Add TeamIdentifier to -h

[ldid.git] / ldid.cpp
diff --git a/ldid.cpp b/ldid.cpp

index aefe7929eaec24d1fab53fa905ed5488370391ec..1f20275d368b5ba27d788e4d9e7d28497fbacc4c 100644 (file)
--- a/ldid.cpp
+++ b/ldid.cpp
@@ -2,6 +2,7 @@
   * Copyright (C) 2007-2015  Jay Freeman (saurik)
  */
  
   * Copyright (C) 2007-2015  Jay Freeman (saurik)
  */
  
+/* SPDX-License-Identifier: AGPL-3.0-only */
  /* GNU Affero General Public License, Version 3 {{{ */
  /*
   * This program is free software: you can redistribute it and/or modify
  /* GNU Affero General Public License, Version 3 {{{ */
  /*
   * This program is free software: you can redistribute it and/or modify
@@ -19,6 +20,7 @@
  **/
  /* }}} */
  
  **/
  /* }}} */
  
+#include <algorithm>
  #include <cstdio>
  #include <cstdlib>
  #include <cstring>
  #include <cstdio>
  #include <cstdlib>
  #include <cstring>
@@ -42,75 +44,50 @@
  #include <sys/stat.h>
  #include <sys/types.h>
  
  #include <sys/stat.h>
  #include <sys/types.h>
  
-#ifndef LDID_NOSMIME
+#include <openssl/opensslv.h>
+# if OPENSSL_VERSION_MAJOR >= 3
+#  include <openssl/provider.h>
+# endif
  #include <openssl/err.h>
  #include <openssl/pem.h>
  #include <openssl/pkcs7.h>
  #include <openssl/pkcs12.h>
  #include <openssl/err.h>
  #include <openssl/pem.h>
  #include <openssl/pkcs7.h>
  #include <openssl/pkcs12.h>
-#endif
+#include <openssl/ui.h>
  
  
-#ifdef __APPLE__
-#include <CommonCrypto/CommonDigest.h>
-
-#define LDID_SHA1_DIGEST_LENGTH CC_SHA1_DIGEST_LENGTH
-#define LDID_SHA1 CC_SHA1
-#define LDID_SHA1_CTX CC_SHA1_CTX
-#define LDID_SHA1_Init CC_SHA1_Init
-#define LDID_SHA1_Update CC_SHA1_Update
-#define LDID_SHA1_Final CC_SHA1_Final
-
-#define LDID_SHA256_DIGEST_LENGTH CC_SHA256_DIGEST_LENGTH
-#define LDID_SHA256 CC_SHA256
-#define LDID_SHA256_CTX CC_SHA256_CTX
-#define LDID_SHA256_Init CC_SHA256_Init
-#define LDID_SHA256_Update CC_SHA256_Update
-#define LDID_SHA256_Final CC_SHA256_Final
-#else
-#include <openssl/sha.h>
-
-#define LDID_SHA1_DIGEST_LENGTH SHA_DIGEST_LENGTH
-#define LDID_SHA1 SHA1
-#define LDID_SHA1_CTX SHA_CTX
-#define LDID_SHA1_Init SHA1_Init
-#define LDID_SHA1_Update SHA1_Update
-#define LDID_SHA1_Final SHA1_Final
-
-#define LDID_SHA256_DIGEST_LENGTH SHA256_DIGEST_LENGTH
-#define LDID_SHA256 SHA256
-#define LDID_SHA256_CTX SHA256_CTX
-#define LDID_SHA256_Init SHA256_Init
-#define LDID_SHA256_Update SHA256_Update
-#define LDID_SHA256_Final SHA256_Final
-#endif
+#include <openssl/evp.h>
  
  
-#ifndef LDID_NOPLIST
  #include <plist/plist.h>
  #include <plist/plist.h>
-#endif
  
  #include "ldid.hpp"
  
  
  #include "ldid.hpp"
  
+#include "machine.h"
+
  #define _assert___(line) \
      #line
  #define _assert__(line) \
      _assert___(line)
  
  #define _assert___(line) \
      #line
  #define _assert__(line) \
      _assert___(line)
  
+#ifndef $
+#define $(value) value
+#endif
+
  #ifdef __EXCEPTIONS
  #define _assert_(expr, format, ...) \
      do if (!(expr)) { \
  #ifdef __EXCEPTIONS
  #define _assert_(expr, format, ...) \
      do if (!(expr)) { \
-        fprintf(stderr, "%s(%u): _assert(): " format "\n", __FILE__, __LINE__, ## __VA_ARGS__); \
-        throw __FILE__ "(" _assert__(__LINE__) "): _assert(" #expr ")"; \
+        fprintf(stderr, $("%s(%u): _assert(): " format "\n"), __FILE__, __LINE__, ## __VA_ARGS__); \
+        throw $(__FILE__ "(" _assert__(__LINE__) "): _assert(" #expr ")"); \
      } while (false)
  #else
  // XXX: this is not acceptable
  #define _assert_(expr, format, ...) \
      do if (!(expr)) { \
      } while (false)
  #else
  // XXX: this is not acceptable
  #define _assert_(expr, format, ...) \
      do if (!(expr)) { \
-        fprintf(stderr, "%s(%u): _assert(): " format "\n", __FILE__, __LINE__, ## __VA_ARGS__); \
+        fprintf(stderr, $("%s(%u): _assert(): " format "\n"), __FILE__, __LINE__, ## __VA_ARGS__); \
          exit(-1); \
      } while (false)
  #endif
  
  #define _assert(expr) \
          exit(-1); \
      } while (false)
  #endif
  
  #define _assert(expr) \
-    _assert_(expr, "%s", #expr)
+    _assert_(expr, "%s", $(#expr))
  
  #define _syscall(expr, ...) [&] { for (;;) { \
      auto _value(expr); \
  
  #define _syscall(expr, ...) [&] { for (;;) { \
      auto _value(expr); \
@@ -123,11 +100,12 @@
      for (auto success : (long[]) {EINTR, __VA_ARGS__}) \
          if (error == success) \
              return (decltype(expr)) -success; \
      for (auto success : (long[]) {EINTR, __VA_ARGS__}) \
          if (error == success) \
              return (decltype(expr)) -success; \
-    _assert_(false, "errno=%u", error); \
+    fprintf(stderr, "ldid: %s: %s\n", __func__, strerror(error)); \
+    exit(1); \
  } }()
  
  #define _trace() \
  } }()
  
  #define _trace() \
-    fprintf(stderr, "_trace(%s:%u): %s\n", __FILE__, __LINE__, __FUNCTION__)
+    fprintf(stderr, $("_trace(%s:%u): %s\n"), __FILE__, __LINE__, $(__FUNCTION__))
  
  #define _not(type) \
      ((type) ~ (type) 0)
  
  #define _not(type) \
      ((type) ~ (type) 0)
@@ -135,6 +113,9 @@
  #define _packed \
      __attribute__((packed))
  
  #define _packed \
      __attribute__((packed))
  
+std::string password;
+std::vector<std::string> cleanup;
+
  template <typename Type_>
  struct Iterator_ {
      typedef typename Type_::const_iterator Result;
  template <typename Type_>
  struct Iterator_ {
      typedef typename Type_::const_iterator Result;
@@ -181,27 +162,6 @@ Scope<Function_> _scope(const Function_ &function) {
  #define _scope(function) \
      _scope_(__COUNTER__, function)
  
  #define _scope(function) \
      _scope_(__COUNTER__, function)
  
-#define CPU_ARCH_MASK  uint32_t(0xff000000)
-#define CPU_ARCH_ABI64 uint32_t(0x01000000)
-
-#define CPU_TYPE_ANY     uint32_t(-1)
-#define CPU_TYPE_VAX     uint32_t( 1)
-#define CPU_TYPE_MC680x0 uint32_t( 6)
-#define CPU_TYPE_X86     uint32_t( 7)
-#define CPU_TYPE_MC98000 uint32_t(10)
-#define CPU_TYPE_HPPA    uint32_t(11)
-#define CPU_TYPE_ARM     uint32_t(12)
-#define CPU_TYPE_MC88000 uint32_t(13)
-#define CPU_TYPE_SPARC   uint32_t(14)
-#define CPU_TYPE_I860    uint32_t(15)
-#define CPU_TYPE_POWERPC uint32_t(18)
-
-#define CPU_TYPE_I386 CPU_TYPE_X86
-
-#define CPU_TYPE_ARM64     (CPU_ARCH_ABI64 | CPU_TYPE_ARM)
-#define CPU_TYPE_POWERPC64 (CPU_ARCH_ABI64 | CPU_TYPE_POWERPC)
-#define CPU_TYPE_X86_64    (CPU_ARCH_ABI64 | CPU_TYPE_X86)
-
  struct fat_header {
      uint32_t magic;
      uint32_t nfat_arch;
  struct fat_header {
      uint32_t magic;
      uint32_t nfat_arch;
@@ -239,6 +199,7 @@ struct mach_header {
  #define MH_OBJECT     0x1
  #define MH_EXECUTE    0x2
  #define MH_DYLIB      0x6
  #define MH_OBJECT     0x1
  #define MH_EXECUTE    0x2
  #define MH_DYLIB      0x6
+#define MH_DYLINKER   0x7
  #define MH_BUNDLE     0x8
  #define MH_DYLIB_STUB 0x9
  
  #define MH_BUNDLE     0x8
  #define MH_DYLIB_STUB 0x9
  
@@ -475,12 +436,43 @@ struct encryption_info_command {
  #define BIND_OPCODE_DO_BIND_ADD_ADDR_IMM_SCALED      0xb0
  #define BIND_OPCODE_DO_BIND_ULEB_TIMES_SKIPPING_ULEB 0xc0
  
  #define BIND_OPCODE_DO_BIND_ADD_ADDR_IMM_SCALED      0xb0
  #define BIND_OPCODE_DO_BIND_ULEB_TIMES_SKIPPING_ULEB 0xc0
  
+struct : ldid::Progress {
+    virtual void operator()(const std::string &value) const {
+    }
+
+    virtual void operator()(double value) const {
+    }
+} dummy_;
+
+struct Progression : ldid::Progress {
+    const ldid::Progress &progress_;
+    std::string name_;
+
+    Progression(const ldid::Progress &progress, const std::string &name) :
+        progress_(progress),
+        name_(name)
+    {
+    }
+
+    virtual void operator()(const std::string &value) const {
+        return progress_(name_ + " (" + value + ")");
+    }
+
+    virtual void operator()(double value) const {
+        return progress_(value);
+    }
+};
+
  static std::streamsize read(std::streambuf &stream, void *data, size_t size) {
      auto writ(stream.sgetn(static_cast<char *>(data), size));
      _assert(writ >= 0);
      return writ;
  }
  
  static std::streamsize read(std::streambuf &stream, void *data, size_t size) {
      auto writ(stream.sgetn(static_cast<char *>(data), size));
      _assert(writ >= 0);
      return writ;
  }
  
+static inline void put(std::streambuf &stream, uint8_t value) {
+    _assert(stream.sputc(value) != EOF);
+}
+
  static inline void get(std::streambuf &stream, void *data, size_t size) {
      _assert(read(stream, data, size) == size);
  }
  static inline void get(std::streambuf &stream, void *data, size_t size) {
      _assert(read(stream, data, size) == size);
  }
@@ -489,6 +481,20 @@ static inline void put(std::streambuf &stream, const void *data, size_t size) {
      _assert(stream.sputn(static_cast<const char *>(data), size) == size);
  }
  
      _assert(stream.sputn(static_cast<const char *>(data), size) == size);
  }
  
+static inline void put(std::streambuf &stream, const void *data, size_t size, const ldid::Progress &progress) {
+    progress(0);
+    for (size_t total(0); total != size;) {
+        auto writ(std::min(size - total, size_t(4096 * 4)));
+        _assert(stream.sputn(static_cast<const char *>(data) + total, writ) == writ);
+        total += writ;
+        progress(double(total) / size);
+    }
+}
+
+static inline void put(std::streambuf &stream, const std::string &data) {
+    return put(stream, data.data(), data.size());
+}
+
  static size_t most(std::streambuf &stream, void *data, size_t size) {
      size_t total(size);
      while (size > 0)
  static size_t most(std::streambuf &stream, void *data, size_t size) {
      size_t total(size);
      while (size > 0)
@@ -515,6 +521,157 @@ Type_ Align(Type_ value, size_t align) {
  static const uint8_t PageShift_(0x0c);
  static const uint32_t PageSize_(1 << PageShift_);
  
  static const uint8_t PageShift_(0x0c);
  static const uint32_t PageSize_(1 << PageShift_);
  
+static inline unsigned bytes(uint64_t value) {
+    return (64 - __builtin_clzll(value) + 7) / 8;
+}
+
+static void put(std::streambuf &stream, uint64_t value, size_t length) {
+    length *= 8;
+    do put(stream, uint8_t(value >> (length -= 8)));
+    while (length != 0);
+}
+
+static void der(std::streambuf &stream, uint64_t value) {
+    if (value < 128)
+        put(stream, value);
+    else {
+        unsigned length(bytes(value));
+        put(stream, 0x80 | length);
+        put(stream, value, length);
+    }
+}
+
+static std::string der(uint8_t tag, const char *value, size_t length) {
+    std::stringbuf data;
+    put(data, tag);
+    der(data, length);
+    put(data, value, length);
+    return data.str();
+}
+
+static std::string der(uint8_t tag, const char *value) {
+    return der(tag, value, strlen(value)); }
+static std::string der(uint8_t tag, const std::string &value) {
+    return der(tag, value.data(), value.size()); }
+
+template <typename Type_>
+static void der_(std::stringbuf &data, const Type_ &values) {
+    size_t size(0);
+    for (const auto &value : values)
+        size += value.size();
+    der(data, size);
+    for (const auto &value : values)
+        put(data, value);
+}
+
+static std::string der(const std::vector<std::string> &values) {
+    std::stringbuf data;
+    put(data, 0x30);
+    der_(data, values);
+    return data.str();
+}
+
+static std::string der(const std::multiset<std::string> &values) {
+    std::stringbuf data;
+    put(data, 0x31);
+    der_(data, values);
+    return data.str();
+}
+
+static std::string der(const std::pair<std::string, std::string> &value) {
+    const auto key(der(0x0c, value.first));
+    std::stringbuf data;
+    put(data, 0x30);
+    der(data, key.size() + value.second.size());
+    put(data, key);
+    put(data, value.second);
+    return data.str();
+}
+
+static std::string der(plist_t data) {
+    switch (const auto type = plist_get_node_type(data)) {
+        case PLIST_BOOLEAN: {
+            uint8_t value(0);
+            plist_get_bool_val(data, &value);
+
+            std::stringbuf data;
+            put(data, 0x01);
+            der(data, 1);
+            put(data, value != 0 ? 1 : 0);
+            return data.str();
+        } break;
+
+        case PLIST_UINT: {
+            uint64_t value;
+            plist_get_uint_val(data, &value);
+            const auto length(bytes(value));
+
+            std::stringbuf data;
+            put(data, 0x02);
+            der(data, length);
+            put(data, value, length);
+            return data.str();
+        } break;
+
+        case PLIST_REAL: {
+            fprintf(stderr, "ldid: Invalid plist entry type\n");
+            exit(1);
+        } break;
+
+        case PLIST_DATE: {
+            fprintf(stderr, "ldid: Invalid plist entry type\n");
+            exit(1);
+        } break;
+
+        case PLIST_DATA: {
+            char *value;
+            uint64_t length;
+            plist_get_data_val(data, &value, &length);
+            _scope({ free(value); });
+            return der(0x04, value, length);
+        } break;
+
+        case PLIST_STRING: {
+            char *value;
+            plist_get_string_val(data, &value);
+            _scope({ free(value); });
+            return der(0x0c, value);
+        } break;
+
+        case PLIST_ARRAY: {
+            std::vector<std::string> values;
+            for (auto e(plist_array_get_size(data)), i(decltype(e)(0)); i != e; ++i)
+                values.push_back(der(plist_array_get_item(data, i)));
+            return der(values);
+        } break;
+
+        case PLIST_DICT: {
+            std::multiset<std::string> values;
+
+            plist_dict_iter iterator(NULL);
+            plist_dict_new_iter(data, &iterator);
+            _scope({ free(iterator); });
+
+            for (;;) {
+                char *key(NULL);
+                plist_t value(NULL);
+                plist_dict_next_item(data, iterator, &key, &value);
+                if (key == NULL)
+                    break;
+                _scope({ free(key); });
+                values.insert(der(std::make_pair(key, der(value))));
+            }
+
+            return der(values);
+        } break;
+
+        default: {
+            fprintf(stderr, "ldid: Unsupported plist type %d", type);
+            exit(1);
+        } break;
+    }
+}
+
  static inline uint16_t Swap_(uint16_t value) {
      return
          ((value >>  8) & 0x00ff) |
  static inline uint16_t Swap_(uint16_t value) {
      return
          ((value >>  8) & 0x00ff) |
@@ -647,7 +804,8 @@ class MachHeader :
              break;
  
              default:
              break;
  
              default:
-                _assert(false);
+                fprintf(stderr, "ldid: Unknown header magic\nAre you sure that is a Mach-O?\n");
+                exit(1);
          }
  
          void *post = mach_header_ + 1;
          }
  
          void *post = mach_header_ + 1;
@@ -655,11 +813,13 @@ class MachHeader :
              post = (uint32_t *) post + 1;
          load_command_ = (struct load_command *) post;
  
              post = (uint32_t *) post + 1;
          load_command_ = (struct load_command *) post;
  
-        _assert(
-            Swap(mach_header_->filetype) == MH_EXECUTE ||
-            Swap(mach_header_->filetype) == MH_DYLIB ||
-            Swap(mach_header_->filetype) == MH_BUNDLE
-        );
+        if (Swap(mach_header_->filetype) != MH_EXECUTE &&
+            Swap(mach_header_->filetype) != MH_DYLIB &&
+            Swap(mach_header_->filetype) != MH_DYLINKER &&
+            Swap(mach_header_->filetype) != MH_BUNDLE) {
+            fprintf(stderr, "ldid: Unsupported Mach-O type\n");
+            exit(1);
+        }
      }
  
      bool Bits64() const {
      }
  
      bool Bits64() const {
@@ -798,6 +958,7 @@ class FatHeader :
  #define CSMAGIC_EMBEDDED_SIGNATURE     uint32_t(0xfade0cc0)
  #define CSMAGIC_EMBEDDED_SIGNATURE_OLD uint32_t(0xfade0b02)
  #define CSMAGIC_EMBEDDED_ENTITLEMENTS  uint32_t(0xfade7171)
  #define CSMAGIC_EMBEDDED_SIGNATURE     uint32_t(0xfade0cc0)
  #define CSMAGIC_EMBEDDED_SIGNATURE_OLD uint32_t(0xfade0b02)
  #define CSMAGIC_EMBEDDED_ENTITLEMENTS  uint32_t(0xfade7171)
+#define CSMAGIC_EMBEDDED_DERFORMAT     uint32_t(0xfade7172) // name?
  #define CSMAGIC_DETACHED_SIGNATURE     uint32_t(0xfade0cc1)
  #define CSMAGIC_BLOBWRAPPER            uint32_t(0xfade0b01)
  
