1003652ebba3f3cfac9a5ac0ca113fee0cf32905
[gnupg.git] / NEWS
1 Noteworthy changes in version 2.1.3 (unreleased)
2 ------------------------------------------------
3
4
5 Noteworthy changes in version 2.1.2 (2015-02-11)
6 ------------------------------------------------
7
8  * gpg: The parameter 'Passphrase' for batch key generation works
9    again.
10
11  * gpg: Using a passphrase option in batch mode now has the expected
12    effect on --quick-gen-key.
13
14  * gpg: Improved reporting of unsupported PGP-2 keys.
15
16  * gpg: Added support for algo names when generating keys using
17    --command-fd.
18
19  * gpg: Fixed DoS based on bogus and overlong key packets.
20
21  * agent: When setting --default-cache-ttl the value
22    for --max-cache-ttl is adjusted to be not lower than the former.
23
24  * agent: Fixed problems with the new --extra-socket.
25
26  * agent: Made --allow-loopback-pinentry changeable with gpgconf.
27
28  * agent: Fixed importing of unprotected openpgp keys.
29
30  * agent: Now tries to use a fallback pinentry if the standard
31    pinentry is not installed.
32
33  * scd: Added support for ECDH.
34
35  * Fixed several bugs related to bogus keyrings and improved some
36    other code.
37
38
39 Noteworthy changes in version 2.1.1 (2014-12-16)
40 ------------------------------------------------
41
42  * gpg: Detect faulty use of --verify on detached signatures.
43
44  * gpg: New import option "keep-ownertrust".
45
46  * gpg: New sub-command "factory-reset" for --card-edit.
47
48  * gpg: A stub key for smartcards is now created by --card-status.
49
50  * gpg: Fixed regression in --refresh-keys.
51
52  * gpg: Fixed regresion in %g and %p codes for --sig-notation.
53
54  * gpg: Fixed best matching hash algo detection for ECDSA and EdDSA.
55
56  * gpg: Improved perceived speed of secret key listisngs.
57
58  * gpg: Print number of skipped PGP-2 keys on import.
59
60  * gpg: Removed the option aliases --throw-keyid and --notation-data;
61    use --throw-keyids and --set-notation instead.
62
63  * gpg: New import option "keep-ownertrust".
64
65  * gpg: Skip too large keys during import.
66
67  * gpg,gpgsm: New option --no-autostart to avoid starting gpg-agent or
68    dirmngr.
69
70  * gpg-agent: New option --extra-socket to provide a restricted
71    command set for use with remote clients.
72
73  * gpgconf --kill does not anymore start a service only to kill it.
74
75  * gpg-pconnect-agent: Add convenience option --uiserver.
76
77  * Fixed keyserver access for Windows.
78
79  * Fixed build problems on Mac OS X
80
81  * The Windows installer does now install development files
82
83  * More translations (but most of them are not complete).
84
85  * To support remotely mounted home directories, the IPC sockets may
86    now be redirected.  This feature requires Libassuan 2.2.0.
87
88  * Improved portability and the usual bunch of bug fixes.
89
90
91 Noteworthy changes in version 2.1.0 (2014-11-06)
92 ------------------------------------------------
93
94  This release introduces a lot of changes.  Most of them are internal
95  and thus not user visible.  However, some long standing behavior has
96  slightly changed and it is strongly suggested that an existing
97  "~/.gnupg" directory is backed up before this version is used.
98
99  A verbose description of the major new features and changes can be
100  found in the file doc/whats-new-in-2.1.txt.
101
102  * gpg: All support for v3 (PGP 2) keys has been dropped.  All
103    signatures are now created as v4 signatures.  v3 keys will be
104    removed from the keyring.
105
106  * gpg: With pinentry-0.9.0 the passphrase "enter again" prompt shows
107    up in the same window as the "new passphrase" prompt.
108
109  * gpg: Allow importing keys with duplicated long key ids.
110
111  * dirmngr: May now be build without support for LDAP.
112
113  * For a complete list of changes see the lists of changes for the
114    2.1.0 beta versions below.  Note that all relevant fixes from
115    versions 2.0.14 to 2.0.26 are also applied to this version.
116
117
118  [Noteworthy changes in version 2.1.0-beta864 (2014-10-03)]
119
120  * gpg: Removed the GPG_AGENT_INFO related code.  GnuPG does now
121    always use a fixed socket name in its home directory.
122
123  * gpg: Renamed --gen-key to --full-gen-key and re-added a --gen-key
124    command with less choices.
125
126  * gpg: Use SHA-256 for all signature types also on RSA keys.
127
128  * gpg: Default keyring is now created with a .kbx suffix.
129
130  * gpg: Add a shortcut to the key capabilies menu (e.g. "=e" sets the
131    encryption capabilities).
132
133  * gpg: Fixed obsolete options parsing.
134
135  * Further improvements for the alternative speedo build system.
136
137
138  [Noteworthy changes in version 2.1.0-beta834 (2014-09-18)]
139
140  * gpg: Improved passphrase caching.
