f4a6918764d172fb17deba880305a3ca79717515
[gnupg.git] / NEWS
1 Noteworthy changes in version 2.1.2 (unreleased)
2 ------------------------------------------------
3
4  * agent: When setting --default-cache-ttl the value for
5    --max-cache-ttl is adjusted to be not lower than the former.
6
7
8 Noteworthy changes in version 2.1.1 (2014-12-16)
9 ------------------------------------------------
10
11  * gpg: Detect faulty use of --verify on detached signatures.
12
13  * gpg: New import option "keep-ownertrust".
14
15  * gpg: New sub-command "factory-reset" for --card-edit.
16
17  * gpg: A stub key for smartcards is now created by --card-status.
18
19  * gpg: Fixed regression in --refresh-keys.
20
21  * gpg: Fixed regresion in %g and %p codes for --sig-notation.
22
23  * gpg: Fixed best matching hash algo detection for ECDSA and EdDSA.
24
25  * gpg: Improved perceived speed of secret key listisngs.
26
27  * gpg: Print number of skipped PGP-2 keys on import.
28
29  * gpg: Removed the option aliases --throw-keyid and --notation-data;
30    use --throw-keyids and --set-notation instead.
31
32  * gpg: New import option "keep-ownertrust".
33
34  * gpg: Skip too large keys during import.
35
36  * gpg,gpgsm: New option --no-autostart to avoid starting gpg-agent or
37    dirmngr.
38
39  * gpg-agent: New option --extra-socket to provide a restricted
40    command set for use with remote clients.
41
42  * gpgconf --kill does not anymore start a service only to kill it.
43
44  * gpg-pconnect-agent: Add convenience option --uiserver.
45
46  * Fixed keyserver access for Windows.
47
48  * Fixed build problems on Mac OS X
49
50  * The Windows installer does now install development files
51
52  * More translations (but most of them are not complete).
53
54  * To support remotely mounted home directories, the IPC sockets may
55    now be redirected.  This feature requires Libassuan 2.2.0.
56
57  * Improved portability and the usual bunch of bug fixes.
58
59
60 Noteworthy changes in version 2.1.0 (2014-11-06)
61 ------------------------------------------------
62
63  This release introduces a lot of changes.  Most of them are internal
64  and thus not user visible.  However, some long standing behavior has
65  slightly changed and it is strongly suggested that an existing
66  "~/.gnupg" directory is backed up before this version is used.
67
68  A verbose description of the major new features and changes can be
69  found in the file doc/whats-new-in-2.1.txt.
70
71  * gpg: All support for v3 (PGP 2) keys has been dropped.  All
72    signatures are now created as v4 signatures.  v3 keys will be
73    removed from the keyring.
74
75  * gpg: With pinentry-0.9.0 the passphrase "enter again" prompt shows
76    up in the same window as the "new passphrase" prompt.
77
78  * gpg: Allow importing keys with duplicated long key ids.
79
80  * dirmngr: May now be build without support for LDAP.
81
82  * For a complete list of changes see the lists of changes for the
83    2.1.0 beta versions below.  Note that all relevant fixes from
84    versions 2.0.14 to 2.0.26 are also applied to this version.
85
86
87  [Noteworthy changes in version 2.1.0-beta864 (2014-10-03)]
88
89  * gpg: Removed the GPG_AGENT_INFO related code.  GnuPG does now
90    always use a fixed socket name in its home directory.
91
92  * gpg: Renamed --gen-key to --full-gen-key and re-added a --gen-key
93    command with less choices.
94
95  * gpg: Use SHA-256 for all signature types also on RSA keys.
96
97  * gpg: Default keyring is now created with a .kbx suffix.
98
99  * gpg: Add a shortcut to the key capabilies menu (e.g. "=e" sets the
100    encryption capabilities).
101
102  * gpg: Fixed obsolete options parsing.
103
104  * Further improvements for the alternative speedo build system.
105
106
107  [Noteworthy changes in version 2.1.0-beta834 (2014-09-18)]
108
109  * gpg: Improved passphrase caching.
110
111  * gpg: Switched to algorithm number 22 for EdDSA.
112
113  * gpg: Removed CAST5 from the default preferences.
114
115  * gpg: Order SHA-1 last in the hash preferences.
116
117  * gpg: Changed default cipher for --symmetric to AES-128.
118
119  * gpg: Fixed export of ECC keys and import of EdDSA keys.
120
121  * dirmngr: Fixed the KS_FETCH command.
122
123  * The speedo build system now downloads related packages and works
124    for non-Windows platforms.
125
126
127  [Noteworthy changes in version 2.1.0-beta783 (2014-08-14)]
128
129  * gpg: Add command --quick-gen-key.
130
131  * gpg: Make --quick-sign-key promote local key signatures.
132
133  * gpg: Added "show-usage" sub-option to --list-options.
134
135  * gpg: Screen keyserver responses to avoid importing unwanted keys
136    from rogue servers.
