configuration storage API"...
6061
6062      The new configuration file reading functions are:
6063
6064         NCONF_new, NCONF_free, NCONF_load, NCONF_load_fp, NCONF_load_bio,
6065         NCONF_get_section, NCONF_get_string, NCONF_get_numbre
6066
6067         NCONF_default, NCONF_WIN32
6068
6069         NCONF_dump_fp, NCONF_dump_bio
6070
6071      NCONF_default and NCONF_WIN32 are method (or "class") choosers,
6072      NCONF_new creates a new CONF object.  This works in the same way
6073      as other interfaces in OpenSSL, like the BIO interface.
6074      NCONF_dump_* dump the internal storage of the configuration file,
6075      which is useful for debugging.  All other functions take the same
6076      arguments as the old CONF_* functions wth the exception of the
6077      first that must be a `CONF *' instead of a `LHASH *'.
6078
6079      To make it easer to use the new classes with the old CONF_* functions,
6080      the function CONF_set_default_method is provided.
6081      [Richard Levitte]
6082
6083   *) Add '-tls1' option to 'openssl ciphers', which was already
6084      mentioned in the documentation but had not been implemented.
6085      (This option is not yet really useful because even the additional
6086      experimental TLS 1.0 ciphers are currently treated as SSL 3.0 ciphers.)
6087      [Bodo Moeller]
6088
6089   *) Initial DSO code added into libcrypto for letting OpenSSL (and
6090      OpenSSL-based applications) load shared libraries and bind to
6091      them in a portable way.
6092      [Geoff Thorpe, with contributions from Richard Levitte]
6093
6094  Changes between 0.9.5 and 0.9.5a  [1 Apr 2000]
6095
6096   *) Make sure _lrotl and _lrotr are only used with MSVC.
6097
6098   *) Use lock CRYPTO_LOCK_RAND correctly in ssleay_rand_status
6099      (the default implementation of RAND_status).
6100
6101   *) Rename openssl x509 option '-crlext', which was added in 0.9.5,
6102      to '-clrext' (= clear extensions), as intended and documented.
6103      [Bodo Moeller; inconsistency pointed out by Michael Attili
6104      <attili@amaxo.com>]
6105
6106   *) Fix for HMAC. It wasn't zeroing the rest of the block if the key length
6107      was larger than the MD block size.      
6108      [Steve Henson, pointed out by Yost William <YostW@tce.com>]
6109
6110   *) Modernise PKCS12_parse() so it uses STACK_OF(X509) for its ca argument
6111      fix a leak when the ca argument was passed as NULL. Stop X509_PUBKEY_set()
6112      using the passed key: if the passed key was a private key the result
6113      of X509_print(), for example, would be to print out all the private key
6114      components.
6115      [Steve Henson]
6116
6117   *) des_quad_cksum() byte order bug fix.
6118      [Ulf Möller, using the problem description in krb4-0.9.7, where
6119       the solution is attributed to Derrick J Brashear <shadow@DEMENTIA.ORG>]
6120
6121   *) Fix so V_ASN1_APP_CHOOSE works again: however its use is strongly
6122      discouraged.
6123      [Steve Henson, pointed out by Brian Korver <briank@cs.stanford.edu>]
6124
6125   *) For easily testing in shell scripts whether some command
6126      'openssl XXX' exists, the new pseudo-command 'openssl no-XXX'
6127      returns with exit code 0 iff no command of the given name is available.
6128      'no-XXX' is printed in this case, 'XXX' otherwise.  In both cases,
6129      the output goes to stdout and nothing is printed to stderr.
6130      Additional arguments are always ignored.
6131
6132      Since for each cipher there is a command of the same name,
6133      the 'no-cipher' compilation switches can be tested this way.
6134
6135      ('openssl no-XXX' is not able to detect pseudo-commands such
6136      as 'quit', 'list-XXX-commands', or 'no-XXX' itself.)
6137      [Bodo Moeller]
6138
6139   *) Update test suite so that 'make test' succeeds in 'no-rsa' configuration.
6140      [Bodo Moeller]
6141
6142   *) For SSL_[CTX_]set_tmp_dh, don't create a DH key if SSL_OP_SINGLE_DH_USE
6143      is set; it will be thrown away anyway because each handshake creates
6144      its own key.
6145      ssl_cert_dup, which is used by SSL_new, now copies DH keys in addition
6146      to parameters -- in previous versions (since OpenSSL 0.9.3) the
6147      'default key' from SSL_CTX_set_tmp_dh would always be lost, meanining
6148      you effectivly got SSL_OP_SINGLE_DH_USE when using this macro.
6149      [Bodo Moeller]
6150
6151   *) New s_client option -ign_eof: EOF at stdin is ignored, and
6152      'Q' and 'R' lose their special meanings (quit/renegotiate).
6153      This is part of what -quiet does; unlike -quiet, -ign_eof
6154      does not suppress any output.
6155      [Richard Levitte]
6156
6157   *) Add compatibility options to the purpose and trust code. The
6158      purpose X509_PURPOSE_ANY is "any purpose" which automatically
6159      accepts a certificate or CA, this was the previous behaviour,
6160      with all the associated security issues.
6161
6162      X509_TRUST_COMPAT is the old trust behaviour: only and
6163      automatically trust self signed roots in certificate store. A
6164      new trust setting X509_TRUST_DEFAULT is used to specify that
6165      a purpose has no associated trust setting and it should instead
6166      use the value in the default purpose.
6167      [Steve Henson]
6168
6169   *) Fix the PKCS#8 DSA private key code so it decodes keys again
6170      and fix a memory leak.
6171      [Steve Henson]
6172
6173   *) In util/mkerr.pl (which implements 'make errors'), preserve
6174      reason strings from the previous version of the .c file, as
6175      the default to have only downcase letters (and digits) in
6176      automatically generated reasons codes is not always appropriate.
6177      [Bodo Moeller]
6178
6179   *) In ERR_load_ERR_strings(), build an ERR_LIB_SYS error reason table
6180      using strerror.  Previously, ERR_reason_error_string() returned
6181      library names as reason strings for SYSerr; but SYSerr is a special
6182      case where small numbers are errno values, not library numbers.
6183      [Bodo Moeller]
6184
6185   *) Add '-dsaparam' option to 'openssl dhparam' application.  This
6186      converts DSA parameters into DH parameters. (When creating parameters,
6187      DSA_generate_parameters is used.)
6188      [Bodo Moeller]
6189
6190   *) Include 'length' (recommended exponent length) in C code generated
6191      by 'openssl dhparam -C'.
6192      [Bodo Moeller]
6193
6194   *) The second argument to set_label in perlasm was already being used
6195      so couldn't be used as a "file scope" flag. Moved to third argument
6196      which was free.
6197      [Steve Henson]
6198
6199   *) In PEM_ASN1_write_bio and some other functions, use RAND_pseudo_bytes
6200      instead of RAND_bytes for encryption IVs and salts.
6201      [Bodo Moeller]
6202
6203   *) Include RAND_status() into RAND_METHOD instead of implementing
6204      it only for md_rand.c  Otherwise replacing the PRNG by calling
6205      RAND_set_rand_method would be impossible.
6206      [Bodo Moeller]
6207
6208   *) Don't let DSA_generate_key() enter an infinite loop if the random
6209      number generation fails.
6210      [Bodo Moeller]
6211
6212   *) New 'rand' application for creating pseudo-random output.
6213      [Bodo Moeller]
6214
6215   *) Added configuration support for Linux/IA64
6216      [Rolf Haberrecker <rolf@suse.de>]
6217
6218   *) Assembler module support for Mingw32.
6219      [Ulf Möller]
6220
6221   *) Shared library support for HPUX (in shlib/).
6222      [Lutz Jaenicke <Lutz.Jaenicke@aet.TU-Cottbus.DE> and Anonymous]
6223
6224   *) Shared library support for Solaris gcc.
6225      [Lutz Behnke <behnke@trustcenter.de>]
6226
6227  Changes between 0.9.4 and 0.9.5  [28 Feb 2000]
6228
6229   *) PKCS7_encrypt() was adding text MIME headers twice because they
6230      were added manually and by SMIME_crlf_copy().
6231      [Steve Henson]
6232
6233   *) In bntest.c don't call BN_rand with zero bits argument.
6234      [Steve Henson, pointed out by Andrew W. Gray <agray@iconsinc.com>]
6235
6236   *) BN_mul bugfix: In bn_mul_part_recursion() only the a>a[n] && b>b[n]
6237      case was implemented. This caused BN_div_recp() to fail occasionally.
6238      [Ulf Möller]
6239
6240   *) Add an optional second argument to the set_label() in the perl
6241      assembly language builder. If this argument exists and is set
6242      to 1 it signals that the assembler should use a symbol whose 
6243      scope is the entire file, not just the current function. This
6244      is needed with MASM which uses the format label:: for this scope.
6245      [Steve Henson, pointed out by Peter Runestig <peter@runestig.com>]
6246
6247   *) Change the ASN1 types so they are typedefs by default. Before
6248      almost all types were #define'd to ASN1_STRING which was causing
6249      STACK_OF() problems: you couldn't declare STACK_OF(ASN1_UTF8STRING)
6250      for example.
6251      [Steve Henson]
6252
6253   *) Change names of new functions to the new get1/get0 naming
6254      convention: After 'get1', the caller owns a reference count
6255      and has to call ..._free; 'get0' returns a pointer to some
6256      data structure without incrementing reference counters.
6257      (Some of the existing 'get' functions increment a reference
6258      counter, some don't.)
6259      Similarly, 'set1' and 'add1' functions increase reference
6260      counters or duplicate objects.
6261      [Steve Henson]
6262
6263   *) Allow for the possibility of temp RSA key generation failure:
6264      the code used to assume it always worked and crashed on failure.
6265      [Steve Henson]
6266
6267   *) Fix potential buffer overrun problem in BIO_printf().
6268      [Ulf Möller, using public domain code by Patrick Powell; problem
6269       pointed out by David Sacerdote <das33@cornell.edu>]
6270
6271   *) Support EGD <http://www.lothar.com/tech/crypto/>.  New functions
6272      RAND_egd() and RAND_status().  In the command line application,
6273      the EGD socket can be specified like a seed file using RANDFILE
6274      or -rand.
6275      [Ulf Möller]
6276
6277   *) Allow the string CERTIFICATE to be tolerated in PKCS#7 structures.
6278      Some CAs (e.g. Verisign) distribute certificates in this form.
6279      [Steve Henson]
6280
6281   *) Remove the SSL_ALLOW_ADH compile option and set the default cipher
6282      list to exclude them. This means that no special compilation option
6283      is needed to use anonymous DH: it just needs to be included in the
6284      cipher list.
6285      [Steve Henson]
6286
6287   *) Change the EVP_MD_CTX_type macro so its meaning consistent with
6288      EVP_MD_type. The old functionality is available in a new macro called
6289      EVP_MD_md(). Change code that uses it and update docs.
6290      [Steve Henson]
6291
6292   *) ..._ctrl functions now have corresponding ..._callback_ctrl functions
6293      where the 'void *' argument is replaced by a function pointer argument.
6294      Previously 'void *' was abused to point to functions, which works on
6295      many platforms, but is not correct.  As these functions are usually
6296      called by macros defined in OpenSSL header files, most source code
6297      should work without changes.
6298      [Richard Levitte]
6299
6300   *) <openssl/opensslconf.h> (which is created by Configure) now contains
6301      sections with information on -D... compiler switches used for
6302      compiling the library so that applications can see them.  To enable
6303      one of these sections, a pre-processor symbol OPENSSL_..._DEFINES
6304      must be defined.  E.g.,
6305         #define OPENSSL_ALGORITHM_DEFINES
6306         #include <openssl/opensslconf.h>
6307      defines all pertinent NO_<algo> symbols, such as NO_IDEA, NO_RSA, etc.
6308      [Richard Levitte, Ulf and Bodo Möller]
6309
6310   *) Bugfix: Tolerate fragmentation and interleaving in the SSL 3/TLS
6311      record layer.
6312      [Bodo Moeller]
6313
6314   *) Change the 'other' type in certificate aux info to a STACK_OF
6315      X509_ALGOR. Although not an AlgorithmIdentifier as such it has
6316      the required ASN1 format: arbitrary types determined by an OID.
6317      [Steve Henson]
6318
6319   *) Add some PEM_write_X509_REQ_NEW() functions and a command line
6320      argument to 'req'. This is not because the function is newer or
6321      better than others it just uses the work 'NEW' in the certificate
6322      request header lines. Some software needs this.
6323      [Steve Henson]
6324
6325   *) Reorganise password command line arguments: now passwords can be
6326      obtained from various sources. Delete the PEM_cb function and make
6327      it the default behaviour: i.e. if the callback is NULL and the
6328      usrdata argument is not NULL interpret it as a null terminated pass
6329      phrase. If usrdata and the callback are NULL then the pass phrase
6330      is prompted for as usual.
6331      [Steve Henson]
6332
6333   *) Add support for the Compaq Atalla crypto accelerator. If it is installed,
6334      the support is automatically enabled. The resulting binaries will
6335      autodetect the card and use it if present.
6336      [Ben Laurie and Compaq Inc.]
6337
6338   *) Work around for Netscape hang bug. This sends certificate request
6339      and server done in one record. Since this is perfectly legal in the
6340      SSL/TLS protocol it isn't a "bug" option and is on by default. See
6341      the bugs/SSLv3 entry for more info.
6342      [Steve Henson]
6343
6344   *) HP-UX tune-up: new unified configs, HP C compiler bug workaround.
6345      [Andy Polyakov]
6346
6347   *) Add -rand argument to smime and pkcs12 applications and read/write
6348      of seed file.
6349      [Steve Henson]
6350
6351   *) New 'passwd' tool for crypt(3) and apr1 password hashes.
6352      [Bodo Moeller]
6353
6354   *) Add command line password options to the remaining applications.
6355      [Steve Henson]
6356
6357   *) Bug fix for BN_div_recp() for numerators with an even number of
6358      bits.
6359      [Ulf Möller]
6360
6361   *) More tests in bntest.c, and changed test_bn output.
6362      [Ulf Möller]
6363
6364   *) ./config recognizes MacOS X now.
6365      [Andy Polyakov]
6366
6367   *) Bug fix for BN_div() when the first words of num and divsor are
6368      equal (it gave wrong results if (rem=(n1-q*d0)&BN_MASK2) < d0).
6369      [Ulf Möller]
6370
6371   *) Add support for various broken PKCS#8 formats, and command line
6372      options to produce them.
6373      [Steve Henson]
6374
6375   *) New functions BN_CTX_start(), BN_CTX_get() and BT_CTX_end() to
6376      get temporary BIGNUMs from a BN_CTX.
6377      [Ulf Möller]
6378
6379   *) Correct return values in BN_mod_exp_mont() and BN_mod_exp2_mont()
6380      for p == 0.
6381      [Ulf Möller]
6382
6383   *) Change the SSLeay_add_all_*() functions to OpenSSL_add_all_*() and
6384      include a #define from the old name to the new. The original intent
6385      was that statically linked binaries could for example just call
6386      SSLeay_add_all_ciphers() to just add ciphers to the table and not
6387      link with digests. This never worked becayse SSLeay_add_all_digests()
6388      and SSLeay_add_all_ciphers() were in the same source file so calling
6389      one would link with the other. They are now in separate source files.
6390      [Steve Henson]
6391
6392   *) Add a new -notext option to 'ca' and a -pubkey option to 'spkac'.
6393      [Steve Henson]
6394
6395   *) Use a less unusual form of the Miller-Rabin primality test (it used
6396      a binary algorithm for exponentiation integrated into the Miller-Rabin
6397      loop, our standard modexp algorithms are faster).
6398      [Bodo Moeller]
6399
6400   *) Support for the EBCDIC character set completed.
6401      [Martin Kraemer <Martin.Kraemer@Mch.SNI.De>]
6402
6403   *) Source code cleanups: use const where appropriate, eliminate casts,
6404      use void * instead of char * in lhash.
6405      [Ulf Möller] 
6406
6407   *) Bugfix: ssl3_send_server_key_exchange was not restartable
6408      (the state was not changed to SSL3_ST_SW_KEY_EXCH_B, and because of
6409      this the server could overwrite ephemeral keys that the client
6410      has already seen).
6411      [Bodo Moeller]
6412
6413   *) Turn DSA_is_prime into a macro that calls BN_is_prime,
6414      using 50 iterations of the Rabin-Miller test.
6415
6416      DSA_generate_parameters now uses BN_is_prime_fasttest (with 50
6417      iterations of the Rabin-Miller test as required by the appendix
6418      to FIPS PUB 186[-1]) instead of DSA_is_prime.
6419      As BN_is_prime_fasttest includes trial division, DSA parameter
6420      generation becomes much faster.
6421
6422      This implies a change for the callback functions in DSA_is_prime
6423      and DSA_generate_parameters: The callback function is called once
6424      for each positive witness in the Rabin-Miller test, not just
6425      occasionally in the inner loop; and the parameters to the
6426      callback function now provide an iteration count for the outer
6427      loop rather than for the current invocation of the inner loop.