141
142  * gpg: Switched to algorithm number 22 for EdDSA.
143
144  * gpg: Removed CAST5 from the default preferences.
145
146  * gpg: Order SHA-1 last in the hash preferences.
147
148  * gpg: Changed default cipher for --symmetric to AES-128.
149
150  * gpg: Fixed export of ECC keys and import of EdDSA keys.
151
152  * dirmngr: Fixed the KS_FETCH command.
153
154  * The speedo build system now downloads related packages and works
155    for non-Windows platforms.
156
157
158  [Noteworthy changes in version 2.1.0-beta783 (2014-08-14)]
159
160  * gpg: Add command --quick-gen-key.
161
162  * gpg: Make --quick-sign-key promote local key signatures.
163
164  * gpg: Added "show-usage" sub-option to --list-options.
165
166  * gpg: Screen keyserver responses to avoid importing unwanted keys
167    from rogue servers.
168
169  * gpg: Removed the option --pgp2 and --rfc1991 and the ability to
170    create PGP-2 compatible messages.
171
172  * gpg: Removed options --compress-keys and --compress-sigs.
173
174  * gpg: Cap attribute packets at 16MB.
175
176  * gpg: Improved output of --list-packets.
177
178  * gpg: Make with-colons output of --search-keys work again.
179
180  * gpgsm: Auto-create the ".gnupg" directory like gpg does.
181
182  * agent: Fold new passphrase warning prompts into one.
183
184  * scdaemon: Add support for the Smartcard-HSM card.
185
186  * scdaemon: Remove the use of the pcsc-wrapper.
187
188
189  [Noteworthy changes in version 2.1.0-beta751 (2014-07-03)]
190
191  * gpg: Create revocation certificates during key generation.
192
193  * gpg: Create exported secret keys and revocation certifciates with
194    mode 0700
195
196  * gpg: The validity of user ids is now shown by default.  To revert
197    this add "list-options no-show-uid-validity" to gpg.conf.
198
199  * gpg: Make export of secret keys work again.
200
201  * gpg: The output of --list-packets does now print the offset of the
202    packet and information about the packet header.
203
204  * gpg: Avoid DoS due to garbled compressed data packets. [CVE-2014-4617]
205
206  * gpg: Print more specific reason codes with the INV_RECP status.
207
208  * gpg: Cap RSA and Elgamal keysize at 4096 bit also for unattended
209    key generation.
210
211  * scdaemon: Support reader Gemalto IDBridge CT30 and pinpad of SCT
212    cyberJack go.
213
214  * The speedo build system has been improved.  It is now also possible
215    to build a partly working installer for Windows.
216
217
218  [Noteworthy changes in version 2.1.0-beta442 (2014-06-05)]
219
220  * gpg: Changed the format of key listings.  To revert to the old
221    format the option --legacy-list-mode is available.
222
223  * gpg: Add experimental signature support using curve Ed25519 and
224    with a patched Libgcrypt also encryption support with Curve25519.
225    [Update: this encryption support has been removed from 2.1.0 until
226    we have agreed on a suitable format.]
227
228  * gpg: Allow use of Brainpool curves.
229
230  * gpg: Accepts a space separated fingerprint as user ID.  This
231    allows to copy and paste the fingerprint from the key listing.
232
233  * gpg: The hash algorithm is now printed for signature records in key
234    listings.
235
236  * gpg: Reject signatures made using the MD5 hash algorithm unless the
237    new option --allow-weak-digest-algos or --pgp2 are given.
238
239  * gpg: Print a warning if the Gnome-Keyring-Daemon intercepts the
240    communication with the gpg-agent.
241
242  * gpg: New option --pinentry-mode.
243
244  * gpg: Fixed decryption using an OpenPGP card.
245
246  * gpg: Fixed bug with deeply nested compressed packets.
247
248  * gpg: Only the major version number is by default included in the
249    armored output.
250
251  * gpg: Do not create a trustdb file if --trust-model=always is used.
252
253  * gpg: Protect against rogue keyservers sending secret keys.
254
255  * gpg: The format of the fallback key listing ("gpg KEYFILE") is now
256    more aligned to the regular key listing ("gpg -k").
257
258  * gpg: The option--show-session-key prints its output now before the
259    decryption of the bulk message starts.
260
261  * gpg: New %U expando for the photo viewer.
262
263  * gpg,gpgsm: New option --with-secret.
264
265  * gpgsm: By default the users are now asked via the Pinentry whether
266    they trust an X.509 root key.  To prohibit interactive marking of
267    such keys, the new option --no-allow-mark-trusted may be used.
268
269  * gpgsm: New commands to export a secret RSA key in PKCS#1 or PKCS#8
270    format.
271
272  * gpgsm: Improved handling of re-issued CA certificates.
273
274  * agent: The included ssh agent does now support ECDSA keys.
275
276  * agent: New option --enable-putty-support to allow gpg-agent on
277    Windows to act as a Pageant replacement with full smartcard support.
278
279  * scdaemon: New option --enable-pinpad-varlen.
280
281  * scdaemon: Various fixes for pinpad equipped card readers.
