scd: Fix possible NULL deref in apdu.c
[gnupg.git] / NEWS
1 Noteworthy changes in version 2.0.28 (unreleased)
2 -------------------------------------------------
3
4
5 Noteworthy changes in version 2.0.27 (2015-02-18)
6 -------------------------------------------------
7
8  * gpg: Detect faulty use of --verify on detached signatures.
9
10  * gpg: New import option "keep-ownertrust".
11
12  * gpg: Uses SHA-256 for all signature types also on RSA keys.
13
14  * gpg: Added support for algo names when generating keys using the
15    --command-fd method.
16
17  * gpg: Unless --allow-weak-digest-algos is used the insecure MD5
18    based fingerprints are shown as all zeroe
19
20  * gpg: Fixed DoS based on bogus and overlong key packets.
21
22  * gpg: Better error reporting for keyserver problems.
23
24  * Fixed several bugs related to bogus keyrings and improved some
25    other code.
26
27
28 Noteworthy changes in version 2.0.26 (2014-08-12)
29 -------------------------------------------------
30
31  * gpg: Fix a regression in 2.0.24 if a subkey id is given
32    to --recv-keys et al.
33
34  * gpg: Cap attribute packets at 16MB.
35
36  * gpgsm: Auto-create the ".gnupg" home directory in the same
37    way gpg does.
38
39  * scdaemon: Allow for certificates > 1024 when using PC/SC.
40
41
42 Noteworthy changes in version 2.0.25 (2014-06-30)
43 -------------------------------------------------
44
45  * gpg: Fix a regression in 2.0.24 if more than one keyid is given
46    to --recv-keys et al.
47
48  * gpg: Cap RSA and Elgamal keysize at 4096 bit also for unattended
49    key generation.
50
51  * gpgsm: Fix a DISPLAY related problem with --export-secret-key-p12.
52
53  * scdaemon: Support reader Gemalto IDBridge CT30.
54
55
56 Noteworthy changes in version 2.0.24 (2014-06-24)
57 -------------------------------------------------
58
59  * gpg: Avoid DoS due to garbled compressed data packets. [CVE-2014-4617]
60
61  * gpg: Screen keyserver responses to avoid importing unwanted keys
62    from rogue servers.
63
64  * gpg: The validity of user ids is now shown by default.  To revert
65    this add "list-options no-show-uid-validity" to gpg.conf.
66
67  * gpg: Print more specific reason codes with the INV_RECP status.
68
69  * gpg: Allow loading of a cert only key to an OpenPGP card.
70
71  * gpg-agent: Make ssh support for ECDSA keys work with Libgcrypt 1.6.
72
73
74 Noteworthy changes in version 2.0.23 (2014-06-03)
75 -------------------------------------------------
76
77  * gpg: Reject signatures made using the MD5 hash algorithm unless the
78    new option --allow-weak-digest-algos or --pgp2 are given.
79
80  * gpg: Do not create a trustdb file if --trust-model=always is used.
81
82  * gpg: Only the major version number is by default included in the
83    armored output.
84
85  * gpg: Print a warning if the Gnome-Keyring-Daemon intercepts the
86    communication with the gpg-agent.
87
88  * gpg: The format of the fallback key listing ("gpg KEYFILE") is now more
89    aligned to the regular key listing ("gpg -k").
90
91  * gpg: The option--show-session-key prints its output now before the
92    decryption of the bulk message starts.
93
94  * gpg: New %U expando for the photo viewer.
95
96  * gpgsm: Improved handling of re-issued CA certificates.
97
98  * scdaemon: Various fixes for pinpad equipped card readers.
99
100  * Minor bug fixes.
101
102
103 Noteworthy changes in version 2.0.22 (2013-10-04)
104 -------------------------------------------------
105
106  * Fixed possible infinite recursion in the compressed packet
107    parser. [CVE-2013-4402]
108
109  * Improved support for some card readers.
110
111  * Prepared building with the forthcoming Libgcrypt 1.6.
112
113  * Protect against rogue keyservers sending secret keys.
114
115
116 Noteworthy changes in version 2.0.21 (2013-08-19)
117 -------------------------------------------------
118
119  * gpg-agent: By default the users are now asked via the Pinentry
120    whether they trust an X.509 root key.  To prohibit interactive
121    marking of such keys, the new option --no-allow-mark-trusted may
122    be used.
