002fce0b35d444aaf9c573726c0c05b056848ff0
[gnupg.git] / NEWS
1 Noteworthy changes in version 2.0.12
2 -------------------------------------------------
3
4  * GPGSM now always lists ephemeral certificates if specified by
5    fingerprint or keygrip.
6
7  * New command "KEYINFO" for GPG_AGENT.  GPGSM now also returns
8    information about smartcards.
9
10  * Made sure not to leak file descriptors if running gpg-agent with a
11    command.  Restores the signal mask to solve a problem in Mono.
12
13  * Changed order of the confirmation questions for root certificates
14    and stores negative answers in trustlist.txt.
15
16  * Better synchronization of several smartcard sessions.
17
18
19 Noteworthy changes in version 2.0.11 (2009-03-03)
20 -------------------------------------------------
21
22  * Fixed a problem in SCDAEMON which caused unexpected card resets.
23
24  * SCDAEMON is now aware of the Geldkarte.
25
26  * The SCDAEMON option --allow-admin is now used by default.
27
28  * GPGCONF now restarts SCdaemon if necessary.
29
30  * The default cipher algorithm in GPGSM is now again 3DES.  This is
31    due to interoperability problems with Outlook 2003 which still
32    can't cope with AES.
33
34
35 Noteworthy changes in version 2.0.10 (2009-01-12)
36 -------------------------------------------------
37
38  * [gpg] New keyserver helper gpg2keys_kdns as generic DNS CERT
39    lookup.  Run with --help for a short description.  Requires the
40    ADNS library.
41
42  * [gpg] New mechanisms "local" and "nodefault" for --auto-key-locate.
43    Fixed a few problems with this option.
44
45  * [gpg] New command --locate-keys.
46
47  * [gpg] New options --with-sig-list and --with-sig-check.
48
49  * [gpg] The option "-sat" is no longer an alias for --clearsign.
50
51  * [gpg] The option --fixed-list-mode is now implicitly used and obsolete.
52
53  * [gpg] New control statement %ask-passphrase for the unattended key
54    generation.
55
56  * [gpg] The algorithm to compute the SIG_ID status has been changed.
57
58  * [gpgsm] Now uses AES by default.
59
60  * [gpgsm] Made --output option work with --export-secret-key-p12.
61
62  * [gpg-agent] Terminate process if the own listening socket is not
63    anymore served by ourself.
64
65  * [scdaemon] Made it more robust on W32.
66
67  * [gpg-connect-agent] Accept commands given as command line arguments.
68
69  * [w32] Initialized the socket subsystem for all keyserver helpers.
70
71  * [w32] The sysconf directory has been moved from a subdirectory of
72    the installation directory to %CSIDL_COMMON_APPDATA%/GNU/etc/gnupg.
73
74  * [w32] The gnupg2.nls directory is not anymore used.  The standard
75    locale directory is now used.  
76
77  * [w32] Fixed a race condition between gpg and gpgsm in the use of
78    temporary file names.
79
80  * The gpg-preset-passphrase mechanism works again.  An arbitrary
81    string may now be used for a custom cache ID.
82
83  * Admin PINs are cached again (bug in 2.0.9).
84
85  * Support for version 2 OpenPGP cards.
86
87  * Libgcrypt 1.4 is now required.
88
89
90 Noteworthy changes in version 2.0.9 (2008-03-26)
91 ------------------------------------------------
92
93  * Gpgsm always tries to locate missing certificates from a running
94    Dirmngr's cache.
95
96  * Tweaks for Windows.
97
98  * The Admin PIN for OpenPGP cards may now be entered with the pinpad.
99
100  * Improved certificate chain construction.
101
102  * Extended the PKITS framework.
103
104  * Fixed a bug in the ambigious name detection.
105
106  * Fixed possible memory corruption while importing OpenPGP keys (bug
107    introduced with 2.0.8). [CVE-2008-1530]
108
109  * Minor bug fixes.
110
111
112 Noteworthy changes in version 2.0.8 (2007-12-20)
113 ------------------------------------------------
114
115  * Enhanced gpg-connect-agent with a small scripting language.
