Impleemned gpgsm's IMPORT --re-import feature.
[gnupg.git] / NEWS
1 Noteworthy changes in version 2.0.13
2 -------------------------------------------------
3
4  * The envvars XMODIFIERS, GTK_IM_MODULE and QT_IM_MODULE are now
5    passed to the Pinentry to make SCIM work.
6
7  * gpgsm --gen-key implements a --batch mode.
8
9  * gpgsm --gen-key implements all features of gpgsm-gencert.sh.
10
11  * New option --re-import for gpgsm's IMPORT server command.
12
13  * Minor bug fixes.
14
15
16 Noteworthy changes in version 2.0.12 (2009-06-17)
17 -------------------------------------------------
18
19  * GPGSM now always lists ephemeral certificates if specified by
20    fingerprint or keygrip.
21
22  * New command "KEYINFO" for GPG_AGENT.  GPGSM now also returns
23    information about smartcards.
24
25  * Made sure not to leak file descriptors if running gpg-agent with a
26    command.  Restore the signal mask to solve a problem in Mono.
27
28  * Changed order of the confirmation questions for root certificates
29    and store negative answers in trustlist.txt.
30
31  * Better synchronization of concurrent smartcard sessions.
32
33  * Support 2048 bit OpenPGP cards.
34
35  * Support Telesec Netkey 3 cards.
36
37  * The gpg-protect-tool now uses gpg-agent via libassuan.  Under
38    Windows the Pinentry will now be put into the foreground.
39
40  * Changed code to avoid a possible Mac OS X system freeze.
41
42
43 Noteworthy changes in version 2.0.11 (2009-03-03)
44 -------------------------------------------------
45
46  * Fixed a problem in SCDAEMON which caused unexpected card resets.
47
48  * SCDAEMON is now aware of the Geldkarte.
49
50  * The SCDAEMON option --allow-admin is now used by default.
51
52  * GPGCONF now restarts SCdaemon if necessary.
53
54  * The default cipher algorithm in GPGSM is now again 3DES.  This is
55    due to interoperability problems with Outlook 2003 which still
56    can't cope with AES.
57
58
59 Noteworthy changes in version 2.0.10 (2009-01-12)
60 -------------------------------------------------
61
62  * [gpg] New keyserver helper gpg2keys_kdns as generic DNS CERT
63    lookup.  Run with --help for a short description.  Requires the
64    ADNS library.
65
66  * [gpg] New mechanisms "local" and "nodefault" for --auto-key-locate.
67    Fixed a few problems with this option.
68
69  * [gpg] New command --locate-keys.
70
71  * [gpg] New options --with-sig-list and --with-sig-check.
72
73  * [gpg] The option "-sat" is no longer an alias for --clearsign.
74
75  * [gpg] The option --fixed-list-mode is now implicitly used and obsolete.
76
77  * [gpg] New control statement %ask-passphrase for the unattended key
78    generation.
79
80  * [gpg] The algorithm to compute the SIG_ID status has been changed.
81
82  * [gpgsm] Now uses AES by default.
83
84  * [gpgsm] Made --output option work with --export-secret-key-p12.
85
86  * [gpg-agent] Terminate process if the own listening socket is not
87    anymore served by ourself.
88
89  * [scdaemon] Made it more robust on W32.
90
91  * [gpg-connect-agent] Accept commands given as command line arguments.
92
93  * [w32] Initialized the socket subsystem for all keyserver helpers.
94
95  * [w32] The sysconf directory has been moved from a subdirectory of
96    the installation directory to %CSIDL_COMMON_APPDATA%/GNU/etc/gnupg.
97
98  * [w32] The gnupg2.nls directory is not anymore used.  The standard
99    locale directory is now used.  
100
101  * [w32] Fixed a race condition between gpg and gpgsm in the use of
102    temporary file names.
103
104  * The gpg-preset-passphrase mechanism works again.  An arbitrary
105    string may now be used for a custom cache ID.
106
107  * Admin PINs are cached again (bug in 2.0.9).
108
109  * Support for version 2 OpenPGP cards.
110
111  * Libgcrypt 1.4 is now required.