6428      DSA_generate_parameters additionally can call the callback
6429      function with an 'iteration count' of -1, meaning that a
6430      candidate has passed the trial division test (when q is generated 
6431      from an application-provided seed, trial division is skipped).
6432      [Bodo Moeller]
6433
6434   *) New function BN_is_prime_fasttest that optionally does trial
6435      division before starting the Rabin-Miller test and has
6436      an additional BN_CTX * argument (whereas BN_is_prime always
6437      has to allocate at least one BN_CTX).
6438      'callback(1, -1, cb_arg)' is called when a number has passed the
6439      trial division stage.
6440      [Bodo Moeller]
6441
6442   *) Fix for bug in CRL encoding. The validity dates weren't being handled
6443      as ASN1_TIME.
6444      [Steve Henson]
6445
6446   *) New -pkcs12 option to CA.pl script to write out a PKCS#12 file.
6447      [Steve Henson]
6448
6449   *) New function BN_pseudo_rand().
6450      [Ulf Möller]
6451
6452   *) Clean up BN_mod_mul_montgomery(): replace the broken (and unreadable)
6453      bignum version of BN_from_montgomery() with the working code from
6454      SSLeay 0.9.0 (the word based version is faster anyway), and clean up
6455      the comments.
6456      [Ulf Möller]
6457
6458   *) Avoid a race condition in s2_clnt.c (function get_server_hello) that
6459      made it impossible to use the same SSL_SESSION data structure in
6460      SSL2 clients in multiple threads.
6461      [Bodo Moeller]
6462
6463   *) The return value of RAND_load_file() no longer counts bytes obtained
6464      by stat().  RAND_load_file(..., -1) is new and uses the complete file
6465      to seed the PRNG (previously an explicit byte count was required).
6466      [Ulf Möller, Bodo Möller]
6467
6468   *) Clean up CRYPTO_EX_DATA functions, some of these didn't have prototypes
6469      used (char *) instead of (void *) and had casts all over the place.
6470      [Steve Henson]
6471
6472   *) Make BN_generate_prime() return NULL on error if ret!=NULL.
6473      [Ulf Möller]
6474
6475   *) Retain source code compatibility for BN_prime_checks macro:
6476      BN_is_prime(..., BN_prime_checks, ...) now uses
6477      BN_prime_checks_for_size to determine the appropriate number of
6478      Rabin-Miller iterations.
6479      [Ulf Möller]
6480
6481   *) Diffie-Hellman uses "safe" primes: DH_check() return code renamed to
6482      DH_CHECK_P_NOT_SAFE_PRIME.
6483      (Check if this is true? OpenPGP calls them "strong".)
6484      [Ulf Möller]
6485
6486   *) Merge the functionality of "dh" and "gendh" programs into a new program
6487      "dhparam". The old programs are retained for now but will handle DH keys
6488      (instead of parameters) in future.
6489      [Steve Henson]
6490
6491   *) Make the ciphers, s_server and s_client programs check the return values
6492      when a new cipher list is set.
6493      [Steve Henson]
6494
6495   *) Enhance the SSL/TLS cipher mechanism to correctly handle the TLS 56bit
6496      ciphers. Before when the 56bit ciphers were enabled the sorting was
6497      wrong.
6498
6499      The syntax for the cipher sorting has been extended to support sorting by
6500      cipher-strength (using the strength_bits hard coded in the tables).
6501      The new command is "@STRENGTH" (see also doc/apps/ciphers.pod).
6502
6503      Fix a bug in the cipher-command parser: when supplying a cipher command
6504      string with an "undefined" symbol (neither command nor alphanumeric
6505      [A-Za-z0-9], ssl_set_cipher_list used to hang in an endless loop. Now
6506      an error is flagged.
6507
6508      Due to the strength-sorting extension, the code of the
6509      ssl_create_cipher_list() function was completely rearranged. I hope that
6510      the readability was also increased :-)
6511      [Lutz Jaenicke <Lutz.Jaenicke@aet.TU-Cottbus.DE>]
6512
6513   *) Minor change to 'x509' utility. The -CAcreateserial option now uses 1
6514      for the first serial number and places 2 in the serial number file. This
6515      avoids problems when the root CA is created with serial number zero and
6516      the first user certificate has the same issuer name and serial number
6517      as the root CA.
6518      [Steve Henson]
6519
6520   *) Fixes to X509_ATTRIBUTE utilities, change the 'req' program so it uses
6521      the new code. Add documentation for this stuff.
6522      [Steve Henson]
6523
6524   *) Changes to X509_ATTRIBUTE utilities. These have been renamed from
6525      X509_*() to X509at_*() on the grounds that they don't handle X509
6526      structures and behave in an analagous way to the X509v3 functions:
6527      they shouldn't be called directly but wrapper functions should be used
6528      instead.
6529
6530      So we also now have some wrapper functions that call the X509at functions
6531      when passed certificate requests. (TO DO: similar things can be done with
6532      PKCS#7 signed and unsigned attributes, PKCS#12 attributes and a few other
6533      things. Some of these need some d2i or i2d and print functionality
6534      because they handle more complex structures.)
6535      [Steve Henson]
6536
6537   *) Add missing #ifndefs that caused missing symbols when building libssl
6538      as a shared library without RSA.  Use #ifndef NO_SSL2 instead of
6539      NO_RSA in ssl/s2*.c. 
6540      [Kris Kennaway <kris@hub.freebsd.org>, modified by Ulf Möller]
6541
6542   *) Precautions against using the PRNG uninitialized: RAND_bytes() now
6543      has a return value which indicates the quality of the random data
6544      (1 = ok, 0 = not seeded).  Also an error is recorded on the thread's
6545      error queue. New function RAND_pseudo_bytes() generates output that is
6546      guaranteed to be unique but not unpredictable. RAND_add is like
6547      RAND_seed, but takes an extra argument for an entropy estimate
6548      (RAND_seed always assumes full entropy).
6549      [Ulf Möller]
6550
6551   *) Do more iterations of Rabin-Miller probable prime test (specifically,
6552      3 for 1024-bit primes, 6 for 512-bit primes, 12 for 256-bit primes
6553      instead of only 2 for all lengths; see BN_prime_checks_for_size definition
6554      in crypto/bn/bn_prime.c for the complete table).  This guarantees a
6555      false-positive rate of at most 2^-80 for random input.
6556      [Bodo Moeller]
6557
6558   *) Rewrite ssl3_read_n (ssl/s3_pkt.c) avoiding a couple of bugs.
6559      [Bodo Moeller]
6560
6561   *) New function X509_CTX_rget_chain() (renamed to X509_CTX_get1_chain
6562      in the 0.9.5 release), this returns the chain
6563      from an X509_CTX structure with a dup of the stack and all
6564      the X509 reference counts upped: so the stack will exist
6565      after X509_CTX_cleanup() has been called. Modify pkcs12.c
6566      to use this.
6567
6568      Also make SSL_SESSION_print() print out the verify return
6569      code.
6570      [Steve Henson]
6571
6572   *) Add manpage for the pkcs12 command. Also change the default
6573      behaviour so MAC iteration counts are used unless the new
6574      -nomaciter option is used. This improves file security and
6575      only older versions of MSIE (4.0 for example) need it.
6576      [Steve Henson]
6577
6578   *) Honor the no-xxx Configure options when creating .DEF files.
6579      [Ulf Möller]
6580
6581   *) Add PKCS#10 attributes to field table: challengePassword, 
6582      unstructuredName and unstructuredAddress. These are taken from
6583      draft PKCS#9 v2.0 but are compatible with v1.2 provided no 
6584      international characters are used.
6585
6586      More changes to X509_ATTRIBUTE code: allow the setting of types
6587      based on strings. Remove the 'loc' parameter when adding
6588      attributes because these will be a SET OF encoding which is sorted
6589      in ASN1 order.
6590      [Steve Henson]
6591
6592   *) Initial changes to the 'req' utility to allow request generation
6593      automation. This will allow an application to just generate a template
6594      file containing all the field values and have req construct the
6595      request.
6596
6597      Initial support for X509_ATTRIBUTE handling. Stacks of these are
6598      used all over the place including certificate requests and PKCS#7
6599      structures. They are currently handled manually where necessary with
6600      some primitive wrappers for PKCS#7. The new functions behave in a
6601      manner analogous to the X509 extension functions: they allow
6602      attributes to be looked up by NID and added.
6603
6604      Later something similar to the X509V3 code would be desirable to
6605      automatically handle the encoding, decoding and printing of the
6606      more complex types. The string types like challengePassword can
6607      be handled by the string table functions.
6608
6609      Also modified the multi byte string table handling. Now there is
6610      a 'global mask' which masks out certain types. The table itself
6611      can use the flag STABLE_NO_MASK to ignore the mask setting: this
6612      is useful when for example there is only one permissible type
6613      (as in countryName) and using the mask might result in no valid
6614      types at all.
6615      [Steve Henson]
6616
6617   *) Clean up 'Finished' handling, and add functions SSL_get_finished and
6618      SSL_get_peer_finished to allow applications to obtain the latest
6619      Finished messages sent to the peer or expected from the peer,
6620      respectively.  (SSL_get_peer_finished is usually the Finished message
6621      actually received from the peer, otherwise the protocol will be aborted.)
6622
6623      As the Finished message are message digests of the complete handshake
6624      (with a total of 192 bits for TLS 1.0 and more for SSL 3.0), they can
6625      be used for external authentication procedures when the authentication
6626      provided by SSL/TLS is not desired or is not enough.
6627      [Bodo Moeller]
6628
6629   *) Enhanced support for Alpha Linux is added. Now ./config checks if
6630      the host supports BWX extension and if Compaq C is present on the
6631      $PATH. Just exploiting of the BWX extension results in 20-30%
6632      performance kick for some algorithms, e.g. DES and RC4 to mention
6633      a couple. Compaq C in turn generates ~20% faster code for MD5 and
6634      SHA1.
6635      [Andy Polyakov]
6636
6637   *) Add support for MS "fast SGC". This is arguably a violation of the
6638      SSL3/TLS protocol. Netscape SGC does two handshakes: the first with
6639      weak crypto and after checking the certificate is SGC a second one
6640      with strong crypto. MS SGC stops the first handshake after receiving
6641      the server certificate message and sends a second client hello. Since
6642      a server will typically do all the time consuming operations before
6643      expecting any further messages from the client (server key exchange
6644      is the most expensive) there is little difference between the two.
6645
6646      To get OpenSSL to support MS SGC we have to permit a second client
6647      hello message after we have sent server done. In addition we have to
6648      reset the MAC if we do get this second client hello.
6649      [Steve Henson]
6650
6651   *) Add a function 'd2i_AutoPrivateKey()' this will automatically decide
6652      if a DER encoded private key is RSA or DSA traditional format. Changed
6653      d2i_PrivateKey_bio() to use it. This is only needed for the "traditional"
6654      format DER encoded private key. Newer code should use PKCS#8 format which
6655      has the key type encoded in the ASN1 structure. Added DER private key
6656      support to pkcs8 application.
6657      [Steve Henson]
6658
6659   *) SSL 3/TLS 1 servers now don't request certificates when an anonymous
6660      ciphersuites has been selected (as required by the SSL 3/TLS 1
6661      specifications).  Exception: When SSL_VERIFY_FAIL_IF_NO_PEER_CERT
6662      is set, we interpret this as a request to violate the specification
6663      (the worst that can happen is a handshake failure, and 'correct'
6664      behaviour would result in a handshake failure anyway).
6665      [Bodo Moeller]
6666
6667   *) In SSL_CTX_add_session, take into account that there might be multiple
6668      SSL_SESSION structures with the same session ID (e.g. when two threads
6669      concurrently obtain them from an external cache).
6670      The internal cache can handle only one SSL_SESSION with a given ID,
6671      so if there's a conflict, we now throw out the old one to achieve
6672      consistency.
6673      [Bodo Moeller]
6674
6675   *) Add OIDs for idea and blowfish in CBC mode. This will allow both
6676      to be used in PKCS#5 v2.0 and S/MIME.  Also add checking to
6677      some routines that use cipher OIDs: some ciphers do not have OIDs
6678      defined and so they cannot be used for S/MIME and PKCS#5 v2.0 for
6679      example.
6680      [Steve Henson]
6681
6682   *) Simplify the trust setting structure and code. Now we just have
6683      two sequences of OIDs for trusted and rejected settings. These will
6684      typically have values the same as the extended key usage extension
6685      and any application specific purposes.
6686
6687      The trust checking code now has a default behaviour: it will just
6688      check for an object with the same NID as the passed id. Functions can
6689      be provided to override either the default behaviour or the behaviour
6690      for a given id. SSL client, server and email already have functions
6691      in place for compatibility: they check the NID and also return "trusted"
6692      if the certificate is self signed.
6693      [Steve Henson]
6694
6695   *) Add d2i,i2d bio/fp functions for PrivateKey: these convert the
6696      traditional format into an EVP_PKEY structure.
6697      [Steve Henson]
6698
6699   *) Add a password callback function PEM_cb() which either prompts for
6700      a password if usr_data is NULL or otherwise assumes it is a null
6701      terminated password. Allow passwords to be passed on command line
6702      environment or config files in a few more utilities.
6703      [Steve Henson]
6704
6705   *) Add a bunch of DER and PEM functions to handle PKCS#8 format private
6706      keys. Add some short names for PKCS#8 PBE algorithms and allow them
6707      to be specified on the command line for the pkcs8 and pkcs12 utilities.
6708      Update documentation.
6709      [Steve Henson]
6710
6711   *) Support for ASN1 "NULL" type. This could be handled before by using
6712      ASN1_TYPE but there wasn't any function that would try to read a NULL
6713      and produce an error if it couldn't. For compatibility we also have
6714      ASN1_NULL_new() and ASN1_NULL_free() functions but these are faked and
6715      don't allocate anything because they don't need to.
6716      [Steve Henson]
6717
6718   *) Initial support for MacOS is now provided. Examine INSTALL.MacOS
6719      for details.
6720      [Andy Polyakov, Roy Woods <roy@centicsystems.ca>]
6721
6722   *) Rebuild of the memory allocation routines used by OpenSSL code and
6723      possibly others as well.  The purpose is to make an interface that
6724      provide hooks so anyone can build a separate set of allocation and
6725      deallocation routines to be used by OpenSSL, for example memory
6726      pool implementations, or something else, which was previously hard
6727      since Malloc(), Realloc() and Free() were defined as macros having
6728      the values malloc, realloc and free, respectively (except for Win32
6729      compilations).  The same is provided for memory debugging code.
6730      OpenSSL already comes with functionality to find memory leaks, but
6731      this gives people a chance to debug other memory problems.
6732
6733      With these changes, a new set of functions and macros have appeared:
6734
6735        CRYPTO_set_mem_debug_functions()         [F]
6736        CRYPTO_get_mem_debug_functions()         [F]
6737        CRYPTO_dbg_set_options()                 [F]
6738        CRYPTO_dbg_get_options()                 [F]
6739        CRYPTO_malloc_debug_init()               [M]
6740
6741      The memory debug functions are NULL by default, unless the library
6742      is compiled with CRYPTO_MDEBUG or friends is defined.  If someone
6743      wants to debug memory anyway, CRYPTO_malloc_debug_init() (which
6744      gives the standard debugging functions that come with OpenSSL) or
6745      CRYPTO_set_mem_debug_functions() (tells OpenSSL to use functions
6746      provided by the library user) must be used.  When the standard
6747      debugging functions are used, CRYPTO_dbg_set_options can be used to
6748      request additional information:
6749      CRYPTO_dbg_set_options(V_CYRPTO_MDEBUG_xxx) corresponds to setting
6750      the CRYPTO_MDEBUG_xxx macro when compiling the library.   
6751
6752      Also, things like CRYPTO_set_mem_functions will always give the
6753      expected result (the new set of functions is used for allocation
6754      and deallocation) at all times, regardless of platform and compiler
6755      options.
6756
6757      To finish it up, some functions that were never use in any other
6758      way than through macros have a new API and new semantic:
6759
6760        CRYPTO_dbg_malloc()
6761        CRYPTO_dbg_realloc()
6762        CRYPTO_dbg_free()
6763
6764      All macros of value have retained their old syntax.
6765      [Richard Levitte and Bodo Moeller]
6766
6767   *) Some S/MIME fixes. The OID for SMIMECapabilities was wrong, the
6768      ordering of SMIMECapabilities wasn't in "strength order" and there
6769      was a missing NULL in the AlgorithmIdentifier for the SHA1 signature
6770      algorithm.
6771      [Steve Henson]
6772
6773   *) Some ASN1 types with illegal zero length encoding (INTEGER,
6774      ENUMERATED and OBJECT IDENTIFIER) choked the ASN1 routines.
6775      [Frans Heymans <fheymans@isaserver.be>, modified by Steve Henson]
6776
6777   *) Merge in my S/MIME library for OpenSSL. This provides a simple
6778      S/MIME API on top of the PKCS#7 code, a MIME parser (with enough
6779      functionality to handle multipart/signed properly) and a utility
6780      called 'smime' to call all this stuff. This is based on code I
6781      originally wrote for Celo who have kindly allowed it to be
6782      included in OpenSSL.
