tests/basic: add CTR mode carry overflow test vectors
[libgcrypt.git] / cipher / sha512.c
1 /* sha512.c - SHA384 and SHA512 hash functions
2  * Copyright (C) 2003, 2008, 2009 Free Software Foundation, Inc.
3  *
4  * This file is part of Libgcrypt.
5  *
6  * Libgcrypt is free software; you can redistribute it and/or modify
7  * it under the terms of the GNU Lesser general Public License as
8  * published by the Free Software Foundation; either version 2.1 of
9  * the License, or (at your option) any later version.
10  *
11  * Libgcrypt is distributed in the hope that it will be useful,
12  * but WITHOUT ANY WARRANTY; without even the implied warranty of
13  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
14  * GNU Lesser General Public License for more details.
15  *
16  * You should have received a copy of the GNU Lesser General Public
17  * License along with this program; if not, see <http://www.gnu.org/licenses/>.
18  */
19
20
21 /*  Test vectors from FIPS-180-2:
22  *
23  *  "abc"
24  * 384:
25  *  CB00753F 45A35E8B B5A03D69 9AC65007 272C32AB 0EDED163
26  *  1A8B605A 43FF5BED 8086072B A1E7CC23 58BAECA1 34C825A7
27  * 512:
28  *  DDAF35A1 93617ABA CC417349 AE204131 12E6FA4E 89A97EA2 0A9EEEE6 4B55D39A
29  *  2192992A 274FC1A8 36BA3C23 A3FEEBBD 454D4423 643CE80E 2A9AC94F A54CA49F
30  *
31  *  "abcdefghbcdefghicdefghijdefghijkefghijklfghijklmghijklmnhijklmnoijklmnopjklmnopqklmnopqrlmnopqrsmnopqrstnopqrstu"
32  * 384:
33  *  09330C33 F71147E8 3D192FC7 82CD1B47 53111B17 3B3B05D2
34  *  2FA08086 E3B0F712 FCC7C71A 557E2DB9 66C3E9FA 91746039
35  * 512:
36  *  8E959B75 DAE313DA 8CF4F728 14FC143F 8F7779C6 EB9F7FA1 7299AEAD B6889018
37  *  501D289E 4900F7E4 331B99DE C4B5433A C7D329EE B6DD2654 5E96E55B 874BE909
38  *
39  *  "a" x 1000000
40  * 384:
41  *  9D0E1809 716474CB 086E834E 310A4A1C ED149E9C 00F24852
42  *  7972CEC5 704C2A5B 07B8B3DC 38ECC4EB AE97DDD8 7F3D8985
43  * 512:
44  *  E718483D 0CE76964 4E2E42C7 BC15B463 8E1F98B1 3B204428 5632A803 AFA973EB
45  *  DE0FF244 877EA60A 4CB0432C E577C31B EB009C5C 2C49AA2E 4EADB217 AD8CC09B
46  */
47
48
49 #include <config.h>
50 #include <string.h>
51 #include "g10lib.h"
52 #include "bithelp.h"
53 #include "bufhelp.h"
54 #include "cipher.h"
55 #include "hash-common.h"
56
57
58 /* USE_ARM_NEON_ASM indicates whether to enable ARM NEON assembly code. */
59 #undef USE_ARM_NEON_ASM
60 #ifdef ENABLE_NEON_SUPPORT
61 # if defined(HAVE_ARM_ARCH_V6) && defined(__ARMEL__) \
62      && defined(HAVE_COMPATIBLE_GCC_ARM_PLATFORM_AS) \
63      && defined(HAVE_GCC_INLINE_ASM_NEON)
64 #  define USE_ARM_NEON_ASM 1
65 # endif
66 #endif /*ENABLE_NEON_SUPPORT*/
67
68
69 /* USE_ARM_ASM indicates whether to enable ARM assembly code. */
70 #undef USE_ARM_ASM
71 #if defined(__ARMEL__) && defined(HAVE_COMPATIBLE_GCC_ARM_PLATFORM_AS)
72 # define USE_ARM_ASM 1
73 #endif
74
75
76 /* USE_SSSE3 indicates whether to compile with Intel SSSE3 code. */
77 #undef USE_SSSE3
78 #if defined(__x86_64__) && defined(HAVE_GCC_INLINE_ASM_SSSE3) && \
79     defined(HAVE_INTEL_SYNTAX_PLATFORM_AS) && \
80     (defined(HAVE_COMPATIBLE_GCC_AMD64_PLATFORM_AS) || \
81      defined(HAVE_COMPATIBLE_GCC_WIN64_PLATFORM_AS))
82 # define USE_SSSE3 1
83 #endif
84
85
86 /* USE_AVX indicates whether to compile with Intel AVX code. */
87 #undef USE_AVX
88 #if defined(__x86_64__) && defined(HAVE_GCC_INLINE_ASM_AVX) && \
89     defined(HAVE_INTEL_SYNTAX_PLATFORM_AS) && \
90     (defined(HAVE_COMPATIBLE_GCC_AMD64_PLATFORM_AS) || \
91      defined(HAVE_COMPATIBLE_GCC_WIN64_PLATFORM_AS))
92 # define USE_AVX 1
93 #endif
94
95
96 /* USE_AVX2 indicates whether to compile with Intel AVX2/rorx code. */
97 #undef USE_AVX2
98 #if defined(__x86_64__) && defined(HAVE_GCC_INLINE_ASM_AVX2) && \
99     defined(HAVE_GCC_INLINE_ASM_BMI2) && \
100     defined(HAVE_INTEL_SYNTAX_PLATFORM_AS) && \
101     (defined(HAVE_COMPATIBLE_GCC_AMD64_PLATFORM_AS) || \
102      defined(HAVE_COMPATIBLE_GCC_WIN64_PLATFORM_AS))
103 # define USE_AVX2 1
104 #endif
105
106
107 typedef struct
108 {
109   u64 h0, h1, h2, h3, h4, h5, h6, h7;
110 } SHA512_STATE;
111
112 typedef struct
113 {
114   gcry_md_block_ctx_t bctx;
115   SHA512_STATE state;
116 } SHA512_CONTEXT;
117
118
119 static const u64 k[] =
120   {
121     U64_C(0x428a2f98d728ae22), U64_C(0x7137449123ef65cd),
122     U64_C(0xb5c0fbcfec4d3b2f), U64_C(0xe9b5dba58189dbbc),
123     U64_C(0x3956c25bf348b538), U64_C(0x59f111f1b605d019),
124     U64_C(0x923f82a4af194f9b), U64_C(0xab1c5ed5da6d8118),
125     U64_C(0xd807aa98a3030242), U64_C(0x12835b0145706fbe),
126     U64_C(0x243185be4ee4b28c), U64_C(0x550c7dc3d5ffb4e2),
127     U64_C(0x72be5d74f27b896f), U64_C(0x80deb1fe3b1696b1),
128     U64_C(0x9bdc06a725c71235), U64_C(0xc19bf174cf692694),
129     U64_C(0xe49b69c19ef14ad2), U64_C(0xefbe4786384f25e3),
