Start support of TCOS 3 cards.
[gnupg.git] / NEWS
1 Noteworthy changes in version 2.0.10 (unreleased)
2 -------------------------------------------------
3
4  * New keyserver helper gpg2keys_kdns as generic DNS CERT lookup.  Run
5    with --help for a short description.  Requires the ADNS library.
6
7  * New mechanisms "local" and "nodefault" for --auto-key-locate [gpg].
8    Fixed a few problems with this option.
9
10  * [W32] Initialized the socket subsystem for all keyserver helpers.
11
12  * [W32] The sysconf directory has been moved from a subdirectory of
13    the installation directory to %CSIDL_COMMON_APPDATA%/GNU/etc/gnupg.
14
15  * New gpg2 command --locate-keys.
16
17  * New gpg2 options --with-sig-list and --with-sig-check.
18
19  * Made gpgsm's --output option work with --export-secret-key-p12.
20
21  * gpg-connect-agent accepts commands given as command line arguments.
22
23  * The gpg2 option --fixed-list-mode is now implicitly used and obsolete.
24
25  * New control statement %ask-passphrase for the unattended key
26    generation of gpg2.
27
28  * gpgsm now uses AES by default.
29
30
31 Noteworthy changes in version 2.0.9 (2008-03-26)
32 ------------------------------------------------
33
34  * Gpgsm always tries to locate missing certificates from a running
35    Dirmngr's cache.
36
37  * Tweaks for Windows.
38
39  * The Admin PIN for OpenPGP cards may now be entered with the pinpad.
40
41  * Improved certificate chain construction.
42
43  * Extended the PKITS framework.
44
45  * Fixed a bug in the ambigious name detection.
46
47  * Fixed possible memory corruption while importing OpenPGP keys (bug
48    introduced with 2.0.8). [CVE-2008-1530]
49
50  * Minor bug fixes.
51
52
53 Noteworthy changes in version 2.0.8 (2007-12-20)
54 ------------------------------------------------
55
56  * Enhanced gpg-connect-agent with a small scripting language.
57
58  * New option --list-config for gpgconf.
59
60  * Fixed a crash in gpgconf.
61
62  * Gpg-agent now supports the passphrase quality bar of the latest
63    Pinentry.
64
65  * The envvars XAUTHORITY and PINENTRY_USER_DATA are now passed to the
66    Pinentry.
67
68  * Fixed the auto creation of the key stub for smartcards.  
69
70  * Fixed a rare bug in decryption using the OpenPGP card.
71
72  * Creating DSA2 keys is now possible.
73
74  * New option --extra-digest-algo for gpgsm to allow verification of
75    broken signatures.
76
77  * Allow encryption with legacy Elgamal sign+encrypt keys with option
78    --rfc2440.
79
80  * Windows is now a supported platform.
81
82  * Made sure that under Windows the file permissions of the socket are
83    taken into account.  This required a change of our socket emulation
84    code and changed the IPC protocol under Windows.
85
86
87 Noteworthy changes in version 2.0.7 (2007-09-10)
88 ------------------------------------------------
89
90  * Fixed encryption problem if duplicate certificates are in the
91    keybox.
92
93  * Made it work on Windows Vista.  Note that the entire Windows port
94    is still considered Beta.
95
96  * Add new options min-passphrase-nonalpha, check-passphrase-pattern,
97    enforce-passphrase-constraints and max-passphrase-days to
98    gpg-agent.
99
100  * Add command --check-components to gpgconf.  Gpgconf now uses the
101    installed versions of the programs and does not anymore search via
102    PATH for them.
103
104
105 Noteworthy changes in version 2.0.6 (2007-08-16)
106 ------------------------------------------------
107
108  * GPGSM does now grok --default-key.
109
110  * GPGCONF is now aware of --default-key and --encrypt-to. 
111
112  * GPGSM does again correctly print the serial number as well the the
113    various keyids.  This was broken since 2.0.4.
114
115  * New option --validation-model and support for the chain-model.
116
117  * Improved Windows support.
118
119  
120 Noteworthy changes in version 2.0.5 (2007-07-05)
121 ------------------------------------------------
122
123  * Switched license to GPLv3.
124
125  * Basic support for Windows.  Run "./autogen.sh --build-w32" to build
126    it.  As usual the mingw cross compiling toolchain is required.
127
128  * Fixed bug when using the --p12-charset without --armor.