112
113
114 Noteworthy changes in version 2.0.9 (2008-03-26)
115 ------------------------------------------------
116
117  * Gpgsm always tries to locate missing certificates from a running
118    Dirmngr's cache.
119
120  * Tweaks for Windows.
121
122  * The Admin PIN for OpenPGP cards may now be entered with the pinpad.
123
124  * Improved certificate chain construction.
125
126  * Extended the PKITS framework.
127
128  * Fixed a bug in the ambigious name detection.
129
130  * Fixed possible memory corruption while importing OpenPGP keys (bug
131    introduced with 2.0.8). [CVE-2008-1530]
132
133  * Minor bug fixes.
134
135
136 Noteworthy changes in version 2.0.8 (2007-12-20)
137 ------------------------------------------------
138
139  * Enhanced gpg-connect-agent with a small scripting language.
140
141  * New option --list-config for gpgconf.
142
143  * Fixed a crash in gpgconf.
144
145  * Gpg-agent now supports the passphrase quality bar of the latest
146    Pinentry.
147
148  * The envvars XAUTHORITY and PINENTRY_USER_DATA are now passed to the
149    Pinentry.
150
151  * Fixed the auto creation of the key stub for smartcards.  
152
153  * Fixed a rare bug in decryption using the OpenPGP card.
154
155  * Creating DSA2 keys is now possible.
156
157  * New option --extra-digest-algo for gpgsm to allow verification of
158    broken signatures.
159
160  * Allow encryption with legacy Elgamal sign+encrypt keys with option
161    --rfc2440.
162
163  * Windows is now a supported platform.
164
165  * Made sure that under Windows the file permissions of the socket are
166    taken into account.  This required a change of our socket emulation
167    code and changed the IPC protocol under Windows.
168
169
170 Noteworthy changes in version 2.0.7 (2007-09-10)
171 ------------------------------------------------
172
173  * Fixed encryption problem if duplicate certificates are in the
174    keybox.
175
176  * Made it work on Windows Vista.  Note that the entire Windows port
177    is still considered Beta.
178
179  * Add new options min-passphrase-nonalpha, check-passphrase-pattern,
180    enforce-passphrase-constraints and max-passphrase-days to
181    gpg-agent.
182
183  * Add command --check-components to gpgconf.  Gpgconf now uses the
184    installed versions of the programs and does not anymore search via
185    PATH for them.
186
187
188 Noteworthy changes in version 2.0.6 (2007-08-16)
189 ------------------------------------------------
190
191  * GPGSM does now grok --default-key.
192
193  * GPGCONF is now aware of --default-key and --encrypt-to. 
194
195  * GPGSM does again correctly print the serial number as well the the
196    various keyids.  This was broken since 2.0.4.
197
198  * New option --validation-model and support for the chain-model.
199
200  * Improved Windows support.
201
202  
203 Noteworthy changes in version 2.0.5 (2007-07-05)
204 ------------------------------------------------
205
206  * Switched license to GPLv3.
207
208  * Basic support for Windows.  Run "./autogen.sh --build-w32" to build
209    it.  As usual the mingw cross compiling toolchain is required.
210
211  * Fixed bug when using the --p12-charset without --armor.
212
213  * The command --gen-key may now be used instead of the
214    gpgsm-gencert.sh script.
215
216  * Changed key generation to reveal less information about the
217    machine.  Bug fixes for gpg2's card key generation.
218
219
220 Noteworthy changes in version 2.0.4 (2007-05-09)
221 ------------------------------------------------
222
223  * The server mode key listing commands are now also working for
224    systems without the funopen/fopencookie API.
225
226  * PKCS#12 import now tries several encodings in case the passphrase
227    was not utf-8 encoded.  New option --p12-charset for gpgsm.
228
229  * Improved the libgcrypt logging support in all modules.
230
231
232 Noteworthy changes in version 2.0.3 (2007-03-08)
233 ------------------------------------------------
234
235  * By default, do not allow processing multiple plaintexts in a single
236    stream.  Many programs that called GnuPG were assuming that GnuPG
237    did not permit this, and were thus not using the plaintext boundary
238    status tags that GnuPG provides.  This change makes GnuPG reject
239    such messages by default which makes those programs safe again.
