Updated.
[gnupg.git] / NEWS
diff --git a/NEWS b/NEWS
index dc691ff..6a95dac 100644 (file)
--- a/NEWS
+++ b/NEWS
-Noteworthy changes in version 1.4.1
+Noteworthy changes in version 1.4.5
+------------------------------------------------
+
+
+Noteworthy changes in version 1.4.4 (2006-06-25)
+------------------------------------------------
+
+    * User IDs are now capped at 2048 byte.  This avoids a memory
+      allocation attack (see CVE-2006-3082).
+
+    * Added support for the SHA-224 hash.  Like the SHA-384 hash, it
+      is mainly useful when DSS (the US Digital Signature Standard)
+      compatibility is desired.
+
+    * Added support for the latest update to DSA keys and signatures.
+      This allows for larger keys than 1024 bits and hashes other than
+      SHA-1 and RIPEMD/160.  Note that not all OpenPGP implementations
+      can handle these new keys and signatures yet.  See
+      "--enable-dsa2" in the manual for more information.
+
+
+Noteworthy changes in version 1.4.3 (2006-04-03)
+------------------------------------------------
+
+    * If available, cURL-based keyserver helpers are built that can
+      retrieve keys using HKP or any protocol that cURL supports
+      (HTTP, HTTPS, FTP, FTPS, etc).  If cURL is not available, HKP
+      and HTTP are still supported using a built-in cURL emulator.  To
+      force building the old pre-cURL keyserver helpers, use the
+      configure option --enable-old-keyserver-helpers.  Note that none
+      of this affects finger or LDAP support, which are unchanged.
+      Note also that a future version of GnuPG will remove the old
+      keyserver helpers altogether.
+
+    * Implemented Public Key Association (PKA) signature verification.
+      This uses special DNS records and notation data to associate a
+      mail address with an OpenPGP key to prove that mail coming from
+      that address is legitimate without the need for a full trust
+      path to the signing key.
+
+    * When exporting subkeys, those specified with a key ID or
+      fingerpint and the '!' suffix are now merged into one keyblock.
+
+    * Added "gpg-zip", a program to create encrypted archives that can
+      interoperate with PGP Zip.
+
+    * Added support for signing subkey cross-certification "back
+      signatures".  Requiring cross-certification to be present is
+      currently off by default, but will be changed to on by default
+      in the future, once more keys use it.  A new "cross-certify"
+      command in the --edit-key menu can be used to update signing
+      subkeys to have cross-certification.
+
+    * The key cleaning options for --import-options and
+      --export-options have been further polished.  "import-clean" and
+      "export-clean" replace the older
+      import-clean-sigs/import-clean-uids and
+      export-clean-sigs/export-clean-uids option pairs.
+
+    * New "minimize" command in the --edit-key menu removes everything
+      that can be removed from a key, rendering it as small as
+      possible.  There are corresponding "export-minimal" and
+      "import-minimal" commands for --export-options and
+      --import-options.
+
+    * New --fetch-keys command to retrieve keys by specifying a URI.
+      This allows direct key retrieval from a web page or other
+      location that can be specified in a URI.  Available protocols
+      are HTTP and finger, plus anything that cURL supplies, if built
+      with cURL support.
+
+    * Files containing several signed messages are not allowed any
+      longer as there is no clean way to report the status of such
+      files back to the caller.  To partly revert to the old behaviour
+      the new option --allow-multisig-verification may be used.
+
+    * The keyserver helpers can now handle keys in either ASCII armor
+      or binary format.
+
+    * New auto-key-locate option that takes an ordered list of methods
+      to locate a key if it is not available at encryption time (-r or
+      --recipient).  Possible methods include "cert" (use DNS CERT as
+      per RFC2538bis, "pka" (use DNS PKA), "ldap" (consult the LDAP
+      server for the domain in question), "keyserver" (use the
+      currently defined keyserver), as well as arbitrary keyserver
+      URIs that will be contacted for the key.
+
+    * Able to retrieve keys using DNS CERT records as per RFC-4398.
+
+
+Noteworthy changes in version 1.4.2 (2005-07-26)
+------------------------------------------------
+
+    * New command "verify" in the card-edit menu to display
+      the Private-DO-3.  The Admin command has been enhanced to take
+      the optional arguments "on", "off" and "verify".  The latter may
+      be used to verify the Admin Pin without modifying data; this
+      allows displaying the Private-DO-4 with the "list" command.
+
+    * Rewrote large parts of the card code to optionally make use of a
+      running gpg-agent.  If --use-agent is being used and a gpg-agent
+      with enabled scdaemon is active, gpg will now divert all card
+      operations to that daemon.  This is required because both,
+      scdaemon and gpg require exclusive access to the card reader. By
+      delegating the work to scdaemon, both can peacefully coexist and
+      scdaemon is able to control the use of the reader.  Note that
+      this requires at least gnupg 1.9.17.
+
+    * Fixed a couple of problems with the card reader.
+
+    * Command completion is now available in the --edit-key and
+      --card-edit menus.  Filename completion is available at all
+      filename prompts.  Note that completion is only available if the
+      system provides a readline library.
+
+    * New experimental HKP keyserver helper that uses the cURL
+      library.  It is enabled via the configure option --with-libcurl
+      like the other (also experimental) cURL helpers.
+
+    * New key cleaning options that can be used to remove unusable
+      (expired, revoked) signatures from a key.  This is available via
+      the new "clean" command in --edit-key on a key by key basis, as
+      well as via the import-clean-sigs/import-clean-uids and
+      export-clean-sigs/export-clean-uids options for --import-options
+      and --export-options.  These are currently off by default, and
+      replace the import-unusable-sigs/export-unusable-sigs options
+      from version 1.4.1.
+
+    * New export option export-reset-subkey-passwd.
+
+    * New option --limit-card-insert-tries.
+
+
+Noteworthy changes in version 1.4.1 (2005-03-15)
 ------------------------------------------------
 
     * New --rfc2440-text option which controls how text is handled in
       signatures.  This is in response to some problems seen with
       certain PGP/MIME mail clients and GnuPG version 1.4.0.  More
       details about this are available at
 ------------------------------------------------
 
     * New --rfc2440-text option which controls how text is handled in
       signatures.  This is in response to some problems seen with
       certain PGP/MIME mail clients and GnuPG version 1.4.0.  More
       details about this are available at
-      <http://lists.gnupg.org/pipermail/gnupg-users/2005-January/024408.html>
+      <http://lists.gnupg.org/pipermail/gnupg-users/2005-January/024408.html>.
 