129
130  * The command --gen-key may now be used instead of the
131    gpgsm-gencert.sh script.
132
133  * Changed key generation to reveal less information about the
134    machine.  Bug fixes for gpg2's card key generation.
135
136
137 Noteworthy changes in version 2.0.4 (2007-05-09)
138 ------------------------------------------------
139
140  * The server mode key listing commands are now also working for
141    systems without the funopen/fopencookie API.
142
143  * PKCS#12 import now tries several encodings in case the passphrase
144    was not utf-8 encoded.  New option --p12-charset for gpgsm.
145
146  * Improved the libgcrypt logging support in all modules.
147
148
149 Noteworthy changes in version 2.0.3 (2007-03-08)
150 ------------------------------------------------
151
152  * By default, do not allow processing multiple plaintexts in a single
153    stream.  Many programs that called GnuPG were assuming that GnuPG
154    did not permit this, and were thus not using the plaintext boundary
155    status tags that GnuPG provides.  This change makes GnuPG reject
156    such messages by default which makes those programs safe again.
157    --allow-multiple-messages returns to the old behavior. [CVE-2007-1263].
158
159  * New --verify-option show-primary-uid-only. 
160
161  * gpgconf may now reads a global configuration file to select which
162    options are changeable by a frontend.  The new applygnupgdefaults
163    tool may be used by an admin to set default options for all users.
164
165  * The PIN pad of the Cherry XX44 keyboard is now supported.  The
166    DINSIG and the NKS applications are now also aware of PIN pads.
167
168
169 Noteworthy changes in version 2.0.2 (2007-01-31)
170 ------------------------------------------------
171
172  * Fixed a serious and exploitable bug in processing encrypted
173    packages. [CVE-2006-6235].
174
175  * Added --passphrase-repeat to set the number of times GPG will
176    prompt for a new passphrase to be repeated.  This is useful to help
177    memorize a new passphrase.  The default is 1 repetition.
178
179  * Using a PIN pad does now also work for the signing key.
180
181  * A warning is displayed by gpg-agent if a new passphrase is too
182    short.  New option --min-passphrase-len defaults to 8.
183
184  * The status code BEGIN_SIGNING now shows the used hash algorithms.
185
186
187 Noteworthy changes in version 2.0.1 (2006-11-28)
188 ------------------------------------------------
189
190  * Experimental support for the PIN pads of the SPR 532 and the Kaan
191    Advanced card readers.  Add "disable-keypad" scdaemon.conf if you
192    don't want it.  Does currently only work for the OpenPGP card and
193    its authentication and decrypt keys.
194
195  * Fixed build problems on some some platforms and crashes on amd64.
196
197  * Fixed a buffer overflow in gpg2. [bug#728,CVE-2006-6169]
198
199
200 Noteworthy changes in version 2.0.0 (2006-11-11)
201 ------------------------------------------------
202
203  * First stable version of a GnuPG integrating OpenPGP and S/MIME.
204
205
206 Noteworthy changes in version 1.9.95 (2006-11-06)
207 -------------------------------------------------
208
209  * Minor bug fixes.
210
211
212 Noteworthy changes in version 1.9.94 (2006-10-24)
213 -------------------------------------------------
214
215  * Keys for gpgsm may now be specified using a keygrip.  A keygrip is
216    indicated by a prefixing it with an ampersand.
217
218  * gpgconf now supports switching the CMS cipher algo (e.g. to AES).
219
220  * New command --gpgconf-test for all major tools. This may be used to
221    check whether the configuration file is sane.
222
223
224 Noteworthy changes in version 1.9.93 (2006-10-18)
225 -------------------------------------------------
226
227  * In --with-validation mode gpgsm will now also ask whether a root
228    certificate should be trusted.
229
230  * Link to Pth only if really necessary.
231
232  * Fixed a pubring corruption bug in gpg2 occurring when importing
233    signatures or keys with insane lengths.
234
235  * Fixed v3 keyID calculation bug in gpg2.
236
237  * More tweaks for certificates without extensions.
238
239
240 Noteworthy changes in version 1.9.92 (2006-10-11)
241 -------------------------------------------------
242
243  * Bug fixes.
244
245
246 Noteworthy changes in version 1.9.91 (2006-10-04)
247 -------------------------------------------------
248
249  * New "relax" flag for trustlist.txt to allow root CA certificates
250    without BasicContraints.