130     U64_C(0x0fc19dc68b8cd5b5), U64_C(0x240ca1cc77ac9c65),
131     U64_C(0x2de92c6f592b0275), U64_C(0x4a7484aa6ea6e483),
132     U64_C(0x5cb0a9dcbd41fbd4), U64_C(0x76f988da831153b5),
133     U64_C(0x983e5152ee66dfab), U64_C(0xa831c66d2db43210),
134     U64_C(0xb00327c898fb213f), U64_C(0xbf597fc7beef0ee4),
135     U64_C(0xc6e00bf33da88fc2), U64_C(0xd5a79147930aa725),
136     U64_C(0x06ca6351e003826f), U64_C(0x142929670a0e6e70),
137     U64_C(0x27b70a8546d22ffc), U64_C(0x2e1b21385c26c926),
138     U64_C(0x4d2c6dfc5ac42aed), U64_C(0x53380d139d95b3df),
139     U64_C(0x650a73548baf63de), U64_C(0x766a0abb3c77b2a8),
140     U64_C(0x81c2c92e47edaee6), U64_C(0x92722c851482353b),
141     U64_C(0xa2bfe8a14cf10364), U64_C(0xa81a664bbc423001),
142     U64_C(0xc24b8b70d0f89791), U64_C(0xc76c51a30654be30),
143     U64_C(0xd192e819d6ef5218), U64_C(0xd69906245565a910),
144     U64_C(0xf40e35855771202a), U64_C(0x106aa07032bbd1b8),
145     U64_C(0x19a4c116b8d2d0c8), U64_C(0x1e376c085141ab53),
146     U64_C(0x2748774cdf8eeb99), U64_C(0x34b0bcb5e19b48a8),
147     U64_C(0x391c0cb3c5c95a63), U64_C(0x4ed8aa4ae3418acb),
148     U64_C(0x5b9cca4f7763e373), U64_C(0x682e6ff3d6b2b8a3),
149     U64_C(0x748f82ee5defb2fc), U64_C(0x78a5636f43172f60),
150     U64_C(0x84c87814a1f0ab72), U64_C(0x8cc702081a6439ec),
151     U64_C(0x90befffa23631e28), U64_C(0xa4506cebde82bde9),
152     U64_C(0xbef9a3f7b2c67915), U64_C(0xc67178f2e372532b),
153     U64_C(0xca273eceea26619c), U64_C(0xd186b8c721c0c207),
154     U64_C(0xeada7dd6cde0eb1e), U64_C(0xf57d4f7fee6ed178),
155     U64_C(0x06f067aa72176fba), U64_C(0x0a637dc5a2c898a6),
156     U64_C(0x113f9804bef90dae), U64_C(0x1b710b35131c471b),
157     U64_C(0x28db77f523047d84), U64_C(0x32caab7b40c72493),
158     U64_C(0x3c9ebe0a15c9bebc), U64_C(0x431d67c49c100d4c),
159     U64_C(0x4cc5d4becb3e42b6), U64_C(0x597f299cfc657e2a),
160     U64_C(0x5fcb6fab3ad6faec), U64_C(0x6c44198c4a475817)
161   };
162
163
164 /* AMD64 assembly implementations use SystemV ABI, ABI conversion and additional
165  * stack to store XMM6-XMM15 needed on Win64. */
166 #undef ASM_FUNC_ABI
167 #undef ASM_EXTRA_STACK
168 #if defined(USE_SSSE3) || defined(USE_AVX) || defined(USE_AVX2)
169 # ifdef HAVE_COMPATIBLE_GCC_WIN64_PLATFORM_AS
170 #  define ASM_FUNC_ABI __attribute__((sysv_abi))
171 #  define ASM_EXTRA_STACK (10 * 16 + 4 * sizeof(void *))
172 # else
173 #  define ASM_FUNC_ABI
174 #  define ASM_EXTRA_STACK 0
175 # endif
176 #endif
177
178
179 #ifdef USE_ARM_NEON_ASM
180 unsigned int _gcry_sha512_transform_armv7_neon (SHA512_STATE *hd,
181                                                 const unsigned char *data,
182                                                 const u64 k[], size_t num_blks);
183
184 static unsigned int
185 do_sha512_transform_armv7_neon(void *ctx, const unsigned char *data,
186                                size_t nblks)
187 {
188   SHA512_CONTEXT *hd = ctx;
189   return _gcry_sha512_transform_armv7_neon (&hd->state, data, k, nblks);
190 }
191 #endif
192
193 #ifdef USE_SSSE3
194 unsigned int _gcry_sha512_transform_amd64_ssse3(const void *input_data,
195                                                 void *state,
196                                                 size_t num_blks) ASM_FUNC_ABI;
197
198 static unsigned int
199 do_sha512_transform_amd64_ssse3(void *ctx, const unsigned char *data,
200                                 size_t nblks)
201 {
202   SHA512_CONTEXT *hd = ctx;
203   return _gcry_sha512_transform_amd64_ssse3 (data, &hd->state, nblks)
204          + ASM_EXTRA_STACK;
205 }
206 #endif
207
208 #ifdef USE_AVX
209 unsigned int _gcry_sha512_transform_amd64_avx(const void *input_data,
210                                               void *state,
211                                               size_t num_blks) ASM_FUNC_ABI;
212
213 static unsigned int
214 do_sha512_transform_amd64_avx(void *ctx, const unsigned char *data,
215                               size_t nblks)
216 {
217   SHA512_CONTEXT *hd = ctx;
218   return _gcry_sha512_transform_amd64_avx (data, &hd->state, nblks)
219          + ASM_EXTRA_STACK;
220 }
221 #endif
222
223 #ifdef USE_AVX2
224 unsigned int _gcry_sha512_transform_amd64_avx2(const void *input_data,
225                                                void *state,
226                                                size_t num_blks) ASM_FUNC_ABI;
227
228 static unsigned int
229 do_sha512_transform_amd64_avx2(void *ctx, const unsigned char *data,
230                                size_t nblks)
231 {
232   SHA512_CONTEXT *hd = ctx;
233   return _gcry_sha512_transform_amd64_avx2 (data, &hd->state, nblks)
234          + ASM_EXTRA_STACK;
235 }
236 #endif
237
238
239 #ifdef USE_ARM_ASM
240 unsigned int _gcry_sha512_transform_arm (SHA512_STATE *hd,
