f9d6979fe9f4013363854f743efe0f7e2f390a43
[gnupg.git] / NEWS
1 Noteworthy changes in version 2.0.12 (not released)
2 -------------------------------------------------
3
4  This is a BETA version!
5
6  * GPGSM now always lists ephemeral certificates if specified by
7    fingerprint or keygrip.
8
9  * New command "KEYINFO" for GPG_AGENT.  GPGSM now also returns
10    information about smartcards.
11
12  * Made sure not to leak file descriptors if running gpg-agent with a
13    command.  Restores the signal mask to solve a problem in Mono.
14
15  * Changed order of the confirmation questions for root certificates
16    and stores negative answers in trustlist.txt.
17
18  * Better synchronization of several smartcard sessions.
19
20
21 Noteworthy changes in version 2.0.11 (2009-03-03)
22 -------------------------------------------------
23
24  * Fixed a problem in SCDAEMON which caused unexpected card resets.
25
26  * SCDAEMON is now aware of the Geldkarte.
27
28  * The SCDAEMON option --allow-admin is now used by default.
29
30  * GPGCONF now restarts SCdaemon if necessary.
31
32  * The default cipher algorithm in GPGSM is now again 3DES.  This is
33    due to interoperability problems with Outlook 2003 which still
34    can't cope with AES.
35
36
37 Noteworthy changes in version 2.0.10 (2009-01-12)
38 -------------------------------------------------
39
40  * [gpg] New keyserver helper gpg2keys_kdns as generic DNS CERT
41    lookup.  Run with --help for a short description.  Requires the
42    ADNS library.
43
44  * [gpg] New mechanisms "local" and "nodefault" for --auto-key-locate.
45    Fixed a few problems with this option.
46
47  * [gpg] New command --locate-keys.
48
49  * [gpg] New options --with-sig-list and --with-sig-check.
50
51  * [gpg] The option "-sat" is no longer an alias for --clearsign.
52
53  * [gpg] The option --fixed-list-mode is now implicitly used and obsolete.
54
55  * [gpg] New control statement %ask-passphrase for the unattended key
56    generation.
57
58  * [gpg] The algorithm to compute the SIG_ID status has been changed.
59
60  * [gpgsm] Now uses AES by default.
61
62  * [gpgsm] Made --output option work with --export-secret-key-p12.
63
64  * [gpg-agent] Terminate process if the own listening socket is not
65    anymore served by ourself.
66
67  * [scdaemon] Made it more robust on W32.
68
69  * [gpg-connect-agent] Accept commands given as command line arguments.
70
71  * [w32] Initialized the socket subsystem for all keyserver helpers.
72
73  * [w32] The sysconf directory has been moved from a subdirectory of
74    the installation directory to %CSIDL_COMMON_APPDATA%/GNU/etc/gnupg.
75
76  * [w32] The gnupg2.nls directory is not anymore used.  The standard
77    locale directory is now used.  
78
79  * [w32] Fixed a race condition between gpg and gpgsm in the use of
80    temporary file names.
81
82  * The gpg-preset-passphrase mechanism works again.  An arbitrary
83    string may now be used for a custom cache ID.
84
85  * Admin PINs are cached again (bug in 2.0.9).
86
87  * Support for version 2 OpenPGP cards.
88
89  * Libgcrypt 1.4 is now required.
90
91
92 Noteworthy changes in version 2.0.9 (2008-03-26)
93 ------------------------------------------------
94
95  * Gpgsm always tries to locate missing certificates from a running
96    Dirmngr's cache.
97
98  * Tweaks for Windows.
99
100  * The Admin PIN for OpenPGP cards may now be entered with the pinpad.
101
102  * Improved certificate chain construction.
103
104  * Extended the PKITS framework.
105
106  * Fixed a bug in the ambigious name detection.
107
108  * Fixed possible memory corruption while importing OpenPGP keys (bug
109    introduced with 2.0.8). [CVE-2008-1530]
110
111  * Minor bug fixes.