240    --allow-multiple-messages returns to the old behavior. [CVE-2007-1263].
241
242  * New --verify-option show-primary-uid-only. 
243
244  * gpgconf may now reads a global configuration file to select which
245    options are changeable by a frontend.  The new applygnupgdefaults
246    tool may be used by an admin to set default options for all users.
247
248  * The PIN pad of the Cherry XX44 keyboard is now supported.  The
249    DINSIG and the NKS applications are now also aware of PIN pads.
250
251
252 Noteworthy changes in version 2.0.2 (2007-01-31)
253 ------------------------------------------------
254
255  * Fixed a serious and exploitable bug in processing encrypted
256    packages. [CVE-2006-6235].
257
258  * Added --passphrase-repeat to set the number of times GPG will
259    prompt for a new passphrase to be repeated.  This is useful to help
260    memorize a new passphrase.  The default is 1 repetition.
261
262  * Using a PIN pad does now also work for the signing key.
263
264  * A warning is displayed by gpg-agent if a new passphrase is too
265    short.  New option --min-passphrase-len defaults to 8.
266
267  * The status code BEGIN_SIGNING now shows the used hash algorithms.
268
269
270 Noteworthy changes in version 2.0.1 (2006-11-28)
271 ------------------------------------------------
272
273  * Experimental support for the PIN pads of the SPR 532 and the Kaan
274    Advanced card readers.  Add "disable-keypad" scdaemon.conf if you
275    don't want it.  Does currently only work for the OpenPGP card and
276    its authentication and decrypt keys.
277
278  * Fixed build problems on some some platforms and crashes on amd64.
279
280  * Fixed a buffer overflow in gpg2. [bug#728,CVE-2006-6169]
281
282
283 Noteworthy changes in version 2.0.0 (2006-11-11)
284 ------------------------------------------------
285
286  * First stable version of a GnuPG integrating OpenPGP and S/MIME.
287
288
289 Noteworthy changes in version 1.9.95 (2006-11-06)
290 -------------------------------------------------
291
292  * Minor bug fixes.
293
294
295 Noteworthy changes in version 1.9.94 (2006-10-24)
296 -------------------------------------------------
297
298  * Keys for gpgsm may now be specified using a keygrip.  A keygrip is
299    indicated by a prefixing it with an ampersand.
300
301  * gpgconf now supports switching the CMS cipher algo (e.g. to AES).
302
303  * New command --gpgconf-test for all major tools. This may be used to
304    check whether the configuration file is sane.
305
306
307 Noteworthy changes in version 1.9.93 (2006-10-18)
308 -------------------------------------------------
309
310  * In --with-validation mode gpgsm will now also ask whether a root
311    certificate should be trusted.
312
313  * Link to Pth only if really necessary.
314
315  * Fixed a pubring corruption bug in gpg2 occurring when importing
316    signatures or keys with insane lengths.
317
318  * Fixed v3 keyID calculation bug in gpg2.
319
320  * More tweaks for certificates without extensions.
321
322
323 Noteworthy changes in version 1.9.92 (2006-10-11)
324 -------------------------------------------------
325
326  * Bug fixes.
327
328
329 Noteworthy changes in version 1.9.91 (2006-10-04)
330 -------------------------------------------------
331
332  * New "relax" flag for trustlist.txt to allow root CA certificates
333    without BasicContraints.
334
335  * [gpg2] Removed the -k PGP 2 compatibility hack.  -k is now an
336    alias for --list-keys.
337
338  * [gpg2] Print a warning if "-sat" is used instead of "--clearsign".
339
340
341 Noteworthy changes in version 1.9.90 (2006-09-25)
342 -------------------------------------------------
343
344  * Made readline work for gpg.
345
346  * Cleanups und minor bug fixes.
347
348  * Included translations from gnupg 1.4.5.
349
350
351 Noteworthy changes in version 1.9.23 (2006-09-18)
352 -------------------------------------------------
353
354  * Regular man pages for most tools are now build directly from the
355    Texinfo source.
356
357  * The gpg code from 1.4.5 has been fully merged into this release.