123
124  * gpg-agent: The command KEYINFO has options to add info from
125    sshcontrol.
126
127  * The included ssh agent does now support ECDSA keys.
128
129  * The new option --enable-putty-support allows gpg-agent to act on
130    Windows as a Pageant replacement with full smartcard support.
131
132  * Support installation as portable application under Windows.
133
134
135 Noteworthy changes in version 2.0.20 (2013-05-10)
136 -------------------------------------------------
137
138  * Decryption using smartcards keys > 3072 bit does now work.
139
140  * New meta option ignore-invalid-option to allow using the same
141    option file by other GnuPG versions.
142
143  * gpg: The hash algorithm is now printed for sig records in key listings.
144
145  * gpg: Skip invalid keyblock packets during import to avoid a DoS.
146
147  * gpg: Correctly handle ports from DNS SRV records.
148
149  * keyserver: Improve use of SRV records
150
151  * gpg-agent: Avoid tty corruption when killing pinentry.
152
153  * scdaemon: Improve detection of card insertion and removal.
154
155  * scdaemon: Rename option --disable-keypad to --disable-pinpad.
156
157  * scdaemon: Better support for CCID readers.  Now, the internal CCID
158    driver supports readers without the auto configuration feature.
159
160  * scdaemon: Add pinpad input for PC/SC, if your reader has pinpad and
161    it supports variable length PIN input, and you specify
162    --enable-pinpad-varlen option.
163
164  * scdaemon: New option --enable-pinpad-varlen.
165
166  * scdaemon: Install into libexecdir to avoid accidental execution
167    from the command line.
168
169  * Support building using w64-mingw32.
170
171  * Assorted bug fixes.
172
173
174 Noteworthy changes in version 2.0.19 (2012-03-27)
175 -------------------------------------------------
176
177  * GPG now accepts a space separated fingerprint as a user ID.  This
178    allows to copy and paste the fingerprint from the key listing.
179
180  * GPG now uses the longest key ID available.  Removed support for the
181    original HKP keyserver which is not anymore used by any site.
182
183  * Rebuild the trustdb after changing the option --min-cert-level.
184
185  * Ukrainian translation.
186
187  * Honor option --cert-digest-algo when creating a cert.
188
189  * Emit a DECRYPTION_INFO status line.
190
191  * Improved detection of JPEG files.
192
193
194 Noteworthy changes in version 2.0.18 (2011-08-04)
195 -------------------------------------------------
196
197  * Bug fix for newer versions of Libgcrypt.
198
199  * Support the SSH confirm flag and show SSH fingerprints in ssh
200    related pinentries.
201
202  * Improved dirmngr/gpgsm interaction for OCSP.
203
204  * Allow generation of card keys up to 4096 bit.
205
206
207 Noteworthy changes in version 2.0.17 (2011-01-13)
208 -------------------------------------------------
209
210  * Allow more hash algorithms with the OpenPGP v2 card.
211
212  * The gpg-agent now tests for a new gpg-agent.conf on a HUP.
213
214  * Fixed output of "gpgconf --check-options".
215
216  * Fixed a bug where Scdaemon sends a signal to Gpg-agent running in
217    non-daemon mode.
218
219  * Fixed TTY management for pinentries and session variable update
220    problem.
221
222
223 Noteworthy changes in version 2.0.16 (2010-07-19)
224 -------------------------------------------------
225
226  * If the agent's --use-standard-socket option is active, all tools
227    try to start and daemonize the agent on the fly.  In the past this
228    was only supported on W32; on non-W32 systems the new configure
229    option --enable-standard-socket may now be used to use this feature
230    by default.
231
232  * The gpg-agent commands KILLAGENT and RELOADAGENT are now available
233    on all platforms.
234
235  * Minor bug fixes.
236
237
238 Noteworthy changes in version 2.0.15 (2010-03-09)
239 -------------------------------------------------
240
241  * New command --passwd for GPG.
242
243  * Fixes a regression in 2.0.14 which prevented unprotection of new
244    or changed gpg-agent passphrases.
245
246  * Make use of libassuan 2.0 which is available as a DSO.
247
248
249 Noteworthy changes in version 2.0.14 (2009-12-21)
250 -------------------------------------------------
251
252  * The default for --include-cert is now to include all certificates
253    in the chain except for the root certificate.
