Help dirmngr to use supplied trust anchors.
[gnupg.git] / NEWS
1 Noteworthy changes in version 2.0.10 (unreleased)
2 -------------------------------------------------
3
4  * New keyserver helper gpg2keys_kdns as generic DNS CERT lookup.  Run
5    with --help for a short description.  Requires the ADNS library.
6
7  * [gpg] New mechanisms "local" and "nodefault" for --auto-key-locate.
8    Fixed a few problems with this option.
9
10  * [w32] Initialized the socket subsystem for all keyserver helpers.
11
12  * [w32] The sysconf directory has been moved from a subdirectory of
13    the installation directory to %CSIDL_COMMON_APPDATA%/GNU/etc/gnupg.
14
15  * [gpg] New command --locate-keys.
16
17  * [gpg] New options --with-sig-list and --with-sig-check.
18
19  * [gpg] The option "-sat" is no longer an alias for --clearsign.
20
21  * [gpgsm] Made --output option work with --export-secret-key-p12.
22
23  * [gpg-connect-agent] Accept commands given as command line arguments.
24
25  * [gpg] The option --fixed-list-mode is now implicitly used and obsolete.
26
27  * [gpg] New control statement %ask-passphrase for the unattended key
28    generation.
29
30  * gpgsm now uses AES by default.
31
32  * gpg-preset-passphrase works again.
33
34  * Admin PINs are cached again (bug in 2.0.9).
35
36  * Support for version 2 OpenPGP cards.
37
38  * [scdaemon] Made it more robust on W32.
39
40  * Libgcrypt 1.4 is now required.
41
42
43 Noteworthy changes in version 2.0.9 (2008-03-26)
44 ------------------------------------------------
45
46  * Gpgsm always tries to locate missing certificates from a running
47    Dirmngr's cache.
48
49  * Tweaks for Windows.
50
51  * The Admin PIN for OpenPGP cards may now be entered with the pinpad.
52
53  * Improved certificate chain construction.
54
55  * Extended the PKITS framework.
56
57  * Fixed a bug in the ambigious name detection.
58
59  * Fixed possible memory corruption while importing OpenPGP keys (bug
60    introduced with 2.0.8). [CVE-2008-1530]
61
62  * Minor bug fixes.
63
64
65 Noteworthy changes in version 2.0.8 (2007-12-20)
66 ------------------------------------------------
67
68  * Enhanced gpg-connect-agent with a small scripting language.
69
70  * New option --list-config for gpgconf.
71
72  * Fixed a crash in gpgconf.
73
74  * Gpg-agent now supports the passphrase quality bar of the latest
75    Pinentry.
76
77  * The envvars XAUTHORITY and PINENTRY_USER_DATA are now passed to the
78    Pinentry.
79
80  * Fixed the auto creation of the key stub for smartcards.  
81
82  * Fixed a rare bug in decryption using the OpenPGP card.
83
84  * Creating DSA2 keys is now possible.
85
86  * New option --extra-digest-algo for gpgsm to allow verification of
87    broken signatures.
88
89  * Allow encryption with legacy Elgamal sign+encrypt keys with option
90    --rfc2440.
91
92  * Windows is now a supported platform.
93
94  * Made sure that under Windows the file permissions of the socket are
95    taken into account.  This required a change of our socket emulation
96    code and changed the IPC protocol under Windows.
97
98
99 Noteworthy changes in version 2.0.7 (2007-09-10)
100 ------------------------------------------------
101
102  * Fixed encryption problem if duplicate certificates are in the
103    keybox.
104
105  * Made it work on Windows Vista.  Note that the entire Windows port
106    is still considered Beta.
107
108  * Add new options min-passphrase-nonalpha, check-passphrase-pattern,
109    enforce-passphrase-constraints and max-passphrase-days to
110    gpg-agent.
111
112  * Add command --check-components to gpgconf.  Gpgconf now uses the
113    installed versions of the programs and does not anymore search via
114    PATH for them.
115
116
117 Noteworthy changes in version 2.0.6 (2007-08-16)
118 ------------------------------------------------
119
120  * GPGSM does now grok --default-key.
121
122  * GPGCONF is now aware of --default-key and --encrypt-to. 
123
124  * GPGSM does again correctly print the serial number as well the the
125    various keyids.  This was broken since 2.0.4.
126
127  * New option --validation-model and support for the chain-model.
128
129  * Improved Windows support.
130
131  
132 Noteworthy changes in version 2.0.5 (2007-07-05)
133 ------------------------------------------------
134
135  * Switched license to GPLv3.