116
117  * New option --list-config for gpgconf.
118
119  * Fixed a crash in gpgconf.
120
121  * Gpg-agent now supports the passphrase quality bar of the latest
122    Pinentry.
123
124  * The envvars XAUTHORITY and PINENTRY_USER_DATA are now passed to the
125    Pinentry.
126
127  * Fixed the auto creation of the key stub for smartcards.  
128
129  * Fixed a rare bug in decryption using the OpenPGP card.
130
131  * Creating DSA2 keys is now possible.
132
133  * New option --extra-digest-algo for gpgsm to allow verification of
134    broken signatures.
135
136  * Allow encryption with legacy Elgamal sign+encrypt keys with option
137    --rfc2440.
138
139  * Windows is now a supported platform.
140
141  * Made sure that under Windows the file permissions of the socket are
142    taken into account.  This required a change of our socket emulation
143    code and changed the IPC protocol under Windows.
144
145
146 Noteworthy changes in version 2.0.7 (2007-09-10)
147 ------------------------------------------------
148
149  * Fixed encryption problem if duplicate certificates are in the
150    keybox.
151
152  * Made it work on Windows Vista.  Note that the entire Windows port
153    is still considered Beta.
154
155  * Add new options min-passphrase-nonalpha, check-passphrase-pattern,
156    enforce-passphrase-constraints and max-passphrase-days to
157    gpg-agent.
158
159  * Add command --check-components to gpgconf.  Gpgconf now uses the
160    installed versions of the programs and does not anymore search via
161    PATH for them.
162
163
164 Noteworthy changes in version 2.0.6 (2007-08-16)
165 ------------------------------------------------
166
167  * GPGSM does now grok --default-key.
168
169  * GPGCONF is now aware of --default-key and --encrypt-to. 
170
171  * GPGSM does again correctly print the serial number as well the the
172    various keyids.  This was broken since 2.0.4.
173
174  * New option --validation-model and support for the chain-model.
175
176  * Improved Windows support.
177
178  
179 Noteworthy changes in version 2.0.5 (2007-07-05)
180 ------------------------------------------------
181
182  * Switched license to GPLv3.
183
184  * Basic support for Windows.  Run "./autogen.sh --build-w32" to build
185    it.  As usual the mingw cross compiling toolchain is required.
186
187  * Fixed bug when using the --p12-charset without --armor.
188
189  * The command --gen-key may now be used instead of the
190    gpgsm-gencert.sh script.
191
192  * Changed key generation to reveal less information about the
193    machine.  Bug fixes for gpg2's card key generation.
194
195
196 Noteworthy changes in version 2.0.4 (2007-05-09)
197 ------------------------------------------------
198
199  * The server mode key listing commands are now also working for
200    systems without the funopen/fopencookie API.
201
202  * PKCS#12 import now tries several encodings in case the passphrase
203    was not utf-8 encoded.  New option --p12-charset for gpgsm.
204
205  * Improved the libgcrypt logging support in all modules.
206
207
208 Noteworthy changes in version 2.0.3 (2007-03-08)
209 ------------------------------------------------
210
211  * By default, do not allow processing multiple plaintexts in a single
212    stream.  Many programs that called GnuPG were assuming that GnuPG
213    did not permit this, and were thus not using the plaintext boundary
214    status tags that GnuPG provides.  This change makes GnuPG reject
215    such messages by default which makes those programs safe again.
216    --allow-multiple-messages returns to the old behavior. [CVE-2007-1263].
217
218  * New --verify-option show-primary-uid-only. 
219
220  * gpgconf may now reads a global configuration file to select which
221    options are changeable by a frontend.  The new applygnupgdefaults
222    tool may be used by an admin to set default options for all users.
223
224  * The PIN pad of the Cherry XX44 keyboard is now supported.  The
225    DINSIG and the NKS applications are now also aware of PIN pads.
226
227
228 Noteworthy changes in version 2.0.2 (2007-01-31)
229 ------------------------------------------------
230
231  * Fixed a serious and exploitable bug in processing encrypted
232    packages. [CVE-2006-6235].