137
138  * gpg: Removed the option --pgp2 and --rfc1991 and the ability to
139    create PGP-2 compatible messages.
140
141  * gpg: Removed options --compress-keys and --compress-sigs.
142
143  * gpg: Cap attribute packets at 16MB.
144
145  * gpg: Improved output of --list-packets.
146
147  * gpg: Make with-colons output of --search-keys work again.
148
149  * gpgsm: Auto-create the ".gnupg" directory like gpg does.
150
151  * agent: Fold new passphrase warning prompts into one.
152
153  * scdaemon: Add support for the Smartcard-HSM card.
154
155  * scdaemon: Remove the use of the pcsc-wrapper.
156
157
158  [Noteworthy changes in version 2.1.0-beta751 (2014-07-03)]
159
160  * gpg: Create revocation certificates during key generation.
161
162  * gpg: Create exported secret keys and revocation certifciates with
163    mode 0700
164
165  * gpg: The validity of user ids is now shown by default.  To revert
166    this add "list-options no-show-uid-validity" to gpg.conf.
167
168  * gpg: Make export of secret keys work again.
169
170  * gpg: The output of --list-packets does now print the offset of the
171    packet and information about the packet header.
172
173  * gpg: Avoid DoS due to garbled compressed data packets. [CVE-2014-4617]
174
175  * gpg: Print more specific reason codes with the INV_RECP status.
176
177  * gpg: Cap RSA and Elgamal keysize at 4096 bit also for unattended
178    key generation.
179
180  * scdaemon: Support reader Gemalto IDBridge CT30 and pinpad of SCT
181    cyberJack go.
182
183  * The speedo build system has been improved.  It is now also possible
184    to build a partly working installer for Windows.
185
186
187  [Noteworthy changes in version 2.1.0-beta442 (2014-06-05)]
188
189  * gpg: Changed the format of key listings.  To revert to the old
190    format the option --legacy-list-mode is available.
191
192  * gpg: Add experimental signature support using curve Ed25519 and
193    with a patched Libgcrypt also encryption support with Curve25519.
194    [Update: this encryption support has been removed from 2.1.0 until
195    we have agreed on a suitable format.]
196
197  * gpg: Allow use of Brainpool curves.
198
199  * gpg: Accepts a space separated fingerprint as user ID.  This
200    allows to copy and paste the fingerprint from the key listing.
201
202  * gpg: The hash algorithm is now printed for signature records in key
203    listings.
204
205  * gpg: Reject signatures made using the MD5 hash algorithm unless the
206    new option --allow-weak-digest-algos or --pgp2 are given.
207
208  * gpg: Print a warning if the Gnome-Keyring-Daemon intercepts the
209    communication with the gpg-agent.
210
211  * gpg: New option --pinentry-mode.
212
213  * gpg: Fixed decryption using an OpenPGP card.
214
215  * gpg: Fixed bug with deeply nested compressed packets.
216
217  * gpg: Only the major version number is by default included in the
218    armored output.
219
220  * gpg: Do not create a trustdb file if --trust-model=always is used.
221
222  * gpg: Protect against rogue keyservers sending secret keys.
223
224  * gpg: The format of the fallback key listing ("gpg KEYFILE") is now
225    more aligned to the regular key listing ("gpg -k").
226
227  * gpg: The option--show-session-key prints its output now before the
228    decryption of the bulk message starts.
229
230  * gpg: New %U expando for the photo viewer.
231
232  * gpg,gpgsm: New option --with-secret.
233
234  * gpgsm: By default the users are now asked via the Pinentry whether
235    they trust an X.509 root key.  To prohibit interactive marking of
236    such keys, the new option --no-allow-mark-trusted may be used.
237
238  * gpgsm: New commands to export a secret RSA key in PKCS#1 or PKCS#8
239    format.
240
241  * gpgsm: Improved handling of re-issued CA certificates.
242
243  * agent: The included ssh agent does now support ECDSA keys.
244
245  * agent: New option --enable-putty-support to allow gpg-agent on
246    Windows to act as a Pageant replacement with full smartcard support.
247
248  * scdaemon: New option --enable-pinpad-varlen.
249
250  * scdaemon: Various fixes for pinpad equipped card readers.
251
252  * scdaemon: Rename option --disable-pinpad (was --disable-keypad).
253
254  * scdaemon: Better support fo CCID readers.  Now, internal CCID
255    driver supports readers with no auto configuration feature.
256
257  * dirmngr: Removed support for the original HKP keyserver which is
258    not anymore used by any site.
259
260  * dirmngr: Improved support for keyserver pools.
261
262  * tools: New option --dirmngr for gpg-connect-agent.
263
264  * The GNU Pth library has been replaced by the new nPth library.
265
266  * Support installation as portable application under Windows.
267
268  * All kind of other improvements - see the git log.
269
270
271  [Noteworthy changes in version 2.1.0beta3 (2011-12-20)]
272
273  * gpg: Fixed regression in the secret key export function.
