Minor cleanups.
[gnupg.git] / NEWS
1 Noteworthy changes in version 2.0.10 (unreleased)
2 -------------------------------------------------
3
4  * [gpg] New keyserver helper gpg2keys_kdns as generic DNS CERT
5    lookup.  Run with --help for a short description.  Requires the
6    ADNS library.
7
8  * [gpg] New mechanisms "local" and "nodefault" for --auto-key-locate.
9    Fixed a few problems with this option.
10
11  * [gpg] New command --locate-keys.
12
13  * [gpg] New options --with-sig-list and --with-sig-check.
14
15  * [gpg] The option "-sat" is no longer an alias for --clearsign.
16
17  * [gpg] The option --fixed-list-mode is now implicitly used and obsolete.
18
19  * [gpg] New control statement %ask-passphrase for the unattended key
20    generation.
21
22  * [gpgsm] Now uses AES by default.
23
24  * [gpgsm] Made --output option work with --export-secret-key-p12.
25
26  * [gpg-agent] Terminate process if the own listening socket is not
27    anymore served by ourself.
28
29  * [scdaemon] Made it more robust on W32.
30
31  * [gpg-connect-agent] Accept commands given as command line arguments.
32
33  * [w32] Initialized the socket subsystem for all keyserver helpers.
34
35  * [w32] The sysconf directory has been moved from a subdirectory of
36    the installation directory to %CSIDL_COMMON_APPDATA%/GNU/etc/gnupg.
37
38  * [w32] The gnupg2.nls directory is not anymore used.  The standard
39    locale directory is now used.  
40
41  * The gpg-preset-passphrase mechanism works again.
42
43  * Admin PINs are cached again (bug in 2.0.9).
44
45  * Support for version 2 OpenPGP cards.
46
47  * Libgcrypt 1.4 is now required.
48
49
50 Noteworthy changes in version 2.0.9 (2008-03-26)
51 ------------------------------------------------
52
53  * Gpgsm always tries to locate missing certificates from a running
54    Dirmngr's cache.
55
56  * Tweaks for Windows.
57
58  * The Admin PIN for OpenPGP cards may now be entered with the pinpad.
59
60  * Improved certificate chain construction.
61
62  * Extended the PKITS framework.
63
64  * Fixed a bug in the ambigious name detection.
65
66  * Fixed possible memory corruption while importing OpenPGP keys (bug
67    introduced with 2.0.8). [CVE-2008-1530]
68
69  * Minor bug fixes.
70
71
72 Noteworthy changes in version 2.0.8 (2007-12-20)
73 ------------------------------------------------
74
75  * Enhanced gpg-connect-agent with a small scripting language.
76
77  * New option --list-config for gpgconf.
78
79  * Fixed a crash in gpgconf.
80
81  * Gpg-agent now supports the passphrase quality bar of the latest
82    Pinentry.
83
84  * The envvars XAUTHORITY and PINENTRY_USER_DATA are now passed to the
85    Pinentry.
86
87  * Fixed the auto creation of the key stub for smartcards.  
88
89  * Fixed a rare bug in decryption using the OpenPGP card.
90
91  * Creating DSA2 keys is now possible.
92
93  * New option --extra-digest-algo for gpgsm to allow verification of
94    broken signatures.
95
96  * Allow encryption with legacy Elgamal sign+encrypt keys with option
97    --rfc2440.
98
99  * Windows is now a supported platform.
100
101  * Made sure that under Windows the file permissions of the socket are
102    taken into account.  This required a change of our socket emulation
103    code and changed the IPC protocol under Windows.
104
105
106 Noteworthy changes in version 2.0.7 (2007-09-10)
107 ------------------------------------------------
108
109  * Fixed encryption problem if duplicate certificates are in the
110    keybox.
111
112  * Made it work on Windows Vista.  Note that the entire Windows port
113    is still considered Beta.
114
115  * Add new options min-passphrase-nonalpha, check-passphrase-pattern,
116    enforce-passphrase-constraints and max-passphrase-days to
117    gpg-agent.
