gpg: Re-enable the "Passphrase" parameter for batch key generation.
[gnupg.git] / NEWS
1 Noteworthy changes in version 2.1.2 (unreleased)
2 ------------------------------------------------
3
4  * agent: When setting --default-cache-ttl the value for
5    --max-cache-ttl is adjusted to be not lower than the former.
6
7  * gpg: The parameter 'Passphrase' for batch key generation works
8    again.
9
10
11 Noteworthy changes in version 2.1.1 (2014-12-16)
12 ------------------------------------------------
13
14  * gpg: Detect faulty use of --verify on detached signatures.
15
16  * gpg: New import option "keep-ownertrust".
17
18  * gpg: New sub-command "factory-reset" for --card-edit.
19
20  * gpg: A stub key for smartcards is now created by --card-status.
21
22  * gpg: Fixed regression in --refresh-keys.
23
24  * gpg: Fixed regresion in %g and %p codes for --sig-notation.
25
26  * gpg: Fixed best matching hash algo detection for ECDSA and EdDSA.
27
28  * gpg: Improved perceived speed of secret key listisngs.
29
30  * gpg: Print number of skipped PGP-2 keys on import.
31
32  * gpg: Removed the option aliases --throw-keyid and --notation-data;
33    use --throw-keyids and --set-notation instead.
34
35  * gpg: New import option "keep-ownertrust".
36
37  * gpg: Skip too large keys during import.
38
39  * gpg,gpgsm: New option --no-autostart to avoid starting gpg-agent or
40    dirmngr.
41
42  * gpg-agent: New option --extra-socket to provide a restricted
43    command set for use with remote clients.
44
45  * gpgconf --kill does not anymore start a service only to kill it.
46
47  * gpg-pconnect-agent: Add convenience option --uiserver.
48
49  * Fixed keyserver access for Windows.
50
51  * Fixed build problems on Mac OS X
52
53  * The Windows installer does now install development files
54
55  * More translations (but most of them are not complete).
56
57  * To support remotely mounted home directories, the IPC sockets may
58    now be redirected.  This feature requires Libassuan 2.2.0.
59
60  * Improved portability and the usual bunch of bug fixes.
61
62
63 Noteworthy changes in version 2.1.0 (2014-11-06)
64 ------------------------------------------------
65
66  This release introduces a lot of changes.  Most of them are internal
67  and thus not user visible.  However, some long standing behavior has
68  slightly changed and it is strongly suggested that an existing
69  "~/.gnupg" directory is backed up before this version is used.
70
71  A verbose description of the major new features and changes can be
72  found in the file doc/whats-new-in-2.1.txt.
73
74  * gpg: All support for v3 (PGP 2) keys has been dropped.  All
75    signatures are now created as v4 signatures.  v3 keys will be
76    removed from the keyring.
77
78  * gpg: With pinentry-0.9.0 the passphrase "enter again" prompt shows
79    up in the same window as the "new passphrase" prompt.
80
81  * gpg: Allow importing keys with duplicated long key ids.
82
83  * dirmngr: May now be build without support for LDAP.
84
85  * For a complete list of changes see the lists of changes for the
86    2.1.0 beta versions below.  Note that all relevant fixes from
87    versions 2.0.14 to 2.0.26 are also applied to this version.
88
89
90  [Noteworthy changes in version 2.1.0-beta864 (2014-10-03)]
91
92  * gpg: Removed the GPG_AGENT_INFO related code.  GnuPG does now
93    always use a fixed socket name in its home directory.
94
95  * gpg: Renamed --gen-key to --full-gen-key and re-added a --gen-key
96    command with less choices.
97
98  * gpg: Use SHA-256 for all signature types also on RSA keys.
99
100  * gpg: Default keyring is now created with a .kbx suffix.
101
102  * gpg: Add a shortcut to the key capabilies menu (e.g. "=e" sets the
103    encryption capabilities).
104
105  * gpg: Fixed obsolete options parsing.
106
107  * Further improvements for the alternative speedo build system.
108
109
110  [Noteworthy changes in version 2.1.0-beta834 (2014-09-18)]
111
112  * gpg: Improved passphrase caching.
113
114  * gpg: Switched to algorithm number 22 for EdDSA.
115
116  * gpg: Removed CAST5 from the default preferences.
117
118  * gpg: Order SHA-1 last in the hash preferences.
119
120  * gpg: Changed default cipher for --symmetric to AES-128.
121
122  * gpg: Fixed export of ECC keys and import of EdDSA keys.
123
124  * dirmngr: Fixed the KS_FETCH command.
125
126  * The speedo build system now downloads related packages and works
127    for non-Windows platforms.
128
129
130  [Noteworthy changes in version 2.1.0-beta783 (2014-08-14)]
131
132  * gpg: Add command --quick-gen-key.
133
134  * gpg: Make --quick-sign-key promote local key signatures.
135
136  * gpg: Added "show-usage" sub-option to --list-options.