274
275  * gpg: Allow generation of card keys up to 4096 bit.
276
277  * gpgsm: Preliminary support for the validation model "steed".
278
279  * gpgsm: Improved certificate creation.
280
281  * agent: Support the SSH confirm flag.
282
283  * agent: New option to select a passphrase mode.  The loopback
284    mode may be used to bypass Pinentry.
285
286  * agent: The Assuan commands KILLAGENT and KILLSCD are working again.
287
288  * scdaemon: Does not anymore block after changing a card (regression
289    fix).
290
291  * tools: gpg-connect-agent does now proberly display the help output
292    for "SCD HELP" commands.
293
294
295  [Noteworthy changes in version 2.1.0beta2 (2011-03-08)]
296
297  * gpg: ECC support as described by draft-jivsov-openpgp-ecc-06.txt
298    [Update: now known as RFC-6637].
299
300  * gpg: Print "AES128" instead of "AES".  This change introduces a
301    little incompatibility for tools using "gpg --list-config".  We
302    hope that these tools are written robust enough to accept this new
303    algorithm name as well.
304
305  * gpgsm: New feature to create certificates from a parameter file.
306    Add prompt to the --gen-key UI to create self-signed certificates.
307
308  * agent: TMPDIR is now also honored when creating a socket using
309    the --no-standard-socket option and with symcryptrun's temp files.
310
311  * scdaemon: Fixed a bug where scdaemon sends a signal to gpg-agent
312    running in non-daemon mode.
313
314  * dirmngr: Fixed CRL loading under W32 (bug#1010).
315
316  * Dirmngr has taken over the function of the keyserver helpers.  Thus
317    we now have a specified direct interface to keyservers via Dirmngr.
318    LDAP, DNS and mail backends are not yet implemented.
319
320  * Fixed TTY management for pinentries and session variable update
321    problem.
322
323
324  [Noteworthy changes in version 2.1.0beta1 (2010-10-26)]
325
326  * gpg: secring.gpg is not anymore used but all secret key operations
327    are delegated to gpg-agent.  The import command moves secret keys
328    to the agent.
329
330  * gpg: The OpenPGP import command is now able to merge secret keys.
331
332  * gpg: Encrypted OpenPGP messages with trailing data (e.g. other
333    OpenPGP packets) are now correctly parsed.
334
335  * gpg: Given sufficient permissions Dirmngr is started automagically.
336
337  * gpg: Fixed output of "gpgconf --check-options".
338
339  * gpg: Removed options --export-options(export-secret-subkey-passwd)
340    and --simple-sk-checksum.
341
342  * gpg: New options --try-secret-key.
343
344  * gpg: Support DNS lookups for SRV, PKA and CERT on W32.
345
346  * gpgsm: The --audit-log feature is now more complete.
347
348  * gpgsm: The default for --include-cert is now to include all
349    certificates in the chain except for the root certificate.
350
351  * gpgsm: New option --ignore-cert-extension.
352
353  * g13: The G13 tool for disk encryption key management has been
354    added.
355
356  * agent: If the agent's --use-standard-socket option is active, all
357    tools try to start and daemonize the agent on the fly.  In the past
358    this was only supported on W32; on non-W32 systems the new
359    configure option --disable-standard-socket may now be used to
360    disable this new default.
361
362  * agent: New and changed passphrases are now created with an
363    iteration count requiring about 100ms of CPU work.
364
365  * dirmngr: Dirmngr is now a part of this package.  It is now also
366    expected to run as a system service and the configuration
367    directories are changed to the GnuPG name space. [Update: 2.1.0
368    starts dirmngr on demand as user daemon.]
369
370  * Support for Windows CE. [Update: This has not been tested for the
371    2.1.0 release]
372
373  * Numerical values may now be used as an alternative to the
374    debug-level keywords.
375
376
377 Noteworthy changes in version 2.0.13 (2009-09-04)
378 -------------------------------------------------
379
380  * GPG now generates 2048 bit RSA keys by default.  The default hash
381    algorithm preferences has changed to prefer SHA-256 over SHA-1.
382    2048 bit DSA keys are now generated to use a 256 bit hash algorithm
383
384  * The envvars XMODIFIERS, GTK_IM_MODULE and QT_IM_MODULE are now
385    passed to the Pinentry to make SCIM work.
386
387  * The GPGSM command --gen-key features a --batch mode and implements
388    all features of gpgsm-gencert.sh in standard mode.
389
390  * New option --re-import for GPGSM's IMPORT server command.
391
392  * Enhanced writing of existing keys to OpenPGP v2 cards.
393
394  * Add hack to the internal CCID driver to allow the use of some
395    Omnikey based card readers with 2048 bit keys.
396
397  * GPG now repeatly asks the user to insert the requested OpenPGP
398    card.  This can be disabled with --limit-card-insert-tries=1.
399
400  * Minor bug fixes.