358    The configure option --enable-gpg is still required to build this
359    gpg part.  For production use of OpenPGP the gpg version 1.4.5 is
360    still recommended.  Note, that gpg will be installed under the name
361    gpg2 to allow coexisting with an 1.4.x gpg.
362
363  * API change in gpg-agent's pkdecrypt command.  Thus an older gpgsm
364    may not be used with the current gpg-agent.
365
366  * The scdaemon will now call a script on reader status changes.
367
368  * gpgsm now allows file descriptor passing for "INPUT", "OUTPUT" and
369    "MESSAGE".
370
371  * The gpgsm server may now output a key listing to the output file
372    handle. This needs to be enabled using "OPTION list-to-output=1".
373
374  * The --output option of gpgsm has now an effect on list-keys.
375
376  * New gpgsm commands --dump-chain and list-chain.
377
378  * gpg-connect-agent has new options to utilize descriptor passing.
379
380  * A global trustlist may now be used.  See doc/examples/trustlist.txt.
381
382  * When creating a new pubring.kbx keybox common certificates are
383    imported.
384
385
386 Noteworthy changes in version 1.9.22 (2006-07-27)
387 -------------------------------------------------
388
389  * Enhanced pkcs#12 support to allow import from simple keyBags.
390
391  * Exporting to pkcs#12 now create bag attributes so that Mozilla is
392    able to import the files.
393
394  * Fixed uploading of certain keys to the smart card.
395
396
397 Noteworthy changes in version 1.9.21 (2006-06-20)
398 -------------------------------------------------
399
400  * New command APDU for scdaemon to allow using it for general card
401    access.  Might be used through gpg-connect-agent by using the SCD
402    prefix command.
403
404  * Support for the CardMan 4040 PCMCIA reader (Linux 2.6.15 required).
405
406  * Scdaemon does not anymore reset cards at the end of a connection. 
407
408  * Kludge to allow use of Bundesnetzagentur issued X.509 certificates.
409
410  * Added --hash=xxx option to scdaemon's PKSIGN command.
411
412  * Pkcs#12 files are now created with a MAC.  This is for better
413    interoperability.
414
415  * Collected bug fixes and minor other changes.
416
417
418 Noteworthy changes in version 1.9.20 (2005-12-20)
419 -------------------------------------------------
420
421  * Importing pkcs#12 files created be recent versions of Mozilla works
422    again.
423
424  * Basic support for qualified signatures.
425
426  * New debug tool gpgparsemail. 
427
428
429 Noteworthy changes in version 1.9.19 (2005-09-12)
430 -------------------------------------------------
431
432  * The Belgian eID card is now supported for signatures and ssh.
433    Other pkcs#15 cards should work as well.
434
435  * Fixed bug in --export-secret-key-p12 so that certificates are again
436    included.
437
438
439 Noteworthy changes in version 1.9.18 (2005-08-01)
440 -------------------------------------------------
441
442  * [gpgsm] Now allows for more than one email address as well as URIs
443    and dnsNames in certificate request generation.  A keygrip may be
444    given to create a request from an existing key.
445
446  * A couple of minor bug fixes.
447
448
449 Noteworthy changes in version 1.9.17 (2005-06-20)
450 -------------------------------------------------
451
452  * gpg-connect-agent has now features to handle Assuan INQUIRE
453    commands.
454
455  * Internal changes for OpenPGP cards. New Assuan command WRITEKEY.
456
457  * GNU Pth is now a hard requirement.
458
459  * [scdaemon] Support for OpenSC has been removed.  Instead a new and
460    straightforward pkcs#15 modules has been written.  As of now it
461    does allows only signing using TCOS cards but we are going to
462    enhance it to match all the old capabilities.
463
464  * [gpg-agent] New option --write-env-file and Assuan command
465    UPDATESTARTUPTTY.
466
467  * [gpg-agent] New option --default-cache-ttl-ssh to set the TTL for
468    SSH passphrase caching independent from the other passphrases.
469
470
471 Noteworthy changes in version 1.9.16 (2005-04-21)
472 -------------------------------------------------
473
474  * gpg-agent does now support the ssh-agent protocol and thus allows
475    to use the pinentry as well as the OpenPGP smartcard with ssh.
