Support the Certifciate DO of the v2 OpenPGP cards.
[gnupg.git] / NEWS
1 Noteworthy changes in version 2.0.10 (unreleased)
2 -------------------------------------------------
3
4  * New keyserver helper gpg2keys_kdns as generic DNS CERT lookup.  Run
5    with --help for a short description.  Requires the ADNS library.
6
7  * New mechanisms "local" and "nodefault" for --auto-key-locate [gpg].
8    Fixed a few problems with this option.
9
10  * [W32] Initialized the socket subsystem for all keyserver helpers.
11
12  * [W32] The sysconf directory has been moved from a subdirectory of
13    the installation directory to %CSIDL_COMMON_APPDATA%/GNU/etc/gnupg.
14
15  * New gpg2 command --locate-keys.
16
17  * New gpg2 options --with-sig-list and --with-sig-check.
18
19  * Made gpgsm's --output option work with --export-secret-key-p12.
20
21  * gpg-connect-agent accepts commands given as command line arguments.
22
23  * The gpg2 option --fixed-list-mode is now implicitly used and obsolete.
24
25  * New control statement %ask-passphrase for the unattended key
26    generation of gpg2.
27
28  * gpgsm now uses AES by default.
29
30  * gpg-preset-passphrase works again.
31
32
33 Noteworthy changes in version 2.0.9 (2008-03-26)
34 ------------------------------------------------
35
36  * Gpgsm always tries to locate missing certificates from a running
37    Dirmngr's cache.
38
39  * Tweaks for Windows.
40
41  * The Admin PIN for OpenPGP cards may now be entered with the pinpad.
42
43  * Improved certificate chain construction.
44
45  * Extended the PKITS framework.
46
47  * Fixed a bug in the ambigious name detection.
48
49  * Fixed possible memory corruption while importing OpenPGP keys (bug
50    introduced with 2.0.8). [CVE-2008-1530]
51
52  * Minor bug fixes.
53
54
55 Noteworthy changes in version 2.0.8 (2007-12-20)
56 ------------------------------------------------
57
58  * Enhanced gpg-connect-agent with a small scripting language.
59
60  * New option --list-config for gpgconf.
61
62  * Fixed a crash in gpgconf.
63
64  * Gpg-agent now supports the passphrase quality bar of the latest
65    Pinentry.
66
67  * The envvars XAUTHORITY and PINENTRY_USER_DATA are now passed to the
68    Pinentry.
69
70  * Fixed the auto creation of the key stub for smartcards.  
71
72  * Fixed a rare bug in decryption using the OpenPGP card.
73
74  * Creating DSA2 keys is now possible.
75
76  * New option --extra-digest-algo for gpgsm to allow verification of
77    broken signatures.
78
79  * Allow encryption with legacy Elgamal sign+encrypt keys with option
80    --rfc2440.
81
82  * Windows is now a supported platform.
83
84  * Made sure that under Windows the file permissions of the socket are
85    taken into account.  This required a change of our socket emulation
86    code and changed the IPC protocol under Windows.
87
88
89 Noteworthy changes in version 2.0.7 (2007-09-10)
90 ------------------------------------------------
91
92  * Fixed encryption problem if duplicate certificates are in the
93    keybox.
94
95  * Made it work on Windows Vista.  Note that the entire Windows port
96    is still considered Beta.
97
98  * Add new options min-passphrase-nonalpha, check-passphrase-pattern,
99    enforce-passphrase-constraints and max-passphrase-days to
100    gpg-agent.
101
102  * Add command --check-components to gpgconf.  Gpgconf now uses the
103    installed versions of the programs and does not anymore search via
104    PATH for them.
105
106
107 Noteworthy changes in version 2.0.6 (2007-08-16)
108 ------------------------------------------------
109
110  * GPGSM does now grok --default-key.
111
112  * GPGCONF is now aware of --default-key and --encrypt-to. 
113
114  * GPGSM does again correctly print the serial number as well the the
115    various keyids.  This was broken since 2.0.4.
116
117  * New option --validation-model and support for the chain-model.
118
119  * Improved Windows support.
120
121  
122 Noteworthy changes in version 2.0.5 (2007-07-05)
123 ------------------------------------------------
124
125  * Switched license to GPLv3.
126
127  * Basic support for Windows.  Run "./autogen.sh --build-w32" to build
128    it.  As usual the mingw cross compiling toolchain is required.