     * New "import-unusable-sigs" and "export-unusable-sigs" tags for
 
     * New "import-unusable-sigs" and "export-unusable-sigs" tags for
-      --import-options and --export-options.  These are on by
-      default, and cause GnuPG to not import or export key signatures
-      that are not usable (e.g. expired signatures).
+      --import-options and --export-options.  These are off by default,
+      which causes GnuPG to not import or export key signatures that
+      are not usable (e.g. expired signatures).
 
     * New experimental HTTP, HTTPS, FTP, and FTPS keyserver helper
       that uses the cURL library <http://curl.haxx.se> to retrieve
 
     * New experimental HTTP, HTTPS, FTP, and FTPS keyserver helper
       that uses the cURL library <http://curl.haxx.se> to retrieve
@@ -23,9 +156,12 @@ Noteworthy changes in version 1.4.1
       available, missing secret key stubs will be created on the fly.
       Details of the key are listed too.
 
       available, missing secret key stubs will be created on the fly.
       Details of the key are listed too.
 
-    * The implicit packet dumping in double verbose mode is now send
+    * The implicit packet dumping in double verbose mode is now sent
       to stderr and not to stdout.
 
       to stderr and not to stdout.
 
+    * Added countermeasures against the Mister/Zuccherato CFB attack
+      <http://eprint.iacr.org/2005/033>.
+
     * [W32] The algorithm for the default home directory changed:
       First we look at the environment variable GNUPGHOME, if this one
       is not set, we check whether the registry entry
     * [W32] The algorithm for the default home directory changed:
       First we look at the environment variable GNUPGHOME, if this one
       is not set, we check whether the registry entry
@@ -38,12 +174,20 @@ Noteworthy changes in version 1.4.1
 
     * [W32] The locale selection under Windows changed. You need to
       enter the locale in the registry at HKCU\Software\GNU\GnuPG:Lang. 
 
     * [W32] The locale selection under Windows changed. You need to
       enter the locale in the registry at HKCU\Software\GNU\GnuPG:Lang. 
-      For German you would use "de".  If it is not set, GnupG falls
+      For German you would use "de".  If it is not set, GnuPG falls
       back to HKLM.  The languages files "*.mo" are expected in a
       directory named "gnupg.nls" below the installation directory;
       that directory must be stored in the registry at the same key as
       above with the name "Install Directory".
 
       back to HKLM.  The languages files "*.mo" are expected in a
       directory named "gnupg.nls" below the installation directory;
       that directory must be stored in the registry at the same key as
       above with the name "Install Directory".
 
+    * Add new --edit-key command "bkuptocard" to allow restoring a
+      card key from a backup.
+
+    * The "fetch" command of --card-edit now retrieves the key using
+      the default keyserver if no URL has been stored on the card.
+
+    * New configure option --enable-noexecstack.
+
 
 Noteworthy changes in version 1.4.0 (2004-12-16)
 ------------------------------------------------
 
 Noteworthy changes in version 1.4.0 (2004-12-16)
 ------------------------------------------------
@@ -98,7 +242,7 @@ Noteworthy changes in version 1.3.91 (2004-10-15)
 Noteworthy changes in version 1.3.90 (2004-10-01)
 -------------------------------------------------
 
 Noteworthy changes in version 1.3.90 (2004-10-01)
 -------------------------------------------------
 
-    * Readline support at all prompts is now available if the systems
+    * Readline support at all prompts is now available if the system
       provides a readline library.  The build time option
       --without-readline may be used to disable this feature.
 
       provides a readline library.  The build time option
       --without-readline may be used to disable this feature.
 
@@ -776,7 +920,7 @@ Noteworthy changes in version 1.0.5 (2001-04-29)
     * Large File Support (LFS) is now working.
 
     * New options: --ignore-crc-error, --no-sig-create-check, 
     * Large File Support (LFS) is now working.
 
     * New options: --ignore-crc-error, --no-sig-create-check, 
-      --no-sig-cache, --fixed_list_mode, --no-expensive-trust-checks,
+      --no-sig-cache, --fixed-list-mode, --no-expensive-trust-checks,
       --enable-special-filenames and --use-agent.  See man page.
 
     * New command --pipemode, which can be used to run gpg as a
       --enable-special-filenames and --use-agent.  See man page.
 
     * New command --pipemode, which can be used to run gpg as a
@@ -1734,7 +1878,7 @@ Noteworthy changes in version 0.2.3
 
 
 Copyright 1998, 1999, 2000, 2001, 2002, 2003, 2004,
 
 
 Copyright 1998, 1999, 2000, 2001, 2002, 2003, 2004,
-          2005 Free Software Foundation, Inc.
+          2005, 2006 Free Software Foundation, Inc.
 
 This file is free software; as a special exception the author gives
 unlimited permission to copy and/or distribute it, with or without
 
 This file is free software; as a special exception the author gives
 unlimited permission to copy and/or distribute it, with or without