112
113
114 Noteworthy changes in version 2.0.8 (2007-12-20)
115 ------------------------------------------------
116
117  * Enhanced gpg-connect-agent with a small scripting language.
118
119  * New option --list-config for gpgconf.
120
121  * Fixed a crash in gpgconf.
122
123  * Gpg-agent now supports the passphrase quality bar of the latest
124    Pinentry.
125
126  * The envvars XAUTHORITY and PINENTRY_USER_DATA are now passed to the
127    Pinentry.
128
129  * Fixed the auto creation of the key stub for smartcards.  
130
131  * Fixed a rare bug in decryption using the OpenPGP card.
132
133  * Creating DSA2 keys is now possible.
134
135  * New option --extra-digest-algo for gpgsm to allow verification of
136    broken signatures.
137
138  * Allow encryption with legacy Elgamal sign+encrypt keys with option
139    --rfc2440.
140
141  * Windows is now a supported platform.
142
143  * Made sure that under Windows the file permissions of the socket are
144    taken into account.  This required a change of our socket emulation
145    code and changed the IPC protocol under Windows.
146
147
148 Noteworthy changes in version 2.0.7 (2007-09-10)
149 ------------------------------------------------
150
151  * Fixed encryption problem if duplicate certificates are in the
152    keybox.
153
154  * Made it work on Windows Vista.  Note that the entire Windows port
155    is still considered Beta.
156
157  * Add new options min-passphrase-nonalpha, check-passphrase-pattern,
158    enforce-passphrase-constraints and max-passphrase-days to
159    gpg-agent.
160
161  * Add command --check-components to gpgconf.  Gpgconf now uses the
162    installed versions of the programs and does not anymore search via
163    PATH for them.
164
165
166 Noteworthy changes in version 2.0.6 (2007-08-16)
167 ------------------------------------------------
168
169  * GPGSM does now grok --default-key.
170
171  * GPGCONF is now aware of --default-key and --encrypt-to. 
172
173  * GPGSM does again correctly print the serial number as well the the
174    various keyids.  This was broken since 2.0.4.
175
176  * New option --validation-model and support for the chain-model.
177
178  * Improved Windows support.
179
180  
181 Noteworthy changes in version 2.0.5 (2007-07-05)
182 ------------------------------------------------
183
184  * Switched license to GPLv3.
185
186  * Basic support for Windows.  Run "./autogen.sh --build-w32" to build
187    it.  As usual the mingw cross compiling toolchain is required.
188
189  * Fixed bug when using the --p12-charset without --armor.
190
191  * The command --gen-key may now be used instead of the
192    gpgsm-gencert.sh script.
193
194  * Changed key generation to reveal less information about the
195    machine.  Bug fixes for gpg2's card key generation.
196
197
198 Noteworthy changes in version 2.0.4 (2007-05-09)
199 ------------------------------------------------
200
201  * The server mode key listing commands are now also working for
202    systems without the funopen/fopencookie API.
203
204  * PKCS#12 import now tries several encodings in case the passphrase
205    was not utf-8 encoded.  New option --p12-charset for gpgsm.
206
207  * Improved the libgcrypt logging support in all modules.
208
209
210 Noteworthy changes in version 2.0.3 (2007-03-08)
211 ------------------------------------------------
212
213  * By default, do not allow processing multiple plaintexts in a single
214    stream.  Many programs that called GnuPG were assuming that GnuPG
215    did not permit this, and were thus not using the plaintext boundary
216    status tags that GnuPG provides.  This change makes GnuPG reject
217    such messages by default which makes those programs safe again.
218    --allow-multiple-messages returns to the old behavior. [CVE-2007-1263].
219
220  * New --verify-option show-primary-uid-only. 
221
222  * gpgconf may now reads a global configuration file to select which
223    options are changeable by a frontend.  The new applygnupgdefaults
224    tool may be used by an admin to set default options for all users.
225
226  * The PIN pad of the Cherry XX44 keyboard is now supported.  The
227    DINSIG and the NKS applications are now also aware of PIN pads.
228
229
230 Noteworthy changes in version 2.0.2 (2007-01-31)
231 ------------------------------------------------
232
233  * Fixed a serious and exploitable bug in processing encrypted
234    packages. [CVE-2006-6235].
