Clarify BN_mod_exp docs
authorMatt Caswell <matt@openssl.org>
Mon, 30 Apr 2018 14:05:45 +0000 (15:05 +0100)
committerMatt Caswell <matt@openssl.org>
Tue, 1 May 2018 13:26:10 +0000 (14:26 +0100)
Specifically this is not supported with an even modulus and
BN_FLG_CONSTTIME.

Fixes #5082

Reviewed-by: Rich Salz <rsalz@openssl.org>
(Merged from https://github.com/openssl/openssl/pull/6138)

(cherry picked from commit 966b3df182b9c8644c154f1c3e686027d37acb05)

doc/crypto/BN_add.pod

index 88c7a799eea5a119f77ac4e9cbd8e0ac2bf02202..02e5486416630c73824833790d65d45acbf8d2d5 100644 (file)
@@ -91,7 +91,9 @@ BN_exp() raises I<a> to the I<p>-th power and places the result in I<r>
 BN_mul().
 
 BN_mod_exp() computes I<a> to the I<p>-th power modulo I<m> (C<r=a^p %
-m>). This function uses less time and space than BN_exp().
+m>). This function uses less time and space than BN_exp(). Do not call this
+function when B<m> is even and any of the parameters have the
+B<BN_FLG_CONSTTIME> flag set.
 
 BN_gcd() computes the greatest common divisor of I<a> and I<b> and
 places the result in I<r>. I<r> may be the same B<BIGNUM> as I<a> or