233
234  * Added --passphrase-repeat to set the number of times GPG will
235    prompt for a new passphrase to be repeated.  This is useful to help
236    memorize a new passphrase.  The default is 1 repetition.
237
238  * Using a PIN pad does now also work for the signing key.
239
240  * A warning is displayed by gpg-agent if a new passphrase is too
241    short.  New option --min-passphrase-len defaults to 8.
242
243  * The status code BEGIN_SIGNING now shows the used hash algorithms.
244
245
246 Noteworthy changes in version 2.0.1 (2006-11-28)
247 ------------------------------------------------
248
249  * Experimental support for the PIN pads of the SPR 532 and the Kaan
250    Advanced card readers.  Add "disable-keypad" scdaemon.conf if you
251    don't want it.  Does currently only work for the OpenPGP card and
252    its authentication and decrypt keys.
253
254  * Fixed build problems on some some platforms and crashes on amd64.
255
256  * Fixed a buffer overflow in gpg2. [bug#728,CVE-2006-6169]
257
258
259 Noteworthy changes in version 2.0.0 (2006-11-11)
260 ------------------------------------------------
261
262  * First stable version of a GnuPG integrating OpenPGP and S/MIME.
263
264
265 Noteworthy changes in version 1.9.95 (2006-11-06)
266 -------------------------------------------------
267
268  * Minor bug fixes.
269
270
271 Noteworthy changes in version 1.9.94 (2006-10-24)
272 -------------------------------------------------
273
274  * Keys for gpgsm may now be specified using a keygrip.  A keygrip is
275    indicated by a prefixing it with an ampersand.
276
277  * gpgconf now supports switching the CMS cipher algo (e.g. to AES).
278
279  * New command --gpgconf-test for all major tools. This may be used to
280    check whether the configuration file is sane.
281
282
283 Noteworthy changes in version 1.9.93 (2006-10-18)
284 -------------------------------------------------
285
286  * In --with-validation mode gpgsm will now also ask whether a root
287    certificate should be trusted.
288
289  * Link to Pth only if really necessary.
290
291  * Fixed a pubring corruption bug in gpg2 occurring when importing
292    signatures or keys with insane lengths.
293
294  * Fixed v3 keyID calculation bug in gpg2.
295
296  * More tweaks for certificates without extensions.
297
298
299 Noteworthy changes in version 1.9.92 (2006-10-11)
300 -------------------------------------------------
301
302  * Bug fixes.
303
304
305 Noteworthy changes in version 1.9.91 (2006-10-04)
306 -------------------------------------------------
307
308  * New "relax" flag for trustlist.txt to allow root CA certificates
309    without BasicContraints.
310
311  * [gpg2] Removed the -k PGP 2 compatibility hack.  -k is now an
312    alias for --list-keys.
313
314  * [gpg2] Print a warning if "-sat" is used instead of "--clearsign".
315
316
317 Noteworthy changes in version 1.9.90 (2006-09-25)
318 -------------------------------------------------
319
320  * Made readline work for gpg.
321
322  * Cleanups und minor bug fixes.
323
324  * Included translations from gnupg 1.4.5.
325
326
327 Noteworthy changes in version 1.9.23 (2006-09-18)
328 -------------------------------------------------
329
330  * Regular man pages for most tools are now build directly from the
331    Texinfo source.
332
333  * The gpg code from 1.4.5 has been fully merged into this release.
334    The configure option --enable-gpg is still required to build this
335    gpg part.  For production use of OpenPGP the gpg version 1.4.5 is
336    still recommended.  Note, that gpg will be installed under the name
337    gpg2 to allow coexisting with an 1.4.x gpg.
338
339  * API change in gpg-agent's pkdecrypt command.  Thus an older gpgsm
340    may not be used with the current gpg-agent.
341
342  * The scdaemon will now call a script on reader status changes.