476
477  * New tool gpg-connect-agent as a general client for the gpg-agent.
478
479  * New tool symcryptrun as a wrapper for certain encryption tools.
480
481  * The gpg tool is not anymore build by default because those gpg
482    versions available in the gnupg 1.4 series are far more matured.
483
484
485 Noteworthy changes in version 1.9.15 (2005-01-13)
486 -------------------------------------------------
487
488  * Fixed passphrase caching bug.
489
490  * Better support for CCID readers; the reader from Cherry RS 6700 USB
491    does now work.
492
493
494 Noteworthy changes in version 1.9.14 (2004-12-22)
495 -------------------------------------------------
496
497  * [gpg-agent] New option --use-standard-socket to allow the use of a
498    fixed socket.  gpgsm falls back to this socket if GPG_AGENT_INFO
499    has not been set.
500
501  * Ported to MS Windows with some functional limitations.
502
503  * New tool gpg-preset-passphrase.
504
505
506 Noteworthy changes in version 1.9.13 (2004-12-03)
507 -------------------------------------------------
508
509  * [gpgsm] New option --prefer-system-dirmngr.
510
511  * Minor cleanups and debugging aids.
512
513
514 Noteworthy changes in version 1.9.12 (2004-10-22)
515 -------------------------------------------------
516
517  * [scdaemon] Partly rewrote the PC/SC code.
518
519  * Removed the sc-investigate tool.  It is now in a separate package
520    available at ftp://ftp.g10code.com/g10code/gscutils/ .
521
522  * [gpg-agent] Fixed logging problem.
523
524
525 Noteworthy changes in version 1.9.11 (2004-10-01)
526 -------------------------------------------------
527
528  * When using --import along with --with-validation, the imported
529    certificates are validated and only imported if they are fully
530    valid.
531
532  * [gpg-agent] New option --max-cache-ttl.
533
534  * [gpg-agent] When used without --daemon or --server, gpg-agent now
535    check whether a agent is already running and usable.
536
537  * Fixed some i18n problems.
538
539
540 Noteworthy changes in version 1.9.10 (2004-07-22)
541 -------------------------------------------------
542
543  * Fixed a serious bug in the checking of trusted root certificates.
544
545  * New configure option --enable-agent-pnly allows to build and
546    install just the agent.
547
548  * Fixed a problem with the log file handling.
549
550
551 Noteworthy changes in version 1.9.9 (2004-06-08)
552 ------------------------------------------------
553
554  * [gpg-agent] The new option --allow-mark-trusted is now required to
555    allow gpg-agent to add a key to the trustlist.txt after user
556    confirmation.
557
558  * Creating PKCS#10 requests does now honor the key usage.
559
560
561 Noteworthy changes in version 1.9.8 (2004-04-29)
562 ------------------------------------------------
563
564  * [scdaemon] Overhauled the internal CCID driver.
565
566  * [scdaemon] Status files named ~/.gnupg/reader_<n>.status are now
567    written when using the internal CCID driver.
568
569  * [gpgsm] New commands --dump-{,secret,external}-keys to show a very
570    detailed view of the certificates.
571
572  * The keybox gets now compressed after 3 hours and ephemeral
573    stored certificates are deleted after about a day.
574
575  * [gpg] Usability fixes for --card-edit.  Note, that this has already
576    been ported back to gnupg-1.3
577
578
579 Noteworthy changes in version 1.9.7 (2004-04-06)
580 ------------------------------------------------
581
582  * Instrumented the modules for gpgconf.
583
584  * Added support for DINSIG card applications.
585
586  * Include the smimeCapabilities attribute with signed messages.
587
588  * Now uses the gettext domain "gnupg2" to avoid conflicts with gnupg
589    versions < 1.9.
590
591
592 Noteworthy changes in version 1.9.6 (2004-03-06)
593 ------------------------------------------------
594
595  * Code cleanups and bug fixes.
596
597
598 Noteworthy changes in version 1.9.5 (2004-02-21)
599 ------------------------------------------------
600
601  * gpg-protect-tool gets now installed into libexec as it ought to be.
602    Cleaned up the build system to better comply with the coding
603    standards.