137
138  * gpg: Screen keyserver responses to avoid importing unwanted keys
139    from rogue servers.
140
141  * gpg: Removed the option --pgp2 and --rfc1991 and the ability to
142    create PGP-2 compatible messages.
143
144  * gpg: Removed options --compress-keys and --compress-sigs.
145
146  * gpg: Cap attribute packets at 16MB.
147
148  * gpg: Improved output of --list-packets.
149
150  * gpg: Make with-colons output of --search-keys work again.
151
152  * gpgsm: Auto-create the ".gnupg" directory like gpg does.
153
154  * agent: Fold new passphrase warning prompts into one.
155
156  * scdaemon: Add support for the Smartcard-HSM card.
157
158  * scdaemon: Remove the use of the pcsc-wrapper.
159
160
161  [Noteworthy changes in version 2.1.0-beta751 (2014-07-03)]
162
163  * gpg: Create revocation certificates during key generation.
164
165  * gpg: Create exported secret keys and revocation certifciates with
166    mode 0700
167
168  * gpg: The validity of user ids is now shown by default.  To revert
169    this add "list-options no-show-uid-validity" to gpg.conf.
170
171  * gpg: Make export of secret keys work again.
172
173  * gpg: The output of --list-packets does now print the offset of the
174    packet and information about the packet header.
175
176  * gpg: Avoid DoS due to garbled compressed data packets. [CVE-2014-4617]
177
178  * gpg: Print more specific reason codes with the INV_RECP status.
179
180  * gpg: Cap RSA and Elgamal keysize at 4096 bit also for unattended
181    key generation.
182
183  * scdaemon: Support reader Gemalto IDBridge CT30 and pinpad of SCT
184    cyberJack go.
185
186  * The speedo build system has been improved.  It is now also possible
187    to build a partly working installer for Windows.
188
189
190  [Noteworthy changes in version 2.1.0-beta442 (2014-06-05)]
191
192  * gpg: Changed the format of key listings.  To revert to the old
193    format the option --legacy-list-mode is available.
194
195  * gpg: Add experimental signature support using curve Ed25519 and
196    with a patched Libgcrypt also encryption support with Curve25519.
197    [Update: this encryption support has been removed from 2.1.0 until
198    we have agreed on a suitable format.]
199
200  * gpg: Allow use of Brainpool curves.
201
202  * gpg: Accepts a space separated fingerprint as user ID.  This
203    allows to copy and paste the fingerprint from the key listing.
204
205  * gpg: The hash algorithm is now printed for signature records in key
206    listings.
207
208  * gpg: Reject signatures made using the MD5 hash algorithm unless the
209    new option --allow-weak-digest-algos or --pgp2 are given.
210
211  * gpg: Print a warning if the Gnome-Keyring-Daemon intercepts the
212    communication with the gpg-agent.
213
214  * gpg: New option --pinentry-mode.
215
216  * gpg: Fixed decryption using an OpenPGP card.
217
218  * gpg: Fixed bug with deeply nested compressed packets.
219
220  * gpg: Only the major version number is by default included in the
221    armored output.
222
223  * gpg: Do not create a trustdb file if --trust-model=always is used.
224
225  * gpg: Protect against rogue keyservers sending secret keys.
226
227  * gpg: The format of the fallback key listing ("gpg KEYFILE") is now
228    more aligned to the regular key listing ("gpg -k").
229
230  * gpg: The option--show-session-key prints its output now before the
231    decryption of the bulk message starts.
232
233  * gpg: New %U expando for the photo viewer.
234
235  * gpg,gpgsm: New option --with-secret.
236
237  * gpgsm: By default the users are now asked via the Pinentry whether
238    they trust an X.509 root key.  To prohibit interactive marking of
239    such keys, the new option --no-allow-mark-trusted may be used.
240
241  * gpgsm: New commands to export a secret RSA key in PKCS#1 or PKCS#8
242    format.
243
244  * gpgsm: Improved handling of re-issued CA certificates.
245
246  * agent: The included ssh agent does now support ECDSA keys.
247
248  * agent: New option --enable-putty-support to allow gpg-agent on
249    Windows to act as a Pageant replacement with full smartcard support.
250
251  * scdaemon: New option --enable-pinpad-varlen.
252
253  * scdaemon: Various fixes for pinpad equipped card readers.
254
255  * scdaemon: Rename option --disable-pinpad (was --disable-keypad).
256
257  * scdaemon: Better support fo CCID readers.  Now, internal CCID
258    driver supports readers with no auto configuration feature.
259
260  * dirmngr: Removed support for the original HKP keyserver which is
261    not anymore used by any site.
262
263  * dirmngr: Improved support for keyserver pools.
264
265  * tools: New option --dirmngr for gpg-connect-agent.
266
267  * The GNU Pth library has been replaced by the new nPth library.
268
269  * Support installation as portable application under Windows.
270
271  * All kind of other improvements - see the git log.