282
283  * scdaemon: Rename option --disable-pinpad (was --disable-keypad).
284
285  * scdaemon: Better support fo CCID readers.  Now, internal CCID
286    driver supports readers with no auto configuration feature.
287
288  * dirmngr: Removed support for the original HKP keyserver which is
289    not anymore used by any site.
290
291  * dirmngr: Improved support for keyserver pools.
292
293  * tools: New option --dirmngr for gpg-connect-agent.
294
295  * The GNU Pth library has been replaced by the new nPth library.
296
297  * Support installation as portable application under Windows.
298
299  * All kind of other improvements - see the git log.
300
301
302  [Noteworthy changes in version 2.1.0beta3 (2011-12-20)]
303
304  * gpg: Fixed regression in the secret key export function.
305
306  * gpg: Allow generation of card keys up to 4096 bit.
307
308  * gpgsm: Preliminary support for the validation model "steed".
309
310  * gpgsm: Improved certificate creation.
311
312  * agent: Support the SSH confirm flag.
313
314  * agent: New option to select a passphrase mode.  The loopback
315    mode may be used to bypass Pinentry.
316
317  * agent: The Assuan commands KILLAGENT and KILLSCD are working again.
318
319  * scdaemon: Does not anymore block after changing a card (regression
320    fix).
321
322  * tools: gpg-connect-agent does now proberly display the help output
323    for "SCD HELP" commands.
324
325
326  [Noteworthy changes in version 2.1.0beta2 (2011-03-08)]
327
328  * gpg: ECC support as described by draft-jivsov-openpgp-ecc-06.txt
329    [Update: now known as RFC-6637].
330
331  * gpg: Print "AES128" instead of "AES".  This change introduces a
332    little incompatibility for tools using "gpg --list-config".  We
333    hope that these tools are written robust enough to accept this new
334    algorithm name as well.
335
336  * gpgsm: New feature to create certificates from a parameter file.
337    Add prompt to the --gen-key UI to create self-signed certificates.
338
339  * agent: TMPDIR is now also honored when creating a socket using
340    the --no-standard-socket option and with symcryptrun's temp files.
341
342  * scdaemon: Fixed a bug where scdaemon sends a signal to gpg-agent
343    running in non-daemon mode.
344
345  * dirmngr: Fixed CRL loading under W32 (bug#1010).
346
347  * Dirmngr has taken over the function of the keyserver helpers.  Thus
348    we now have a specified direct interface to keyservers via Dirmngr.
349    LDAP, DNS and mail backends are not yet implemented.
350
351  * Fixed TTY management for pinentries and session variable update
352    problem.
353
354
355  [Noteworthy changes in version 2.1.0beta1 (2010-10-26)]
356
357  * gpg: secring.gpg is not anymore used but all secret key operations
358    are delegated to gpg-agent.  The import command moves secret keys
359    to the agent.
360
361  * gpg: The OpenPGP import command is now able to merge secret keys.
362
363  * gpg: Encrypted OpenPGP messages with trailing data (e.g. other
364    OpenPGP packets) are now correctly parsed.
365
366  * gpg: Given sufficient permissions Dirmngr is started automagically.
367
368  * gpg: Fixed output of "gpgconf --check-options".
369
370  * gpg: Removed options --export-options(export-secret-subkey-passwd)
371    and --simple-sk-checksum.
372
373  * gpg: New options --try-secret-key.
374
375  * gpg: Support DNS lookups for SRV, PKA and CERT on W32.
376
377  * gpgsm: The --audit-log feature is now more complete.
378
379  * gpgsm: The default for --include-cert is now to include all
380    certificates in the chain except for the root certificate.
381
382  * gpgsm: New option --ignore-cert-extension.
383
384  * g13: The G13 tool for disk encryption key management has been
385    added.
386
387  * agent: If the agent's --use-standard-socket option is active, all
388    tools try to start and daemonize the agent on the fly.  In the past
389    this was only supported on W32; on non-W32 systems the new
390    configure option --disable-standard-socket may now be used to
391    disable this new default.
392
393  * agent: New and changed passphrases are now created with an
394    iteration count requiring about 100ms of CPU work.
395
396  * dirmngr: Dirmngr is now a part of this package.  It is now also
397    expected to run as a system service and the configuration
398    directories are changed to the GnuPG name space. [Update: 2.1.0
399    starts dirmngr on demand as user daemon.]
400
401  * Support for Windows CE. [Update: This has not been tested for the
402    2.1.0 release]
403
404  * Numerical values may now be used as an alternative to the
405    debug-level keywords.
406
407
408 Noteworthy changes in version 2.0.13 (2009-09-04)
409 -------------------------------------------------
410
411  * GPG now generates 2048 bit RSA keys by default.  The default hash
412    algorithm preferences has changed to prefer SHA-256 over SHA-1.
413    2048 bit DSA keys are now generated to use a 256 bit hash algorithm
414
415  * The envvars XMODIFIERS, GTK_IM_MODULE and QT_IM_MODULE are now
416    passed to the Pinentry to make SCIM work.