  #define CSMAGIC_DETACHED_SIGNATURE     uint32_t(0xfade0cc1)
  #define CSMAGIC_BLOBWRAPPER            uint32_t(0xfade0b01)
  
@@ -807,10 +968,36 @@ class FatHeader :
  #define CSSLOT_RESOURCEDIR   uint32_t(0x00003)
  #define CSSLOT_APPLICATION   uint32_t(0x00004)
  #define CSSLOT_ENTITLEMENTS  uint32_t(0x00005)
  #define CSSLOT_RESOURCEDIR   uint32_t(0x00003)
  #define CSSLOT_APPLICATION   uint32_t(0x00004)
  #define CSSLOT_ENTITLEMENTS  uint32_t(0x00005)
+#define CSSLOT_REPSPECIFIC   uint32_t(0x00006) // name?
+#define CSSLOT_DERFORMAT     uint32_t(0x00007) // name?
+#define CSSLOT_ALTERNATE     uint32_t(0x01000)
  
  #define CSSLOT_SIGNATURESLOT uint32_t(0x10000)
  
  
  #define CSSLOT_SIGNATURESLOT uint32_t(0x10000)
  
-#define CS_HASHTYPE_SHA1 1
+#define CS_HASHTYPE_SHA160_160 1
+#define CS_HASHTYPE_SHA256_256 2
+#define CS_HASHTYPE_SHA256_160 3
+#define CS_HASHTYPE_SHA386_386 4
+
+#if 0
+#define CS_EXECSEG_MAIN_BINARY     0x001 /* executable segment denotes main binary */
+#define CS_EXECSEG_ALLOW_UNSIGNED  0x010 /* allow unsigned pages (for debugging) */
+#define CS_EXECSEG_DEBUGGER        0x020 /* main binary is debugger */
+#define CS_EXECSEG_JIT             0x040 /* JIT enabled */
+#define CS_EXECSEG_SKIP_LV         0x080 /* skip library validation */
+#define CS_EXECSEG_CAN_LOAD_CDHASH 0x100 /* can bless cdhash for execution */
+#define CS_EXECSEG_CAN_EXEC_CDHASH 0x200 /* can execute blessed cdhash */
+#else
+enum SecCodeExecSegFlags {
+    kSecCodeExecSegMainBinary = 0x001,
+    kSecCodeExecSegAllowUnsigned = 0x010,
+    kSecCodeExecSegDebugger = 0x020,
+    kSecCodeExecSegJit = 0x040,
+    kSecCodeExecSegSkipLibraryVal = 0x080,
+    kSecCodeExecSegCanLoadCdHash = 0x100,
+    kSecCodeExecSegCanExecCdHash = 0x100,
+};
+#endif
  
  struct BlobIndex {
      uint32_t type;
  
  struct BlobIndex {
      uint32_t type;
@@ -838,43 +1025,210 @@ struct CodeDirectory {
      uint32_t codeLimit;
      uint8_t hashSize;
      uint8_t hashType;
      uint32_t codeLimit;
      uint8_t hashSize;
      uint8_t hashType;
-    uint8_t spare1;
+    uint8_t platform;
      uint8_t pageSize;
      uint32_t spare2;
      uint32_t scatterOffset;
      uint32_t teamIDOffset;
      uint32_t spare3;
      uint64_t codeLimit64;
      uint8_t pageSize;
      uint32_t spare2;
      uint32_t scatterOffset;
      uint32_t teamIDOffset;
      uint32_t spare3;
      uint64_t codeLimit64;
+    uint64_t execSegBase;
+    uint64_t execSegLimit;
+    uint64_t execSegFlags;
+#if 0 // version = 0x20500
+    uint32_t runtime;
+    uint32_t preEncryptOffset;
+#endif
+#if 0 // version = 0x20600
+    uint8_t linkageHashType;
+    uint8_t linkageTruncated;
+    uint16_t spare4;
+    uint32_t linkageOffset;
+    uint32_t linkageSize;
+#endif
  } _packed;
  
  } _packed;
  
-#ifndef LDID_NOFLAGT
-extern "C" uint32_t hash(uint8_t *k, uint32_t length, uint32_t initval);
-#endif
+enum CodeSignatureFlags {
+    kSecCodeSignatureHost = 0x0001,
+    kSecCodeSignatureAdhoc = 0x0002,
+    kSecCodeSignatureForceHard = 0x0100,
+    kSecCodeSignatureForceKill = 0x0200,
+    kSecCodeSignatureForceExpiration = 0x0400,
+    kSecCodeSignatureRestrict = 0x0800,
+    kSecCodeSignatureEnforcement = 0x1000,
+    kSecCodeSignatureLibraryValidation = 0x2000,
+    kSecCodeSignatureRuntime = 0x10000,
+};
  
  
-static void sha1(uint8_t *hash, const void *data, size_t size) {
-    LDID_SHA1(static_cast<const uint8_t *>(data), size, hash);
-}
+enum Kind : uint32_t {
+    exprForm = 1, // prefix expr form
+};
+
+enum ExprOp : uint32_t {
+    opFalse, // unconditionally false
+    opTrue, // unconditionally true
+    opIdent, // match canonical code [string]
+    opAppleAnchor, // signed by Apple as Apple's product
+    opAnchorHash, // match anchor [cert hash]
+    opInfoKeyValue, // *legacy* - use opInfoKeyField [key; value]
+    opAnd, // binary prefix expr AND expr [expr; expr]
+    opOr, // binary prefix expr OR expr [expr; expr]
+    opCDHash, // match hash of CodeDirectory directly [cd hash]
+    opNot, // logical inverse [expr]
+    opInfoKeyField, // Info.plist key field [string; match suffix]
+    opCertField, // Certificate field [cert index; field name; match suffix]
+    opTrustedCert, // require trust settings to approve one particular cert [cert index]
+    opTrustedCerts, // require trust settings to approve the cert chain
+    opCertGeneric, // Certificate component by OID [cert index; oid; match suffix]
+    opAppleGenericAnchor, // signed by Apple in any capacity
+    opEntitlementField, // entitlement dictionary field [string; match suffix]
+    opCertPolicy, // Certificate policy by OID [cert index; oid; match suffix]
+    opNamedAnchor, // named anchor type
+    opNamedCode, // named subroutine
+    opPlatform, // platform constraint [integer]
+    exprOpCount // (total opcode count in use)
+};
+
+enum MatchOperation {
+    matchExists, // anything but explicit "false" - no value stored
+    matchEqual, // equal (CFEqual)
+    matchContains, // partial match (substring)
+    matchBeginsWith, // partial match (initial substring)
+    matchEndsWith, // partial match (terminal substring)
+    matchLessThan, // less than (string with numeric comparison)
+    matchGreaterThan, // greater than (string with numeric comparison)
+    matchLessEqual, // less or equal (string with numeric comparison)
+    matchGreaterEqual, // greater or equal (string with numeric comparison)
+};
+
+#define OID_ISO_MEMBER 42
+#define OID_US OID_ISO_MEMBER, 134, 72
+#define APPLE_OID OID_US, 0x86, 0xf7, 0x63
+#define APPLE_ADS_OID APPLE_OID, 0x64
+#define APPLE_EXTENSION_OID APPLE_ADS_OID, 6
+
+
+struct Algorithm {
+    size_t size_;
+    uint8_t type_;
+
+    Algorithm(size_t size, uint8_t type) :
+        size_(size),
+        type_(type)
+    {
+    }
+
+    virtual const uint8_t *operator [](const ldid::Hash &hash) const = 0;
+
+    virtual void operator ()(uint8_t *hash, const void *data, size_t size) const = 0;
+    virtual void operator ()(ldid::Hash &hash, const void *data, size_t size) const = 0;
+    virtual void operator ()(std::vector<char> &hash, const void *data, size_t size) const = 0;
+
+    virtual const char *name() = 0;
+};
+
+struct AlgorithmSHA1 :
+    Algorithm
+{
+    AlgorithmSHA1() :
+        Algorithm(SHA_DIGEST_LENGTH, CS_HASHTYPE_SHA160_160)
+    {
+    }
+
+    virtual const uint8_t *operator [](const ldid::Hash &hash) const {
+        return hash.sha1_;
+    }
+
+    void operator ()(uint8_t *hash, const void *data, size_t size) const {
+        SHA1(static_cast<const uint8_t *>(data), size, hash);
+    }
+
+    void operator ()(ldid::Hash &hash, const void *data, size_t size) const {
+        return operator()(hash.sha1_, data, size);
+    }
+
+    void operator ()(std::vector<char> &hash, const void *data, size_t size) const {
+        hash.resize(SHA_DIGEST_LENGTH);
+        return operator ()(reinterpret_cast<uint8_t *>(hash.data()), data, size);
+    }
+
+    virtual const char *name() {
+        return "sha1";
+    }
+};
+
+struct AlgorithmSHA256 :
+    Algorithm
+{
+    AlgorithmSHA256() :
+        Algorithm(SHA256_DIGEST_LENGTH, CS_HASHTYPE_SHA256_256)
+    {
+    }
+
+    virtual const uint8_t *operator [](const ldid::Hash &hash) const {
+        return hash.sha256_;
+    }
+
+    void operator ()(uint8_t *hash, const void *data, size_t size) const {
+        SHA256(static_cast<const uint8_t *>(data), size, hash);
+    }
+
+    void operator ()(ldid::Hash &hash, const void *data, size_t size) const {
+        return operator()(hash.sha256_, data, size);
+    }
+
+    void operator ()(std::vector<char> &hash, const void *data, size_t size) const {
+        hash.resize(SHA256_DIGEST_LENGTH);
+        return operator ()(reinterpret_cast<uint8_t *>(hash.data()), data, size);
+    }
+
+    virtual const char *name() {
+        return "sha256";
+    }
+};
+
+static bool do_sha1(true);
+static bool do_sha256(true);
+
+static const std::vector<Algorithm *> &GetAlgorithms() {
+    static AlgorithmSHA1 sha1;
+    static AlgorithmSHA256 sha256;
  
  
-static void sha1(std::vector<char> &hash, const void *data, size_t size) {
-    hash.resize(LDID_SHA1_DIGEST_LENGTH);
-    sha1(reinterpret_cast<uint8_t *>(hash.data()), data, size);
+    static std::vector<Algorithm *> algorithms;
+    if (algorithms.empty()) {
+        if (do_sha1)
+            algorithms.push_back(&sha1);
+        if (do_sha256)
+            algorithms.push_back(&sha256);
+    }
+
+    return algorithms;
  }
  
  }
  
+struct Baton {
+    std::string entitlements_;
+    std::string derformat_;
+};
+
  struct CodesignAllocation {
      FatMachHeader mach_header_;
  struct CodesignAllocation {
      FatMachHeader mach_header_;
-    uint32_t offset_;
+    uint64_t offset_;
      uint32_t size_;
      uint32_t size_;
-    uint32_t limit_;
+    uint64_t limit_;
      uint32_t alloc_;
      uint32_t align_;
      uint32_t alloc_;
      uint32_t align_;
+    const char *arch_;
+    Baton baton_;
  
  
-    CodesignAllocation(FatMachHeader mach_header, size_t offset, size_t size, size_t limit, size_t alloc, size_t align) :
+    CodesignAllocation(FatMachHeader mach_header, size_t offset, size_t size, size_t limit, size_t alloc, size_t align, const char *arch, const Baton &baton) :
          mach_header_(mach_header),
          offset_(offset),
          size_(size),
          limit_(limit),
          alloc_(alloc),
          mach_header_(mach_header),
          offset_(offset),
          size_(size),
          limit_(limit),
          alloc_(alloc),
-        align_(align)
+        align_(align),
+        arch_(arch),
+        baton_(baton)
      {
      }
  };
      {
      }
  };
@@ -896,8 +1250,11 @@ class File {
      }
  
      void open(const char *path, int flags) {
      }
  
      void open(const char *path, int flags) {
-        _assert(file_ == -1);
-        file_ = _syscall(::open(path, flags));
+        file_ = ::open(path, flags);
+        if (file_ == -1) {
+            fprintf(stderr, "ldid: %s: %s\n", path, strerror(errno));
+            exit(1);
+        }
      }
  
      int file() const {
      }
  
      int file() const {
@@ -911,14 +1268,6 @@ class Map {
      void *data_;
      size_t size_;
  
      void *data_;
      size_t size_;
  
-    void clear() {
-        if (data_ == NULL)
-            return;
-        _syscall(munmap(data_, size_));
-        data_ = NULL;
-        size_ = 0;
-    }
-
    public:
      Map() :
          data_(NULL),
    public:
      Map() :
          data_(NULL),
@@ -966,6 +1315,14 @@ class Map {
              open(path, O_RDONLY, PROT_READ, MAP_PRIVATE);
      }
  
              open(path, O_RDONLY, PROT_READ, MAP_PRIVATE);
      }
  
+    void clear() {
+        if (data_ == NULL)
+            return;
+        _syscall(munmap(data_, size_));
+        data_ = NULL;
+        size_ = 0;
+    }
+
      void *data() const {
          return data_;
      }
      void *data() const {
          return data_;
      }
@@ -978,39 +1335,49 @@ class Map {
          return std::string(static_cast<char *>(data_), size_);
      }
  };
          return std::string(static_cast<char *>(data_), size_);
      }
  };
-#endif
+#endif // LDID_NOTOOLS
  
  namespace ldid {
  
  
  namespace ldid {
  
+static plist_t plist(const std::string &data);
+
+void Analyze(const MachHeader &mach_header, const Functor<void (const char *data, size_t size)> &entitle) {
+    _foreach (load_command, mach_header.GetLoadCommands())
+        if (mach_header.Swap(load_command->cmd) == LC_CODE_SIGNATURE) {
+            auto signature(reinterpret_cast<struct linkedit_data_command *>(load_command));
+            auto offset(mach_header.Swap(signature->dataoff));
+            auto pointer(reinterpret_cast<uint8_t *>(mach_header.GetBase()) + offset);
+            auto super(reinterpret_cast<struct SuperBlob *>(pointer));
+
+            for (size_t index(0); index != Swap(super->count); ++index)
+                if (Swap(super->index[index].type) == CSSLOT_ENTITLEMENTS) {
+                    auto begin(Swap(super->index[index].offset));
+                    auto blob(reinterpret_cast<struct Blob *>(pointer + begin));
+                    auto writ(Swap(blob->length) - sizeof(*blob));
+                    entitle(reinterpret_cast<char *>(blob + 1), writ);
+                }
+        }
+}
+
  std::string Analyze(const void *data, size_t size) {
      std::string entitlements;
  
      FatHeader fat_header(const_cast<void *>(data), size);
      _foreach (mach_header, fat_header.GetMachHeaders())
  std::string Analyze(const void *data, size_t size) {
      std::string entitlements;
  
      FatHeader fat_header(const_cast<void *>(data), size);
      _foreach (mach_header, fat_header.GetMachHeaders())
-        _foreach (load_command, mach_header.GetLoadCommands())
-            if (mach_header.Swap(load_command->cmd) == LC_CODE_SIGNATURE) {
-                auto signature(reinterpret_cast<struct linkedit_data_command *>(load_command));
-                auto offset(mach_header.Swap(signature->dataoff));
-                auto pointer(reinterpret_cast<uint8_t *>(mach_header.GetBase()) + offset);
-                auto super(reinterpret_cast<struct SuperBlob *>(pointer));
-
-                for (size_t index(0); index != Swap(super->count); ++index)
-                    if (Swap(super->index[index].type) == CSSLOT_ENTITLEMENTS) {
-                        auto begin(Swap(super->index[index].offset));
-                        auto blob(reinterpret_cast<struct Blob *>(pointer + begin));
-                        auto writ(Swap(blob->length) - sizeof(*blob));
-
-                        if (entitlements.empty())
-                            entitlements.assign(reinterpret_cast<char *>(blob + 1), writ);
-                        else
-                            _assert(entitlements.compare(0, entitlements.size(), reinterpret_cast<char *>(blob + 1), writ) == 0);
-                    }
-            }
+        Analyze(mach_header, fun([&](const char *data, size_t size) {
+            if (entitlements.empty())
+                entitlements.assign(data, size);
+            else
+               if (entitlements.compare(0, entitlements.size(), data, size) != 0) {
+                   fprintf(stderr, "ldid: Entitlements do not match\n");
+                   exit(1);
+               }
+        }));
  
      return entitlements;
  }
  
  
      return entitlements;
  }
  
-static void Allocate(const void *idata, size_t isize, std::streambuf &output, const Functor<size_t (const MachHeader &, size_t)> &allocate, const Functor<size_t (const MachHeader &, std::streambuf &output, size_t, const std::string &, const char *)> &save) {
+static void Allocate(const void *idata, size_t isize, std::streambuf &output, const Functor<size_t (const MachHeader &, Baton &, size_t)> &allocate, const Functor<size_t (const MachHeader &, const Baton &, std::streambuf &output, size_t, size_t, size_t, const std::string &, const char *, const Progress &)> &save, const Progress &progress) {
      FatHeader source(const_cast<void *>(idata), isize);
  
      size_t offset(0);
      FatHeader source(const_cast<void *>(idata), isize);
  
      size_t offset(0);
@@ -1024,8 +1391,7 @@ static void Allocate(const void *idata, size_t isize, std::streambuf &output, co
  
          _foreach (load_command, mach_header.GetLoadCommands()) {
              uint32_t cmd(mach_header.Swap(load_command->cmd));
  