241                                          const unsigned char *data,
242                                          const u64 k[], size_t num_blks);
243
244 static unsigned int
245 do_transform_generic (void *context, const unsigned char *data, size_t nblks)
246 {
247   SHA512_CONTEXT *hd = context;
248   return _gcry_sha512_transform_armv7_neon (&hd->state, data, k, nblks);
249 }
250 #else
251 static unsigned int
252 do_transform_generic (void *context, const unsigned char *data, size_t nblks);
253 #endif
254
255
256 static void
257 sha512_init_common (SHA512_CONTEXT *ctx, unsigned int flags)
258 {
259   unsigned int features = _gcry_get_hw_features ();
260
261   (void)flags;
262   (void)k;
263
264   ctx->bctx.nblocks = 0;
265   ctx->bctx.nblocks_high = 0;
266   ctx->bctx.count = 0;
267   ctx->bctx.blocksize = 128;
268
269   /* Order of feature checks is important here; last match will be
270    * selected.  Keep slower implementations at the top and faster at
271    * the bottom.  */
272   ctx->bctx.bwrite = do_transform_generic;
273 #ifdef USE_ARM_NEON_ASM
274   if ((features & HWF_ARM_NEON) != 0)
275     ctx->bctx.bwrite = do_sha512_transform_armv7_neon;
276 #endif
277 #ifdef USE_SSSE3
278   if ((features & HWF_INTEL_SSSE3) != 0)
279     ctx->bctx.bwrite = do_sha512_transform_amd64_ssse3;
280 #endif
281 #ifdef USE_AVX
282   if ((features & HWF_INTEL_AVX) && (features & HWF_INTEL_FAST_SHLD))
283     ctx->bctx.bwrite = do_sha512_transform_amd64_avx;
284 #endif
285 #ifdef USE_AVX2
286   if ((features & HWF_INTEL_AVX2) && (features & HWF_INTEL_BMI2))
287     ctx->bctx.bwrite = do_sha512_transform_amd64_avx2;
288 #endif
289   (void)features;
290 }
291
292
293 static void
294 sha512_init (void *context, unsigned int flags)
295 {
296   SHA512_CONTEXT *ctx = context;
297   SHA512_STATE *hd = &ctx->state;
298
299   hd->h0 = U64_C(0x6a09e667f3bcc908);
300   hd->h1 = U64_C(0xbb67ae8584caa73b);
301   hd->h2 = U64_C(0x3c6ef372fe94f82b);
302   hd->h3 = U64_C(0xa54ff53a5f1d36f1);
303   hd->h4 = U64_C(0x510e527fade682d1);
304   hd->h5 = U64_C(0x9b05688c2b3e6c1f);
305   hd->h6 = U64_C(0x1f83d9abfb41bd6b);
306   hd->h7 = U64_C(0x5be0cd19137e2179);
307
308   sha512_init_common (ctx, flags);
309 }
310
311 static void
312 sha384_init (void *context, unsigned int flags)
313 {
314   SHA512_CONTEXT *ctx = context;
315   SHA512_STATE *hd = &ctx->state;
316
317   hd->h0 = U64_C(0xcbbb9d5dc1059ed8);
318   hd->h1 = U64_C(0x629a292a367cd507);
319   hd->h2 = U64_C(0x9159015a3070dd17);
320   hd->h3 = U64_C(0x152fecd8f70e5939);
321   hd->h4 = U64_C(0x67332667ffc00b31);
322   hd->h5 = U64_C(0x8eb44a8768581511);
323   hd->h6 = U64_C(0xdb0c2e0d64f98fa7);
324   hd->h7 = U64_C(0x47b5481dbefa4fa4);
325
326   sha512_init_common (ctx, flags);
327 }
328
329
330 static void
331 sha512_256_init (void *context, unsigned int flags)
332 {
333   SHA512_CONTEXT *ctx = context;
334   SHA512_STATE *hd = &ctx->state;
335
336   hd->h0 = U64_C(0x22312194fc2bf72c);
337   hd->h1 = U64_C(0x9f555fa3c84c64c2);
338   hd->h2 = U64_C(0x2393b86b6f53b151);
339   hd->h3 = U64_C(0x963877195940eabd);
340   hd->h4 = U64_C(0x96283ee2a88effe3);
341   hd->h5 = U64_C(0xbe5e1e2553863992);
342   hd->h6 = U64_C(0x2b0199fc2c85b8aa);
343   hd->h7 = U64_C(0x0eb72ddc81c52ca2);
344
345   sha512_init_common (ctx, flags);
346 }
347
348
349 static void
350 sha512_224_init (void *context, unsigned int flags)
351 {
352   SHA512_CONTEXT *ctx = context;
353   SHA512_STATE *hd = &ctx->state;
354
355   hd->h0 = U64_C(0x8c3d37c819544da2);
356   hd->h1 = U64_C(0x73e1996689dcd4d6);
357   hd->h2 = U64_C(0x1dfab7ae32ff9c82);
358   hd->h3 = U64_C(0x679dd514582f9fcf);
359   hd->h4 = U64_C(0x0f6d2b697bd44da8);
360   hd->h5 = U64_C(0x77e36f7304c48942);
361   hd->h6 = U64_C(0x3f9d85a86a1d36c8);
362   hd->h7 = U64_C(0x1112e6ad91d692a1);
363
364   sha512_init_common (ctx, flags);
365 }
366
367
368
369 #ifndef USE_ARM_ASM
370
371 static inline u64
372 ROTR (u64 x, u64 n)
373 {
374   return ((x >> n) | (x << (64 - n)));
375 }
376
377 static inline u64
378 Ch (u64 x, u64 y, u64 z)
379 {
380   return ((x & y) ^ ( ~x & z));
381 }
382
383 static inline u64
384 Maj (u64 x, u64 y, u64 z)
385 {
386   return ((x & y) ^ (x & z) ^ (y & z));
387 }
388
389 static inline u64
390 Sum0 (u64 x)
391 {
392   return (ROTR (x, 28) ^ ROTR (x, 34) ^ ROTR (x, 39));
393 }
394
395 static inline u64
396 Sum1 (u64 x)
397 {
398   return (ROTR (x, 14) ^ ROTR (x, 18) ^ ROTR (x, 41));
399 }
400
401 /****************
402  * Transform the message W which consists of 16 64-bit-words
403  */
404 static unsigned int
405 do_transform_generic (void *context, const unsigned char *data, size_t nblks)
406 {
407   SHA512_CONTEXT *ctx = context;
408   SHA512_STATE *hd = &ctx->state;
409
410   do
411     {