6783      [Steve Henson]
6784
6785   *) Add variants des_set_key_checked and des_set_key_unchecked of
6786      des_set_key (aka des_key_sched).  Global variable des_check_key
6787      decides which of these is called by des_set_key; this way
6788      des_check_key behaves as it always did, but applications and
6789      the library itself, which was buggy for des_check_key == 1,
6790      have a cleaner way to pick the version they need.
6791      [Bodo Moeller]
6792
6793   *) New function PKCS12_newpass() which changes the password of a
6794      PKCS12 structure.
6795      [Steve Henson]
6796
6797   *) Modify X509_TRUST and X509_PURPOSE so it also uses a static and
6798      dynamic mix. In both cases the ids can be used as an index into the
6799      table. Also modified the X509_TRUST_add() and X509_PURPOSE_add()
6800      functions so they accept a list of the field values and the
6801      application doesn't need to directly manipulate the X509_TRUST
6802      structure.
6803      [Steve Henson]
6804
6805   *) Modify the ASN1_STRING_TABLE stuff so it also uses bsearch and doesn't
6806      need initialising.
6807      [Steve Henson]
6808
6809   *) Modify the way the V3 extension code looks up extensions. This now
6810      works in a similar way to the object code: we have some "standard"
6811      extensions in a static table which is searched with OBJ_bsearch()
6812      and the application can add dynamic ones if needed. The file
6813      crypto/x509v3/ext_dat.h now has the info: this file needs to be
6814      updated whenever a new extension is added to the core code and kept
6815      in ext_nid order. There is a simple program 'tabtest.c' which checks
6816      this. New extensions are not added too often so this file can readily
6817      be maintained manually.
6818
6819      There are two big advantages in doing things this way. The extensions
6820      can be looked up immediately and no longer need to be "added" using
6821      X509V3_add_standard_extensions(): this function now does nothing.
6822      [Side note: I get *lots* of email saying the extension code doesn't
6823       work because people forget to call this function]
6824      Also no dynamic allocation is done unless new extensions are added:
6825      so if we don't add custom extensions there is no need to call
6826      X509V3_EXT_cleanup().
6827      [Steve Henson]
6828
6829   *) Modify enc utility's salting as follows: make salting the default. Add a
6830      magic header, so unsalted files fail gracefully instead of just decrypting
6831      to garbage. This is because not salting is a big security hole, so people
6832      should be discouraged from doing it.
6833      [Ben Laurie]
6834
6835   *) Fixes and enhancements to the 'x509' utility. It allowed a message
6836      digest to be passed on the command line but it only used this
6837      parameter when signing a certificate. Modified so all relevant
6838      operations are affected by the digest parameter including the
6839      -fingerprint and -x509toreq options. Also -x509toreq choked if a
6840      DSA key was used because it didn't fix the digest.
6841      [Steve Henson]
6842
6843   *) Initial certificate chain verify code. Currently tests the untrusted
6844      certificates for consistency with the verify purpose (which is set
6845      when the X509_STORE_CTX structure is set up) and checks the pathlength.
6846
6847      There is a NO_CHAIN_VERIFY compilation option to keep the old behaviour:
6848      this is because it will reject chains with invalid extensions whereas
6849      every previous version of OpenSSL and SSLeay made no checks at all.
6850
6851      Trust code: checks the root CA for the relevant trust settings. Trust
6852      settings have an initial value consistent with the verify purpose: e.g.
6853      if the verify purpose is for SSL client use it expects the CA to be
6854      trusted for SSL client use. However the default value can be changed to
6855      permit custom trust settings: one example of this would be to only trust
6856      certificates from a specific "secure" set of CAs.
6857
6858      Also added X509_STORE_CTX_new() and X509_STORE_CTX_free() functions
6859      which should be used for version portability: especially since the
6860      verify structure is likely to change more often now.
6861
6862      SSL integration. Add purpose and trust to SSL_CTX and SSL and functions
6863      to set them. If not set then assume SSL clients will verify SSL servers
6864      and vice versa.
6865
6866      Two new options to the verify program: -untrusted allows a set of
6867      untrusted certificates to be passed in and -purpose which sets the
6868      intended purpose of the certificate. If a purpose is set then the
6869      new chain verify code is used to check extension consistency.
6870      [Steve Henson]
6871
6872   *) Support for the authority information access extension.
6873      [Steve Henson]
6874
6875   *) Modify RSA and DSA PEM read routines to transparently handle
6876      PKCS#8 format private keys. New *_PUBKEY_* functions that handle
6877      public keys in a format compatible with certificate
6878      SubjectPublicKeyInfo structures. Unfortunately there were already
6879      functions called *_PublicKey_* which used various odd formats so
6880      these are retained for compatibility: however the DSA variants were
6881      never in a public release so they have been deleted. Changed dsa/rsa
6882      utilities to handle the new format: note no releases ever handled public
6883      keys so we should be OK.
6884
6885      The primary motivation for this change is to avoid the same fiasco
6886      that dogs private keys: there are several incompatible private key
6887      formats some of which are standard and some OpenSSL specific and
6888      require various evil hacks to allow partial transparent handling and
6889      even then it doesn't work with DER formats. Given the option anything
6890      other than PKCS#8 should be dumped: but the other formats have to
6891      stay in the name of compatibility.
6892
6893      With public keys and the benefit of hindsight one standard format 
6894      is used which works with EVP_PKEY, RSA or DSA structures: though
6895      it clearly returns an error if you try to read the wrong kind of key.
6896
6897      Added a -pubkey option to the 'x509' utility to output the public key.
6898      Also rename the EVP_PKEY_get_*() to EVP_PKEY_rget_*()
6899      (renamed to EVP_PKEY_get1_*() in the OpenSSL 0.9.5 release) and add
6900      EVP_PKEY_rset_*() functions (renamed to EVP_PKEY_set1_*())
6901      that do the same as the EVP_PKEY_assign_*() except they up the
6902      reference count of the added key (they don't "swallow" the
6903      supplied key).
6904      [Steve Henson]
6905
6906   *) Fixes to crypto/x509/by_file.c the code to read in certificates and
6907      CRLs would fail if the file contained no certificates or no CRLs:
6908      added a new function to read in both types and return the number
6909      read: this means that if none are read it will be an error. The
6910      DER versions of the certificate and CRL reader would always fail
6911      because it isn't possible to mix certificates and CRLs in DER format
6912      without choking one or the other routine. Changed this to just read
6913      a certificate: this is the best we can do. Also modified the code
6914      in apps/verify.c to take notice of return codes: it was previously
6915      attempting to read in certificates from NULL pointers and ignoring
6916      any errors: this is one reason why the cert and CRL reader seemed
6917      to work. It doesn't check return codes from the default certificate
6918      routines: these may well fail if the certificates aren't installed.
6919      [Steve Henson]
6920
6921   *) Code to support otherName option in GeneralName.
6922      [Steve Henson]
6923
6924   *) First update to verify code. Change the verify utility
6925      so it warns if it is passed a self signed certificate:
6926      for consistency with the normal behaviour. X509_verify
6927      has been modified to it will now verify a self signed
6928      certificate if *exactly* the same certificate appears
6929      in the store: it was previously impossible to trust a
6930      single self signed certificate. This means that:
6931      openssl verify ss.pem
6932      now gives a warning about a self signed certificate but
6933      openssl verify -CAfile ss.pem ss.pem
6934      is OK.
6935      [Steve Henson]
6936
6937   *) For servers, store verify_result in SSL_SESSION data structure
6938      (and add it to external session representation).
6939      This is needed when client certificate verifications fails,
6940      but an application-provided verification callback (set by
6941      SSL_CTX_set_cert_verify_callback) allows accepting the session
6942      anyway (i.e. leaves x509_store_ctx->error != X509_V_OK
6943      but returns 1): When the session is reused, we have to set
6944      ssl->verify_result to the appropriate error code to avoid
6945      security holes.
6946      [Bodo Moeller, problem pointed out by Lutz Jaenicke]
6947
6948   *) Fix a bug in the new PKCS#7 code: it didn't consider the
6949      case in PKCS7_dataInit() where the signed PKCS7 structure
6950      didn't contain any existing data because it was being created.
6951      [Po-Cheng Chen <pocheng@nst.com.tw>, slightly modified by Steve Henson]
6952
6953   *) Add a salt to the key derivation routines in enc.c. This
6954      forms the first 8 bytes of the encrypted file. Also add a
6955      -S option to allow a salt to be input on the command line.
6956      [Steve Henson]
6957
6958   *) New function X509_cmp(). Oddly enough there wasn't a function
6959      to compare two certificates. We do this by working out the SHA1
6960      hash and comparing that. X509_cmp() will be needed by the trust
6961      code.
6962      [Steve Henson]
6963
6964   *) SSL_get1_session() is like SSL_get_session(), but increments
6965      the reference count in the SSL_SESSION returned.
6966      [Geoff Thorpe <geoff@eu.c2.net>]
6967
6968   *) Fix for 'req': it was adding a null to request attributes.
6969      Also change the X509_LOOKUP and X509_INFO code to handle
6970      certificate auxiliary information.
6971      [Steve Henson]
6972
6973   *) Add support for 40 and 64 bit RC2 and RC4 algorithms: document
6974      the 'enc' command.
6975      [Steve Henson]
6976
6977   *) Add the possibility to add extra information to the memory leak
6978      detecting output, to form tracebacks, showing from where each
6979      allocation was originated: CRYPTO_push_info("constant string") adds
6980      the string plus current file name and line number to a per-thread
6981      stack, CRYPTO_pop_info() does the obvious, CRYPTO_remove_all_info()
6982      is like calling CYRPTO_pop_info() until the stack is empty.
6983      Also updated memory leak detection code to be multi-thread-safe.
6984      [Richard Levitte]
6985
6986   *) Add options -text and -noout to pkcs7 utility and delete the
6987      encryption options which never did anything. Update docs.
6988      [Steve Henson]
6989
6990   *) Add options to some of the utilities to allow the pass phrase
6991      to be included on either the command line (not recommended on
6992      OSes like Unix) or read from the environment. Update the
6993      manpages and fix a few bugs.
6994      [Steve Henson]
6995
6996   *) Add a few manpages for some of the openssl commands.
6997      [Steve Henson]
6998
6999   *) Fix the -revoke option in ca. It was freeing up memory twice,
7000      leaking and not finding already revoked certificates.
7001      [Steve Henson]
7002
7003   *) Extensive changes to support certificate auxiliary information.
7004      This involves the use of X509_CERT_AUX structure and X509_AUX
7005      functions. An X509_AUX function such as PEM_read_X509_AUX()
7006      can still read in a certificate file in the usual way but it
7007      will also read in any additional "auxiliary information". By
7008      doing things this way a fair degree of compatibility can be
7009      retained: existing certificates can have this information added
7010      using the new 'x509' options. 
7011
7012      Current auxiliary information includes an "alias" and some trust
7013      settings. The trust settings will ultimately be used in enhanced
7014      certificate chain verification routines: currently a certificate
7015      can only be trusted if it is self signed and then it is trusted
7016      for all purposes.
7017      [Steve Henson]
7018
7019   *) Fix assembler for Alpha (tested only on DEC OSF not Linux or *BSD).
7020      The problem was that one of the replacement routines had not been working
7021      since SSLeay releases.  For now the offending routine has been replaced
7022      with non-optimised assembler.  Even so, this now gives around 95%
7023      performance improvement for 1024 bit RSA signs.
7024      [Mark Cox]
7025
7026   *) Hack to fix PKCS#7 decryption when used with some unorthodox RC2 
7027      handling. Most clients have the effective key size in bits equal to
7028      the key length in bits: so a 40 bit RC2 key uses a 40 bit (5 byte) key.
7029      A few however don't do this and instead use the size of the decrypted key
7030      to determine the RC2 key length and the AlgorithmIdentifier to determine
7031      the effective key length. In this case the effective key length can still
7032      be 40 bits but the key length can be 168 bits for example. This is fixed
7033      by manually forcing an RC2 key into the EVP_PKEY structure because the
7034      EVP code can't currently handle unusual RC2 key sizes: it always assumes
7035      the key length and effective key length are equal.
7036      [Steve Henson]
7037
7038   *) Add a bunch of functions that should simplify the creation of 
7039      X509_NAME structures. Now you should be able to do:
7040      X509_NAME_add_entry_by_txt(nm, "CN", MBSTRING_ASC, "Steve", -1, -1, 0);
7041      and have it automatically work out the correct field type and fill in
7042      the structures. The more adventurous can try:
7043      X509_NAME_add_entry_by_txt(nm, field, MBSTRING_UTF8, str, -1, -1, 0);
7044      and it will (hopefully) work out the correct multibyte encoding.
7045      [Steve Henson]
7046
7047   *) Change the 'req' utility to use the new field handling and multibyte
7048      copy routines. Before the DN field creation was handled in an ad hoc
7049      way in req, ca, and x509 which was rather broken and didn't support
7050      BMPStrings or UTF8Strings. Since some software doesn't implement
7051      BMPStrings or UTF8Strings yet, they can be enabled using the config file
7052      using the dirstring_type option. See the new comment in the default
7053      openssl.cnf for more info.
7054      [Steve Henson]
7055
7056   *) Make crypto/rand/md_rand.c more robust:
7057      - Assure unique random numbers after fork().
7058      - Make sure that concurrent threads access the global counter and
7059        md serializably so that we never lose entropy in them
7060        or use exactly the same state in multiple threads.
7061        Access to the large state is not always serializable because
7062        the additional locking could be a performance killer, and
7063        md should be large enough anyway.
7064      [Bodo Moeller]
7065
7066   *) New file apps/app_rand.c with commonly needed functionality
7067      for handling the random seed file.
7068
7069      Use the random seed file in some applications that previously did not:
7070           ca,
7071           dsaparam -genkey (which also ignored its '-rand' option), 
7072           s_client,
7073           s_server,
7074           x509 (when signing).
7075      Except on systems with /dev/urandom, it is crucial to have a random
7076      seed file at least for key creation, DSA signing, and for DH exchanges;
7077      for RSA signatures we could do without one.
7078
7079      gendh and gendsa (unlike genrsa) used to read only the first byte
7080      of each file listed in the '-rand' option.  The function as previously
7081      found in genrsa is now in app_rand.c and is used by all programs
7082      that support '-rand'.
7083      [Bodo Moeller]
7084
7085   *) In RAND_write_file, use mode 0600 for creating files;
7086      don't just chmod when it may be too late.
7087      [Bodo Moeller]
7088
7089   *) Report an error from X509_STORE_load_locations
7090      when X509_LOOKUP_load_file or X509_LOOKUP_add_dir failed.
7091      [Bill Perry]
7092
7093   *) New function ASN1_mbstring_copy() this copies a string in either
7094      ASCII, Unicode, Universal (4 bytes per character) or UTF8 format
7095      into an ASN1_STRING type. A mask of permissible types is passed
7096      and it chooses the "minimal" type to use or an error if not type
7097      is suitable.
7098      [Steve Henson]
7099
7100   *) Add function equivalents to the various macros in asn1.h. The old
7101      macros are retained with an M_ prefix. Code inside the library can
7102      use the M_ macros. External code (including the openssl utility)
7103      should *NOT* in order to be "shared library friendly".
7104      [Steve Henson]
7105
7106   *) Add various functions that can check a certificate's extensions
7107      to see if it usable for various purposes such as SSL client,
7108      server or S/MIME and CAs of these types. This is currently 
7109      VERY EXPERIMENTAL but will ultimately be used for certificate chain
7110      verification. Also added a -purpose flag to x509 utility to
7111      print out all the purposes.
7112      [Steve Henson]
7113
7114   *) Add a CRYPTO_EX_DATA to X509 certificate structure and associated
7115      functions.
7116      [Steve Henson]
7117
7118   *) New X509V3_{X509,CRL,REVOKED}_get_d2i() functions. These will search
7119      for, obtain and decode and extension and obtain its critical flag.
7120      This allows all the necessary extension code to be handled in a
7121      single function call.
7122      [Steve Henson]
7123
7124   *) RC4 tune-up featuring 30-40% performance improvement on most RISC
7125      platforms. See crypto/rc4/rc4_enc.c for further details.
7126      [Andy Polyakov]
7127
7128   *) New -noout option to asn1parse. This causes no output to be produced
7129      its main use is when combined with -strparse and -out to extract data
7130      from a file (which may not be in ASN.1 format).
7131      [Steve Henson]
7132
7133   *) Fix for pkcs12 program. It was hashing an invalid certificate pointer
7134      when producing the local key id.
7135      [Richard Levitte <levitte@stacken.kth.se>]
7136
7137   *) New option -dhparam in s_server. This allows a DH parameter file to be
7138      stated explicitly. If it is not stated then it tries the first server
7139      certificate file. The previous behaviour hard coded the filename
7140      "server.pem".