254
255  * Numerical values may now be used as an alternative to the
256    debug-level keywords.
257
258  * The GPGSM --audit-log feature is now more complete.
259
260  * GPG now supports DNS lookups for SRV, PKA and CERT on W32.
261
262  * New GPGSM option --ignore-cert-extension.
263
264  * New and changed passphrases are now created with an iteration count
265    requiring about 100ms of CPU work.
266
267
268 Noteworthy changes in version 2.0.13 (2009-09-04)
269 -------------------------------------------------
270
271  * GPG now generates 2048 bit RSA keys by default.  The default hash
272    algorithm preferences has changed to prefer SHA-256 over SHA-1.
273    2048 bit DSA keys are now generated to use a 256 bit hash algorithm
274
275  * The envvars XMODIFIERS, GTK_IM_MODULE and QT_IM_MODULE are now
276    passed to the Pinentry to make SCIM work.
277
278  * The GPGSM command --gen-key features a --batch mode and implements
279    all features of gpgsm-gencert.sh in standard mode.
280
281  * New option --re-import for GPGSM's IMPORT server command.
282
283  * Enhanced writing of existing keys to OpenPGP v2 cards.
284
285  * Add hack to the internal CCID driver to allow the use of some
286    Omnikey based card readers with 2048 bit keys.
287
288  * GPG now repeatly asks the user to insert the requested OpenPGP
289    card.  This can be disabled with --limit-card-insert-tries=1.
290
291  * Minor bug fixes.
292
293
294 Noteworthy changes in version 2.0.12 (2009-06-17)
295 -------------------------------------------------
296
297  * GPGSM now always lists ephemeral certificates if specified by
298    fingerprint or keygrip.
299
300  * New command "KEYINFO" for GPG_AGENT.  GPGSM now also returns
301    information about smartcards.
302
303  * Made sure not to leak file descriptors if running gpg-agent with a
304    command.  Restore the signal mask to solve a problem in Mono.
305
306  * Changed order of the confirmation questions for root certificates
307    and store negative answers in trustlist.txt.
308
309  * Better synchronization of concurrent smartcard sessions.
310
311  * Support 2048 bit OpenPGP cards.
312
313  * Support Telesec Netkey 3 cards.
314
315  * The gpg-protect-tool now uses gpg-agent via libassuan.  Under
316    Windows the Pinentry will now be put into the foreground.
317
318  * Changed code to avoid a possible Mac OS X system freeze.
319
320
321 Noteworthy changes in version 2.0.11 (2009-03-03)
322 -------------------------------------------------
323
324  * Fixed a problem in SCDAEMON which caused unexpected card resets.
325
326  * SCDAEMON is now aware of the Geldkarte.
327
328  * The SCDAEMON option --allow-admin is now used by default.
329
330  * GPGCONF now restarts SCdaemon if necessary.
331
332  * The default cipher algorithm in GPGSM is now again 3DES.  This is
333    due to interoperability problems with Outlook 2003 which still
334    can't cope with AES.
335
336
337 Noteworthy changes in version 2.0.10 (2009-01-12)
338 -------------------------------------------------
339
340  * [gpg] New keyserver helper gpg2keys_kdns as generic DNS CERT
341    lookup.  Run with --help for a short description.  Requires the
342    ADNS library.
343
344  * [gpg] New mechanisms "local" and "nodefault" for --auto-key-locate.
345    Fixed a few problems with this option.
346
347  * [gpg] New command --locate-keys.
348
349  * [gpg] New options --with-sig-list and --with-sig-check.
350
351  * [gpg] The option "-sat" is no longer an alias for --clearsign.
352
353  * [gpg] The option --fixed-list-mode is now implicitly used and obsolete.
354
355  * [gpg] New control statement %ask-passphrase for the unattended key
356    generation.
357
358  * [gpg] The algorithm to compute the SIG_ID status has been changed.
359
360  * [gpgsm] Now uses AES by default.
361
362  * [gpgsm] Made --output option work with --export-secret-key-p12.
363
364  * [gpg-agent] Terminate process if the own listening socket is not
365    anymore served by ourself.
366
367  * [scdaemon] Made it more robust on W32.
368
369  * [gpg-connect-agent] Accept commands given as command line arguments.
370
371  * [w32] Initialized the socket subsystem for all keyserver helpers.
