Make gpg not depend on the RIPE-MD160 implementaion in Libgcrypt.
[gnupg.git] / NEWS
1 Noteworthy changes in version 2.0.10 (unreleased)
2 -------------------------------------------------
3
4  * [gpg] New keyserver helper gpg2keys_kdns as generic DNS CERT
5    lookup.  Run with --help for a short description.  Requires the
6    ADNS library.
7
8  * [gpg] New mechanisms "local" and "nodefault" for --auto-key-locate.
9    Fixed a few problems with this option.
10
11  * [gpg] New command --locate-keys.
12
13  * [gpg] New options --with-sig-list and --with-sig-check.
14
15  * [gpg] The option "-sat" is no longer an alias for --clearsign.
16
17  * [gpg] The option --fixed-list-mode is now implicitly used and obsolete.
18
19  * [gpg] New control statement %ask-passphrase for the unattended key
20    generation.
21
22  * [gpg] The algorithm to compute the SIG_ID status has been changed.
23
24  * [gpgsm] Now uses AES by default.
25
26  * [gpgsm] Made --output option work with --export-secret-key-p12.
27
28  * [gpg-agent] Terminate process if the own listening socket is not
29    anymore served by ourself.
30
31  * [scdaemon] Made it more robust on W32.
32
33  * [gpg-connect-agent] Accept commands given as command line arguments.
34
35  * [w32] Initialized the socket subsystem for all keyserver helpers.
36
37  * [w32] The sysconf directory has been moved from a subdirectory of
38    the installation directory to %CSIDL_COMMON_APPDATA%/GNU/etc/gnupg.
39
40  * [w32] The gnupg2.nls directory is not anymore used.  The standard
41    locale directory is now used.  
42
43  * [w32] Fixed a race condition bteween gpg and gpgsm in the use of
44    temporary file names.
45
46  * The gpg-preset-passphrase mechanism works again.  An arbitrary
47    string may now be used for a custom cache ID.
48
49  * Admin PINs are cached again (bug in 2.0.9).
50
51  * Support for version 2 OpenPGP cards.
52
53  * Libgcrypt 1.4 is now required.
54
55
56 Noteworthy changes in version 2.0.9 (2008-03-26)
57 ------------------------------------------------
58
59  * Gpgsm always tries to locate missing certificates from a running
60    Dirmngr's cache.
61
62  * Tweaks for Windows.
63
64  * The Admin PIN for OpenPGP cards may now be entered with the pinpad.
65
66  * Improved certificate chain construction.
67
68  * Extended the PKITS framework.
69
70  * Fixed a bug in the ambigious name detection.
71
72  * Fixed possible memory corruption while importing OpenPGP keys (bug
73    introduced with 2.0.8). [CVE-2008-1530]
74
75  * Minor bug fixes.
76
77
78 Noteworthy changes in version 2.0.8 (2007-12-20)
79 ------------------------------------------------
80
81  * Enhanced gpg-connect-agent with a small scripting language.
82
83  * New option --list-config for gpgconf.
84
85  * Fixed a crash in gpgconf.
86
87  * Gpg-agent now supports the passphrase quality bar of the latest
88    Pinentry.
89
90  * The envvars XAUTHORITY and PINENTRY_USER_DATA are now passed to the
91    Pinentry.
92
93  * Fixed the auto creation of the key stub for smartcards.  
94
95  * Fixed a rare bug in decryption using the OpenPGP card.
96
97  * Creating DSA2 keys is now possible.
98
99  * New option --extra-digest-algo for gpgsm to allow verification of
100    broken signatures.
101
102  * Allow encryption with legacy Elgamal sign+encrypt keys with option
103    --rfc2440.
104
105  * Windows is now a supported platform.
106
107  * Made sure that under Windows the file permissions of the socket are
108    taken into account.  This required a change of our socket emulation
109    code and changed the IPC protocol under Windows.
110
111
112 Noteworthy changes in version 2.0.7 (2007-09-10)
113 ------------------------------------------------
114
115  * Fixed encryption problem if duplicate certificates are in the
116    keybox.
117
118  * Made it work on Windows Vista.  Note that the entire Windows port
119    is still considered Beta.
120
121  * Add new options min-passphrase-nonalpha, check-passphrase-pattern,
122    enforce-passphrase-constraints and max-passphrase-days to
123    gpg-agent.
124
125  * Add command --check-components to gpgconf.  Gpgconf now uses the
126    installed versions of the programs and does not anymore search via
127    PATH for them.
128
129
130 Noteworthy changes in version 2.0.6 (2007-08-16)
131 ------------------------------------------------
132
133  * GPGSM does now grok --default-key.