401
402
403 Noteworthy changes in version 2.0.12 (2009-06-17)
404 -------------------------------------------------
405
406  * GPGSM now always lists ephemeral certificates if specified by
407    fingerprint or keygrip.
408
409  * New command "KEYINFO" for GPG_AGENT.  GPGSM now also returns
410    information about smartcards.
411
412  * Made sure not to leak file descriptors if running gpg-agent with a
413    command.  Restore the signal mask to solve a problem in Mono.
414
415  * Changed order of the confirmation questions for root certificates
416    and store negative answers in trustlist.txt.
417
418  * Better synchronization of concurrent smartcard sessions.
419
420  * Support 2048 bit OpenPGP cards.
421
422  * Support Telesec Netkey 3 cards.
423
424  * The gpg-protect-tool now uses gpg-agent via libassuan.  Under
425    Windows the Pinentry will now be put into the foreground.
426
427  * Changed code to avoid a possible Mac OS X system freeze.
428
429
430 Noteworthy changes in version 2.0.11 (2009-03-03)
431 -------------------------------------------------
432
433  * Fixed a problem in SCDAEMON which caused unexpected card resets.
434
435  * SCDAEMON is now aware of the Geldkarte.
436
437  * The SCDAEMON option --allow-admin is now used by default.
438
439  * GPGCONF now restarts SCdaemon if necessary.
440
441  * The default cipher algorithm in GPGSM is now again 3DES.  This is
442    due to interoperability problems with Outlook 2003 which still
443    can't cope with AES.
444
445
446 Noteworthy changes in version 2.0.10 (2009-01-12)
447 -------------------------------------------------
448
449  * [gpg] New keyserver helper gpg2keys_kdns as generic DNS CERT
450    lookup.  Run with --help for a short description.  Requires the
451    ADNS library.
452
453  * [gpg] New mechanisms "local" and "nodefault" for --auto-key-locate.
454    Fixed a few problems with this option.
455
456  * [gpg] New command --locate-keys.
457
458  * [gpg] New options --with-sig-list and --with-sig-check.
459
460  * [gpg] The option "-sat" is no longer an alias for --clearsign.
461
462  * [gpg] The option --fixed-list-mode is now implicitly used and obsolete.
463
464  * [gpg] New control statement %ask-passphrase for the unattended key
465    generation.
466
467  * [gpg] The algorithm to compute the SIG_ID status has been changed.
468
469  * [gpgsm] Now uses AES by default.
470
471  * [gpgsm] Made --output option work with --export-secret-key-p12.
472
473  * [gpg-agent] Terminate process if the own listening socket is not
474    anymore served by ourself.
475
476  * [scdaemon] Made it more robust on W32.
477
478  * [gpg-connect-agent] Accept commands given as command line arguments.
479
480  * [w32] Initialized the socket subsystem for all keyserver helpers.
481
482  * [w32] The sysconf directory has been moved from a subdirectory of
483    the installation directory to %CSIDL_COMMON_APPDATA%/GNU/etc/gnupg.
484
485  * [w32] The gnupg2.nls directory is not anymore used.  The standard
486    locale directory is now used.
487
488  * [w32] Fixed a race condition between gpg and gpgsm in the use of
489    temporary file names.
490
491  * The gpg-preset-passphrase mechanism works again.  An arbitrary
492    string may now be used for a custom cache ID.
493
494  * Admin PINs are cached again (bug in 2.0.9).
495
496  * Support for version 2 OpenPGP cards.
497
498  * Libgcrypt 1.4 is now required.
499
500
501 Noteworthy changes in version 2.0.9 (2008-03-26)
502 ------------------------------------------------
503
504  * Gpgsm always tries to locate missing certificates from a running
505    Dirmngr's cache.
506
507  * Tweaks for Windows.
508
509  * The Admin PIN for OpenPGP cards may now be entered with the pinpad.
510
511  * Improved certificate chain construction.
512
513  * Extended the PKITS framework.
514
515  * Fixed a bug in the ambigious name detection.
516
517  * Fixed possible memory corruption while importing OpenPGP keys (bug
518    introduced with 2.0.8). [CVE-2008-1530]
519
520  * Minor bug fixes.
521
522
523 Noteworthy changes in version 2.0.8 (2007-12-20)
524 ------------------------------------------------
525
526  * Enhanced gpg-connect-agent with a small scripting language.
527
528  * New option --list-config for gpgconf.
529
530  * Fixed a crash in gpgconf.
531
532  * Gpg-agent now supports the passphrase quality bar of the latest
533    Pinentry.
534
535  * The envvars XAUTHORITY and PINENTRY_USER_DATA are now passed to the
536    Pinentry.
537
538  * Fixed the auto creation of the key stub for smartcards.
539
540  * Fixed a rare bug in decryption using the OpenPGP card.
541
542  * Creating DSA2 keys is now possible.
543
544  * New option --extra-digest-algo for gpgsm to allow verification of
545    broken signatures.