7141      [Steve Henson]
7142
7143   *) Add -pubin and -pubout options to the rsa and dsa commands. These allow
7144      a public key to be input or output. For example:
7145      openssl rsa -in key.pem -pubout -out pubkey.pem
7146      Also added necessary DSA public key functions to handle this.
7147      [Steve Henson]
7148
7149   *) Fix so PKCS7_dataVerify() doesn't crash if no certificates are contained
7150      in the message. This was handled by allowing
7151      X509_find_by_issuer_and_serial() to tolerate a NULL passed to it.
7152      [Steve Henson, reported by Sampo Kellomaki <sampo@mail.neuronio.pt>]
7153
7154   *) Fix for bug in d2i_ASN1_bytes(): other ASN1 functions add an extra null
7155      to the end of the strings whereas this didn't. This would cause problems
7156      if strings read with d2i_ASN1_bytes() were later modified.
7157      [Steve Henson, reported by Arne Ansper <arne@ats.cyber.ee>]
7158
7159   *) Fix for base64 decode bug. When a base64 bio reads only one line of
7160      data and it contains EOF it will end up returning an error. This is
7161      caused by input 46 bytes long. The cause is due to the way base64
7162      BIOs find the start of base64 encoded data. They do this by trying a
7163      trial decode on each line until they find one that works. When they
7164      do a flag is set and it starts again knowing it can pass all the
7165      data directly through the decoder. Unfortunately it doesn't reset
7166      the context it uses. This means that if EOF is reached an attempt
7167      is made to pass two EOFs through the context and this causes the
7168      resulting error. This can also cause other problems as well. As is
7169      usual with these problems it takes *ages* to find and the fix is
7170      trivial: move one line.
7171      [Steve Henson, reported by ian@uns.ns.ac.yu (Ivan Nejgebauer) ]
7172
7173   *) Ugly workaround to get s_client and s_server working under Windows. The
7174      old code wouldn't work because it needed to select() on sockets and the
7175      tty (for keypresses and to see if data could be written). Win32 only
7176      supports select() on sockets so we select() with a 1s timeout on the
7177      sockets and then see if any characters are waiting to be read, if none
7178      are present then we retry, we also assume we can always write data to
7179      the tty. This isn't nice because the code then blocks until we've
7180      received a complete line of data and it is effectively polling the
7181      keyboard at 1s intervals: however it's quite a bit better than not
7182      working at all :-) A dedicated Windows application might handle this
7183      with an event loop for example.
7184      [Steve Henson]
7185
7186   *) Enhance RSA_METHOD structure. Now there are two extra methods, rsa_sign
7187      and rsa_verify. When the RSA_FLAGS_SIGN_VER option is set these functions
7188      will be called when RSA_sign() and RSA_verify() are used. This is useful
7189      if rsa_pub_dec() and rsa_priv_enc() equivalents are not available.
7190      For this to work properly RSA_public_decrypt() and RSA_private_encrypt()
7191      should *not* be used: RSA_sign() and RSA_verify() must be used instead.
7192      This necessitated the support of an extra signature type NID_md5_sha1
7193      for SSL signatures and modifications to the SSL library to use it instead
7194      of calling RSA_public_decrypt() and RSA_private_encrypt().
7195      [Steve Henson]
7196
7197   *) Add new -verify -CAfile and -CApath options to the crl program, these
7198      will lookup a CRL issuers certificate and verify the signature in a
7199      similar way to the verify program. Tidy up the crl program so it
7200      no longer accesses structures directly. Make the ASN1 CRL parsing a bit
7201      less strict. It will now permit CRL extensions even if it is not
7202      a V2 CRL: this will allow it to tolerate some broken CRLs.
7203      [Steve Henson]
7204
7205   *) Initialize all non-automatic variables each time one of the openssl
7206      sub-programs is started (this is necessary as they may be started
7207      multiple times from the "OpenSSL>" prompt).
7208      [Lennart Bang, Bodo Moeller]
7209
7210   *) Preliminary compilation option RSA_NULL which disables RSA crypto without
7211      removing all other RSA functionality (this is what NO_RSA does). This
7212      is so (for example) those in the US can disable those operations covered
7213      by the RSA patent while allowing storage and parsing of RSA keys and RSA
7214      key generation.
7215      [Steve Henson]
7216
7217   *) Non-copying interface to BIO pairs.
7218      (still largely untested)
7219      [Bodo Moeller]
7220
7221   *) New function ANS1_tag2str() to convert an ASN1 tag to a descriptive
7222      ASCII string. This was handled independently in various places before.
7223      [Steve Henson]
7224
7225   *) New functions UTF8_getc() and UTF8_putc() that parse and generate
7226      UTF8 strings a character at a time.
7227      [Steve Henson]
7228
7229   *) Use client_version from client hello to select the protocol
7230      (s23_srvr.c) and for RSA client key exchange verification
7231      (s3_srvr.c), as required by the SSL 3.0/TLS 1.0 specifications.
7232      [Bodo Moeller]
7233
7234   *) Add various utility functions to handle SPKACs, these were previously
7235      handled by poking round in the structure internals. Added new function
7236      NETSCAPE_SPKI_print() to print out SPKAC and a new utility 'spkac' to
7237      print, verify and generate SPKACs. Based on an original idea from
7238      Massimiliano Pala <madwolf@comune.modena.it> but extensively modified.
7239      [Steve Henson]
7240
7241   *) RIPEMD160 is operational on all platforms and is back in 'make test'.
7242      [Andy Polyakov]
7243
7244   *) Allow the config file extension section to be overwritten on the
7245      command line. Based on an original idea from Massimiliano Pala
7246      <madwolf@comune.modena.it>. The new option is called -extensions
7247      and can be applied to ca, req and x509. Also -reqexts to override
7248      the request extensions in req and -crlexts to override the crl extensions
7249      in ca.
7250      [Steve Henson]
7251
7252   *) Add new feature to the SPKAC handling in ca.  Now you can include
7253      the same field multiple times by preceding it by "XXXX." for example:
7254      1.OU="Unit name 1"
7255      2.OU="Unit name 2"
7256      this is the same syntax as used in the req config file.
7257      [Steve Henson]
7258
7259   *) Allow certificate extensions to be added to certificate requests. These
7260      are specified in a 'req_extensions' option of the req section of the
7261      config file. They can be printed out with the -text option to req but
7262      are otherwise ignored at present.
7263      [Steve Henson]
7264
7265   *) Fix a horrible bug in enc_read() in crypto/evp/bio_enc.c: if the first
7266      data read consists of only the final block it would not decrypted because
7267      EVP_CipherUpdate() would correctly report zero bytes had been decrypted.
7268      A misplaced 'break' also meant the decrypted final block might not be
7269      copied until the next read.
7270      [Steve Henson]
7271
7272   *) Initial support for DH_METHOD. Again based on RSA_METHOD. Also added
7273      a few extra parameters to the DH structure: these will be useful if
7274      for example we want the value of 'q' or implement X9.42 DH.
7275      [Steve Henson]
7276
7277   *) Initial support for DSA_METHOD. This is based on the RSA_METHOD and
7278      provides hooks that allow the default DSA functions or functions on a
7279      "per key" basis to be replaced. This allows hardware acceleration and
7280      hardware key storage to be handled without major modification to the
7281      library. Also added low level modexp hooks and CRYPTO_EX structure and 
7282      associated functions.
7283      [Steve Henson]
7284
7285   *) Add a new flag to memory BIOs, BIO_FLAG_MEM_RDONLY. This marks the BIO
7286      as "read only": it can't be written to and the buffer it points to will
7287      not be freed. Reading from a read only BIO is much more efficient than
7288      a normal memory BIO. This was added because there are several times when
7289      an area of memory needs to be read from a BIO. The previous method was
7290      to create a memory BIO and write the data to it, this results in two
7291      copies of the data and an O(n^2) reading algorithm. There is a new
7292      function BIO_new_mem_buf() which creates a read only memory BIO from
7293      an area of memory. Also modified the PKCS#7 routines to use read only
7294      memory BIOs.
7295      [Steve Henson]
7296
7297   *) Bugfix: ssl23_get_client_hello did not work properly when called in
7298      state SSL23_ST_SR_CLNT_HELLO_B, i.e. when the first 7 bytes of
7299      a SSLv2-compatible client hello for SSLv3 or TLSv1 could be read,
7300      but a retry condition occured while trying to read the rest.
7301      [Bodo Moeller]
7302
7303   *) The PKCS7_ENC_CONTENT_new() function was setting the content type as
7304      NID_pkcs7_encrypted by default: this was wrong since this should almost
7305      always be NID_pkcs7_data. Also modified the PKCS7_set_type() to handle
7306      the encrypted data type: this is a more sensible place to put it and it
7307      allows the PKCS#12 code to be tidied up that duplicated this
7308      functionality.
7309      [Steve Henson]
7310
7311   *) Changed obj_dat.pl script so it takes its input and output files on
7312      the command line. This should avoid shell escape redirection problems
7313      under Win32.
7314      [Steve Henson]
7315
7316   *) Initial support for certificate extension requests, these are included
7317      in things like Xenroll certificate requests. Included functions to allow
7318      extensions to be obtained and added.
7319      [Steve Henson]
7320
7321   *) -crlf option to s_client and s_server for sending newlines as
7322      CRLF (as required by many protocols).
7323      [Bodo Moeller]
7324
7325  Changes between 0.9.3a and 0.9.4  [09 Aug 1999]
7326   
7327   *) Install libRSAglue.a when OpenSSL is built with RSAref.
7328      [Ralf S. Engelschall]
7329
7330   *) A few more ``#ifndef NO_FP_API / #endif'' pairs for consistency.
7331      [Andrija Antonijevic <TheAntony2@bigfoot.com>]
7332
7333   *) Fix -startdate and -enddate (which was missing) arguments to 'ca'
7334      program.
7335      [Steve Henson]
7336
7337   *) New function DSA_dup_DH, which duplicates DSA parameters/keys as
7338      DH parameters/keys (q is lost during that conversion, but the resulting
7339      DH parameters contain its length).
7340
7341      For 1024-bit p, DSA_generate_parameters followed by DSA_dup_DH is
7342      much faster than DH_generate_parameters (which creates parameters
7343      where p = 2*q + 1), and also the smaller q makes DH computations
7344      much more efficient (160-bit exponentiation instead of 1024-bit
7345      exponentiation); so this provides a convenient way to support DHE
7346      ciphersuites in SSL/TLS servers (see ssl/ssltest.c).  It is of
7347      utter importance to use
7348          SSL_CTX_set_options(s_ctx, SSL_OP_SINGLE_DH_USE);
7349      or
7350          SSL_set_options(s_ctx, SSL_OP_SINGLE_DH_USE);
7351      when such DH parameters are used, because otherwise small subgroup
7352      attacks may become possible!
7353      [Bodo Moeller]
7354
7355   *) Avoid memory leak in i2d_DHparams.
7356      [Bodo Moeller]
7357
7358   *) Allow the -k option to be used more than once in the enc program:
7359      this allows the same encrypted message to be read by multiple recipients.
7360      [Steve Henson]
7361
7362   *) New function OBJ_obj2txt(buf, buf_len, a, no_name), this converts
7363      an ASN1_OBJECT to a text string. If the "no_name" parameter is set then
7364      it will always use the numerical form of the OID, even if it has a short
7365      or long name.
7366      [Steve Henson]
7367
7368   *) Added an extra RSA flag: RSA_FLAG_EXT_PKEY. Previously the rsa_mod_exp
7369      method only got called if p,q,dmp1,dmq1,iqmp components were present,
7370      otherwise bn_mod_exp was called. In the case of hardware keys for example
7371      no private key components need be present and it might store extra data
7372      in the RSA structure, which cannot be accessed from bn_mod_exp.
7373      By setting RSA_FLAG_EXT_PKEY rsa_mod_exp will always be called for
7374      private key operations.
7375      [Steve Henson]
7376
7377   *) Added support for SPARC Linux.
7378      [Andy Polyakov]
7379
7380   *) pem_password_cb function type incompatibly changed from
7381           typedef int pem_password_cb(char *buf, int size, int rwflag);
7382      to
7383           ....(char *buf, int size, int rwflag, void *userdata);
7384      so that applications can pass data to their callbacks:
7385      The PEM[_ASN1]_{read,write}... functions and macros now take an
7386      additional void * argument, which is just handed through whenever
7387      the password callback is called.
7388      [Damien Miller <dmiller@ilogic.com.au>; tiny changes by Bodo Moeller]
7389
7390      New function SSL_CTX_set_default_passwd_cb_userdata.
7391
7392      Compatibility note: As many C implementations push function arguments
7393      onto the stack in reverse order, the new library version is likely to
7394      interoperate with programs that have been compiled with the old
7395      pem_password_cb definition (PEM_whatever takes some data that
7396      happens to be on the stack as its last argument, and the callback
7397      just ignores this garbage); but there is no guarantee whatsoever that
7398      this will work.
7399
7400   *) The -DPLATFORM="\"$(PLATFORM)\"" definition and the similar -DCFLAGS=...
7401      (both in crypto/Makefile.ssl for use by crypto/cversion.c) caused
7402      problems not only on Windows, but also on some Unix platforms.
7403      To avoid problematic command lines, these definitions are now in an
7404      auto-generated file crypto/buildinf.h (created by crypto/Makefile.ssl
7405      for standard "make" builds, by util/mk1mf.pl for "mk1mf" builds).
7406      [Bodo Moeller]
7407
7408   *) MIPS III/IV assembler module is reimplemented.
7409      [Andy Polyakov]
7410
7411   *) More DES library cleanups: remove references to srand/rand and
7412      delete an unused file.
7413      [Ulf Möller]
7414
7415   *) Add support for the the free Netwide assembler (NASM) under Win32,
7416      since not many people have MASM (ml) and it can be hard to obtain.
7417      This is currently experimental but it seems to work OK and pass all
7418      the tests. Check out INSTALL.W32 for info.
7419      [Steve Henson]
7420
7421   *) Fix memory leaks in s3_clnt.c: All non-anonymous SSL3/TLS1 connections
7422      without temporary keys kept an extra copy of the server key,
7423      and connections with temporary keys did not free everything in case
7424      of an error.
7425      [Bodo Moeller]
7426
7427   *) New function RSA_check_key and new openssl rsa option -check
7428      for verifying the consistency of RSA keys.
7429      [Ulf Moeller, Bodo Moeller]
7430
7431   *) Various changes to make Win32 compile work: 
7432      1. Casts to avoid "loss of data" warnings in p5_crpt2.c
7433      2. Change unsigned int to int in b_dump.c to avoid "signed/unsigned
7434         comparison" warnings.
7435      3. Add sk_<TYPE>_sort to DEF file generator and do make update.
7436      [Steve Henson]
7437
7438   *) Add a debugging option to PKCS#5 v2 key generation function: when
7439      you #define DEBUG_PKCS5V2 passwords, salts, iteration counts and
7440      derived keys are printed to stderr.
7441      [Steve Henson]
7442
7443   *) Copy the flags in ASN1_STRING_dup().
7444      [Roman E. Pavlov <pre@mo.msk.ru>]
7445
7446   *) The x509 application mishandled signing requests containing DSA
7447      keys when the signing key was also DSA and the parameters didn't match.
7448
7449      It was supposed to omit the parameters when they matched the signing key:
7450      the verifying software was then supposed to automatically use the CA's
7451      parameters if they were absent from the end user certificate.
7452
7453      Omitting parameters is no longer recommended. The test was also
7454      the wrong way round! This was probably due to unusual behaviour in
7455      EVP_cmp_parameters() which returns 1 if the parameters match. 
7456      This meant that parameters were omitted when they *didn't* match and
7457      the certificate was useless. Certificates signed with 'ca' didn't have
7458      this bug.
7459      [Steve Henson, reported by Doug Erickson <Doug.Erickson@Part.NET>]
7460
7461   *) Memory leak checking (-DCRYPTO_MDEBUG) had some problems.
7462      The interface is as follows:
7463      Applications can use
7464          CRYPTO_mem_ctrl(CRYPTO_MEM_CHECK_ON) aka MemCheck_start(),
7465          CRYPTO_mem_ctrl(CRYPTO_MEM_CHECK_OFF) aka MemCheck_stop();
7466      "off" is now the default.
7467      The library internally uses
7468          CRYPTO_mem_ctrl(CRYPTO_MEM_CHECK_DISABLE) aka MemCheck_off(),
7469          CRYPTO_mem_ctrl(CRYPTO_MEM_CHECK_ENABLE) aka MemCheck_on()
7470      to disable memory-checking temporarily.
7471
7472      Some inconsistent states that previously were possible (and were
7473      even the default) are now avoided.
7474
7475      -DCRYPTO_MDEBUG_TIME is new and additionally stores the current time
7476      with each memory chunk allocated; this is occasionally more helpful
7477      than just having a counter.
7478
7479      -DCRYPTO_MDEBUG_THREAD is also new and adds the thread ID.