          _foreach (load_command, mach_header.GetLoadCommands()) {
              uint32_t cmd(mach_header.Swap(load_command->cmd));
-            if (false);
-            else if (cmd == LC_CODE_SIGNATURE)
+            if (cmd == LC_CODE_SIGNATURE)
                  signature = reinterpret_cast<struct linkedit_data_command *>(load_command);
              else if (cmd == LC_SYMTAB)
                  symtab = reinterpret_cast<struct symtab_command *>(load_command);
                  signature = reinterpret_cast<struct linkedit_data_command *>(load_command);
              else if (cmd == LC_SYMTAB)
                  symtab = reinterpret_cast<struct symtab_command *>(load_command);
@@ -1041,12 +1407,15 @@ static void Allocate(const void *idata, size_t isize, std::streambuf &output, co
  
          if (symtab != NULL) {
              auto end(mach_header.Swap(symtab->stroff) + mach_header.Swap(symtab->strsize));
  
          if (symtab != NULL) {
              auto end(mach_header.Swap(symtab->stroff) + mach_header.Swap(symtab->strsize));
-            _assert(end <= size);
-            _assert(end >= size - 0x10);
-            size = end;
+            if (symtab->stroff != 0 || symtab->strsize != 0) {
+                _assert(end <= size);
+                _assert(end >= size - 0x10);
+                size = end;
+            }
          }
  
          }
  
-        size_t alloc(allocate(mach_header, size));
+        Baton baton;
+        size_t alloc(allocate(mach_header, baton, size));
  
          auto *fat_arch(mach_header.GetFatArch());
          uint32_t align;
  
          auto *fat_arch(mach_header.GetFatArch());
          uint32_t align;
@@ -1062,6 +1431,7 @@ static void Allocate(const void *idata, size_t isize, std::streambuf &output, co
                  break;
              case CPU_TYPE_ARM:
              case CPU_TYPE_ARM64:
                  break;
              case CPU_TYPE_ARM:
              case CPU_TYPE_ARM64:
+            case CPU_TYPE_ARM64_32:
                  align = 0xe;
                  break;
              default:
                  align = 0xe;
                  break;
              default:
@@ -1069,13 +1439,38 @@ static void Allocate(const void *idata, size_t isize, std::streambuf &output, co
                  break;
          }
  
                  break;
          }
  
+        const char *arch(NULL);
+        switch (mach_header.GetCPUType()) {
+            case CPU_TYPE_POWERPC:
+                arch = "ppc";
+                break;
+            case CPU_TYPE_POWERPC64:
+                arch = "ppc64";
+                break;
+            case CPU_TYPE_X86:
+                arch = "i386";
+                break;
+            case CPU_TYPE_X86_64:
+                arch = "x86_64";
+                break;
+            case CPU_TYPE_ARM:
+                arch = "arm";
+                break;
+            case CPU_TYPE_ARM64:
+                arch = "arm64";
+                break;
+            case CPU_TYPE_ARM64_32:
+                arch = "arm64_32";
+                break;
+        }
+
          offset = Align(offset, 1 << align);
  
          uint32_t limit(size);
          if (alloc != 0)
              limit = Align(limit, 0x10);
  
          offset = Align(offset, 1 << align);
  
          uint32_t limit(size);
          if (alloc != 0)
              limit = Align(limit, 0x10);
  
-        allocations.push_back(CodesignAllocation(mach_header, offset, size, limit, alloc, align));
+        allocations.push_back(CodesignAllocation(mach_header, offset, size, limit, alloc, align, arch, baton));
          offset += size + alloc;
          offset = Align(offset, 0x10);
      }
          offset += size + alloc;
          offset = Align(offset, 0x10);
      }
@@ -1089,14 +1484,27 @@ static void Allocate(const void *idata, size_t isize, std::streambuf &output, co
          put(output, &fat_header, sizeof(fat_header));
          position += sizeof(fat_header);
  
          put(output, &fat_header, sizeof(fat_header));
          position += sizeof(fat_header);
  
+        // XXX: support fat_arch_64 (not in my toolchain)
+        // probably use C++14 generic lambda (not in my toolchain)
+
+        _assert_(![&]() {
+            _foreach (allocation, allocations) {
+                const auto offset(allocation.offset_);
+                const auto size(allocation.limit_ + allocation.alloc_);
+                if (uint32_t(offset) != offset || uint32_t(size) != size)
+                    return true;
+            }
+            return false;
+        }(), "FAT slice >=4GiB not currently supported");
+
          _foreach (allocation, allocations) {
              auto &mach_header(allocation.mach_header_);
  
              fat_arch fat_arch;
              fat_arch.cputype = Swap(mach_header->cputype);
              fat_arch.cpusubtype = Swap(mach_header->cpusubtype);
          _foreach (allocation, allocations) {
              auto &mach_header(allocation.mach_header_);
  
              fat_arch fat_arch;
              fat_arch.cputype = Swap(mach_header->cputype);
              fat_arch.cpusubtype = Swap(mach_header->cpusubtype);
-            fat_arch.offset = Swap(allocation.offset_);
-            fat_arch.size = Swap(allocation.limit_ + allocation.alloc_);
+            fat_arch.offset = Swap(uint32_t(allocation.offset_));
+            fat_arch.size = Swap(uint32_t(allocation.limit_ + allocation.alloc_));
              fat_arch.align = Swap(allocation.align_);
              put(output, &fat_arch, sizeof(fat_arch));
              position += sizeof(fat_arch);
              fat_arch.align = Swap(allocation.align_);
              put(output, &fat_arch, sizeof(fat_arch));
              position += sizeof(fat_arch);
@@ -1104,11 +1512,15 @@ static void Allocate(const void *idata, size_t isize, std::streambuf &output, co
      }
  
      _foreach (allocation, allocations) {
      }
  
      _foreach (allocation, allocations) {
+        progress(allocation.arch_);
          auto &mach_header(allocation.mach_header_);
  
          pad(output, allocation.offset_ - position);
          position = allocation.offset_;
  
          auto &mach_header(allocation.mach_header_);
  
          pad(output, allocation.offset_ - position);
          position = allocation.offset_;
  
+        size_t left(-1);
+        size_t right(0);
+
          std::vector<std::string> commands;
  
          _foreach (load_command, mach_header.GetLoadCommands()) {
          std::vector<std::string> commands;
  
          _foreach (load_command, mach_header.GetLoadCommands()) {
@@ -1119,22 +1531,44 @@ static void Allocate(const void *idata, size_t isize, std::streambuf &output, co
                      continue;
                  break;
  
                      continue;
                  break;
  
+                // XXX: this is getting ridiculous: provide a better abstraction
+
                  case LC_SEGMENT: {
                      auto segment_command(reinterpret_cast<struct segment_command *>(&copy[0]));
                  case LC_SEGMENT: {
                      auto segment_command(reinterpret_cast<struct segment_command *>(&copy[0]));
-                    if (strncmp(segment_command->segname, "__LINKEDIT", 16) != 0)
-                        break;
-                    size_t size(mach_header.Swap(allocation.limit_ + allocation.alloc_ - mach_header.Swap(segment_command->fileoff)));
-                    segment_command->filesize = size;
-                    segment_command->vmsize = Align(size, 1 << allocation.align_);
+
+                    if ((segment_command->initprot & 04) != 0) {
+                        auto begin(mach_header.Swap(segment_command->fileoff));
+                        auto end(begin + mach_header.Swap(segment_command->filesize));
+                        if (left > begin)
+                            left = begin;
+                        if (right < end)
+                            right = end;
+                    }
+
+                    if (strncmp(segment_command->segname, "__LINKEDIT", 16) == 0) {
+                        size_t size(mach_header.Swap(allocation.limit_ + allocation.alloc_ - mach_header.Swap(segment_command->fileoff)));
+                        segment_command->filesize = size;
+                        segment_command->vmsize = Align(size, 1 << allocation.align_);
+                    }
                  } break;
  
                  case LC_SEGMENT_64: {
                      auto segment_command(reinterpret_cast<struct segment_command_64 *>(&copy[0]));
                  } break;
  
                  case LC_SEGMENT_64: {
                      auto segment_command(reinterpret_cast<struct segment_command_64 *>(&copy[0]));
-                    if (strncmp(segment_command->segname, "__LINKEDIT", 16) != 0)
-                        break;
-                    size_t size(mach_header.Swap(allocation.limit_ + allocation.alloc_ - mach_header.Swap(segment_command->fileoff)));
-                    segment_command->filesize = size;
-                    segment_command->vmsize = Align(size, 1 << allocation.align_);
+
+                    if ((segment_command->initprot & 04) != 0) {
+                        auto begin(mach_header.Swap(segment_command->fileoff));
+                        auto end(begin + mach_header.Swap(segment_command->filesize));
+                        if (left > begin)
+                            left = begin;
+                        if (right < end)
+                            right = end;
+                    }
+
+                    if (strncmp(segment_command->segname, "__LINKEDIT", 16) == 0) {
+                        size_t size(mach_header.Swap(allocation.limit_ + allocation.alloc_ - mach_header.Swap(segment_command->fileoff)));
+                        segment_command->filesize = size;
+                        segment_command->vmsize = Align(size, 1 << allocation.align_);
+                    }
                  } break;
              }
  
                  } break;
              }
  
@@ -1190,13 +1624,13 @@ static void Allocate(const void *idata, size_t isize, std::streambuf &output, co
          std::string overlap(altern.str());
          overlap.append(top + overlap.size(), Align(overlap.size(), 0x1000) - overlap.size());
  
          std::string overlap(altern.str());
          overlap.append(top + overlap.size(), Align(overlap.size(), 0x1000) - overlap.size());
  
-        put(output, top + (position - begin), allocation.size_ - (position - begin));
+        put(output, top + (position - begin), allocation.size_ - (position - begin), progress);
          position = begin + allocation.size_;
  
          pad(output, allocation.limit_ - allocation.size_);
          position += allocation.limit_ - allocation.size_;
  
          position = begin + allocation.size_;
  
          pad(output, allocation.limit_ - allocation.size_);
          position += allocation.limit_ - allocation.size_;
  
-        size_t saved(save(mach_header, output, allocation.limit_, overlap, top));
+        size_t saved(save(mach_header, allocation.baton_, output, allocation.limit_, left, right, overlap, top, progress));
          if (allocation.alloc_ > saved)
              pad(output, allocation.alloc_ - saved);
          else
          if (allocation.alloc_ > saved)
              pad(output, allocation.alloc_ - saved);
          else
@@ -1252,7 +1686,6 @@ static size_t put(std::streambuf &output, uint32_t magic, const Blobs &blobs) {
      return offset;
  }
  
      return offset;
  }
  
-#ifndef LDID_NOSMIME
  class Buffer {
    private:
      BIO *bio_;
  class Buffer {
    private:
      BIO *bio_;
@@ -1282,7 +1715,10 @@ class Buffer {
      Buffer(PKCS7 *pkcs) :
          Buffer()
      {
      Buffer(PKCS7 *pkcs) :
          Buffer()
      {
-        _assert(i2d_PKCS7_bio(bio_, pkcs) != 0);
+        if (i2d_PKCS7_bio(bio_, pkcs) == 0){
+            fprintf(stderr, "ldid: An error occured while getting the PKCS7 file: %s\n", ERR_error_string(ERR_get_error(), NULL));
+            exit(1);
+        }
      }
  
      ~Buffer() {
      }
  
      ~Buffer() {
@@ -1312,10 +1748,32 @@ class Stuff {
          value_(d2i_PKCS12_bio(bio, NULL)),
          ca_(NULL)
      {
          value_(d2i_PKCS12_bio(bio, NULL)),
          ca_(NULL)
      {
-        _assert(value_ != NULL);
-        _assert(PKCS12_parse(value_, "", &key_, &cert_, &ca_) != 0);
-        _assert(key_ != NULL);
-        _assert(cert_ != NULL);
+        if (value_ == NULL){
+            fprintf(stderr, "ldid: An error occured while getting the PKCS12 file: %s\n", ERR_error_string(ERR_get_error(), NULL));
+            exit(1);
+        }
+
+        if (!PKCS12_verify_mac(value_, "", 0) && password.empty()) {
+            char passbuf[2048];
+            UI_UTIL_read_pw_string(passbuf, 2048, "Enter password: ", 0);
+            password = passbuf;
+        }
+
+        if (PKCS12_parse(value_, password.c_str(), &key_, &cert_, &ca_) <= 0){
+            fprintf(stderr, "ldid: An error occured while parsing: %s\n", ERR_error_string(ERR_get_error(), NULL));
+            exit(1);
+        }
+        if (key_ == NULL || cert_ == NULL){
+            fprintf(stderr, "ldid: An error occured while parsing: %s\nYour p12 cert might not be valid\n", ERR_error_string(ERR_get_error(), NULL));
+            exit(1);
+        }
+
+        if (ca_ == NULL)
+            ca_ = sk_X509_new_null();
+        if (ca_ == NULL){
+            fprintf(stderr, "ldid: An error occured while parsing: %s\n", ERR_error_string(ERR_get_error(), NULL));
+            exit(1);
+        }
      }
  
      Stuff(const std::string &data) :
      }
  
      Stuff(const std::string &data) :
@@ -1347,15 +1805,103 @@ class Stuff {
      }
  };
  
      }
  };
  
+// xina fix;
+struct SEQUENCE_hash_sha1 {
+    uint8_t SEQUENCE[2] = {0x30, 0x1d}; // size
+    uint8_t OBJECT_IDENTIFIER[7] = {0x06, 0x05, 0x2B, 0x0E, 0x03, 0x02, 0x1A}; // OBJECT IDENTIFIER 1.3.14.3.2.26 sha1 (OIW)
+    uint8_t hash_size[2] = {0x04, 0x14};
+    char hash[20];
+};
+
+struct SEQUENCE_hash_sha256 {
+    uint8_t SEQUENCE[2] = {0x30, 0x2d}; // size
+    uint8_t OBJECT_IDENTIFIER[11] = {0x06 ,0x09 ,0x60, 0x86, 0x48, 0x01 ,0x65, 0x03, 0x04, 0x02, 0x01}; // 2.16.840.1.101.3.4.2.1 sha-256 (NIST Algorithm)
+    uint8_t hash_size[2] = {0x04, 0x20}; // hash size
+    char hash[32];
+};
+
  class Signature {
    private:
      PKCS7 *value_;
  
    public:
  class Signature {
    private:
      PKCS7 *value_;
  
    public:
-    Signature(const Stuff &stuff, const Buffer &data) :
-        value_(PKCS7_sign(stuff, stuff, stuff, data, PKCS7_BINARY | PKCS7_DETACHED))
-    {
-        _assert(value_ != NULL);
+    Signature(const Stuff &stuff, const Buffer &data, const std::string &xml, const std::vector<char>& alternateCDSHA1, const std::vector<char>& alternateCDSHA256) {
+        value_ = PKCS7_new();
+        if (value_ == NULL){
+            fprintf(stderr, "ldid: An error occured while getting creating PKCS7 file: %s\n", ERR_error_string(ERR_get_error(), NULL));
+            exit(1);
+        }
+
+        if (PKCS7_set_type(value_, NID_pkcs7_signed) == 0 ||
+           PKCS7_content_new(value_, NID_pkcs7_data) == 0) {
+            fprintf(stderr, "ldid: An error occured while getting creating PKCS7 file: %s\n", ERR_error_string(ERR_get_error(), NULL));
+            exit(1);
+        }
+
+        STACK_OF(X509) *certs(stuff);
+        for (unsigned i(0), e(sk_X509_num(certs)); i != e; i++) {
+            if (PKCS7_add_certificate(value_, sk_X509_value(certs, e - i - 1)) == 0) {
+                fprintf(stderr, "ldid: An error occured while signing: %s\n", ERR_error_string(ERR_get_error(), NULL));
+                exit(1);
+            }
+        }
+
+        auto info(PKCS7_sign_add_signer(value_, stuff, stuff, NULL, PKCS7_NOSMIMECAP));
+        if (info == NULL){
+            fprintf(stderr, "ldid: An error occured while signing: %s\n", ERR_error_string(ERR_get_error(), NULL));
+            exit(1);
+        }
+
+        X509_ATTRIBUTE *attribute = X509_ATTRIBUTE_new();
+        ASN1_OBJECT *obj2 = OBJ_txt2obj("1.2.840.113635.100.9.2", 1);
+        X509_ATTRIBUTE_set1_object(attribute, obj2);
+        if (alternateCDSHA1.size() != 0) {
+            // xina fix;
+            SEQUENCE_hash_sha1 seq1;
+            memcpy((void *)seq1.hash, (void *)alternateCDSHA1.data(), alternateCDSHA1.size());
+            X509_ATTRIBUTE_set1_data(attribute, V_ASN1_SEQUENCE, &seq1, sizeof(seq1));
+        }
+        if (alternateCDSHA256.size() != 0) {
+            // xina fix;
+            SEQUENCE_hash_sha256 seq256;
+            memcpy((void *)seq256.hash, (void *)alternateCDSHA256.data(), alternateCDSHA256.size());
+            X509_ATTRIBUTE_set1_data(attribute, V_ASN1_SEQUENCE, &seq256, sizeof(seq256));
+        }
+
+        STACK_OF(X509_ATTRIBUTE) *sk = PKCS7_get_signed_attributes(info);
+        if (!sk_X509_ATTRIBUTE_push(sk, attribute)) {
+            fprintf(stderr, "ldid: sk_X509_ATTRIBUTE_push failed: %s\n", ERR_error_string(ERR_get_error(), NULL));
+            exit(1);
+        }
+
+        PKCS7_set_detached(value_, 1);
+
+        ASN1_OCTET_STRING *string(ASN1_OCTET_STRING_new());
+        if (string == NULL) {
+            fprintf(stderr, "ldid: %s\n", ERR_error_string(ERR_get_error(), NULL));
+            exit(1);
+        }
+
+        try {
+            if (ASN1_STRING_set(string, xml.data(), xml.size()) == 0) {
+                fprintf(stderr, "ldid: %s\n", ERR_error_string(ERR_get_error(), NULL));
+                exit(1);
+            }
+
+            static auto nid(OBJ_create("1.2.840.113635.100.9.1", "", ""));
+            if (PKCS7_add_signed_attribute(info, nid, V_ASN1_OCTET_STRING, string) == 0) {
+                fprintf(stderr, "ldid: %s\n", ERR_error_string(ERR_get_error(), NULL));
+                exit(1);
+            }
+        } catch (...) {
+            ASN1_OCTET_STRING_free(string);
+            throw;
+        }
+
+        if (PKCS7_final(value_, data, PKCS7_BINARY) == 0) {
+            fprintf(stderr, "ldid: Failed to sign: %s\n", ERR_error_string(ERR_get_error(), NULL));
+            exit(1);
+        }
      }
  