343
344  * gpgsm now allows file descriptor passing for "INPUT", "OUTPUT" and
345    "MESSAGE".
346
347  * The gpgsm server may now output a key listing to the output file
348    handle. This needs to be enabled using "OPTION list-to-output=1".
349
350  * The --output option of gpgsm has now an effect on list-keys.
351
352  * New gpgsm commands --dump-chain and list-chain.
353
354  * gpg-connect-agent has new options to utilize descriptor passing.
355
356  * A global trustlist may now be used.  See doc/examples/trustlist.txt.
357
358  * When creating a new pubring.kbx keybox common certificates are
359    imported.
360
361
362 Noteworthy changes in version 1.9.22 (2006-07-27)
363 -------------------------------------------------
364
365  * Enhanced pkcs#12 support to allow import from simple keyBags.
366
367  * Exporting to pkcs#12 now create bag attributes so that Mozilla is
368    able to import the files.
369
370  * Fixed uploading of certain keys to the smart card.
371
372
373 Noteworthy changes in version 1.9.21 (2006-06-20)
374 -------------------------------------------------
375
376  * New command APDU for scdaemon to allow using it for general card
377    access.  Might be used through gpg-connect-agent by using the SCD
378    prefix command.
379
380  * Support for the CardMan 4040 PCMCIA reader (Linux 2.6.15 required).
381
382  * Scdaemon does not anymore reset cards at the end of a connection. 
383
384  * Kludge to allow use of Bundesnetzagentur issued X.509 certificates.
385
386  * Added --hash=xxx option to scdaemon's PKSIGN command.
387
388  * Pkcs#12 files are now created with a MAC.  This is for better
389    interoperability.
390
391  * Collected bug fixes and minor other changes.
392
393
394 Noteworthy changes in version 1.9.20 (2005-12-20)
395 -------------------------------------------------
396
397  * Importing pkcs#12 files created be recent versions of Mozilla works
398    again.
399
400  * Basic support for qualified signatures.
401
402  * New debug tool gpgparsemail. 
403
404
405 Noteworthy changes in version 1.9.19 (2005-09-12)
406 -------------------------------------------------
407
408  * The Belgian eID card is now supported for signatures and ssh.
409    Other pkcs#15 cards should work as well.
410
411  * Fixed bug in --export-secret-key-p12 so that certificates are again
412    included.
413
414
415 Noteworthy changes in version 1.9.18 (2005-08-01)
416 -------------------------------------------------
417
418  * [gpgsm] Now allows for more than one email address as well as URIs
419    and dnsNames in certificate request generation.  A keygrip may be
420    given to create a request from an existing key.
421
422  * A couple of minor bug fixes.
423
424
425 Noteworthy changes in version 1.9.17 (2005-06-20)
426 -------------------------------------------------
427
428  * gpg-connect-agent has now features to handle Assuan INQUIRE
429    commands.
430
431  * Internal changes for OpenPGP cards. New Assuan command WRITEKEY.
432
433  * GNU Pth is now a hard requirement.
434
435  * [scdaemon] Support for OpenSC has been removed.  Instead a new and
436    straightforward pkcs#15 modules has been written.  As of now it
437    does allows only signing using TCOS cards but we are going to
438    enhance it to match all the old capabilities.
439
440  * [gpg-agent] New option --write-env-file and Assuan command
441    UPDATESTARTUPTTY.
442
443  * [gpg-agent] New option --default-cache-ttl-ssh to set the TTL for
444    SSH passphrase caching independent from the other passphrases.
445
446
447 Noteworthy changes in version 1.9.16 (2005-04-21)
448 -------------------------------------------------
449
450  * gpg-agent does now support the ssh-agent protocol and thus allows
451    to use the pinentry as well as the OpenPGP smartcard with ssh.
452
453  * New tool gpg-connect-agent as a general client for the gpg-agent.
454
455  * New tool symcryptrun as a wrapper for certain encryption tools.
456
457  * The gpg tool is not anymore build by default because those gpg
458    versions available in the gnupg 1.4 series are far more matured.