272
273
274  [Noteworthy changes in version 2.1.0beta3 (2011-12-20)]
275
276  * gpg: Fixed regression in the secret key export function.
277
278  * gpg: Allow generation of card keys up to 4096 bit.
279
280  * gpgsm: Preliminary support for the validation model "steed".
281
282  * gpgsm: Improved certificate creation.
283
284  * agent: Support the SSH confirm flag.
285
286  * agent: New option to select a passphrase mode.  The loopback
287    mode may be used to bypass Pinentry.
288
289  * agent: The Assuan commands KILLAGENT and KILLSCD are working again.
290
291  * scdaemon: Does not anymore block after changing a card (regression
292    fix).
293
294  * tools: gpg-connect-agent does now proberly display the help output
295    for "SCD HELP" commands.
296
297
298  [Noteworthy changes in version 2.1.0beta2 (2011-03-08)]
299
300  * gpg: ECC support as described by draft-jivsov-openpgp-ecc-06.txt
301    [Update: now known as RFC-6637].
302
303  * gpg: Print "AES128" instead of "AES".  This change introduces a
304    little incompatibility for tools using "gpg --list-config".  We
305    hope that these tools are written robust enough to accept this new
306    algorithm name as well.
307
308  * gpgsm: New feature to create certificates from a parameter file.
309    Add prompt to the --gen-key UI to create self-signed certificates.
310
311  * agent: TMPDIR is now also honored when creating a socket using
312    the --no-standard-socket option and with symcryptrun's temp files.
313
314  * scdaemon: Fixed a bug where scdaemon sends a signal to gpg-agent
315    running in non-daemon mode.
316
317  * dirmngr: Fixed CRL loading under W32 (bug#1010).
318
319  * Dirmngr has taken over the function of the keyserver helpers.  Thus
320    we now have a specified direct interface to keyservers via Dirmngr.
321    LDAP, DNS and mail backends are not yet implemented.
322
323  * Fixed TTY management for pinentries and session variable update
324    problem.
325
326
327  [Noteworthy changes in version 2.1.0beta1 (2010-10-26)]
328
329  * gpg: secring.gpg is not anymore used but all secret key operations
330    are delegated to gpg-agent.  The import command moves secret keys
331    to the agent.
332
333  * gpg: The OpenPGP import command is now able to merge secret keys.
334
335  * gpg: Encrypted OpenPGP messages with trailing data (e.g. other
336    OpenPGP packets) are now correctly parsed.
337
338  * gpg: Given sufficient permissions Dirmngr is started automagically.
339
340  * gpg: Fixed output of "gpgconf --check-options".
341
342  * gpg: Removed options --export-options(export-secret-subkey-passwd)
343    and --simple-sk-checksum.
344
345  * gpg: New options --try-secret-key.
346
347  * gpg: Support DNS lookups for SRV, PKA and CERT on W32.
348
349  * gpgsm: The --audit-log feature is now more complete.
350
351  * gpgsm: The default for --include-cert is now to include all
352    certificates in the chain except for the root certificate.
353
354  * gpgsm: New option --ignore-cert-extension.
355
356  * g13: The G13 tool for disk encryption key management has been
357    added.
358
359  * agent: If the agent's --use-standard-socket option is active, all
360    tools try to start and daemonize the agent on the fly.  In the past
361    this was only supported on W32; on non-W32 systems the new
362    configure option --disable-standard-socket may now be used to
363    disable this new default.
364
365  * agent: New and changed passphrases are now created with an
366    iteration count requiring about 100ms of CPU work.
367
368  * dirmngr: Dirmngr is now a part of this package.  It is now also
369    expected to run as a system service and the configuration
370    directories are changed to the GnuPG name space. [Update: 2.1.0
371    starts dirmngr on demand as user daemon.]
372
373  * Support for Windows CE. [Update: This has not been tested for the
374    2.1.0 release]
375
376  * Numerical values may now be used as an alternative to the
377    debug-level keywords.
378
379
380 Noteworthy changes in version 2.0.13 (2009-09-04)
381 -------------------------------------------------
382
383  * GPG now generates 2048 bit RSA keys by default.  The default hash
384    algorithm preferences has changed to prefer SHA-256 over SHA-1.
385    2048 bit DSA keys are now generated to use a 256 bit hash algorithm
386
387  * The envvars XMODIFIERS, GTK_IM_MODULE and QT_IM_MODULE are now
388    passed to the Pinentry to make SCIM work.
389
390  * The GPGSM command --gen-key features a --batch mode and implements
391    all features of gpgsm-gencert.sh in standard mode.
392
393  * New option --re-import for GPGSM's IMPORT server command.
394
395  * Enhanced writing of existing keys to OpenPGP v2 cards.
396
397  * Add hack to the internal CCID driver to allow the use of some
398    Omnikey based card readers with 2048 bit keys.
399
400  * GPG now repeatly asks the user to insert the requested OpenPGP
401    card.  This can be disabled with --limit-card-insert-tries=1.