      ~Signature() {
      }
  
      ~Signature() {
@@ -1366,7 +1912,6 @@ class Signature {
          return value_;
      }
  };
          return value_;
      }
  };
-#endif
  
  class NullBuffer :
      public std::streambuf
  
  class NullBuffer :
      public std::streambuf
@@ -1381,46 +1926,37 @@ class NullBuffer :
      }
  };
  
      }
  };
  
-class Digest {
-  public:
-    uint8_t sha1_[LDID_SHA1_DIGEST_LENGTH];
-};
-
-class Hash {
-  public:
-    char sha1_[LDID_SHA1_DIGEST_LENGTH];
-    char sha256_[LDID_SHA256_DIGEST_LENGTH];
-
-    operator std::vector<char>() const {
-        return {sha1_, sha1_ + sizeof(sha1_)};
-    }
-};
-
  class HashBuffer :
      public std::streambuf
  {
    private:
  class HashBuffer :
      public std::streambuf
  {
    private:
-    Hash &hash_;
+    ldid::Hash &hash_;
  
  
-    LDID_SHA1_CTX sha1_;
-    LDID_SHA256_CTX sha256_;
+    EVP_MD_CTX *sha1_;
+    EVP_MD_CTX *sha256_;
  
    public:
  
    public:
-    HashBuffer(Hash &hash) :
+    HashBuffer(ldid::Hash &hash) :
          hash_(hash)
      {
          hash_(hash)
      {
-        LDID_SHA1_Init(&sha1_);
-        LDID_SHA256_Init(&sha256_);
+        sha1_ = EVP_MD_CTX_new();
+        sha256_ = EVP_MD_CTX_new();
+        
+        EVP_DigestInit_ex(sha1_, EVP_get_digestbyname("sha1"), nullptr);
+        EVP_DigestInit_ex(sha256_, EVP_get_digestbyname("sha256"), nullptr);
      }
  
      ~HashBuffer() {
      }
  
      ~HashBuffer() {
-        LDID_SHA1_Final(reinterpret_cast<uint8_t *>(hash_.sha1_), &sha1_);
-        LDID_SHA256_Final(reinterpret_cast<uint8_t *>(hash_.sha256_), &sha256_);
+        EVP_DigestFinal_ex(sha1_, reinterpret_cast<uint8_t *>(hash_.sha1_), nullptr);
+        EVP_DigestFinal_ex(sha256_, reinterpret_cast<uint8_t *>(hash_.sha256_), nullptr);
+        
+        EVP_MD_CTX_free(sha1_);
+        EVP_MD_CTX_free(sha256_);
      }
  
      virtual std::streamsize xsputn(const char_type *data, std::streamsize size) {
      }
  
      virtual std::streamsize xsputn(const char_type *data, std::streamsize size) {
-        LDID_SHA1_Update(&sha1_, data, size);
-        LDID_SHA256_Update(&sha256_, data, size);
+        EVP_DigestUpdate(sha1_, data, size);
+        EVP_DigestUpdate(sha256_, data, size);
          return size;
      }
  
          return size;
      }
  
@@ -1440,7 +1976,7 @@ class HashProxy :
      std::streambuf &buffer_;
  
    public:
      std::streambuf &buffer_;
  
    public:
-    HashProxy(Hash &hash, std::streambuf &buffer) :
+    HashProxy(ldid::Hash &hash, std::streambuf &buffer) :
          HashBuffer(hash),
          buffer_(buffer)
      {
          HashBuffer(hash),
          buffer_(buffer)
      {
@@ -1493,6 +2029,7 @@ static std::string Temporary(std::filebuf &file, const Split &split) {
      std::string temp(split.dir + ".ldid." + split.base);
      mkdir_p(split.dir);
      _assert_(file.open(temp.c_str(), std::ios::out | std::ios::trunc | std::ios::binary) == &file, "open(): %s", temp.c_str());
      std::string temp(split.dir + ".ldid." + split.base);
      mkdir_p(split.dir);
      _assert_(file.open(temp.c_str(), std::ios::out | std::ios::trunc | std::ios::binary) == &file, "open(): %s", temp.c_str());
+    cleanup.push_back(temp);
      return temp;
  }
  
      return temp;
  }
  
@@ -1506,63 +2043,197 @@ static void Commit(const std::string &path, const std::string &temp) {
      }
  
      _syscall(rename(temp.c_str(), path.c_str()));
      }
  
      _syscall(rename(temp.c_str(), path.c_str()));
+    cleanup.erase(std::remove(cleanup.begin(), cleanup.end(), temp), cleanup.end());
  }
  }
-#endif
+#endif // LDID_NOTOOLS
  
  namespace ldid {
  
  
  namespace ldid {
  
-std::vector<char> Sign(const void *idata, size_t isize, std::streambuf &output, const std::string &identifier, const std::string &entitlements, const std::string &requirement, const std::string &key, const Slots &slots) {
-    std::vector<char> hash(LDID_SHA1_DIGEST_LENGTH);
+static void get(std::string &value, X509_NAME *name, int nid) {
+    auto index(X509_NAME_get_index_by_NID(name, nid, -1));
+    if (index < 0) {
+        fprintf(stderr, "ldid: An error occursed while parsing the certificate: %s\n", ERR_error_string(ERR_get_error(), NULL));
+        exit(1);
+    }
+    auto next(X509_NAME_get_index_by_NID(name, nid, index));
+    if (next != -1) {
+        fprintf(stderr, "ldid: An error occursed while parsing the certificate: %s\n", ERR_error_string(ERR_get_error(), NULL));
+        exit(1);
+    }
+    auto entry(X509_NAME_get_entry(name, index));
+    if (entry == NULL) {
+        fprintf(stderr, "ldid: An error occursed while parsing the certificate: %s\n", ERR_error_string(ERR_get_error(), NULL));
+        exit(1);
+    }
+    auto asn(X509_NAME_ENTRY_get_data(entry));
+    if (asn == NULL) {
+        fprintf(stderr, "ldid: An error occursed while parsing the certificate: %s\n", ERR_error_string(ERR_get_error(), NULL));
+        exit(1);
+    }
+    value.assign(reinterpret_cast<const char *>(ASN1_STRING_get0_data(asn)), ASN1_STRING_length(asn));
+}
+
+static void req(std::streambuf &buffer, uint32_t value) {
+    value = Swap(value);
+    put(buffer, &value, sizeof(value));
+}
+
+static void req(std::streambuf &buffer, const std::string &value) {
+    req(buffer, value.size());
+    put(buffer, value.data(), value.size());
+    static uint8_t zeros[] = {0,0,0,0};
+    put(buffer, zeros, 3 - (value.size() + 3) % 4);
+}
+
+template <size_t Size_>
+static void req(std::streambuf &buffer, uint8_t (&&data)[Size_]) {
+    req(buffer, Size_);
+    put(buffer, data, Size_);
+    static uint8_t zeros[] = {0,0,0,0};
+    put(buffer, zeros, 3 - (Size_ + 3) % 4);
+}
+
+Hash Sign(const void *idata, size_t isize, std::streambuf &output, const std::string &identifier, const std::string &entitlements, bool merge, const std::string &requirements, const std::string &key, const Slots &slots, uint32_t flags, bool platform, const Progress &progress) {
+    Hash hash;
+
  
      std::string team;
  
      std::string team;
+    std::string common;
  
  
-#ifndef LDID_NOSMIME
      if (!key.empty()) {
          Stuff stuff(key);
          auto name(X509_get_subject_name(stuff));
      if (!key.empty()) {
          Stuff stuff(key);
          auto name(X509_get_subject_name(stuff));
-        _assert(name != NULL);
-        auto index(X509_NAME_get_index_by_NID(name, NID_organizationalUnitName, -1));
-        _assert(index >= 0);
-        auto next(X509_NAME_get_index_by_NID(name, NID_organizationalUnitName, index));
-        _assert(next == -1);
-        auto entry(X509_NAME_get_entry(name, index));
-        _assert(entry != NULL);
-        auto asn(X509_NAME_ENTRY_get_data(entry));
-        _assert(asn != NULL);
-        team.assign(reinterpret_cast<char *>(ASN1_STRING_data(asn)), ASN1_STRING_length(asn));
+        if (name == NULL){
+            fprintf(stderr, "ldid: Your certificate might not be valid: %s\n", ERR_error_string(ERR_get_error(), NULL));
+            exit(1);
+        }
+        get(team, name, NID_organizationalUnitName);
+        get(common, name, NID_commonName);
+    }
+
+
+    std::stringbuf backing;
+
+    if (!requirements.empty()) {
+        put(backing, requirements.data(), requirements.size());
+    } else {
+        Blobs blobs;
+
+        std::stringbuf requirement;
+        req(requirement, exprForm);
+        req(requirement, opAnd);
+        req(requirement, opIdent);
+        req(requirement, identifier);
+        req(requirement, opAnd);
+        req(requirement, opAppleGenericAnchor);
+        req(requirement, opAnd);
+        req(requirement, opCertField);
+        req(requirement, 0);
+        req(requirement, "subject.CN");
+        req(requirement, matchEqual);
+        req(requirement, common);
+        req(requirement, opCertGeneric);
+        req(requirement, 1);
+        req(requirement, (uint8_t []) {APPLE_EXTENSION_OID, 2, 1});
+        req(requirement, matchExists);
+        insert(blobs, 3, CSMAGIC_REQUIREMENT, requirement);
+
+        put(backing, CSMAGIC_REQUIREMENTS, blobs);
      }
      }
-#endif
+
  
      // XXX: this is just a "sufficiently large number"
      size_t certificate(0x3000);
  
  
      // XXX: this is just a "sufficiently large number"
      size_t certificate(0x3000);
  
-    Allocate(idata, isize, output, fun([&](const MachHeader &mach_header, size_t size) -> size_t {
+    Allocate(idata, isize, output, fun([&](const MachHeader &mach_header, Baton &baton, size_t size) -> size_t {
          size_t alloc(sizeof(struct SuperBlob));
  
          size_t alloc(sizeof(struct SuperBlob));
  
+        uint32_t normal((size + PageSize_ - 1) / PageSize_);
+
          uint32_t special(0);
  
          uint32_t special(0);
  
+        _foreach (slot, slots)
+            special = std::max(special, slot.first);
+
+        mach_header.ForSection(fun([&](const char *segment, const char *section, void *data, size_t size) {
+            if (strcmp(segment, "__TEXT") == 0 && section != NULL && strcmp(section, "__info_plist") == 0)
+                special = std::max(special, CSSLOT_INFOSLOT);
+        }));
+
          special = std::max(special, CSSLOT_REQUIREMENTS);
          alloc += sizeof(struct BlobIndex);
          special = std::max(special, CSSLOT_REQUIREMENTS);
          alloc += sizeof(struct BlobIndex);
-        if (requirement.empty())
-            alloc += 0xc;
-        else
-            alloc += requirement.size();
+        alloc += backing.str().size();
+
+        if (merge)
+            Analyze(mach_header, fun([&](const char *data, size_t size) {
+                baton.entitlements_.assign(data, size);
+            }));
  
  
-        if (!entitlements.empty()) {
+        if (!baton.entitlements_.empty() || !entitlements.empty()) {
+            auto combined(plist(baton.entitlements_));
+            _scope({ plist_free(combined); });
+            if (plist_get_node_type(combined) != PLIST_DICT) {
+                fprintf(stderr, "ldid: Existing entitlements are in wrong format\n");
+                exit(1);
+            };
+
+            auto merging(plist(entitlements));
+            _scope({ plist_free(merging); });
+            if (plist_get_node_type(merging) != PLIST_DICT) {
+                fprintf(stderr, "ldid: Entitlements need a root key of dict\n");
+                exit(1);
+            };
+
+            plist_dict_iter iterator(NULL);
+            plist_dict_new_iter(merging, &iterator);
+            _scope({ free(iterator); });
+
+            for (;;) {
+                char *key(NULL);
+                plist_t value(NULL);
+                plist_dict_next_item(merging, iterator, &key, &value);
+                if (key == NULL)
+                    break;
+                _scope({ free(key); });
+                plist_dict_set_item(combined, key, plist_copy(value));
+            }
+
+            baton.derformat_ = der(combined);
+
+            char *xml(NULL);
+            uint32_t size;
+            plist_to_xml(combined, &xml, &size);
+            _scope({ free(xml); });
+
+            baton.entitlements_.assign(xml, size);
+        }
+
+        if (!baton.entitlements_.empty()) {
              special = std::max(special, CSSLOT_ENTITLEMENTS);
              alloc += sizeof(struct BlobIndex);
              alloc += sizeof(struct Blob);
              special = std::max(special, CSSLOT_ENTITLEMENTS);
              alloc += sizeof(struct BlobIndex);
              alloc += sizeof(struct Blob);
-            alloc += entitlements.size();
+            alloc += baton.entitlements_.size();
          }
  
          }
  
-        special = std::max(special, CSSLOT_CODEDIRECTORY);
-        alloc += sizeof(struct BlobIndex);
-        alloc += sizeof(struct Blob);
-        alloc += sizeof(struct CodeDirectory);
-        alloc += identifier.size() + 1;
+        if (!baton.derformat_.empty()) {
+            special = std::max(special, CSSLOT_DERFORMAT);
+            alloc += sizeof(struct BlobIndex);
+            alloc += sizeof(struct Blob);
+            alloc += baton.derformat_.size();
+        }
+
+        size_t directory(0);
+
+        directory += sizeof(struct BlobIndex);
+        directory += sizeof(struct Blob);
+        directory += sizeof(struct CodeDirectory);
+        directory += identifier.size() + 1;
  
          if (!team.empty())
  
          if (!team.empty())
-            alloc += team.size() + 1;
+            directory += team.size() + 1;
+
+        for (Algorithm *algorithm : GetAlgorithms())
+            alloc = Align(alloc + directory + (special + normal) * algorithm->size_, 16);
  
          if (!key.empty()) {
              alloc += sizeof(struct BlobIndex);
  
          if (!key.empty()) {
              alloc += sizeof(struct BlobIndex);
@@ -1570,48 +2241,76 @@ std::vector<char> Sign(const void *idata, size_t isize, std::streambuf &output,
              alloc += certificate;
          }
  
              alloc += certificate;
          }
  
-        _foreach (slot, slots)
-            special = std::max(special, slot.first);
-
-        mach_header.ForSection(fun([&](const char *segment, const char *section, void *data, size_t size) {
-            if (strcmp(segment, "__TEXT") == 0 && section != NULL && strcmp(section, "__info_plist") == 0)
-                special = std::max(special, CSSLOT_INFOSLOT);
-        }));
-
-        uint32_t normal((size + PageSize_ - 1) / PageSize_);
-        alloc = Align(alloc + (special + normal) * LDID_SHA1_DIGEST_LENGTH, 16);
          return alloc;
          return alloc;
-    }), fun([&](const MachHeader &mach_header, std::streambuf &output, size_t limit, const std::string &overlap, const char *top) -> size_t {
+    }), fun([&](const MachHeader &mach_header, const Baton &baton, std::streambuf &output, size_t limit, size_t left, size_t right, const std::string &overlap, const char *top, const Progress &progress) -> size_t {
          Blobs blobs;
  
          if (true) {
          Blobs blobs;
  
          if (true) {
+            insert(blobs, CSSLOT_REQUIREMENTS, backing);
+        }
+
+        uint64_t execs(0);
+        if (mach_header.Swap(mach_header->filetype) == MH_EXECUTE)
+            execs |= kSecCodeExecSegMainBinary;
+
+        if (!baton.entitlements_.empty()) {
              std::stringbuf data;
              std::stringbuf data;
+            put(data, baton.entitlements_.data(), baton.entitlements_.size());
+            insert(blobs, CSSLOT_ENTITLEMENTS, CSMAGIC_EMBEDDED_ENTITLEMENTS, data);
  
  
-            if (requirement.empty()) {
-                Blobs requirements;
-                put(data, CSMAGIC_REQUIREMENTS, requirements);
-            } else {
-                put(data, requirement.data(), requirement.size());
+            auto entitlements(plist(baton.entitlements_));
+            _scope({ plist_free(entitlements); });
+            if (plist_get_node_type(entitlements) != PLIST_DICT) {
+                fprintf(stderr, "ldid: Entitlements should be a plist dicionary\n");
+                exit(1);
              }
  
              }
  
-            insert(blobs, CSSLOT_REQUIREMENTS, data);
+            const auto entitled([&](const char *key) {
+                auto item(plist_dict_get_item(entitlements, key));
+                if (plist_get_node_type(item) != PLIST_BOOLEAN)
+                    return false;
+                uint8_t value(0);
+                plist_get_bool_val(item, &value);
+                return value != 0;
+            });
+
+            if (entitled("get-task-allow"))
+                execs |= kSecCodeExecSegAllowUnsigned;
+            if (entitled("run-unsigned-code"))
+                execs |= kSecCodeExecSegAllowUnsigned;
+            if (entitled("com.apple.private.cs.debugger"))
+                execs |= kSecCodeExecSegDebugger;
+            if (entitled("dynamic-codesigning"))
+                execs |= kSecCodeExecSegJit;
+            if (entitled("com.apple.private.skip-library-validation"))
+                execs |= kSecCodeExecSegSkipLibraryVal;
+            if (entitled("com.apple.private.amfi.can-load-cdhash"))
+                execs |= kSecCodeExecSegCanLoadCdHash;
+            if (entitled("com.apple.private.amfi.can-execute-cdhash"))
+                execs |= kSecCodeExecSegCanExecCdHash;
          }
  
          }
  
-        if (!entitlements.empty()) {
+        if (!baton.derformat_.empty()) {
              std::stringbuf data;
              std::stringbuf data;
-            put(data, entitlements.data(), entitlements.size());
-            insert(blobs, CSSLOT_ENTITLEMENTS, CSMAGIC_EMBEDDED_ENTITLEMENTS, data);
+            put(data, baton.derformat_.data(), baton.derformat_.size());
+            insert(blobs, CSSLOT_DERFORMAT, CSMAGIC_EMBEDDED_DERFORMAT, data);
          }
  
          }
  
-        if (true) {
-            std::stringbuf data;
+        Slots posts(slots);
  