235
236  * Added --passphrase-repeat to set the number of times GPG will
237    prompt for a new passphrase to be repeated.  This is useful to help
238    memorize a new passphrase.  The default is 1 repetition.
239
240  * Using a PIN pad does now also work for the signing key.
241
242  * A warning is displayed by gpg-agent if a new passphrase is too
243    short.  New option --min-passphrase-len defaults to 8.
244
245  * The status code BEGIN_SIGNING now shows the used hash algorithms.
246
247
248 Noteworthy changes in version 2.0.1 (2006-11-28)
249 ------------------------------------------------
250
251  * Experimental support for the PIN pads of the SPR 532 and the Kaan
252    Advanced card readers.  Add "disable-keypad" scdaemon.conf if you
253    don't want it.  Does currently only work for the OpenPGP card and
254    its authentication and decrypt keys.
255
256  * Fixed build problems on some some platforms and crashes on amd64.
257
258  * Fixed a buffer overflow in gpg2. [bug#728,CVE-2006-6169]
259
260
261 Noteworthy changes in version 2.0.0 (2006-11-11)
262 ------------------------------------------------
263
264  * First stable version of a GnuPG integrating OpenPGP and S/MIME.
265
266
267 Noteworthy changes in version 1.9.95 (2006-11-06)
268 -------------------------------------------------
269
270  * Minor bug fixes.
271
272
273 Noteworthy changes in version 1.9.94 (2006-10-24)
274 -------------------------------------------------
275
276  * Keys for gpgsm may now be specified using a keygrip.  A keygrip is
277    indicated by a prefixing it with an ampersand.
278
279  * gpgconf now supports switching the CMS cipher algo (e.g. to AES).
280
281  * New command --gpgconf-test for all major tools. This may be used to
282    check whether the configuration file is sane.
283
284
285 Noteworthy changes in version 1.9.93 (2006-10-18)
286 -------------------------------------------------
287
288  * In --with-validation mode gpgsm will now also ask whether a root
289    certificate should be trusted.
290
291  * Link to Pth only if really necessary.
292
293  * Fixed a pubring corruption bug in gpg2 occurring when importing
294    signatures or keys with insane lengths.
295
296  * Fixed v3 keyID calculation bug in gpg2.
297
298  * More tweaks for certificates without extensions.
299
300
301 Noteworthy changes in version 1.9.92 (2006-10-11)
302 -------------------------------------------------
303
304  * Bug fixes.
305
306
307 Noteworthy changes in version 1.9.91 (2006-10-04)
308 -------------------------------------------------
309
310  * New "relax" flag for trustlist.txt to allow root CA certificates
311    without BasicContraints.
312
313  * [gpg2] Removed the -k PGP 2 compatibility hack.  -k is now an
314    alias for --list-keys.
315
316  * [gpg2] Print a warning if "-sat" is used instead of "--clearsign".
317
318
319 Noteworthy changes in version 1.9.90 (2006-09-25)
320 -------------------------------------------------
321
322  * Made readline work for gpg.
323
324  * Cleanups und minor bug fixes.
325
326  * Included translations from gnupg 1.4.5.
327
328
329 Noteworthy changes in version 1.9.23 (2006-09-18)
330 -------------------------------------------------
331
332  * Regular man pages for most tools are now build directly from the
333    Texinfo source.
334
335  * The gpg code from 1.4.5 has been fully merged into this release.
336    The configure option --enable-gpg is still required to build this
337    gpg part.  For production use of OpenPGP the gpg version 1.4.5 is
338    still recommended.  Note, that gpg will be installed under the name
339    gpg2 to allow coexisting with an 1.4.x gpg.
340
341  * API change in gpg-agent's pkdecrypt command.  Thus an older gpgsm
342    may not be used with the current gpg-agent.
343
344  * The scdaemon will now call a script on reader status changes.