402
403  * Minor bug fixes.
404
405
406 Noteworthy changes in version 2.0.12 (2009-06-17)
407 -------------------------------------------------
408
409  * GPGSM now always lists ephemeral certificates if specified by
410    fingerprint or keygrip.
411
412  * New command "KEYINFO" for GPG_AGENT.  GPGSM now also returns
413    information about smartcards.
414
415  * Made sure not to leak file descriptors if running gpg-agent with a
416    command.  Restore the signal mask to solve a problem in Mono.
417
418  * Changed order of the confirmation questions for root certificates
419    and store negative answers in trustlist.txt.
420
421  * Better synchronization of concurrent smartcard sessions.
422
423  * Support 2048 bit OpenPGP cards.
424
425  * Support Telesec Netkey 3 cards.
426
427  * The gpg-protect-tool now uses gpg-agent via libassuan.  Under
428    Windows the Pinentry will now be put into the foreground.
429
430  * Changed code to avoid a possible Mac OS X system freeze.
431
432
433 Noteworthy changes in version 2.0.11 (2009-03-03)
434 -------------------------------------------------
435
436  * Fixed a problem in SCDAEMON which caused unexpected card resets.
437
438  * SCDAEMON is now aware of the Geldkarte.
439
440  * The SCDAEMON option --allow-admin is now used by default.
441
442  * GPGCONF now restarts SCdaemon if necessary.
443
444  * The default cipher algorithm in GPGSM is now again 3DES.  This is
445    due to interoperability problems with Outlook 2003 which still
446    can't cope with AES.
447
448
449 Noteworthy changes in version 2.0.10 (2009-01-12)
450 -------------------------------------------------
451
452  * [gpg] New keyserver helper gpg2keys_kdns as generic DNS CERT
453    lookup.  Run with --help for a short description.  Requires the
454    ADNS library.
455
456  * [gpg] New mechanisms "local" and "nodefault" for --auto-key-locate.
457    Fixed a few problems with this option.
458
459  * [gpg] New command --locate-keys.
460
461  * [gpg] New options --with-sig-list and --with-sig-check.
462
463  * [gpg] The option "-sat" is no longer an alias for --clearsign.
464
465  * [gpg] The option --fixed-list-mode is now implicitly used and obsolete.
466
467  * [gpg] New control statement %ask-passphrase for the unattended key
468    generation.
469
470  * [gpg] The algorithm to compute the SIG_ID status has been changed.
471
472  * [gpgsm] Now uses AES by default.
473
474  * [gpgsm] Made --output option work with --export-secret-key-p12.
475
476  * [gpg-agent] Terminate process if the own listening socket is not
477    anymore served by ourself.
478
479  * [scdaemon] Made it more robust on W32.
480
481  * [gpg-connect-agent] Accept commands given as command line arguments.
482
483  * [w32] Initialized the socket subsystem for all keyserver helpers.
484
485  * [w32] The sysconf directory has been moved from a subdirectory of
486    the installation directory to %CSIDL_COMMON_APPDATA%/GNU/etc/gnupg.
487
488  * [w32] The gnupg2.nls directory is not anymore used.  The standard
489    locale directory is now used.
490
491  * [w32] Fixed a race condition between gpg and gpgsm in the use of
492    temporary file names.
493
494  * The gpg-preset-passphrase mechanism works again.  An arbitrary
495    string may now be used for a custom cache ID.
496
497  * Admin PINs are cached again (bug in 2.0.9).
498
499  * Support for version 2 OpenPGP cards.
500
501  * Libgcrypt 1.4 is now required.
502
503
504 Noteworthy changes in version 2.0.9 (2008-03-26)
505 ------------------------------------------------
506
507  * Gpgsm always tries to locate missing certificates from a running
508    Dirmngr's cache.
509
510  * Tweaks for Windows.
511
512  * The Admin PIN for OpenPGP cards may now be entered with the pinpad.
513
514  * Improved certificate chain construction.
515
516  * Extended the PKITS framework.
517
518  * Fixed a bug in the ambigious name detection.
519
520  * Fixed possible memory corruption while importing OpenPGP keys (bug
521    introduced with 2.0.8). [CVE-2008-1530]
522
523  * Minor bug fixes.
524
525
526 Noteworthy changes in version 2.0.8 (2007-12-20)
527 ------------------------------------------------
528
529  * Enhanced gpg-connect-agent with a small scripting language.
530
531  * New option --list-config for gpgconf.
532
533  * Fixed a crash in gpgconf.
534
535  * Gpg-agent now supports the passphrase quality bar of the latest
536    Pinentry.
537
538  * The envvars XAUTHORITY and PINENTRY_USER_DATA are now passed to the
539    Pinentry.
540
541  * Fixed the auto creation of the key stub for smartcards.
542
543  * Fixed a rare bug in decryption using the OpenPGP card.
544
545  * Creating DSA2 keys is now possible.
