gpg: Emit FAILURE stati now in almost all cases.
[gnupg.git] / README
diff --git a/README b/README
index 52e6e14..d46efd9 100644 (file)
--- a/README
+++ b/README
+                       The GNU Privacy Guard 2
+                      =========================
+                             Version 2.2
 
-            G10 - The GNU Encryption and Signing Tool
-           ------------------------------------------
+          Copyright 1997-2018 Werner Koch
+          Copyright 1998-2018 Free Software Foundation, Inc.
 
-    THIS IS ALPHA SOFTWARE, EXPECT BUGS AND UNIMPLEMENTED STUFF.
-    IT MAY HAPPEN THAT SOME DATA FORMATS OR PROGRAMM OPTIONS
-    CHANGE WITH THE NEXT VERSION.
 
-    On a Linux box (version 2.x.x, alpha or x86 CPU) it should
-    work reliable. You may create your key on such a machine and
-    use it.  Please verify the tar file; there is a PGP and a G10
-    signature available. My PGP key is well known and published in
-    the "Global Trust Register for 1998", ISBN 0-9532397-0-5.
+* INTRODUCTION
 
-    I have included my pubring as "g10/pubring.10", which contains
-    the key used to make G10 signatures:
-    "pub  1312G/FF3EAA0B 1998-02-09 Werner Koch <wk@isil.d.shuttle.de>"
-    "Key fingerprint = 8489 6CD0 1851 0E33 45DA  CD67 036F 11B8 FF3E AA0B"
+  GnuPG is a complete and free implementation of the OpenPGP standard
+  as defined by RFC4880 (also known as PGP).  GnuPG enables encryption
+  and signing of data and communication, and features a versatile key
+  management system as well as access modules for public key
+  directories.
 
-    You may add it to your G10 pubring and use it in the future to
-    verify new releases.  Because you verified the tar file containing
-    this file here, you can be sure that the above fingerprint is correct.
+  GnuPG, also known as GPG, is a command line tool with features for
+  easy integration with other applications.  A wealth of frontend
+  applications and libraries are available that make use of GnuPG.
+  Starting with version 2 GnuPG provides support for S/MIME and Secure
+  Shell in addition to OpenPGP.
 
+  GnuPG is Free Software (meaning that it respects your freedom). It
+  can be freely used, modified and distributed under the terms of the
+  GNU General Public License.
 
-    Please subscribe to g10@net.lut.ac.uk by sending a mail with
-    the word "subscribe" in the body to "g10-request@net.lut.ac.uk".
+  Note that the 2.0 series of GnuPG will reach end-of-life on
+  2017-12-31.  It is not possible to install a 2.2.x version along
+  with any 2.0.x version.
 
-    See the file COPYING for copyright and warranty information.
 
-    Due to the fact that G10 does not use use any patented algorithm,
-    it cannot be compatible to old PGP versions, because those use
-    IDEA (which is worldwide patented) and RSA (which is patented in
-    the United States until Sep 20, 2000).  I'm sorry about this, but
-    this is the world we have created (e.g. by using proprietary software).
+* BUILD INSTRUCTIONS
 
+  GnuPG 2.2 depends on the following GnuPG related packages:
 
-    Because the OpenPGP standard is still a draft, G10 is not yet
-    compatible to it (or PGP 5) - but it will. The data structures
-    used are compatible with PGP 2.x, so it can parse an list such files
-    and PGP should be able to parse data created by G10 and complain
-    about unsupported algorithms.
+    npth         (https://gnupg.org/ftp/gcrypt/npth/)
+    libgpg-error (https://gnupg.org/ftp/gcrypt/libgpg-error/)
+    libgcrypt    (https://gnupg.org/ftp/gcrypt/libgcrypt/)
+    libksba      (https://gnupg.org/ftp/gcrypt/libksba/)
+    libassuan    (https://gnupg.org/ftp/gcrypt/libassuan/)
 
-    The default algorithms used by G10 are ElGamal for public-key
-    encryption and signing; Blowfish with a 160 bit key for protecting
-    the secret-key components, conventional and session encryption;
-    RIPE MD-160 to create message digest.  DSA, SHA-1 and CAST are
-    also implemented, but not used on default. I decided not
-    to use DSA as default signing algorithm, because it allows only for
-    1024 bit keys and this may be not enough in a couple of years.
+  You should get the latest versions of course, the GnuPG configure
+  script complains if a version is not sufficient.
 