412       u64 a, b, c, d, e, f, g, h;
413       u64 w[16];
414       int t;
415
416       /* get values from the chaining vars */
417       a = hd->h0;
418       b = hd->h1;
419       c = hd->h2;
420       d = hd->h3;
421       e = hd->h4;
422       f = hd->h5;
423       g = hd->h6;
424       h = hd->h7;
425
426       for ( t = 0; t < 16; t++ )
427         w[t] = buf_get_be64(data + t * 8);
428
429 #define S0(x) (ROTR((x),1) ^ ROTR((x),8) ^ ((x)>>7))
430 #define S1(x) (ROTR((x),19) ^ ROTR((x),61) ^ ((x)>>6))
431
432       for (t = 0; t < 80 - 16; )
433         {
434           u64 t1, t2;
435
436           t1 = h + Sum1 (e) + Ch (e, f, g) + k[t] + w[0];
437           w[0] += S1 (w[14]) + w[9] + S0 (w[1]);
438           t2 = Sum0 (a) + Maj (a, b, c);
439           d += t1;
440           h = t1 + t2;
441
442           t1 = g + Sum1 (d) + Ch (d, e, f) + k[t+1] + w[1];
443           w[1] += S1 (w[15]) + w[10] + S0 (w[2]);
444           t2 = Sum0 (h) + Maj (h, a, b);
445           c += t1;
446           g  = t1 + t2;
447
448           t1 = f + Sum1 (c) + Ch (c, d, e) + k[t+2] + w[2];
449           w[2] += S1 (w[0]) + w[11] + S0 (w[3]);
450           t2 = Sum0 (g) + Maj (g, h, a);
451           b += t1;
452           f  = t1 + t2;
453
454           t1 = e + Sum1 (b) + Ch (b, c, d) + k[t+3] + w[3];
455           w[3] += S1 (w[1]) + w[12] + S0 (w[4]);
456           t2 = Sum0 (f) + Maj (f, g, h);
457           a += t1;
458           e  = t1 + t2;
459
460           t1 = d + Sum1 (a) + Ch (a, b, c) + k[t+4] + w[4];
461           w[4] += S1 (w[2]) + w[13] + S0 (w[5]);
462           t2 = Sum0 (e) + Maj (e, f, g);
463           h += t1;
464           d  = t1 + t2;
465
466           t1 = c + Sum1 (h) + Ch (h, a, b) + k[t+5] + w[5];
467           w[5] += S1 (w[3]) + w[14] + S0 (w[6]);
468           t2 = Sum0 (d) + Maj (d, e, f);
469           g += t1;
470           c  = t1 + t2;
471
472           t1 = b + Sum1 (g) + Ch (g, h, a) + k[t+6] + w[6];
473           w[6] += S1 (w[4]) + w[15] + S0 (w[7]);
474           t2 = Sum0 (c) + Maj (c, d, e);
475           f += t1;
476           b  = t1 + t2;
477
478           t1 = a + Sum1 (f) + Ch (f, g, h) + k[t+7] + w[7];
479           w[7] += S1 (w[5]) + w[0] + S0 (w[8]);
480           t2 = Sum0 (b) + Maj (b, c, d);
481           e += t1;
482           a  = t1 + t2;
483
484           t1 = h + Sum1 (e) + Ch (e, f, g) + k[t+8] + w[8];
485           w[8] += S1 (w[6]) + w[1] + S0 (w[9]);
486           t2 = Sum0 (a) + Maj (a, b, c);
487           d += t1;
488           h  = t1 + t2;
489
490           t1 = g + Sum1 (d) + Ch (d, e, f) + k[t+9] + w[9];
491           w[9] += S1 (w[7]) + w[2] + S0 (w[10]);
492           t2 = Sum0 (h) + Maj (h, a, b);
493           c += t1;
494           g  = t1 + t2;
495
496           t1 = f + Sum1 (c) + Ch (c, d, e) + k[t+10] + w[10];
497           w[10] += S1 (w[8]) + w[3] + S0 (w[11]);
498           t2 = Sum0 (g) + Maj (g, h, a);
499           b += t1;
500           f  = t1 + t2;
501
502           t1 = e + Sum1 (b) + Ch (b, c, d) + k[t+11] + w[11];
503           w[11] += S1 (w[9]) + w[4] + S0 (w[12]);
504           t2 = Sum0 (f) + Maj (f, g, h);
505           a += t1;
506           e  = t1 + t2;
507
508           t1 = d + Sum1 (a) + Ch (a, b, c) + k[t+12] + w[12];
509           w[12] += S1 (w[10]) + w[5] + S0 (w[13]);
510           t2 = Sum0 (e) + Maj (e, f, g);
511           h += t1;
512           d  = t1 + t2;
513
514           t1 = c + Sum1 (h) + Ch (h, a, b) + k[t+13] + w[13];
515           w[13] += S1 (w[11]) + w[6] + S0 (w[14]);
516           t2 = Sum0 (d) + Maj (d, e, f);
517           g += t1;
518           c  = t1 + t2;
519
520           t1 = b + Sum1 (g) + Ch (g, h, a) + k[t+14] + w[14];
521           w[14] += S1 (w[12]) + w[7] + S0 (w[15]);
522           t2 = Sum0 (c) + Maj (c, d, e);
523           f += t1;
524           b  = t1 + t2;
525
526           t1 = a + Sum1 (f) + Ch (f, g, h) + k[t+15] + w[15];
527           w[15] += S1 (w[13]) + w[8] + S0 (w[0]);
528           t2 = Sum0 (b) + Maj (b, c, d);
529           e += t1;
530           a  = t1 + t2;
531
532           t += 16;
533         }
534
535       for (; t < 80; )
536         {
537           u64 t1, t2;
538
539           t1 = h + Sum1 (e) + Ch (e, f, g) + k[t] + w[0];
540           t2 = Sum0 (a) + Maj (a, b, c);
541           d += t1;
542           h  = t1 + t2;
543
544           t1 = g + Sum1 (d) + Ch (d, e, f) + k[t+1] + w[1];
545           t2 = Sum0 (h) + Maj (h, a, b);
546           c += t1;
547           g  = t1 + t2;
548
549           t1 = f + Sum1 (c) + Ch (c, d, e) + k[t+2] + w[2];
550           t2 = Sum0 (g) + Maj (g, h, a);
551           b += t1;
552           f  = t1 + t2;
553
554           t1 = e + Sum1 (b) + Ch (b, c, d) + k[t+3] + w[3];
555           t2 = Sum0 (f) + Maj (f, g, h);