546
547  * New option --extra-digest-algo for gpgsm to allow verification of
548    broken signatures.
549
550  * Allow encryption with legacy Elgamal sign+encrypt keys with option
551    --rfc2440.
552
553  * Windows is now a supported platform.
554
555  * Made sure that under Windows the file permissions of the socket are
556    taken into account.  This required a change of our socket emulation
557    code and changed the IPC protocol under Windows.
558
559
560 Noteworthy changes in version 2.0.7 (2007-09-10)
561 ------------------------------------------------
562
563  * Fixed encryption problem if duplicate certificates are in the
564    keybox.
565
566  * Made it work on Windows Vista.  Note that the entire Windows port
567    is still considered Beta.
568
569  * Add new options min-passphrase-nonalpha, check-passphrase-pattern,
570    enforce-passphrase-constraints and max-passphrase-days to
571    gpg-agent.
572
573  * Add command --check-components to gpgconf.  Gpgconf now uses the
574    installed versions of the programs and does not anymore search via
575    PATH for them.
576
577
578 Noteworthy changes in version 2.0.6 (2007-08-16)
579 ------------------------------------------------
580
581  * GPGSM does now grok --default-key.
582
583  * GPGCONF is now aware of --default-key and --encrypt-to.
584
585  * GPGSM does again correctly print the serial number as well the the
586    various keyids.  This was broken since 2.0.4.
587
588  * New option --validation-model and support for the chain-model.
589
590  * Improved Windows support.
591
592
593 Noteworthy changes in version 2.0.5 (2007-07-05)
594 ------------------------------------------------
595
596  * Switched license to GPLv3.
597
598  * Basic support for Windows.  Run "./autogen.sh --build-w32" to build
599    it.  As usual the mingw cross compiling toolchain is required.
600
601  * Fixed bug when using the --p12-charset without --armor.
602
603  * The command --gen-key may now be used instead of the
604    gpgsm-gencert.sh script.
605
606  * Changed key generation to reveal less information about the
607    machine.  Bug fixes for gpg2's card key generation.
608
609
610 Noteworthy changes in version 2.0.4 (2007-05-09)
611 ------------------------------------------------
612
613  * The server mode key listing commands are now also working for
614    systems without the funopen/fopencookie API.
615
616  * PKCS#12 import now tries several encodings in case the passphrase
617    was not utf-8 encoded.  New option --p12-charset for gpgsm.
618
619  * Improved the libgcrypt logging support in all modules.
620
621
622 Noteworthy changes in version 2.0.3 (2007-03-08)
623 ------------------------------------------------
624
625  * By default, do not allow processing multiple plaintexts in a single
626    stream.  Many programs that called GnuPG were assuming that GnuPG
627    did not permit this, and were thus not using the plaintext boundary
628    status tags that GnuPG provides.  This change makes GnuPG reject
629    such messages by default which makes those programs safe again.
630    --allow-multiple-messages returns to the old behavior. [CVE-2007-1263].
631
632  * New --verify-option show-primary-uid-only.
633
634  * gpgconf may now reads a global configuration file to select which
635    options are changeable by a frontend.  The new applygnupgdefaults
636    tool may be used by an admin to set default options for all users.
637
638  * The PIN pad of the Cherry XX44 keyboard is now supported.  The
639    DINSIG and the NKS applications are now also aware of PIN pads.
640
641
642 Noteworthy changes in version 2.0.2 (2007-01-31)
643 ------------------------------------------------
644
645  * Fixed a serious and exploitable bug in processing encrypted
646    packages. [CVE-2006-6235].
647
648  * Added --passphrase-repeat to set the number of times GPG will
649    prompt for a new passphrase to be repeated.  This is useful to help
650    memorize a new passphrase.  The default is 1 repetition.
651
652  * Using a PIN pad does now also work for the signing key.
653
654  * A warning is displayed by gpg-agent if a new passphrase is too
655    short.  New option --min-passphrase-len defaults to 8.
656
657  * The status code BEGIN_SIGNING now shows the used hash algorithms.
658
659
660 Noteworthy changes in version 2.0.1 (2006-11-28)
661 ------------------------------------------------
662
663  * Experimental support for the PIN pads of the SPR 532 and the Kaan
664    Advanced card readers.  Add "disable-keypad" scdaemon.conf if you
665    don't want it.  Does currently only work for the OpenPGP card and
666    its authentication and decrypt keys.
667
668  * Fixed build problems on some some platforms and crashes on amd64.
669
670  * Fixed a buffer overflow in gpg2. [bug#728,CVE-2006-6169]
671
672
673 Noteworthy changes in version 2.0.0 (2006-11-11)
674 ------------------------------------------------
675
676  * First stable version of a GnuPG integrating OpenPGP and S/MIME.
677
678
679 Noteworthy changes in version 1.9.95 (2006-11-06)
680 -------------------------------------------------
681
682  * Minor bug fixes.