372
373  * [w32] The sysconf directory has been moved from a subdirectory of
374    the installation directory to %CSIDL_COMMON_APPDATA%/GNU/etc/gnupg.
375
376  * [w32] The gnupg2.nls directory is not anymore used.  The standard
377    locale directory is now used.
378
379  * [w32] Fixed a race condition between gpg and gpgsm in the use of
380    temporary file names.
381
382  * The gpg-preset-passphrase mechanism works again.  An arbitrary
383    string may now be used for a custom cache ID.
384
385  * Admin PINs are cached again (bug in 2.0.9).
386
387  * Support for version 2 OpenPGP cards.
388
389  * Libgcrypt 1.4 is now required.
390
391
392 Noteworthy changes in version 2.0.9 (2008-03-26)
393 ------------------------------------------------
394
395  * Gpgsm always tries to locate missing certificates from a running
396    Dirmngr's cache.
397
398  * Tweaks for Windows.
399
400  * The Admin PIN for OpenPGP cards may now be entered with the pinpad.
401
402  * Improved certificate chain construction.
403
404  * Extended the PKITS framework.
405
406  * Fixed a bug in the ambigious name detection.
407
408  * Fixed possible memory corruption while importing OpenPGP keys (bug
409    introduced with 2.0.8). [CVE-2008-1530]
410
411  * Minor bug fixes.
412
413
414 Noteworthy changes in version 2.0.8 (2007-12-20)
415 ------------------------------------------------
416
417  * Enhanced gpg-connect-agent with a small scripting language.
418
419  * New option --list-config for gpgconf.
420
421  * Fixed a crash in gpgconf.
422
423  * Gpg-agent now supports the passphrase quality bar of the latest
424    Pinentry.
425
426  * The envvars XAUTHORITY and PINENTRY_USER_DATA are now passed to the
427    Pinentry.
428
429  * Fixed the auto creation of the key stub for smartcards.
430
431  * Fixed a rare bug in decryption using the OpenPGP card.
432
433  * Creating DSA2 keys is now possible.
434
435  * New option --extra-digest-algo for gpgsm to allow verification of
436    broken signatures.
437
438  * Allow encryption with legacy Elgamal sign+encrypt keys with option
439    --rfc2440.
440
441  * Windows is now a supported platform.
442
443  * Made sure that under Windows the file permissions of the socket are
444    taken into account.  This required a change of our socket emulation
445    code and changed the IPC protocol under Windows.
446
447
448 Noteworthy changes in version 2.0.7 (2007-09-10)
449 ------------------------------------------------
450
451  * Fixed encryption problem if duplicate certificates are in the
452    keybox.
453
454  * Made it work on Windows Vista.  Note that the entire Windows port
455    is still considered Beta.
456
457  * Add new options min-passphrase-nonalpha, check-passphrase-pattern,
458    enforce-passphrase-constraints and max-passphrase-days to
459    gpg-agent.
460
461  * Add command --check-components to gpgconf.  Gpgconf now uses the
462    installed versions of the programs and does not anymore search via
463    PATH for them.
464
465
466 Noteworthy changes in version 2.0.6 (2007-08-16)
467 ------------------------------------------------
468
469  * GPGSM does now grok --default-key.
470
471  * GPGCONF is now aware of --default-key and --encrypt-to.
472
473  * GPGSM does again correctly print the serial number as well the the
474    various keyids.  This was broken since 2.0.4.
475
476  * New option --validation-model and support for the chain-model.
477
478  * Improved Windows support.
479
480
481 Noteworthy changes in version 2.0.5 (2007-07-05)
482 ------------------------------------------------
483
484  * Switched license to GPLv3.
485
486  * Basic support for Windows.  Run "./autogen.sh --build-w32" to build
487    it.  As usual the mingw cross compiling toolchain is required.
488
489  * Fixed bug when using the --p12-charset without --armor.
490
491  * The command --gen-key may now be used instead of the
492    gpgsm-gencert.sh script.
493
494  * Changed key generation to reveal less information about the
495    machine.  Bug fixes for gpg2's card key generation.
496
497
498 Noteworthy changes in version 2.0.4 (2007-05-09)
499 ------------------------------------------------
500
501  * The server mode key listing commands are now also working for
502    systems without the funopen/fopencookie API.