+  For some advanced features several other libraries are required.
+  The configure script prints diagnostic messages if one of these
+  libraries is not available and a feature will not be available..
 
+  You also need the Pinentry package for most functions of GnuPG;
+  however it is not a build requirement.  Pinentry is available at
+  https://gnupg.org/ftp/gcrypt/pinentry/ .
 
-    Installation
-    ------------
+  After building and installing the above packages in the order as
+  given above, you may continue with GnuPG installation (you may also
+  just try to build GnuPG to see whether your already installed
+  versions are sufficient).
 
-    See the file INSTALL.  Here is a quick summary:
+  As with all packages, you just have to do
 
-    1) "./configure"
+    ./configure
+    make
+    make check
+    make install
 
-    2) "make"
+  The "make check" is optional but highly recommended.  To run even
+  more tests you may add "--enable-all-tests" to the configure run.
+  Before running the "make install" you might need to become root.
 
-    3) "make install"
+  If everything succeeds, you have a working GnuPG with support for
+  OpenPGP, S/MIME, ssh-agent, and smartcards.  Note that there is no
+  binary gpg but a gpg2 so that this package won't conflict with a
+  GnuPG 1.4 installation.  gpg2 behaves just like gpg.
 
-    4) You end up with a binary "g10" in /usr/local/bin
+  In case of problem please ask on the gnupg-users@gnupg.org mailing
+  list for advise.
 
-    5) Optional, but suggested: install the program "g10" as suid root.
+  Instruction on how to build for Windows can be found in the file
+  doc/HACKING in the section "How to build an installer for Windows".
+  This requires some experience as developer.
 
-    6) Create a directory ".g10" under your home directory ("mkdir ~/.g10")
+  Note that the PKITS tests are always skipped unless you copy the
+  PKITS test data file into the tests/pkits directory.  There is no
+  need to run these test and some of them may even fail because the
+  test scripts are not yet complete.
 
+  You may run
 
+    gpgconf --list-dirs
 
+  to view the default directories used by GnuPG.
 
-    Key Generation
-    --------------
+  To quickly build all required software without installing it, the
+  Speedo method may be used:
 
-       g10 --gen-key
+    make -f build-aux/speedo.mk  native
 
-    This asks some questions and then starts key generation. To create
-    good random numbers for prime number generation, it uses a /dev/random
-    which will emit only bytes if the kernel can gather enough entropy.
-    If you see no progress, you should start some other activities such
-    as mouse moves, "find /" or using the keyboard (on another window).
-    Because we have no hardware device to generate random we have to use
-    this method.
+  This method downloads all required libraries and does a native build
+  of GnuPG to PLAY/inst/.  GNU make is required and you need to set
+  LD_LIBRARY_PATH to $(pwd)/PLAY/inst/lib to test the binaries.
 
-    Key generation shows progress by printing different characters to
-    stderr:
-            "."  Miller-Rabin test failed.
-            "+"  Miller-Rabin test succeeded.
-            "!"  Reloading the pool with fresh prime numbers
-            "^"  Checking a new value for the generator
-            "~"  Issued during generator checks
-            "<"  Size of one factor decreased
-            ">"  Size of one factor increased
+** Specific build problems on some machines:
 
-    The prime number for ElGamal is generated this way:
+*** Apple OSX 10.x using XCode
 
-    1) Make a prime number q of 160, 200, 240 bits (depending on the keysize).
-    2) Select the length of the other prime factors to be at least the size
-       of q and calculate the number of prime factors needed
-    3) Make a pool of prime number, each of the length determined in step 2
-    4) Get a new permutation out of the pool or continue with step 3
-       if we have tested all permutations.
-    5) Calculate a candidate prime p = 2 * q * p[1] * ... * p[n] + 1
-    6) Check that this prime has the correct length (this may change q if
-       it seems not to be possible to make a prime of the desired length)
-    7) Check whether this is a prime using trial divisions and the
-       Miller-Rabin test.
-    8) Continue with step 4 if we did not find a prime in step 7.
-    9) Find a generator for that prime.
+  On some versions the correct location of a header file can't be
+  detected by configure.  To fix that you should run configure like
+  this
 
-    You should make a revocation certificate in cases someone gets
-    knowledge of your secret key or you forgot your passphrase:
+    ./configure  gl_cv_absolute_stdint_h=/usr/include/stdint.h
 
-       g10 --gen-revoke your_user_id
+  Add other options as needed.
 