417
418  * The GPGSM command --gen-key features a --batch mode and implements
419    all features of gpgsm-gencert.sh in standard mode.
420
421  * New option --re-import for GPGSM's IMPORT server command.
422
423  * Enhanced writing of existing keys to OpenPGP v2 cards.
424
425  * Add hack to the internal CCID driver to allow the use of some
426    Omnikey based card readers with 2048 bit keys.
427
428  * GPG now repeatly asks the user to insert the requested OpenPGP
429    card.  This can be disabled with --limit-card-insert-tries=1.
430
431  * Minor bug fixes.
432
433
434 Noteworthy changes in version 2.0.12 (2009-06-17)
435 -------------------------------------------------
436
437  * GPGSM now always lists ephemeral certificates if specified by
438    fingerprint or keygrip.
439
440  * New command "KEYINFO" for GPG_AGENT.  GPGSM now also returns
441    information about smartcards.
442
443  * Made sure not to leak file descriptors if running gpg-agent with a
444    command.  Restore the signal mask to solve a problem in Mono.
445
446  * Changed order of the confirmation questions for root certificates
447    and store negative answers in trustlist.txt.
448
449  * Better synchronization of concurrent smartcard sessions.
450
451  * Support 2048 bit OpenPGP cards.
452
453  * Support Telesec Netkey 3 cards.
454
455  * The gpg-protect-tool now uses gpg-agent via libassuan.  Under
456    Windows the Pinentry will now be put into the foreground.
457
458  * Changed code to avoid a possible Mac OS X system freeze.
459
460
461 Noteworthy changes in version 2.0.11 (2009-03-03)
462 -------------------------------------------------
463
464  * Fixed a problem in SCDAEMON which caused unexpected card resets.
465
466  * SCDAEMON is now aware of the Geldkarte.
467
468  * The SCDAEMON option --allow-admin is now used by default.
469
470  * GPGCONF now restarts SCdaemon if necessary.
471
472  * The default cipher algorithm in GPGSM is now again 3DES.  This is
473    due to interoperability problems with Outlook 2003 which still
474    can't cope with AES.
475
476
477 Noteworthy changes in version 2.0.10 (2009-01-12)
478 -------------------------------------------------
479
480  * [gpg] New keyserver helper gpg2keys_kdns as generic DNS CERT
481    lookup.  Run with --help for a short description.  Requires the
482    ADNS library.
483
484  * [gpg] New mechanisms "local" and "nodefault" for --auto-key-locate.
485    Fixed a few problems with this option.
486
487  * [gpg] New command --locate-keys.
488
489  * [gpg] New options --with-sig-list and --with-sig-check.
490
491  * [gpg] The option "-sat" is no longer an alias for --clearsign.
492
493  * [gpg] The option --fixed-list-mode is now implicitly used and obsolete.
494
495  * [gpg] New control statement %ask-passphrase for the unattended key
496    generation.
497
498  * [gpg] The algorithm to compute the SIG_ID status has been changed.
499
500  * [gpgsm] Now uses AES by default.
501
502  * [gpgsm] Made --output option work with --export-secret-key-p12.
503
504  * [gpg-agent] Terminate process if the own listening socket is not
505    anymore served by ourself.
506
507  * [scdaemon] Made it more robust on W32.
508
509  * [gpg-connect-agent] Accept commands given as command line arguments.
510
511  * [w32] Initialized the socket subsystem for all keyserver helpers.
512
513  * [w32] The sysconf directory has been moved from a subdirectory of
514    the installation directory to %CSIDL_COMMON_APPDATA%/GNU/etc/gnupg.
515
516  * [w32] The gnupg2.nls directory is not anymore used.  The standard
517    locale directory is now used.
518
519  * [w32] Fixed a race condition between gpg and gpgsm in the use of
520    temporary file names.
521
522  * The gpg-preset-passphrase mechanism works again.  An arbitrary
523    string may now be used for a custom cache ID.
524
525  * Admin PINs are cached again (bug in 2.0.9).
526
527  * Support for version 2 OpenPGP cards.
528
529  * Libgcrypt 1.4 is now required.
530
531
532 Noteworthy changes in version 2.0.9 (2008-03-26)
533 ------------------------------------------------
534
535  * Gpgsm always tries to locate missing certificates from a running
536    Dirmngr's cache.
537
538  * Tweaks for Windows.
539
540  * The Admin PIN for OpenPGP cards may now be entered with the pinpad.
541
542  * Improved certificate chain construction.
543
544  * Extended the PKITS framework.
545
546  * Fixed a bug in the ambigious name detection.
547
548  * Fixed possible memory corruption while importing OpenPGP keys (bug
549    introduced with 2.0.8). [CVE-2008-1530]
550
551  * Minor bug fixes.
552
553
554 Noteworthy changes in version 2.0.8 (2007-12-20)
555 ------------------------------------------------
556
557  * Enhanced gpg-connect-agent with a small scripting language.
558
559  * New option --list-config for gpgconf.
560
561  * Fixed a crash in gpgconf.
