gpg: Add new usage option for drop-subkey filters.
[gnupg.git] / NEWS
diff --git a/NEWS b/NEWS
index 7510ff4..232d8be 100644 (file)
--- a/NEWS
+++ b/NEWS
@@ -1,6 +1,291 @@
-Noteworthy changes in version 2.2.1 (unreleased)
+Noteworthy changes in version 2.3.0 (unreleased)
 ------------------------------------------------
 
+  Changes also found in 2.2.8:
+
+  * gpg: Decryption of messages not using the MDC mode will now lead
+    to a hard failure even if a legacy cipher algorithm was used.  The
+    option --ignore-mdc-error can be used to turn this failure into a
+    warning.  Take care: Never use that option unconditionally or
+    without a prior warning.
+
+  * gpg: The MDC encryption mode is now always used regardless of the
+    cipher algorithm or any preferences.  For testing --rfc2440 can be
+    used to create a message without an MDC.
+
+  * gpg: Sanitize the diagnostic output of the original file name in
+    verbose mode.  [#4012,CVE-2018-12020]
+
+  * gpg: Detect suspicious multiple plaintext packets in a more
+    reliable way.  [#4000]
+
+  * gpg: Fix the duplicate key signature detection code.  [#3994]
+
+  * gpg: The options --no-mdc-warn, --force-mdc, --no-force-mdc,
+    --disable-mdc and --no-disable-mdc have no more effect.
+
+  * gpg: New command --show-keys.
+
+  * agent: Add DBUS_SESSION_BUS_ADDRESS and a few other envvars to the
+    list of startup environment variables.  [#3947]
+
+  See-also: gnupg-announce/2018q2/000425.html
+
+  Changes also found in 2.2.7:
+
+  * gpg: New option --no-symkey-cache to disable the passphrase cache
+    for symmetrical en- and decryption.
+
+  * gpg: The ERRSIG status now prints the fingerprint if that is part
+    of the signature.
+
+  * gpg: Relax emitting of FAILURE status lines
+
+  * gpg: Add a status flag to "sig" lines printed with --list-sigs.
+
+  * gpg: Fix "Too many open files" when using --multifile.  [#3951]
+
+  * ssh: Return an error for unknown ssh-agent flags.  [#3880]
+
+  * dirmngr: Fix a regression since 2.1.16 which caused corrupted CRL
+    caches under Windows.  [#2448,#3923]
+
+  * dirmngr: Fix a CNAME problem with pools and TLS.  Also use a fixed
+    mapping of keys.gnupg.net to sks-keyservers.net.  [#3755]
+
+  * dirmngr: Try resurrecting dead hosts earlier (from 3 to 1.5 hours).
+
+  * dirmngr: Fallback to CRL if no default OCSP responder is configured.
+
+  * dirmngr: Implement CRL fetching via https.  Here a redirection to
+    http is explictly allowed.
+
+  * dirmngr: Make LDAP searching and CRL fetching work under Windows.
+    This stopped working with 2.1.  [#3937]
+
+  * agent,dirmngr: New sub-command "getenv" for "getinfo" to ease
+    debugging.
+
+  See-also: gnupg-announce/2018q2/000424.html
+
+  Changes also found in 2.2.6:
+
+  * gpg,gpgsm: New option --request-origin to pretend requests coming
+    from a browser or a remote site.
+
+  * gpg: Fix race condition on trustdb.gpg updates due to too early
+    released lock.  [#3839]
+
+  * gpg: Emit FAILURE status lines in almost all cases.  [#3872]
+
+  * gpg: Implement --dry-run for --passwd to make checking a key's
+    passphrase straightforward.
+
+  * gpg: Make sure to only accept a certification capable key for key
+    signatures.  [#3844]
+
+  * gpg: Better user interaction in --card-edit for the factory-reset
+    sub-command.
+