136
137  * Basic support for Windows.  Run "./autogen.sh --build-w32" to build
138    it.  As usual the mingw cross compiling toolchain is required.
139
140  * Fixed bug when using the --p12-charset without --armor.
141
142  * The command --gen-key may now be used instead of the
143    gpgsm-gencert.sh script.
144
145  * Changed key generation to reveal less information about the
146    machine.  Bug fixes for gpg2's card key generation.
147
148
149 Noteworthy changes in version 2.0.4 (2007-05-09)
150 ------------------------------------------------
151
152  * The server mode key listing commands are now also working for
153    systems without the funopen/fopencookie API.
154
155  * PKCS#12 import now tries several encodings in case the passphrase
156    was not utf-8 encoded.  New option --p12-charset for gpgsm.
157
158  * Improved the libgcrypt logging support in all modules.
159
160
161 Noteworthy changes in version 2.0.3 (2007-03-08)
162 ------------------------------------------------
163
164  * By default, do not allow processing multiple plaintexts in a single
165    stream.  Many programs that called GnuPG were assuming that GnuPG
166    did not permit this, and were thus not using the plaintext boundary
167    status tags that GnuPG provides.  This change makes GnuPG reject
168    such messages by default which makes those programs safe again.
169    --allow-multiple-messages returns to the old behavior. [CVE-2007-1263].
170
171  * New --verify-option show-primary-uid-only. 
172
173  * gpgconf may now reads a global configuration file to select which
174    options are changeable by a frontend.  The new applygnupgdefaults
175    tool may be used by an admin to set default options for all users.
176
177  * The PIN pad of the Cherry XX44 keyboard is now supported.  The
178    DINSIG and the NKS applications are now also aware of PIN pads.
179
180
181 Noteworthy changes in version 2.0.2 (2007-01-31)
182 ------------------------------------------------
183
184  * Fixed a serious and exploitable bug in processing encrypted
185    packages. [CVE-2006-6235].
186
187  * Added --passphrase-repeat to set the number of times GPG will
188    prompt for a new passphrase to be repeated.  This is useful to help
189    memorize a new passphrase.  The default is 1 repetition.
190
191  * Using a PIN pad does now also work for the signing key.
192
193  * A warning is displayed by gpg-agent if a new passphrase is too
194    short.  New option --min-passphrase-len defaults to 8.
195
196  * The status code BEGIN_SIGNING now shows the used hash algorithms.
197
198
199 Noteworthy changes in version 2.0.1 (2006-11-28)
200 ------------------------------------------------
201
202  * Experimental support for the PIN pads of the SPR 532 and the Kaan
203    Advanced card readers.  Add "disable-keypad" scdaemon.conf if you
204    don't want it.  Does currently only work for the OpenPGP card and
205    its authentication and decrypt keys.
206
207  * Fixed build problems on some some platforms and crashes on amd64.
208
209  * Fixed a buffer overflow in gpg2. [bug#728,CVE-2006-6169]
210
211
212 Noteworthy changes in version 2.0.0 (2006-11-11)
213 ------------------------------------------------
214
215  * First stable version of a GnuPG integrating OpenPGP and S/MIME.
216
217
218 Noteworthy changes in version 1.9.95 (2006-11-06)
219 -------------------------------------------------
220
221  * Minor bug fixes.
222
223
224 Noteworthy changes in version 1.9.94 (2006-10-24)
225 -------------------------------------------------
226
227  * Keys for gpgsm may now be specified using a keygrip.  A keygrip is
228    indicated by a prefixing it with an ampersand.
229
230  * gpgconf now supports switching the CMS cipher algo (e.g. to AES).
231
232  * New command --gpgconf-test for all major tools. This may be used to
233    check whether the configuration file is sane.
234
235
236 Noteworthy changes in version 1.9.93 (2006-10-18)
237 -------------------------------------------------
238
239  * In --with-validation mode gpgsm will now also ask whether a root
240    certificate should be trusted.
241
242  * Link to Pth only if really necessary.
243
244  * Fixed a pubring corruption bug in gpg2 occurring when importing
245    signatures or keys with insane lengths.
246
247  * Fixed v3 keyID calculation bug in gpg2.
248
249  * More tweaks for certificates without extensions.
250
251
252 Noteworthy changes in version 1.9.92 (2006-10-11)
253 -------------------------------------------------
254
255  * Bug fixes.