  
-            Slots posts(slots);
+        mach_header.ForSection(fun([&](const char *segment, const char *section, void *data, size_t size) {
+            if (strcmp(segment, "__TEXT") == 0 && section != NULL && strcmp(section, "__info_plist") == 0) {
+                auto &slot(posts[CSSLOT_INFOSLOT]);
+                for (Algorithm *algorithm : GetAlgorithms())
+                    (*algorithm)(slot, data, size);
+            }
+        }));
  
  
-            mach_header.ForSection(fun([&](const char *segment, const char *section, void *data, size_t size) {
-                if (strcmp(segment, "__TEXT") == 0 && section != NULL && strcmp(section, "__info_plist") == 0)
-                    sha1(posts[CSSLOT_INFOSLOT], data, size);
-            }));
+        unsigned total(0);
+        for (Algorithm *pointer : GetAlgorithms()) {
+            Algorithm &algorithm(*pointer);
+
+            std::stringbuf data;
  
              uint32_t special(0);
              _foreach (blob, blobs)
  
              uint32_t special(0);
              _foreach (blob, blobs)
@@ -1621,19 +2320,22 @@ std::vector<char> Sign(const void *idata, size_t isize, std::streambuf &output,
              uint32_t normal((limit + PageSize_ - 1) / PageSize_);
  
              CodeDirectory directory;
              uint32_t normal((limit + PageSize_ - 1) / PageSize_);
  
              CodeDirectory directory;
-            directory.version = Swap(uint32_t(0x00020200));
-            directory.flags = Swap(uint32_t(0));
+            directory.version = Swap(uint32_t(0x00020400));
+            directory.flags = Swap(uint32_t(flags));
              directory.nSpecialSlots = Swap(special);
              directory.nSpecialSlots = Swap(special);
-            directory.codeLimit = Swap(uint32_t(limit));
+            directory.codeLimit = Swap(uint32_t(limit > UINT32_MAX ? UINT32_MAX : limit));
              directory.nCodeSlots = Swap(normal);
              directory.nCodeSlots = Swap(normal);
-            directory.hashSize = LDID_SHA1_DIGEST_LENGTH;
-            directory.hashType = CS_HASHTYPE_SHA1;
-            directory.spare1 = 0x00;
+            directory.hashSize = algorithm.size_;
+            directory.hashType = algorithm.type_;
+            directory.platform = platform ? 0x01 : 0x00;
              directory.pageSize = PageShift_;
              directory.spare2 = Swap(uint32_t(0));
              directory.scatterOffset = Swap(uint32_t(0));
              directory.spare3 = Swap(uint32_t(0));
              directory.pageSize = PageShift_;
              directory.spare2 = Swap(uint32_t(0));
              directory.scatterOffset = Swap(uint32_t(0));
              directory.spare3 = Swap(uint32_t(0));
-            directory.codeLimit64 = Swap(uint64_t(0));
+            directory.codeLimit64 = Swap(uint64_t(limit > UINT32_MAX ? limit : 0));
+            directory.execSegBase = Swap(uint64_t(left));
+            directory.execSegLimit = Swap(uint64_t(right - left));
+            directory.execSegFlags = Swap(execs);
  
              uint32_t offset(sizeof(Blob) + sizeof(CodeDirectory));
  
  
              uint32_t offset(sizeof(Blob) + sizeof(CodeDirectory));
  
@@ -1647,9 +2349,9 @@ std::vector<char> Sign(const void *idata, size_t isize, std::streambuf &output,
                  offset += team.size() + 1;
              }
  
                  offset += team.size() + 1;
              }
  
-            offset += LDID_SHA1_DIGEST_LENGTH * special;
+            offset += special * algorithm.size_;
              directory.hashOffset = Swap(uint32_t(offset));
              directory.hashOffset = Swap(uint32_t(offset));
-            offset += LDID_SHA1_DIGEST_LENGTH * normal;
+            offset += normal * algorithm.size_;
  
              put(data, &directory, sizeof(directory));
  
  
              put(data, &directory, sizeof(directory));
  
@@ -1657,42 +2359,78 @@ std::vector<char> Sign(const void *idata, size_t isize, std::streambuf &output,
              if (!team.empty())
                  put(data, team.c_str(), team.size() + 1);
  
              if (!team.empty())
                  put(data, team.c_str(), team.size() + 1);
  
-            std::vector<Digest> storage(special + normal);
-            auto *hashes(&storage[special]);
+            std::vector<uint8_t> storage((special + normal) * algorithm.size_);
+            auto *hashes(&storage[special * algorithm.size_]);
  
  
-            memset(storage.data(), 0, sizeof(Digest) * special);
+            memset(storage.data(), 0, special * algorithm.size_);
  
              _foreach (blob, blobs) {
                  auto local(reinterpret_cast<const Blob *>(&blob.second[0]));
  
              _foreach (blob, blobs) {
                  auto local(reinterpret_cast<const Blob *>(&blob.second[0]));
-                sha1((hashes - blob.first)->sha1_, local, Swap(local->length));
+                algorithm(hashes - blob.first * algorithm.size_, local, Swap(local->length));
              }
  
              }
  
-            _foreach (slot, posts) {
-                _assert(sizeof(*hashes) == slot.second.size());
-                memcpy(hashes - slot.first, slot.second.data(), slot.second.size());
-            }
+            _foreach (slot, posts)
+                memcpy(hashes - slot.first * algorithm.size_, algorithm[slot.second], algorithm.size_);
  
  
+            progress(0);
              if (normal != 1)
              if (normal != 1)
-                for (size_t i = 0; i != normal - 1; ++i)
-                    sha1(hashes[i].sha1_, (PageSize_ * i < overlap.size() ? overlap.data() : top) + PageSize_ * i, PageSize_);
+                for (size_t i = 0; i != normal - 1; ++i) {
+                    algorithm(hashes + i * algorithm.size_, (PageSize_ * i < overlap.size() ? overlap.data() : top) + PageSize_ * i, PageSize_);
+                    progress(double(i) / normal);
+                }
              if (normal != 0)
              if (normal != 0)
-                sha1(hashes[normal - 1].sha1_, top + PageSize_ * (normal - 1), ((limit - 1) % PageSize_) + 1);
+                algorithm(hashes + (normal - 1) * algorithm.size_, top + PageSize_ * (normal - 1), ((limit - 1) % PageSize_) + 1);
+            progress(1);
  
  
-            put(data, storage.data(), sizeof(Digest) * storage.size());
+            put(data, storage.data(), storage.size());
  
  
-            const auto &save(insert(blobs, CSSLOT_CODEDIRECTORY, CSMAGIC_CODEDIRECTORY, data));
-            sha1(hash, save.data(), save.size());
+            const auto &save(insert(blobs, total == 0 ? CSSLOT_CODEDIRECTORY : CSSLOT_ALTERNATE + total - 1, CSMAGIC_CODEDIRECTORY, data));
+            algorithm(hash, save.data(), save.size());
+
+            ++total;
          }
  
          }
  
-#ifndef LDID_NOSMIME
          if (!key.empty()) {
          if (!key.empty()) {
+            auto plist(plist_new_dict());
+            _scope({ plist_free(plist); });
+
+            auto cdhashes(plist_new_array());
+            plist_dict_set_item(plist, "cdhashes", cdhashes);
+
+            std::vector<char> alternateCDSHA256;
+            std::vector<char> alternateCDSHA1;
+
+            unsigned total(0);
+            for (Algorithm *pointer : GetAlgorithms()) {
+                Algorithm &algorithm(*pointer);
+                (void) algorithm;
+
+                const auto &blob(blobs[total == 0 ? CSSLOT_CODEDIRECTORY : CSSLOT_ALTERNATE + total - 1]);
+                ++total;
+
+                std::vector<char> hash;
+                algorithm(hash, blob.data(), blob.size());
+                if (algorithm.type_ == CS_HASHTYPE_SHA256_256)
+                    alternateCDSHA256 = hash;
+                else if (algorithm.type_ == CS_HASHTYPE_SHA160_160)
+                    alternateCDSHA1 = hash;
+                hash.resize(20);
+
+                plist_array_append_item(cdhashes, plist_new_data(hash.data(), hash.size()));
+            }
+
+            char *xml(NULL);
+            uint32_t size;
+            plist_to_xml(plist, &xml, &size);
+            _scope({ free(xml); });
+
              std::stringbuf data;
              const std::string &sign(blobs[CSSLOT_CODEDIRECTORY]);
  
              Stuff stuff(key);
              Buffer bio(sign);
  
              std::stringbuf data;
              const std::string &sign(blobs[CSSLOT_CODEDIRECTORY]);
  
              Stuff stuff(key);
              Buffer bio(sign);
  
-            Signature signature(stuff, sign);
+            Signature signature(stuff, sign, std::string(xml, size), alternateCDSHA1, alternateCDSHA256);
              Buffer result(signature);
              std::string value(result);
              put(data, value.data(), value.size());
              Buffer result(signature);
              std::string value(result);
              put(data, value.data(), value.size());
@@ -1700,30 +2438,30 @@ std::vector<char> Sign(const void *idata, size_t isize, std::streambuf &output,
              const auto &save(insert(blobs, CSSLOT_SIGNATURESLOT, CSMAGIC_BLOBWRAPPER, data));
              _assert(save.size() <= certificate);
          }
              const auto &save(insert(blobs, CSSLOT_SIGNATURESLOT, CSMAGIC_BLOBWRAPPER, data));
              _assert(save.size() <= certificate);
          }
-#endif
  
          return put(output, CSMAGIC_EMBEDDED_SIGNATURE, blobs);
  
          return put(output, CSMAGIC_EMBEDDED_SIGNATURE, blobs);
-    }));
+    }), progress);
  
      return hash;
  }
  
  #ifndef LDID_NOTOOLS
  
      return hash;
  }
  
  #ifndef LDID_NOTOOLS
-static void Unsign(void *idata, size_t isize, std::streambuf &output) {
-    Allocate(idata, isize, output, fun([](const MachHeader &mach_header, size_t size) -> size_t {
+static void Unsign(void *idata, size_t isize, std::streambuf &output, const Progress &progress) {
+    Allocate(idata, isize, output, fun([](const MachHeader &mach_header, Baton &baton, size_t size) -> size_t {
          return 0;
          return 0;
-    }), fun([](const MachHeader &mach_header, std::streambuf &output, size_t limit, const std::string &overlap, const char *top) -> size_t {
+    }), fun([](const MachHeader &mach_header, const Baton &baton, std::streambuf &output, size_t limit, size_t left, size_t right, const std::string &overlap, const char *top, const Progress &progress) -> size_t {
          return 0;
          return 0;
-    }));
+    }), progress);
  }
  
  std::string DiskFolder::Path(const std::string &path) const {
  }
  
  std::string DiskFolder::Path(const std::string &path) const {
-    return path_ + "/" + path;
+    return path_ + path;
  }
  
  DiskFolder::DiskFolder(const std::string &path) :
      path_(path)
  {
  }
  
  DiskFolder::DiskFolder(const std::string &path) :
      path_(path)
  {
+    _assert_(path_.size() != 0 && path_[path_.size() - 1] == '/', "missing / on %s", path_.c_str());
  }
  
  DiskFolder::~DiskFolder() {
  }
  
  DiskFolder::~DiskFolder() {
@@ -1767,8 +2505,7 @@ void DiskFolder::Find(const std::string &root, const std::string &base, const Fu
  #ifdef __WIN32__
          struct stat info;
          _syscall(stat((path + name).c_str(), &info));
  #ifdef __WIN32__
          struct stat info;
          _syscall(stat((path + name).c_str(), &info));
-        if (false);
-        else if (S_ISDIR(info.st_mode))
+        if (S_ISDIR(info.st_mode))
              directory = true;
          else if (S_ISREG(info.st_mode))
              directory = false;
              directory = true;
          else if (S_ISREG(info.st_mode))
              directory = false;
@@ -1799,8 +2536,7 @@ void DiskFolder::Find(const std::string &root, const std::string &base, const Fu
  
  void DiskFolder::Save(const std::string &path, bool edit, const void *flag, const Functor<void (std::streambuf &)> &code) {
      if (!edit) {
  
  void DiskFolder::Save(const std::string &path, bool edit, const void *flag, const Functor<void (std::streambuf &)> &code) {
      if (!edit) {
-        // XXX: use nullbuf
-        std::stringbuf save;
+        NullBuffer save;
          code(save);
      } else {
          std::filebuf save;
          code(save);
      } else {
          std::filebuf save;
@@ -1814,38 +2550,46 @@ bool DiskFolder::Look(const std::string &path) const {
      return _syscall(access(Path(path).c_str(), R_OK), ENOENT) == 0;
  }
  
      return _syscall(access(Path(path).c_str(), R_OK), ENOENT) == 0;
  }
  
-void DiskFolder::Open(const std::string &path, const Functor<void (std::streambuf &, const void *)> &code) const {
+void DiskFolder::Open(const std::string &path, const Functor<void (std::streambuf &, size_t, const void *)> &code) const {
      std::filebuf data;
      auto result(data.open(Path(path).c_str(), std::ios::binary | std::ios::in));
      std::filebuf data;
      auto result(data.open(Path(path).c_str(), std::ios::binary | std::ios::in));
-    _assert_(result == &data, "DiskFolder::Open(%s)", path.c_str());
-    code(data, NULL);
+    _assert_(result == &data, "DiskFolder::Open(%s)", Path(path).c_str());
+
+    auto length(data.pubseekoff(0, std::ios::end, std::ios::in));
+    data.pubseekpos(0, std::ios::in);
+    code(data, length, NULL);
  }
  
  void DiskFolder::Find(const std::string &path, const Functor<void (const std::string &)> &code, const Functor<void (const std::string &, const Functor<std::string ()> &)> &link) const {
      Find(path, "", code, link);
  }
  }
  
  void DiskFolder::Find(const std::string &path, const Functor<void (const std::string &)> &code, const Functor<void (const std::string &, const Functor<std::string ()> &)> &link) const {
      Find(path, "", code, link);
  }
-#endif
+#endif // LDID_NOTOOLS
  
  SubFolder::SubFolder(Folder &parent, const std::string &path) :
      parent_(parent),
      path_(path)
  {
  
  SubFolder::SubFolder(Folder &parent, const std::string &path) :
      parent_(parent),
      path_(path)
  {
+    _assert_(path_.size() == 0 || path_[path_.size() - 1] == '/', "missing / on %s", path_.c_str());
+}
+
+std::string SubFolder::Path(const std::string &path) const {
+    return path_ + path;
  }
  
  void SubFolder::Save(const std::string &path, bool edit, const void *flag, const Functor<void (std::streambuf &)> &code) {
  }
  
  void SubFolder::Save(const std::string &path, bool edit, const void *flag, const Functor<void (std::streambuf &)> &code) {
-    return parent_.Save(path_ + path, edit, flag, code);
+    return parent_.Save(Path(path), edit, flag, code);
  }
  
  bool SubFolder::Look(const std::string &path) const {
  }
  
  bool SubFolder::Look(const std::string &path) const {
-    return parent_.Look(path_ + path);
+    return parent_.Look(Path(path));
  }
  
  }
  
-void SubFolder::Open(const std::string &path, const Functor<void (std::streambuf &, const void *)> &code) const {
-    return parent_.Open(path_ + path, code);
+void SubFolder::Open(const std::string &path, const Functor<void (std::streambuf &, size_t, const void *)> &code) const {
+    return parent_.Open(Path(path), code);
  }
  
  void SubFolder::Find(const std::string &path, const Functor<void (const std::string &)> &code, const Functor<void (const std::string &, const Functor<std::string ()> &)> &link) const {
  }
  
  void SubFolder::Find(const std::string &path, const Functor<void (const std::string &)> &code, const Functor<void (const std::string &, const Functor<std::string ()> &)> &link) const {
-    return parent_.Find(path_ + path, code, link);
+    return parent_.Find(Path(path), code, link);
  }
  
  std::string UnionFolder::Map(const std::string &path) const {
  }
  
  std::string UnionFolder::Map(const std::string &path) const {
@@ -1855,7 +2599,7 @@ std::string UnionFolder::Map(const std::string &path) const {
      return remap->second;
  }
  
      return remap->second;
  }
  
-void UnionFolder::Map(const std::string &path, const Functor<void (const std::string &)> &code, const std::string &file, const Functor<void (const Functor<void (std::streambuf &, const void *)> &)> &save) const {
+void UnionFolder::Map(const std::string &path, const Functor<void (const std::string &)> &code, const std::string &file, const Functor<void (const Functor<void (std::streambuf &, size_t, const void *)> &)> &save) const {
      if (file.size() >= path.size() && file.substr(0, path.size()) == path)
          code(file.substr(path.size()));
  }
      if (file.size() >= path.size() && file.substr(0, path.size()) == path)
          code(file.substr(path.size()));
  }
@@ -1876,84 +2620,98 @@ bool UnionFolder::Look(const std::string &path) const {
      return parent_.Look(Map(path));
  }
  
      return parent_.Look(Map(path));
  }
  
-void UnionFolder::Open(const std::string &path, const Functor<void (std::streambuf &, const void *)> &code) const {
+void UnionFolder::Open(const std::string &path, const Functor<void (std::streambuf &, size_t, const void *)> &code) const {
      auto file(resets_.find(path));
      if (file == resets_.end())
          return parent_.Open(Map(path), code);
      auto &entry(file->second);
  
      auto file(resets_.find(path));
      if (file == resets_.end())
          return parent_.Open(Map(path), code);
      auto &entry(file->second);
  