134
135  * GPGCONF is now aware of --default-key and --encrypt-to. 
136
137  * GPGSM does again correctly print the serial number as well the the
138    various keyids.  This was broken since 2.0.4.
139
140  * New option --validation-model and support for the chain-model.
141
142  * Improved Windows support.
143
144  
145 Noteworthy changes in version 2.0.5 (2007-07-05)
146 ------------------------------------------------
147
148  * Switched license to GPLv3.
149
150  * Basic support for Windows.  Run "./autogen.sh --build-w32" to build
151    it.  As usual the mingw cross compiling toolchain is required.
152
153  * Fixed bug when using the --p12-charset without --armor.
154
155  * The command --gen-key may now be used instead of the
156    gpgsm-gencert.sh script.
157
158  * Changed key generation to reveal less information about the
159    machine.  Bug fixes for gpg2's card key generation.
160
161
162 Noteworthy changes in version 2.0.4 (2007-05-09)
163 ------------------------------------------------
164
165  * The server mode key listing commands are now also working for
166    systems without the funopen/fopencookie API.
167
168  * PKCS#12 import now tries several encodings in case the passphrase
169    was not utf-8 encoded.  New option --p12-charset for gpgsm.
170
171  * Improved the libgcrypt logging support in all modules.
172
173
174 Noteworthy changes in version 2.0.3 (2007-03-08)
175 ------------------------------------------------
176
177  * By default, do not allow processing multiple plaintexts in a single
178    stream.  Many programs that called GnuPG were assuming that GnuPG
179    did not permit this, and were thus not using the plaintext boundary
180    status tags that GnuPG provides.  This change makes GnuPG reject
181    such messages by default which makes those programs safe again.
182    --allow-multiple-messages returns to the old behavior. [CVE-2007-1263].
183
184  * New --verify-option show-primary-uid-only. 
185
186  * gpgconf may now reads a global configuration file to select which
187    options are changeable by a frontend.  The new applygnupgdefaults
188    tool may be used by an admin to set default options for all users.
189
190  * The PIN pad of the Cherry XX44 keyboard is now supported.  The
191    DINSIG and the NKS applications are now also aware of PIN pads.
192
193
194 Noteworthy changes in version 2.0.2 (2007-01-31)
195 ------------------------------------------------
196
197  * Fixed a serious and exploitable bug in processing encrypted
198    packages. [CVE-2006-6235].
199
200  * Added --passphrase-repeat to set the number of times GPG will
201    prompt for a new passphrase to be repeated.  This is useful to help
202    memorize a new passphrase.  The default is 1 repetition.
203
204  * Using a PIN pad does now also work for the signing key.
205
206  * A warning is displayed by gpg-agent if a new passphrase is too
207    short.  New option --min-passphrase-len defaults to 8.
208
209  * The status code BEGIN_SIGNING now shows the used hash algorithms.
210
211
212 Noteworthy changes in version 2.0.1 (2006-11-28)
213 ------------------------------------------------
214
215  * Experimental support for the PIN pads of the SPR 532 and the Kaan
216    Advanced card readers.  Add "disable-keypad" scdaemon.conf if you
217    don't want it.  Does currently only work for the OpenPGP card and
218    its authentication and decrypt keys.
219
220  * Fixed build problems on some some platforms and crashes on amd64.
221
222  * Fixed a buffer overflow in gpg2. [bug#728,CVE-2006-6169]
223
224
225 Noteworthy changes in version 2.0.0 (2006-11-11)
226 ------------------------------------------------
227
228  * First stable version of a GnuPG integrating OpenPGP and S/MIME.
229
230
231 Noteworthy changes in version 1.9.95 (2006-11-06)
232 -------------------------------------------------
233
234  * Minor bug fixes.
235
236
237 Noteworthy changes in version 1.9.94 (2006-10-24)
238 -------------------------------------------------
239
240  * Keys for gpgsm may now be specified using a keygrip.  A keygrip is
241    indicated by a prefixing it with an ampersand.
242
243  * gpgconf now supports switching the CMS cipher algo (e.g. to AES).
244
245  * New command --gpgconf-test for all major tools. This may be used to
246    check whether the configuration file is sane.
247
248
249 Noteworthy changes in version 1.9.93 (2006-10-18)
250 -------------------------------------------------
251
252  * In --with-validation mode gpgsm will now also ask whether a root
253    certificate should be trusted.
254
255  * Link to Pth only if really necessary.
256
257  * Fixed a pubring corruption bug in gpg2 occurring when importing
258    signatures or keys with insane lengths.
259
260  * Fixed v3 keyID calculation bug in gpg2.
261
262  * More tweaks for certificates without extensions.
263
264
265 Noteworthy changes in version 1.9.92 (2006-10-11)
266 -------------------------------------------------
267
268  * Bug fixes.
269
270
271 Noteworthy changes in version 1.9.91 (2006-10-04)
272 -------------------------------------------------
273
274  * New "relax" flag for trustlist.txt to allow root CA certificates
275    without BasicContraints.
276
277  * [gpg2] Removed the -k PGP 2 compatibility hack.  -k is now an
278    alias for --list-keys.
279
280  * [gpg2] Print a warning if "-sat" is used instead of "--clearsign".
281
282
283 Noteworthy changes in version 1.9.90 (2006-09-25)
284 -------------------------------------------------
285
286  * Made readline work for gpg.
287
288  * Cleanups und minor bug fixes.
289
290  * Included translations from gnupg 1.4.5.
291
292
293 Noteworthy changes in version 1.9.23 (2006-09-18)
294 -------------------------------------------------
295
296  * Regular man pages for most tools are now build directly from the
297    Texinfo source.
298
299  * The gpg code from 1.4.5 has been fully merged into this release.
300    The configure option --enable-gpg is still required to build this
301    gpg part.  For production use of OpenPGP the gpg version 1.4.5 is
302    still recommended.  Note, that gpg will be installed under the name
303    gpg2 to allow coexisting with an 1.4.x gpg.
304
305  * API change in gpg-agent's pkdecrypt command.  Thus an older gpgsm
306    may not be used with the current gpg-agent.
307
308  * The scdaemon will now call a script on reader status changes.
309
310  * gpgsm now allows file descriptor passing for "INPUT", "OUTPUT" and
311    "MESSAGE".
312
313  * The gpgsm server may now output a key listing to the output file
314    handle. This needs to be enabled using "OPTION list-to-output=1".
315
316  * The --output option of gpgsm has now an effect on list-keys.
317
318  * New gpgsm commands --dump-chain and list-chain.
319
320  * gpg-connect-agent has new options to utilize descriptor passing.
321
322  * A global trustlist may now be used.  See doc/examples/trustlist.txt.
323
324  * When creating a new pubring.kbx keybox common certificates are
325    imported.
326
327
328 Noteworthy changes in version 1.9.22 (2006-07-27)
329 -------------------------------------------------
330
331  * Enhanced pkcs#12 support to allow import from simple keyBags.
332
333  * Exporting to pkcs#12 now create bag attributes so that Mozilla is
334    able to import the files.
335
336  * Fixed uploading of certain keys to the smart card.
337
338
339 Noteworthy changes in version 1.9.21 (2006-06-20)
340 -------------------------------------------------
341
342  * New command APDU for scdaemon to allow using it for general card
343    access.  Might be used through gpg-connect-agent by using the SCD
344    prefix command.
345
346  * Support for the CardMan 4040 PCMCIA reader (Linux 2.6.15 required).
347
348  * Scdaemon does not anymore reset cards at the end of a connection. 
349
350  * Kludge to allow use of Bundesnetzagentur issued X.509 certificates.
351
352  * Added --hash=xxx option to scdaemon's PKSIGN command.
353
354  * Pkcs#12 files are now created with a MAC.  This is for better
355    interoperability.
356
357  * Collected bug fixes and minor other changes.
358
359
360 Noteworthy changes in version 1.9.20 (2005-12-20)
361 -------------------------------------------------
362
363  * Importing pkcs#12 files created be recent versions of Mozilla works
364    again.
365
366  * Basic support for qualified signatures.
367
368  * New debug tool gpgparsemail. 
369
370
371 Noteworthy changes in version 1.9.19 (2005-09-12)
372 -------------------------------------------------
373
374  * The Belgian eID card is now supported for signatures and ssh.
375    Other pkcs#15 cards should work as well.
376
377  * Fixed bug in --export-secret-key-p12 so that certificates are again
378    included.
379
380
381 Noteworthy changes in version 1.9.18 (2005-08-01)
382 -------------------------------------------------
383
384  * [gpgsm] Now allows for more than one email address as well as URIs
385    and dnsNames in certificate request generation.  A keygrip may be
386    given to create a request from an existing key.
387
388  * A couple of minor bug fixes.
389
390
391 Noteworthy changes in version 1.9.17 (2005-06-20)
392 -------------------------------------------------
393
394  * gpg-connect-agent has now features to handle Assuan INQUIRE
395    commands.
396
397  * Internal changes for OpenPGP cards. New Assuan command WRITEKEY.
398
399  * GNU Pth is now a hard requirement.
400
401  * [scdaemon] Support for OpenSC has been removed.  Instead a new and
402    straightforward pkcs#15 modules has been written.  As of now it
403    does allows only signing using TCOS cards but we are going to
404    enhance it to match all the old capabilities.
405
406  * [gpg-agent] New option --write-env-file and Assuan command
407    UPDATESTARTUPTTY.
408
409  * [gpg-agent] New option --default-cache-ttl-ssh to set the TTL for
410    SSH passphrase caching independent from the other passphrases.
411
412
413 Noteworthy changes in version 1.9.16 (2005-04-21)
414 -------------------------------------------------
415
416  * gpg-agent does now support the ssh-agent protocol and thus allows
417    to use the pinentry as well as the OpenPGP smartcard with ssh.
418
419  * New tool gpg-connect-agent as a general client for the gpg-agent.
420
421  * New tool symcryptrun as a wrapper for certain encryption tools.
422
423  * The gpg tool is not anymore build by default because those gpg
424    versions available in the gnupg 1.4 series are far more matured.
425
426
427 Noteworthy changes in version 1.9.15 (2005-01-13)
428 -------------------------------------------------
429
430  * Fixed passphrase caching bug.
431
432  * Better support for CCID readers; the reader from Cherry RS 6700 USB
433    does now work.
434
435
436 Noteworthy changes in version 1.9.14 (2004-12-22)
437 -------------------------------------------------
438
439  * [gpg-agent] New option --use-standard-socket to allow the use of a
440    fixed socket.  gpgsm falls back to this socket if GPG_AGENT_INFO
441    has not been set.
442
443  * Ported to MS Windows with some functional limitations.
444
445  * New tool gpg-preset-passphrase.
446
447
448 Noteworthy changes in version 1.9.13 (2004-12-03)
449 -------------------------------------------------
450
451  * [gpgsm] New option --prefer-system-dirmngr.
452
453  * Minor cleanups and debugging aids.
454
455
456 Noteworthy changes in version 1.9.12 (2004-10-22)
457 -------------------------------------------------
458
459  * [scdaemon] Partly rewrote the PC/SC code.
460
461  * Removed the sc-investigate tool.  It is now in a separate package
462    available at ftp://ftp.g10code.com/g10code/gscutils/ .
463
464  * [gpg-agent] Fixed logging problem.
465
466
467 Noteworthy changes in version 1.9.11 (2004-10-01)
468 -------------------------------------------------
469
470  * When using --import along with --with-validation, the imported
471    certificates are validated and only imported if they are fully
472    valid.
473
474  * [gpg-agent] New option --max-cache-ttl.
475
476  * [gpg-agent] When used without --daemon or --server, gpg-agent now
477    check whether a agent is already running and usable.
478
479  * Fixed some i18n problems.
480
481
482 Noteworthy changes in version 1.9.10 (2004-07-22)
483 -------------------------------------------------
484
485  * Fixed a serious bug in the checking of trusted root certificates.
486
487  * New configure option --enable-agent-pnly allows to build and
488    install just the agent.
489
490  * Fixed a problem with the log file handling.
491
492
493 Noteworthy changes in version 1.9.9 (2004-06-08)
494 ------------------------------------------------
495
496  * [gpg-agent] The new option --allow-mark-trusted is now required to
497    allow gpg-agent to add a key to the trustlist.txt after user
498    confirmation.
499
500  * Creating PKCS#10 requests does now honor the key usage.
501
502
503 Noteworthy changes in version 1.9.8 (2004-04-29)
504 ------------------------------------------------
505
506  * [scdaemon] Overhauled the internal CCID driver.
507
508  * [scdaemon] Status files named ~/.gnupg/reader_<n>.status are now
509    written when using the internal CCID driver.
510
511  * [gpgsm] New commands --dump-{,secret,external}-keys to show a very
512    detailed view of the certificates.
513
514  * The keybox gets now compressed after 3 hours and ephemeral
515    stored certificates are deleted after about a day.
516
517  * [gpg] Usability fixes for --card-edit.  Note, that this has already
518    been ported back to gnupg-1.3
519
520
521 Noteworthy changes in version 1.9.7 (2004-04-06)
522 ------------------------------------------------
523
524  * Instrumented the modules for gpgconf.
525
526  * Added support for DINSIG card applications.
527
528  * Include the smimeCapabilities attribute with signed messages.
529
530  * Now uses the gettext domain "gnupg2" to avoid conflicts with gnupg
531    versions < 1.9.