256
257
258 Noteworthy changes in version 1.9.91 (2006-10-04)
259 -------------------------------------------------
260
261  * New "relax" flag for trustlist.txt to allow root CA certificates
262    without BasicContraints.
263
264  * [gpg2] Removed the -k PGP 2 compatibility hack.  -k is now an
265    alias for --list-keys.
266
267  * [gpg2] Print a warning if "-sat" is used instead of "--clearsign".
268
269
270 Noteworthy changes in version 1.9.90 (2006-09-25)
271 -------------------------------------------------
272
273  * Made readline work for gpg.
274
275  * Cleanups und minor bug fixes.
276
277  * Included translations from gnupg 1.4.5.
278
279
280 Noteworthy changes in version 1.9.23 (2006-09-18)
281 -------------------------------------------------
282
283  * Regular man pages for most tools are now build directly from the
284    Texinfo source.
285
286  * The gpg code from 1.4.5 has been fully merged into this release.
287    The configure option --enable-gpg is still required to build this
288    gpg part.  For production use of OpenPGP the gpg version 1.4.5 is
289    still recommended.  Note, that gpg will be installed under the name
290    gpg2 to allow coexisting with an 1.4.x gpg.
291
292  * API change in gpg-agent's pkdecrypt command.  Thus an older gpgsm
293    may not be used with the current gpg-agent.
294
295  * The scdaemon will now call a script on reader status changes.
296
297  * gpgsm now allows file descriptor passing for "INPUT", "OUTPUT" and
298    "MESSAGE".
299
300  * The gpgsm server may now output a key listing to the output file
301    handle. This needs to be enabled using "OPTION list-to-output=1".
302
303  * The --output option of gpgsm has now an effect on list-keys.
304
305  * New gpgsm commands --dump-chain and list-chain.
306
307  * gpg-connect-agent has new options to utilize descriptor passing.
308
309  * A global trustlist may now be used.  See doc/examples/trustlist.txt.
310
311  * When creating a new pubring.kbx keybox common certificates are
312    imported.
313
314
315 Noteworthy changes in version 1.9.22 (2006-07-27)
316 -------------------------------------------------
317
318  * Enhanced pkcs#12 support to allow import from simple keyBags.
319
320  * Exporting to pkcs#12 now create bag attributes so that Mozilla is
321    able to import the files.
322
323  * Fixed uploading of certain keys to the smart card.
324
325
326 Noteworthy changes in version 1.9.21 (2006-06-20)
327 -------------------------------------------------
328
329  * New command APDU for scdaemon to allow using it for general card
330    access.  Might be used through gpg-connect-agent by using the SCD
331    prefix command.
332
333  * Support for the CardMan 4040 PCMCIA reader (Linux 2.6.15 required).
334
335  * Scdaemon does not anymore reset cards at the end of a connection. 
336
337  * Kludge to allow use of Bundesnetzagentur issued X.509 certificates.
338
339  * Added --hash=xxx option to scdaemon's PKSIGN command.
340
341  * Pkcs#12 files are now created with a MAC.  This is for better
342    interoperability.
343
344  * Collected bug fixes and minor other changes.
345
346
347 Noteworthy changes in version 1.9.20 (2005-12-20)
348 -------------------------------------------------
349
350  * Importing pkcs#12 files created be recent versions of Mozilla works
351    again.
352
353  * Basic support for qualified signatures.
354
355  * New debug tool gpgparsemail. 
356
357
358 Noteworthy changes in version 1.9.19 (2005-09-12)
359 -------------------------------------------------
360
361  * The Belgian eID card is now supported for signatures and ssh.
362    Other pkcs#15 cards should work as well.
363
364  * Fixed bug in --export-secret-key-p12 so that certificates are again
365    included.
366
367
368 Noteworthy changes in version 1.9.18 (2005-08-01)
369 -------------------------------------------------
370
371  * [gpgsm] Now allows for more than one email address as well as URIs
372    and dnsNames in certificate request generation.  A keygrip may be
373    given to create a request from an existing key.
374
375  * A couple of minor bug fixes.
376
377
378 Noteworthy changes in version 1.9.17 (2005-06-20)
379 -------------------------------------------------
380
381  * gpg-connect-agent has now features to handle Assuan INQUIRE
382    commands.
383
384  * Internal changes for OpenPGP cards. New Assuan command WRITEKEY.
385
386  * GNU Pth is now a hard requirement.