-    auto &data(entry.first);
+    auto &data(*entry.data_);
+    auto length(data.pubseekoff(0, std::ios::end, std::ios::in));
      data.pubseekpos(0, std::ios::in);
      data.pubseekpos(0, std::ios::in);
-    code(data, entry.second);
+    code(data, length, entry.flag_);
  }
  
  void UnionFolder::Find(const std::string &path, const Functor<void (const std::string &)> &code, const Functor<void (const std::string &, const Functor<std::string ()> &)> &link) const {
  }
  
  void UnionFolder::Find(const std::string &path, const Functor<void (const std::string &)> &code, const Functor<void (const std::string &, const Functor<std::string ()> &)> &link) const {
-    parent_.Find(path, fun([&](const std::string &name) {
-        if (deletes_.find(path + name) == deletes_.end())
-            code(name);
-    }), fun([&](const std::string &name, const Functor<std::string ()> &read) {
-        if (deletes_.find(path + name) == deletes_.end())
-            link(name, read);
-    }));
-
      for (auto &reset : resets_)
      for (auto &reset : resets_)
-        Map(path, code, reset.first, fun([&](const Functor<void (std::streambuf &, const void *)> &code) {
+        Map(path, code, reset.first, fun([&](const Functor<void (std::streambuf &, size_t, const void *)> &code) {
              auto &entry(reset.second);
              auto &entry(reset.second);
-            entry.first.pubseekpos(0, std::ios::in);
-            code(entry.first, entry.second);
+            auto &data(*entry.data_);
+            auto length(data.pubseekoff(0, std::ios::end, std::ios::in));
+            data.pubseekpos(0, std::ios::in);
+            code(data, length, entry.flag_);
          }));
  
      for (auto &remap : remaps_)
          }));
  
      for (auto &remap : remaps_)
-        Map(path, code, remap.first, fun([&](const Functor<void (std::streambuf &, const void *)> &code) {
-            parent_.Open(remap.second, fun([&](std::streambuf &data, const void *flag) {
-                code(data, flag);
+        Map(path, code, remap.first, fun([&](const Functor<void (std::streambuf &, size_t, const void *)> &code) {
+            parent_.Open(remap.second, fun([&](std::streambuf &data, size_t length, const void *flag) {
+                code(data, length, flag);
              }));
          }));
              }));
          }));
+
+    parent_.Find(path, fun([&](const std::string &name) {
+        if (deletes_.find(path + name) == deletes_.end())
+            code(name);
+    }), fun([&](const std::string &name, const Functor<std::string ()> &read) {
+        if (deletes_.find(path + name) == deletes_.end())
+            link(name, read);
+    }));
  }
  
  #ifndef LDID_NOTOOLS
  }
  
  #ifndef LDID_NOTOOLS
-static size_t copy(std::streambuf &source, std::streambuf &target) {
+static void copy(std::streambuf &source, std::streambuf &target, size_t length, const Progress &progress) {
+    progress(0);
      size_t total(0);
      for (;;) {
      size_t total(0);
      for (;;) {
-        char data[4096];
+        char data[4096 * 4];
          size_t writ(source.sgetn(data, sizeof(data)));
          if (writ == 0)
              break;
          _assert(target.sputn(data, writ) == writ);
          total += writ;
          size_t writ(source.sgetn(data, sizeof(data)));
          if (writ == 0)
              break;
          _assert(target.sputn(data, writ) == writ);
          total += writ;
+        progress(double(total) / length);
      }
      }
-    return total;
  }
  
  }
  
-#ifndef LDID_NOPLIST
  static plist_t plist(const std::string &data) {
  static plist_t plist(const std::string &data) {
+    if (data.empty())
+        return plist_new_dict();
      plist_t plist(NULL);
      if (Starts(data, "bplist00"))
          plist_from_bin(data.data(), data.size(), &plist);
      else
          plist_from_xml(data.data(), data.size(), &plist);
      plist_t plist(NULL);
      if (Starts(data, "bplist00"))
          plist_from_bin(data.data(), data.size(), &plist);
      else
          plist_from_xml(data.data(), data.size(), &plist);
-    _assert(plist != NULL);
+    if (plist == NULL) {
+        fprintf(stderr, "ldid: Failed to parse plist\n");
+        exit(1);
+    }
      return plist;
  }
  
      return plist;
  }
  
-static void plist_d(std::streambuf &buffer, const Functor<void (plist_t)> &code) {
+static void plist_d(std::streambuf &buffer, size_t length, const Functor<void (plist_t)> &code) {
      std::stringbuf data;
      std::stringbuf data;
-    copy(buffer, data);
+    copy(buffer, data, length, dummy_);
      auto node(plist(data.str()));
      _scope({ plist_free(node); });
      auto node(plist(data.str()));
      _scope({ plist_free(node); });
-    _assert(plist_get_node_type(node) == PLIST_DICT);
+    if (plist_get_node_type(node) != PLIST_DICT) {
+        fprintf(stderr, "ldid: Unexpected plist type. Expected <dict>\n");
+        exit(1);
+    }
      code(node);
  }
  
  static std::string plist_s(plist_t node) {
      code(node);
  }
  
  static std::string plist_s(plist_t node) {
-    _assert(node != NULL);
-    _assert(plist_get_node_type(node) == PLIST_STRING);
+    if (node == NULL)
+        return NULL;
+    if (plist_get_node_type(node) != PLIST_STRING) {
+        fprintf(stderr, "ldid: Unexpected plist type. Expected <string>\n");
+        exit(1);
+    }
      char *data;
      plist_get_string_val(node, &data);
      _scope({ free(data); });
      return data;
  }
      char *data;
      plist_get_string_val(node, &data);
      _scope({ free(data); });
      return data;
  }
-#endif
  
  enum Mode {
      NoMode,
  
  enum Mode {
      NoMode,
@@ -1999,7 +2757,7 @@ struct Rule {
      Mode mode_;
      std::string code_;
  
      Mode mode_;
      std::string code_;
  
-    mutable std::auto_ptr<Expression> regex_;
+    mutable std::unique_ptr<Expression> regex_;
  
      Rule(unsigned weight, Mode mode, const std::string &code) :
          weight_(weight),
  
      Rule(unsigned weight, Mode mode, const std::string &code) :
          weight_(weight),
@@ -2039,51 +2797,83 @@ struct RuleCode {
      }
  };
  
      }
  };
  
-#ifndef LDID_NOPLIST
-static std::vector<char> Sign(const uint8_t *prefix, size_t size, std::streambuf &buffer, Hash &hash, std::streambuf &save, const std::string &identifier, const std::string &entitlements, const std::string &requirement, const std::string &key, const Slots &slots) {
+static Hash Sign(const uint8_t *prefix, size_t size, std::streambuf &buffer, Hash &hash, std::streambuf &save, const std::string &identifier, const std::string &entitlements, bool merge, const std::string &requirements, const std::string &key, const Slots &slots, size_t length, uint32_t flags, bool platform, const Progress &progress) {
      // XXX: this is a miserable fail
      std::stringbuf temp;
      put(temp, prefix, size);
      // XXX: this is a miserable fail
      std::stringbuf temp;
      put(temp, prefix, size);
-    size += copy(buffer, temp);
+    copy(buffer, temp, length - size, progress);
      // XXX: this is a stupid hack
      // XXX: this is a stupid hack
-    pad(temp, 0x10 - (size & 0xf));
+    pad(temp, 0x10 - (length & 0xf));
      auto data(temp.str());
  
      HashProxy proxy(hash, save);
      auto data(temp.str());
  
      HashProxy proxy(hash, save);
-    return Sign(data.data(), data.size(), proxy, identifier, entitlements, requirement, key, slots);
+    return Sign(data.data(), data.size(), proxy, identifier, entitlements, merge, requirements, key, slots, flags, platform, progress);
  }
  
  }
  
-Bundle Sign(const std::string &root, Folder &folder, const std::string &key, std::map<std::string, Hash> &remote, const std::string &requirement, const Functor<std::string (const std::string &, const std::string &)> &alter) {
+struct State {
+    std::map<std::string, Hash> files;
+    std::map<std::string, std::string> links;
+
+    void Merge(const std::string &root, const State &state) {
+        for (const auto &entry : state.files)
+            files[root + entry.first] = entry.second;
+        for (const auto &entry : state.links)
+            links[root + entry.first] = entry.second;
+    }
+};
+
+Bundle Sign(const std::string &root, Folder &parent, const std::string &key, State &local, const std::string &requirements, const Functor<std::string (const std::string &, const std::string &)> &alter, const Progress &progress) {
      std::string executable;
      std::string identifier;
  
      bool mac(false);
  
      std::string info("Info.plist");
      std::string executable;
      std::string identifier;
  
      bool mac(false);
  
      std::string info("Info.plist");
-    if (!folder.Look(info) && folder.Look("Resources/" + info)) {
-        mac = true;
-        info = "Resources/" + info;
-    }
  
  
-    folder.Open(info, fun([&](std::streambuf &buffer, const void *flag) {
-        plist_d(buffer, fun([&](plist_t node) {
-            executable = plist_s(plist_dict_get_item(node, "CFBundleExecutable"));
-            identifier = plist_s(plist_dict_get_item(node, "CFBundleIdentifier"));
+    SubFolder folder(parent, [&]() {
+        if (parent.Look(info))
+            return "";
+        mac = true;
+        if (parent.Look("Contents/" + info))
+            return "Contents/";
+        else if (parent.Look("Resources/" + info)) {
+            info = "Resources/" + info;
+            return "";
+        } else {
+            fprintf(stderr, "ldid: Could not find Info.plist\n");
+            exit(1);
+        }
+    }());
+
+    folder.Open(info, fun([&](std::streambuf &buffer, size_t length, const void *flag) {
+        plist_d(buffer, length, fun([&](plist_t node) {
+            plist_t nodebuf(plist_dict_get_item(node, "CFBundleExecutable"));
+            if (nodebuf == NULL) {
+                fprintf(stderr, "ldid: Cannot find key CFBundleExecutable\n");
+                exit(1);
+            }
+            executable = plist_s(nodebuf);
+            nodebuf = plist_dict_get_item(node, "CFBundleIdentifier");
+            if (nodebuf == NULL) {
+                fprintf(stderr, "ldid: Cannot find key CFBundleIdentifier\n");
+                exit(1);
+            }
+            identifier = plist_s(nodebuf);
          }));
      }));
  
          }));
      }));
  
-    if (!mac && folder.Look("MacOS/" + executable)) {
+    if (mac && info == "Info.plist")
          executable = "MacOS/" + executable;
          executable = "MacOS/" + executable;
-        mac = true;
-    }
+
+    progress(root + "*");
  
      std::string entitlements;
  
      std::string entitlements;
-    folder.Open(executable, fun([&](std::streambuf &buffer, const void *flag) {
+    folder.Open(executable, fun([&](std::streambuf &buffer, size_t length, const void *flag) {
          // XXX: this is a miserable fail
          std::stringbuf temp;
          // XXX: this is a miserable fail
          std::stringbuf temp;
-        auto size(copy(buffer, temp));
+        copy(buffer, temp, length, progress);
          // XXX: this is a stupid hack
          // XXX: this is a stupid hack
-        pad(temp, 0x10 - (size & 0xf));
+        pad(temp, 0x10 - (length & 0xf));
          auto data(temp.str());
          entitlements = alter(root, Analyze(data.data(), data.size()));
      }));
          auto data(temp.str());
          entitlements = alter(root, Analyze(data.data(), data.size()));
      }));
@@ -2099,33 +2889,30 @@ Bundle Sign(const std::string &root, Folder &folder, const std::string &key, std
      const std::string resources(mac ? "Resources/" : "");
  
      if (true) {
      const std::string resources(mac ? "Resources/" : "");
  
      if (true) {
-        rules1.insert(Rule{1, NoMode, "^" + resources});
-        if (!mac) rules1.insert(Rule{10000, OmitMode, "^(Frameworks/[^/]+\\.framework/|PlugIns/[^/]+\\.appex/|PlugIns/[^/]+\\.appex/Frameworks/[^/]+\\.framework/|())SC_Info/[^/]+\\.(sinf|supf|supp)$"});
+        rules1.insert(Rule{1, NoMode, "^" + (resources == "" ? ".*" : resources)});
          rules1.insert(Rule{1000, OptionalMode, "^" + resources + ".*\\.lproj/"});
          rules1.insert(Rule{1100, OmitMode, "^" + resources + ".*\\.lproj/locversion.plist$"});
          rules1.insert(Rule{1000, OptionalMode, "^" + resources + ".*\\.lproj/"});
          rules1.insert(Rule{1100, OmitMode, "^" + resources + ".*\\.lproj/locversion.plist$"});
-        if (!mac) rules1.insert(Rule{10000, OmitMode, "^Watch/[^/]+\\.app/(Frameworks/[^/]+\\.framework/|PlugIns/[^/]+\\.appex/|PlugIns/[^/]+\\.appex/Frameworks/[^/]+\\.framework/)SC_Info/[^/]+\\.(sinf|supf|supp)$"});
+        rules1.insert(Rule{1010, NoMode, "^" + resources + "Base\\.lproj/"});
          rules1.insert(Rule{1, NoMode, "^version.plist$"});
      }
  
      if (true) {
          rules2.insert(Rule{11, NoMode, ".*\\.dSYM($|/)"});
          rules1.insert(Rule{1, NoMode, "^version.plist$"});
      }
  
      if (true) {
          rules2.insert(Rule{11, NoMode, ".*\\.dSYM($|/)"});
-        rules2.insert(Rule{20, NoMode, "^" + resources});
+        if (mac) rules2.insert(Rule{20, NoMode, "^" + resources});
          rules2.insert(Rule{2000, OmitMode, "^(.*/)?\\.DS_Store$"});
          rules2.insert(Rule{2000, OmitMode, "^(.*/)?\\.DS_Store$"});
-        if (!mac) rules2.insert(Rule{10000, OmitMode, "^(Frameworks/[^/]+\\.framework/|PlugIns/[^/]+\\.appex/|PlugIns/[^/]+\\.appex/Frameworks/[^/]+\\.framework/|())SC_Info/[^/]+\\.(sinf|supf|supp)$"});
-        rules2.insert(Rule{10, NestedMode, "^(Frameworks|SharedFrameworks|PlugIns|Plug-ins|XPCServices|Helpers|MacOS|Library/(Automator|Spotlight|LoginItems))/"});
+        if (mac) rules2.insert(Rule{10, NestedMode, "^(Frameworks|SharedFrameworks|PlugIns|Plug-ins|XPCServices|Helpers|MacOS|Library/(Automator|Spotlight|LoginItems))/"});
          rules2.insert(Rule{1, NoMode, "^.*"});
          rules2.insert(Rule{1000, OptionalMode, "^" + resources + ".*\\.lproj/"});
          rules2.insert(Rule{1100, OmitMode, "^" + resources + ".*\\.lproj/locversion.plist$"});
          rules2.insert(Rule{1, NoMode, "^.*"});
          rules2.insert(Rule{1000, OptionalMode, "^" + resources + ".*\\.lproj/"});
          rules2.insert(Rule{1100, OmitMode, "^" + resources + ".*\\.lproj/locversion.plist$"});
+        if (!mac) rules2.insert(Rule{1010, NoMode, "^Base\\.lproj/"});
          rules2.insert(Rule{20, OmitMode, "^Info\\.plist$"});
          rules2.insert(Rule{20, OmitMode, "^PkgInfo$"});
          rules2.insert(Rule{20, OmitMode, "^Info\\.plist$"});
          rules2.insert(Rule{20, OmitMode, "^PkgInfo$"});
-        if (!mac) rules2.insert(Rule{10000, OmitMode, "^Watch/[^/]+\\.app/(Frameworks/[^/]+\\.framework/|PlugIns/[^/]+\\.appex/|PlugIns/[^/]+\\.appex/Frameworks/[^/]+\\.framework/)SC_Info/[^/]+\\.(sinf|supf|supp)$"});
-        rules2.insert(Rule{10, NestedMode, "^[^/]+$"});
+        if (mac) rules2.insert(Rule{10, NestedMode, "^[^/]+$"});
          rules2.insert(Rule{20, NoMode, "^embedded\\.provisionprofile$"});
          rules2.insert(Rule{20, NoMode, "^embedded\\.provisionprofile$"});
+        if (mac) rules2.insert(Rule{1010, NoMode, "^" + resources + "Base\\.lproj/"});
          rules2.insert(Rule{20, NoMode, "^version\\.plist$"});
      }
  
          rules2.insert(Rule{20, NoMode, "^version\\.plist$"});
      }
  
-    std::map<std::string, Hash> local;
-
      std::string failure(mac ? "Contents/|Versions/[^/]*/Resources/" : "");
      Expression nested("^(Frameworks/[^/]*\\.framework|PlugIns/[^/]*\\.appex(()|/[^/]*.app))/(" + failure + ")Info\\.plist$");
      std::map<std::string, Bundle> bundles;
      std::string failure(mac ? "Contents/|Versions/[^/]*/Resources/" : "");
      Expression nested("^(Frameworks/[^/]*\\.framework|PlugIns/[^/]*\\.appex(()|/[^/]*.app))/(" + failure + ")Info\\.plist$");
      std::map<std::string, Bundle> bundles;
@@ -2133,12 +2920,18 @@ Bundle Sign(const std::string &root, Folder &folder, const std::string &key, std
      folder.Find("", fun([&](const std::string &name) {
          if (!nested(name))
              return;
      folder.Find("", fun([&](const std::string &name) {
          if (!nested(name))
              return;
-        auto bundle(root + Split(name).dir);
-        bundle.resize(bundle.size() - resources.size());
+        auto bundle(Split(name).dir);
+        if (mac) {
+            _assert(!bundle.empty());
+            bundle = Split(bundle.substr(0, bundle.size() - 1)).dir;
+        }
          SubFolder subfolder(folder, bundle);
  
          SubFolder subfolder(folder, bundle);
  
-        bundles[nested[1]] = Sign(bundle, subfolder, key, local, "", Starts(name, "PlugIns/") ? alter :
-            static_cast<const Functor<std::string (const std::string &, const std::string &)> &>(fun([&](const std::string &, const std::string &entitlements) -> std::string { return entitlements; })));
+        State remote;
+        bundles[nested[1]] = Sign(root + bundle, subfolder, key, remote, "", Starts(name, "PlugIns/") ? alter :
+            static_cast<const Functor<std::string (const std::string &, const std::string &)> &>(fun([&](const std::string &, const std::string &) -> std::string { return entitlements; }))
+        , progress);
+        local.Merge(bundle, remote);
      }), fun([&](const std::string &name, const Functor<std::string ()> &read) {
      }));
  
      }), fun([&](const std::string &name, const Functor<std::string ()> &read) {
      }));
  
@@ -2158,17 +2951,17 @@ Bundle Sign(const std::string &root, Folder &folder, const std::string &key, std
          return false;
      });
  
          return false;
      });
  
-    std::map<std::string, std::string> links;
-
      folder.Find("", fun([&](const std::string &name) {
          if (exclude(name))
              return;
  
      folder.Find("", fun([&](const std::string &name) {
          if (exclude(name))
              return;
  
-        if (local.find(name) != local.end())
+        if (local.files.find(name) != local.files.end())
              return;
              return;
-        auto &hash(local[name]);
+        auto &hash(local.files[name]);
+
+        folder.Open(name, fun([&](std::streambuf &data, size_t length, const void *flag) {
+            progress(root + name);
  
