aa3e6d544aced847584456e3c83599a8b73a77cb
[gnupg.git] / NEWS
1 Noteworthy changes in version 2.0.13
2 -------------------------------------------------
3
4  * The envvars XMODIFIERS, GTK_IM_MODULE and QT_IM_MODULE are now
5    passed to the Pinentry to make SCIM work.
6
7  * gpgsm --gen-key implements a --batch mode.
8
9  * gpgsm --gen-key implements all features of gpgsm-gencert.sh.
10
11  * Minor bug fixes.
12
13
14 Noteworthy changes in version 2.0.12 (2009-06-17)
15 -------------------------------------------------
16
17  * GPGSM now always lists ephemeral certificates if specified by
18    fingerprint or keygrip.
19
20  * New command "KEYINFO" for GPG_AGENT.  GPGSM now also returns
21    information about smartcards.
22
23  * Made sure not to leak file descriptors if running gpg-agent with a
24    command.  Restore the signal mask to solve a problem in Mono.
25
26  * Changed order of the confirmation questions for root certificates
27    and store negative answers in trustlist.txt.
28
29  * Better synchronization of concurrent smartcard sessions.
30
31  * Support 2048 bit OpenPGP cards.
32
33  * Support Telesec Netkey 3 cards.
34
35  * The gpg-protect-tool now uses gpg-agent via libassuan.  Under
36    Windows the Pinentry will now be put into the foreground.
37
38  * Changed code to avoid a possible Mac OS X system freeze.
39
40
41 Noteworthy changes in version 2.0.11 (2009-03-03)
42 -------------------------------------------------
43
44  * Fixed a problem in SCDAEMON which caused unexpected card resets.
45
46  * SCDAEMON is now aware of the Geldkarte.
47
48  * The SCDAEMON option --allow-admin is now used by default.
49
50  * GPGCONF now restarts SCdaemon if necessary.
51
52  * The default cipher algorithm in GPGSM is now again 3DES.  This is
53    due to interoperability problems with Outlook 2003 which still
54    can't cope with AES.
55
56
57 Noteworthy changes in version 2.0.10 (2009-01-12)
58 -------------------------------------------------
59
60  * [gpg] New keyserver helper gpg2keys_kdns as generic DNS CERT
61    lookup.  Run with --help for a short description.  Requires the
62    ADNS library.
63
64  * [gpg] New mechanisms "local" and "nodefault" for --auto-key-locate.
65    Fixed a few problems with this option.
66
67  * [gpg] New command --locate-keys.
68
69  * [gpg] New options --with-sig-list and --with-sig-check.
70
71  * [gpg] The option "-sat" is no longer an alias for --clearsign.
72
73  * [gpg] The option --fixed-list-mode is now implicitly used and obsolete.
74
75  * [gpg] New control statement %ask-passphrase for the unattended key
76    generation.
77
78  * [gpg] The algorithm to compute the SIG_ID status has been changed.
79
80  * [gpgsm] Now uses AES by default.
81
82  * [gpgsm] Made --output option work with --export-secret-key-p12.
83
84  * [gpg-agent] Terminate process if the own listening socket is not
85    anymore served by ourself.
86
87  * [scdaemon] Made it more robust on W32.
88
89  * [gpg-connect-agent] Accept commands given as command line arguments.
90
91  * [w32] Initialized the socket subsystem for all keyserver helpers.
92
93  * [w32] The sysconf directory has been moved from a subdirectory of
94    the installation directory to %CSIDL_COMMON_APPDATA%/GNU/etc/gnupg.
95
96  * [w32] The gnupg2.nls directory is not anymore used.  The standard
97    locale directory is now used.  
98
99  * [w32] Fixed a race condition between gpg and gpgsm in the use of
100    temporary file names.
101
102  * The gpg-preset-passphrase mechanism works again.  An arbitrary
103    string may now be used for a custom cache ID.
104
105  * Admin PINs are cached again (bug in 2.0.9).
106
107  * Support for version 2 OpenPGP cards.
108
109  * Libgcrypt 1.4 is now required.