546
547  * Allow encryption with legacy Elgamal sign+encrypt keys with option
548    --rfc2440.
549
550  * Windows is now a supported platform.
551
552  * Made sure that under Windows the file permissions of the socket are
553    taken into account.  This required a change of our socket emulation
554    code and changed the IPC protocol under Windows.
555
556
557 Noteworthy changes in version 2.0.7 (2007-09-10)
558 ------------------------------------------------
559
560  * Fixed encryption problem if duplicate certificates are in the
561    keybox.
562
563  * Made it work on Windows Vista.  Note that the entire Windows port
564    is still considered Beta.
565
566  * Add new options min-passphrase-nonalpha, check-passphrase-pattern,
567    enforce-passphrase-constraints and max-passphrase-days to
568    gpg-agent.
569
570  * Add command --check-components to gpgconf.  Gpgconf now uses the
571    installed versions of the programs and does not anymore search via
572    PATH for them.
573
574
575 Noteworthy changes in version 2.0.6 (2007-08-16)
576 ------------------------------------------------
577
578  * GPGSM does now grok --default-key.
579
580  * GPGCONF is now aware of --default-key and --encrypt-to.
581
582  * GPGSM does again correctly print the serial number as well the the
583    various keyids.  This was broken since 2.0.4.
584
585  * New option --validation-model and support for the chain-model.
586
587  * Improved Windows support.
588
589
590 Noteworthy changes in version 2.0.5 (2007-07-05)
591 ------------------------------------------------
592
593  * Switched license to GPLv3.
594
595  * Basic support for Windows.  Run "./autogen.sh --build-w32" to build
596    it.  As usual the mingw cross compiling toolchain is required.
597
598  * Fixed bug when using the --p12-charset without --armor.
599
600  * The command --gen-key may now be used instead of the
601    gpgsm-gencert.sh script.
602
603  * Changed key generation to reveal less information about the
604    machine.  Bug fixes for gpg2's card key generation.
605
606
607 Noteworthy changes in version 2.0.4 (2007-05-09)
608 ------------------------------------------------
609
610  * The server mode key listing commands are now also working for
611    systems without the funopen/fopencookie API.
612
613  * PKCS#12 import now tries several encodings in case the passphrase
614    was not utf-8 encoded.  New option --p12-charset for gpgsm.
615
616  * Improved the libgcrypt logging support in all modules.
617
618
619 Noteworthy changes in version 2.0.3 (2007-03-08)
620 ------------------------------------------------
621
622  * By default, do not allow processing multiple plaintexts in a single
623    stream.  Many programs that called GnuPG were assuming that GnuPG
624    did not permit this, and were thus not using the plaintext boundary
625    status tags that GnuPG provides.  This change makes GnuPG reject
626    such messages by default which makes those programs safe again.
627    --allow-multiple-messages returns to the old behavior. [CVE-2007-1263].
628
629  * New --verify-option show-primary-uid-only.
630
631  * gpgconf may now reads a global configuration file to select which
632    options are changeable by a frontend.  The new applygnupgdefaults
633    tool may be used by an admin to set default options for all users.
634
635  * The PIN pad of the Cherry XX44 keyboard is now supported.  The
636    DINSIG and the NKS applications are now also aware of PIN pads.
637
638
639 Noteworthy changes in version 2.0.2 (2007-01-31)
640 ------------------------------------------------
641
642  * Fixed a serious and exploitable bug in processing encrypted
643    packages. [CVE-2006-6235].
644
645  * Added --passphrase-repeat to set the number of times GPG will
646    prompt for a new passphrase to be repeated.  This is useful to help
647    memorize a new passphrase.  The default is 1 repetition.
648
649  * Using a PIN pad does now also work for the signing key.
650
651  * A warning is displayed by gpg-agent if a new passphrase is too
652    short.  New option --min-passphrase-len defaults to 8.
653
654  * The status code BEGIN_SIGNING now shows the used hash algorithms.
655
656
657 Noteworthy changes in version 2.0.1 (2006-11-28)
658 ------------------------------------------------
659
660  * Experimental support for the PIN pads of the SPR 532 and the Kaan
661    Advanced card readers.  Add "disable-keypad" scdaemon.conf if you
662    don't want it.  Does currently only work for the OpenPGP card and
663    its authentication and decrypt keys.
664
665  * Fixed build problems on some some platforms and crashes on amd64.
666
667  * Fixed a buffer overflow in gpg2. [bug#728,CVE-2006-6169]
668
669
670 Noteworthy changes in version 2.0.0 (2006-11-11)
671 ------------------------------------------------
672
673  * First stable version of a GnuPG integrating OpenPGP and S/MIME.
674
675
676 Noteworthy changes in version 1.9.95 (2006-11-06)
677 -------------------------------------------------
678
679  * Minor bug fixes.