  
-        folder.Open(name, fun([&](std::streambuf &data, const void *flag) {
              union {
                  struct {
                      uint32_t magic;
              union {
                  struct {
                      uint32_t magic;
@@ -2191,7 +2984,7 @@ Bundle Sign(const std::string &root, Folder &folder, const std::string &key, std
                      case MH_CIGAM: case MH_CIGAM_64:
                          folder.Save(name, true, flag, fun([&](std::streambuf &save) {
                              Slots slots;
                      case MH_CIGAM: case MH_CIGAM_64:
                          folder.Save(name, true, flag, fun([&](std::streambuf &save) {
                              Slots slots;
-                            Sign(header.bytes, size, data, hash, save, identifier, "", "", key, slots);
+                            Sign(header.bytes, size, data, hash, save, identifier, "", false, "", key, slots, length, 0, false, Progression(progress, root + name));
                          }));
                          return;
                  }
                          }));
                          return;
                  }
@@ -2199,14 +2992,14 @@ Bundle Sign(const std::string &root, Folder &folder, const std::string &key, std
              folder.Save(name, false, flag, fun([&](std::streambuf &save) {
                  HashProxy proxy(hash, save);
                  put(proxy, header.bytes, size);
              folder.Save(name, false, flag, fun([&](std::streambuf &save) {
                  HashProxy proxy(hash, save);
                  put(proxy, header.bytes, size);
-                copy(data, proxy);
+                copy(data, proxy, length - size, progress);
              }));
          }));
      }), fun([&](const std::string &name, const Functor<std::string ()> &read) {
          if (exclude(name))
              return;
  
              }));
          }));
      }), fun([&](const std::string &name, const Functor<std::string ()> &read) {
          if (exclude(name))
              return;
  
-        links[name] = read();
+        local.links[name] = read();
      }));
  
      auto plist(plist_new_dict());
      }));
  
      auto plist(plist_new_dict());
@@ -2221,17 +3014,17 @@ Bundle Sign(const std::string &root, Folder &folder, const std::string &key, std
  
          bool old(&version.second == &rules1);
  
  
          bool old(&version.second == &rules1);
  
-        for (const auto &hash : local)
+        for (const auto &hash : local.files)
              for (const auto &rule : version.second)
                  if (rule(hash.first)) {
                      if (!old && mac && excludes.find(hash.first) != excludes.end());
                      else if (old && rule.mode_ == NoMode)
              for (const auto &rule : version.second)
                  if (rule(hash.first)) {
                      if (!old && mac && excludes.find(hash.first) != excludes.end());
                      else if (old && rule.mode_ == NoMode)
-                        plist_dict_set_item(files, hash.first.c_str(), plist_new_data(hash.second.sha1_, sizeof(hash.second.sha1_)));
+                        plist_dict_set_item(files, hash.first.c_str(), plist_new_data(reinterpret_cast<const char *>(hash.second.sha1_), sizeof(hash.second.sha1_)));
                      else if (rule.mode_ != OmitMode) {
                          auto entry(plist_new_dict());
                      else if (rule.mode_ != OmitMode) {
                          auto entry(plist_new_dict());
-                        plist_dict_set_item(entry, "hash", plist_new_data(hash.second.sha1_, sizeof(hash.second.sha1_)));
+                        plist_dict_set_item(entry, "hash", plist_new_data(reinterpret_cast<const char *>(hash.second.sha1_), sizeof(hash.second.sha1_)));
                          if (!old)
                          if (!old)
-                            plist_dict_set_item(entry, "hash2", plist_new_data(hash.second.sha256_, sizeof(hash.second.sha256_)));
+                            plist_dict_set_item(entry, "hash2", plist_new_data(reinterpret_cast<const char *>(hash.second.sha256_), sizeof(hash.second.sha256_)));
                          if (rule.mode_ == OptionalMode)
                              plist_dict_set_item(entry, "optional", plist_new_bool(true));
                          plist_dict_set_item(files, hash.first.c_str(), entry);
                          if (rule.mode_ == OptionalMode)
                              plist_dict_set_item(entry, "optional", plist_new_bool(true));
                          plist_dict_set_item(files, hash.first.c_str(), entry);
@@ -2240,24 +3033,25 @@ Bundle Sign(const std::string &root, Folder &folder, const std::string &key, std
                      break;
                  }
  
                      break;
                  }
  
-        for (const auto &link : links)
-            for (const auto &rule : version.second)
-                if (rule(link.first)) {
-                    if (rule.mode_ != OmitMode) {
-                        auto entry(plist_new_dict());
-                        plist_dict_set_item(entry, "symlink", plist_new_string(link.second.c_str()));
-                        if (rule.mode_ == OptionalMode)
-                            plist_dict_set_item(entry, "optional", plist_new_bool(true));
-                        plist_dict_set_item(files, link.first.c_str(), entry);
-                    }
+        if (!old)
+            for (const auto &link : local.links)
+                for (const auto &rule : version.second)
+                    if (rule(link.first)) {
+                        if (rule.mode_ != OmitMode) {
+                            auto entry(plist_new_dict());
+                            plist_dict_set_item(entry, "symlink", plist_new_string(link.second.c_str()));
+                            if (rule.mode_ == OptionalMode)
+                                plist_dict_set_item(entry, "optional", plist_new_bool(true));
+                            plist_dict_set_item(files, link.first.c_str(), entry);
+                        }
  
  
-                    break;
-                }
+                        break;
+                    }
  
          if (!old && mac)
              for (const auto &bundle : bundles) {
                  auto entry(plist_new_dict());
  
          if (!old && mac)
              for (const auto &bundle : bundles) {
                  auto entry(plist_new_dict());
-                plist_dict_set_item(entry, "cdhash", plist_new_data(bundle.second.hash.data(), bundle.second.hash.size()));
+                plist_dict_set_item(entry, "cdhash", plist_new_data(reinterpret_cast<const char *>(bundle.second.hash.sha256_), sizeof(bundle.second.hash.sha256_)));
                  plist_dict_set_item(entry, "requirement", plist_new_string("anchor apple generic"));
                  plist_dict_set_item(files, bundle.first.c_str(), entry);
              }
                  plist_dict_set_item(entry, "requirement", plist_new_string("anchor apple generic"));
                  plist_dict_set_item(files, bundle.first.c_str(), entry);
              }
@@ -2303,7 +3097,7 @@ Bundle Sign(const std::string &root, Folder &folder, const std::string &key, std
      }
  
      folder.Save(signature, true, NULL, fun([&](std::streambuf &save) {
      }
  
      folder.Save(signature, true, NULL, fun([&](std::streambuf &save) {
-        HashProxy proxy(local[signature], save);
+        HashProxy proxy(local.files[signature], save);
          char *xml(NULL);
          uint32_t size;
          plist_to_xml(plist, &xml, &size);
          char *xml(NULL);
          uint32_t size;
          plist_to_xml(plist, &xml, &size);
@@ -2312,37 +3106,68 @@ Bundle Sign(const std::string &root, Folder &folder, const std::string &key, std
      }));
  
      Bundle bundle;
      }));
  
      Bundle bundle;
-    bundle.path = executable;
+    bundle.path = folder.Path(executable);
  
  
-    folder.Open(executable, fun([&](std::streambuf &buffer, const void *flag) {
+    folder.Open(executable, fun([&](std::streambuf &buffer, size_t length, const void *flag) {
+        progress(root + executable);
          folder.Save(executable, true, flag, fun([&](std::streambuf &save) {
              Slots slots;
          folder.Save(executable, true, flag, fun([&](std::streambuf &save) {
              Slots slots;
-            slots[1] = local.at(info);
-            slots[3] = local.at(signature);
-            bundle.hash = Sign(NULL, 0, buffer, local[executable], save, identifier, entitlements, requirement, key, slots);
+            slots[1] = local.files.at(info);
+            slots[3] = local.files.at(signature);
+            bundle.hash = Sign(NULL, 0, buffer, local.files[executable], save, identifier, entitlements, false, requirements, key, slots, length, 0, false, Progression(progress, root + executable));
          }));
      }));
  
          }));
      }));
  
-    for (const auto &entry : local)
-        remote[root + entry.first] = entry.second;
-
      return bundle;
  }
  
      return bundle;
  }
  
-Bundle Sign(const std::string &root, Folder &folder, const std::string &key, const std::string &requirement, const Functor<std::string (const std::string &, const std::string &)> &alter) {
-    std::map<std::string, Hash> local;
-    return Sign(root, folder, key, local, requirement, alter);
+Bundle Sign(const std::string &root, Folder &folder, const std::string &key, const std::string &requirements, const Functor<std::string (const std::string &, const std::string &)> &alter, const Progress &progress) {
+    State local;
+    return Sign(root, folder, key, local, requirements, alter, progress);
  }
  }
-#endif
  
  #endif
  }
  
  
  #endif
  }
  
+std::string Hex(const uint8_t *data, size_t size) {
+    std::string hex;
+    hex.reserve(size * 2);
+    for (size_t i(0); i != size; ++i) {
+        hex += "0123456789abcdef"[data[i] >> 4];
+        hex += "0123456789abcdef"[data[i] & 0xf];
+    }
+    return hex;
+}
+
+static void usage(const char *argv0) {
+    fprintf(stderr, "Link Identity Editor %s\n\n", LDID_VERSION);
+    fprintf(stderr, "Usage: %s [-Acputype:subtype] [-a] [-C[adhoc | enforcement | expires | hard |\n", argv0);
+    fprintf(stderr, "            host | kill | library-validation | restrict | runtime]] [-D] [-d]\n");
+    fprintf(stderr, "            [-Enum:file] [-e] [-H[sha1 | sha256]] [-h] [-Iname]\n");
+    fprintf(stderr, "            [-Kkey.p12 [-Upassword]] [-M] [-P] [-Qrequirements.xml] [-q]\n");
+    fprintf(stderr, "            [-r | -Sfile.xml | -s] [-u] [-arch arch_type] file ...\n");
+    fprintf(stderr, "Options:\n");
+    fprintf(stderr, "   -S[file.xml]  Pseudo-sign using the entitlements in file.xml\n");
+    fprintf(stderr, "   -Kkey.p12     Sign using private key in key.p12\n");
+    fprintf(stderr, "   -Upassword    Use password to unlock key.p12\n");
+    fprintf(stderr, "   -M            Merge entitlements with any existing\n");
+    fprintf(stderr, "   -h            Print CDHash of file\n\n");
+    fprintf(stderr, "More information: 'man ldid'\n");
+}
+
+void cleanupfunc(void) {
+    for (const auto &temp : cleanup)
+        remove(temp.c_str());
+}
+
  #ifndef LDID_NOTOOLS
  int main(int argc, char *argv[]) {
  #ifndef LDID_NOTOOLS
  int main(int argc, char *argv[]) {
-#ifndef LDID_NOSMIME
+    std::atexit(cleanupfunc);
      OpenSSL_add_all_algorithms();
      OpenSSL_add_all_algorithms();
-#endif
+# if OPENSSL_VERSION_MAJOR >= 3
+    OSSL_PROVIDER *legacy = OSSL_PROVIDER_load(NULL, "legacy");
+    OSSL_PROVIDER *deflt = OSSL_PROVIDER_load(NULL, "default");
+# endif
  
      union {
          uint16_t word;
  
      union {
          uint16_t word;
@@ -2355,103 +3180,205 @@ int main(int argc, char *argv[]) {
      bool flag_e(false);
      bool flag_q(false);
  
      bool flag_e(false);
      bool flag_q(false);
  
-#ifndef LDID_NOFLAGT
-    bool flag_T(false);
-#endif
+    bool flag_H(false);
+    bool flag_h(false);
+
  
      bool flag_S(false);
      bool flag_s(false);
  
      bool flag_D(false);
  
      bool flag_S(false);
      bool flag_s(false);
  
      bool flag_D(false);
+    bool flag_d(false);
  
      bool flag_A(false);
      bool flag_a(false);
  
      bool flag_u(false);
  
  
      bool flag_A(false);
      bool flag_a(false);
  
      bool flag_u(false);
  
+    bool flag_M(false);
+
+    uint32_t flags(0);
+    bool platform(false);
+
      uint32_t flag_CPUType(_not(uint32_t));
      uint32_t flag_CPUSubtype(_not(uint32_t));
  
      const char *flag_I(NULL);
  
      uint32_t flag_CPUType(_not(uint32_t));
      uint32_t flag_CPUSubtype(_not(uint32_t));
  
      const char *flag_I(NULL);
  
-#ifndef LDID_NOFLAGT
-    bool timeh(false);
-    uint32_t timev(0);
-#endif
  
      Map entitlements;
  
      Map entitlements;
-    Map requirement;
+    Map requirements;
      Map key;
      ldid::Slots slots;
  
      std::vector<std::string> files;
  
      if (argc == 1) {
      Map key;
      ldid::Slots slots;
  
      std::vector<std::string> files;
  
      if (argc == 1) {
-        fprintf(stderr, "usage: %s -S[entitlements.xml] <binary>\n", argv[0]);
-        fprintf(stderr, "   %s -e MobileSafari\n", argv[0]);
-        fprintf(stderr, "   %s -S cat\n", argv[0]);
-        fprintf(stderr, "   %s -Stfp.xml gdb\n", argv[0]);
-        exit(0);
+        usage(argv[0]);
+        return 0;
      }
  
      for (int argi(1); argi != argc; ++argi)
          if (argv[argi][0] != '-')
              files.push_back(argv[argi]);
      }
  
      for (int argi(1); argi != argc; ++argi)
          if (argv[argi][0] != '-')
              files.push_back(argv[argi]);
-        else switch (argv[argi][1]) {
+        else if (strcmp(argv[argi], "-arch") == 0) {
+            bool foundarch = false;
+            flag_A = true;
+            argi++;
+            if (argi == argc) {
+                fprintf(stderr, "ldid: -arch must be followed by an architecture string\n");
+                exit(1);
+            }
+            for (int i = 0; archs[i].name != NULL; i++) {
+                if (strcmp(archs[i].name, argv[argi]) == 0) {
+                    flag_CPUType = archs[i].cputype;
+                    flag_CPUSubtype = archs[i].cpusubtype;
+                    foundarch = true;
+                }
+                if (foundarch)
+                    break;
+            }
+
+            if (!foundarch) {
+                fprintf(stderr, "error: unknown architecture specification flag: -arch %s\n", argv[argi]);
+                exit(1);
+            }
+        } else switch (argv[argi][1]) {
              case 'r':
              case 'r':
-                _assert(!flag_s);
-                _assert(!flag_S);
+                if (flag_s || flag_S) {
+                    fprintf(stderr, "ldid: Can only specify one of -r, -S, -s\n");
+                    exit(1);
+                }
                  flag_r = true;
              break;
  
              case 'e': flag_e = true; break;
  
              case 'E': {
                  flag_r = true;
              break;
  
              case 'e': flag_e = true; break;
  
              case 'E': {
-                const char *slot = argv[argi] + 2;
-                const char *colon = strchr(slot, ':');
-                _assert(colon != NULL);
+                const char *string = argv[argi] + 2;
+                const char *colon = strchr(string, ':');
+                if (colon == NULL) {
+                    usage(argv[0]);
+                    exit(1);
+                }
                  Map file(colon + 1, O_RDONLY, PROT_READ, MAP_PRIVATE);
                  char *arge;
                  Map file(colon + 1, O_RDONLY, PROT_READ, MAP_PRIVATE);
                  char *arge;
-                unsigned number(strtoul(slot, &arge, 0));
-                _assert(arge == colon);
-                sha1(slots[number], file.data(), file.size());
+                unsigned number(strtoul(string, &arge, 0));
+                if (arge != colon || (number == 0 && errno == EINVAL)) {
+                    usage(argv[0]);
+                    exit(1);
+                }
+                auto &slot(slots[number]);
+                for (Algorithm *algorithm : GetAlgorithms())
+                    (*algorithm)(slot, file.data(), file.size());
              } break;
  
              case 'q': flag_q = true; break;
  
              } break;
  
              case 'q': flag_q = true; break;
  
+            case 'H': {
+                const char *hash = argv[argi] + 2;
+
+                if (!flag_H) {
+                    flag_H = true;
+
+                    do_sha1 = false;
+                    do_sha256 = false;
+                }
+
+                if (strcmp(hash, "sha1") == 0)
+                    do_sha1 = true;
+                else if (strcmp(hash, "sha256") == 0)
+                    do_sha256 = true;
+                else {
+                    fprintf(stderr, "ldid: only sha1 and sha256 are supported at this time\n");
+                    exit(1);
+                }
+            } break;
+
+            case 'h': flag_h = true; break;
+
              case 'Q': {
                  const char *xml = argv[argi] + 2;
              case 'Q': {
                  const char *xml = argv[argi] + 2;
-                requirement.open(xml, O_RDONLY, PROT_READ, MAP_PRIVATE);
+                requirements.open(xml, O_RDONLY, PROT_READ, MAP_PRIVATE);
              } break;
  
              case 'D': flag_D = true; break;
              } break;
  
              case 'D': flag_D = true; break;
+            case 'd': flag_d = true; break;
  
              case 'a': flag_a = true; break;
  
              case 'A':
  
              case 'a': flag_a = true; break;
  
              case 'A':
-                _assert(!flag_A);
+                if (flag_A) {
+                    fprintf(stderr, "ldid: -A can only be specified once\n");
+                    exit(1);
+                }
                  flag_A = true;
                  if (argv[argi][2] != '\0') {
                      const char *cpu = argv[argi] + 2;
                      const char *colon = strchr(cpu, ':');
                  flag_A = true;
                  if (argv[argi][2] != '\0') {
                      const char *cpu = argv[argi] + 2;
                      const char *colon = strchr(cpu, ':');
-                    _assert(colon != NULL);
+                    if (colon == NULL) {
+                        usage(argv[0]);
+                        exit(1);
+                    }
                      char *arge;
                      flag_CPUType = strtoul(cpu, &arge, 0);
                      char *arge;
                      flag_CPUType = strtoul(cpu, &arge, 0);
-                    _assert(arge == colon);
+                    if (arge != colon || (flag_CPUType == 0 && errno == EINVAL)) {
+                        usage(argv[0]);
+                        exit(1);
+                    }
                      flag_CPUSubtype = strtoul(colon + 1, &arge, 0);
                      flag_CPUSubtype = strtoul(colon + 1, &arge, 0);
-                    _assert(arge == argv[argi] + strlen(argv[argi]));
+                    if (arge != argv[argi] + strlen(argv[argi]) || (flag_CPUSubtype == 0 && errno == EINVAL)) {
+                        usage(argv[0]);
+                        exit(1);
+                    }
                  }
              break;
  