556           a += t1;
557           e  = t1 + t2;
558
559           t1 = d + Sum1 (a) + Ch (a, b, c) + k[t+4] + w[4];
560           t2 = Sum0 (e) + Maj (e, f, g);
561           h += t1;
562           d  = t1 + t2;
563
564           t1 = c + Sum1 (h) + Ch (h, a, b) + k[t+5] + w[5];
565           t2 = Sum0 (d) + Maj (d, e, f);
566           g += t1;
567           c  = t1 + t2;
568
569           t1 = b + Sum1 (g) + Ch (g, h, a) + k[t+6] + w[6];
570           t2 = Sum0 (c) + Maj (c, d, e);
571           f += t1;
572           b  = t1 + t2;
573
574           t1 = a + Sum1 (f) + Ch (f, g, h) + k[t+7] + w[7];
575           t2 = Sum0 (b) + Maj (b, c, d);
576           e += t1;
577           a  = t1 + t2;
578
579           t1 = h + Sum1 (e) + Ch (e, f, g) + k[t+8] + w[8];
580           t2 = Sum0 (a) + Maj (a, b, c);
581           d += t1;
582           h  = t1 + t2;
583
584           t1 = g + Sum1 (d) + Ch (d, e, f) + k[t+9] + w[9];
585           t2 = Sum0 (h) + Maj (h, a, b);
586           c += t1;
587           g  = t1 + t2;
588
589           t1 = f + Sum1 (c) + Ch (c, d, e) + k[t+10] + w[10];
590           t2 = Sum0 (g) + Maj (g, h, a);
591           b += t1;
592           f  = t1 + t2;
593
594           t1 = e + Sum1 (b) + Ch (b, c, d) + k[t+11] + w[11];
595           t2 = Sum0 (f) + Maj (f, g, h);
596           a += t1;
597           e  = t1 + t2;
598
599           t1 = d + Sum1 (a) + Ch (a, b, c) + k[t+12] + w[12];
600           t2 = Sum0 (e) + Maj (e, f, g);
601           h += t1;
602           d  = t1 + t2;
603
604           t1 = c + Sum1 (h) + Ch (h, a, b) + k[t+13] + w[13];
605           t2 = Sum0 (d) + Maj (d, e, f);
606           g += t1;
607           c  = t1 + t2;
608
609           t1 = b + Sum1 (g) + Ch (g, h, a) + k[t+14] + w[14];
610           t2 = Sum0 (c) + Maj (c, d, e);
611           f += t1;
612           b  = t1 + t2;
613
614           t1 = a + Sum1 (f) + Ch (f, g, h) + k[t+15] + w[15];
615           t2 = Sum0 (b) + Maj (b, c, d);
616           e += t1;
617           a  = t1 + t2;
618
619           t += 16;
620         }
621
622       /* Update chaining vars.  */
623       hd->h0 += a;
624       hd->h1 += b;
625       hd->h2 += c;
626       hd->h3 += d;
627       hd->h4 += e;
628       hd->h5 += f;
629       hd->h6 += g;
630       hd->h7 += h;
631
632       data += 128;
633     }
634   while (--nblks);
635
636   return (8 + 16) * sizeof(u64) + sizeof(u32) + 3 * sizeof(void*);
637 }
638 #endif /*!USE_ARM_ASM*/
639
640
641 /* The routine final terminates the computation and
642  * returns the digest.
643  * The handle is prepared for a new cycle, but adding bytes to the
644  * handle will the destroy the returned buffer.
645  * Returns: 64 bytes representing the digest.  When used for sha384,
646  * we take the leftmost 48 of those bytes.
647  */
648
649 static void
650 sha512_final (void *context)
651 {
652   SHA512_CONTEXT *hd = context;
653   unsigned int stack_burn_depth;
654   u64 t, th, msb, lsb;
655   byte *p;
656
657   t = hd->bctx.nblocks;
658   /* if (sizeof t == sizeof hd->bctx.nblocks) */
659   th = hd->bctx.nblocks_high;
660   /* else */
661   /*   th = hd->bctx.nblocks >> 64; In case we ever use u128  */
662
663   /* multiply by 128 to make a byte count */
664   lsb = t << 7;
665   msb = (th << 7) | (t >> 57);
666   /* add the count */
667   t = lsb;
668   if ((lsb += hd->bctx.count) < t)
669     msb++;
670   /* multiply by 8 to make a bit count */
671   t = lsb;
672   lsb <<= 3;
673   msb <<= 3;
674   msb |= t >> 61;
675
676   if (hd->bctx.count < 112)
677     {                           /* enough room */
678       hd->bctx.buf[hd->bctx.count++] = 0x80;    /* pad */
679       if (hd->bctx.count < 112)
680         memset (&hd->bctx.buf[hd->bctx.count], 0, 112 - hd->bctx.count);
681       hd->bctx.count = 112;
682     }
683   else
684     {                           /* need one extra block */
685       hd->bctx.buf[hd->bctx.count++] = 0x80;    /* pad character */
686       if (hd->bctx.count < 128)
687         memset (&hd->bctx.buf[hd->bctx.count], 0, 128 - hd->bctx.count);
688       hd->bctx.count = 128;
689       _gcry_md_block_write (context, NULL, 0); /* flush */ ;
690       memset (hd->bctx.buf, 0, 112);    /* fill next block with zeroes */
691     }
692   /* append the 128 bit count */
693   buf_put_be64(hd->bctx.buf + 112, msb);
694   buf_put_be64(hd->bctx.buf + 120, lsb);
695   stack_burn_depth = (*hd->bctx.bwrite) (hd, hd->bctx.buf, 1);
696   _gcry_burn_stack (stack_burn_depth);
697
698   p = hd->bctx.buf;
699 #define X(a) do { buf_put_be64(p, hd->state.h##a); p += 8; } while (0)
700   X (0);
701   X (1);
702   X (2);
703   X (3);
704   X (4);
705   X (5);
706   /* Note that these last two chunks are included even for SHA384.