680
681
682 Noteworthy changes in version 1.9.94 (2006-10-24)
683 -------------------------------------------------
684
685  * Keys for gpgsm may now be specified using a keygrip.  A keygrip is
686    indicated by a prefixing it with an ampersand.
687
688  * gpgconf now supports switching the CMS cipher algo (e.g. to AES).
689
690  * New command --gpgconf-test for all major tools. This may be used to
691    check whether the configuration file is sane.
692
693
694 Noteworthy changes in version 1.9.93 (2006-10-18)
695 -------------------------------------------------
696
697  * In --with-validation mode gpgsm will now also ask whether a root
698    certificate should be trusted.
699
700  * Link to Pth only if really necessary.
701
702  * Fixed a pubring corruption bug in gpg2 occurring when importing
703    signatures or keys with insane lengths.
704
705  * Fixed v3 keyID calculation bug in gpg2.
706
707  * More tweaks for certificates without extensions.
708
709
710 Noteworthy changes in version 1.9.92 (2006-10-11)
711 -------------------------------------------------
712
713  * Bug fixes.
714
715
716 Noteworthy changes in version 1.9.91 (2006-10-04)
717 -------------------------------------------------
718
719  * New "relax" flag for trustlist.txt to allow root CA certificates
720    without BasicContraints.
721
722  * [gpg2] Removed the -k PGP 2 compatibility hack.  -k is now an
723    alias for --list-keys.
724
725  * [gpg2] Print a warning if "-sat" is used instead of "--clearsign".
726
727
728 Noteworthy changes in version 1.9.90 (2006-09-25)
729 -------------------------------------------------
730
731  * Made readline work for gpg.
732
733  * Cleanups und minor bug fixes.
734
735  * Included translations from gnupg 1.4.5.
736
737
738 Noteworthy changes in version 1.9.23 (2006-09-18)
739 -------------------------------------------------
740
741  * Regular man pages for most tools are now build directly from the
742    Texinfo source.
743
744  * The gpg code from 1.4.5 has been fully merged into this release.
745    The configure option --enable-gpg is still required to build this
746    gpg part.  For production use of OpenPGP the gpg version 1.4.5 is
747    still recommended.  Note, that gpg will be installed under the name
748    gpg2 to allow coexisting with an 1.4.x gpg.
749
750  * API change in gpg-agent's pkdecrypt command.  Thus an older gpgsm
751    may not be used with the current gpg-agent.
752
753  * The scdaemon will now call a script on reader status changes.
754
755  * gpgsm now allows file descriptor passing for "INPUT", "OUTPUT" and
756    "MESSAGE".
757
758  * The gpgsm server may now output a key listing to the output file
759    handle. This needs to be enabled using "OPTION list-to-output=1".
760
761  * The --output option of gpgsm has now an effect on list-keys.
762
763  * New gpgsm commands --dump-chain and list-chain.
764
765  * gpg-connect-agent has new options to utilize descriptor passing.
766
767  * A global trustlist may now be used.  See doc/examples/trustlist.txt.
768
769  * When creating a new pubring.kbx keybox common certificates are
770    imported.
771
772
773 Noteworthy changes in version 1.9.22 (2006-07-27)
774 -------------------------------------------------
775
776  * Enhanced pkcs#12 support to allow import from simple keyBags.
777
778  * Exporting to pkcs#12 now create bag attributes so that Mozilla is
779    able to import the files.
780
781  * Fixed uploading of certain keys to the smart card.
782
783
784 Noteworthy changes in version 1.9.21 (2006-06-20)
785 -------------------------------------------------
786
787  * New command APDU for scdaemon to allow using it for general card
788    access.  Might be used through gpg-connect-agent by using the SCD
789    prefix command.
790
791  * Support for the CardMan 4040 PCMCIA reader (Linux 2.6.15 required).
792
793  * Scdaemon does not anymore reset cards at the end of a connection.
794
795  * Kludge to allow use of Bundesnetzagentur issued X.509 certificates.
796
797  * Added --hash=xxx option to scdaemon's PKSIGN command.
798
799  * Pkcs#12 files are now created with a MAC.  This is for better
800    interoperability.
801
802  * Collected bug fixes and minor other changes.
803
804
805 Noteworthy changes in version 1.9.20 (2005-12-20)
806 -------------------------------------------------
807
808  * Importing pkcs#12 files created be recent versions of Mozilla works
809    again.
810
811  * Basic support for qualified signatures.
812
813  * New debug tool gpgparsemail.
814
815
816 Noteworthy changes in version 1.9.19 (2005-09-12)
817 -------------------------------------------------
818
819  * The Belgian eID card is now supported for signatures and ssh.
820    Other pkcs#15 cards should work as well.
821
822  * Fixed bug in --export-secret-key-p12 so that certificates are again
823    included.
824
825
826 Noteworthy changes in version 1.9.18 (2005-08-01)
827 -------------------------------------------------
828
829  * [gpgsm] Now allows for more than one email address as well as URIs
830    and dnsNames in certificate request generation.  A keygrip may be
831    given to create a request from an existing key.