503
504  * PKCS#12 import now tries several encodings in case the passphrase
505    was not utf-8 encoded.  New option --p12-charset for gpgsm.
506
507  * Improved the libgcrypt logging support in all modules.
508
509
510 Noteworthy changes in version 2.0.3 (2007-03-08)
511 ------------------------------------------------
512
513  * By default, do not allow processing multiple plaintexts in a single
514    stream.  Many programs that called GnuPG were assuming that GnuPG
515    did not permit this, and were thus not using the plaintext boundary
516    status tags that GnuPG provides.  This change makes GnuPG reject
517    such messages by default which makes those programs safe again.
518    --allow-multiple-messages returns to the old behavior. [CVE-2007-1263].
519
520  * New --verify-option show-primary-uid-only.
521
522  * gpgconf may now reads a global configuration file to select which
523    options are changeable by a frontend.  The new applygnupgdefaults
524    tool may be used by an admin to set default options for all users.
525
526  * The PIN pad of the Cherry XX44 keyboard is now supported.  The
527    DINSIG and the NKS applications are now also aware of PIN pads.
528
529
530 Noteworthy changes in version 2.0.2 (2007-01-31)
531 ------------------------------------------------
532
533  * Fixed a serious and exploitable bug in processing encrypted
534    packages. [CVE-2006-6235].
535
536  * Added --passphrase-repeat to set the number of times GPG will
537    prompt for a new passphrase to be repeated.  This is useful to help
538    memorize a new passphrase.  The default is 1 repetition.
539
540  * Using a PIN pad does now also work for the signing key.
541
542  * A warning is displayed by gpg-agent if a new passphrase is too
543    short.  New option --min-passphrase-len defaults to 8.
544
545  * The status code BEGIN_SIGNING now shows the used hash algorithms.
546
547
548 Noteworthy changes in version 2.0.1 (2006-11-28)
549 ------------------------------------------------
550
551  * Experimental support for the PIN pads of the SPR 532 and the Kaan
552    Advanced card readers.  Add "disable-keypad" scdaemon.conf if you
553    don't want it.  Does currently only work for the OpenPGP card and
554    its authentication and decrypt keys.
555
556  * Fixed build problems on some some platforms and crashes on amd64.
557
558  * Fixed a buffer overflow in gpg2. [bug#728,CVE-2006-6169]
559
560
561 Noteworthy changes in version 2.0.0 (2006-11-11)
562 ------------------------------------------------
563
564  * First stable version of a GnuPG integrating OpenPGP and S/MIME.
565
566
567 Noteworthy changes in version 1.9.95 (2006-11-06)
568 -------------------------------------------------
569
570  * Minor bug fixes.
571
572
573 Noteworthy changes in version 1.9.94 (2006-10-24)
574 -------------------------------------------------
575
576  * Keys for gpgsm may now be specified using a keygrip.  A keygrip is
577    indicated by a prefixing it with an ampersand.
578
579  * gpgconf now supports switching the CMS cipher algo (e.g. to AES).
580
581  * New command --gpgconf-test for all major tools. This may be used to
582    check whether the configuration file is sane.
583
584
585 Noteworthy changes in version 1.9.93 (2006-10-18)
586 -------------------------------------------------
587
588  * In --with-validation mode gpgsm will now also ask whether a root
589    certificate should be trusted.
590
591  * Link to Pth only if really necessary.
592
593  * Fixed a pubring corruption bug in gpg2 occurring when importing
594    signatures or keys with insane lengths.
595
596  * Fixed v3 keyID calculation bug in gpg2.
597
598  * More tweaks for certificates without extensions.
599
600
601 Noteworthy changes in version 1.9.92 (2006-10-11)
602 -------------------------------------------------
603
604  * Bug fixes.
605
606
607 Noteworthy changes in version 1.9.91 (2006-10-04)
608 -------------------------------------------------
609
610  * New "relax" flag for trustlist.txt to allow root CA certificates
611    without BasicContraints.
612
613  * [gpg2] Removed the -k PGP 2 compatibility hack.  -k is now an
614    alias for --list-keys.
615
616  * [gpg2] Print a warning if "-sat" is used instead of "--clearsign".
617
618
619 Noteworthy changes in version 1.9.90 (2006-09-25)
620 -------------------------------------------------
621
622  * Made readline work for gpg.