459
460
461 Noteworthy changes in version 1.9.15 (2005-01-13)
462 -------------------------------------------------
463
464  * Fixed passphrase caching bug.
465
466  * Better support for CCID readers; the reader from Cherry RS 6700 USB
467    does now work.
468
469
470 Noteworthy changes in version 1.9.14 (2004-12-22)
471 -------------------------------------------------
472
473  * [gpg-agent] New option --use-standard-socket to allow the use of a
474    fixed socket.  gpgsm falls back to this socket if GPG_AGENT_INFO
475    has not been set.
476
477  * Ported to MS Windows with some functional limitations.
478
479  * New tool gpg-preset-passphrase.
480
481
482 Noteworthy changes in version 1.9.13 (2004-12-03)
483 -------------------------------------------------
484
485  * [gpgsm] New option --prefer-system-dirmngr.
486
487  * Minor cleanups and debugging aids.
488
489
490 Noteworthy changes in version 1.9.12 (2004-10-22)
491 -------------------------------------------------
492
493  * [scdaemon] Partly rewrote the PC/SC code.
494
495  * Removed the sc-investigate tool.  It is now in a separate package
496    available at ftp://ftp.g10code.com/g10code/gscutils/ .
497
498  * [gpg-agent] Fixed logging problem.
499
500
501 Noteworthy changes in version 1.9.11 (2004-10-01)
502 -------------------------------------------------
503
504  * When using --import along with --with-validation, the imported
505    certificates are validated and only imported if they are fully
506    valid.
507
508  * [gpg-agent] New option --max-cache-ttl.
509
510  * [gpg-agent] When used without --daemon or --server, gpg-agent now
511    check whether a agent is already running and usable.
512
513  * Fixed some i18n problems.
514
515
516 Noteworthy changes in version 1.9.10 (2004-07-22)
517 -------------------------------------------------
518
519  * Fixed a serious bug in the checking of trusted root certificates.
520
521  * New configure option --enable-agent-pnly allows to build and
522    install just the agent.
523
524  * Fixed a problem with the log file handling.
525
526
527 Noteworthy changes in version 1.9.9 (2004-06-08)
528 ------------------------------------------------
529
530  * [gpg-agent] The new option --allow-mark-trusted is now required to
531    allow gpg-agent to add a key to the trustlist.txt after user
532    confirmation.
533
534  * Creating PKCS#10 requests does now honor the key usage.
535
536
537 Noteworthy changes in version 1.9.8 (2004-04-29)
538 ------------------------------------------------
539
540  * [scdaemon] Overhauled the internal CCID driver.
541
542  * [scdaemon] Status files named ~/.gnupg/reader_<n>.status are now
543    written when using the internal CCID driver.
544
545  * [gpgsm] New commands --dump-{,secret,external}-keys to show a very
546    detailed view of the certificates.
547
548  * The keybox gets now compressed after 3 hours and ephemeral
549    stored certificates are deleted after about a day.
550
551  * [gpg] Usability fixes for --card-edit.  Note, that this has already
552    been ported back to gnupg-1.3
553
554
555 Noteworthy changes in version 1.9.7 (2004-04-06)
556 ------------------------------------------------
557
558  * Instrumented the modules for gpgconf.
559
560  * Added support for DINSIG card applications.
561
562  * Include the smimeCapabilities attribute with signed messages.
563
564  * Now uses the gettext domain "gnupg2" to avoid conflicts with gnupg
565    versions < 1.9.
566
567
568 Noteworthy changes in version 1.9.6 (2004-03-06)
569 ------------------------------------------------
570
571  * Code cleanups and bug fixes.
572
573
574 Noteworthy changes in version 1.9.5 (2004-02-21)
575 ------------------------------------------------
576
577  * gpg-protect-tool gets now installed into libexec as it ought to be.
578    Cleaned up the build system to better comply with the coding
579    standards.
580
581  * [gpgsm] The --import command is now able to autodetect pkcs#12
582    files and import secret and private keys from this file format.
583    A new command --export-secret-key-p12 is provided to allow
584    exporting of secret keys in PKCS\#12 format.