832
833  * A couple of minor bug fixes.
834
835
836 Noteworthy changes in version 1.9.17 (2005-06-20)
837 -------------------------------------------------
838
839  * gpg-connect-agent has now features to handle Assuan INQUIRE
840    commands.
841
842  * Internal changes for OpenPGP cards. New Assuan command WRITEKEY.
843
844  * GNU Pth is now a hard requirement.
845
846  * [scdaemon] Support for OpenSC has been removed.  Instead a new and
847    straightforward pkcs#15 modules has been written.  As of now it
848    does allows only signing using TCOS cards but we are going to
849    enhance it to match all the old capabilities.
850
851  * [gpg-agent] New option --write-env-file and Assuan command
852    UPDATESTARTUPTTY.
853
854  * [gpg-agent] New option --default-cache-ttl-ssh to set the TTL for
855    SSH passphrase caching independent from the other passphrases.
856
857
858 Noteworthy changes in version 1.9.16 (2005-04-21)
859 -------------------------------------------------
860
861  * gpg-agent does now support the ssh-agent protocol and thus allows
862    to use the pinentry as well as the OpenPGP smartcard with ssh.
863
864  * New tool gpg-connect-agent as a general client for the gpg-agent.
865
866  * New tool symcryptrun as a wrapper for certain encryption tools.
867
868  * The gpg tool is not anymore build by default because those gpg
869    versions available in the gnupg 1.4 series are far more matured.
870
871
872 Noteworthy changes in version 1.9.15 (2005-01-13)
873 -------------------------------------------------
874
875  * Fixed passphrase caching bug.
876
877  * Better support for CCID readers; the reader from Cherry RS 6700 USB
878    does now work.
879
880
881 Noteworthy changes in version 1.9.14 (2004-12-22)
882 -------------------------------------------------
883
884  * [gpg-agent] New option --use-standard-socket to allow the use of a
885    fixed socket.  gpgsm falls back to this socket if GPG_AGENT_INFO
886    has not been set.
887
888  * Ported to MS Windows with some functional limitations.
889
890  * New tool gpg-preset-passphrase.
891
892
893 Noteworthy changes in version 1.9.13 (2004-12-03)
894 -------------------------------------------------
895
896  * [gpgsm] New option --prefer-system-dirmngr.
897
898  * Minor cleanups and debugging aids.
899
900
901 Noteworthy changes in version 1.9.12 (2004-10-22)
902 -------------------------------------------------
903
904  * [scdaemon] Partly rewrote the PC/SC code.
905
906  * Removed the sc-investigate tool.  It is now in a separate package
907    available at ftp://ftp.g10code.com/g10code/gscutils/ .
908
909  * [gpg-agent] Fixed logging problem.
910
911
912 Noteworthy changes in version 1.9.11 (2004-10-01)
913 -------------------------------------------------
914
915  * When using --import along with --with-validation, the imported
916    certificates are validated and only imported if they are fully
917    valid.
918
919  * [gpg-agent] New option --max-cache-ttl.
920
921  * [gpg-agent] When used without --daemon or --server, gpg-agent now
922    check whether a agent is already running and usable.
923
924  * Fixed some i18n problems.
925
926
927 Noteworthy changes in version 1.9.10 (2004-07-22)
928 -------------------------------------------------
929
930  * Fixed a serious bug in the checking of trusted root certificates.
931
932  * New configure option --enable-agent-pnly allows to build and
933    install just the agent.
934
935  * Fixed a problem with the log file handling.
936
937
938 Noteworthy changes in version 1.9.9 (2004-06-08)
939 ------------------------------------------------
940
941  * [gpg-agent] The new option --allow-mark-trusted is now required to
942    allow gpg-agent to add a key to the trustlist.txt after user
943    confirmation.
944
945  * Creating PKCS#10 requests does now honor the key usage.
946
947
948 Noteworthy changes in version 1.9.8 (2004-04-29)
949 ------------------------------------------------
950
951  * [scdaemon] Overhauled the internal CCID driver.
952
953  * [scdaemon] Status files named ~/.gnupg/reader_<n>.status are now
954    written when using the internal CCID driver.
955
956  * [gpgsm] New commands --dump-{,secret,external}-keys to show a very
957    detailed view of the certificates.
958
959  * The keybox gets now compressed after 3 hours and ephemeral
960    stored certificates are deleted after about a day.
961
962  * [gpg] Usability fixes for --card-edit.  Note, that this has already
963    been ported back to gnupg-1.3
964
965
966 Noteworthy changes in version 1.9.7 (2004-04-06)
967 ------------------------------------------------
968
969  * Instrumented the modules for gpgconf.
970
971  * Added support for DINSIG card applications.
972
973  * Include the smimeCapabilities attribute with signed messages.
974
975  * Now uses the gettext domain "gnupg2" to avoid conflicts with gnupg
976    versions < 1.9.