118
119  * Add command --check-components to gpgconf.  Gpgconf now uses the
120    installed versions of the programs and does not anymore search via
121    PATH for them.
122
123
124 Noteworthy changes in version 2.0.6 (2007-08-16)
125 ------------------------------------------------
126
127  * GPGSM does now grok --default-key.
128
129  * GPGCONF is now aware of --default-key and --encrypt-to. 
130
131  * GPGSM does again correctly print the serial number as well the the
132    various keyids.  This was broken since 2.0.4.
133
134  * New option --validation-model and support for the chain-model.
135
136  * Improved Windows support.
137
138  
139 Noteworthy changes in version 2.0.5 (2007-07-05)
140 ------------------------------------------------
141
142  * Switched license to GPLv3.
143
144  * Basic support for Windows.  Run "./autogen.sh --build-w32" to build
145    it.  As usual the mingw cross compiling toolchain is required.
146
147  * Fixed bug when using the --p12-charset without --armor.
148
149  * The command --gen-key may now be used instead of the
150    gpgsm-gencert.sh script.
151
152  * Changed key generation to reveal less information about the
153    machine.  Bug fixes for gpg2's card key generation.
154
155
156 Noteworthy changes in version 2.0.4 (2007-05-09)
157 ------------------------------------------------
158
159  * The server mode key listing commands are now also working for
160    systems without the funopen/fopencookie API.
161
162  * PKCS#12 import now tries several encodings in case the passphrase
163    was not utf-8 encoded.  New option --p12-charset for gpgsm.
164
165  * Improved the libgcrypt logging support in all modules.
166
167
168 Noteworthy changes in version 2.0.3 (2007-03-08)
169 ------------------------------------------------
170
171  * By default, do not allow processing multiple plaintexts in a single
172    stream.  Many programs that called GnuPG were assuming that GnuPG
173    did not permit this, and were thus not using the plaintext boundary
174    status tags that GnuPG provides.  This change makes GnuPG reject
175    such messages by default which makes those programs safe again.
176    --allow-multiple-messages returns to the old behavior. [CVE-2007-1263].
177
178  * New --verify-option show-primary-uid-only. 
179
180  * gpgconf may now reads a global configuration file to select which
181    options are changeable by a frontend.  The new applygnupgdefaults
182    tool may be used by an admin to set default options for all users.
183
184  * The PIN pad of the Cherry XX44 keyboard is now supported.  The
185    DINSIG and the NKS applications are now also aware of PIN pads.
186
187
188 Noteworthy changes in version 2.0.2 (2007-01-31)
189 ------------------------------------------------
190
191  * Fixed a serious and exploitable bug in processing encrypted
192    packages. [CVE-2006-6235].
193
194  * Added --passphrase-repeat to set the number of times GPG will
195    prompt for a new passphrase to be repeated.  This is useful to help
196    memorize a new passphrase.  The default is 1 repetition.
197
198  * Using a PIN pad does now also work for the signing key.
199
200  * A warning is displayed by gpg-agent if a new passphrase is too
201    short.  New option --min-passphrase-len defaults to 8.
202
203  * The status code BEGIN_SIGNING now shows the used hash algorithms.
204
205
206 Noteworthy changes in version 2.0.1 (2006-11-28)
207 ------------------------------------------------
208
209  * Experimental support for the PIN pads of the SPR 532 and the Kaan
210    Advanced card readers.  Add "disable-keypad" scdaemon.conf if you
211    don't want it.  Does currently only work for the OpenPGP card and
212    its authentication and decrypt keys.
213
214  * Fixed build problems on some some platforms and crashes on amd64.
215
216  * Fixed a buffer overflow in gpg2. [bug#728,CVE-2006-6169]
217
218
219 Noteworthy changes in version 2.0.0 (2006-11-11)
220 ------------------------------------------------
221
222  * First stable version of a GnuPG integrating OpenPGP and S/MIME.