585
586  * [gpgsm] The pinentry will now present a description of the key for
587    whom the passphrase is requested.
588
589  * [gpgsm] New option --with-validation to check the validity of key
590    while listing it.
591
592  * New option --debug-level={none,basic,advanced,expert,guru} to map
593    the debug flags to sensitive levels on a per program base.
594
595
596 Noteworthy changes in version 1.9.4 (2004-01-30)
597 ------------------------------------------------
598
599  * Added support for the Telesec NKS 2.0 card application.
600
601  * Added simple tool addgnupghome to create .gnupg directories from
602    /etc/skel/.gnupg.
603
604  * Various minor bug fixes and cleanups; mainly gpgsm and gpg-agent
605    related.
606
607
608 Noteworthy changes in version 1.9.3 (2003-12-23)
609 ------------------------------------------------
610
611  * New gpgsm options --{enable,disable}-ocsp to validate keys using
612    OCSP. This option requires a not yet released DirMngr version.
613    Default is disabled.
614
615  * The --log-file option may now be used to print logs to a socket.
616    Prefix the socket name with "socket://" to enable this.  This does
617    not work on all systems and falls back to stderr if there is a
618    problem with the socket.
619
620  * The options --encrypt-to and --no-encrypt-to now work the same in
621    gpgsm as in gpg.  Note, they are also used in server mode.
622
623  * Duplicated recipients are now silently removed in gpgsm.
624
625
626 Noteworthy changes in version 1.9.2 (2003-11-17)
627 ------------------------------------------------
628
629  * On card key generation is no longer done using the --gen-key
630    command but from the menu provided by the new --card-edit command.
631
632  * PINs are now properly cached and there are only 2 PINs visible.
633    The 3rd PIN (CHV2) is internally syncronized with the regular PIN.
634
635  * All kind of other internal stuff.
636
637
638 Noteworthy changes in version 1.9.1 (2003-09-06)
639 ------------------------------------------------
640
641  * Support for OpenSC is back. scdaemon supports a --disable-opensc to
642    disable OpenSC use at runtime, so that PC/SC or ct-API can still be
643    used directly.
644
645  * Rudimentary support for the SCR335 smartcard reader using an
646    internal driver.  Requires current libusb from CVS.
647
648  * Bug fixes.
649
650
651 Noteworthy changes in version 1.9.0 (2003-08-05)
652 ------------------------------------------------
653
654       ====== PLEASE SEE README-alpha =======
655
656  * gpg has been renamed to gpg2 and gpgv to gpgv2.  This is a
657    temporary change to allow co-existing with stable gpg versions.
658
659  * ~/.gnupg/gpg.conf-1.9.0 is fist tried as config file before the
660    usual gpg.conf.
661
662  * Removed the -k, -kv and -kvv commands.  -k is now an alias to
663    --list-keys.  New command -K as alias for --list-secret-keys.
664
665  * Removed --run-as-shm-coprocess feature.
666
667  * gpg does now also use libgcrypt, libgpg-error is required.
668
669  * New gpgsm commands --call-dirmngr and --call-protect-tool.
670
671  * Changing a passphrase is now possible using "gpgsm --passwd"
672
673  * The content-type attribute is now recognized and created.
674
675  * The agent does now reread certain options on receiving a HUP.
676
677  * The pinentry is now forked for each request so that clients with
678    different environments are supported.  When running in daemon mode
679    and --keep-display is not used the DISPLAY variable is ignored.
680
681  * Merged stuff from the newpg branch and started this new
682    development branch.
683
684
685  Copyright 2002, 2003, 2004, 2005, 2006, 2007,
686            2008, 2009  Free Software Foundation, Inc.
687
688  This file is free software; as a special exception the author gives
689  unlimited permission to copy and/or distribute it, with or without
690  modifications, as long as this notice is preserved.
691
692  This file is distributed in the hope that it will be useful, but
693  WITHOUT ANY WARRANTY, to the extent permitted by law; without even the
694  implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.