562
563  * Gpg-agent now supports the passphrase quality bar of the latest
564    Pinentry.
565
566  * The envvars XAUTHORITY and PINENTRY_USER_DATA are now passed to the
567    Pinentry.
568
569  * Fixed the auto creation of the key stub for smartcards.
570
571  * Fixed a rare bug in decryption using the OpenPGP card.
572
573  * Creating DSA2 keys is now possible.
574
575  * New option --extra-digest-algo for gpgsm to allow verification of
576    broken signatures.
577
578  * Allow encryption with legacy Elgamal sign+encrypt keys with option
579    --rfc2440.
580
581  * Windows is now a supported platform.
582
583  * Made sure that under Windows the file permissions of the socket are
584    taken into account.  This required a change of our socket emulation
585    code and changed the IPC protocol under Windows.
586
587
588 Noteworthy changes in version 2.0.7 (2007-09-10)
589 ------------------------------------------------
590
591  * Fixed encryption problem if duplicate certificates are in the
592    keybox.
593
594  * Made it work on Windows Vista.  Note that the entire Windows port
595    is still considered Beta.
596
597  * Add new options min-passphrase-nonalpha, check-passphrase-pattern,
598    enforce-passphrase-constraints and max-passphrase-days to
599    gpg-agent.
600
601  * Add command --check-components to gpgconf.  Gpgconf now uses the
602    installed versions of the programs and does not anymore search via
603    PATH for them.
604
605
606 Noteworthy changes in version 2.0.6 (2007-08-16)
607 ------------------------------------------------
608
609  * GPGSM does now grok --default-key.
610
611  * GPGCONF is now aware of --default-key and --encrypt-to.
612
613  * GPGSM does again correctly print the serial number as well the the
614    various keyids.  This was broken since 2.0.4.
615
616  * New option --validation-model and support for the chain-model.
617
618  * Improved Windows support.
619
620
621 Noteworthy changes in version 2.0.5 (2007-07-05)
622 ------------------------------------------------
623
624  * Switched license to GPLv3.
625
626  * Basic support for Windows.  Run "./autogen.sh --build-w32" to build
627    it.  As usual the mingw cross compiling toolchain is required.
628
629  * Fixed bug when using the --p12-charset without --armor.
630
631  * The command --gen-key may now be used instead of the
632    gpgsm-gencert.sh script.
633
634  * Changed key generation to reveal less information about the
635    machine.  Bug fixes for gpg2's card key generation.
636
637
638 Noteworthy changes in version 2.0.4 (2007-05-09)
639 ------------------------------------------------
640
641  * The server mode key listing commands are now also working for
642    systems without the funopen/fopencookie API.
643
644  * PKCS#12 import now tries several encodings in case the passphrase
645    was not utf-8 encoded.  New option --p12-charset for gpgsm.
646
647  * Improved the libgcrypt logging support in all modules.
648
649
650 Noteworthy changes in version 2.0.3 (2007-03-08)
651 ------------------------------------------------
652
653  * By default, do not allow processing multiple plaintexts in a single
654    stream.  Many programs that called GnuPG were assuming that GnuPG
655    did not permit this, and were thus not using the plaintext boundary
656    status tags that GnuPG provides.  This change makes GnuPG reject
657    such messages by default which makes those programs safe again.
658    --allow-multiple-messages returns to the old behavior. [CVE-2007-1263].
659
660  * New --verify-option show-primary-uid-only.
661
662  * gpgconf may now reads a global configuration file to select which
663    options are changeable by a frontend.  The new applygnupgdefaults
664    tool may be used by an admin to set default options for all users.
665
666  * The PIN pad of the Cherry XX44 keyboard is now supported.  The
667    DINSIG and the NKS applications are now also aware of PIN pads.
668
669
670 Noteworthy changes in version 2.0.2 (2007-01-31)
671 ------------------------------------------------
672
673  * Fixed a serious and exploitable bug in processing encrypted
674    packages. [CVE-2006-6235].
675
676  * Added --passphrase-repeat to set the number of times GPG will
677    prompt for a new passphrase to be repeated.  This is useful to help
678    memorize a new passphrase.  The default is 1 repetition.
679
680  * Using a PIN pad does now also work for the signing key.
681
682  * A warning is displayed by gpg-agent if a new passphrase is too
683    short.  New option --min-passphrase-len defaults to 8.
684
685  * The status code BEGIN_SIGNING now shows the used hash algorithms.
686
687
688 Noteworthy changes in version 2.0.1 (2006-11-28)
689 ------------------------------------------------
690
691  * Experimental support for the PIN pads of the SPR 532 and the Kaan
692    Advanced card readers.  Add "disable-keypad" scdaemon.conf if you
693    don't want it.  Does currently only work for the OpenPGP card and
694    its authentication and decrypt keys.
695
696  * Fixed build problems on some some platforms and crashes on amd64.
697
698  * Fixed a buffer overflow in gpg2. [bug#728,CVE-2006-6169]
699
700
701 Noteworthy changes in version 2.0.0 (2006-11-11)
702 ------------------------------------------------
703
704  * First stable version of a GnuPG integrating OpenPGP and S/MIME.
705
706
707 Noteworthy changes in version 1.9.95 (2006-11-06)
708 -------------------------------------------------
709
710  * Minor bug fixes.
711
712
713 Noteworthy changes in version 1.9.94 (2006-10-24)
714 -------------------------------------------------
715
716  * Keys for gpgsm may now be specified using a keygrip.  A keygrip is
717    indicated by a prefixing it with an ampersand.
718
719  * gpgconf now supports switching the CMS cipher algo (e.g. to AES).
720
721  * New command --gpgconf-test for all major tools. This may be used to
722    check whether the configuration file is sane.
723
724
725 Noteworthy changes in version 1.9.93 (2006-10-18)
726 -------------------------------------------------
727
728  * In --with-validation mode gpgsm will now also ask whether a root
729    certificate should be trusted.
730
731  * Link to Pth only if really necessary.
732
733  * Fixed a pubring corruption bug in gpg2 occurring when importing
734    signatures or keys with insane lengths.
735
736  * Fixed v3 keyID calculation bug in gpg2.
737
738  * More tweaks for certificates without extensions.
739
740
741 Noteworthy changes in version 1.9.92 (2006-10-11)
742 -------------------------------------------------
743
744  * Bug fixes.
745
746
747 Noteworthy changes in version 1.9.91 (2006-10-04)
748 -------------------------------------------------
749
750  * New "relax" flag for trustlist.txt to allow root CA certificates
751    without BasicContraints.
752
753  * [gpg2] Removed the -k PGP 2 compatibility hack.  -k is now an
754    alias for --list-keys.
755
756  * [gpg2] Print a warning if "-sat" is used instead of "--clearsign".
757
758
759 Noteworthy changes in version 1.9.90 (2006-09-25)
760 -------------------------------------------------
761
762  * Made readline work for gpg.
763
764  * Cleanups und minor bug fixes.
765
766  * Included translations from gnupg 1.4.5.
767
768
769 Noteworthy changes in version 1.9.23 (2006-09-18)
770 -------------------------------------------------
771
772  * Regular man pages for most tools are now build directly from the
773    Texinfo source.
774
775  * The gpg code from 1.4.5 has been fully merged into this release.
776    The configure option --enable-gpg is still required to build this
777    gpg part.  For production use of OpenPGP the gpg version 1.4.5 is
778    still recommended.  Note, that gpg will be installed under the name
779    gpg2 to allow coexisting with an 1.4.x gpg.
780
781  * API change in gpg-agent's pkdecrypt command.  Thus an older gpgsm
782    may not be used with the current gpg-agent.
783
784  * The scdaemon will now call a script on reader status changes.
785
786  * gpgsm now allows file descriptor passing for "INPUT", "OUTPUT" and
787    "MESSAGE".
788
789  * The gpgsm server may now output a key listing to the output file
790    handle. This needs to be enabled using "OPTION list-to-output=1".
791
792  * The --output option of gpgsm has now an effect on list-keys.
793
794  * New gpgsm commands --dump-chain and list-chain.
795
796  * gpg-connect-agent has new options to utilize descriptor passing.
797
798  * A global trustlist may now be used.  See doc/examples/trustlist.txt.
799
800  * When creating a new pubring.kbx keybox common certificates are
801    imported.
802
803
804 Noteworthy changes in version 1.9.22 (2006-07-27)
805 -------------------------------------------------
806
807  * Enhanced pkcs#12 support to allow import from simple keyBags.
808
809  * Exporting to pkcs#12 now create bag attributes so that Mozilla is
810    able to import the files.
811
812  * Fixed uploading of certain keys to the smart card.
813
814
815 Noteworthy changes in version 1.9.21 (2006-06-20)
816 -------------------------------------------------
817
818  * New command APDU for scdaemon to allow using it for general card
819    access.  Might be used through gpg-connect-agent by using the SCD
820    prefix command.
821
822  * Support for the CardMan 4040 PCMCIA reader (Linux 2.6.15 required).
823
824  * Scdaemon does not anymore reset cards at the end of a connection.
825
826  * Kludge to allow use of Bundesnetzagentur issued X.509 certificates.
827
828  * Added --hash=xxx option to scdaemon's PKSIGN command.
829
830  * Pkcs#12 files are now created with a MAC.  This is for better
831    interoperability.
832
833  * Collected bug fixes and minor other changes.
834
835
836 Noteworthy changes in version 1.9.20 (2005-12-20)
837 -------------------------------------------------
838
839  * Importing pkcs#12 files created be recent versions of Mozilla works
840    again.
841
842  * Basic support for qualified signatures.
843
844  * New debug tool gpgparsemail.
845
846
847 Noteworthy changes in version 1.9.19 (2005-09-12)
848 -------------------------------------------------
849
850  * The Belgian eID card is now supported for signatures and ssh.
851    Other pkcs#15 cards should work as well.
852
853  * Fixed bug in --export-secret-key-p12 so that certificates are again
854    included.
855
856
857 Noteworthy changes in version 1.9.18 (2005-08-01)
858 -------------------------------------------------
859
860  * [gpgsm] Now allows for more than one email address as well as URIs
861    and dnsNames in certificate request generation.  A keygrip may be
862    given to create a request from an existing key.
863
864  * A couple of minor bug fixes.
865
866
867 Noteworthy changes in version 1.9.17 (2005-06-20)
868 -------------------------------------------------
869
870  * gpg-connect-agent has now features to handle Assuan INQUIRE
871    commands.
872
873  * Internal changes for OpenPGP cards. New Assuan command WRITEKEY.
874
875  * GNU Pth is now a hard requirement.
876
877  * [scdaemon] Support for OpenSC has been removed.  Instead a new and
878    straightforward pkcs#15 modules has been written.  As of now it
879    does allows only signing using TCOS cards but we are going to
880    enhance it to match all the old capabilities.
881
882  * [gpg-agent] New option --write-env-file and Assuan command
883    UPDATESTARTUPTTY.
884
885  * [gpg-agent] New option --default-cache-ttl-ssh to set the TTL for
886    SSH passphrase caching independent from the other passphrases.
887
888
889 Noteworthy changes in version 1.9.16 (2005-04-21)
890 -------------------------------------------------
891
892  * gpg-agent does now support the ssh-agent protocol and thus allows
893    to use the pinentry as well as the OpenPGP smartcard with ssh.
894
895  * New tool gpg-connect-agent as a general client for the gpg-agent.
896
897  * New tool symcryptrun as a wrapper for certain encryption tools.
898
899  * The gpg tool is not anymore build by default because those gpg
900    versions available in the gnupg 1.4 series are far more matured.
901
902
903 Noteworthy changes in version 1.9.15 (2005-01-13)
904 -------------------------------------------------
905
906  * Fixed passphrase caching bug.
907
908  * Better support for CCID readers; the reader from Cherry RS 6700 USB
909    does now work.
910
911
912 Noteworthy changes in version 1.9.14 (2004-12-22)
913 -------------------------------------------------
914
915  * [gpg-agent] New option --use-standard-socket to allow the use of a
916    fixed socket.  gpgsm falls back to this socket if GPG_AGENT_INFO
917    has not been set.
918
919  * Ported to MS Windows with some functional limitations.
920
921  * New tool gpg-preset-passphrase.
922
923
924 Noteworthy changes in version 1.9.13 (2004-12-03)
925 -------------------------------------------------
926
927  * [gpgsm] New option --prefer-system-dirmngr.
928
929  * Minor cleanups and debugging aids.
930
931
932 Noteworthy changes in version 1.9.12 (2004-10-22)
933 -------------------------------------------------
934
935  * [scdaemon] Partly rewrote the PC/SC code.
936
937  * Removed the sc-investigate tool.  It is now in a separate package
938    available at ftp://ftp.g10code.com/g10code/gscutils/ .
939
940  * [gpg-agent] Fixed logging problem.
941
942
943 Noteworthy changes in version 1.9.11 (2004-10-01)
944 -------------------------------------------------
945
946  * When using --import along with --with-validation, the imported
947    certificates are validated and only imported if they are fully
948    valid.
949
950  * [gpg-agent] New option --max-cache-ttl.
951
952  * [gpg-agent] When used without --daemon or --server, gpg-agent now
953    check whether a agent is already running and usable.
954
955  * Fixed some i18n problems.
956
957
958 Noteworthy changes in version 1.9.10 (2004-07-22)
959 -------------------------------------------------
960
961  * Fixed a serious bug in the checking of trusted root certificates.
962
963  * New configure option --enable-agent-pnly allows to build and
964    install just the agent.
965
966  * Fixed a problem with the log file handling.
967
968
969 Noteworthy changes in version 1.9.9 (2004-06-08)
970 ------------------------------------------------
971
972  * [gpg-agent] The new option --allow-mark-trusted is now required to
973    allow gpg-agent to add a key to the trustlist.txt after user
974    confirmation.
975
976  * Creating PKCS#10 requests does now honor the key usage.
977
978
979 Noteworthy changes in version 1.9.8 (2004-04-29)
980 ------------------------------------------------
981
982  * [scdaemon] Overhauled the internal CCID driver.
983
984  * [scdaemon] Status files named ~/.gnupg/reader_<n>.status are now
985    written when using the internal CCID driver.
986
987  * [gpgsm] New commands --dump-{,secret,external}-keys to show a very
988    detailed view of the certificates.
989
990  * The keybox gets now compressed after 3 hours and ephemeral
991    stored certificates are deleted after about a day.
992
993  * [gpg] Usability fixes for --card-edit.  Note, that this has already
994    been ported back to gnupg-1.3
995
996
997 Noteworthy changes in version 1.9.7 (2004-04-06)
998 ------------------------------------------------
999
1000  * Instrumented the modules for gpgconf.
1001
1002  * Added support for DINSIG card applications.
1003
1004  * Include the smimeCapabilities attribute with signed messages.