110
111
112 Noteworthy changes in version 2.0.9 (2008-03-26)
113 ------------------------------------------------
114
115  * Gpgsm always tries to locate missing certificates from a running
116    Dirmngr's cache.
117
118  * Tweaks for Windows.
119
120  * The Admin PIN for OpenPGP cards may now be entered with the pinpad.
121
122  * Improved certificate chain construction.
123
124  * Extended the PKITS framework.
125
126  * Fixed a bug in the ambigious name detection.
127
128  * Fixed possible memory corruption while importing OpenPGP keys (bug
129    introduced with 2.0.8). [CVE-2008-1530]
130
131  * Minor bug fixes.
132
133
134 Noteworthy changes in version 2.0.8 (2007-12-20)
135 ------------------------------------------------
136
137  * Enhanced gpg-connect-agent with a small scripting language.
138
139  * New option --list-config for gpgconf.
140
141  * Fixed a crash in gpgconf.
142
143  * Gpg-agent now supports the passphrase quality bar of the latest
144    Pinentry.
145
146  * The envvars XAUTHORITY and PINENTRY_USER_DATA are now passed to the
147    Pinentry.
148
149  * Fixed the auto creation of the key stub for smartcards.  
150
151  * Fixed a rare bug in decryption using the OpenPGP card.
152
153  * Creating DSA2 keys is now possible.
154
155  * New option --extra-digest-algo for gpgsm to allow verification of
156    broken signatures.
157
158  * Allow encryption with legacy Elgamal sign+encrypt keys with option
159    --rfc2440.
160
161  * Windows is now a supported platform.
162
163  * Made sure that under Windows the file permissions of the socket are
164    taken into account.  This required a change of our socket emulation
165    code and changed the IPC protocol under Windows.
166
167
168 Noteworthy changes in version 2.0.7 (2007-09-10)
169 ------------------------------------------------
170
171  * Fixed encryption problem if duplicate certificates are in the
172    keybox.
173
174  * Made it work on Windows Vista.  Note that the entire Windows port
175    is still considered Beta.
176
177  * Add new options min-passphrase-nonalpha, check-passphrase-pattern,
178    enforce-passphrase-constraints and max-passphrase-days to
179    gpg-agent.
180
181  * Add command --check-components to gpgconf.  Gpgconf now uses the
182    installed versions of the programs and does not anymore search via
183    PATH for them.
184
185
186 Noteworthy changes in version 2.0.6 (2007-08-16)
187 ------------------------------------------------
188
189  * GPGSM does now grok --default-key.
190
191  * GPGCONF is now aware of --default-key and --encrypt-to. 
192
193  * GPGSM does again correctly print the serial number as well the the
194    various keyids.  This was broken since 2.0.4.
195
196  * New option --validation-model and support for the chain-model.
197
198  * Improved Windows support.
199
200  
201 Noteworthy changes in version 2.0.5 (2007-07-05)
202 ------------------------------------------------
203
204  * Switched license to GPLv3.
205
206  * Basic support for Windows.  Run "./autogen.sh --build-w32" to build
207    it.  As usual the mingw cross compiling toolchain is required.
208
209  * Fixed bug when using the --p12-charset without --armor.
210
211  * The command --gen-key may now be used instead of the
212    gpgsm-gencert.sh script.
213
214  * Changed key generation to reveal less information about the
215    machine.  Bug fixes for gpg2's card key generation.
216
217
218 Noteworthy changes in version 2.0.4 (2007-05-09)
219 ------------------------------------------------
220
221  * The server mode key listing commands are now also working for
222    systems without the funopen/fopencookie API.
223
224  * PKCS#12 import now tries several encodings in case the passphrase
225    was not utf-8 encoded.  New option --p12-charset for gpgsm.
226
227  * Improved the libgcrypt logging support in all modules.
228
229
230 Noteworthy changes in version 2.0.3 (2007-03-08)
231 ------------------------------------------------
232
233  * By default, do not allow processing multiple plaintexts in a single
234    stream.  Many programs that called GnuPG were assuming that GnuPG
235    did not permit this, and were thus not using the plaintext boundary
236    status tags that GnuPG provides.  This change makes GnuPG reject
237    such messages by default which makes those programs safe again.