251
252  * [gpg2] Removed the -k PGP 2 compatibility hack.  -k is now an
253    alias for --list-keys.
254
255  * [gpg2] Print a warning if "-sat" is used instead of "--clearsign".
256
257
258 Noteworthy changes in version 1.9.90 (2006-09-25)
259 -------------------------------------------------
260
261  * Made readline work for gpg.
262
263  * Cleanups und minor bug fixes.
264
265  * Included translations from gnupg 1.4.5.
266
267
268 Noteworthy changes in version 1.9.23 (2006-09-18)
269 -------------------------------------------------
270
271  * Regular man pages for most tools are now build directly from the
272    Texinfo source.
273
274  * The gpg code from 1.4.5 has been fully merged into this release.
275    The configure option --enable-gpg is still required to build this
276    gpg part.  For production use of OpenPGP the gpg version 1.4.5 is
277    still recommended.  Note, that gpg will be installed under the name
278    gpg2 to allow coexisting with an 1.4.x gpg.
279
280  * API change in gpg-agent's pkdecrypt command.  Thus an older gpgsm
281    may not be used with the current gpg-agent.
282
283  * The scdaemon will now call a script on reader status changes.
284
285  * gpgsm now allows file descriptor passing for "INPUT", "OUTPUT" and
286    "MESSAGE".
287
288  * The gpgsm server may now output a key listing to the output file
289    handle. This needs to be enabled using "OPTION list-to-output=1".
290
291  * The --output option of gpgsm has now an effect on list-keys.
292
293  * New gpgsm commands --dump-chain and list-chain.
294
295  * gpg-connect-agent has new options to utilize descriptor passing.
296
297  * A global trustlist may now be used.  See doc/examples/trustlist.txt.
298
299  * When creating a new pubring.kbx keybox common certificates are
300    imported.
301
302
303 Noteworthy changes in version 1.9.22 (2006-07-27)
304 -------------------------------------------------
305
306  * Enhanced pkcs#12 support to allow import from simple keyBags.
307
308  * Exporting to pkcs#12 now create bag attributes so that Mozilla is
309    able to import the files.
310
311  * Fixed uploading of certain keys to the smart card.
312
313
314 Noteworthy changes in version 1.9.21 (2006-06-20)
315 -------------------------------------------------
316
317  * New command APDU for scdaemon to allow using it for general card
318    access.  Might be used through gpg-connect-agent by using the SCD
319    prefix command.
320
321  * Support for the CardMan 4040 PCMCIA reader (Linux 2.6.15 required).
322
323  * Scdaemon does not anymore reset cards at the end of a connection. 
324
325  * Kludge to allow use of Bundesnetzagentur issued X.509 certificates.
326
327  * Added --hash=xxx option to scdaemon's PKSIGN command.
328
329  * Pkcs#12 files are now created with a MAC.  This is for better
330    interoperability.
331
332  * Collected bug fixes and minor other changes.
333
334
335 Noteworthy changes in version 1.9.20 (2005-12-20)
336 -------------------------------------------------
337
338  * Importing pkcs#12 files created be recent versions of Mozilla works
339    again.
340
341  * Basic support for qualified signatures.
342
343  * New debug tool gpgparsemail. 
344
345
346 Noteworthy changes in version 1.9.19 (2005-09-12)
347 -------------------------------------------------
348
349  * The Belgian eID card is now supported for signatures and ssh.
350    Other pkcs#15 cards should work as well.
351
352  * Fixed bug in --export-secret-key-p12 so that certificates are again
353    included.
354
355
356 Noteworthy changes in version 1.9.18 (2005-08-01)
357 -------------------------------------------------
358
359  * [gpgsm] Now allows for more than one email address as well as URIs
360    and dnsNames in certificate request generation.  A keygrip may be
361    given to create a request from an existing key.
362
363  * A couple of minor bug fixes.
364
365
366 Noteworthy changes in version 1.9.17 (2005-06-20)
367 -------------------------------------------------
368
369  * gpg-connect-agent has now features to handle Assuan INQUIRE
370    commands.
371
372  * Internal changes for OpenPGP cards. New Assuan command WRITEKEY.
373
374  * GNU Pth is now a hard requirement.
375
376  * [scdaemon] Support for OpenSC has been removed.  Instead a new and
377    straightforward pkcs#15 modules has been written.  As of now it
378    does allows only signing using TCOS cards but we are going to
379    enhance it to match all the old capabilities.