7480
7481      -DCRYPTO_MDEBUG_ALL enables all of the above, plus any future
7482      extensions.
7483      [Bodo Moeller]
7484
7485   *) Introduce "mode" for SSL structures (with defaults in SSL_CTX),
7486      which largely parallels "options", but is for changing API behaviour,
7487      whereas "options" are about protocol behaviour.
7488      Initial "mode" flags are:
7489
7490      SSL_MODE_ENABLE_PARTIAL_WRITE   Allow SSL_write to report success when
7491                                      a single record has been written.
7492      SSL_MODE_ACCEPT_MOVING_WRITE_BUFFER  Don't insist that SSL_write
7493                                      retries use the same buffer location.
7494                                      (But all of the contents must be
7495                                      copied!)
7496      [Bodo Moeller]
7497
7498   *) Bugfix: SSL_set_options ignored its parameter, only SSL_CTX_set_options
7499      worked.
7500
7501   *) Fix problems with no-hmac etc.
7502      [Ulf Möller, pointed out by Brian Wellington <bwelling@tislabs.com>]
7503
7504   *) New functions RSA_get_default_method(), RSA_set_method() and
7505      RSA_get_method(). These allows replacement of RSA_METHODs without having
7506      to mess around with the internals of an RSA structure.
7507      [Steve Henson]
7508
7509   *) Fix memory leaks in DSA_do_sign and DSA_is_prime.
7510      Also really enable memory leak checks in openssl.c and in some
7511      test programs.
7512      [Chad C. Mulligan, Bodo Moeller]
7513
7514   *) Fix a bug in d2i_ASN1_INTEGER() and i2d_ASN1_INTEGER() which can mess
7515      up the length of negative integers. This has now been simplified to just
7516      store the length when it is first determined and use it later, rather
7517      than trying to keep track of where data is copied and updating it to
7518      point to the end.
7519      [Steve Henson, reported by Brien Wheeler
7520       <bwheeler@authentica-security.com>]
7521
7522   *) Add a new function PKCS7_signatureVerify. This allows the verification
7523      of a PKCS#7 signature but with the signing certificate passed to the
7524      function itself. This contrasts with PKCS7_dataVerify which assumes the
7525      certificate is present in the PKCS#7 structure. This isn't always the
7526      case: certificates can be omitted from a PKCS#7 structure and be
7527      distributed by "out of band" means (such as a certificate database).
7528      [Steve Henson]
7529
7530   *) Complete the PEM_* macros with DECLARE_PEM versions to replace the
7531      function prototypes in pem.h, also change util/mkdef.pl to add the
7532      necessary function names. 
7533      [Steve Henson]
7534
7535   *) mk1mf.pl (used by Windows builds) did not properly read the
7536      options set by Configure in the top level Makefile, and Configure
7537      was not even able to write more than one option correctly.
7538      Fixed, now "no-idea no-rc5 -DCRYPTO_MDEBUG" etc. works as intended.
7539      [Bodo Moeller]
7540
7541   *) New functions CONF_load_bio() and CONF_load_fp() to allow a config
7542      file to be loaded from a BIO or FILE pointer. The BIO version will
7543      for example allow memory BIOs to contain config info.
7544      [Steve Henson]
7545
7546   *) New function "CRYPTO_num_locks" that returns CRYPTO_NUM_LOCKS.
7547      Whoever hopes to achieve shared-library compatibility across versions
7548      must use this, not the compile-time macro.
7549      (Exercise 0.9.4: Which is the minimum library version required by
7550      such programs?)
7551      Note: All this applies only to multi-threaded programs, others don't
7552      need locks.
7553      [Bodo Moeller]
7554
7555   *) Add missing case to s3_clnt.c state machine -- one of the new SSL tests
7556      through a BIO pair triggered the default case, i.e.
7557      SSLerr(...,SSL_R_UNKNOWN_STATE).
7558      [Bodo Moeller]
7559
7560   *) New "BIO pair" concept (crypto/bio/bss_bio.c) so that applications
7561      can use the SSL library even if none of the specific BIOs is
7562      appropriate.
7563      [Bodo Moeller]
7564
7565   *) Fix a bug in i2d_DSAPublicKey() which meant it returned the wrong value
7566      for the encoded length.
7567      [Jeon KyoungHo <khjeon@sds.samsung.co.kr>]
7568
7569   *) Add initial documentation of the X509V3 functions.
7570      [Steve Henson]
7571
7572   *) Add a new pair of functions PEM_write_PKCS8PrivateKey() and 
7573      PEM_write_bio_PKCS8PrivateKey() that are equivalent to
7574      PEM_write_PrivateKey() and PEM_write_bio_PrivateKey() but use the more
7575      secure PKCS#8 private key format with a high iteration count.
7576      [Steve Henson]
7577
7578   *) Fix determination of Perl interpreter: A perl or perl5
7579      _directory_ in $PATH was also accepted as the interpreter.
7580      [Ralf S. Engelschall]
7581
7582   *) Fix demos/sign/sign.c: well there wasn't anything strictly speaking
7583      wrong with it but it was very old and did things like calling
7584      PEM_ASN1_read() directly and used MD5 for the hash not to mention some
7585      unusual formatting.
7586      [Steve Henson]
7587
7588   *) Fix demos/selfsign.c: it used obsolete and deleted functions, changed
7589      to use the new extension code.
7590      [Steve Henson]
7591
7592   *) Implement the PEM_read/PEM_write functions in crypto/pem/pem_all.c
7593      with macros. This should make it easier to change their form, add extra
7594      arguments etc. Fix a few PEM prototypes which didn't have cipher as a
7595      constant.
7596      [Steve Henson]
7597
7598   *) Add to configuration table a new entry that can specify an alternative
7599      name for unistd.h (for pre-POSIX systems); we need this for NeXTstep,
7600      according to Mark Crispin <MRC@Panda.COM>.
7601      [Bodo Moeller]
7602
7603 #if 0
7604   *) DES CBC did not update the IV. Weird.
7605      [Ben Laurie]
7606 #else
7607      des_cbc_encrypt does not update the IV, but des_ncbc_encrypt does.
7608      Changing the behaviour of the former might break existing programs --
7609      where IV updating is needed, des_ncbc_encrypt can be used.
7610 #endif
7611
7612   *) When bntest is run from "make test" it drives bc to check its
7613      calculations, as well as internally checking them. If an internal check
7614      fails, it needs to cause bc to give a non-zero result or make test carries
7615      on without noticing the failure. Fixed.
7616      [Ben Laurie]
7617
7618   *) DES library cleanups.
7619      [Ulf Möller]
7620
7621   *) Add support for PKCS#5 v2.0 PBE algorithms. This will permit PKCS#8 to be
7622      used with any cipher unlike PKCS#5 v1.5 which can at most handle 64 bit
7623      ciphers. NOTE: although the key derivation function has been verified
7624      against some published test vectors it has not been extensively tested
7625      yet. Added a -v2 "cipher" option to pkcs8 application to allow the use
7626      of v2.0.
7627      [Steve Henson]
7628
7629   *) Instead of "mkdir -p", which is not fully portable, use new
7630      Perl script "util/mkdir-p.pl".
7631      [Bodo Moeller]
7632
7633   *) Rewrite the way password based encryption (PBE) is handled. It used to
7634      assume that the ASN1 AlgorithmIdentifier parameter was a PBEParameter
7635      structure. This was true for the PKCS#5 v1.5 and PKCS#12 PBE algorithms
7636      but doesn't apply to PKCS#5 v2.0 where it can be something else. Now
7637      the 'parameter' field of the AlgorithmIdentifier is passed to the
7638      underlying key generation function so it must do its own ASN1 parsing.
7639      This has also changed the EVP_PBE_CipherInit() function which now has a
7640      'parameter' argument instead of literal salt and iteration count values
7641      and the function EVP_PBE_ALGOR_CipherInit() has been deleted.
7642      [Steve Henson]
7643
7644   *) Support for PKCS#5 v1.5 compatible password based encryption algorithms
7645      and PKCS#8 functionality. New 'pkcs8' application linked to openssl.
7646      Needed to change the PEM_STRING_EVP_PKEY value which was just "PRIVATE
7647      KEY" because this clashed with PKCS#8 unencrypted string. Since this
7648      value was just used as a "magic string" and not used directly its
7649      value doesn't matter.
7650      [Steve Henson]
7651
7652   *) Introduce some semblance of const correctness to BN. Shame C doesn't
7653      support mutable.
7654      [Ben Laurie]
7655
7656   *) "linux-sparc64" configuration (ultrapenguin).
7657      [Ray Miller <ray.miller@oucs.ox.ac.uk>]
7658      "linux-sparc" configuration.
7659      [Christian Forster <fo@hawo.stw.uni-erlangen.de>]
7660
7661   *) config now generates no-xxx options for missing ciphers.
7662      [Ulf Möller]
7663
7664   *) Support the EBCDIC character set (work in progress).
7665      File ebcdic.c not yet included because it has a different license.
7666      [Martin Kraemer <Martin.Kraemer@MchP.Siemens.De>]
7667
7668   *) Support BS2000/OSD-POSIX.
7669      [Martin Kraemer <Martin.Kraemer@MchP.Siemens.De>]
7670
7671   *) Make callbacks for key generation use void * instead of char *.
7672      [Ben Laurie]
7673
7674   *) Make S/MIME samples compile (not yet tested).
7675      [Ben Laurie]
7676
7677   *) Additional typesafe stacks.
7678      [Ben Laurie]
7679
7680   *) New configuration variants "bsdi-elf-gcc" (BSD/OS 4.x).
7681      [Bodo Moeller]
7682
7683
7684  Changes between 0.9.3 and 0.9.3a  [29 May 1999]
7685
7686   *) New configuration variant "sco5-gcc".
7687
7688   *) Updated some demos.
7689      [Sean O Riordain, Wade Scholine]
7690
7691   *) Add missing BIO_free at exit of pkcs12 application.
7692      [Wu Zhigang]
7693
7694   *) Fix memory leak in conf.c.
7695      [Steve Henson]
7696
7697   *) Updates for Win32 to assembler version of MD5.
7698      [Steve Henson]
7699
7700   *) Set #! path to perl in apps/der_chop to where we found it
7701      instead of using a fixed path.
7702      [Bodo Moeller]
7703
7704   *) SHA library changes for irix64-mips4-cc.
7705      [Andy Polyakov]
7706
7707   *) Improvements for VMS support.
7708      [Richard Levitte]
7709
7710
7711  Changes between 0.9.2b and 0.9.3  [24 May 1999]
7712
7713   *) Bignum library bug fix. IRIX 6 passes "make test" now!
7714      This also avoids the problems with SC4.2 and unpatched SC5.  
7715      [Andy Polyakov <appro@fy.chalmers.se>]
7716
7717   *) New functions sk_num, sk_value and sk_set to replace the previous macros.
7718      These are required because of the typesafe stack would otherwise break 
7719      existing code. If old code used a structure member which used to be STACK
7720      and is now STACK_OF (for example cert in a PKCS7_SIGNED structure) with
7721      sk_num or sk_value it would produce an error because the num, data members
7722      are not present in STACK_OF. Now it just produces a warning. sk_set
7723      replaces the old method of assigning a value to sk_value
7724      (e.g. sk_value(x, i) = y) which the library used in a few cases. Any code
7725      that does this will no longer work (and should use sk_set instead) but
7726      this could be regarded as a "questionable" behaviour anyway.
7727      [Steve Henson]
7728
7729   *) Fix most of the other PKCS#7 bugs. The "experimental" code can now
7730      correctly handle encrypted S/MIME data.
7731      [Steve Henson]
7732
7733   *) Change type of various DES function arguments from des_cblock
7734      (which means, in function argument declarations, pointer to char)
7735      to des_cblock * (meaning pointer to array with 8 char elements),
7736      which allows the compiler to do more typechecking; it was like
7737      that back in SSLeay, but with lots of ugly casts.
7738
7739      Introduce new type const_des_cblock.
7740      [Bodo Moeller]
7741
7742   *) Reorganise the PKCS#7 library and get rid of some of the more obvious
7743      problems: find RecipientInfo structure that matches recipient certificate
7744      and initialise the ASN1 structures properly based on passed cipher.
7745      [Steve Henson]
7746
7747   *) Belatedly make the BN tests actually check the results.
7748      [Ben Laurie]
7749
7750   *) Fix the encoding and decoding of negative ASN1 INTEGERS and conversion
7751      to and from BNs: it was completely broken. New compilation option
7752      NEG_PUBKEY_BUG to allow for some broken certificates that encode public
7753      key elements as negative integers.
7754      [Steve Henson]
7755
7756   *) Reorganize and speed up MD5.
7757      [Andy Polyakov <appro@fy.chalmers.se>]
7758
7759   *) VMS support.
7760      [Richard Levitte <richard@levitte.org>]
7761
7762   *) New option -out to asn1parse to allow the parsed structure to be
7763      output to a file. This is most useful when combined with the -strparse
7764      option to examine the output of things like OCTET STRINGS.
7765      [Steve Henson]
7766
7767   *) Make SSL library a little more fool-proof by not requiring any longer
7768      that SSL_set_{accept,connect}_state be called before
7769      SSL_{accept,connect} may be used (SSL_set_..._state is omitted
7770      in many applications because usually everything *appeared* to work as
7771      intended anyway -- now it really works as intended).
7772      [Bodo Moeller]
7773
7774   *) Move openssl.cnf out of lib/.
7775      [Ulf Möller]
7776
7777   *) Fix various things to let OpenSSL even pass ``egcc -pipe -O2 -Wall
7778      -Wshadow -Wpointer-arith -Wcast-align -Wmissing-prototypes
7779      -Wmissing-declarations -Wnested-externs -Winline'' with EGCS 1.1.2+ 
7780      [Ralf S. Engelschall]
7781
7782   *) Various fixes to the EVP and PKCS#7 code. It may now be able to
7783      handle PKCS#7 enveloped data properly.
7784      [Sebastian Akerman <sak@parallelconsulting.com>, modified by Steve]
7785
7786   *) Create a duplicate of the SSL_CTX's CERT in SSL_new instead of
7787      copying pointers.  The cert_st handling is changed by this in
7788      various ways (and thus what used to be known as ctx->default_cert
7789      is now called ctx->cert, since we don't resort to s->ctx->[default_]cert
7790      any longer when s->cert does not give us what we need).
7791      ssl_cert_instantiate becomes obsolete by this change.
7792      As soon as we've got the new code right (possibly it already is?),
7793      we have solved a couple of bugs of the earlier code where s->cert
7794      was used as if it could not have been shared with other SSL structures.
7795
7796      Note that using the SSL API in certain dirty ways now will result
7797      in different behaviour than observed with earlier library versions:
7798      Changing settings for an SSL_CTX *ctx after having done s = SSL_new(ctx)
7799      does not influence s as it used to.
7800      
7801      In order to clean up things more thoroughly, inside SSL_SESSION
7802      we don't use CERT any longer, but a new structure SESS_CERT
7803      that holds per-session data (if available); currently, this is
7804      the peer's certificate chain and, for clients, the server's certificate
7805      and temporary key.  CERT holds only those values that can have
7806      meaningful defaults in an SSL_CTX.
7807      [Bodo Moeller]
7808
7809   *) New function X509V3_EXT_i2d() to create an X509_EXTENSION structure
7810      from the internal representation. Various PKCS#7 fixes: remove some
7811      evil casts and set the enc_dig_alg field properly based on the signing
7812      key type.
7813      [Steve Henson]
7814
7815   *) Allow PKCS#12 password to be set from the command line or the
7816      environment. Let 'ca' get its config file name from the environment
7817      variables "OPENSSL_CONF" or "SSLEAY_CONF" (for consistency with 'req'
7818      and 'x509').
7819      [Steve Henson]
7820
7821   *) Allow certificate policies extension to use an IA5STRING for the
7822      organization field. This is contrary to the PKIX definition but
7823      VeriSign uses it and IE5 only recognises this form. Document 'x509'
7824      extension option.
7825      [Steve Henson]
7826
7827   *) Add PEDANTIC compiler flag to allow compilation with gcc -pedantic,
7828      without disallowing inline assembler and the like for non-pedantic builds.
7829      [Ben Laurie]
7830
7831   *) Support Borland C++ builder.
7832      [Janez Jere <jj@void.si>, modified by Ulf Möller]
7833
7834   *) Support Mingw32.
7835      [Ulf Möller]
7836
7837   *) SHA-1 cleanups and performance enhancements.
7838      [Andy Polyakov <appro@fy.chalmers.se>]
7839
7840   *) Sparc v8plus assembler for the bignum library.
7841      [Andy Polyakov <appro@fy.chalmers.se>]
7842
7843   *) Accept any -xxx and +xxx compiler options in Configure.
7844      [Ulf Möller]
7845
7846   *) Update HPUX configuration.