                  }
              break;
  
+            case 'C': {
+                const char *name = argv[argi] + 2;
+                if (strcmp(name, "host") == 0)
+                    flags |= kSecCodeSignatureHost;
+                else if (strcmp(name, "adhoc") == 0)
+                    flags |= kSecCodeSignatureAdhoc;
+                else if (strcmp(name, "hard") == 0)
+                    flags |= kSecCodeSignatureForceHard;
+                else if (strcmp(name, "kill") == 0)
+                    flags |= kSecCodeSignatureForceKill;
+                else if (strcmp(name, "expires") == 0)
+                    flags |= kSecCodeSignatureForceExpiration;
+                else if (strcmp(name, "restrict") == 0)
+                    flags |= kSecCodeSignatureRestrict;
+                else if (strcmp(name, "enforcement") == 0)
+                    flags |= kSecCodeSignatureEnforcement;
+                else if (strcmp(name, "library-validation") == 0)
+                    flags |= kSecCodeSignatureLibraryValidation;
+                else if (strcmp(name, "runtime") == 0)
+                    flags |= kSecCodeSignatureRuntime;
+                else {
+                    fprintf(stderr, "ldid: -C: Unsupported option\n");
+                    exit(1);
+                }
+            } break;
+
+            case 'P':
+                platform = true;
+            break;
+
              case 's':
              case 's':
-                _assert(!flag_r);
-                _assert(!flag_S);
+                if (flag_r || flag_S) {
+                    fprintf(stderr, "ldid: Can only specify one of -r, -S, -s\n");
+                    exit(1);
+                }
                  flag_s = true;
                  flag_s = true;
+                entitlements.clear();
+                flag_M = true;
              break;
  
              case 'S':
              break;
  
              case 'S':
-                _assert(!flag_r);
-                _assert(!flag_s);
+                if (flag_r || flag_s) {
+                    fprintf(stderr, "ldid: Can only specify one of -r, -S, -s\n");
+                    exit(1);
+                }
                  flag_S = true;
                  if (argv[argi][2] != '\0') {
                      const char *xml = argv[argi] + 2;
                  flag_S = true;
                  if (argv[argi][2] != '\0') {
                      const char *xml = argv[argi] + 2;
@@ -2459,23 +3386,20 @@ int main(int argc, char *argv[]) {
                  }
              break;
  
                  }
              break;
  
+            case 'M':
+                flag_M = true;
+            break;
+
+            case 'U':
+                password = argv[argi] + 2;
+            break;
+
              case 'K':
                  if (argv[argi][2] != '\0')
                      key.open(argv[argi] + 2, O_RDONLY, PROT_READ, MAP_PRIVATE);
              break;
  
              case 'K':
                  if (argv[argi][2] != '\0')
                      key.open(argv[argi] + 2, O_RDONLY, PROT_READ, MAP_PRIVATE);
              break;
  
-#ifndef LDID_NOFLAGT
-            case 'T': {
-                flag_T = true;
-                if (argv[argi][2] == '-')
-                    timeh = true;
-                else {
-                    char *arge;
-                    timev = strtoul(argv[argi] + 2, &arge, 0);
-                    _assert(arge == argv[argi] + strlen(argv[argi]));
-                }
-            } break;
-#endif
+            case 'T': break;
  
              case 'u': {
                  flag_u = true;
  
              case 'u': {
                  flag_u = true;
@@ -2486,32 +3410,36 @@ int main(int argc, char *argv[]) {
              } break;
  
              default:
              } break;
  
              default:
-                goto usage;
+                usage(argv[0]);
+                return 1;
              break;
          }
  
              break;
          }
  
-    _assert(flag_S || key.empty());
-    _assert(flag_S || flag_I == NULL);
-
-    if (files.empty()) usage: {
-        exit(0);
+    if (flag_I != NULL && !flag_S) {
+        fprintf(stderr, "ldid: -I requires -S\n");
+        exit(1);
      }
  
      }
  
+    if (files.empty())
+        return 0;
+
      size_t filei(0), filee(0);
      _foreach (file, files) try {
          std::string path(file);
  
          struct stat info;
      size_t filei(0), filee(0);
      _foreach (file, files) try {
          std::string path(file);
  
          struct stat info;
-        _syscall(stat(path.c_str(), &info));
+        if (stat(path.c_str(), &info) == -1) {
+            fprintf(stderr, "ldid: %s: %s\n", path.c_str(), strerror(errno));
+            exit(1);
+        }
  
          if (S_ISDIR(info.st_mode)) {
  
          if (S_ISDIR(info.st_mode)) {
-#ifndef LDID_NOPLIST
-            _assert(!flag_r);
-            ldid::DiskFolder folder(path);
-            path += "/" + Sign("", folder, key, requirement, ldid::fun([&](const std::string &, const std::string &) -> std::string { return entitlements; })).path;
-#else
-            _assert(false);
-#endif
+            if (!flag_S) {
+                fprintf(stderr, "ldid: Only -S can be used on directories\n");
+                exit(1);
+            }
+            ldid::DiskFolder folder(path + "/");
+            path += "/" + Sign("", folder, key, requirements, ldid::fun([&](const std::string &, const std::string &) -> std::string { return entitlements; }), dummy_).path;
          } else if (flag_S || flag_r) {
              Map input(path, O_RDONLY, PROT_READ, MAP_PRIVATE);
  
          } else if (flag_S || flag_r) {
              Map input(path, O_RDONLY, PROT_READ, MAP_PRIVATE);
  
@@ -2520,24 +3448,16 @@ int main(int argc, char *argv[]) {
              auto temp(Temporary(output, split));
  
              if (flag_r)
              auto temp(Temporary(output, split));
  
              if (flag_r)
-                ldid::Unsign(input.data(), input.size(), output);
+                ldid::Unsign(input.data(), input.size(), output, dummy_);
              else {
                  std::string identifier(flag_I ?: split.base.c_str());
              else {
                  std::string identifier(flag_I ?: split.base.c_str());
-                ldid::Sign(input.data(), input.size(), output, identifier, entitlements, requirement, key, slots);
+                ldid::Sign(input.data(), input.size(), output, identifier, entitlements, flag_M, requirements, key, slots, flags, platform, dummy_);
              }
  
              Commit(path, temp);
          }
  
              }
  
              Commit(path, temp);
          }
  
-        bool modify(false);
-#ifndef LDID_NOFLAGT
-        if (flag_T)
-            modify = true;
-#endif
-        if (flag_s)
-            modify = true;
-
-        Map mapping(path, modify);
+        Map mapping(path, flag_D ? true : false);
          FatHeader fat_header(mapping.data(), mapping.size());
  
          _foreach (mach_header, fat_header.GetMachHeaders()) {
          FatHeader fat_header(mapping.data(), mapping.size());
  
          _foreach (mach_header, fat_header.GetMachHeaders()) {
@@ -2557,8 +3477,7 @@ int main(int argc, char *argv[]) {
              _foreach (load_command, mach_header.GetLoadCommands()) {
                  uint32_t cmd(mach_header.Swap(load_command->cmd));
  
              _foreach (load_command, mach_header.GetLoadCommands()) {
                  uint32_t cmd(mach_header.Swap(load_command->cmd));
  
-                if (false);
-                else if (cmd == LC_CODE_SIGNATURE)
+                if (cmd == LC_CODE_SIGNATURE)
                      signature = reinterpret_cast<struct linkedit_data_command *>(load_command);
                  else if (cmd == LC_ENCRYPTION_INFO || cmd == LC_ENCRYPTION_INFO_64)
                      encryption = reinterpret_cast<struct encryption_info_command *>(load_command);
                      signature = reinterpret_cast<struct linkedit_data_command *>(load_command);
                  else if (cmd == LC_ENCRYPTION_INFO || cmd == LC_ENCRYPTION_INFO_64)
                      encryption = reinterpret_cast<struct encryption_info_command *>(load_command);
@@ -2574,34 +3493,26 @@ int main(int argc, char *argv[]) {
                          }
                      }
                  }
                          }
                      }
                  }
-#ifndef LDID_NOFLAGT
-                else if (cmd == LC_ID_DYLIB) {
-                    volatile struct dylib_command *dylib_command(reinterpret_cast<struct dylib_command *>(load_command));
-
-                    if (flag_T) {
-                        uint32_t timed;
-
-                        if (!timeh)
-                            timed = timev;
-                        else {
-                            dylib_command->dylib.timestamp = 0;
-                            timed = hash(reinterpret_cast<uint8_t *>(mach_header.GetBase()), mach_header.GetSize(), timev);
-                        }
+            }
  
  
-                        dylib_command->dylib.timestamp = mach_header.Swap(timed);
-                    }
-                }
-#endif
+            if (flag_d && encryption != NULL) {
+                printf("cryptid=%d\n", mach_header.Swap(encryption->cryptid));
              }
  
              if (flag_D) {
              }
  
              if (flag_D) {
-                _assert(encryption != NULL);
+                if (encryption == NULL) {
+                    fprintf(stderr, "ldid: -D requires an encrypted binary\n");
+                    exit(1);
+                }
                  encryption->cryptid = mach_header.Swap(0);
              }
  
                  encryption->cryptid = mach_header.Swap(0);
              }
  
-            if (flag_e) {
-                _assert(signature != NULL);
+            if ((flag_e || flag_q || flag_h) && signature == NULL) {
+                fprintf(stderr, "ldid: -e, -q, and -h requre a signed binary\n");
+                exit(1);
+            }
  
  
+            if (flag_e) {
                  uint32_t data = mach_header.Swap(signature->dataoff);
  
                  uint8_t *top = reinterpret_cast<uint8_t *>(mach_header.GetBase());
                  uint32_t data = mach_header.Swap(signature->dataoff);
  
                  uint8_t *top = reinterpret_cast<uint8_t *>(mach_header.GetBase());
@@ -2617,8 +3528,6 @@ int main(int argc, char *argv[]) {
              }
  
              if (flag_q) {
              }
  
              if (flag_q) {
-                _assert(signature != NULL);
-
                  uint32_t data = mach_header.Swap(signature->dataoff);
  
                  uint8_t *top = reinterpret_cast<uint8_t *>(mach_header.GetBase());
                  uint32_t data = mach_header.Swap(signature->dataoff);
  
                  uint8_t *top = reinterpret_cast<uint8_t *>(mach_header.GetBase());
@@ -2633,8 +3542,12 @@ int main(int argc, char *argv[]) {
                      }
              }
  
                      }
              }
  
-            if (flag_s) {
-                _assert(signature != NULL);
+            if (flag_h) {
+                char *buf = _syscall(realpath(file.c_str(), NULL));
+                printf("Executable=%s\n", buf);
+                free(buf);
+
+                auto algorithms(GetAlgorithms());
  
                  uint32_t data = mach_header.Swap(signature->dataoff);
  
  
                  uint32_t data = mach_header.Swap(signature->dataoff);
  
@@ -2642,20 +3555,129 @@ int main(int argc, char *argv[]) {
                  uint8_t *blob = top + data;
                  struct SuperBlob *super = reinterpret_cast<struct SuperBlob *>(blob);
  
                  uint8_t *blob = top + data;
                  struct SuperBlob *super = reinterpret_cast<struct SuperBlob *>(blob);
  
-                for (size_t index(0); index != Swap(super->count); ++index)
-                    if (Swap(super->index[index].type) == CSSLOT_CODEDIRECTORY) {
+                struct Candidate {
+                    CodeDirectory *directory_;
+                    size_t size_;
+                    Algorithm &algorithm_;
+                    std::string hash_;
+                    uint32_t offset;
+                };
+
+                std::map<uint8_t, Candidate> candidates;
+                uint32_t cmsBegin = 0, cmsEnd = 0;
+
+                for (size_t index(0); index != Swap(super->count); ++index) {
+                    auto type(Swap(super->index[index].type));
+                    if ((type == CSSLOT_CODEDIRECTORY || type >= CSSLOT_ALTERNATE) && type != CSSLOT_SIGNATURESLOT) {
                          uint32_t begin = Swap(super->index[index].offset);
                          uint32_t begin = Swap(super->index[index].offset);
+                        uint32_t end = index + 1 == Swap(super->count) ? Swap(super->blob.length) : Swap(super->index[index + 1].offset);
                          struct CodeDirectory *directory = reinterpret_cast<struct CodeDirectory *>(blob + begin + sizeof(Blob));
                          struct CodeDirectory *directory = reinterpret_cast<struct CodeDirectory *>(blob + begin + sizeof(Blob));
+                        auto type(directory->hashType);
+                        _assert(type > 0 && type <= algorithms.size());
+                        auto &algorithm(*algorithms[type - 1]);
+                        uint8_t hash[algorithm.size_];
+                        algorithm(hash, blob + begin, end - begin);
+                        candidates.insert({type, {directory, end - begin, algorithm, Hex(hash, 20), begin}});
+                    } else if (type == CSSLOT_SIGNATURESLOT) {
+                        cmsBegin = Swap(super->index[index].offset);
+                        cmsEnd = index + 1 == Swap(super->count) ? Swap(super->blob.length) : Swap(super->index[index + 1].offset);
+                    }
+                }
  
  
-                        uint8_t (*hashes)[LDID_SHA1_DIGEST_LENGTH] = reinterpret_cast<uint8_t (*)[LDID_SHA1_DIGEST_LENGTH]>(blob + begin + Swap(directory->hashOffset));
-                        uint32_t pages = Swap(directory->nCodeSlots);
-
-                        if (pages != 1)
-                            for (size_t i = 0; i != pages - 1; ++i)
-                                sha1(hashes[i], top + PageSize_ * i, PageSize_);
-                        if (pages != 0)
-                            sha1(hashes[pages - 1], top + PageSize_ * (pages - 1), ((data - 1) % PageSize_) + 1);
+                _assert(!candidates.empty());
+                auto best(candidates.end());
+                --best;
+
+                const auto directory(best->second.directory_);
+                const auto flags(Swap(directory->flags));
+
+                printf("Identifier=%s\n", blob + best->second.offset + Swap(directory->identOffset));
+
+                std::string names;
+                if (flags & kSecCodeSignatureHost)
+                    names += ",host";
+                if (flags & kSecCodeSignatureAdhoc)
+                    names += ",adhoc";
+                if (flags & kSecCodeSignatureForceHard)
+                    names += ",hard";
+                if (flags & kSecCodeSignatureForceKill)
+                    names += ",kill";
+                if (flags & kSecCodeSignatureForceExpiration)
+                    names += ",expires";
+                if (flags & kSecCodeSignatureRestrict)
+                    names += ",restrict";
+                if (flags & kSecCodeSignatureEnforcement)
+                    names += ",enforcement";
+                if (flags & kSecCodeSignatureLibraryValidation)
+                    names += ",library-validation";
+                if (flags & kSecCodeSignatureRuntime)
+                    names += ",runtime";
+
+                printf("CodeDirectory v=%x size=%zd flags=0x%x(%s) hashes=%d+%d location=embedded\n",
+                    Swap(directory->version), best->second.size_, flags, names.empty() ? "none" : names.c_str() + 1, Swap(directory->nCodeSlots), Swap(directory->nSpecialSlots));
+                printf("Hash type=%s size=%d\n", best->second.algorithm_.name(), directory->hashSize);
+
+                std::string choices;
+                for (const auto &candidate : candidates) {
+                    auto choice(candidate.second.algorithm_.name());
+                    choices += ',';
+                    choices += choice;
+                    printf("CandidateCDHash %s=%s\n", choice, candidate.second.hash_.c_str());
+                }
+                printf("Hash choices=%s\n", choices.c_str() + 1);
+
+                printf("CDHash=%s\n", best->second.hash_.c_str());
+
+                if (cmsBegin != 0 && cmsEnd != 0) {
+                    // This loads the CMS blob and parses each X509 cert in the blob to extract the
+                    // common name and print it as "Authority=%s"
+                    Buffer bio(reinterpret_cast<const char *>(blob) + cmsBegin + sizeof(Blob), cmsEnd - cmsBegin);
+                    PKCS7 *p7 = NULL;
+                    if ((p7 = d2i_PKCS7_bio(bio, NULL)) == NULL) {
+                        // In order to follow codesign, we just ignore errors
+                        printf("Authority=(unavailable)\n");
+                    } else {
+                        STACK_OF(X509) *certs = NULL;
+                        switch (OBJ_obj2nid(p7->type)) {
+                            case NID_pkcs7_signed:
+                                if (p7->d.sign != NULL)
+                                    certs = p7->d.sign->cert;
+                                break;
+                            case NID_pkcs7_signedAndEnveloped:
+                                if (p7->d.signed_and_enveloped != NULL)
+                                    certs = p7->d.signed_and_enveloped->cert;
+                                break;
+                            default:
+                                break;
+                        }
+                        if (certs != NULL) {
+                            X509 *x;
+                            for (int i = 0; i < sk_X509_num(certs); i++) {
+                                x = sk_X509_value(certs, i);
+                                int lastpos = -1;
+                                X509_NAME *nm = X509_get_subject_name(x);
+                                X509_NAME_ENTRY *e;
+
+                                for (;;) {
+                                    lastpos = X509_NAME_get_index_by_NID(nm, NID_commonName, lastpos);
+                                    if (lastpos == -1)
+                                        break;
+                                    e = X509_NAME_get_entry(nm, lastpos);
+                                    ASN1_STRING *s = X509_NAME_ENTRY_get_data(e);
+                                    printf("Authority=%s\n", reinterpret_cast<const char *>(ASN1_STRING_get0_data(s)));
+                                }
+                            }
+                        } else {
+                            printf("Authority=(unavailable)\n");
+                        }
                      }
                      }
+                    PKCS7_free(p7);
+                }
+
+                if (Swap(directory->teamIDOffset) > 0)
+                    printf("TeamIdentifier=%s\n", blob + best->second.offset + Swap(directory->teamIDOffset));
+                else
+                    printf("TeamIdentifier=not set\n");
              }
          }
  
              }
          }
  
@@ -2665,6 +3687,11 @@ int main(int argc, char *argv[]) {
          ++filei;
      }
  
          ++filei;
      }
  
+# if OPENSSL_VERSION_MAJOR >= 3
+    OSSL_PROVIDER_unload(legacy);
+    OSSL_PROVIDER_unload(deflt);
+# endif
+
      return filee;
  }
      return filee;
  }
-#endif
+#endif // LDID_NOTOOLS