129
130  * Fixed bug when using the --p12-charset without --armor.
131
132  * The command --gen-key may now be used instead of the
133    gpgsm-gencert.sh script.
134
135  * Changed key generation to reveal less information about the
136    machine.  Bug fixes for gpg2's card key generation.
137
138
139 Noteworthy changes in version 2.0.4 (2007-05-09)
140 ------------------------------------------------
141
142  * The server mode key listing commands are now also working for
143    systems without the funopen/fopencookie API.
144
145  * PKCS#12 import now tries several encodings in case the passphrase
146    was not utf-8 encoded.  New option --p12-charset for gpgsm.
147
148  * Improved the libgcrypt logging support in all modules.
149
150
151 Noteworthy changes in version 2.0.3 (2007-03-08)
152 ------------------------------------------------
153
154  * By default, do not allow processing multiple plaintexts in a single
155    stream.  Many programs that called GnuPG were assuming that GnuPG
156    did not permit this, and were thus not using the plaintext boundary
157    status tags that GnuPG provides.  This change makes GnuPG reject
158    such messages by default which makes those programs safe again.
159    --allow-multiple-messages returns to the old behavior. [CVE-2007-1263].
160
161  * New --verify-option show-primary-uid-only. 
162
163  * gpgconf may now reads a global configuration file to select which
164    options are changeable by a frontend.  The new applygnupgdefaults
165    tool may be used by an admin to set default options for all users.
166
167  * The PIN pad of the Cherry XX44 keyboard is now supported.  The
168    DINSIG and the NKS applications are now also aware of PIN pads.
169
170
171 Noteworthy changes in version 2.0.2 (2007-01-31)
172 ------------------------------------------------
173
174  * Fixed a serious and exploitable bug in processing encrypted
175    packages. [CVE-2006-6235].
176
177  * Added --passphrase-repeat to set the number of times GPG will
178    prompt for a new passphrase to be repeated.  This is useful to help
179    memorize a new passphrase.  The default is 1 repetition.
180
181  * Using a PIN pad does now also work for the signing key.
182
183  * A warning is displayed by gpg-agent if a new passphrase is too
184    short.  New option --min-passphrase-len defaults to 8.
185
186  * The status code BEGIN_SIGNING now shows the used hash algorithms.
187
188
189 Noteworthy changes in version 2.0.1 (2006-11-28)
190 ------------------------------------------------
191
192  * Experimental support for the PIN pads of the SPR 532 and the Kaan
193    Advanced card readers.  Add "disable-keypad" scdaemon.conf if you
194    don't want it.  Does currently only work for the OpenPGP card and
195    its authentication and decrypt keys.
196
197  * Fixed build problems on some some platforms and crashes on amd64.
198
199  * Fixed a buffer overflow in gpg2. [bug#728,CVE-2006-6169]
200
201
202 Noteworthy changes in version 2.0.0 (2006-11-11)
203 ------------------------------------------------
204
205  * First stable version of a GnuPG integrating OpenPGP and S/MIME.
206
207
208 Noteworthy changes in version 1.9.95 (2006-11-06)
209 -------------------------------------------------
210
211  * Minor bug fixes.
212
213
214 Noteworthy changes in version 1.9.94 (2006-10-24)
215 -------------------------------------------------
216
217  * Keys for gpgsm may now be specified using a keygrip.  A keygrip is
218    indicated by a prefixing it with an ampersand.
219
220  * gpgconf now supports switching the CMS cipher algo (e.g. to AES).
221
222  * New command --gpgconf-test for all major tools. This may be used to
223    check whether the configuration file is sane.
224
225
226 Noteworthy changes in version 1.9.93 (2006-10-18)
227 -------------------------------------------------
228
229  * In --with-validation mode gpgsm will now also ask whether a root
230    certificate should be trusted.
231
232  * Link to Pth only if really necessary.
233
234  * Fixed a pubring corruption bug in gpg2 occurring when importing
235    signatures or keys with insane lengths.
236
237  * Fixed v3 keyID calculation bug in gpg2.
238
239  * More tweaks for certificates without extensions.
240
241
242 Noteworthy changes in version 1.9.92 (2006-10-11)
243 -------------------------------------------------
244
245  * Bug fixes.
246
247
248 Noteworthy changes in version 1.9.91 (2006-10-04)
249 -------------------------------------------------
250
251  * New "relax" flag for trustlist.txt to allow root CA certificates
252    without BasicContraints.