380
381  * [gpg-agent] New option --write-env-file and Assuan command
382    UPDATESTARTUPTTY.
383
384  * [gpg-agent] New option --default-cache-ttl-ssh to set the TTL for
385    SSH passphrase caching independent from the other passphrases.
386
387
388 Noteworthy changes in version 1.9.16 (2005-04-21)
389 -------------------------------------------------
390
391  * gpg-agent does now support the ssh-agent protocol and thus allows
392    to use the pinentry as well as the OpenPGP smartcard with ssh.
393
394  * New tool gpg-connect-agent as a general client for the gpg-agent.
395
396  * New tool symcryptrun as a wrapper for certain encryption tools.
397
398  * The gpg tool is not anymore build by default because those gpg
399    versions available in the gnupg 1.4 series are far more matured.
400
401
402 Noteworthy changes in version 1.9.15 (2005-01-13)
403 -------------------------------------------------
404
405  * Fixed passphrase caching bug.
406
407  * Better support for CCID readers; the reader from Cherry RS 6700 USB
408    does now work.
409
410
411 Noteworthy changes in version 1.9.14 (2004-12-22)
412 -------------------------------------------------
413
414  * [gpg-agent] New option --use-standard-socket to allow the use of a
415    fixed socket.  gpgsm falls back to this socket if GPG_AGENT_INFO
416    has not been set.
417
418  * Ported to MS Windows with some functional limitations.
419
420  * New tool gpg-preset-passphrase.
421
422
423 Noteworthy changes in version 1.9.13 (2004-12-03)
424 -------------------------------------------------
425
426  * [gpgsm] New option --prefer-system-dirmngr.
427
428  * Minor cleanups and debugging aids.
429
430
431 Noteworthy changes in version 1.9.12 (2004-10-22)
432 -------------------------------------------------
433
434  * [scdaemon] Partly rewrote the PC/SC code.
435
436  * Removed the sc-investigate tool.  It is now in a separate package
437    available at ftp://ftp.g10code.com/g10code/gscutils/ .
438
439  * [gpg-agent] Fixed logging problem.
440
441
442 Noteworthy changes in version 1.9.11 (2004-10-01)
443 -------------------------------------------------
444
445  * When using --import along with --with-validation, the imported
446    certificates are validated and only imported if they are fully
447    valid.
448
449  * [gpg-agent] New option --max-cache-ttl.
450
451  * [gpg-agent] When used without --daemon or --server, gpg-agent now
452    check whether a agent is already running and usable.
453
454  * Fixed some i18n problems.
455
456
457 Noteworthy changes in version 1.9.10 (2004-07-22)
458 -------------------------------------------------
459
460  * Fixed a serious bug in the checking of trusted root certificates.
461
462  * New configure option --enable-agent-pnly allows to build and
463    install just the agent.
464
465  * Fixed a problem with the log file handling.
466
467
468 Noteworthy changes in version 1.9.9 (2004-06-08)
469 ------------------------------------------------
470
471  * [gpg-agent] The new option --allow-mark-trusted is now required to
472    allow gpg-agent to add a key to the trustlist.txt after user
473    confirmation.
474
475  * Creating PKCS#10 requests does now honor the key usage.
476
477
478 Noteworthy changes in version 1.9.8 (2004-04-29)
479 ------------------------------------------------
480
481  * [scdaemon] Overhauled the internal CCID driver.
482
483  * [scdaemon] Status files named ~/.gnupg/reader_<n>.status are now
484    written when using the internal CCID driver.
485
486  * [gpgsm] New commands --dump-{,secret,external}-keys to show a very
487    detailed view of the certificates.
488
489  * The keybox gets now compressed after 3 hours and ephemeral
490    stored certificates are deleted after about a day.
491
492  * [gpg] Usability fixes for --card-edit.  Note, that this has already
493    been ported back to gnupg-1.3
494
495
496 Noteworthy changes in version 1.9.7 (2004-04-06)
497 ------------------------------------------------
498
499  * Instrumented the modules for gpgconf.
500
501  * Added support for DINSIG card applications.
502
503  * Include the smimeCapabilities attribute with signed messages.
504
505  * Now uses the gettext domain "gnupg2" to avoid conflicts with gnupg
506    versions < 1.9.
507
508
509 Noteworthy changes in version 1.9.6 (2004-03-06)
510 ------------------------------------------------
511
512  * Code cleanups and bug fixes.