683
684
685 Noteworthy changes in version 1.9.94 (2006-10-24)
686 -------------------------------------------------
687
688  * Keys for gpgsm may now be specified using a keygrip.  A keygrip is
689    indicated by a prefixing it with an ampersand.
690
691  * gpgconf now supports switching the CMS cipher algo (e.g. to AES).
692
693  * New command --gpgconf-test for all major tools. This may be used to
694    check whether the configuration file is sane.
695
696
697 Noteworthy changes in version 1.9.93 (2006-10-18)
698 -------------------------------------------------
699
700  * In --with-validation mode gpgsm will now also ask whether a root
701    certificate should be trusted.
702
703  * Link to Pth only if really necessary.
704
705  * Fixed a pubring corruption bug in gpg2 occurring when importing
706    signatures or keys with insane lengths.
707
708  * Fixed v3 keyID calculation bug in gpg2.
709
710  * More tweaks for certificates without extensions.
711
712
713 Noteworthy changes in version 1.9.92 (2006-10-11)
714 -------------------------------------------------
715
716  * Bug fixes.
717
718
719 Noteworthy changes in version 1.9.91 (2006-10-04)
720 -------------------------------------------------
721
722  * New "relax" flag for trustlist.txt to allow root CA certificates
723    without BasicContraints.
724
725  * [gpg2] Removed the -k PGP 2 compatibility hack.  -k is now an
726    alias for --list-keys.
727
728  * [gpg2] Print a warning if "-sat" is used instead of "--clearsign".
729
730
731 Noteworthy changes in version 1.9.90 (2006-09-25)
732 -------------------------------------------------
733
734  * Made readline work for gpg.
735
736  * Cleanups und minor bug fixes.
737
738  * Included translations from gnupg 1.4.5.
739
740
741 Noteworthy changes in version 1.9.23 (2006-09-18)
742 -------------------------------------------------
743
744  * Regular man pages for most tools are now build directly from the
745    Texinfo source.
746
747  * The gpg code from 1.4.5 has been fully merged into this release.
748    The configure option --enable-gpg is still required to build this
749    gpg part.  For production use of OpenPGP the gpg version 1.4.5 is
750    still recommended.  Note, that gpg will be installed under the name
751    gpg2 to allow coexisting with an 1.4.x gpg.
752
753  * API change in gpg-agent's pkdecrypt command.  Thus an older gpgsm
754    may not be used with the current gpg-agent.
755
756  * The scdaemon will now call a script on reader status changes.
757
758  * gpgsm now allows file descriptor passing for "INPUT", "OUTPUT" and
759    "MESSAGE".
760
761  * The gpgsm server may now output a key listing to the output file
762    handle. This needs to be enabled using "OPTION list-to-output=1".
763
764  * The --output option of gpgsm has now an effect on list-keys.
765
766  * New gpgsm commands --dump-chain and list-chain.
767
768  * gpg-connect-agent has new options to utilize descriptor passing.
769
770  * A global trustlist may now be used.  See doc/examples/trustlist.txt.
771
772  * When creating a new pubring.kbx keybox common certificates are
773    imported.
774
775
776 Noteworthy changes in version 1.9.22 (2006-07-27)
777 -------------------------------------------------
778
779  * Enhanced pkcs#12 support to allow import from simple keyBags.
780
781  * Exporting to pkcs#12 now create bag attributes so that Mozilla is
782    able to import the files.
783
784  * Fixed uploading of certain keys to the smart card.
785
786
787 Noteworthy changes in version 1.9.21 (2006-06-20)
788 -------------------------------------------------
789
790  * New command APDU for scdaemon to allow using it for general card
791    access.  Might be used through gpg-connect-agent by using the SCD
792    prefix command.
793
794  * Support for the CardMan 4040 PCMCIA reader (Linux 2.6.15 required).
795
796  * Scdaemon does not anymore reset cards at the end of a connection.
797
798  * Kludge to allow use of Bundesnetzagentur issued X.509 certificates.
799
800  * Added --hash=xxx option to scdaemon's PKSIGN command.
801
802  * Pkcs#12 files are now created with a MAC.  This is for better
803    interoperability.
804
805  * Collected bug fixes and minor other changes.
806
807
808 Noteworthy changes in version 1.9.20 (2005-12-20)
809 -------------------------------------------------
810
811  * Importing pkcs#12 files created be recent versions of Mozilla works
812    again.
813
814  * Basic support for qualified signatures.
815
816  * New debug tool gpgparsemail.
817
818
819 Noteworthy changes in version 1.9.19 (2005-09-12)
820 -------------------------------------------------
821
822  * The Belgian eID card is now supported for signatures and ssh.
823    Other pkcs#15 cards should work as well.
824
825  * Fixed bug in --export-secret-key-p12 so that certificates are again
826    included.
827
828
829 Noteworthy changes in version 1.9.18 (2005-08-01)
830 -------------------------------------------------
831
832  * [gpgsm] Now allows for more than one email address as well as URIs
833    and dnsNames in certificate request generation.  A keygrip may be
834    given to create a request from an existing key.