977
978
979 Noteworthy changes in version 1.9.6 (2004-03-06)
980 ------------------------------------------------
981
982  * Code cleanups and bug fixes.
983
984
985 Noteworthy changes in version 1.9.5 (2004-02-21)
986 ------------------------------------------------
987
988  * gpg-protect-tool gets now installed into libexec as it ought to be.
989    Cleaned up the build system to better comply with the coding
990    standards.
991
992  * [gpgsm] The --import command is now able to autodetect pkcs#12
993    files and import secret and private keys from this file format.
994    A new command --export-secret-key-p12 is provided to allow
995    exporting of secret keys in PKCS\#12 format.
996
997  * [gpgsm] The pinentry will now present a description of the key for
998    whom the passphrase is requested.
999
1000  * [gpgsm] New option --with-validation to check the validity of key
1001    while listing it.
1002
1003  * New option --debug-level={none,basic,advanced,expert,guru} to map
1004    the debug flags to sensitive levels on a per program base.
1005
1006
1007 Noteworthy changes in version 1.9.4 (2004-01-30)
1008 ------------------------------------------------
1009
1010  * Added support for the Telesec NKS 2.0 card application.
1011
1012  * Added simple tool addgnupghome to create .gnupg directories from
1013    /etc/skel/.gnupg.
1014
1015  * Various minor bug fixes and cleanups; mainly gpgsm and gpg-agent
1016    related.
1017
1018
1019 Noteworthy changes in version 1.9.3 (2003-12-23)
1020 ------------------------------------------------
1021
1022  * New gpgsm options --{enable,disable}-ocsp to validate keys using
1023    OCSP. This option requires a not yet released DirMngr version.
1024    Default is disabled.
1025
1026  * The --log-file option may now be used to print logs to a socket.
1027    Prefix the socket name with "socket://" to enable this.  This does
1028    not work on all systems and falls back to stderr if there is a
1029    problem with the socket.
1030
1031  * The options --encrypt-to and --no-encrypt-to now work the same in
1032    gpgsm as in gpg.  Note, they are also used in server mode.
1033
1034  * Duplicated recipients are now silently removed in gpgsm.
1035
1036
1037 Noteworthy changes in version 1.9.2 (2003-11-17)
1038 ------------------------------------------------
1039
1040  * On card key generation is no longer done using the --gen-key
1041    command but from the menu provided by the new --card-edit command.
1042
1043  * PINs are now properly cached and there are only 2 PINs visible.
1044    The 3rd PIN (CHV2) is internally syncronized with the regular PIN.
1045
1046  * All kind of other internal stuff.
1047
1048
1049 Noteworthy changes in version 1.9.1 (2003-09-06)
1050 ------------------------------------------------
1051
1052  * Support for OpenSC is back. scdaemon supports a --disable-opensc to
1053    disable OpenSC use at runtime, so that PC/SC or ct-API can still be
1054    used directly.
1055
1056  * Rudimentary support for the SCR335 smartcard reader using an
1057    internal driver.  Requires current libusb from CVS.
1058
1059  * Bug fixes.
1060
1061
1062 Noteworthy changes in version 1.9.0 (2003-08-05)
1063 ------------------------------------------------
1064
1065       ====== PLEASE SEE README-alpha =======
1066
1067  * gpg has been renamed to gpg2 and gpgv to gpgv2.  This is a
1068    temporary change to allow co-existing with stable gpg versions.
1069
1070  * ~/.gnupg/gpg.conf-1.9.0 is fist tried as config file before the
1071    usual gpg.conf.
1072
1073  * Removed the -k, -kv and -kvv commands.  -k is now an alias to
1074    --list-keys.  New command -K as alias for --list-secret-keys.
1075
1076  * Removed --run-as-shm-coprocess feature.
1077
1078  * gpg does now also use libgcrypt, libgpg-error is required.
1079
1080  * New gpgsm commands --call-dirmngr and --call-protect-tool.
1081
1082  * Changing a passphrase is now possible using "gpgsm --passwd"
1083
1084  * The content-type attribute is now recognized and created.
1085
1086  * The agent does now reread certain options on receiving a HUP.
1087
1088  * The pinentry is now forked for each request so that clients with
1089    different environments are supported.  When running in daemon mode
1090    and --keep-display is not used the DISPLAY variable is ignored.
1091
1092  * Merged stuff from the newpg branch and started this new
1093    development branch.
1094
1095
1096  Copyright 2002, 2003, 2004, 2005, 2006, 2007,
1097            2008, 2009, 2010, 2011  Free Software Foundation, Inc.
1098
1099  This file is free software; as a special exception the author gives
1100  unlimited permission to copy and/or distribute it, with or without
1101  modifications, as long as this notice is preserved.
1102
1103  This file is distributed in the hope that it will be useful, but
1104  WITHOUT ANY WARRANTY, to the extent permitted by law; without even the
1105  implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.