707      We just ignore them. */
708   X (6);
709   X (7);
710 #undef X
711 }
712
713 static byte *
714 sha512_read (void *context)
715 {
716   SHA512_CONTEXT *hd = (SHA512_CONTEXT *) context;
717   return hd->bctx.buf;
718 }
719
720
721 /* Shortcut functions which puts the hash value of the supplied buffer
722  * into outbuf which must have a size of 64 bytes.  */
723 void
724 _gcry_sha512_hash_buffer (void *outbuf, const void *buffer, size_t length)
725 {
726   SHA512_CONTEXT hd;
727
728   sha512_init (&hd, 0);
729   _gcry_md_block_write (&hd, buffer, length);
730   sha512_final (&hd);
731   memcpy (outbuf, hd.bctx.buf, 64);
732 }
733
734
735 /* Variant of the above shortcut function using multiple buffers.  */
736 void
737 _gcry_sha512_hash_buffers (void *outbuf, const gcry_buffer_t *iov, int iovcnt)
738 {
739   SHA512_CONTEXT hd;
740
741   sha512_init (&hd, 0);
742   for (;iovcnt > 0; iov++, iovcnt--)
743     _gcry_md_block_write (&hd,
744                           (const char*)iov[0].data + iov[0].off, iov[0].len);
745   sha512_final (&hd);
746   memcpy (outbuf, hd.bctx.buf, 64);
747 }
748
749
750
751 /* Shortcut functions which puts the hash value of the supplied buffer
752  * into outbuf which must have a size of 48 bytes.  */
753 static void
754 _gcry_sha384_hash_buffer (void *outbuf, const void *buffer, size_t length)
755 {
756   SHA512_CONTEXT hd;
757
758   sha384_init (&hd, 0);
759   _gcry_md_block_write (&hd, buffer, length);
760   sha512_final (&hd);
761   memcpy (outbuf, hd.bctx.buf, 48);
762 }
763
764
765 /* Variant of the above shortcut function using multiple buffers.  */
766 static void
767 _gcry_sha384_hash_buffers (void *outbuf, const gcry_buffer_t *iov, int iovcnt)
768 {
769   SHA512_CONTEXT hd;
770
771   sha384_init (&hd, 0);
772   for (;iovcnt > 0; iov++, iovcnt--)
773     _gcry_md_block_write (&hd,
774                           (const char*)iov[0].data + iov[0].off, iov[0].len);
775   sha512_final (&hd);
776   memcpy (outbuf, hd.bctx.buf, 48);
777 }
778
779
780
781 /* Shortcut functions which puts the hash value of the supplied buffer
782  * into outbuf which must have a size of 32 bytes.  */
783 static void
784 _gcry_sha512_256_hash_buffer (void *outbuf, const void *buffer, size_t length)
785 {
786   SHA512_CONTEXT hd;
787
788   sha512_256_init (&hd, 0);
789   _gcry_md_block_write (&hd, buffer, length);
790   sha512_final (&hd);
791   memcpy (outbuf, hd.bctx.buf, 32);
792 }
793
794
795 /* Variant of the above shortcut function using multiple buffers.  */
796 static void
797 _gcry_sha512_256_hash_buffers (void *outbuf, const gcry_buffer_t *iov,
798                                int iovcnt)
799 {
800   SHA512_CONTEXT hd;
801
802   sha512_256_init (&hd, 0);
803   for (;iovcnt > 0; iov++, iovcnt--)
804     _gcry_md_block_write (&hd,
805                           (const char*)iov[0].data + iov[0].off, iov[0].len);
806   sha512_final (&hd);
807   memcpy (outbuf, hd.bctx.buf, 32);
808 }
809
810
811
812 /* Shortcut functions which puts the hash value of the supplied buffer
813  * into outbuf which must have a size of 28 bytes.  */
814 static void
815 _gcry_sha512_224_hash_buffer (void *outbuf, const void *buffer, size_t length)
816 {
817   SHA512_CONTEXT hd;
818
819   sha512_224_init (&hd, 0);
820   _gcry_md_block_write (&hd, buffer, length);
821   sha512_final (&hd);
822   memcpy (outbuf, hd.bctx.buf, 28);
823 }
824
825
826 /* Variant of the above shortcut function using multiple buffers.  */
827 static void
828 _gcry_sha512_224_hash_buffers (void *outbuf, const gcry_buffer_t *iov,
829                                int iovcnt)
830 {
831   SHA512_CONTEXT hd;
832
833   sha512_224_init (&hd, 0);
834   for (;iovcnt > 0; iov++, iovcnt--)
835     _gcry_md_block_write (&hd,
836                           (const char*)iov[0].data + iov[0].off, iov[0].len);
837   sha512_final (&hd);
838   memcpy (outbuf, hd.bctx.buf, 28);
839 }
840
841
842 \f
843 /*
844      Self-test section.
845  */
846
847
848 static gpg_err_code_t
849 selftests_sha384 (int extended, selftest_report_func_t report)
850 {
851   const char *what;
852   const char *errtxt;
853
854   what = "short string";
855   errtxt = _gcry_hash_selftest_check_one
856     (GCRY_MD_SHA384, 0,
857      "abc", 3,
858      "\xcb\x00\x75\x3f\x45\xa3\x5e\x8b\xb5\xa0\x3d\x69\x9a\xc6\x50\x07"
859      "\x27\x2c\x32\xab\x0e\xde\xd1\x63\x1a\x8b\x60\x5a\x43\xff\x5b\xed"
860      "\x80\x86\x07\x2b\xa1\xe7\xcc\x23\x58\xba\xec\xa1\x34\xc8\x25\xa7", 48);
861   if (errtxt)
862     goto failed;
863
864   if (extended)
865     {
866       what = "long string";
867       errtxt = _gcry_hash_selftest_check_one
868         (GCRY_MD_SHA384, 0,
869          "abcdefghbcdefghicdefghijdefghijkefghijklfghijklmghijklmn"
870          "hijklmnoijklmnopjklmnopqklmnopqrlmnopqrsmnopqrstnopqrstu", 112,
871          "\x09\x33\x0C\x33\xF7\x11\x47\xE8\x3D\x19\x2F\xC7\x82\xCD\x1B\x47"