345
346  * gpgsm now allows file descriptor passing for "INPUT", "OUTPUT" and
347    "MESSAGE".
348
349  * The gpgsm server may now output a key listing to the output file
350    handle. This needs to be enabled using "OPTION list-to-output=1".
351
352  * The --output option of gpgsm has now an effect on list-keys.
353
354  * New gpgsm commands --dump-chain and list-chain.
355
356  * gpg-connect-agent has new options to utilize descriptor passing.
357
358  * A global trustlist may now be used.  See doc/examples/trustlist.txt.
359
360  * When creating a new pubring.kbx keybox common certificates are
361    imported.
362
363
364 Noteworthy changes in version 1.9.22 (2006-07-27)
365 -------------------------------------------------
366
367  * Enhanced pkcs#12 support to allow import from simple keyBags.
368
369  * Exporting to pkcs#12 now create bag attributes so that Mozilla is
370    able to import the files.
371
372  * Fixed uploading of certain keys to the smart card.
373
374
375 Noteworthy changes in version 1.9.21 (2006-06-20)
376 -------------------------------------------------
377
378  * New command APDU for scdaemon to allow using it for general card
379    access.  Might be used through gpg-connect-agent by using the SCD
380    prefix command.
381
382  * Support for the CardMan 4040 PCMCIA reader (Linux 2.6.15 required).
383
384  * Scdaemon does not anymore reset cards at the end of a connection. 
385
386  * Kludge to allow use of Bundesnetzagentur issued X.509 certificates.
387
388  * Added --hash=xxx option to scdaemon's PKSIGN command.
389
390  * Pkcs#12 files are now created with a MAC.  This is for better
391    interoperability.
392
393  * Collected bug fixes and minor other changes.
394
395
396 Noteworthy changes in version 1.9.20 (2005-12-20)
397 -------------------------------------------------
398
399  * Importing pkcs#12 files created be recent versions of Mozilla works
400    again.
401
402  * Basic support for qualified signatures.
403
404  * New debug tool gpgparsemail. 
405
406
407 Noteworthy changes in version 1.9.19 (2005-09-12)
408 -------------------------------------------------
409
410  * The Belgian eID card is now supported for signatures and ssh.
411    Other pkcs#15 cards should work as well.
412
413  * Fixed bug in --export-secret-key-p12 so that certificates are again
414    included.
415
416
417 Noteworthy changes in version 1.9.18 (2005-08-01)
418 -------------------------------------------------
419
420  * [gpgsm] Now allows for more than one email address as well as URIs
421    and dnsNames in certificate request generation.  A keygrip may be
422    given to create a request from an existing key.
423
424  * A couple of minor bug fixes.
425
426
427 Noteworthy changes in version 1.9.17 (2005-06-20)
428 -------------------------------------------------
429
430  * gpg-connect-agent has now features to handle Assuan INQUIRE
431    commands.
432
433  * Internal changes for OpenPGP cards. New Assuan command WRITEKEY.
434
435  * GNU Pth is now a hard requirement.
436
437  * [scdaemon] Support for OpenSC has been removed.  Instead a new and
438    straightforward pkcs#15 modules has been written.  As of now it
439    does allows only signing using TCOS cards but we are going to
440    enhance it to match all the old capabilities.
441
442  * [gpg-agent] New option --write-env-file and Assuan command
443    UPDATESTARTUPTTY.
444
445  * [gpg-agent] New option --default-cache-ttl-ssh to set the TTL for
446    SSH passphrase caching independent from the other passphrases.
447
448
449 Noteworthy changes in version 1.9.16 (2005-04-21)
450 -------------------------------------------------
451
452  * gpg-agent does now support the ssh-agent protocol and thus allows
453    to use the pinentry as well as the OpenPGP smartcard with ssh.
454
455  * New tool gpg-connect-agent as a general client for the gpg-agent.
456
457  * New tool symcryptrun as a wrapper for certain encryption tools.
458
459  * The gpg tool is not anymore build by default because those gpg
460    versions available in the gnupg 1.4 series are far more matured.