-    Run this command and store it away; output is always ASCII armored,
-    so that you can print it and (hopefully never) re-create it if
-    your electronic media fails.
 
+*** Systems without a full C99 compiler
 
-    You can sign a key with this command:
+  If you run into problems with your compiler complaining about dns.c
+  you may use
 
-       g10 --sign-key Donald
+    ./configure --disable-libdns
 
-    This let you sign the key of "Donald" with your default userid.
+  Add other options as needed.
 
-       g10 --sign-key -u Karl -u Joe Donald
 
-    This let you sign the key of of "Donald" with the userids of "Karl"
-    and "Joe".
-    All existing signatures are checked, if some are invalid, a menu is
-    offered to delete some of them, and the you are asked for every user
-    wether you want to sign this key.
+* MIGRATION from 1.4 or 2.0 to 2.2
 
-    You may remove a signature at any time using the option "--edit-sig",
-    which asks for the sigs to remove. Self-signatures are not removable.
+  The major change in 2.2 is gpg-agent taking care of the OpenPGP
+  secret keys (those managed by GPG).  The former file "secring.gpg"
+  will not be used anymore.  Newly generated keys are stored in the
+  agent's key store directory "~/.gnupg/private-keys-v1.d/".  The
+  first time gpg needs a secret key it checks whether a "secring.gpg"
+  exists and copies them to the new store.  The old secring.gpg is
+  kept for use by older versions of gpg.
 
+  Note that gpg-agent now uses a fixed socket.  All tools will start
+  the gpg-agent as needed.  The formerly used environment variable
+  GPG_AGENT_INFO is ignored by 2.2.  The SSH_AUTH_SOCK environment
+  variable should be set to a fixed value.
 
+  The Dirmngr is now part of GnuPG proper and also used to access
+  OpenPGP keyservers.  The directory layout of Dirmngr changed to make
+  use of the GnuPG directories.  Dirmngr is started by gpg or gpgsm as
+  needed. There is no more need to install a separate Dirmngr package.
 
+  All changes introduced with GnuPG 2.2 have been developed in the 2.1
+  series of releases.  See the respective entries in the file NEWS.
 
-    Sign
-    ----
+* RECOMMENDATIONS
 
-       g10 -s file
+** Socket directory
 
-    This creates a file file.g10 which is compressed and has a signature
-    attached.
+  GnuPG uses Unix domain sockets to connect its components (on Windows
+  an emulation of these sockets is used).  Depending on the type of
+  the file system, it is sometimes not possible to use the GnuPG home
+  directory (i.e. ~/.gnupg) as the location for the sockets.  To solve
+  this problem GnuPG prefers the use of a per-user directory below the
+  the /run (or /var/run) hierarchy for the the sockets.  It is thus
+  suggested to create per-user directories on system or session
+  startup.  For example the following snippet can be used in
+  /etc/rc.local to create these directories:
 
-       g10 -sa file
+      [ ! -d /run/user ] && mkdir /run/user
+      awk -F: </etc/passwd '$3 >= 1000 && $3 < 65000 {print $3}' \
+        | ( while read uid rest; do
+              if [ ! -d "/run/user/$uid" ]; then
+                mkdir /run/user/$uid
+                chown $uid /run/user/$uid
+                chmod 700 /run/user/$uid
+              fi
+            done )
 
-    Same as above, but file.g10 is ascii armored.
 
-       g10 -s -o out file
+* DOCUMENTATION
 
-    Creates a signature of file, but writes the output to the file "out".
+  The complete documentation is in the texinfo manual named
+  `gnupg.info'.  Run "info gnupg" to read it.  If you want a a
+  printable copy of the manual, change to the "doc" directory and
+  enter "make pdf" For a HTML version enter "make html" and point your
+  browser to gnupg.html/index.html.  Standard man pages for all
+  components are provided as well.  An online version of the manual is
+  available at [[https://gnupg.org/documentation/manuals/gnupg/]] .  A
+  version of the manual pertaining to the current development snapshot
+  is at [[https://gnupg.org/documentation/manuals/gnupg-devel/]] .
 
 
-    Encrypt
-    -------
+* Installing GnuPG 2.2. and GnuPG 1.4
 
-       g10 -e -r heine file
+  GnuPG 2.2 is a current version of GnuPG with state of the art
+  security design and many more features.  To install both versions
+  alongside, it is suggested to rename the 1.4 version of "gpg" to
+  "gpg1" as well as the corresponding man page.  Newer releases of the
+  1.4 branch will likely do this by default.  In case this is not
+  possible, the 2.2 version can be installed under the name "gpg2"
+  using the configure option --enable-gpg-is-gpg2.
 