872          "\x53\x11\x1B\x17\x3B\x3B\x05\xD2\x2F\xA0\x80\x86\xE3\xB0\xF7\x12"
873          "\xFC\xC7\xC7\x1A\x55\x7E\x2D\xB9\x66\xC3\xE9\xFA\x91\x74\x60\x39",
874          48);
875       if (errtxt)
876         goto failed;
877
878       what = "one million \"a\"";
879       errtxt = _gcry_hash_selftest_check_one
880         (GCRY_MD_SHA384, 1,
881          NULL, 0,
882          "\x9D\x0E\x18\x09\x71\x64\x74\xCB\x08\x6E\x83\x4E\x31\x0A\x4A\x1C"
883          "\xED\x14\x9E\x9C\x00\xF2\x48\x52\x79\x72\xCE\xC5\x70\x4C\x2A\x5B"
884          "\x07\xB8\xB3\xDC\x38\xEC\xC4\xEB\xAE\x97\xDD\xD8\x7F\x3D\x89\x85",
885          48);
886       if (errtxt)
887         goto failed;
888     }
889
890   return 0; /* Succeeded. */
891
892  failed:
893   if (report)
894     report ("digest", GCRY_MD_SHA384, what, errtxt);
895   return GPG_ERR_SELFTEST_FAILED;
896 }
897
898 static gpg_err_code_t
899 selftests_sha512 (int extended, selftest_report_func_t report)
900 {
901   const char *what;
902   const char *errtxt;
903
904   what = "short string";
905   errtxt = _gcry_hash_selftest_check_one
906     (GCRY_MD_SHA512, 0,
907      "abc", 3,
908      "\xDD\xAF\x35\xA1\x93\x61\x7A\xBA\xCC\x41\x73\x49\xAE\x20\x41\x31"
909      "\x12\xE6\xFA\x4E\x89\xA9\x7E\xA2\x0A\x9E\xEE\xE6\x4B\x55\xD3\x9A"
910      "\x21\x92\x99\x2A\x27\x4F\xC1\xA8\x36\xBA\x3C\x23\xA3\xFE\xEB\xBD"
911      "\x45\x4D\x44\x23\x64\x3C\xE8\x0E\x2A\x9A\xC9\x4F\xA5\x4C\xA4\x9F", 64);
912   if (errtxt)
913     goto failed;
914
915   if (extended)
916     {
917       what = "long string";
918       errtxt = _gcry_hash_selftest_check_one
919         (GCRY_MD_SHA512, 0,
920          "abcdefghbcdefghicdefghijdefghijkefghijklfghijklmghijklmn"
921          "hijklmnoijklmnopjklmnopqklmnopqrlmnopqrsmnopqrstnopqrstu", 112,
922          "\x8E\x95\x9B\x75\xDA\xE3\x13\xDA\x8C\xF4\xF7\x28\x14\xFC\x14\x3F"
923          "\x8F\x77\x79\xC6\xEB\x9F\x7F\xA1\x72\x99\xAE\xAD\xB6\x88\x90\x18"
924          "\x50\x1D\x28\x9E\x49\x00\xF7\xE4\x33\x1B\x99\xDE\xC4\xB5\x43\x3A"
925          "\xC7\xD3\x29\xEE\xB6\xDD\x26\x54\x5E\x96\xE5\x5B\x87\x4B\xE9\x09",
926          64);
927       if (errtxt)
928         goto failed;
929
930       what = "one million \"a\"";
931       errtxt = _gcry_hash_selftest_check_one
932         (GCRY_MD_SHA512, 1,
933          NULL, 0,
934          "\xE7\x18\x48\x3D\x0C\xE7\x69\x64\x4E\x2E\x42\xC7\xBC\x15\xB4\x63"
935          "\x8E\x1F\x98\xB1\x3B\x20\x44\x28\x56\x32\xA8\x03\xAF\xA9\x73\xEB"
936          "\xDE\x0F\xF2\x44\x87\x7E\xA6\x0A\x4C\xB0\x43\x2C\xE5\x77\xC3\x1B"
937          "\xEB\x00\x9C\x5C\x2C\x49\xAA\x2E\x4E\xAD\xB2\x17\xAD\x8C\xC0\x9B",
938          64);
939       if (errtxt)
940         goto failed;
941     }
942
943   return 0; /* Succeeded. */
944
945  failed:
946   if (report)
947     report ("digest", GCRY_MD_SHA512, what, errtxt);
948   return GPG_ERR_SELFTEST_FAILED;
949 }
950
951 static gpg_err_code_t
952 selftests_sha512_224 (int extended, selftest_report_func_t report)
953 {
954   const char *what;
955   const char *errtxt;
956
957   what = "short string";
958   errtxt = _gcry_hash_selftest_check_one
959     (GCRY_MD_SHA512_224, 0,
960      "abc", 3,
961      "\x46\x34\x27\x0F\x70\x7B\x6A\x54\xDA\xAE\x75\x30\x46\x08\x42\xE2"
962      "\x0E\x37\xED\x26\x5C\xEE\xE9\xA4\x3E\x89\x24\xAA",
963      28);
964   if (errtxt)
965     goto failed;
966
967   if (extended)
968     {
969       what = "long string";
970       errtxt = _gcry_hash_selftest_check_one
971         (GCRY_MD_SHA512_224, 0,
972          "abcdefghbcdefghicdefghijdefghijkefghijklfghijklmghijklmn"
973          "hijklmnoijklmnopjklmnopqklmnopqrlmnopqrsmnopqrstnopqrstu", 112,
974          "\x23\xFE\xC5\xBB\x94\xD6\x0B\x23\x30\x81\x92\x64\x0B\x0C\x45\x33"
975          "\x35\xD6\x64\x73\x4F\xE4\x0E\x72\x68\x67\x4A\xF9",
976          28);
977       if (errtxt)
978         goto failed;
979
980       what = "one million \"a\"";
981       errtxt = _gcry_hash_selftest_check_one
982         (GCRY_MD_SHA512_224, 1,
983          NULL, 0,
984          "\x37\xab\x33\x1d\x76\xf0\xd3\x6d\xe4\x22\xbd\x0e\xde\xb2\x2a\x28"
985          "\xac\xcd\x48\x7b\x7a\x84\x53\xae\x96\x5d\xd2\x87",
986          28);
987       if (errtxt)
988         goto failed;
989     }
990
991   return 0; /* Succeeded. */
992
993  failed:
994   if (report)
995     report ("digest", GCRY_MD_SHA512_224, what, errtxt);
996   return GPG_ERR_SELFTEST_FAILED;
997 }
998
999 static gpg_err_code_t
1000 selftests_sha512_256 (int extended, selftest_report_func_t report)
1001 {
1002   const char *what;
1003   const char *errtxt;
1004
1005   what = "short string";
1006   errtxt = _gcry_hash_selftest_check_one
1007     (GCRY_MD_SHA512_256, 0,
1008      "abc", 3,
1009      "\x53\x04\x8E\x26\x81\x94\x1E\xF9\x9B\x2E\x29\xB7\x6B\x4C\x7D\xAB"
1010      "\xE4\xC2\xD0\xC6\x34\xFC\x6D\x46\xE0\xE2\xF1\x31\x07\xE7\xAF\x23",
1011      32);
1012   if (errtxt)