238    --allow-multiple-messages returns to the old behavior. [CVE-2007-1263].
239
240  * New --verify-option show-primary-uid-only. 
241
242  * gpgconf may now reads a global configuration file to select which
243    options are changeable by a frontend.  The new applygnupgdefaults
244    tool may be used by an admin to set default options for all users.
245
246  * The PIN pad of the Cherry XX44 keyboard is now supported.  The
247    DINSIG and the NKS applications are now also aware of PIN pads.
248
249
250 Noteworthy changes in version 2.0.2 (2007-01-31)
251 ------------------------------------------------
252
253  * Fixed a serious and exploitable bug in processing encrypted
254    packages. [CVE-2006-6235].
255
256  * Added --passphrase-repeat to set the number of times GPG will
257    prompt for a new passphrase to be repeated.  This is useful to help
258    memorize a new passphrase.  The default is 1 repetition.
259
260  * Using a PIN pad does now also work for the signing key.
261
262  * A warning is displayed by gpg-agent if a new passphrase is too
263    short.  New option --min-passphrase-len defaults to 8.
264
265  * The status code BEGIN_SIGNING now shows the used hash algorithms.
266
267
268 Noteworthy changes in version 2.0.1 (2006-11-28)
269 ------------------------------------------------
270
271  * Experimental support for the PIN pads of the SPR 532 and the Kaan
272    Advanced card readers.  Add "disable-keypad" scdaemon.conf if you
273    don't want it.  Does currently only work for the OpenPGP card and
274    its authentication and decrypt keys.
275
276  * Fixed build problems on some some platforms and crashes on amd64.
277
278  * Fixed a buffer overflow in gpg2. [bug#728,CVE-2006-6169]
279
280
281 Noteworthy changes in version 2.0.0 (2006-11-11)
282 ------------------------------------------------
283
284  * First stable version of a GnuPG integrating OpenPGP and S/MIME.
285
286
287 Noteworthy changes in version 1.9.95 (2006-11-06)
288 -------------------------------------------------
289
290  * Minor bug fixes.
291
292
293 Noteworthy changes in version 1.9.94 (2006-10-24)
294 -------------------------------------------------
295
296  * Keys for gpgsm may now be specified using a keygrip.  A keygrip is
297    indicated by a prefixing it with an ampersand.
298
299  * gpgconf now supports switching the CMS cipher algo (e.g. to AES).
300
301  * New command --gpgconf-test for all major tools. This may be used to
302    check whether the configuration file is sane.
303
304
305 Noteworthy changes in version 1.9.93 (2006-10-18)
306 -------------------------------------------------
307
308  * In --with-validation mode gpgsm will now also ask whether a root
309    certificate should be trusted.
310
311  * Link to Pth only if really necessary.
312
313  * Fixed a pubring corruption bug in gpg2 occurring when importing
314    signatures or keys with insane lengths.
315
316  * Fixed v3 keyID calculation bug in gpg2.
317
318  * More tweaks for certificates without extensions.
319
320
321 Noteworthy changes in version 1.9.92 (2006-10-11)
322 -------------------------------------------------
323
324  * Bug fixes.
325
326
327 Noteworthy changes in version 1.9.91 (2006-10-04)
328 -------------------------------------------------
329
330  * New "relax" flag for trustlist.txt to allow root CA certificates
331    without BasicContraints.
332
333  * [gpg2] Removed the -k PGP 2 compatibility hack.  -k is now an
334    alias for --list-keys.
335
336  * [gpg2] Print a warning if "-sat" is used instead of "--clearsign".
337
338
339 Noteworthy changes in version 1.9.90 (2006-09-25)
340 -------------------------------------------------
341
342  * Made readline work for gpg.
343
344  * Cleanups und minor bug fixes.
345
346  * Included translations from gnupg 1.4.5.
347
348
349 Noteworthy changes in version 1.9.23 (2006-09-18)
350 -------------------------------------------------
351
352  * Regular man pages for most tools are now build directly from the
353    Texinfo source.
354
355  * The gpg code from 1.4.5 has been fully merged into this release.
