Implemented the chain model for X.509 validation.
[gnupg.git] / NEWS
1 Noteworthy changes in version 2.0.6
2 ------------------------------------------------
3
4  * GPGSM does now grok --default-key.
5
6  * GPGCONF is now aware of --default-key and --encrypt-to. 
7
8  * GPGSM does again correctly print the serial number as well the the
9    various keyids.  This was broken since 2.0.4.
10
11  
12 Noteworthy changes in version 2.0.5 (2007-07-05)
13 ------------------------------------------------
14
15  * Switched license to GPLv3.
16
17  * Basic support for Windows.  Run "./autogen.sh --build-w32" to build
18    it.  As usual the mingw cross compiling toolchain is required.
19
20  * Fixed bug when using the --p12-charset without --armor.
21
22  * The command --gen-key may now be used instead of the
23    gpgsm-gencert.sh script.
24
25  * Changed key generation to reveal less information about the
26    machine.  Bug fixes for gpg2's card key generation.
27
28
29 Noteworthy changes in version 2.0.4 (2007-05-09)
30 ------------------------------------------------
31
32  * The server mode key listing commands are now also working for
33    systems without the funopen/fopencookie API.
34
35  * PKCS#12 import now tries several encodings in case the passphrase
36    was not utf-8 encoded.  New option --p12-charset for gpgsm.
37
38  * Improved the libgcrypt logging support in all modules.
39
40
41 Noteworthy changes in version 2.0.3 (2007-03-08)
42 ------------------------------------------------
43
44  * By default, do not allow processing multiple plaintexts in a single
45    stream.  Many programs that called GnuPG were assuming that GnuPG
46    did not permit this, and were thus not using the plaintext boundary
47    status tags that GnuPG provides.  This change makes GnuPG reject
48    such messages by default which makes those programs safe again.
49    --allow-multiple-messages returns to the old behavior. [CVE-2007-1263].
50
51  * New --verify-option show-primary-uid-only. 
52
53  * gpgconf may now reads a global configuration file to select which
54    options are changeable by a frontend.  The new applygnupgdefaults
55    tool may be used by an admin to set default options for all users.
56
57  * The PIN pad of the Cherry XX44 keyboard is now supported.  The
58    DINSIG and the NKS applications are now also aware of PIN pads.
59
60
61 Noteworthy changes in version 2.0.2 (2007-01-31)
62 ------------------------------------------------
63
64  * Fixed a serious and exploitable bug in processing encrypted
65    packages. [CVE-2006-6235].
66
67  * Added --passphrase-repeat to set the number of times GPG will
68    prompt for a new passphrase to be repeated.  This is useful to help
69    memorize a new passphrase.  The default is 1 repetition.
70
71  * Using a PIN pad does now also work for the signing key.
72
73  * A warning is displayed by gpg-agent if a new passphrase is too
74    short.  New option --min-passphrase-len defaults to 8.
75
76  * The status code BEGIN_SIGNING now shows the used hash algorithms.
77
78
79 Noteworthy changes in version 2.0.1 (2006-11-28)
80 ------------------------------------------------
81
82  * Experimental support for the PIN pads of the SPR 532 and the Kaan
83    Advanced card readers.  Add "disable-keypad" scdaemon.conf if you
84    don't want it.  Does currently only work for the OpenPGP card and
85    its authentication and decrypt keys.
86
87  * Fixed build problems on some some platforms and crashes on amd64.
88
89  * Fixed a buffer overflow in gpg2. [bug#728,CVE-2006-6169]
90
91
92 Noteworthy changes in version 2.0.0 (2006-11-11)
93 ------------------------------------------------
94
95  * First stable version of a GnuPG integrating OpenPGP and S/MIME.
96
97
98 Noteworthy changes in version 1.9.95 (2006-11-06)
99 -------------------------------------------------
100
101  * Minor bug fixes.
102
103
104 Noteworthy changes in version 1.9.94 (2006-10-24)
105 -------------------------------------------------
106
107  * Keys for gpgsm may now be specified using a keygrip.  A keygrip is
108    indicated by a prefixing it with an ampersand.
109
110  * gpgconf now supports switching the CMS cipher algo (e.g. to AES).
111
112  * New command --gpgconf-test for all major tools. This may be used to
113    check whether the configuration file is sane.
114
115
116 Noteworthy changes in version 1.9.93 (2006-10-18)
117 -------------------------------------------------
118
119  * In --with-validation mode gpgsm will now also ask whether a root
120    certificate should be trusted.
121
122  * Link to Pth only if really necessary.