-    This encrypts files with the public key of "heine" and writes it
-    to "file.g10"
 
-       echo "hallo" | g10 -ea -r heine | mail heine
+* HOW TO GET MORE INFORMATION
 
-    Ditto, but encrypts "hallo\n" and mails it as ascii armored message.
+  A description of new features and changes since version 2.1 can be
+  found in the file "doc/whats-new-in-2.1.txt" and online at
+  "https://gnupg.org/faq/whats-new-in-2.1.html" .
 
+  The primary WWW page is "https://gnupg.org"
+             or using Tor "http://ic6au7wa3f6naxjq.onion"
+  The primary FTP site is "https://gnupg.org/ftp/gcrypt/"
 
-    Sign and Encrypt
-    ----------------
-
-       g10 -se -r heine file
-
-    This encrypts files with the public key of "heine" and writes it
-    to "file.g10" after signing it with the default user id.
-
-
-       g10 -se -r heine -u Suttner file
-
-    Ditto, but sign the file with the user id "Suttner"
-
-
-    Keyring Management
-    ------------------
-    To export your complete keyring(s) do this:
-
-       g10 --export
-
-    To export only some user ids do this:
-
-       g10 --export userids
-
-    Use "-a" or "--armor" to create ASCII armored output.
-
-    Importing keys is done with the option, you guessed it, "--import":
-
-       g10 --import [filenames]
-
-    New keys are appended to the default keyring and already existing
-    keys are merged.  Keys without a self-signature are ignored.
-
-
-    How to Specify a UserID
-    -----------------------
-    There are several ways to specify a userID, here are some examples:
-
-    * Only by the short keyid (prepend a zero if it start with A..F):
-
-       "234567C4"
-       "0F34E556E"
-       "01347A56A"
-
-    * By a complete keyid:
-
-       "234AABBCC34567C4"
-       "0F323456784E56EAB"
-       "01AB3FED1347A5612"
-
-    * By a fingerprint (not yet implemented):
-
-       "1234343434343434C434343434343434"
-       "123434343434343C3434343434343734349A3434"
-       "0E12343434343434343434EAB3484343434343434"
-
-      The first one is MD5 the others are ripemd160 or sha1.
-
-    * By an exact string (not yet implemented):
-
-       "=Heinrich Heine <heinrichh@uni-duesseldorf.de>"
-
-    * By an email address:
-
-       "<heinrichh@uni-duesseldorf.de>"
-
-      This can be used by a keyserver instead of a substring to
-      find this key faster.
-
-    * By the Local ID (from the trustdb):
-
-       "#34"
-
-      This can be used by a MUA to specify an exact key after selecting
-      a key from G10 (by the use of a special option or an extra utility)
-
-
-    * Or by the usual substring:
-
-       "Heine"
-       "*Heine"
-
-      The '*' indicates substring search explicitly.
-
-
-
-
-    Batch mode
-    ----------
-    If you use the option "--batch", G10 runs in non-interactive mode and
-    never prompts for input data.  This even does not allow to enter
-    passphrase; until we have a better solution (something like ssh-agent),
-    you can use the option "--passhrase-fd n", which works like PGPs
-    PGPPASSFD.
-
-    Batch mode also causes G10 to terminate as soon as a BAD signature is
-    detected.
-
-
-    Exit status
-    -----------
-    G10 returns with an exit status of 1 if in batch mode and a bad signature
-    has been detected or 2 or higher for all other errors.  You should parse
-    stderr to get detailed informations about the errors.
-
-
-    Esoteric commands
-    -----------------
-
-       g10 --list-packets datafile
-
-    Use this to list the contents of a data file. If the file is encrypted
-    you are asked for the passphrase, so that G10 is able to look at the
-    inner structure of a encrypted packet.
-
-       g10maint --quick-random
-
-    Do not use the stroing random generator but a faster one.  This can be
-    used to generate keys for tests; those are marked as insecure.
-
-       g10maint --list-trustdb
-
-    List the contents of the trustdb in a human readable format
-
-       g10maint --list-trustdb  <usernames>
-
-    List the tree of certificates for the given usernames
-
-       g10maint --list-trust-path  depth  username
-
-    List the possible trust paths for the given username, up to the specified
-    depth.  If depth is negative, duplicate introducers are not listed,
-    because those would increase the trust probabilty only minimal.
-    (you must use the special option "--" to stop option parsing when
-     using a negative number). This option may create new entries in the
-    trustdb.
-
-       g10maint --print-mds  filenames
-
-    List all available message digest values for the fiven filenames
-
-       g10maint --gen-prime n
-
-    Generate and print a simple prime number of size n
-
-       g10maint --gen-prime n q
-
-    Generate a prime number suitable for ElGamal signatures of size n with
-    a q as largest primefactor of n-1.
-
-       g10maint --gen-prime n q 1
-
-    Ditto, but calculate a generator too.
-
-
-    For more options/commands see the file g10/OPTIONS, or use "g10 --help"
-
-
-    Debug Flags
-    -----------
-    Use the option "--debug n" to output debug informations. This option
-    can be used multiple times, all values are ORed; n maybe prefixed with
-    0x to use hex-values.
-
-        value  used for
-        -----  ----------------------------------------------
-         1     packet reading/writing
-         2     MPI details
-         4     ciphers and primes (may reveal sensitive data)
-         8     iobuf filter functions
-         16    iobuf stuff
-         32    memory allocation stuff
-         64    caching
-         128   show memory statistics at exit
-         256   trust verification stuff
-
-
-    Other Notes
-    -----------
-    This is work in progress, so you may find duplicated code fragments,
-    ugly data structures, weird usage of filenames and other thinks.
-    I will run "indent" over the source when making a real distribution,
-    but for now I stick to my own formatting rules.
-
-    The primary FTP site is "ftp://ftp.guug.de/pub/gcrypt/"
-    The primary WWW page is "http://www.d.shuttle.de/isil/crypt/g10.html"
-
-    If you like, send your keys to <g10-keys@isil.d.shuttle.de>; use
-    "g10 --export --armor | mail g10-keys@isil.d.shuttle.de" to do this.
-
-    Please direct bug reports to <g10-bugs@isil.d.shuttle.de> or better
-    post them to the mailing list <g10@net.lut.ac.uk>.
+  See [[https://gnupg.org/download/mirrors.html]] for a list of
+  mirrors and use them if possible.  You may also find GnuPG mirrored
+  on some of the regular GNU mirrors.
 