1013     goto failed;
1014
1015   if (extended)
1016     {
1017       what = "long string";
1018       errtxt = _gcry_hash_selftest_check_one
1019         (GCRY_MD_SHA512_256, 0,
1020          "abcdefghbcdefghicdefghijdefghijkefghijklfghijklmghijklmn"
1021          "hijklmnoijklmnopjklmnopqklmnopqrlmnopqrsmnopqrstnopqrstu", 112,
1022          "\x39\x28\xE1\x84\xFB\x86\x90\xF8\x40\xDA\x39\x88\x12\x1D\x31\xBE"
1023          "\x65\xCB\x9D\x3E\xF8\x3E\xE6\x14\x6F\xEA\xC8\x61\xE1\x9B\x56\x3A",
1024          32);
1025       if (errtxt)
1026         goto failed;
1027
1028       what = "one million \"a\"";
1029       errtxt = _gcry_hash_selftest_check_one
1030         (GCRY_MD_SHA512_256, 1,
1031          NULL, 0,
1032          "\x9a\x59\xa0\x52\x93\x01\x87\xa9\x70\x38\xca\xe6\x92\xf3\x07\x08"
1033          "\xaa\x64\x91\x92\x3e\xf5\x19\x43\x94\xdc\x68\xd5\x6c\x74\xfb\x21",
1034          32);
1035       if (errtxt)
1036         goto failed;
1037     }
1038
1039   return 0; /* Succeeded. */
1040
1041  failed:
1042   if (report)
1043     report ("digest", GCRY_MD_SHA512_256, what, errtxt);
1044   return GPG_ERR_SELFTEST_FAILED;
1045 }
1046
1047
1048 /* Run a full self-test for ALGO and return 0 on success.  */
1049 static gpg_err_code_t
1050 run_selftests (int algo, int extended, selftest_report_func_t report)
1051 {
1052   gpg_err_code_t ec;
1053
1054   switch (algo)
1055     {
1056     case GCRY_MD_SHA384:
1057       ec = selftests_sha384 (extended, report);
1058       break;
1059     case GCRY_MD_SHA512:
1060       ec = selftests_sha512 (extended, report);
1061       break;
1062     case GCRY_MD_SHA512_224:
1063       ec = selftests_sha512_224 (extended, report);
1064       break;
1065     case GCRY_MD_SHA512_256:
1066       ec = selftests_sha512_256 (extended, report);
1067       break;
1068     default:
1069       ec = GPG_ERR_DIGEST_ALGO;
1070       break;
1071
1072     }
1073   return ec;
1074 }
1075
1076
1077
1078 \f
1079 static byte sha512_asn[] =      /* Object ID is 2.16.840.1.101.3.4.2.3 */
1080   {
1081     0x30, 0x51, 0x30, 0x0d, 0x06, 0x09, 0x60, 0x86,
1082     0x48, 0x01, 0x65, 0x03, 0x04, 0x02, 0x03, 0x05,
1083     0x00, 0x04, 0x40
1084   };
1085
1086 static gcry_md_oid_spec_t oid_spec_sha512[] =
1087   {
1088     { "2.16.840.1.101.3.4.2.3" },
1089
1090     /* PKCS#1 sha512WithRSAEncryption */
1091     { "1.2.840.113549.1.1.13" },
1092
1093     { NULL }
1094   };
1095
1096 gcry_md_spec_t _gcry_digest_spec_sha512 =
1097   {
1098     GCRY_MD_SHA512, {0, 1},
1099     "SHA512", sha512_asn, DIM (sha512_asn), oid_spec_sha512, 64,
1100     sha512_init, _gcry_md_block_write, sha512_final, sha512_read, NULL,
1101     _gcry_sha512_hash_buffer, _gcry_sha512_hash_buffers,
1102     sizeof (SHA512_CONTEXT),
1103     run_selftests
1104   };
1105
1106 static byte sha384_asn[] =      /* Object ID is 2.16.840.1.101.3.4.2.2 */
1107   {
1108     0x30, 0x41, 0x30, 0x0d, 0x06, 0x09, 0x60, 0x86,
1109     0x48, 0x01, 0x65, 0x03, 0x04, 0x02, 0x02, 0x05,
1110     0x00, 0x04, 0x30
1111   };
1112
1113 static gcry_md_oid_spec_t oid_spec_sha384[] =
1114   {
1115     { "2.16.840.1.101.3.4.2.2" },
1116
1117     /* PKCS#1 sha384WithRSAEncryption */
1118     { "1.2.840.113549.1.1.12" },
1119
1120     /* SHA384WithECDSA: RFC 7427 (A.3.3.) */
1121     { "1.2.840.10045.4.3.3" },
1122
1123     { NULL },
1124   };
1125
1126 gcry_md_spec_t _gcry_digest_spec_sha384 =
1127   {
1128     GCRY_MD_SHA384, {0, 1},
1129     "SHA384", sha384_asn, DIM (sha384_asn), oid_spec_sha384, 48,
1130     sha384_init, _gcry_md_block_write, sha512_final, sha512_read, NULL,
1131     _gcry_sha384_hash_buffer, _gcry_sha384_hash_buffers,
1132     sizeof (SHA512_CONTEXT),
1133     run_selftests
1134   };
1135
1136 static byte sha512_256_asn[] = { 0x30 };
1137
1138 static gcry_md_oid_spec_t oid_spec_sha512_256[] =
1139   {
1140     { "2.16.840.1.101.3.4.2.6" },
1141
1142     { NULL },
1143   };
1144
1145 gcry_md_spec_t _gcry_digest_spec_sha512_256 =
1146   {
1147     GCRY_MD_SHA512_256, {0, 1},
1148     "SHA512_256", sha512_256_asn, DIM (sha512_256_asn), oid_spec_sha512_256, 32,
1149     sha512_256_init, _gcry_md_block_write, sha512_final, sha512_read, NULL,
1150     _gcry_sha512_256_hash_buffer, _gcry_sha512_256_hash_buffers,
1151     sizeof (SHA512_CONTEXT),
1152     run_selftests
1153   };
1154
1155 static byte sha512_224_asn[] = { 0x30 };
1156
1157 static gcry_md_oid_spec_t oid_spec_sha512_224[] =
1158   {
1159     { "2.16.840.1.101.3.4.2.5" },
1160
1161     { NULL },
1162   };
1163
1164 gcry_md_spec_t _gcry_digest_spec_sha512_224 =
1165   {
1166     GCRY_MD_SHA512_224, {0, 1},
1167     "SHA512_224", sha512_224_asn, DIM (sha512_224_asn), oid_spec_sha512_224, 28,
1168     sha512_224_init, _gcry_md_block_write, sha512_final, sha512_read, NULL,
1169     _gcry_sha512_224_hash_buffer, _gcry_sha512_224_hash_buffers,
1170     sizeof (SHA512_CONTEXT),
1171     run_selftests
1172   };