356    The configure option --enable-gpg is still required to build this
357    gpg part.  For production use of OpenPGP the gpg version 1.4.5 is
358    still recommended.  Note, that gpg will be installed under the name
359    gpg2 to allow coexisting with an 1.4.x gpg.
360
361  * API change in gpg-agent's pkdecrypt command.  Thus an older gpgsm
362    may not be used with the current gpg-agent.
363
364  * The scdaemon will now call a script on reader status changes.
365
366  * gpgsm now allows file descriptor passing for "INPUT", "OUTPUT" and
367    "MESSAGE".
368
369  * The gpgsm server may now output a key listing to the output file
370    handle. This needs to be enabled using "OPTION list-to-output=1".
371
372  * The --output option of gpgsm has now an effect on list-keys.
373
374  * New gpgsm commands --dump-chain and list-chain.
375
376  * gpg-connect-agent has new options to utilize descriptor passing.
377
378  * A global trustlist may now be used.  See doc/examples/trustlist.txt.
379
380  * When creating a new pubring.kbx keybox common certificates are
381    imported.
382
383
384 Noteworthy changes in version 1.9.22 (2006-07-27)
385 -------------------------------------------------
386
387  * Enhanced pkcs#12 support to allow import from simple keyBags.
388
389  * Exporting to pkcs#12 now create bag attributes so that Mozilla is
390    able to import the files.
391
392  * Fixed uploading of certain keys to the smart card.
393
394
395 Noteworthy changes in version 1.9.21 (2006-06-20)
396 -------------------------------------------------
397
398  * New command APDU for scdaemon to allow using it for general card
399    access.  Might be used through gpg-connect-agent by using the SCD
400    prefix command.
401
402  * Support for the CardMan 4040 PCMCIA reader (Linux 2.6.15 required).
403
404  * Scdaemon does not anymore reset cards at the end of a connection. 
405
406  * Kludge to allow use of Bundesnetzagentur issued X.509 certificates.
407
408  * Added --hash=xxx option to scdaemon's PKSIGN command.
409
410  * Pkcs#12 files are now created with a MAC.  This is for better
411    interoperability.
412
413  * Collected bug fixes and minor other changes.
414
415
416 Noteworthy changes in version 1.9.20 (2005-12-20)
417 -------------------------------------------------
418
419  * Importing pkcs#12 files created be recent versions of Mozilla works
420    again.
421
422  * Basic support for qualified signatures.
423
424  * New debug tool gpgparsemail. 
425
426
427 Noteworthy changes in version 1.9.19 (2005-09-12)
428 -------------------------------------------------
429
430  * The Belgian eID card is now supported for signatures and ssh.
431    Other pkcs#15 cards should work as well.
432
433  * Fixed bug in --export-secret-key-p12 so that certificates are again
434    included.
435
436
437 Noteworthy changes in version 1.9.18 (2005-08-01)
438 -------------------------------------------------
439
440  * [gpgsm] Now allows for more than one email address as well as URIs
441    and dnsNames in certificate request generation.  A keygrip may be
442    given to create a request from an existing key.
443
444  * A couple of minor bug fixes.
445
446
447 Noteworthy changes in version 1.9.17 (2005-06-20)
448 -------------------------------------------------
449
450  * gpg-connect-agent has now features to handle Assuan INQUIRE
451    commands.
452
453  * Internal changes for OpenPGP cards. New Assuan command WRITEKEY.
454
455  * GNU Pth is now a hard requirement.
456
457  * [scdaemon] Support for OpenSC has been removed.  Instead a new and
458    straightforward pkcs#15 modules has been written.  As of now it
459    does allows only signing using TCOS cards but we are going to
460    enhance it to match all the old capabilities.
461
462  * [gpg-agent] New option --write-env-file and Assuan command
463    UPDATESTARTUPTTY.
464
465  * [gpg-agent] New option --default-cache-ttl-ssh to set the TTL for
466    SSH passphrase caching independent from the other passphrases.
467
468
469 Noteworthy changes in version 1.9.16 (2005-04-21)
470 -------------------------------------------------
471
472  * gpg-agent does now support the ssh-agent protocol and thus allows
473    to use the pinentry as well as the OpenPGP smartcard with ssh.
474
475  * New tool gpg-connect-agent as a general client for the gpg-agent.