623
624  * Cleanups und minor bug fixes.
625
626  * Included translations from gnupg 1.4.5.
627
628
629 Noteworthy changes in version 1.9.23 (2006-09-18)
630 -------------------------------------------------
631
632  * Regular man pages for most tools are now build directly from the
633    Texinfo source.
634
635  * The gpg code from 1.4.5 has been fully merged into this release.
636    The configure option --enable-gpg is still required to build this
637    gpg part.  For production use of OpenPGP the gpg version 1.4.5 is
638    still recommended.  Note, that gpg will be installed under the name
639    gpg2 to allow coexisting with an 1.4.x gpg.
640
641  * API change in gpg-agent's pkdecrypt command.  Thus an older gpgsm
642    may not be used with the current gpg-agent.
643
644  * The scdaemon will now call a script on reader status changes.
645
646  * gpgsm now allows file descriptor passing for "INPUT", "OUTPUT" and
647    "MESSAGE".
648
649  * The gpgsm server may now output a key listing to the output file
650    handle. This needs to be enabled using "OPTION list-to-output=1".
651
652  * The --output option of gpgsm has now an effect on list-keys.
653
654  * New gpgsm commands --dump-chain and list-chain.
655
656  * gpg-connect-agent has new options to utilize descriptor passing.
657
658  * A global trustlist may now be used.  See doc/examples/trustlist.txt.
659
660  * When creating a new pubring.kbx keybox common certificates are
661    imported.
662
663
664 Noteworthy changes in version 1.9.22 (2006-07-27)
665 -------------------------------------------------
666
667  * Enhanced pkcs#12 support to allow import from simple keyBags.
668
669  * Exporting to pkcs#12 now create bag attributes so that Mozilla is
670    able to import the files.
671
672  * Fixed uploading of certain keys to the smart card.
673
674
675 Noteworthy changes in version 1.9.21 (2006-06-20)
676 -------------------------------------------------
677
678  * New command APDU for scdaemon to allow using it for general card
679    access.  Might be used through gpg-connect-agent by using the SCD
680    prefix command.
681
682  * Support for the CardMan 4040 PCMCIA reader (Linux 2.6.15 required).
683
684  * Scdaemon does not anymore reset cards at the end of a connection.
685
686  * Kludge to allow use of Bundesnetzagentur issued X.509 certificates.
687
688  * Added --hash=xxx option to scdaemon's PKSIGN command.
689
690  * Pkcs#12 files are now created with a MAC.  This is for better
691    interoperability.
692
693  * Collected bug fixes and minor other changes.
694
695
696 Noteworthy changes in version 1.9.20 (2005-12-20)
697 -------------------------------------------------
698
699  * Importing pkcs#12 files created be recent versions of Mozilla works
700    again.
701
702  * Basic support for qualified signatures.
703
704  * New debug tool gpgparsemail.
705
706
707 Noteworthy changes in version 1.9.19 (2005-09-12)
708 -------------------------------------------------
709
710  * The Belgian eID card is now supported for signatures and ssh.
711    Other pkcs#15 cards should work as well.
712
713  * Fixed bug in --export-secret-key-p12 so that certificates are again
714    included.
715
716
717 Noteworthy changes in version 1.9.18 (2005-08-01)
718 -------------------------------------------------
719
720  * [gpgsm] Now allows for more than one email address as well as URIs
721    and dnsNames in certificate request generation.  A keygrip may be
722    given to create a request from an existing key.
723
724  * A couple of minor bug fixes.
725
726
727 Noteworthy changes in version 1.9.17 (2005-06-20)
728 -------------------------------------------------
729
730  * gpg-connect-agent has now features to handle Assuan INQUIRE
731    commands.
732
733  * Internal changes for OpenPGP cards. New Assuan command WRITEKEY.
734
735  * GNU Pth is now a hard requirement.
736
737  * [scdaemon] Support for OpenSC has been removed.  Instead a new and
738    straightforward pkcs#15 modules has been written.  As of now it
739    does allows only signing using TCOS cards but we are going to
740    enhance it to match all the old capabilities.