253
254  * [gpg2] Removed the -k PGP 2 compatibility hack.  -k is now an
255    alias for --list-keys.
256
257  * [gpg2] Print a warning if "-sat" is used instead of "--clearsign".
258
259
260 Noteworthy changes in version 1.9.90 (2006-09-25)
261 -------------------------------------------------
262
263  * Made readline work for gpg.
264
265  * Cleanups und minor bug fixes.
266
267  * Included translations from gnupg 1.4.5.
268
269
270 Noteworthy changes in version 1.9.23 (2006-09-18)
271 -------------------------------------------------
272
273  * Regular man pages for most tools are now build directly from the
274    Texinfo source.
275
276  * The gpg code from 1.4.5 has been fully merged into this release.
277    The configure option --enable-gpg is still required to build this
278    gpg part.  For production use of OpenPGP the gpg version 1.4.5 is
279    still recommended.  Note, that gpg will be installed under the name
280    gpg2 to allow coexisting with an 1.4.x gpg.
281
282  * API change in gpg-agent's pkdecrypt command.  Thus an older gpgsm
283    may not be used with the current gpg-agent.
284
285  * The scdaemon will now call a script on reader status changes.
286
287  * gpgsm now allows file descriptor passing for "INPUT", "OUTPUT" and
288    "MESSAGE".
289
290  * The gpgsm server may now output a key listing to the output file
291    handle. This needs to be enabled using "OPTION list-to-output=1".
292
293  * The --output option of gpgsm has now an effect on list-keys.
294
295  * New gpgsm commands --dump-chain and list-chain.
296
297  * gpg-connect-agent has new options to utilize descriptor passing.
298
299  * A global trustlist may now be used.  See doc/examples/trustlist.txt.
300
301  * When creating a new pubring.kbx keybox common certificates are
302    imported.
303
304
305 Noteworthy changes in version 1.9.22 (2006-07-27)
306 -------------------------------------------------
307
308  * Enhanced pkcs#12 support to allow import from simple keyBags.
309
310  * Exporting to pkcs#12 now create bag attributes so that Mozilla is
311    able to import the files.
312
313  * Fixed uploading of certain keys to the smart card.
314
315
316 Noteworthy changes in version 1.9.21 (2006-06-20)
317 -------------------------------------------------
318
319  * New command APDU for scdaemon to allow using it for general card
320    access.  Might be used through gpg-connect-agent by using the SCD
321    prefix command.
322
323  * Support for the CardMan 4040 PCMCIA reader (Linux 2.6.15 required).
324
325  * Scdaemon does not anymore reset cards at the end of a connection. 
326
327  * Kludge to allow use of Bundesnetzagentur issued X.509 certificates.
328
329  * Added --hash=xxx option to scdaemon's PKSIGN command.
330
331  * Pkcs#12 files are now created with a MAC.  This is for better
332    interoperability.
333
334  * Collected bug fixes and minor other changes.
335
336
337 Noteworthy changes in version 1.9.20 (2005-12-20)
338 -------------------------------------------------
339
340  * Importing pkcs#12 files created be recent versions of Mozilla works
341    again.
342
343  * Basic support for qualified signatures.
344
345  * New debug tool gpgparsemail. 
346
347
348 Noteworthy changes in version 1.9.19 (2005-09-12)
349 -------------------------------------------------
350
351  * The Belgian eID card is now supported for signatures and ssh.
352    Other pkcs#15 cards should work as well.
353
354  * Fixed bug in --export-secret-key-p12 so that certificates are again
355    included.
356
357
358 Noteworthy changes in version 1.9.18 (2005-08-01)
359 -------------------------------------------------
360
361  * [gpgsm] Now allows for more than one email address as well as URIs
362    and dnsNames in certificate request generation.  A keygrip may be
363    given to create a request from an existing key.
364
365  * A couple of minor bug fixes.
366
367
368 Noteworthy changes in version 1.9.17 (2005-06-20)
369 -------------------------------------------------
370
371  * gpg-connect-agent has now features to handle Assuan INQUIRE
372    commands.
373
374  * Internal changes for OpenPGP cards. New Assuan command WRITEKEY.
375
376  * GNU Pth is now a hard requirement.
377
378  * [scdaemon] Support for OpenSC has been removed.  Instead a new and
379    straightforward pkcs#15 modules has been written.  As of now it
380    does allows only signing using TCOS cards but we are going to
381    enhance it to match all the old capabilities.