7847      [Anonymous]
7848   
7849   *) Add missing sk_<type>_unshift() function to safestack.h
7850      [Ralf S. Engelschall]
7851
7852   *) New function SSL_CTX_use_certificate_chain_file that sets the
7853      "extra_cert"s in addition to the certificate.  (This makes sense
7854      only for "PEM" format files, as chains as a whole are not
7855      DER-encoded.)
7856      [Bodo Moeller]
7857
7858   *) Support verify_depth from the SSL API.
7859      x509_vfy.c had what can be considered an off-by-one-error:
7860      Its depth (which was not part of the external interface)
7861      was actually counting the number of certificates in a chain;
7862      now it really counts the depth.
7863      [Bodo Moeller]
7864
7865   *) Bugfix in crypto/x509/x509_cmp.c: The SSLerr macro was used
7866      instead of X509err, which often resulted in confusing error
7867      messages since the error codes are not globally unique
7868      (e.g. an alleged error in ssl3_accept when a certificate
7869      didn't match the private key).
7870
7871   *) New function SSL_CTX_set_session_id_context that allows to set a default
7872      value (so that you don't need SSL_set_session_id_context for each
7873      connection using the SSL_CTX).
7874      [Bodo Moeller]
7875
7876   *) OAEP decoding bug fix.
7877      [Ulf Möller]
7878
7879   *) Support INSTALL_PREFIX for package builders, as proposed by
7880      David Harris.
7881      [Bodo Moeller]
7882
7883   *) New Configure options "threads" and "no-threads".  For systems
7884      where the proper compiler options are known (currently Solaris
7885      and Linux), "threads" is the default.
7886      [Bodo Moeller]
7887
7888   *) New script util/mklink.pl as a faster substitute for util/mklink.sh.
7889      [Bodo Moeller]
7890
7891   *) Install various scripts to $(OPENSSLDIR)/misc, not to
7892      $(INSTALLTOP)/bin -- they shouldn't clutter directories
7893      such as /usr/local/bin.
7894      [Bodo Moeller]
7895
7896   *) "make linux-shared" to build shared libraries.
7897      [Niels Poppe <niels@netbox.org>]
7898
7899   *) New Configure option no-<cipher> (rsa, idea, rc5, ...).
7900      [Ulf Möller]
7901
7902   *) Add the PKCS#12 API documentation to openssl.txt. Preliminary support for
7903      extension adding in x509 utility.
7904      [Steve Henson]
7905
7906   *) Remove NOPROTO sections and error code comments.
7907      [Ulf Möller]
7908
7909   *) Partial rewrite of the DEF file generator to now parse the ANSI
7910      prototypes.
7911      [Steve Henson]
7912
7913   *) New Configure options --prefix=DIR and --openssldir=DIR.
7914      [Ulf Möller]
7915
7916   *) Complete rewrite of the error code script(s). It is all now handled
7917      by one script at the top level which handles error code gathering,
7918      header rewriting and C source file generation. It should be much better
7919      than the old method: it now uses a modified version of Ulf's parser to
7920      read the ANSI prototypes in all header files (thus the old K&R definitions
7921      aren't needed for error creation any more) and do a better job of
7922      translating function codes into names. The old 'ASN1 error code imbedded
7923      in a comment' is no longer necessary and it doesn't use .err files which
7924      have now been deleted. Also the error code call doesn't have to appear all
7925      on one line (which resulted in some large lines...).
7926      [Steve Henson]
7927
7928   *) Change #include filenames from <foo.h> to <openssl/foo.h>.
7929      [Bodo Moeller]
7930
7931   *) Change behaviour of ssl2_read when facing length-0 packets: Don't return
7932      0 (which usually indicates a closed connection), but continue reading.
7933      [Bodo Moeller]
7934
7935   *) Fix some race conditions.
7936      [Bodo Moeller]
7937
7938   *) Add support for CRL distribution points extension. Add Certificate
7939      Policies and CRL distribution points documentation.
7940      [Steve Henson]
7941
7942   *) Move the autogenerated header file parts to crypto/opensslconf.h.
7943      [Ulf Möller]
7944
7945   *) Fix new 56-bit DES export ciphersuites: they were using 7 bytes instead of
7946      8 of keying material. Merlin has also confirmed interop with this fix
7947      between OpenSSL and Baltimore C/SSL 2.0 and J/SSL 2.0.
7948      [Merlin Hughes <merlin@baltimore.ie>]
7949
7950   *) Fix lots of warnings.
7951      [Richard Levitte <levitte@stacken.kth.se>]
7952  
7953   *) In add_cert_dir() in crypto/x509/by_dir.c, break out of the loop if
7954      the directory spec didn't end with a LIST_SEPARATOR_CHAR.
7955      [Richard Levitte <levitte@stacken.kth.se>]
7956  
7957   *) Fix problems with sizeof(long) == 8.
7958      [Andy Polyakov <appro@fy.chalmers.se>]
7959
7960   *) Change functions to ANSI C.
7961      [Ulf Möller]
7962
7963   *) Fix typos in error codes.
7964      [Martin Kraemer <Martin.Kraemer@MchP.Siemens.De>, Ulf Möller]
7965
7966   *) Remove defunct assembler files from Configure.
7967      [Ulf Möller]
7968
7969   *) SPARC v8 assembler BIGNUM implementation.
7970      [Andy Polyakov <appro@fy.chalmers.se>]
7971
7972   *) Support for Certificate Policies extension: both print and set.
7973      Various additions to support the r2i method this uses.
7974      [Steve Henson]
7975
7976   *) A lot of constification, and fix a bug in X509_NAME_oneline() that could
7977      return a const string when you are expecting an allocated buffer.
7978      [Ben Laurie]
7979
7980   *) Add support for ASN1 types UTF8String and VISIBLESTRING, also the CHOICE
7981      types DirectoryString and DisplayText.
7982      [Steve Henson]
7983
7984   *) Add code to allow r2i extensions to access the configuration database,
7985      add an LHASH database driver and add several ctx helper functions.
7986      [Steve Henson]
7987
7988   *) Fix an evil bug in bn_expand2() which caused various BN functions to
7989      fail when they extended the size of a BIGNUM.
7990      [Steve Henson]
7991
7992   *) Various utility functions to handle SXNet extension. Modify mkdef.pl to
7993      support typesafe stack.
7994      [Steve Henson]
7995
7996   *) Fix typo in SSL_[gs]et_options().
7997      [Nils Frostberg <nils@medcom.se>]
7998
7999   *) Delete various functions and files that belonged to the (now obsolete)
8000      old X509V3 handling code.
8001      [Steve Henson]
8002
8003   *) New Configure option "rsaref".
8004      [Ulf Möller]
8005
8006   *) Don't auto-generate pem.h.
8007      [Bodo Moeller]
8008
8009   *) Introduce type-safe ASN.1 SETs.
8010      [Ben Laurie]
8011
8012   *) Convert various additional casted stacks to type-safe STACK_OF() variants.
8013      [Ben Laurie, Ralf S. Engelschall, Steve Henson]
8014
8015   *) Introduce type-safe STACKs. This will almost certainly break lots of code
8016      that links with OpenSSL (well at least cause lots of warnings), but fear
8017      not: the conversion is trivial, and it eliminates loads of evil casts. A
8018      few STACKed things have been converted already. Feel free to convert more.
8019      In the fullness of time, I'll do away with the STACK type altogether.
8020      [Ben Laurie]
8021
8022   *) Add `openssl ca -revoke <certfile>' facility which revokes a certificate
8023      specified in <certfile> by updating the entry in the index.txt file.
8024      This way one no longer has to edit the index.txt file manually for
8025      revoking a certificate. The -revoke option does the gory details now.
8026      [Massimiliano Pala <madwolf@openca.org>, Ralf S. Engelschall]
8027
8028   *) Fix `openssl crl -noout -text' combination where `-noout' killed the
8029      `-text' option at all and this way the `-noout -text' combination was
8030      inconsistent in `openssl crl' with the friends in `openssl x509|rsa|dsa'.
8031      [Ralf S. Engelschall]
8032
8033   *) Make sure a corresponding plain text error message exists for the
8034      X509_V_ERR_CERT_REVOKED/23 error number which can occur when a
8035      verify callback function determined that a certificate was revoked.
8036      [Ralf S. Engelschall]
8037
8038   *) Bugfix: In test/testenc, don't test "openssl <cipher>" for
8039      ciphers that were excluded, e.g. by -DNO_IDEA.  Also, test
8040      all available cipers including rc5, which was forgotten until now.
8041      In order to let the testing shell script know which algorithms
8042      are available, a new (up to now undocumented) command
8043      "openssl list-cipher-commands" is used.
8044      [Bodo Moeller]
8045
8046   *) Bugfix: s_client occasionally would sleep in select() when
8047      it should have checked SSL_pending() first.
8048      [Bodo Moeller]
8049
8050   *) New functions DSA_do_sign and DSA_do_verify to provide access to
8051      the raw DSA values prior to ASN.1 encoding.
8052      [Ulf Möller]
8053
8054   *) Tweaks to Configure
8055      [Niels Poppe <niels@netbox.org>]
8056
8057   *) Add support for PKCS#5 v2.0 ASN1 PBES2 structures. No other support,
8058      yet...
8059      [Steve Henson]
8060
8061   *) New variables $(RANLIB) and $(PERL) in the Makefiles.
8062      [Ulf Möller]
8063
8064   *) New config option to avoid instructions that are illegal on the 80386.
8065      The default code is faster, but requires at least a 486.
8066      [Ulf Möller]
8067   
8068   *) Got rid of old SSL2_CLIENT_VERSION (inconsistently used) and
8069      SSL2_SERVER_VERSION (not used at all) macros, which are now the
8070      same as SSL2_VERSION anyway.
8071      [Bodo Moeller]
8072
8073   *) New "-showcerts" option for s_client.
8074      [Bodo Moeller]
8075
8076   *) Still more PKCS#12 integration. Add pkcs12 application to openssl
8077      application. Various cleanups and fixes.
8078      [Steve Henson]
8079
8080   *) More PKCS#12 integration. Add new pkcs12 directory with Makefile.ssl and
8081      modify error routines to work internally. Add error codes and PBE init
8082      to library startup routines.
8083      [Steve Henson]
8084
8085   *) Further PKCS#12 integration. Added password based encryption, PKCS#8 and
8086      packing functions to asn1 and evp. Changed function names and error
8087      codes along the way.
8088      [Steve Henson]
8089
8090   *) PKCS12 integration: and so it begins... First of several patches to
8091      slowly integrate PKCS#12 functionality into OpenSSL. Add PKCS#12
8092      objects to objects.h
8093      [Steve Henson]
8094
8095   *) Add a new 'indent' option to some X509V3 extension code. Initial ASN1
8096      and display support for Thawte strong extranet extension.
8097      [Steve Henson]
8098
8099   *) Add LinuxPPC support.
8100      [Jeff Dubrule <igor@pobox.org>]
8101
8102   *) Get rid of redundant BN file bn_mulw.c, and rename bn_div64 to
8103      bn_div_words in alpha.s.
8104      [Hannes Reinecke <H.Reinecke@hw.ac.uk> and Ben Laurie]
8105
8106   *) Make sure the RSA OAEP test is skipped under -DRSAref because
8107      OAEP isn't supported when OpenSSL is built with RSAref.
8108      [Ulf Moeller <ulf@fitug.de>]
8109
8110   *) Move definitions of IS_SET/IS_SEQUENCE inside crypto/asn1/asn1.h 
8111      so they no longer are missing under -DNOPROTO. 
8112      [Soren S. Jorvang <soren@t.dk>]
8113
8114
8115  Changes between 0.9.1c and 0.9.2b  [22 Mar 1999]
8116
8117   *) Make SSL_get_peer_cert_chain() work in servers. Unfortunately, it still
8118      doesn't work when the session is reused. Coming soon!
8119      [Ben Laurie]
8120
8121   *) Fix a security hole, that allows sessions to be reused in the wrong
8122      context thus bypassing client cert protection! All software that uses
8123      client certs and session caches in multiple contexts NEEDS PATCHING to
8124      allow session reuse! A fuller solution is in the works.
8125      [Ben Laurie, problem pointed out by Holger Reif, Bodo Moeller (and ???)]
8126
8127   *) Some more source tree cleanups (removed obsolete files
8128      crypto/bf/asm/bf586.pl, test/test.txt and crypto/sha/asm/f.s; changed
8129      permission on "config" script to be executable) and a fix for the INSTALL
8130      document.
8131      [Ulf Moeller <ulf@fitug.de>]
8132
8133   *) Remove some legacy and erroneous uses of malloc, free instead of
8134      Malloc, Free.
8135      [Lennart Bang <lob@netstream.se>, with minor changes by Steve]
8136
8137   *) Make rsa_oaep_test return non-zero on error.
8138      [Ulf Moeller <ulf@fitug.de>]
8139
8140   *) Add support for native Solaris shared libraries. Configure
8141      solaris-sparc-sc4-pic, make, then run shlib/solaris-sc4.sh. It'd be nice
8142      if someone would make that last step automatic.
8143      [Matthias Loepfe <Matthias.Loepfe@AdNovum.CH>]
8144
8145   *) ctx_size was not built with the right compiler during "make links". Fixed.
8146      [Ben Laurie]
8147
8148   *) Change the meaning of 'ALL' in the cipher list. It now means "everything
8149      except NULL ciphers". This means the default cipher list will no longer
8150      enable NULL ciphers. They need to be specifically enabled e.g. with
8151      the string "DEFAULT:eNULL".
8152      [Steve Henson]
8153
8154   *) Fix to RSA private encryption routines: if p < q then it would
8155      occasionally produce an invalid result. This will only happen with
8156      externally generated keys because OpenSSL (and SSLeay) ensure p > q.
8157      [Steve Henson]
8158
8159   *) Be less restrictive and allow also `perl util/perlpath.pl
8160      /path/to/bin/perl' in addition to `perl util/perlpath.pl /path/to/bin',
8161      because this way one can also use an interpreter named `perl5' (which is
8162      usually the name of Perl 5.xxx on platforms where an Perl 4.x is still
8163      installed as `perl').
8164      [Matthias Loepfe <Matthias.Loepfe@adnovum.ch>]
8165
8166   *) Let util/clean-depend.pl work also with older Perl 5.00x versions.
8167      [Matthias Loepfe <Matthias.Loepfe@adnovum.ch>]
8168
8169   *) Fix Makefile.org so CC,CFLAG etc are passed to 'make links' add
8170      advapi32.lib to Win32 build and change the pem test comparision
8171      to fc.exe (thanks to Ulrich Kroener <kroneru@yahoo.com> for the
8172      suggestion). Fix misplaced ASNI prototypes and declarations in evp.h
8173      and crypto/des/ede_cbcm_enc.c.
8174      [Steve Henson]
8175
8176   *) DES quad checksum was broken on big-endian architectures. Fixed.
8177      [Ben Laurie]
8178
8179   *) Comment out two functions in bio.h that aren't implemented. Fix up the
8180      Win32 test batch file so it (might) work again. The Win32 test batch file
8181      is horrible: I feel ill....
8182      [Steve Henson]
8183
8184   *) Move various #ifdefs around so NO_SYSLOG, NO_DIRENT etc are now selected
8185      in e_os.h. Audit of header files to check ANSI and non ANSI
8186      sections: 10 functions were absent from non ANSI section and not exported
8187      from Windows DLLs. Fixed up libeay.num for new functions.
8188      [Steve Henson]
8189
8190   *) Make `openssl version' output lines consistent.
8191      [Ralf S. Engelschall]
8192
8193   *) Fix Win32 symbol export lists for BIO functions: Added
8194      BIO_get_ex_new_index, BIO_get_ex_num, BIO_get_ex_data and BIO_set_ex_data
8195      to ms/libeay{16,32}.def.
8196      [Ralf S. Engelschall]
8197
8198   *) Second round of fixing the OpenSSL perl/ stuff. It now at least compiled
8199      fine under Unix and passes some trivial tests I've now added. But the
8200      whole stuff is horribly incomplete, so a README.1ST with a disclaimer was
8201      added to make sure no one expects that this stuff really works in the
8202      OpenSSL 0.9.2 release.  Additionally I've started to clean the XS sources
8203      up and fixed a few little bugs and inconsistencies in OpenSSL.{pm,xs} and
8204      openssl_bio.xs.
8205      [Ralf S. Engelschall]
8206
8207   *) Fix the generation of two part addresses in perl.
8208      [Kenji Miyake <kenji@miyake.org>, integrated by Ben Laurie]
8209
8210   *) Add config entry for Linux on MIPS.
8211      [John Tobey <jtobey@channel1.com>]
8212
8213   *) Make links whenever Configure is run, unless we are on Windoze.
8214      [Ben Laurie]
8215
8216   *) Permit extensions to be added to CRLs using crl_section in openssl.cnf.
8217      Currently only issuerAltName and AuthorityKeyIdentifier make any sense
8218      in CRLs.