741
742  * [gpg-agent] New option --write-env-file and Assuan command
743    UPDATESTARTUPTTY.
744
745  * [gpg-agent] New option --default-cache-ttl-ssh to set the TTL for
746    SSH passphrase caching independent from the other passphrases.
747
748
749 Noteworthy changes in version 1.9.16 (2005-04-21)
750 -------------------------------------------------
751
752  * gpg-agent does now support the ssh-agent protocol and thus allows
753    to use the pinentry as well as the OpenPGP smartcard with ssh.
754
755  * New tool gpg-connect-agent as a general client for the gpg-agent.
756
757  * New tool symcryptrun as a wrapper for certain encryption tools.
758
759  * The gpg tool is not anymore build by default because those gpg
760    versions available in the gnupg 1.4 series are far more matured.
761
762
763 Noteworthy changes in version 1.9.15 (2005-01-13)
764 -------------------------------------------------
765
766  * Fixed passphrase caching bug.
767
768  * Better support for CCID readers; the reader from Cherry RS 6700 USB
769    does now work.
770
771
772 Noteworthy changes in version 1.9.14 (2004-12-22)
773 -------------------------------------------------
774
775  * [gpg-agent] New option --use-standard-socket to allow the use of a
776    fixed socket.  gpgsm falls back to this socket if GPG_AGENT_INFO
777    has not been set.
778
779  * Ported to MS Windows with some functional limitations.
780
781  * New tool gpg-preset-passphrase.
782
783
784 Noteworthy changes in version 1.9.13 (2004-12-03)
785 -------------------------------------------------
786
787  * [gpgsm] New option --prefer-system-dirmngr.
788
789  * Minor cleanups and debugging aids.
790
791
792 Noteworthy changes in version 1.9.12 (2004-10-22)
793 -------------------------------------------------
794
795  * [scdaemon] Partly rewrote the PC/SC code.
796
797  * Removed the sc-investigate tool.  It is now in a separate package
798    available at ftp://ftp.g10code.com/g10code/gscutils/ .
799
800  * [gpg-agent] Fixed logging problem.
801
802
803 Noteworthy changes in version 1.9.11 (2004-10-01)
804 -------------------------------------------------
805
806  * When using --import along with --with-validation, the imported
807    certificates are validated and only imported if they are fully
808    valid.
809
810  * [gpg-agent] New option --max-cache-ttl.
811
812  * [gpg-agent] When used without --daemon or --server, gpg-agent now
813    check whether a agent is already running and usable.
814
815  * Fixed some i18n problems.
816
817
818 Noteworthy changes in version 1.9.10 (2004-07-22)
819 -------------------------------------------------
820
821  * Fixed a serious bug in the checking of trusted root certificates.
822
823  * New configure option --enable-agent-pnly allows to build and
824    install just the agent.
825
826  * Fixed a problem with the log file handling.
827
828
829 Noteworthy changes in version 1.9.9 (2004-06-08)
830 ------------------------------------------------
831
832  * [gpg-agent] The new option --allow-mark-trusted is now required to
833    allow gpg-agent to add a key to the trustlist.txt after user
834    confirmation.
835
836  * Creating PKCS#10 requests does now honor the key usage.
837
838
839 Noteworthy changes in version 1.9.8 (2004-04-29)
840 ------------------------------------------------
841
842  * [scdaemon] Overhauled the internal CCID driver.
843
844  * [scdaemon] Status files named ~/.gnupg/reader_<n>.status are now
845    written when using the internal CCID driver.
846
847  * [gpgsm] New commands --dump-{,secret,external}-keys to show a very
848    detailed view of the certificates.
849
850  * The keybox gets now compressed after 3 hours and ephemeral
851    stored certificates are deleted after about a day.
852
853  * [gpg] Usability fixes for --card-edit.  Note, that this has already
854    been ported back to gnupg-1.3
855
856
857 Noteworthy changes in version 1.9.7 (2004-04-06)
858 ------------------------------------------------
859
860  * Instrumented the modules for gpgconf.
861
862  * Added support for DINSIG card applications.
863
864  * Include the smimeCapabilities attribute with signed messages.
865
866  * Now uses the gettext domain "gnupg2" to avoid conflicts with gnupg
867    versions < 1.9.
868
869
870 Noteworthy changes in version 1.9.6 (2004-03-06)
871 ------------------------------------------------
872
873  * Code cleanups and bug fixes.
874
875
876 Noteworthy changes in version 1.9.5 (2004-02-21)
877 ------------------------------------------------
878
879  * gpg-protect-tool gets now installed into libexec as it ought to be.