835
836  * A couple of minor bug fixes.
837
838
839 Noteworthy changes in version 1.9.17 (2005-06-20)
840 -------------------------------------------------
841
842  * gpg-connect-agent has now features to handle Assuan INQUIRE
843    commands.
844
845  * Internal changes for OpenPGP cards. New Assuan command WRITEKEY.
846
847  * GNU Pth is now a hard requirement.
848
849  * [scdaemon] Support for OpenSC has been removed.  Instead a new and
850    straightforward pkcs#15 modules has been written.  As of now it
851    does allows only signing using TCOS cards but we are going to
852    enhance it to match all the old capabilities.
853
854  * [gpg-agent] New option --write-env-file and Assuan command
855    UPDATESTARTUPTTY.
856
857  * [gpg-agent] New option --default-cache-ttl-ssh to set the TTL for
858    SSH passphrase caching independent from the other passphrases.
859
860
861 Noteworthy changes in version 1.9.16 (2005-04-21)
862 -------------------------------------------------
863
864  * gpg-agent does now support the ssh-agent protocol and thus allows
865    to use the pinentry as well as the OpenPGP smartcard with ssh.
866
867  * New tool gpg-connect-agent as a general client for the gpg-agent.
868
869  * New tool symcryptrun as a wrapper for certain encryption tools.
870
871  * The gpg tool is not anymore build by default because those gpg
872    versions available in the gnupg 1.4 series are far more matured.
873
874
875 Noteworthy changes in version 1.9.15 (2005-01-13)
876 -------------------------------------------------
877
878  * Fixed passphrase caching bug.
879
880  * Better support for CCID readers; the reader from Cherry RS 6700 USB
881    does now work.
882
883
884 Noteworthy changes in version 1.9.14 (2004-12-22)
885 -------------------------------------------------
886
887  * [gpg-agent] New option --use-standard-socket to allow the use of a
888    fixed socket.  gpgsm falls back to this socket if GPG_AGENT_INFO
889    has not been set.
890
891  * Ported to MS Windows with some functional limitations.
892
893  * New tool gpg-preset-passphrase.
894
895
896 Noteworthy changes in version 1.9.13 (2004-12-03)
897 -------------------------------------------------
898
899  * [gpgsm] New option --prefer-system-dirmngr.
900
901  * Minor cleanups and debugging aids.
902
903
904 Noteworthy changes in version 1.9.12 (2004-10-22)
905 -------------------------------------------------
906
907  * [scdaemon] Partly rewrote the PC/SC code.
908
909  * Removed the sc-investigate tool.  It is now in a separate package
910    available at ftp://ftp.g10code.com/g10code/gscutils/ .
911
912  * [gpg-agent] Fixed logging problem.
913
914
915 Noteworthy changes in version 1.9.11 (2004-10-01)
916 -------------------------------------------------
917
918  * When using --import along with --with-validation, the imported
919    certificates are validated and only imported if they are fully
920    valid.
921
922  * [gpg-agent] New option --max-cache-ttl.
923
924  * [gpg-agent] When used without --daemon or --server, gpg-agent now
925    check whether a agent is already running and usable.
926
927  * Fixed some i18n problems.
928
929
930 Noteworthy changes in version 1.9.10 (2004-07-22)
931 -------------------------------------------------
932
933  * Fixed a serious bug in the checking of trusted root certificates.
934
935  * New configure option --enable-agent-pnly allows to build and
936    install just the agent.
937
938  * Fixed a problem with the log file handling.
939
940
941 Noteworthy changes in version 1.9.9 (2004-06-08)
942 ------------------------------------------------
943
944  * [gpg-agent] The new option --allow-mark-trusted is now required to
945    allow gpg-agent to add a key to the trustlist.txt after user
946    confirmation.
947
948  * Creating PKCS#10 requests does now honor the key usage.
949
950
951 Noteworthy changes in version 1.9.8 (2004-04-29)
952 ------------------------------------------------
953
954  * [scdaemon] Overhauled the internal CCID driver.
955
956  * [scdaemon] Status files named ~/.gnupg/reader_<n>.status are now
957    written when using the internal CCID driver.
958
959  * [gpgsm] New commands --dump-{,secret,external}-keys to show a very
960    detailed view of the certificates.
961
962  * The keybox gets now compressed after 3 hours and ephemeral
963    stored certificates are deleted after about a day.
964
965  * [gpg] Usability fixes for --card-edit.  Note, that this has already
966    been ported back to gnupg-1.3
967
968
969 Noteworthy changes in version 1.9.7 (2004-04-06)
970 ------------------------------------------------
971
972  * Instrumented the modules for gpgconf.
973
974  * Added support for DINSIG card applications.
975
976  * Include the smimeCapabilities attribute with signed messages.
977
978  * Now uses the gettext domain "gnupg2" to avoid conflicts with gnupg
979    versions < 1.9.