+  * gpg: Improve changing key attributes in --card-edit by adding an
+    explicit "key-attr" sub-command.  [#3781]
+
+  * gpg: Print the keygrips in the --card-status.
+
+  * scd: Support KDF DO setup.  [#3823]
+
+  * scd: Fix some issues with PC/SC on Windows.  [#3825]
+
+  * scd: Fix suspend/resume handling in the CCID driver.
+
+  * agent: Evict cached passphrases also via a timer.  [#3829]
+
+  * agent: Use separate passphrase caches depending on the request
+    origin.  [#3858]
+
+  * ssh: Support signature flags.  [#3880]
+
+  * dirmngr: Handle failures related to missing IPv6 support
+    gracefully.  [#3331]
+
+  * Fix corner cases related to specified home directory with
+    drive letter on Windows.  [#3720]
+
+  * Allow the use of UNC directory names as homedir.  [#3818]
+
+  See-also: gnupg-announce/2018q2/000421.html
+
+  Changes also found in 2.2.5:
+
+  * gpg: Allow the use of the "cv25519" and "ed25519" short names in
+    addition to the canonical curve names in --batch --gen-key.
+
+  * gpg: Make sure to print all secret keys with option --list-only
+    and --decrypt.  [#3718]
+
+  * gpg: Fix the use of future-default with --quick-add-key for
+    signing keys.  [#3747]
+
+  * gpg: Select a secret key by checking availability under gpg-agent.
+    [#1967]
+
+  * gpg: Fix reversed prompt texts for --only-sign-text-ids.  [#3787]
+
+  * gpg,gpgsm: Fix detection of bogus keybox blobs on 32 bit systems.
+    [#3770]
+
+  * gpgsm: Fix regression since 2.1 in --export-secret-key-raw which
+    got $d mod (q-1)$ wrong.  Note that most tools automatically fixup
+    that parameter anyway.
+
+  * ssh: Fix a regression in getting the client'd PID on *BSD and
+    macOS.
+
+  * scd: Support the KDF Data Object of the OpenPGP card 3.3.  [#3152]
+
+  * scd: Fix a regression in the internal CCID driver for certain card
+    readers.  [#3508]
+
+  * scd: Fix a problem on NetBSD killing scdaemon on gpg-agent
+    shutdown.  [#3778]
+
+  * dirmngr: Improve returned error description on failure of DNS
+    resolving.  [#3756]
+
+  * wks: Implement command --install-key for gpg-wks-server.
+
+  * Add option STATIC=1 to the Speedo build system to allow a build
+    with statically linked versions of the core GnuPG libraries.  Also
+    use --enable-wks-tools by default by Speedo builds for Unix.
+
+  See-also: gnupg-announce/2018q1/000420.html
+
+  Changes also found in 2.2.4:
+
+  * gpg: Change default preferences to prefer SHA512.
+
+  * gpg: Print a warning when more than 150 MiB are encrypted using a
+    cipher with 64 bit block size.
+
+  * gpg: Print a warning if the MDC feature has not been used for a
+    message.
+
+  * gpg: Fix regular expression of domain addresses in trust
+    signatures. [#2923]
+
+  * agent: New option --auto-expand-secmem to help with high numbers
+    of concurrent connections.  Requires libgcrypt 1.8.2 for having
+    an effect.  [#3530]
+
+  * dirmngr: Cache responses of WKD queries.
+
+  * gpgconf: Add option --status-fd.
+
+  * wks: Add commands --check and --remove-key to gpg-wks-server.
+
+  * Increase the backlog parameter of the daemons to 64 and add
+    option --listen-backlog.
+
+  * New configure option --enable-run-gnupg-user-socket to first try a
+    socket directory which is not removed by systemd at session end.
+
+  See-also: gnupg-announce/2017q4/000419.html
+