880    Cleaned up the build system to better comply with the coding
881    standards.
882
883  * [gpgsm] The --import command is now able to autodetect pkcs#12
884    files and import secret and private keys from this file format.
885    A new command --export-secret-key-p12 is provided to allow
886    exporting of secret keys in PKCS\#12 format.
887
888  * [gpgsm] The pinentry will now present a description of the key for
889    whom the passphrase is requested.
890
891  * [gpgsm] New option --with-validation to check the validity of key
892    while listing it.
893
894  * New option --debug-level={none,basic,advanced,expert,guru} to map
895    the debug flags to sensitive levels on a per program base.
896
897
898 Noteworthy changes in version 1.9.4 (2004-01-30)
899 ------------------------------------------------
900
901  * Added support for the Telesec NKS 2.0 card application.
902
903  * Added simple tool addgnupghome to create .gnupg directories from
904    /etc/skel/.gnupg.
905
906  * Various minor bug fixes and cleanups; mainly gpgsm and gpg-agent
907    related.
908
909
910 Noteworthy changes in version 1.9.3 (2003-12-23)
911 ------------------------------------------------
912
913  * New gpgsm options --{enable,disable}-ocsp to validate keys using
914    OCSP. This option requires a not yet released DirMngr version.
915    Default is disabled.
916
917  * The --log-file option may now be used to print logs to a socket.
918    Prefix the socket name with "socket://" to enable this.  This does
919    not work on all systems and falls back to stderr if there is a
920    problem with the socket.
921
922  * The options --encrypt-to and --no-encrypt-to now work the same in
923    gpgsm as in gpg.  Note, they are also used in server mode.
924
925  * Duplicated recipients are now silently removed in gpgsm.
926
927
928 Noteworthy changes in version 1.9.2 (2003-11-17)
929 ------------------------------------------------
930
931  * On card key generation is no longer done using the --gen-key
932    command but from the menu provided by the new --card-edit command.
933
934  * PINs are now properly cached and there are only 2 PINs visible.
935    The 3rd PIN (CHV2) is internally syncronized with the regular PIN.
936
937  * All kind of other internal stuff.
938
939
940 Noteworthy changes in version 1.9.1 (2003-09-06)
941 ------------------------------------------------
942
943  * Support for OpenSC is back. scdaemon supports a --disable-opensc to
944    disable OpenSC use at runtime, so that PC/SC or ct-API can still be
945    used directly.
946
947  * Rudimentary support for the SCR335 smartcard reader using an
948    internal driver.  Requires current libusb from CVS.
949
950  * Bug fixes.
951
952
953 Noteworthy changes in version 1.9.0 (2003-08-05)
954 ------------------------------------------------
955
956       ====== PLEASE SEE README-alpha =======
957
958  * gpg has been renamed to gpg2 and gpgv to gpgv2.  This is a
959    temporary change to allow co-existing with stable gpg versions.
960
961  * ~/.gnupg/gpg.conf-1.9.0 is fist tried as config file before the
962    usual gpg.conf.
963
964  * Removed the -k, -kv and -kvv commands.  -k is now an alias to
965    --list-keys.  New command -K as alias for --list-secret-keys.
966
967  * Removed --run-as-shm-coprocess feature.
968
969  * gpg does now also use libgcrypt, libgpg-error is required.
970
971  * New gpgsm commands --call-dirmngr and --call-protect-tool.
972
973  * Changing a passphrase is now possible using "gpgsm --passwd"
974
975  * The content-type attribute is now recognized and created.
976
977  * The agent does now reread certain options on receiving a HUP.
978
979  * The pinentry is now forked for each request so that clients with
980    different environments are supported.  When running in daemon mode
981    and --keep-display is not used the DISPLAY variable is ignored.
982
983  * Merged stuff from the newpg branch and started this new
984    development branch.
985
986
987  Copyright 2002, 2003, 2004, 2005, 2006, 2007, 2008, 2009,
988            2010, 2011  Free Software Foundation, Inc.
989
990  This file is free software; as a special exception the author gives
991  unlimited permission to copy and/or distribute it, with or without
992  modifications, as long as this notice is preserved.
993
994  This file is distributed in the hope that it will be useful, but
995  WITHOUT ANY WARRANTY, to the extent permitted by law; without even the
996  implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.