604
605  * [gpgsm] The --import command is now able to autodetect pkcs#12
606    files and import secret and private keys from this file format.
607    A new command --export-secret-key-p12 is provided to allow
608    exporting of secret keys in PKCS\#12 format.
609
610  * [gpgsm] The pinentry will now present a description of the key for
611    whom the passphrase is requested.
612
613  * [gpgsm] New option --with-validation to check the validity of key
614    while listing it.
615
616  * New option --debug-level={none,basic,advanced,expert,guru} to map
617    the debug flags to sensitive levels on a per program base.
618
619
620 Noteworthy changes in version 1.9.4 (2004-01-30)
621 ------------------------------------------------
622
623  * Added support for the Telesec NKS 2.0 card application.
624
625  * Added simple tool addgnupghome to create .gnupg directories from
626    /etc/skel/.gnupg.
627
628  * Various minor bug fixes and cleanups; mainly gpgsm and gpg-agent
629    related.
630
631
632 Noteworthy changes in version 1.9.3 (2003-12-23)
633 ------------------------------------------------
634
635  * New gpgsm options --{enable,disable}-ocsp to validate keys using
636    OCSP. This option requires a not yet released DirMngr version.
637    Default is disabled.
638
639  * The --log-file option may now be used to print logs to a socket.
640    Prefix the socket name with "socket://" to enable this.  This does
641    not work on all systems and falls back to stderr if there is a
642    problem with the socket.
643
644  * The options --encrypt-to and --no-encrypt-to now work the same in
645    gpgsm as in gpg.  Note, they are also used in server mode.
646
647  * Duplicated recipients are now silently removed in gpgsm.
648
649
650 Noteworthy changes in version 1.9.2 (2003-11-17)
651 ------------------------------------------------
652
653  * On card key generation is no longer done using the --gen-key
654    command but from the menu provided by the new --card-edit command.
655
656  * PINs are now properly cached and there are only 2 PINs visible.
657    The 3rd PIN (CHV2) is internally syncronized with the regular PIN.
658
659  * All kind of other internal stuff.
660
661
662 Noteworthy changes in version 1.9.1 (2003-09-06)
663 ------------------------------------------------
664
665  * Support for OpenSC is back. scdaemon supports a --disable-opensc to
666    disable OpenSC use at runtime, so that PC/SC or ct-API can still be
667    used directly.
668
669  * Rudimentary support for the SCR335 smartcard reader using an
670    internal driver.  Requires current libusb from CVS.
671
672  * Bug fixes.
673
674
675 Noteworthy changes in version 1.9.0 (2003-08-05)
676 ------------------------------------------------
677
678       ====== PLEASE SEE README-alpha =======
679
680  * gpg has been renamed to gpg2 and gpgv to gpgv2.  This is a
681    temporary change to allow co-existing with stable gpg versions.
682
683  * ~/.gnupg/gpg.conf-1.9.0 is fist tried as config file before the
684    usual gpg.conf.
685
686  * Removed the -k, -kv and -kvv commands.  -k is now an alias to
687    --list-keys.  New command -K as alias for --list-secret-keys.
688
689  * Removed --run-as-shm-coprocess feature.
690
691  * gpg does now also use libgcrypt, libgpg-error is required.
692
693  * New gpgsm commands --call-dirmngr and --call-protect-tool.
694
695  * Changing a passphrase is now possible using "gpgsm --passwd"
696
697  * The content-type attribute is now recognized and created.
698
699  * The agent does now reread certain options on receiving a HUP.
700
701  * The pinentry is now forked for each request so that clients with
702    different environments are supported.  When running in daemon mode
703    and --keep-display is not used the DISPLAY variable is ignored.
704
705  * Merged stuff from the newpg branch and started this new
706    development branch.
707
708
709  Copyright 2002, 2003, 2004, 2005, 2006, 2007,
710            2008, 2009  Free Software Foundation, Inc.
711
712  This file is free software; as a special exception the author gives
713  unlimited permission to copy and/or distribute it, with or without
714  modifications, as long as this notice is preserved.
715
716  This file is distributed in the hope that it will be useful, but
717  WITHOUT ANY WARRANTY, to the extent permitted by law; without even the
718  implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.