461
462
463 Noteworthy changes in version 1.9.15 (2005-01-13)
464 -------------------------------------------------
465
466  * Fixed passphrase caching bug.
467
468  * Better support for CCID readers; the reader from Cherry RS 6700 USB
469    does now work.
470
471
472 Noteworthy changes in version 1.9.14 (2004-12-22)
473 -------------------------------------------------
474
475  * [gpg-agent] New option --use-standard-socket to allow the use of a
476    fixed socket.  gpgsm falls back to this socket if GPG_AGENT_INFO
477    has not been set.
478
479  * Ported to MS Windows with some functional limitations.
480
481  * New tool gpg-preset-passphrase.
482
483
484 Noteworthy changes in version 1.9.13 (2004-12-03)
485 -------------------------------------------------
486
487  * [gpgsm] New option --prefer-system-dirmngr.
488
489  * Minor cleanups and debugging aids.
490
491
492 Noteworthy changes in version 1.9.12 (2004-10-22)
493 -------------------------------------------------
494
495  * [scdaemon] Partly rewrote the PC/SC code.
496
497  * Removed the sc-investigate tool.  It is now in a separate package
498    available at ftp://ftp.g10code.com/g10code/gscutils/ .
499
500  * [gpg-agent] Fixed logging problem.
501
502
503 Noteworthy changes in version 1.9.11 (2004-10-01)
504 -------------------------------------------------
505
506  * When using --import along with --with-validation, the imported
507    certificates are validated and only imported if they are fully
508    valid.
509
510  * [gpg-agent] New option --max-cache-ttl.
511
512  * [gpg-agent] When used without --daemon or --server, gpg-agent now
513    check whether a agent is already running and usable.
514
515  * Fixed some i18n problems.
516
517
518 Noteworthy changes in version 1.9.10 (2004-07-22)
519 -------------------------------------------------
520
521  * Fixed a serious bug in the checking of trusted root certificates.
522
523  * New configure option --enable-agent-pnly allows to build and
524    install just the agent.
525
526  * Fixed a problem with the log file handling.
527
528
529 Noteworthy changes in version 1.9.9 (2004-06-08)
530 ------------------------------------------------
531
532  * [gpg-agent] The new option --allow-mark-trusted is now required to
533    allow gpg-agent to add a key to the trustlist.txt after user
534    confirmation.
535
536  * Creating PKCS#10 requests does now honor the key usage.
537
538
539 Noteworthy changes in version 1.9.8 (2004-04-29)
540 ------------------------------------------------
541
542  * [scdaemon] Overhauled the internal CCID driver.
543
544  * [scdaemon] Status files named ~/.gnupg/reader_<n>.status are now
545    written when using the internal CCID driver.
546
547  * [gpgsm] New commands --dump-{,secret,external}-keys to show a very
548    detailed view of the certificates.
549
550  * The keybox gets now compressed after 3 hours and ephemeral
551    stored certificates are deleted after about a day.
552
553  * [gpg] Usability fixes for --card-edit.  Note, that this has already
554    been ported back to gnupg-1.3
555
556
557 Noteworthy changes in version 1.9.7 (2004-04-06)
558 ------------------------------------------------
559
560  * Instrumented the modules for gpgconf.
561
562  * Added support for DINSIG card applications.
563
564  * Include the smimeCapabilities attribute with signed messages.
565
566  * Now uses the gettext domain "gnupg2" to avoid conflicts with gnupg
567    versions < 1.9.
568
569
570 Noteworthy changes in version 1.9.6 (2004-03-06)
571 ------------------------------------------------
572
573  * Code cleanups and bug fixes.
574
575
576 Noteworthy changes in version 1.9.5 (2004-02-21)
577 ------------------------------------------------
578
579  * gpg-protect-tool gets now installed into libexec as it ought to be.
580    Cleaned up the build system to better comply with the coding
581    standards.
582
583  * [gpgsm] The --import command is now able to autodetect pkcs#12
584    files and import secret and private keys from this file format.