+  Changes also found in 2.2.3:
+
+  * gpgsm: Fix initial keybox creation on Windows. [#3507]
+
+  * dirmngr: Fix crash in case of a CRL loading error. [#3510]
+
+  * Fix the name of the Windows registry key. [Git#4f5afaf1fd]
+
+  * gpgtar: Fix wrong behaviour of --set-filename. [#3500]
+
+  * gpg: Silence AKL retrieval messages. [#3504]
+
+  * agent: Use clock or clock_gettime for calibration. [#3056]
+
+  * agent: Improve robustness of the shutdown pending
+    state. [Git#7ffedfab89]
+
+  See-also: gnupg-announce/2017q4/000417.html
+
+  Changes also found in 2.2.2:
+
+  * gpg: Avoid duplicate key imports by concurrently running gpg
+    processes. [#3446]
+
+  * gpg: Fix creating on-disk subkey with on-card primary key. [#3280]
+
+  * gpg: Fix validity retrieval for multiple keyrings. [Debian#878812]
+
+  * gpg: Fix --dry-run and import option show-only for secret keys.
+
+  * gpg: Print "sec" or "sbb" for secret keys with import option
+    import-show. [#3431]
+
+  * gpg: Make import less verbose. [#3397]
+
+  * gpg: Add alias "Key-Grip" for parameter "Keygrip" and new
+    parameter "Subkey-Grip" to unattended key generation.  [#3478]
+
+  * gpg: Improve "factory-reset" command for OpenPGP cards.  [#3286]
+
+  * gpg: Ease switching Gnuk tokens into ECC mode by using the magic
+    keysize value 25519.
+
+  * gpgsm: Fix --with-colon listing in crt records for fields > 12.
+
+  * gpgsm: Do not expect X.509 keyids to be unique.  [#1644]
+
+  * agent: Fix stucked Pinentry when using --max-passphrase-days. [#3190]
+
+  * agent: New option --s2k-count.  [#3276 (workaround)]
+
+  * dirmngr: Do not follow https-to-http redirects. [#3436]
+
+  * dirmngr: Reduce default LDAP timeout from 100 to 15 seconds. [#3487]
+
+  * gpgconf: Ignore non-installed components for commands
+    --apply-profile and --apply-defaults. [#3313]
+
+  * Add configure option --enable-werror.  [#2423]
+
+  See-also: gnupg-announce/2017q4/000416.html
+
+  Changes also found in 2.2.1:
+
+  * gpg: Fix formatting of the user id in batch mode key generation
+    if only "name-email" is given.
+
+  * gpgv: Fix annoying "not suitable for" warnings.
+
+  * wks: Convey only the newest user id to the provider.  This is the
+    case if different names are used with the same addr-spec.
+
+  * wks: Create a complying user id for provider policy mailbox-only.
+
+  * wks: Add workaround for posteo.de.
+
+  * scd: Fix the use of large ECC keys with an OpenPGP card.
+
+  * dirmngr: Use system provided root certificates if no specific HKP
+    certificates are configured.  If build with GNUTLS, this was
+    already the case.
+
+  See-also: gnupg-announce/2017q3/000415.html
+
+  Release dates of 2.2.x versions:
+  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+  Version 2.2.1 (2017-09-19)
+  Version 2.2.2 (2017-11-07)
+  Version 2.2.3 (2017-11-20)
+  Version 2.2.4 (2017-12-20)
+  Version 2.2.5 (2018-02-22)
+  Version 2.2.6 (2018-04-09)
+  Version 2.2.7 (2018-05-02)
+  Version 2.2.8 (2018-06-08)
+
 
 Noteworthy changes in version 2.2.0 (2017-08-28)
 ------------------------------------------------
@@ -13,6 +298,8 @@ Noteworthy changes in version 2.2.0 (2017-08-28)
 
   * Fixed a few minor bugs.
 
+  See-also: gnupg-announce/2017q3/000413.html
+
 
 Noteworthy changes in version 2.1.23 (2017-08-09)
 -------------------------------------------------