123
124  * Fixed a pubring corruption bug in gpg2 occurring when importing
125    signatures or keys with insane lengths.
126
127  * Fixed v3 keyID calculation bug in gpg2.
128
129  * More tweaks for certificates without extensions.
130
131
132 Noteworthy changes in version 1.9.92 (2006-10-11)
133 -------------------------------------------------
134
135  * Bug fixes.
136
137
138 Noteworthy changes in version 1.9.91 (2006-10-04)
139 -------------------------------------------------
140
141  * New "relax" flag for trustlist.txt to allow root CA certificates
142    without BasicContraints.
143
144  * [gpg2] Removed the -k PGP 2 compatibility hack.  -k is now an
145    alias for --list-keys.
146
147  * [gpg2] Print a warning if "-sat" is used instead of "--clearsign".
148
149
150 Noteworthy changes in version 1.9.90 (2006-09-25)
151 -------------------------------------------------
152
153  * Made readline work for gpg.
154
155  * Cleanups und minor bug fixes.
156
157  * Included translations from gnupg 1.4.5.
158
159
160 Noteworthy changes in version 1.9.23 (2006-09-18)
161 -------------------------------------------------
162
163  * Regular man pages for most tools are now build directly from the
164    Texinfo source.
165
166  * The gpg code from 1.4.5 has been fully merged into this release.
167    The configure option --enable-gpg is still required to build this
168    gpg part.  For production use of OpenPGP the gpg version 1.4.5 is
169    still recommended.  Note, that gpg will be installed under the name
170    gpg2 to allow coexisting with an 1.4.x gpg.
171
172  * API change in gpg-agent's pkdecrypt command.  Thus an older gpgsm
173    may not be used with the current gpg-agent.
174
175  * The scdaemon will now call a script on reader status changes.
176
177  * gpgsm now allows file descriptor passing for "INPUT", "OUTPUT" and
178    "MESSAGE".
179
180  * The gpgsm server may now output a key listing to the output file
181    handle. This needs to be enabled using "OPTION list-to-output=1".
182
183  * The --output option of gpgsm has now an effect on list-keys.
184
185  * New gpgsm commands --dump-chain and list-chain.
186
187  * gpg-connect-agent has new options to utilize descriptor passing.
188
189  * A global trustlist may now be used.  See doc/examples/trustlist.txt.
190
191  * When creating a new pubring.kbx keybox common certificates are
192    imported.
193
194
195 Noteworthy changes in version 1.9.22 (2006-07-27)
196 -------------------------------------------------
197
198  * Enhanced pkcs#12 support to allow import from simple keyBags.
199
200  * Exporting to pkcs#12 now create bag attributes so that Mozilla is
201    able to import the files.
202
203  * Fixed uploading of certain keys to the smart card.
204
205
206 Noteworthy changes in version 1.9.21 (2006-06-20)
207 -------------------------------------------------
208
209  * New command APDU for scdaemon to allow using it for general card
210    access.  Might be used through gpg-connect-agent by using the SCD
211    prefix command.
212
213  * Support for the CardMan 4040 PCMCIA reader (Linux 2.6.15 required).
214
215  * Scdaemon does not anymore reset cards at the end of a connection. 
216
217  * Kludge to allow use of Bundesnetzagentur issued X.509 certificates.
218
219  * Added --hash=xxx option to scdaemon's PKSIGN command.
220
221  * Pkcs#12 files are now created with a MAC.  This is for better
222    interoperability.
223
224  * Collected bug fixes and minor other changes.
225
226
227 Noteworthy changes in version 1.9.20 (2005-12-20)
228 -------------------------------------------------
229
230  * Importing pkcs#12 files created be recent versions of Mozilla works
231    again.
232
233  * Basic support for qualified signatures.
234
235  * New debug tool gpgparsemail. 
236
237
238 Noteworthy changes in version 1.9.19 (2005-09-12)
239 -------------------------------------------------
240
241  * The Belgian eID card is now supported for signatures and ssh.
242    Other pkcs#15 cards should work as well.
243
244  * Fixed bug in --export-secret-key-p12 so that certificates are again
245    included.
246
247
248 Noteworthy changes in version 1.9.18 (2005-08-01)
249 -------------------------------------------------
250
251  * [gpgsm] Now allows for more than one email address as well as URIs
252    and dnsNames in certificate request generation.  A keygrip may be
253    given to create a request from an existing key.
254
255  * A couple of minor bug fixes.
256
257
258 Noteworthy changes in version 1.9.17 (2005-06-20)
259 -------------------------------------------------
260
261  * gpg-connect-agent has now features to handle Assuan INQUIRE
262    commands.
263
264  * Internal changes for OpenPGP cards. New Assuan command WRITEKEY.
265
266  * GNU Pth is now a hard requirement.
267
268  * [scdaemon] Support for OpenSC has been removed.  Instead a new and
269    straightforward pkcs#15 modules has been written.  As of now it
270    does allows only signing using TCOS cards but we are going to
271    enhance it to match all the old capabilities.
272
273  * [gpg-agent] New option --write-env-file and Assuan command
274    UPDATESTARTUPTTY.
275
276  * [gpg-agent] New option --default-cache-ttl-ssh to set the TTL for
277    SSH passphrase caching independent from the other passphrases.
278
279
280 Noteworthy changes in version 1.9.16 (2005-04-21)
281 -------------------------------------------------
282
283  * gpg-agent does now support the ssh-agent protocol and thus allows
284    to use the pinentry as well as the OpenPGP smartcard with ssh.
285
286  * New tool gpg-connect-agent as a general client for the gpg-agent.
287
288  * New tool symcryptrun as a wrapper for certain encryption tools.
289
290  * The gpg tool is not anymore build by default because those gpg
291    versions available in the gnupg 1.4 series are far more matured.
292
293
294 Noteworthy changes in version 1.9.15 (2005-01-13)
295 -------------------------------------------------
296
297  * Fixed passphrase caching bug.
298
299  * Better support for CCID readers; the reader from Cherry RS 6700 USB
300    does now work.
301
302
303 Noteworthy changes in version 1.9.14 (2004-12-22)
304 -------------------------------------------------
305
306  * [gpg-agent] New option --use-standard-socket to allow the use of a
307    fixed socket.  gpgsm falls back to this socket if GPG_AGENT_INFO
308    has not been set.
309
310  * Ported to MS Windows with some functional limitations.
311
312  * New tool gpg-preset-passphrase.
313
314
315 Noteworthy changes in version 1.9.13 (2004-12-03)
316 -------------------------------------------------
317
318  * [gpgsm] New option --prefer-system-dirmngr.
319
320  * Minor cleanups and debugging aids.
321
322
323 Noteworthy changes in version 1.9.12 (2004-10-22)
324 -------------------------------------------------
325
326  * [scdaemon] Partly rewrote the PC/SC code.
327
328  * Removed the sc-investigate tool.  It is now in a separate package
329    available at ftp://ftp.g10code.com/g10code/gscutils/ .
330
331  * [gpg-agent] Fixed logging problem.
332
333
334 Noteworthy changes in version 1.9.11 (2004-10-01)
335 -------------------------------------------------
336
337  * When using --import along with --with-validation, the imported
338    certificates are validated and only imported if they are fully
339    valid.
340
341  * [gpg-agent] New option --max-cache-ttl.
342
343  * [gpg-agent] When used without --daemon or --server, gpg-agent now
344    check whether a agent is already running and usable.
345
346  * Fixed some i18n problems.
347
348
349 Noteworthy changes in version 1.9.10 (2004-07-22)
350 -------------------------------------------------
351
352  * Fixed a serious bug in the checking of trusted root certificates.
353
354  * New configure option --enable-agent-pnly allows to build and
355    install just the agent.
356
357  * Fixed a problem with the log file handling.
358
359
360 Noteworthy changes in version 1.9.9 (2004-06-08)
361 ------------------------------------------------
362
363  * [gpg-agent] The new option --allow-mark-trusted is now required to
364    allow gpg-agent to add a key to the trustlist.txt after user
365    confirmation.
366
367  * Creating PKCS#10 requests does now honor the key usage.
368
369
370 Noteworthy changes in version 1.9.8 (2004-04-29)
371 ------------------------------------------------
372
373  * [scdaemon] Overhauled the internal CCID driver.
374
375  * [scdaemon] Status files named ~/.gnupg/reader_<n>.status are now
376    written when using the internal CCID driver.
377
378  * [gpgsm] New commands --dump-{,secret,external}-keys to show a very
379    detailed view of the certificates.
380
381  * The keybox gets now compressed after 3 hours and ephemeral
382    stored certificates are deleted after about a day.
383
384  * [gpg] Usability fixes for --card-edit.  Note, that this has already
385    been ported back to gnupg-1.3
386
387
388 Noteworthy changes in version 1.9.7 (2004-04-06)
389 ------------------------------------------------
390
391  * Instrumented the modules for gpgconf.
392
393  * Added support for DINSIG card applications.
394
395  * Include the smimeCapabilities attribute with signed messages.
396
397  * Now uses the gettext domain "gnupg2" to avoid conflicts with gnupg
398    versions < 1.9.
399
400
401 Noteworthy changes in version 1.9.6 (2004-03-06)
402 ------------------------------------------------
403
404  * Code cleanups and bug fixes.
405
406
407 Noteworthy changes in version 1.9.5 (2004-02-21)
408 ------------------------------------------------
409
410  * gpg-protect-tool gets now installed into libexec as it ought to be.
411    Cleaned up the build system to better comply with the coding
412    standards.
413
414  * [gpgsm] The --import command is now able to autodetect pkcs#12
415    files and import secret and private keys from this file format.
416    A new command --export-secret-key-p12 is provided to allow
417    exporting of secret keys in PKCS\#12 format.
418
419  * [gpgsm] The pinentry will now present a description of the key for
420    whom the passphrase is requested.
421
422  * [gpgsm] New option --with-validation to check the validity of key
423    while listing it.
424
425  * New option --debug-level={none,basic,advanced,expert,guru} to map
426    the debug flags to sensitive levels on a per program base.
427
428
429 Noteworthy changes in version 1.9.4 (2004-01-30)
430 ------------------------------------------------
431
432  * Added support for the Telesec NKS 2.0 card application.
433
434  * Added simple tool addgnupghome to create .gnupg directories from
435    /etc/skel/.gnupg.
436
437  * Various minor bug fixes and cleanups; mainly gpgsm and gpg-agent
438    related.
439
440
441 Noteworthy changes in version 1.9.3 (2003-12-23)
442 ------------------------------------------------
443
444  * New gpgsm options --{enable,disable}-ocsp to validate keys using
445    OCSP. This option requires a not yet released DirMngr version.
446    Default is disabled.
447
448  * The --log-file option may now be used to print logs to a socket.
449    Prefix the socket name with "socket://" to enable this.  This does
450    not work on all systems and falls back to stderr if there is a
451    problem with the socket.
452
453  * The options --encrypt-to and --no-encrypt-to now work the same in
454    gpgsm as in gpg.  Note, they are also used in server mode.
455
456  * Duplicated recipients are now silently removed in gpgsm.
457
458
459 Noteworthy changes in version 1.9.2 (2003-11-17)
460 ------------------------------------------------
461
462  * On card key generation is no longer done using the --gen-key
463    command but from the menu provided by the new --card-edit command.
464
465  * PINs are now properly cached and there are only 2 PINs visible.
466    The 3rd PIN (CHV2) is internally syncronized with the regular PIN.
467
468  * All kind of other internal stuff.
469
470
471 Noteworthy changes in version 1.9.1 (2003-09-06)
472 ------------------------------------------------
473
474  * Support for OpenSC is back. scdaemon supports a --disable-opensc to
475    disable OpenSC use at runtime, so that PC/SC or ct-API can still be
476    used directly.
477
478  * Rudimentary support for the SCR335 smartcard reader using an
479    internal driver.  Requires current libusb from CVS.
480
481  * Bug fixes.
482
483
484 Noteworthy changes in version 1.9.0 (2003-08-05)
485 ------------------------------------------------
486
487       ====== PLEASE SEE README-alpha =======
488
489  * gpg has been renamed to gpg2 and gpgv to gpgv2.  This is a
490    temporary change to allow co-existing with stable gpg versions.
491
492  * ~/.gnupg/gpg.conf-1.9.0 is fist tried as config file before the
493    usual gpg.conf.
494
495  * Removed the -k, -kv and -kvv commands.  -k is now an alias to
496    --list-keys.  New command -K as alias for --list-secret-keys.
497
498  * Removed --run-as-shm-coprocess feature.
499
500  * gpg does now also use libgcrypt, libgpg-error is required.
501
502  * New gpgsm commands --call-dirmngr and --call-protect-tool.
503
504  * Changing a passphrase is now possible using "gpgsm --passwd"
505
506  * The content-type attribute is now recognized and created.
507
508  * The agent does now reread certain options on receiving a HUP.
509
510  * The pinentry is now forked for each request so that clients with
511    different environments are supported.  When running in daemon mode
512    and --keep-display is not used the DISPLAY variable is ignored.
513
514  * Merged stuff from the newpg branch and started this new
515    development branch.
516
517
518  Copyright 2002, 2003, 2004, 2005, 2006, 2007 Free Software Foundation, Inc.
519
520  This file is free software; as a special exception the author gives
521  unlimited permission to copy and/or distribute it, with or without
522  modifications, as long as this notice is preserved.
523
524  This file is distributed in the hope that it will be useful, but
525  WITHOUT ANY WARRANTY, to the extent permitted by law; without even the
526  implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.