476
477  * New tool symcryptrun as a wrapper for certain encryption tools.
478
479  * The gpg tool is not anymore build by default because those gpg
480    versions available in the gnupg 1.4 series are far more matured.
481
482
483 Noteworthy changes in version 1.9.15 (2005-01-13)
484 -------------------------------------------------
485
486  * Fixed passphrase caching bug.
487
488  * Better support for CCID readers; the reader from Cherry RS 6700 USB
489    does now work.
490
491
492 Noteworthy changes in version 1.9.14 (2004-12-22)
493 -------------------------------------------------
494
495  * [gpg-agent] New option --use-standard-socket to allow the use of a
496    fixed socket.  gpgsm falls back to this socket if GPG_AGENT_INFO
497    has not been set.
498
499  * Ported to MS Windows with some functional limitations.
500
501  * New tool gpg-preset-passphrase.
502
503
504 Noteworthy changes in version 1.9.13 (2004-12-03)
505 -------------------------------------------------
506
507  * [gpgsm] New option --prefer-system-dirmngr.
508
509  * Minor cleanups and debugging aids.
510
511
512 Noteworthy changes in version 1.9.12 (2004-10-22)
513 -------------------------------------------------
514
515  * [scdaemon] Partly rewrote the PC/SC code.
516
517  * Removed the sc-investigate tool.  It is now in a separate package
518    available at ftp://ftp.g10code.com/g10code/gscutils/ .
519
520  * [gpg-agent] Fixed logging problem.
521
522
523 Noteworthy changes in version 1.9.11 (2004-10-01)
524 -------------------------------------------------
525
526  * When using --import along with --with-validation, the imported
527    certificates are validated and only imported if they are fully
528    valid.
529
530  * [gpg-agent] New option --max-cache-ttl.
531
532  * [gpg-agent] When used without --daemon or --server, gpg-agent now
533    check whether a agent is already running and usable.
534
535  * Fixed some i18n problems.
536
537
538 Noteworthy changes in version 1.9.10 (2004-07-22)
539 -------------------------------------------------
540
541  * Fixed a serious bug in the checking of trusted root certificates.
542
543  * New configure option --enable-agent-pnly allows to build and
544    install just the agent.
545
546  * Fixed a problem with the log file handling.
547
548
549 Noteworthy changes in version 1.9.9 (2004-06-08)
550 ------------------------------------------------
551
552  * [gpg-agent] The new option --allow-mark-trusted is now required to
553    allow gpg-agent to add a key to the trustlist.txt after user
554    confirmation.
555
556  * Creating PKCS#10 requests does now honor the key usage.
557
558
559 Noteworthy changes in version 1.9.8 (2004-04-29)
560 ------------------------------------------------
561
562  * [scdaemon] Overhauled the internal CCID driver.
563
564  * [scdaemon] Status files named ~/.gnupg/reader_<n>.status are now
565    written when using the internal CCID driver.
566
567  * [gpgsm] New commands --dump-{,secret,external}-keys to show a very
568    detailed view of the certificates.
569
570  * The keybox gets now compressed after 3 hours and ephemeral
571    stored certificates are deleted after about a day.
572
573  * [gpg] Usability fixes for --card-edit.  Note, that this has already
574    been ported back to gnupg-1.3
575
576
577 Noteworthy changes in version 1.9.7 (2004-04-06)
578 ------------------------------------------------
579
580  * Instrumented the modules for gpgconf.
581
582  * Added support for DINSIG card applications.
583
584  * Include the smimeCapabilities attribute with signed messages.
585
586  * Now uses the gettext domain "gnupg2" to avoid conflicts with gnupg
587    versions < 1.9.
588
589
590 Noteworthy changes in version 1.9.6 (2004-03-06)
591 ------------------------------------------------
592
593  * Code cleanups and bug fixes.
594
595
596 Noteworthy changes in version 1.9.5 (2004-02-21)
597 ------------------------------------------------
598
599  * gpg-protect-tool gets now installed into libexec as it ought to be.
600    Cleaned up the build system to better comply with the coding
601    standards.