8219      [Steve Henson]
8220
8221   *) Add a useful kludge to allow package maintainers to specify compiler and
8222      other platforms details on the command line without having to patch the
8223      Configure script everytime: One now can use ``perl Configure
8224      <id>:<details>'', i.e. platform ids are allowed to have details appended
8225      to them (seperated by colons). This is treated as there would be a static
8226      pre-configured entry in Configure's %table under key <id> with value
8227      <details> and ``perl Configure <id>'' is called.  So, when you want to
8228      perform a quick test-compile under FreeBSD 3.1 with pgcc and without
8229      assembler stuff you can use ``perl Configure "FreeBSD-elf:pgcc:-O6:::"''
8230      now, which overrides the FreeBSD-elf entry on-the-fly.
8231      [Ralf S. Engelschall]
8232
8233   *) Disable new TLS1 ciphersuites by default: they aren't official yet.
8234      [Ben Laurie]
8235
8236   *) Allow DSO flags like -fpic, -fPIC, -KPIC etc. to be specified
8237      on the `perl Configure ...' command line. This way one can compile
8238      OpenSSL libraries with Position Independent Code (PIC) which is needed
8239      for linking it into DSOs.
8240      [Ralf S. Engelschall]
8241
8242   *) Remarkably, export ciphers were totally broken and no-one had noticed!
8243      Fixed.
8244      [Ben Laurie]
8245
8246   *) Cleaned up the LICENSE document: The official contact for any license
8247      questions now is the OpenSSL core team under openssl-core@openssl.org.
8248      And add a paragraph about the dual-license situation to make sure people
8249      recognize that _BOTH_ the OpenSSL license _AND_ the SSLeay license apply
8250      to the OpenSSL toolkit.
8251      [Ralf S. Engelschall]
8252
8253   *) General source tree makefile cleanups: Made `making xxx in yyy...'
8254      display consistent in the source tree and replaced `/bin/rm' by `rm'.
8255      Additonally cleaned up the `make links' target: Remove unnecessary
8256      semicolons, subsequent redundant removes, inline point.sh into mklink.sh
8257      to speed processing and no longer clutter the display with confusing
8258      stuff. Instead only the actually done links are displayed.
8259      [Ralf S. Engelschall]
8260
8261   *) Permit null encryption ciphersuites, used for authentication only. It used
8262      to be necessary to set the preprocessor define SSL_ALLOW_ENULL to do this.
8263      It is now necessary to set SSL_FORBID_ENULL to prevent the use of null
8264      encryption.
8265      [Ben Laurie]
8266
8267   *) Add a bunch of fixes to the PKCS#7 stuff. It used to sometimes reorder
8268      signed attributes when verifying signatures (this would break them), 
8269      the detached data encoding was wrong and public keys obtained using
8270      X509_get_pubkey() weren't freed.
8271      [Steve Henson]
8272
8273   *) Add text documentation for the BUFFER functions. Also added a work around
8274      to a Win95 console bug. This was triggered by the password read stuff: the
8275      last character typed gets carried over to the next fread(). If you were 
8276      generating a new cert request using 'req' for example then the last
8277      character of the passphrase would be CR which would then enter the first
8278      field as blank.
8279      [Steve Henson]
8280
8281   *) Added the new `Includes OpenSSL Cryptography Software' button as
8282      doc/openssl_button.{gif,html} which is similar in style to the old SSLeay
8283      button and can be used by applications based on OpenSSL to show the
8284      relationship to the OpenSSL project.  
8285      [Ralf S. Engelschall]
8286
8287   *) Remove confusing variables in function signatures in files
8288      ssl/ssl_lib.c and ssl/ssl.h.
8289      [Lennart Bong <lob@kulthea.stacken.kth.se>]
8290
8291   *) Don't install bss_file.c under PREFIX/include/
8292      [Lennart Bong <lob@kulthea.stacken.kth.se>]
8293
8294   *) Get the Win32 compile working again. Modify mkdef.pl so it can handle
8295      functions that return function pointers and has support for NT specific
8296      stuff. Fix mk1mf.pl and VC-32.pl to support NT differences also. Various
8297      #ifdef WIN32 and WINNTs sprinkled about the place and some changes from
8298      unsigned to signed types: this was killing the Win32 compile.
8299      [Steve Henson]
8300
8301   *) Add new certificate file to stack functions,
8302      SSL_add_dir_cert_subjects_to_stack() and
8303      SSL_add_file_cert_subjects_to_stack().  These largely supplant
8304      SSL_load_client_CA_file(), and can be used to add multiple certs easily
8305      to a stack (usually this is then handed to SSL_CTX_set_client_CA_list()).
8306      This means that Apache-SSL and similar packages don't have to mess around
8307      to add as many CAs as they want to the preferred list.
8308      [Ben Laurie]
8309
8310   *) Experiment with doxygen documentation. Currently only partially applied to
8311      ssl/ssl_lib.c.
8312      See http://www.stack.nl/~dimitri/doxygen/index.html, and run doxygen with
8313      openssl.doxy as the configuration file.
8314      [Ben Laurie]
8315   
8316   *) Get rid of remaining C++-style comments which strict C compilers hate.
8317      [Ralf S. Engelschall, pointed out by Carlos Amengual]
8318
8319   *) Changed BN_RECURSION in bn_mont.c to BN_RECURSION_MONT so it is not
8320      compiled in by default: it has problems with large keys.
8321      [Steve Henson]
8322
8323   *) Add a bunch of SSL_xxx() functions for configuring the temporary RSA and
8324      DH private keys and/or callback functions which directly correspond to
8325      their SSL_CTX_xxx() counterparts but work on a per-connection basis. This
8326      is needed for applications which have to configure certificates on a
8327      per-connection basis (e.g. Apache+mod_ssl) instead of a per-context basis
8328      (e.g. s_server). 
8329         For the RSA certificate situation is makes no difference, but
8330      for the DSA certificate situation this fixes the "no shared cipher"
8331      problem where the OpenSSL cipher selection procedure failed because the
8332      temporary keys were not overtaken from the context and the API provided
8333      no way to reconfigure them. 
8334         The new functions now let applications reconfigure the stuff and they
8335      are in detail: SSL_need_tmp_RSA, SSL_set_tmp_rsa, SSL_set_tmp_dh,
8336      SSL_set_tmp_rsa_callback and SSL_set_tmp_dh_callback.  Additionally a new
8337      non-public-API function ssl_cert_instantiate() is used as a helper
8338      function and also to reduce code redundancy inside ssl_rsa.c.
8339      [Ralf S. Engelschall]
8340
8341   *) Move s_server -dcert and -dkey options out of the undocumented feature
8342      area because they are useful for the DSA situation and should be
8343      recognized by the users.
8344      [Ralf S. Engelschall]
8345
8346   *) Fix the cipher decision scheme for export ciphers: the export bits are
8347      *not* within SSL_MKEY_MASK or SSL_AUTH_MASK, they are within
8348      SSL_EXP_MASK.  So, the original variable has to be used instead of the
8349      already masked variable.
8350      [Richard Levitte <levitte@stacken.kth.se>]
8351
8352   *) Fix 'port' variable from `int' to `unsigned int' in crypto/bio/b_sock.c
8353      [Richard Levitte <levitte@stacken.kth.se>]
8354
8355   *) Change type of another md_len variable in pk7_doit.c:PKCS7_dataFinal()
8356      from `int' to `unsigned int' because it's a length and initialized by
8357      EVP_DigestFinal() which expects an `unsigned int *'.
8358      [Richard Levitte <levitte@stacken.kth.se>]
8359
8360   *) Don't hard-code path to Perl interpreter on shebang line of Configure
8361      script. Instead use the usual Shell->Perl transition trick.
8362      [Ralf S. Engelschall]
8363
8364   *) Make `openssl x509 -noout -modulus' functional also for DSA certificates
8365      (in addition to RSA certificates) to match the behaviour of `openssl dsa
8366      -noout -modulus' as it's already the case for `openssl rsa -noout
8367      -modulus'.  For RSA the -modulus is the real "modulus" while for DSA
8368      currently the public key is printed (a decision which was already done by
8369      `openssl dsa -modulus' in the past) which serves a similar purpose.
8370      Additionally the NO_RSA no longer completely removes the whole -modulus
8371      option; it now only avoids using the RSA stuff. Same applies to NO_DSA
8372      now, too.
8373      [Ralf S.  Engelschall]
8374
8375   *) Add Arne Ansper's reliable BIO - this is an encrypted, block-digested
8376      BIO. See the source (crypto/evp/bio_ok.c) for more info.
8377      [Arne Ansper <arne@ats.cyber.ee>]
8378
8379   *) Dump the old yucky req code that tried (and failed) to allow raw OIDs
8380      to be added. Now both 'req' and 'ca' can use new objects defined in the
8381      config file.
8382      [Steve Henson]
8383
8384   *) Add cool BIO that does syslog (or event log on NT).
8385      [Arne Ansper <arne@ats.cyber.ee>, integrated by Ben Laurie]
8386
8387   *) Add support for new TLS ciphersuites, TLS_RSA_EXPORT56_WITH_RC4_56_MD5,
8388      TLS_RSA_EXPORT56_WITH_RC2_CBC_56_MD5 and
8389      TLS_RSA_EXPORT56_WITH_DES_CBC_SHA, as specified in "56-bit Export Cipher
8390      Suites For TLS", draft-ietf-tls-56-bit-ciphersuites-00.txt.
8391      [Ben Laurie]
8392
8393   *) Add preliminary config info for new extension code.
8394      [Steve Henson]
8395
8396   *) Make RSA_NO_PADDING really use no padding.
8397      [Ulf Moeller <ulf@fitug.de>]
8398
8399   *) Generate errors when private/public key check is done.
8400      [Ben Laurie]
8401
8402   *) Overhaul for 'crl' utility. New function X509_CRL_print. Partial support
8403      for some CRL extensions and new objects added.
8404      [Steve Henson]
8405
8406   *) Really fix the ASN1 IMPLICIT bug this time... Partial support for private
8407      key usage extension and fuller support for authority key id.
8408      [Steve Henson]
8409
8410   *) Add OAEP encryption for the OpenSSL crypto library. OAEP is the improved
8411      padding method for RSA, which is recommended for new applications in PKCS
8412      #1 v2.0 (RFC 2437, October 1998).
8413      OAEP (Optimal Asymmetric Encryption Padding) has better theoretical
8414      foundations than the ad-hoc padding used in PKCS #1 v1.5. It is secure
8415      against Bleichbacher's attack on RSA.
8416      [Ulf Moeller <ulf@fitug.de>, reformatted, corrected and integrated by
8417       Ben Laurie]
8418
8419   *) Updates to the new SSL compression code
8420      [Eric A. Young, (from changes to C2Net SSLeay, integrated by Mark Cox)]
8421
8422   *) Fix so that the version number in the master secret, when passed
8423      via RSA, checks that if TLS was proposed, but we roll back to SSLv3
8424      (because the server will not accept higher), that the version number
8425      is 0x03,0x01, not 0x03,0x00
8426      [Eric A. Young, (from changes to C2Net SSLeay, integrated by Mark Cox)]
8427
8428   *) Run extensive memory leak checks on SSL apps. Fixed *lots* of memory
8429      leaks in ssl/ relating to new X509_get_pubkey() behaviour. Also fixes
8430      in apps/ and an unrelated leak in crypto/dsa/dsa_vrf.c
8431      [Steve Henson]
8432
8433   *) Support for RAW extensions where an arbitrary extension can be
8434      created by including its DER encoding. See apps/openssl.cnf for
8435      an example.
8436      [Steve Henson]
8437
8438   *) Make sure latest Perl versions don't interpret some generated C array
8439      code as Perl array code in the crypto/err/err_genc.pl script.
8440      [Lars Weber <3weber@informatik.uni-hamburg.de>]
8441
8442   *) Modify ms/do_ms.bat to not generate assembly language makefiles since
8443      not many people have the assembler. Various Win32 compilation fixes and
8444      update to the INSTALL.W32 file with (hopefully) more accurate Win32
8445      build instructions.
8446      [Steve Henson]
8447
8448   *) Modify configure script 'Configure' to automatically create crypto/date.h
8449      file under Win32 and also build pem.h from pem.org. New script
8450      util/mkfiles.pl to create the MINFO file on environments that can't do a
8451      'make files': perl util/mkfiles.pl >MINFO should work.
8452      [Steve Henson]
8453
8454   *) Major rework of DES function declarations, in the pursuit of correctness
8455      and purity. As a result, many evil casts evaporated, and some weirdness,
8456      too. You may find this causes warnings in your code. Zapping your evil
8457      casts will probably fix them. Mostly.
8458      [Ben Laurie]
8459
8460   *) Fix for a typo in asn1.h. Bug fix to object creation script
8461      obj_dat.pl. It considered a zero in an object definition to mean
8462      "end of object": none of the objects in objects.h have any zeros
8463      so it wasn't spotted.
8464      [Steve Henson, reported by Erwann ABALEA <eabalea@certplus.com>]
8465
8466   *) Add support for Triple DES Cipher Block Chaining with Output Feedback
8467      Masking (CBCM). In the absence of test vectors, the best I have been able
8468      to do is check that the decrypt undoes the encrypt, so far. Send me test
8469      vectors if you have them.
8470      [Ben Laurie]
8471
8472   *) Correct calculation of key length for export ciphers (too much space was
8473      allocated for null ciphers). This has not been tested!
8474      [Ben Laurie]
8475
8476   *) Modifications to the mkdef.pl for Win32 DEF file creation. The usage
8477      message is now correct (it understands "crypto" and "ssl" on its
8478      command line). There is also now an "update" option. This will update
8479      the util/ssleay.num and util/libeay.num files with any new functions.
8480      If you do a: 
8481      perl util/mkdef.pl crypto ssl update
8482      it will update them.
8483      [Steve Henson]
8484
8485   *) Overhauled the Perl interface (perl/*):
8486      - ported BN stuff to OpenSSL's different BN library
8487      - made the perl/ source tree CVS-aware
8488      - renamed the package from SSLeay to OpenSSL (the files still contain
8489        their history because I've copied them in the repository)
8490      - removed obsolete files (the test scripts will be replaced
8491        by better Test::Harness variants in the future)
8492      [Ralf S. Engelschall]
8493
8494   *) First cut for a very conservative source tree cleanup:
8495      1. merge various obsolete readme texts into doc/ssleay.txt
8496      where we collect the old documents and readme texts.
8497      2. remove the first part of files where I'm already sure that we no
8498      longer need them because of three reasons: either they are just temporary
8499      files which were left by Eric or they are preserved original files where
8500      I've verified that the diff is also available in the CVS via "cvs diff
8501      -rSSLeay_0_8_1b" or they were renamed (as it was definitely the case for
8502      the crypto/md/ stuff).
8503      [Ralf S. Engelschall]
8504
8505   *) More extension code. Incomplete support for subject and issuer alt
8506      name, issuer and authority key id. Change the i2v function parameters
8507      and add an extra 'crl' parameter in the X509V3_CTX structure: guess
8508      what that's for :-) Fix to ASN1 macro which messed up
8509      IMPLICIT tag and add f_enum.c which adds a2i, i2a for ENUMERATED.
8510      [Steve Henson]
8511
8512   *) Preliminary support for ENUMERATED type. This is largely copied from the
8513      INTEGER code.
8514      [Steve Henson]
8515
8516   *) Add new function, EVP_MD_CTX_copy() to replace frequent use of memcpy.
8517      [Eric A. Young, (from changes to C2Net SSLeay, integrated by Mark Cox)]
8518
8519   *) Make sure `make rehash' target really finds the `openssl' program.
8520      [Ralf S. Engelschall, Matthias Loepfe <Matthias.Loepfe@adnovum.ch>]
8521
8522   *) Squeeze another 7% of speed out of MD5 assembler, at least on a P2. I'd
8523      like to hear about it if this slows down other processors.
8524      [Ben Laurie]
8525
8526   *) Add CygWin32 platform information to Configure script.
8527      [Alan Batie <batie@aahz.jf.intel.com>]
8528
8529   *) Fixed ms/32all.bat script: `no_asm' -> `no-asm'
8530      [Rainer W. Gerling <gerling@mpg-gv.mpg.de>]
8531   
8532   *) New program nseq to manipulate netscape certificate sequences
8533      [Steve Henson]
8534
8535   *) Modify crl2pkcs7 so it supports multiple -certfile arguments. Fix a
8536      few typos.
8537      [Steve Henson]
8538
8539   *) Fixes to BN code.  Previously the default was to define BN_RECURSION
8540      but the BN code had some problems that would cause failures when
8541      doing certificate verification and some other functions.
8542      [Eric A. Young, (from changes to C2Net SSLeay, integrated by Mark Cox)]
8543
8544   *) Add ASN1 and PEM code to support netscape certificate sequences.
8545      [Steve Henson]
8546
8547   *) Add ASN1 and PEM code to support netscape certificate sequences.
8548      [Steve Henson]
8549
8550   *) Add several PKIX and private extended key usage OIDs.
8551      [Steve Henson]
8552
8553   *) Modify the 'ca' program to handle the new extension code. Modify
8554      openssl.cnf for new extension format, add comments.