980
981
982 Noteworthy changes in version 1.9.6 (2004-03-06)
983 ------------------------------------------------
984
985  * Code cleanups and bug fixes.
986
987
988 Noteworthy changes in version 1.9.5 (2004-02-21)
989 ------------------------------------------------
990
991  * gpg-protect-tool gets now installed into libexec as it ought to be.
992    Cleaned up the build system to better comply with the coding
993    standards.
994
995  * [gpgsm] The --import command is now able to autodetect pkcs#12
996    files and import secret and private keys from this file format.
997    A new command --export-secret-key-p12 is provided to allow
998    exporting of secret keys in PKCS\#12 format.
999
1000  * [gpgsm] The pinentry will now present a description of the key for
1001    whom the passphrase is requested.
1002
1003  * [gpgsm] New option --with-validation to check the validity of key
1004    while listing it.
1005
1006  * New option --debug-level={none,basic,advanced,expert,guru} to map
1007    the debug flags to sensitive levels on a per program base.
1008
1009
1010 Noteworthy changes in version 1.9.4 (2004-01-30)
1011 ------------------------------------------------
1012
1013  * Added support for the Telesec NKS 2.0 card application.
1014
1015  * Added simple tool addgnupghome to create .gnupg directories from
1016    /etc/skel/.gnupg.
1017
1018  * Various minor bug fixes and cleanups; mainly gpgsm and gpg-agent
1019    related.
1020
1021
1022 Noteworthy changes in version 1.9.3 (2003-12-23)
1023 ------------------------------------------------
1024
1025  * New gpgsm options --{enable,disable}-ocsp to validate keys using
1026    OCSP. This option requires a not yet released DirMngr version.
1027    Default is disabled.
1028
1029  * The --log-file option may now be used to print logs to a socket.
1030    Prefix the socket name with "socket://" to enable this.  This does
1031    not work on all systems and falls back to stderr if there is a
1032    problem with the socket.
1033
1034  * The options --encrypt-to and --no-encrypt-to now work the same in
1035    gpgsm as in gpg.  Note, they are also used in server mode.
1036
1037  * Duplicated recipients are now silently removed in gpgsm.
1038
1039
1040 Noteworthy changes in version 1.9.2 (2003-11-17)
1041 ------------------------------------------------
1042
1043  * On card key generation is no longer done using the --gen-key
1044    command but from the menu provided by the new --card-edit command.
1045
1046  * PINs are now properly cached and there are only 2 PINs visible.
1047    The 3rd PIN (CHV2) is internally syncronized with the regular PIN.
1048
1049  * All kind of other internal stuff.
1050
1051
1052 Noteworthy changes in version 1.9.1 (2003-09-06)
1053 ------------------------------------------------
1054
1055  * Support for OpenSC is back. scdaemon supports a --disable-opensc to
1056    disable OpenSC use at runtime, so that PC/SC or ct-API can still be
1057    used directly.
1058
1059  * Rudimentary support for the SCR335 smartcard reader using an
1060    internal driver.  Requires current libusb from CVS.
1061
1062  * Bug fixes.
1063
1064
1065 Noteworthy changes in version 1.9.0 (2003-08-05)
1066 ------------------------------------------------
1067
1068       ====== PLEASE SEE README-alpha =======
1069
1070  * gpg has been renamed to gpg2 and gpgv to gpgv2.  This is a
1071    temporary change to allow co-existing with stable gpg versions.
1072
1073  * ~/.gnupg/gpg.conf-1.9.0 is fist tried as config file before the
1074    usual gpg.conf.
1075
1076  * Removed the -k, -kv and -kvv commands.  -k is now an alias to
1077    --list-keys.  New command -K as alias for --list-secret-keys.
1078
1079  * Removed --run-as-shm-coprocess feature.
1080
1081  * gpg does now also use libgcrypt, libgpg-error is required.
1082
1083  * New gpgsm commands --call-dirmngr and --call-protect-tool.
1084
1085  * Changing a passphrase is now possible using "gpgsm --passwd"
1086
1087  * The content-type attribute is now recognized and created.
1088
1089  * The agent does now reread certain options on receiving a HUP.
1090
1091  * The pinentry is now forked for each request so that clients with
1092    different environments are supported.  When running in daemon mode
1093    and --keep-display is not used the DISPLAY variable is ignored.
1094
1095  * Merged stuff from the newpg branch and started this new
1096    development branch.
1097
1098
1099  Copyright 2002, 2003, 2004, 2005, 2006, 2007,
1100            2008, 2009, 2010, 2011  Free Software Foundation, Inc.
1101
1102  This file is free software; as a special exception the author gives
1103  unlimited permission to copy and/or distribute it, with or without
1104  modifications, as long as this notice is preserved.
1105
1106  This file is distributed in the hope that it will be useful, but
1107  WITHOUT ANY WARRANTY, to the extent permitted by law; without even the
1108  implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.