387
388  * [scdaemon] Support for OpenSC has been removed.  Instead a new and
389    straightforward pkcs#15 modules has been written.  As of now it
390    does allows only signing using TCOS cards but we are going to
391    enhance it to match all the old capabilities.
392
393  * [gpg-agent] New option --write-env-file and Assuan command
394    UPDATESTARTUPTTY.
395
396  * [gpg-agent] New option --default-cache-ttl-ssh to set the TTL for
397    SSH passphrase caching independent from the other passphrases.
398
399
400 Noteworthy changes in version 1.9.16 (2005-04-21)
401 -------------------------------------------------
402
403  * gpg-agent does now support the ssh-agent protocol and thus allows
404    to use the pinentry as well as the OpenPGP smartcard with ssh.
405
406  * New tool gpg-connect-agent as a general client for the gpg-agent.
407
408  * New tool symcryptrun as a wrapper for certain encryption tools.
409
410  * The gpg tool is not anymore build by default because those gpg
411    versions available in the gnupg 1.4 series are far more matured.
412
413
414 Noteworthy changes in version 1.9.15 (2005-01-13)
415 -------------------------------------------------
416
417  * Fixed passphrase caching bug.
418
419  * Better support for CCID readers; the reader from Cherry RS 6700 USB
420    does now work.
421
422
423 Noteworthy changes in version 1.9.14 (2004-12-22)
424 -------------------------------------------------
425
426  * [gpg-agent] New option --use-standard-socket to allow the use of a
427    fixed socket.  gpgsm falls back to this socket if GPG_AGENT_INFO
428    has not been set.
429
430  * Ported to MS Windows with some functional limitations.
431
432  * New tool gpg-preset-passphrase.
433
434
435 Noteworthy changes in version 1.9.13 (2004-12-03)
436 -------------------------------------------------
437
438  * [gpgsm] New option --prefer-system-dirmngr.
439
440  * Minor cleanups and debugging aids.
441
442
443 Noteworthy changes in version 1.9.12 (2004-10-22)
444 -------------------------------------------------
445
446  * [scdaemon] Partly rewrote the PC/SC code.
447
448  * Removed the sc-investigate tool.  It is now in a separate package
449    available at ftp://ftp.g10code.com/g10code/gscutils/ .
450
451  * [gpg-agent] Fixed logging problem.
452
453
454 Noteworthy changes in version 1.9.11 (2004-10-01)
455 -------------------------------------------------
456
457  * When using --import along with --with-validation, the imported
458    certificates are validated and only imported if they are fully
459    valid.
460
461  * [gpg-agent] New option --max-cache-ttl.
462
463  * [gpg-agent] When used without --daemon or --server, gpg-agent now
464    check whether a agent is already running and usable.
465
466  * Fixed some i18n problems.
467
468
469 Noteworthy changes in version 1.9.10 (2004-07-22)
470 -------------------------------------------------
471
472  * Fixed a serious bug in the checking of trusted root certificates.
473
474  * New configure option --enable-agent-pnly allows to build and
475    install just the agent.
476
477  * Fixed a problem with the log file handling.
478
479
480 Noteworthy changes in version 1.9.9 (2004-06-08)
481 ------------------------------------------------
482
483  * [gpg-agent] The new option --allow-mark-trusted is now required to
484    allow gpg-agent to add a key to the trustlist.txt after user
485    confirmation.
486
487  * Creating PKCS#10 requests does now honor the key usage.
488
489
490 Noteworthy changes in version 1.9.8 (2004-04-29)
491 ------------------------------------------------
492
493  * [scdaemon] Overhauled the internal CCID driver.
494
495  * [scdaemon] Status files named ~/.gnupg/reader_<n>.status are now
496    written when using the internal CCID driver.
497
498  * [gpgsm] New commands --dump-{,secret,external}-keys to show a very
499    detailed view of the certificates.
500
501  * The keybox gets now compressed after 3 hours and ephemeral
502    stored certificates are deleted after about a day.
503
504  * [gpg] Usability fixes for --card-edit.  Note, that this has already
505    been ported back to gnupg-1.3
506
507
508 Noteworthy changes in version 1.9.7 (2004-04-06)
509 ------------------------------------------------
510
511  * Instrumented the modules for gpgconf.
512
513  * Added support for DINSIG card applications.
514
515  * Include the smimeCapabilities attribute with signed messages.
516
517  * Now uses the gettext domain "gnupg2" to avoid conflicts with gnupg
518    versions < 1.9.
519
520
521 Noteworthy changes in version 1.9.6 (2004-03-06)
522 ------------------------------------------------
523
524  * Code cleanups and bug fixes.