8555      [Steve Henson]
8556
8557   *) More X509 V3 changes. Fix typo in v3_bitstr.c. Add support to 'req'
8558      and add a sample to openssl.cnf so req -x509 now adds appropriate
8559      CA extensions.
8560      [Steve Henson]
8561
8562   *) Continued X509 V3 changes. Add to other makefiles, integrate with the
8563      error code, add initial support to X509_print() and x509 application.
8564      [Steve Henson]
8565
8566   *) Takes a deep breath and start addding X509 V3 extension support code. Add
8567      files in crypto/x509v3. Move original stuff to crypto/x509v3/old. All this
8568      stuff is currently isolated and isn't even compiled yet.
8569      [Steve Henson]
8570
8571   *) Continuing patches for GeneralizedTime. Fix up certificate and CRL
8572      ASN1 to use ASN1_TIME and modify print routines to use ASN1_TIME_print.
8573      Removed the versions check from X509 routines when loading extensions:
8574      this allows certain broken certificates that don't set the version
8575      properly to be processed.
8576      [Steve Henson]
8577
8578   *) Deal with irritating shit to do with dependencies, in YAAHW (Yet Another
8579      Ad Hoc Way) - Makefile.ssls now all contain local dependencies, which
8580      can still be regenerated with "make depend".
8581      [Ben Laurie]
8582
8583   *) Spelling mistake in C version of CAST-128.
8584      [Ben Laurie, reported by Jeremy Hylton <jeremy@cnri.reston.va.us>]
8585
8586   *) Changes to the error generation code. The perl script err-code.pl 
8587      now reads in the old error codes and retains the old numbers, only
8588      adding new ones if necessary. It also only changes the .err files if new
8589      codes are added. The makefiles have been modified to only insert errors
8590      when needed (to avoid needlessly modifying header files). This is done
8591      by only inserting errors if the .err file is newer than the auto generated
8592      C file. To rebuild all the error codes from scratch (the old behaviour)
8593      either modify crypto/Makefile.ssl to pass the -regen flag to err_code.pl
8594      or delete all the .err files.
8595      [Steve Henson]
8596
8597   *) CAST-128 was incorrectly implemented for short keys. The C version has
8598      been fixed, but is untested. The assembler versions are also fixed, but
8599      new assembler HAS NOT BEEN GENERATED FOR WIN32 - the Makefile needs fixing
8600      to regenerate it if needed.
8601      [Ben Laurie, reported (with fix for C version) by Jun-ichiro itojun
8602       Hagino <itojun@kame.net>]
8603
8604   *) File was opened incorrectly in randfile.c.
8605      [Ulf Möller <ulf@fitug.de>]
8606
8607   *) Beginning of support for GeneralizedTime. d2i, i2d, check and print
8608      functions. Also ASN1_TIME suite which is a CHOICE of UTCTime or
8609      GeneralizedTime. ASN1_TIME is the proper type used in certificates et
8610      al: it's just almost always a UTCTime. Note this patch adds new error
8611      codes so do a "make errors" if there are problems.
8612      [Steve Henson]
8613
8614   *) Correct Linux 1 recognition in config.
8615      [Ulf Möller <ulf@fitug.de>]
8616
8617   *) Remove pointless MD5 hash when using DSA keys in ca.
8618      [Anonymous <nobody@replay.com>]
8619
8620   *) Generate an error if given an empty string as a cert directory. Also
8621      generate an error if handed NULL (previously returned 0 to indicate an
8622      error, but didn't set one).
8623      [Ben Laurie, reported by Anonymous <nobody@replay.com>]
8624
8625   *) Add prototypes to SSL methods. Make SSL_write's buffer const, at last.
8626      [Ben Laurie]
8627
8628   *) Fix the dummy function BN_ref_mod_exp() in rsaref.c to have the correct
8629      parameters. This was causing a warning which killed off the Win32 compile.
8630      [Steve Henson]
8631
8632   *) Remove C++ style comments from crypto/bn/bn_local.h.
8633      [Neil Costigan <neil.costigan@celocom.com>]
8634
8635   *) The function OBJ_txt2nid was broken. It was supposed to return a nid
8636      based on a text string, looking up short and long names and finally
8637      "dot" format. The "dot" format stuff didn't work. Added new function
8638      OBJ_txt2obj to do the same but return an ASN1_OBJECT and rewrote 
8639      OBJ_txt2nid to use it. OBJ_txt2obj can also return objects even if the
8640      OID is not part of the table.
8641      [Steve Henson]
8642
8643   *) Add prototypes to X509 lookup/verify methods, fixing a bug in
8644      X509_LOOKUP_by_alias().
8645      [Ben Laurie]
8646
8647   *) Sort openssl functions by name.
8648      [Ben Laurie]
8649
8650   *) Get the gendsa program working (hopefully) and add it to app list. Remove
8651      encryption from sample DSA keys (in case anyone is interested the password
8652      was "1234").
8653      [Steve Henson]
8654
8655   *) Make _all_ *_free functions accept a NULL pointer.
8656      [Frans Heymans <fheymans@isaserver.be>]
8657
8658   *) If a DH key is generated in s3_srvr.c, don't blow it by trying to use
8659      NULL pointers.
8660      [Anonymous <nobody@replay.com>]
8661
8662   *) s_server should send the CAfile as acceptable CAs, not its own cert.
8663      [Bodo Moeller <3moeller@informatik.uni-hamburg.de>]
8664
8665   *) Don't blow it for numeric -newkey arguments to apps/req.
8666      [Bodo Moeller <3moeller@informatik.uni-hamburg.de>]
8667
8668   *) Temp key "for export" tests were wrong in s3_srvr.c.
8669      [Anonymous <nobody@replay.com>]
8670
8671   *) Add prototype for temp key callback functions
8672      SSL_CTX_set_tmp_{rsa,dh}_callback().
8673      [Ben Laurie]
8674
8675   *) Make DH_free() tolerate being passed a NULL pointer (like RSA_free() and
8676      DSA_free()). Make X509_PUBKEY_set() check for errors in d2i_PublicKey().
8677      [Steve Henson]
8678
8679   *) X509_name_add_entry() freed the wrong thing after an error.
8680      [Arne Ansper <arne@ats.cyber.ee>]
8681
8682   *) rsa_eay.c would attempt to free a NULL context.
8683      [Arne Ansper <arne@ats.cyber.ee>]
8684
8685   *) BIO_s_socket() had a broken should_retry() on Windoze.
8686      [Arne Ansper <arne@ats.cyber.ee>]
8687
8688   *) BIO_f_buffer() didn't pass on BIO_CTRL_FLUSH.
8689      [Arne Ansper <arne@ats.cyber.ee>]
8690
8691   *) Make sure the already existing X509_STORE->depth variable is initialized
8692      in X509_STORE_new(), but document the fact that this variable is still
8693      unused in the certificate verification process.
8694      [Ralf S. Engelschall]
8695
8696   *) Fix the various library and apps files to free up pkeys obtained from
8697      X509_PUBKEY_get() et al. Also allow x509.c to handle netscape extensions.
8698      [Steve Henson]
8699
8700   *) Fix reference counting in X509_PUBKEY_get(). This makes
8701      demos/maurice/example2.c work, amongst others, probably.
8702      [Steve Henson and Ben Laurie]
8703
8704   *) First cut of a cleanup for apps/. First the `ssleay' program is now named
8705      `openssl' and second, the shortcut symlinks for the `openssl <command>'
8706      are no longer created. This way we have a single and consistent command
8707      line interface `openssl <command>', similar to `cvs <command>'.
8708      [Ralf S. Engelschall, Paul Sutton and Ben Laurie]
8709
8710   *) ca.c: move test for DSA keys inside #ifndef NO_DSA. Make pubkey
8711      BIT STRING wrapper always have zero unused bits.
8712      [Steve Henson]
8713
8714   *) Add CA.pl, perl version of CA.sh, add extended key usage OID.
8715      [Steve Henson]
8716
8717   *) Make the top-level INSTALL documentation easier to understand.
8718      [Paul Sutton]
8719
8720   *) Makefiles updated to exit if an error occurs in a sub-directory
8721      make (including if user presses ^C) [Paul Sutton]
8722
8723   *) Make Montgomery context stuff explicit in RSA data structure.
8724      [Ben Laurie]
8725
8726   *) Fix build order of pem and err to allow for generated pem.h.
8727      [Ben Laurie]
8728
8729   *) Fix renumbering bug in X509_NAME_delete_entry().
8730      [Ben Laurie]
8731
8732   *) Enhanced the err-ins.pl script so it makes the error library number 
8733      global and can add a library name. This is needed for external ASN1 and
8734      other error libraries.
8735      [Steve Henson]
8736
8737   *) Fixed sk_insert which never worked properly.
8738      [Steve Henson]
8739
8740   *) Fix ASN1 macros so they can handle indefinite length construted 
8741      EXPLICIT tags. Some non standard certificates use these: they can now
8742      be read in.
8743      [Steve Henson]
8744
8745   *) Merged the various old/obsolete SSLeay documentation files (doc/xxx.doc)
8746      into a single doc/ssleay.txt bundle. This way the information is still
8747      preserved but no longer messes up this directory. Now it's new room for
8748      the new set of documenation files.
8749      [Ralf S. Engelschall]
8750
8751   *) SETs were incorrectly DER encoded. This was a major pain, because they
8752      shared code with SEQUENCEs, which aren't coded the same. This means that
8753      almost everything to do with SETs or SEQUENCEs has either changed name or
8754      number of arguments.
8755      [Ben Laurie, based on a partial fix by GP Jayan <gp@nsj.co.jp>]
8756
8757   *) Fix test data to work with the above.
8758      [Ben Laurie]
8759
8760   *) Fix the RSA header declarations that hid a bug I fixed in 0.9.0b but
8761      was already fixed by Eric for 0.9.1 it seems.
8762      [Ben Laurie - pointed out by Ulf Möller <ulf@fitug.de>]
8763
8764   *) Autodetect FreeBSD3.
8765      [Ben Laurie]
8766
8767   *) Fix various bugs in Configure. This affects the following platforms:
8768      nextstep
8769      ncr-scde
8770      unixware-2.0
8771      unixware-2.0-pentium
8772      sco5-cc.
8773      [Ben Laurie]
8774
8775   *) Eliminate generated files from CVS. Reorder tests to regenerate files
8776      before they are needed.
8777      [Ben Laurie]
8778
8779   *) Generate Makefile.ssl from Makefile.org (to keep CVS happy).
8780      [Ben Laurie]
8781
8782
8783  Changes between 0.9.1b and 0.9.1c  [23-Dec-1998]
8784
8785   *) Added OPENSSL_VERSION_NUMBER to crypto/crypto.h and 
8786      changed SSLeay to OpenSSL in version strings.
8787      [Ralf S. Engelschall]
8788   
8789   *) Some fixups to the top-level documents.
8790      [Paul Sutton]
8791
8792   *) Fixed the nasty bug where rsaref.h was not found under compile-time
8793      because the symlink to include/ was missing.
8794      [Ralf S. Engelschall]
8795
8796   *) Incorporated the popular no-RSA/DSA-only patches 
8797      which allow to compile a RSA-free SSLeay.
8798      [Andrew Cooke / Interrader Ldt., Ralf S. Engelschall]
8799
8800   *) Fixed nasty rehash problem under `make -f Makefile.ssl links'
8801      when "ssleay" is still not found.
8802      [Ralf S. Engelschall]
8803
8804   *) Added more platforms to Configure: Cray T3E, HPUX 11, 
8805      [Ralf S. Engelschall, Beckmann <beckman@acl.lanl.gov>]
8806
8807   *) Updated the README file.
8808      [Ralf S. Engelschall]
8809
8810   *) Added various .cvsignore files in the CVS repository subdirs
8811      to make a "cvs update" really silent.
8812      [Ralf S. Engelschall]
8813
8814   *) Recompiled the error-definition header files and added
8815      missing symbols to the Win32 linker tables.
8816      [Ralf S. Engelschall]
8817
8818   *) Cleaned up the top-level documents;
8819      o new files: CHANGES and LICENSE
8820      o merged VERSION, HISTORY* and README* files a CHANGES.SSLeay 
8821      o merged COPYRIGHT into LICENSE
8822      o removed obsolete TODO file
8823      o renamed MICROSOFT to INSTALL.W32
8824      [Ralf S. Engelschall]
8825
8826   *) Removed dummy files from the 0.9.1b source tree: 
8827      crypto/asn1/x crypto/bio/cd crypto/bio/fg crypto/bio/grep crypto/bio/vi
8828      crypto/bn/asm/......add.c crypto/bn/asm/a.out crypto/dsa/f crypto/md5/f
8829      crypto/pem/gmon.out crypto/perlasm/f crypto/pkcs7/build crypto/rsa/f
8830      crypto/sha/asm/f crypto/threads/f ms/zzz ssl/f ssl/f.mak test/f
8831      util/f.mak util/pl/f util/pl/f.mak crypto/bf/bf_locl.old apps/f
8832      [Ralf S. Engelschall]
8833
8834   *) Added various platform portability fixes.
8835      [Mark J. Cox]
8836
8837   *) The Genesis of the OpenSSL rpject:
8838      We start with the latest (unreleased) SSLeay version 0.9.1b which Eric A.
8839      Young and Tim J. Hudson created while they were working for C2Net until
8840      summer 1998.
8841      [The OpenSSL Project]
8842  
8843
8844  Changes between 0.9.0b and 0.9.1b  [not released]
8845
8846   *) Updated a few CA certificates under certs/
8847      [Eric A. Young]
8848
8849   *) Changed some BIGNUM api stuff.
8850      [Eric A. Young]
8851
8852   *) Various platform ports: OpenBSD, Ultrix, IRIX 64bit, NetBSD, 
8853      DGUX x86, Linux Alpha, etc.
8854      [Eric A. Young]
8855
8856   *) New COMP library [crypto/comp/] for SSL Record Layer Compression: 
8857      RLE (dummy implemented) and ZLIB (really implemented when ZLIB is
8858      available).
8859      [Eric A. Young]
8860
8861   *) Add -strparse option to asn1pars program which parses nested 
8862      binary structures 
8863      [Dr Stephen Henson <shenson@bigfoot.com>]
8864
8865   *) Added "oid_file" to ssleay.cnf for "ca" and "req" programs.
8866      [Eric A. Young]
8867
8868   *) DSA fix for "ca" program.
8869      [Eric A. Young]
8870
8871   *) Added "-genkey" option to "dsaparam" program.
8872      [Eric A. Young]
8873
8874   *) Added RIPE MD160 (rmd160) message digest.
8875      [Eric A. Young]
8876
8877   *) Added -a (all) option to "ssleay version" command.
8878      [Eric A. Young]
8879
8880   *) Added PLATFORM define which is the id given to Configure.
8881      [Eric A. Young]
8882
8883   *) Added MemCheck_XXXX functions to crypto/mem.c for memory checking.
8884      [Eric A. Young]
8885
8886   *) Extended the ASN.1 parser routines.
8887      [Eric A. Young]
8888
8889   *) Extended BIO routines to support REUSEADDR, seek, tell, etc.
8890      [Eric A. Young]
8891
8892   *) Added a BN_CTX to the BN library.
8893      [Eric A. Young]
8894
8895   *) Fixed the weak key values in DES library
8896      [Eric A. Young]
8897
8898   *) Changed API in EVP library for cipher aliases.
8899      [Eric A. Young]
8900
8901   *) Added support for RC2/64bit cipher.
8902      [Eric A. Young]
8903
8904   *) Converted the lhash library to the crypto/mem.c functions.
8905      [Eric A. Young]
8906
8907   *) Added more recognized ASN.1 object ids.
8908      [Eric A. Young]
8909
8910   *) Added more RSA padding checks for SSL/TLS.
8911      [Eric A. Young]
8912
8913   *) Added BIO proxy/filter functionality.
8914      [Eric A. Young]
8915
8916   *) Added extra_certs to SSL_CTX which can be used
8917      send extra CA certificates to the client in the CA cert chain sending
8918      process. It can be configured with SSL_CTX_add_extra_chain_cert().
8919      [Eric A. Young]
8920
8921   *) Now Fortezza is denied in the authentication phase because
8922      this is key exchange mechanism is not supported by SSLeay at all.
8923      [Eric A. Young]
8924
8925   *) Additional PKCS1 checks.
8926      [Eric A. Young]
8927
8928   *) Support the string "TLSv1" for all TLS v1 ciphers.
8929      [Eric A. Young]
8930
8931   *) Added function SSL_get_ex_data_X509_STORE_CTX_idx() which gives the
8932      ex_data index of the SSL context in the X509_STORE_CTX ex_data.
8933      [Eric A. Young]
8934
8935   *) Fixed a few memory leaks.
8936      [Eric A. Young]
8937
8938   *) Fixed various code and comment typos.
8939      [Eric A. Young]
8940
8941   *) A minor bug in ssl/s3_clnt.c where there would always be 4 0 
8942      bytes sent in the client random.
8943      [Edward Bishop <ebishop@spyglass.com>]
8944