+  We have some mailing lists dedicated to GnuPG:
 
+     gnupg-announce@gnupg.org   For important announcements like new
+                                versions and such stuff.  This is a
+                                moderated list and has very low traffic.
+                                Do not post to this list.
+
+     gnupg-users@gnupg.org      For general user discussion and
+                                help (English).
+
+     gnupg-de@gnupg.org         German speaking counterpart of
+                                gnupg-users.
+
+     gnupg-ru@gnupg.org         Russian speaking counterpart of
+                                gnupg-users.
+
+     gnupg-devel@gnupg.org      GnuPG developers main forum.
+
+  You subscribe to one of the list by sending mail with a subject of
+  "subscribe" to x-request@gnupg.org, where x is the name of the
+  mailing list (gnupg-announce, gnupg-users, etc.). See
+  https://gnupg.org/documentation/mailing-lists.html for archives
+  of the mailing lists.
+
+  Please direct bug reports to [[https://bugs.gnupg.org]] or post them
+  direct to the mailing list <gnupg-devel@gnupg.org>.
+
+  Please direct questions about GnuPG to the users mailing list or one
+  of the PGP newsgroups; please do not direct questions to one of the
+  authors directly as we are busy working on improvements and bug
+  fixes.  The English and German mailing lists are watched by the
+  authors and we try to answer questions when time allows us.
+
+  Commercial grade support for GnuPG is available; for a listing of
+  offers see https://gnupg.org/service.html .  Maintaining and
+  improving GnuPG requires a lot of time.  Since 2001, g10 Code GmbH,
+  a German company owned and headed by GnuPG's principal author Werner
+  Koch, is bearing the majority of these costs.  To keep GnuPG in a
+  healthy state, they need your support.
+
+  Please consider to donate at https://gnupg.org/donate/ .
+
+
+# This file is Free Software; as a special exception the authors gives
+# unlimited permission to copy and/or distribute it, with or without
+# modifications, as long as this notice is preserved. For conditions
+# of the whole package, please see the file COPYING.  This file is
+# distributed in the hope that it will be useful, but WITHOUT ANY
+# WARRANTY, to the extent permitted by law; without even the implied
+# warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.
+#
+# Local Variables:
+# mode:org
+# End: