Check that the socket is well and served by us.
[gnupg.git] / NEWS
1 Noteworthy changes in version 2.0.10 (unreleased)
2 -------------------------------------------------
3
4  * [gpg] New keyserver helper gpg2keys_kdns as generic DNS CERT
5    lookup.  Run with --help for a short description.  Requires the
6    ADNS library.
7
8  * [gpg] New mechanisms "local" and "nodefault" for --auto-key-locate.
9    Fixed a few problems with this option.
10
11  * [gpg] New command --locate-keys.
12
13  * [gpg] New options --with-sig-list and --with-sig-check.
14
15  * [gpg] The option "-sat" is no longer an alias for --clearsign.
16
17  * [gpg] The option --fixed-list-mode is now implicitly used and obsolete.
18
19  * [gpg] New control statement %ask-passphrase for the unattended key
20    generation.
21
22  * [gpgsm] Now uses AES by default.
23
24  * [gpgsm] Made --output option work with --export-secret-key-p12.
25
26  * [gpg-agent] Terminate process if the own listening socket is not
27    anymore served by ourself.
28
29  * [scdaemon] Made it more robust on W32.
30
31  * [gpg-connect-agent] Accept commands given as command line arguments.
32
33  * [w32] Initialized the socket subsystem for all keyserver helpers.
34
35  * [w32] The sysconf directory has been moved from a subdirectory of
36    the installation directory to %CSIDL_COMMON_APPDATA%/GNU/etc/gnupg.
37
38  * The gpg-preset-passphrase mechanism works again.
39
40  * Admin PINs are cached again (bug in 2.0.9).
41
42  * Support for version 2 OpenPGP cards.
43
44  * Libgcrypt 1.4 is now required.
45
46
47 Noteworthy changes in version 2.0.9 (2008-03-26)
48 ------------------------------------------------
49
50  * Gpgsm always tries to locate missing certificates from a running
51    Dirmngr's cache.
52
53  * Tweaks for Windows.
54
55  * The Admin PIN for OpenPGP cards may now be entered with the pinpad.
56
57  * Improved certificate chain construction.
58
59  * Extended the PKITS framework.
60
61  * Fixed a bug in the ambigious name detection.
62
63  * Fixed possible memory corruption while importing OpenPGP keys (bug
64    introduced with 2.0.8). [CVE-2008-1530]
65
66  * Minor bug fixes.
67
68
69 Noteworthy changes in version 2.0.8 (2007-12-20)
70 ------------------------------------------------
71
72  * Enhanced gpg-connect-agent with a small scripting language.
73
74  * New option --list-config for gpgconf.
75
76  * Fixed a crash in gpgconf.
77
78  * Gpg-agent now supports the passphrase quality bar of the latest
79    Pinentry.
80
81  * The envvars XAUTHORITY and PINENTRY_USER_DATA are now passed to the
82    Pinentry.
83
84  * Fixed the auto creation of the key stub for smartcards.  
85
86  * Fixed a rare bug in decryption using the OpenPGP card.
87
88  * Creating DSA2 keys is now possible.
89
90  * New option --extra-digest-algo for gpgsm to allow verification of
91    broken signatures.
92
93  * Allow encryption with legacy Elgamal sign+encrypt keys with option
94    --rfc2440.
95
96  * Windows is now a supported platform.
97
98  * Made sure that under Windows the file permissions of the socket are
99    taken into account.  This required a change of our socket emulation
100    code and changed the IPC protocol under Windows.
101
102
103 Noteworthy changes in version 2.0.7 (2007-09-10)
104 ------------------------------------------------
105
106  * Fixed encryption problem if duplicate certificates are in the
107    keybox.
108
109  * Made it work on Windows Vista.  Note that the entire Windows port
110    is still considered Beta.
111
112  * Add new options min-passphrase-nonalpha, check-passphrase-pattern,
113    enforce-passphrase-constraints and max-passphrase-days to
114    gpg-agent.
115
116  * Add command --check-components to gpgconf.  Gpgconf now uses the
117    installed versions of the programs and does not anymore search via
118    PATH for them.
119
120
121 Noteworthy changes in version 2.0.6 (2007-08-16)
122 ------------------------------------------------
123
124  * GPGSM does now grok --default-key.
125
126  * GPGCONF is now aware of --default-key and --encrypt-to. 
127
128  * GPGSM does again correctly print the serial number as well the the
129    various keyids.  This was broken since 2.0.4.
130
131  * New option --validation-model and support for the chain-model.
132
133  * Improved Windows support.
134
135  
136 Noteworthy changes in version 2.0.5 (2007-07-05)
137 ------------------------------------------------
138
139  * Switched license to GPLv3.
140
141  * Basic support for Windows.  Run "./autogen.sh --build-w32" to build
142    it.  As usual the mingw cross compiling toolchain is required.
143
144  * Fixed bug when using the --p12-charset without --armor.
145
146  * The command --gen-key may now be used instead of the
147    gpgsm-gencert.sh script.
148
149  * Changed key generation to reveal less information about the
150    machine.  Bug fixes for gpg2's card key generation.
151
152
153 Noteworthy changes in version 2.0.4 (2007-05-09)
154 ------------------------------------------------
155
156  * The server mode key listing commands are now also working for
157    systems without the funopen/fopencookie API.
158
159  * PKCS#12 import now tries several encodings in case the passphrase
160    was not utf-8 encoded.  New option --p12-charset for gpgsm.
161
162  * Improved the libgcrypt logging support in all modules.
163
164
165 Noteworthy changes in version 2.0.3 (2007-03-08)
166 ------------------------------------------------
167
168  * By default, do not allow processing multiple plaintexts in a single
169    stream.  Many programs that called GnuPG were assuming that GnuPG
170    did not permit this, and were thus not using the plaintext boundary
171    status tags that GnuPG provides.  This change makes GnuPG reject
172    such messages by default which makes those programs safe again.
173    --allow-multiple-messages returns to the old behavior. [CVE-2007-1263].
174
175  * New --verify-option show-primary-uid-only. 
176
177  * gpgconf may now reads a global configuration file to select which
178    options are changeable by a frontend.  The new applygnupgdefaults
179    tool may be used by an admin to set default options for all users.
180
181  * The PIN pad of the Cherry XX44 keyboard is now supported.  The
182    DINSIG and the NKS applications are now also aware of PIN pads.
183
184
185 Noteworthy changes in version 2.0.2 (2007-01-31)
186 ------------------------------------------------
187
188  * Fixed a serious and exploitable bug in processing encrypted
189    packages. [CVE-2006-6235].
190
191  * Added --passphrase-repeat to set the number of times GPG will
192    prompt for a new passphrase to be repeated.  This is useful to help
193    memorize a new passphrase.  The default is 1 repetition.
194
195  * Using a PIN pad does now also work for the signing key.
196
197  * A warning is displayed by gpg-agent if a new passphrase is too
198    short.  New option --min-passphrase-len defaults to 8.
199
200  * The status code BEGIN_SIGNING now shows the used hash algorithms.
201
202
203 Noteworthy changes in version 2.0.1 (2006-11-28)
204 ------------------------------------------------
205
206  * Experimental support for the PIN pads of the SPR 532 and the Kaan
207    Advanced card readers.  Add "disable-keypad" scdaemon.conf if you
208    don't want it.  Does currently only work for the OpenPGP card and
209    its authentication and decrypt keys.
210
211  * Fixed build problems on some some platforms and crashes on amd64.
212
213  * Fixed a buffer overflow in gpg2. [bug#728,CVE-2006-6169]
214
215
216 Noteworthy changes in version 2.0.0 (2006-11-11)
217 ------------------------------------------------
218
219  * First stable version of a GnuPG integrating OpenPGP and S/MIME.
220
221
222 Noteworthy changes in version 1.9.95 (2006-11-06)
223 -------------------------------------------------
224
225  * Minor bug fixes.
226
227
228 Noteworthy changes in version 1.9.94 (2006-10-24)
229 -------------------------------------------------
230
231  * Keys for gpgsm may now be specified using a keygrip.  A keygrip is
232    indicated by a prefixing it with an ampersand.
233
234  * gpgconf now supports switching the CMS cipher algo (e.g. to AES).
235
236  * New command --gpgconf-test for all major tools. This may be used to
237    check whether the configuration file is sane.
238
239
240 Noteworthy changes in version 1.9.93 (2006-10-18)
241 -------------------------------------------------
242
243  * In --with-validation mode gpgsm will now also ask whether a root
244    certificate should be trusted.
245
246  * Link to Pth only if really necessary.
247
248  * Fixed a pubring corruption bug in gpg2 occurring when importing
249    signatures or keys with insane lengths.
250
251  * Fixed v3 keyID calculation bug in gpg2.
252
253  * More tweaks for certificates without extensions.
254
255
256 Noteworthy changes in version 1.9.92 (2006-10-11)
257 -------------------------------------------------
258
259  * Bug fixes.
260
261
262 Noteworthy changes in version 1.9.91 (2006-10-04)
263 -------------------------------------------------
264
265  * New "relax" flag for trustlist.txt to allow root CA certificates
266    without BasicContraints.
267
268  * [gpg2] Removed the -k PGP 2 compatibility hack.  -k is now an
269    alias for --list-keys.
270
271  * [gpg2] Print a warning if "-sat" is used instead of "--clearsign".
272
273
274 Noteworthy changes in version 1.9.90 (2006-09-25)
275 -------------------------------------------------
276
277  * Made readline work for gpg.
278
279  * Cleanups und minor bug fixes.
280
281  * Included translations from gnupg 1.4.5.
282
283
284 Noteworthy changes in version 1.9.23 (2006-09-18)
285 -------------------------------------------------
286
287  * Regular man pages for most tools are now build directly from the
288    Texinfo source.
289
290  * The gpg code from 1.4.5 has been fully merged into this release.
291    The configure option --enable-gpg is still required to build this
292    gpg part.  For production use of OpenPGP the gpg version 1.4.5 is
293    still recommended.  Note, that gpg will be installed under the name
294    gpg2 to allow coexisting with an 1.4.x gpg.
295
296  * API change in gpg-agent's pkdecrypt command.  Thus an older gpgsm
297    may not be used with the current gpg-agent.
298
299  * The scdaemon will now call a script on reader status changes.
300
301  * gpgsm now allows file descriptor passing for "INPUT", "OUTPUT" and
302    "MESSAGE".
303
304  * The gpgsm server may now output a key listing to the output file
305    handle. This needs to be enabled using "OPTION list-to-output=1".
306
307  * The --output option of gpgsm has now an effect on list-keys.
308
309  * New gpgsm commands --dump-chain and list-chain.
310
311  * gpg-connect-agent has new options to utilize descriptor passing.
312
313  * A global trustlist may now be used.  See doc/examples/trustlist.txt.
314
315  * When creating a new pubring.kbx keybox common certificates are
316    imported.
317
318
319 Noteworthy changes in version 1.9.22 (2006-07-27)
320 -------------------------------------------------
321
322  * Enhanced pkcs#12 support to allow import from simple keyBags.
323
324  * Exporting to pkcs#12 now create bag attributes so that Mozilla is
325    able to import the files.
326
327  * Fixed uploading of certain keys to the smart card.
328
329
330 Noteworthy changes in version 1.9.21 (2006-06-20)
331 -------------------------------------------------
332
333  * New command APDU for scdaemon to allow using it for general card
334    access.  Might be used through gpg-connect-agent by using the SCD
335    prefix command.
336
337  * Support for the CardMan 4040 PCMCIA reader (Linux 2.6.15 required).
338
339  * Scdaemon does not anymore reset cards at the end of a connection. 
340
341  * Kludge to allow use of Bundesnetzagentur issued X.509 certificates.
342
343  * Added --hash=xxx option to scdaemon's PKSIGN command.
344
345  * Pkcs#12 files are now created with a MAC.  This is for better
346    interoperability.
347
348  * Collected bug fixes and minor other changes.
349
350
351 Noteworthy changes in version 1.9.20 (2005-12-20)
352 -------------------------------------------------
353
354  * Importing pkcs#12 files created be recent versions of Mozilla works
355    again.
356
357  * Basic support for qualified signatures.
358
359  * New debug tool gpgparsemail. 
360
361
362 Noteworthy changes in version 1.9.19 (2005-09-12)
363 -------------------------------------------------
364
365  * The Belgian eID card is now supported for signatures and ssh.
366    Other pkcs#15 cards should work as well.
367
368  * Fixed bug in --export-secret-key-p12 so that certificates are again
369    included.
370
371
372 Noteworthy changes in version 1.9.18 (2005-08-01)
373 -------------------------------------------------
374
375  * [gpgsm] Now allows for more than one email address as well as URIs
376    and dnsNames in certificate request generation.  A keygrip may be
377    given to create a request from an existing key.
378
379  * A couple of minor bug fixes.
380
381
382 Noteworthy changes in version 1.9.17 (2005-06-20)
383 -------------------------------------------------
384
385  * gpg-connect-agent has now features to handle Assuan INQUIRE
386    commands.
387
388  * Internal changes for OpenPGP cards. New Assuan command WRITEKEY.
389
390  * GNU Pth is now a hard requirement.
391
392  * [scdaemon] Support for OpenSC has been removed.  Instead a new and
393    straightforward pkcs#15 modules has been written.  As of now it
394    does allows only signing using TCOS cards but we are going to
395    enhance it to match all the old capabilities.
396
397  * [gpg-agent] New option --write-env-file and Assuan command
398    UPDATESTARTUPTTY.
399
400  * [gpg-agent] New option --default-cache-ttl-ssh to set the TTL for
401    SSH passphrase caching independent from the other passphrases.
402
403
404 Noteworthy changes in version 1.9.16 (2005-04-21)
405 -------------------------------------------------
406
407  * gpg-agent does now support the ssh-agent protocol and thus allows
408    to use the pinentry as well as the OpenPGP smartcard with ssh.
409
410  * New tool gpg-connect-agent as a general client for the gpg-agent.
411
412  * New tool symcryptrun as a wrapper for certain encryption tools.
413
414  * The gpg tool is not anymore build by default because those gpg
415    versions available in the gnupg 1.4 series are far more matured.
416
417
418 Noteworthy changes in version 1.9.15 (2005-01-13)
419 -------------------------------------------------
420
421  * Fixed passphrase caching bug.
422
423  * Better support for CCID readers; the reader from Cherry RS 6700 USB
424    does now work.
425
426
427 Noteworthy changes in version 1.9.14 (2004-12-22)
428 -------------------------------------------------
429
430  * [gpg-agent] New option --use-standard-socket to allow the use of a
431    fixed socket.  gpgsm falls back to this socket if GPG_AGENT_INFO
432    has not been set.
433
434  * Ported to MS Windows with some functional limitations.
435
436  * New tool gpg-preset-passphrase.
437
438
439 Noteworthy changes in version 1.9.13 (2004-12-03)
440 -------------------------------------------------
441
442  * [gpgsm] New option --prefer-system-dirmngr.
443
444  * Minor cleanups and debugging aids.
445
446
447 Noteworthy changes in version 1.9.12 (2004-10-22)
448 -------------------------------------------------
449
450  * [scdaemon] Partly rewrote the PC/SC code.
451
452  * Removed the sc-investigate tool.  It is now in a separate package
453    available at ftp://ftp.g10code.com/g10code/gscutils/ .
454
455  * [gpg-agent] Fixed logging problem.
456
457
458 Noteworthy changes in version 1.9.11 (2004-10-01)
459 -------------------------------------------------
460
461  * When using --import along with --with-validation, the imported
462    certificates are validated and only imported if they are fully
463    valid.
464
465  * [gpg-agent] New option --max-cache-ttl.
466
467  * [gpg-agent] When used without --daemon or --server, gpg-agent now
468    check whether a agent is already running and usable.
469
470  * Fixed some i18n problems.
471
472
473 Noteworthy changes in version 1.9.10 (2004-07-22)
474 -------------------------------------------------
475
476  * Fixed a serious bug in the checking of trusted root certificates.
477
478  * New configure option --enable-agent-pnly allows to build and
479    install just the agent.
480
481  * Fixed a problem with the log file handling.
482
483
484 Noteworthy changes in version 1.9.9 (2004-06-08)
485 ------------------------------------------------
486
487  * [gpg-agent] The new option --allow-mark-trusted is now required to
488    allow gpg-agent to add a key to the trustlist.txt after user
489    confirmation.
490
491  * Creating PKCS#10 requests does now honor the key usage.
492
493
494 Noteworthy changes in version 1.9.8 (2004-04-29)
495 ------------------------------------------------
496
497  * [scdaemon] Overhauled the internal CCID driver.
498
499  * [scdaemon] Status files named ~/.gnupg/reader_<n>.status are now
500    written when using the internal CCID driver.
501
502  * [gpgsm] New commands --dump-{,secret,external}-keys to show a very
503    detailed view of the certificates.
504
505  * The keybox gets now compressed after 3 hours and ephemeral
506    stored certificates are deleted after about a day.
507
508  * [gpg] Usability fixes for --card-edit.  Note, that this has already
509    been ported back to gnupg-1.3
510
511
512 Noteworthy changes in version 1.9.7 (2004-04-06)
513 ------------------------------------------------
514
515  * Instrumented the modules for gpgconf.
516
517  * Added support for DINSIG card applications.
518
519  * Include the smimeCapabilities attribute with signed messages.
520
521  * Now uses the gettext domain "gnupg2" to avoid conflicts with gnupg
522    versions < 1.9.
523
524
525 Noteworthy changes in version 1.9.6 (2004-03-06)
526 ------------------------------------------------
527
528  * Code cleanups and bug fixes.
529
530
531 Noteworthy changes in version 1.9.5 (2004-02-21)
532 ------------------------------------------------
533
534  * gpg-protect-tool gets now installed into libexec as it ought to be.
535    Cleaned up the build system to better comply with the coding
536    standards.
537
538  * [gpgsm] The --import command is now able to autodetect pkcs#12
539    files and import secret and private keys from this file format.
540    A new command --export-secret-key-p12 is provided to allow
541    exporting of secret keys in PKCS\#12 format.
542
543  * [gpgsm] The pinentry will now present a description of the key for
544    whom the passphrase is requested.
545
546  * [gpgsm] New option --with-validation to check the validity of key
547    while listing it.
548
549  * New option --debug-level={none,basic,advanced,expert,guru} to map
550    the debug flags to sensitive levels on a per program base.
551
552
553 Noteworthy changes in version 1.9.4 (2004-01-30)
554 ------------------------------------------------
555
556  * Added support for the Telesec NKS 2.0 card application.
557
558  * Added simple tool addgnupghome to create .gnupg directories from
559    /etc/skel/.gnupg.
560
561  * Various minor bug fixes and cleanups; mainly gpgsm and gpg-agent
562    related.
563
564
565 Noteworthy changes in version 1.9.3 (2003-12-23)
566 ------------------------------------------------
567
568  * New gpgsm options --{enable,disable}-ocsp to validate keys using
569    OCSP. This option requires a not yet released DirMngr version.
570    Default is disabled.
571
572  * The --log-file option may now be used to print logs to a socket.
573    Prefix the socket name with "socket://" to enable this.  This does
574    not work on all systems and falls back to stderr if there is a
575    problem with the socket.
576
577  * The options --encrypt-to and --no-encrypt-to now work the same in
578    gpgsm as in gpg.  Note, they are also used in server mode.
579
580  * Duplicated recipients are now silently removed in gpgsm.
581
582
583 Noteworthy changes in version 1.9.2 (2003-11-17)
584 ------------------------------------------------
585
586  * On card key generation is no longer done using the --gen-key
587    command but from the menu provided by the new --card-edit command.
588
589  * PINs are now properly cached and there are only 2 PINs visible.
590    The 3rd PIN (CHV2) is internally syncronized with the regular PIN.
591
592  * All kind of other internal stuff.
593
594
595 Noteworthy changes in version 1.9.1 (2003-09-06)
596 ------------------------------------------------
597
598  * Support for OpenSC is back. scdaemon supports a --disable-opensc to
599    disable OpenSC use at runtime, so that PC/SC or ct-API can still be
600    used directly.
601
602  * Rudimentary support for the SCR335 smartcard reader using an
603    internal driver.  Requires current libusb from CVS.
604
605  * Bug fixes.
606
607
608 Noteworthy changes in version 1.9.0 (2003-08-05)
609 ------------------------------------------------
610
611       ====== PLEASE SEE README-alpha =======
612
613  * gpg has been renamed to gpg2 and gpgv to gpgv2.  This is a
614    temporary change to allow co-existing with stable gpg versions.
615
616  * ~/.gnupg/gpg.conf-1.9.0 is fist tried as config file before the
617    usual gpg.conf.
618
619  * Removed the -k, -kv and -kvv commands.  -k is now an alias to
620    --list-keys.  New command -K as alias for --list-secret-keys.
621
622  * Removed --run-as-shm-coprocess feature.
623
624  * gpg does now also use libgcrypt, libgpg-error is required.
625
626  * New gpgsm commands --call-dirmngr and --call-protect-tool.
627
628  * Changing a passphrase is now possible using "gpgsm --passwd"
629
630  * The content-type attribute is now recognized and created.
631
632  * The agent does now reread certain options on receiving a HUP.
633
634  * The pinentry is now forked for each request so that clients with
635    different environments are supported.  When running in daemon mode
636    and --keep-display is not used the DISPLAY variable is ignored.
637
638  * Merged stuff from the newpg branch and started this new
639    development branch.
640
641
642  Copyright 2002, 2003, 2004, 2005, 2006, 2007,
643            2008  Free Software Foundation, Inc.
644
645  This file is free software; as a special exception the author gives
646  unlimited permission to copy and/or distribute it, with or without
647  modifications, as long as this notice is preserved.
648
649  This file is distributed in the hope that it will be useful, but
650  WITHOUT ANY WARRANTY, to the extent permitted by law; without even the
651  implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.