585    A new command --export-secret-key-p12 is provided to allow
586    exporting of secret keys in PKCS\#12 format.
587
588  * [gpgsm] The pinentry will now present a description of the key for
589    whom the passphrase is requested.
590
591  * [gpgsm] New option --with-validation to check the validity of key
592    while listing it.
593
594  * New option --debug-level={none,basic,advanced,expert,guru} to map
595    the debug flags to sensitive levels on a per program base.
596
597
598 Noteworthy changes in version 1.9.4 (2004-01-30)
599 ------------------------------------------------
600
601  * Added support for the Telesec NKS 2.0 card application.
602
603  * Added simple tool addgnupghome to create .gnupg directories from
604    /etc/skel/.gnupg.
605
606  * Various minor bug fixes and cleanups; mainly gpgsm and gpg-agent
607    related.
608
609
610 Noteworthy changes in version 1.9.3 (2003-12-23)
611 ------------------------------------------------
612
613  * New gpgsm options --{enable,disable}-ocsp to validate keys using
614    OCSP. This option requires a not yet released DirMngr version.
615    Default is disabled.
616
617  * The --log-file option may now be used to print logs to a socket.
618    Prefix the socket name with "socket://" to enable this.  This does
619    not work on all systems and falls back to stderr if there is a
620    problem with the socket.
621
622  * The options --encrypt-to and --no-encrypt-to now work the same in
623    gpgsm as in gpg.  Note, they are also used in server mode.
624
625  * Duplicated recipients are now silently removed in gpgsm.
626
627
628 Noteworthy changes in version 1.9.2 (2003-11-17)
629 ------------------------------------------------
630
631  * On card key generation is no longer done using the --gen-key
632    command but from the menu provided by the new --card-edit command.
633
634  * PINs are now properly cached and there are only 2 PINs visible.
635    The 3rd PIN (CHV2) is internally syncronized with the regular PIN.
636
637  * All kind of other internal stuff.
638
639
640 Noteworthy changes in version 1.9.1 (2003-09-06)
641 ------------------------------------------------
642
643  * Support for OpenSC is back. scdaemon supports a --disable-opensc to
644    disable OpenSC use at runtime, so that PC/SC or ct-API can still be
645    used directly.
646
647  * Rudimentary support for the SCR335 smartcard reader using an
648    internal driver.  Requires current libusb from CVS.
649
650  * Bug fixes.
651
652
653 Noteworthy changes in version 1.9.0 (2003-08-05)
654 ------------------------------------------------
655
656       ====== PLEASE SEE README-alpha =======
657
658  * gpg has been renamed to gpg2 and gpgv to gpgv2.  This is a
659    temporary change to allow co-existing with stable gpg versions.
660
661  * ~/.gnupg/gpg.conf-1.9.0 is fist tried as config file before the
662    usual gpg.conf.
663
664  * Removed the -k, -kv and -kvv commands.  -k is now an alias to
665    --list-keys.  New command -K as alias for --list-secret-keys.
666
667  * Removed --run-as-shm-coprocess feature.
668
669  * gpg does now also use libgcrypt, libgpg-error is required.
670
671  * New gpgsm commands --call-dirmngr and --call-protect-tool.
672
673  * Changing a passphrase is now possible using "gpgsm --passwd"
674
675  * The content-type attribute is now recognized and created.
676
677  * The agent does now reread certain options on receiving a HUP.
678
679  * The pinentry is now forked for each request so that clients with
680    different environments are supported.  When running in daemon mode
681    and --keep-display is not used the DISPLAY variable is ignored.
682
683  * Merged stuff from the newpg branch and started this new
684    development branch.
685
686
687  Copyright 2002, 2003, 2004, 2005, 2006, 2007,
688            2008, 2009  Free Software Foundation, Inc.
689
690  This file is free software; as a special exception the author gives
691  unlimited permission to copy and/or distribute it, with or without
692  modifications, as long as this notice is preserved.
693
694  This file is distributed in the hope that it will be useful, but
695  WITHOUT ANY WARRANTY, to the extent permitted by law; without even the
696  implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.