525
526
527 Noteworthy changes in version 1.9.5 (2004-02-21)
528 ------------------------------------------------
529
530  * gpg-protect-tool gets now installed into libexec as it ought to be.
531    Cleaned up the build system to better comply with the coding
532    standards.
533
534  * [gpgsm] The --import command is now able to autodetect pkcs#12
535    files and import secret and private keys from this file format.
536    A new command --export-secret-key-p12 is provided to allow
537    exporting of secret keys in PKCS\#12 format.
538
539  * [gpgsm] The pinentry will now present a description of the key for
540    whom the passphrase is requested.
541
542  * [gpgsm] New option --with-validation to check the validity of key
543    while listing it.
544
545  * New option --debug-level={none,basic,advanced,expert,guru} to map
546    the debug flags to sensitive levels on a per program base.
547
548
549 Noteworthy changes in version 1.9.4 (2004-01-30)
550 ------------------------------------------------
551
552  * Added support for the Telesec NKS 2.0 card application.
553
554  * Added simple tool addgnupghome to create .gnupg directories from
555    /etc/skel/.gnupg.
556
557  * Various minor bug fixes and cleanups; mainly gpgsm and gpg-agent
558    related.
559
560
561 Noteworthy changes in version 1.9.3 (2003-12-23)
562 ------------------------------------------------
563
564  * New gpgsm options --{enable,disable}-ocsp to validate keys using
565    OCSP. This option requires a not yet released DirMngr version.
566    Default is disabled.
567
568  * The --log-file option may now be used to print logs to a socket.
569    Prefix the socket name with "socket://" to enable this.  This does
570    not work on all systems and falls back to stderr if there is a
571    problem with the socket.
572
573  * The options --encrypt-to and --no-encrypt-to now work the same in
574    gpgsm as in gpg.  Note, they are also used in server mode.
575
576  * Duplicated recipients are now silently removed in gpgsm.
577
578
579 Noteworthy changes in version 1.9.2 (2003-11-17)
580 ------------------------------------------------
581
582  * On card key generation is no longer done using the --gen-key
583    command but from the menu provided by the new --card-edit command.
584
585  * PINs are now properly cached and there are only 2 PINs visible.
586    The 3rd PIN (CHV2) is internally syncronized with the regular PIN.
587
588  * All kind of other internal stuff.
589
590
591 Noteworthy changes in version 1.9.1 (2003-09-06)
592 ------------------------------------------------
593
594  * Support for OpenSC is back. scdaemon supports a --disable-opensc to
595    disable OpenSC use at runtime, so that PC/SC or ct-API can still be
596    used directly.
597
598  * Rudimentary support for the SCR335 smartcard reader using an
599    internal driver.  Requires current libusb from CVS.
600
601  * Bug fixes.
602
603
604 Noteworthy changes in version 1.9.0 (2003-08-05)
605 ------------------------------------------------
606
607       ====== PLEASE SEE README-alpha =======
608
609  * gpg has been renamed to gpg2 and gpgv to gpgv2.  This is a
610    temporary change to allow co-existing with stable gpg versions.
611
612  * ~/.gnupg/gpg.conf-1.9.0 is fist tried as config file before the
613    usual gpg.conf.
614
615  * Removed the -k, -kv and -kvv commands.  -k is now an alias to
616    --list-keys.  New command -K as alias for --list-secret-keys.
617
618  * Removed --run-as-shm-coprocess feature.
619
620  * gpg does now also use libgcrypt, libgpg-error is required.
621
622  * New gpgsm commands --call-dirmngr and --call-protect-tool.
623
624  * Changing a passphrase is now possible using "gpgsm --passwd"
625
626  * The content-type attribute is now recognized and created.
627
628  * The agent does now reread certain options on receiving a HUP.
629
630  * The pinentry is now forked for each request so that clients with
631    different environments are supported.  When running in daemon mode
632    and --keep-display is not used the DISPLAY variable is ignored.
633
634  * Merged stuff from the newpg branch and started this new
635    development branch.
636
637
638  Copyright 2002, 2003, 2004, 2005, 2006, 2007 Free Software Foundation, Inc.
639
640  This file is free software; as a special exception the author gives
641  unlimited permission to copy and/or distribute it, with or without
642  modifications, as long as this notice is preserved.
643
644  This file is distributed in the hope that it will be useful, but
645  WITHOUT ANY WARRANTY, to the extent permitted by law; without even the
646  implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.