1005
1006  * Now uses the gettext domain "gnupg2" to avoid conflicts with gnupg
1007    versions < 1.9.
1008
1009
1010 Noteworthy changes in version 1.9.6 (2004-03-06)
1011 ------------------------------------------------
1012
1013  * Code cleanups and bug fixes.
1014
1015
1016 Noteworthy changes in version 1.9.5 (2004-02-21)
1017 ------------------------------------------------
1018
1019  * gpg-protect-tool gets now installed into libexec as it ought to be.
1020    Cleaned up the build system to better comply with the coding
1021    standards.
1022
1023  * [gpgsm] The --import command is now able to autodetect pkcs#12
1024    files and import secret and private keys from this file format.
1025    A new command --export-secret-key-p12 is provided to allow
1026    exporting of secret keys in PKCS\#12 format.
1027
1028  * [gpgsm] The pinentry will now present a description of the key for
1029    whom the passphrase is requested.
1030
1031  * [gpgsm] New option --with-validation to check the validity of key
1032    while listing it.
1033
1034  * New option --debug-level={none,basic,advanced,expert,guru} to map
1035    the debug flags to sensitive levels on a per program base.
1036
1037
1038 Noteworthy changes in version 1.9.4 (2004-01-30)
1039 ------------------------------------------------
1040
1041  * Added support for the Telesec NKS 2.0 card application.
1042
1043  * Added simple tool addgnupghome to create .gnupg directories from
1044    /etc/skel/.gnupg.
1045
1046  * Various minor bug fixes and cleanups; mainly gpgsm and gpg-agent
1047    related.
1048
1049
1050 Noteworthy changes in version 1.9.3 (2003-12-23)
1051 ------------------------------------------------
1052
1053  * New gpgsm options --{enable,disable}-ocsp to validate keys using
1054    OCSP. This option requires a not yet released DirMngr version.
1055    Default is disabled.
1056
1057  * The --log-file option may now be used to print logs to a socket.
1058    Prefix the socket name with "socket://" to enable this.  This does
1059    not work on all systems and falls back to stderr if there is a
1060    problem with the socket.
1061
1062  * The options --encrypt-to and --no-encrypt-to now work the same in
1063    gpgsm as in gpg.  Note, they are also used in server mode.
1064
1065  * Duplicated recipients are now silently removed in gpgsm.
1066
1067
1068 Noteworthy changes in version 1.9.2 (2003-11-17)
1069 ------------------------------------------------
1070
1071  * On card key generation is no longer done using the --gen-key
1072    command but from the menu provided by the new --card-edit command.
1073
1074  * PINs are now properly cached and there are only 2 PINs visible.
1075    The 3rd PIN (CHV2) is internally syncronized with the regular PIN.
1076
1077  * All kind of other internal stuff.
1078
1079
1080 Noteworthy changes in version 1.9.1 (2003-09-06)
1081 ------------------------------------------------
1082
1083  * Support for OpenSC is back. scdaemon supports a --disable-opensc to
1084    disable OpenSC use at runtime, so that PC/SC or ct-API can still be
1085    used directly.
1086
1087  * Rudimentary support for the SCR335 smartcard reader using an
1088    internal driver.  Requires current libusb from CVS.
1089
1090  * Bug fixes.
1091
1092
1093 Noteworthy changes in version 1.9.0 (2003-08-05)
1094 ------------------------------------------------
1095
1096       ====== PLEASE SEE README-alpha =======
1097
1098  * gpg has been renamed to gpg2 and gpgv to gpgv2.  This is a
1099    temporary change to allow co-existing with stable gpg versions.
1100
1101  * ~/.gnupg/gpg.conf-1.9.0 is fist tried as config file before the
1102    usual gpg.conf.
1103
1104  * Removed the -k, -kv and -kvv commands.  -k is now an alias to
1105    --list-keys.  New command -K as alias for --list-secret-keys.
1106
1107  * Removed --run-as-shm-coprocess feature.
1108
1109  * gpg does now also use libgcrypt, libgpg-error is required.
1110
1111  * New gpgsm commands --call-dirmngr and --call-protect-tool.
1112
1113  * Changing a passphrase is now possible using "gpgsm --passwd"
1114
1115  * The content-type attribute is now recognized and created.
1116
1117  * The agent does now reread certain options on receiving a HUP.
1118
1119  * The pinentry is now forked for each request so that clients with
1120    different environments are supported.  When running in daemon mode
1121    and --keep-display is not used the DISPLAY variable is ignored.
1122
1123  * Merged stuff from the newpg branch and started this new
1124    development branch.
1125
1126
1127  Copyright 2002, 2003, 2004, 2005, 2006, 2007,
1128            2008, 2009, 2010, 2011  Free Software Foundation, Inc.
1129
1130  This file is free software; as a special exception the author gives
1131  unlimited permission to copy and/or distribute it, with or without
1132  modifications, as long as this notice is preserved.
1133
1134  This file is distributed in the hope that it will be useful, but
1135  WITHOUT ANY WARRANTY, to the extent permitted by law; without even the
1136  implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.