513
514
515 Noteworthy changes in version 1.9.5 (2004-02-21)
516 ------------------------------------------------
517
518  * gpg-protect-tool gets now installed into libexec as it ought to be.
519    Cleaned up the build system to better comply with the coding
520    standards.
521
522  * [gpgsm] The --import command is now able to autodetect pkcs#12
523    files and import secret and private keys from this file format.
524    A new command --export-secret-key-p12 is provided to allow
525    exporting of secret keys in PKCS\#12 format.
526
527  * [gpgsm] The pinentry will now present a description of the key for
528    whom the passphrase is requested.
529
530  * [gpgsm] New option --with-validation to check the validity of key
531    while listing it.
532
533  * New option --debug-level={none,basic,advanced,expert,guru} to map
534    the debug flags to sensitive levels on a per program base.
535
536
537 Noteworthy changes in version 1.9.4 (2004-01-30)
538 ------------------------------------------------
539
540  * Added support for the Telesec NKS 2.0 card application.
541
542  * Added simple tool addgnupghome to create .gnupg directories from
543    /etc/skel/.gnupg.
544
545  * Various minor bug fixes and cleanups; mainly gpgsm and gpg-agent
546    related.
547
548
549 Noteworthy changes in version 1.9.3 (2003-12-23)
550 ------------------------------------------------
551
552  * New gpgsm options --{enable,disable}-ocsp to validate keys using
553    OCSP. This option requires a not yet released DirMngr version.
554    Default is disabled.
555
556  * The --log-file option may now be used to print logs to a socket.
557    Prefix the socket name with "socket://" to enable this.  This does
558    not work on all systems and falls back to stderr if there is a
559    problem with the socket.
560
561  * The options --encrypt-to and --no-encrypt-to now work the same in
562    gpgsm as in gpg.  Note, they are also used in server mode.
563
564  * Duplicated recipients are now silently removed in gpgsm.
565
566
567 Noteworthy changes in version 1.9.2 (2003-11-17)
568 ------------------------------------------------
569
570  * On card key generation is no longer done using the --gen-key
571    command but from the menu provided by the new --card-edit command.
572
573  * PINs are now properly cached and there are only 2 PINs visible.
574    The 3rd PIN (CHV2) is internally syncronized with the regular PIN.
575
576  * All kind of other internal stuff.
577
578
579 Noteworthy changes in version 1.9.1 (2003-09-06)
580 ------------------------------------------------
581
582  * Support for OpenSC is back. scdaemon supports a --disable-opensc to
583    disable OpenSC use at runtime, so that PC/SC or ct-API can still be
584    used directly.
585
586  * Rudimentary support for the SCR335 smartcard reader using an
587    internal driver.  Requires current libusb from CVS.
588
589  * Bug fixes.
590
591
592 Noteworthy changes in version 1.9.0 (2003-08-05)
593 ------------------------------------------------
594
595       ====== PLEASE SEE README-alpha =======
596
597  * gpg has been renamed to gpg2 and gpgv to gpgv2.  This is a
598    temporary change to allow co-existing with stable gpg versions.
599
600  * ~/.gnupg/gpg.conf-1.9.0 is fist tried as config file before the
601    usual gpg.conf.
602
603  * Removed the -k, -kv and -kvv commands.  -k is now an alias to
604    --list-keys.  New command -K as alias for --list-secret-keys.
605
606  * Removed --run-as-shm-coprocess feature.
607
608  * gpg does now also use libgcrypt, libgpg-error is required.
609
610  * New gpgsm commands --call-dirmngr and --call-protect-tool.
611
612  * Changing a passphrase is now possible using "gpgsm --passwd"
613
614  * The content-type attribute is now recognized and created.
615
616  * The agent does now reread certain options on receiving a HUP.
617
618  * The pinentry is now forked for each request so that clients with
619    different environments are supported.  When running in daemon mode
620    and --keep-display is not used the DISPLAY variable is ignored.
621
622  * Merged stuff from the newpg branch and started this new
623    development branch.
624
625
626  Copyright 2002, 2003, 2004, 2005, 2006, 2007 Free Software Foundation, Inc.
627
628  This file is free software; as a special exception the author gives
629  unlimited permission to copy and/or distribute it, with or without
630  modifications, as long as this notice is preserved.
631
632  This file is distributed in the hope that it will be useful, but
633  WITHOUT ANY WARRANTY, to the extent permitted by law; without even the
634  implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.