602
603  * [gpgsm] The --import command is now able to autodetect pkcs#12
604    files and import secret and private keys from this file format.
605    A new command --export-secret-key-p12 is provided to allow
606    exporting of secret keys in PKCS\#12 format.
607
608  * [gpgsm] The pinentry will now present a description of the key for
609    whom the passphrase is requested.
610
611  * [gpgsm] New option --with-validation to check the validity of key
612    while listing it.
613
614  * New option --debug-level={none,basic,advanced,expert,guru} to map
615    the debug flags to sensitive levels on a per program base.
616
617
618 Noteworthy changes in version 1.9.4 (2004-01-30)
619 ------------------------------------------------
620
621  * Added support for the Telesec NKS 2.0 card application.
622
623  * Added simple tool addgnupghome to create .gnupg directories from
624    /etc/skel/.gnupg.
625
626  * Various minor bug fixes and cleanups; mainly gpgsm and gpg-agent
627    related.
628
629
630 Noteworthy changes in version 1.9.3 (2003-12-23)
631 ------------------------------------------------
632
633  * New gpgsm options --{enable,disable}-ocsp to validate keys using
634    OCSP. This option requires a not yet released DirMngr version.
635    Default is disabled.
636
637  * The --log-file option may now be used to print logs to a socket.
638    Prefix the socket name with "socket://" to enable this.  This does
639    not work on all systems and falls back to stderr if there is a
640    problem with the socket.
641
642  * The options --encrypt-to and --no-encrypt-to now work the same in
643    gpgsm as in gpg.  Note, they are also used in server mode.
644
645  * Duplicated recipients are now silently removed in gpgsm.
646
647
648 Noteworthy changes in version 1.9.2 (2003-11-17)
649 ------------------------------------------------
650
651  * On card key generation is no longer done using the --gen-key
652    command but from the menu provided by the new --card-edit command.
653
654  * PINs are now properly cached and there are only 2 PINs visible.
655    The 3rd PIN (CHV2) is internally syncronized with the regular PIN.
656
657  * All kind of other internal stuff.
658
659
660 Noteworthy changes in version 1.9.1 (2003-09-06)
661 ------------------------------------------------
662
663  * Support for OpenSC is back. scdaemon supports a --disable-opensc to
664    disable OpenSC use at runtime, so that PC/SC or ct-API can still be
665    used directly.
666
667  * Rudimentary support for the SCR335 smartcard reader using an
668    internal driver.  Requires current libusb from CVS.
669
670  * Bug fixes.
671
672
673 Noteworthy changes in version 1.9.0 (2003-08-05)
674 ------------------------------------------------
675
676       ====== PLEASE SEE README-alpha =======
677
678  * gpg has been renamed to gpg2 and gpgv to gpgv2.  This is a
679    temporary change to allow co-existing with stable gpg versions.
680
681  * ~/.gnupg/gpg.conf-1.9.0 is fist tried as config file before the
682    usual gpg.conf.
683
684  * Removed the -k, -kv and -kvv commands.  -k is now an alias to
685    --list-keys.  New command -K as alias for --list-secret-keys.
686
687  * Removed --run-as-shm-coprocess feature.
688
689  * gpg does now also use libgcrypt, libgpg-error is required.
690
691  * New gpgsm commands --call-dirmngr and --call-protect-tool.
692
693  * Changing a passphrase is now possible using "gpgsm --passwd"
694
695  * The content-type attribute is now recognized and created.
696
697  * The agent does now reread certain options on receiving a HUP.
698
699  * The pinentry is now forked for each request so that clients with
700    different environments are supported.  When running in daemon mode
701    and --keep-display is not used the DISPLAY variable is ignored.
702
703  * Merged stuff from the newpg branch and started this new
704    development branch.
705
706
707  Copyright 2002, 2003, 2004, 2005, 2006, 2007,
708            2008, 2009  Free Software Foundation, Inc.
709
710  This file is free software; as a special exception the author gives
711  unlimited permission to copy and/or distribute it, with or without
712  modifications, as long as this notice is preserved.
713
714  This file is distributed in the hope that it will be useful, but
715  WITHOUT ANY WARRANTY, to the extent permitted by law; without even the
716  implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.