532
533
534 Noteworthy changes in version 1.9.6 (2004-03-06)
535 ------------------------------------------------
536
537  * Code cleanups and bug fixes.
538
539
540 Noteworthy changes in version 1.9.5 (2004-02-21)
541 ------------------------------------------------
542
543  * gpg-protect-tool gets now installed into libexec as it ought to be.
544    Cleaned up the build system to better comply with the coding
545    standards.
546
547  * [gpgsm] The --import command is now able to autodetect pkcs#12
548    files and import secret and private keys from this file format.
549    A new command --export-secret-key-p12 is provided to allow
550    exporting of secret keys in PKCS\#12 format.
551
552  * [gpgsm] The pinentry will now present a description of the key for
553    whom the passphrase is requested.
554
555  * [gpgsm] New option --with-validation to check the validity of key
556    while listing it.
557
558  * New option --debug-level={none,basic,advanced,expert,guru} to map
559    the debug flags to sensitive levels on a per program base.
560
561
562 Noteworthy changes in version 1.9.4 (2004-01-30)
563 ------------------------------------------------
564
565  * Added support for the Telesec NKS 2.0 card application.
566
567  * Added simple tool addgnupghome to create .gnupg directories from
568    /etc/skel/.gnupg.
569
570  * Various minor bug fixes and cleanups; mainly gpgsm and gpg-agent
571    related.
572
573
574 Noteworthy changes in version 1.9.3 (2003-12-23)
575 ------------------------------------------------
576
577  * New gpgsm options --{enable,disable}-ocsp to validate keys using
578    OCSP. This option requires a not yet released DirMngr version.
579    Default is disabled.
580
581  * The --log-file option may now be used to print logs to a socket.
582    Prefix the socket name with "socket://" to enable this.  This does
583    not work on all systems and falls back to stderr if there is a
584    problem with the socket.
585
586  * The options --encrypt-to and --no-encrypt-to now work the same in
587    gpgsm as in gpg.  Note, they are also used in server mode.
588
589  * Duplicated recipients are now silently removed in gpgsm.
590
591
592 Noteworthy changes in version 1.9.2 (2003-11-17)
593 ------------------------------------------------
594
595  * On card key generation is no longer done using the --gen-key
596    command but from the menu provided by the new --card-edit command.
597
598  * PINs are now properly cached and there are only 2 PINs visible.
599    The 3rd PIN (CHV2) is internally syncronized with the regular PIN.
600
601  * All kind of other internal stuff.
602
603
604 Noteworthy changes in version 1.9.1 (2003-09-06)
605 ------------------------------------------------
606
607  * Support for OpenSC is back. scdaemon supports a --disable-opensc to
608    disable OpenSC use at runtime, so that PC/SC or ct-API can still be
609    used directly.
610
611  * Rudimentary support for the SCR335 smartcard reader using an
612    internal driver.  Requires current libusb from CVS.
613
614  * Bug fixes.
615
616
617 Noteworthy changes in version 1.9.0 (2003-08-05)
618 ------------------------------------------------
619
620       ====== PLEASE SEE README-alpha =======
621
622  * gpg has been renamed to gpg2 and gpgv to gpgv2.  This is a
623    temporary change to allow co-existing with stable gpg versions.
624
625  * ~/.gnupg/gpg.conf-1.9.0 is fist tried as config file before the
626    usual gpg.conf.
627
628  * Removed the -k, -kv and -kvv commands.  -k is now an alias to
629    --list-keys.  New command -K as alias for --list-secret-keys.
630
631  * Removed --run-as-shm-coprocess feature.
632
633  * gpg does now also use libgcrypt, libgpg-error is required.
634
635  * New gpgsm commands --call-dirmngr and --call-protect-tool.
636
637  * Changing a passphrase is now possible using "gpgsm --passwd"
638
639  * The content-type attribute is now recognized and created.
640
641  * The agent does now reread certain options on receiving a HUP.
642
643  * The pinentry is now forked for each request so that clients with
644    different environments are supported.  When running in daemon mode
645    and --keep-display is not used the DISPLAY variable is ignored.
646
647  * Merged stuff from the newpg branch and started this new
648    development branch.
649
650
651  Copyright 2002, 2003, 2004, 2005, 2006, 2007,
652            2008  Free Software Foundation, Inc.
653
654  This file is free software; as a special exception the author gives
655  unlimited permission to copy and/or distribute it, with or without
656  modifications, as long as this notice is preserved.
657
658  This file is distributed in the hope that it will be useful, but
659  WITHOUT ANY WARRANTY, to the extent permitted by law; without even the
660  implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.