382
383  * [gpg-agent] New option --write-env-file and Assuan command
384    UPDATESTARTUPTTY.
385
386  * [gpg-agent] New option --default-cache-ttl-ssh to set the TTL for
387    SSH passphrase caching independent from the other passphrases.
388
389
390 Noteworthy changes in version 1.9.16 (2005-04-21)
391 -------------------------------------------------
392
393  * gpg-agent does now support the ssh-agent protocol and thus allows
394    to use the pinentry as well as the OpenPGP smartcard with ssh.
395
396  * New tool gpg-connect-agent as a general client for the gpg-agent.
397
398  * New tool symcryptrun as a wrapper for certain encryption tools.
399
400  * The gpg tool is not anymore build by default because those gpg
401    versions available in the gnupg 1.4 series are far more matured.
402
403
404 Noteworthy changes in version 1.9.15 (2005-01-13)
405 -------------------------------------------------
406
407  * Fixed passphrase caching bug.
408
409  * Better support for CCID readers; the reader from Cherry RS 6700 USB
410    does now work.
411
412
413 Noteworthy changes in version 1.9.14 (2004-12-22)
414 -------------------------------------------------
415
416  * [gpg-agent] New option --use-standard-socket to allow the use of a
417    fixed socket.  gpgsm falls back to this socket if GPG_AGENT_INFO
418    has not been set.
419
420  * Ported to MS Windows with some functional limitations.
421
422  * New tool gpg-preset-passphrase.
423
424
425 Noteworthy changes in version 1.9.13 (2004-12-03)
426 -------------------------------------------------
427
428  * [gpgsm] New option --prefer-system-dirmngr.
429
430  * Minor cleanups and debugging aids.
431
432
433 Noteworthy changes in version 1.9.12 (2004-10-22)
434 -------------------------------------------------
435
436  * [scdaemon] Partly rewrote the PC/SC code.
437
438  * Removed the sc-investigate tool.  It is now in a separate package
439    available at ftp://ftp.g10code.com/g10code/gscutils/ .
440
441  * [gpg-agent] Fixed logging problem.
442
443
444 Noteworthy changes in version 1.9.11 (2004-10-01)
445 -------------------------------------------------
446
447  * When using --import along with --with-validation, the imported
448    certificates are validated and only imported if they are fully
449    valid.
450
451  * [gpg-agent] New option --max-cache-ttl.
452
453  * [gpg-agent] When used without --daemon or --server, gpg-agent now
454    check whether a agent is already running and usable.
455
456  * Fixed some i18n problems.
457
458
459 Noteworthy changes in version 1.9.10 (2004-07-22)
460 -------------------------------------------------
461
462  * Fixed a serious bug in the checking of trusted root certificates.
463
464  * New configure option --enable-agent-pnly allows to build and
465    install just the agent.
466
467  * Fixed a problem with the log file handling.
468
469
470 Noteworthy changes in version 1.9.9 (2004-06-08)
471 ------------------------------------------------
472
473  * [gpg-agent] The new option --allow-mark-trusted is now required to
474    allow gpg-agent to add a key to the trustlist.txt after user
475    confirmation.
476
477  * Creating PKCS#10 requests does now honor the key usage.
478
479
480 Noteworthy changes in version 1.9.8 (2004-04-29)
481 ------------------------------------------------
482
483  * [scdaemon] Overhauled the internal CCID driver.
484
485  * [scdaemon] Status files named ~/.gnupg/reader_<n>.status are now
486    written when using the internal CCID driver.
487
488  * [gpgsm] New commands --dump-{,secret,external}-keys to show a very
489    detailed view of the certificates.
490
491  * The keybox gets now compressed after 3 hours and ephemeral
492    stored certificates are deleted after about a day.
493
494  * [gpg] Usability fixes for --card-edit.  Note, that this has already
495    been ported back to gnupg-1.3
496
497
498 Noteworthy changes in version 1.9.7 (2004-04-06)
499 ------------------------------------------------
500
501  * Instrumented the modules for gpgconf.
502
503  * Added support for DINSIG card applications.
504
505  * Include the smimeCapabilities attribute with signed messages.
506
507  * Now uses the gettext domain "gnupg2" to avoid conflicts with gnupg
508    versions < 1.9.
509
510
511 Noteworthy changes in version 1.9.6 (2004-03-06)
512 ------------------------------------------------
513
514  * Code cleanups and bug fixes.
515
516
517 Noteworthy changes in version 1.9.5 (2004-02-21)
518 ------------------------------------------------
519
520  * gpg-protect-tool gets now installed into libexec as it ought to be.
521    Cleaned up the build system to better comply with the coding
522    standards.
523
524  * [gpgsm] The --import command is now able to autodetect pkcs#12
525    files and import secret and private keys from this file format.
526    A new command --export-secret-key-p12 is provided to allow
527    exporting of secret keys in PKCS\#12 format.
528
529  * [gpgsm] The pinentry will now present a description of the key for
530    whom the passphrase is requested.
531
532  * [gpgsm] New option --with-validation to check the validity of key
533    while listing it.
534
535  * New option --debug-level={none,basic,advanced,expert,guru} to map
536    the debug flags to sensitive levels on a per program base.
537
538
539 Noteworthy changes in version 1.9.4 (2004-01-30)
540 ------------------------------------------------
541
542  * Added support for the Telesec NKS 2.0 card application.
543
544  * Added simple tool addgnupghome to create .gnupg directories from
545    /etc/skel/.gnupg.
546
547  * Various minor bug fixes and cleanups; mainly gpgsm and gpg-agent
548    related.
549
550
551 Noteworthy changes in version 1.9.3 (2003-12-23)
552 ------------------------------------------------
553
554  * New gpgsm options --{enable,disable}-ocsp to validate keys using
555    OCSP. This option requires a not yet released DirMngr version.
556    Default is disabled.
557
558  * The --log-file option may now be used to print logs to a socket.
559    Prefix the socket name with "socket://" to enable this.  This does
560    not work on all systems and falls back to stderr if there is a
561    problem with the socket.
562
563  * The options --encrypt-to and --no-encrypt-to now work the same in
564    gpgsm as in gpg.  Note, they are also used in server mode.
565
566  * Duplicated recipients are now silently removed in gpgsm.
567
568
569 Noteworthy changes in version 1.9.2 (2003-11-17)
570 ------------------------------------------------
571
572  * On card key generation is no longer done using the --gen-key
573    command but from the menu provided by the new --card-edit command.
574
575  * PINs are now properly cached and there are only 2 PINs visible.
576    The 3rd PIN (CHV2) is internally syncronized with the regular PIN.
577
578  * All kind of other internal stuff.
579
580
581 Noteworthy changes in version 1.9.1 (2003-09-06)
582 ------------------------------------------------
583
584  * Support for OpenSC is back. scdaemon supports a --disable-opensc to
585    disable OpenSC use at runtime, so that PC/SC or ct-API can still be
586    used directly.
587
588  * Rudimentary support for the SCR335 smartcard reader using an
589    internal driver.  Requires current libusb from CVS.
590
591  * Bug fixes.
592
593
594 Noteworthy changes in version 1.9.0 (2003-08-05)
595 ------------------------------------------------
596
597       ====== PLEASE SEE README-alpha =======
598
599  * gpg has been renamed to gpg2 and gpgv to gpgv2.  This is a
600    temporary change to allow co-existing with stable gpg versions.
601
602  * ~/.gnupg/gpg.conf-1.9.0 is fist tried as config file before the
603    usual gpg.conf.
604
605  * Removed the -k, -kv and -kvv commands.  -k is now an alias to
606    --list-keys.  New command -K as alias for --list-secret-keys.
607
608  * Removed --run-as-shm-coprocess feature.
609
610  * gpg does now also use libgcrypt, libgpg-error is required.
611
612  * New gpgsm commands --call-dirmngr and --call-protect-tool.
613
614  * Changing a passphrase is now possible using "gpgsm --passwd"
615
616  * The content-type attribute is now recognized and created.
617
618  * The agent does now reread certain options on receiving a HUP.
619
620  * The pinentry is now forked for each request so that clients with
621    different environments are supported.  When running in daemon mode
622    and --keep-display is not used the DISPLAY variable is ignored.
623
624  * Merged stuff from the newpg branch and started this new
625    development branch.
626
627
628  Copyright 2002, 2003, 2004, 2005, 2006, 2007 Free Software Foundation, Inc.
629
630  This file is free software; as a special exception the author gives
631  unlimited permission to copy and/or distribute it, with or without
632  modifications, as long as this notice is preserved.
633
634  This file is distributed in the hope that it will be useful, but
635  WITHOUT ANY WARRANTY, to the extent permitted by law; without even the
636  implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.