223
224
225 Noteworthy changes in version 1.9.95 (2006-11-06)
226 -------------------------------------------------
227
228  * Minor bug fixes.
229
230
231 Noteworthy changes in version 1.9.94 (2006-10-24)
232 -------------------------------------------------
233
234  * Keys for gpgsm may now be specified using a keygrip.  A keygrip is
235    indicated by a prefixing it with an ampersand.
236
237  * gpgconf now supports switching the CMS cipher algo (e.g. to AES).
238
239  * New command --gpgconf-test for all major tools. This may be used to
240    check whether the configuration file is sane.
241
242
243 Noteworthy changes in version 1.9.93 (2006-10-18)
244 -------------------------------------------------
245
246  * In --with-validation mode gpgsm will now also ask whether a root
247    certificate should be trusted.
248
249  * Link to Pth only if really necessary.
250
251  * Fixed a pubring corruption bug in gpg2 occurring when importing
252    signatures or keys with insane lengths.
253
254  * Fixed v3 keyID calculation bug in gpg2.
255
256  * More tweaks for certificates without extensions.
257
258
259 Noteworthy changes in version 1.9.92 (2006-10-11)
260 -------------------------------------------------
261
262  * Bug fixes.
263
264
265 Noteworthy changes in version 1.9.91 (2006-10-04)
266 -------------------------------------------------
267
268  * New "relax" flag for trustlist.txt to allow root CA certificates
269    without BasicContraints.
270
271  * [gpg2] Removed the -k PGP 2 compatibility hack.  -k is now an
272    alias for --list-keys.
273
274  * [gpg2] Print a warning if "-sat" is used instead of "--clearsign".
275
276
277 Noteworthy changes in version 1.9.90 (2006-09-25)
278 -------------------------------------------------
279
280  * Made readline work for gpg.
281
282  * Cleanups und minor bug fixes.
283
284  * Included translations from gnupg 1.4.5.
285
286
287 Noteworthy changes in version 1.9.23 (2006-09-18)
288 -------------------------------------------------
289
290  * Regular man pages for most tools are now build directly from the
291    Texinfo source.
292
293  * The gpg code from 1.4.5 has been fully merged into this release.
294    The configure option --enable-gpg is still required to build this
295    gpg part.  For production use of OpenPGP the gpg version 1.4.5 is
296    still recommended.  Note, that gpg will be installed under the name
297    gpg2 to allow coexisting with an 1.4.x gpg.
298
299  * API change in gpg-agent's pkdecrypt command.  Thus an older gpgsm
300    may not be used with the current gpg-agent.
301
302  * The scdaemon will now call a script on reader status changes.
303
304  * gpgsm now allows file descriptor passing for "INPUT", "OUTPUT" and
305    "MESSAGE".
306
307  * The gpgsm server may now output a key listing to the output file
308    handle. This needs to be enabled using "OPTION list-to-output=1".
309
310  * The --output option of gpgsm has now an effect on list-keys.
311
312  * New gpgsm commands --dump-chain and list-chain.
313
314  * gpg-connect-agent has new options to utilize descriptor passing.
315
316  * A global trustlist may now be used.  See doc/examples/trustlist.txt.
317
318  * When creating a new pubring.kbx keybox common certificates are
319    imported.
320
321
322 Noteworthy changes in version 1.9.22 (2006-07-27)
323 -------------------------------------------------
324
325  * Enhanced pkcs#12 support to allow import from simple keyBags.
326
327  * Exporting to pkcs#12 now create bag attributes so that Mozilla is
328    able to import the files.
329
330  * Fixed uploading of certain keys to the smart card.
331
332
333 Noteworthy changes in version 1.9.21 (2006-06-20)
334 -------------------------------------------------
335
336  * New command APDU for scdaemon to allow using it for general card
337    access.  Might be used through gpg-connect-agent by using the SCD
338    prefix command.
339
340  * Support for the CardMan 4040 PCMCIA reader (Linux 2.6.15 required).
341
342  * Scdaemon does not anymore reset cards at the end of a connection. 
343
344  * Kludge to allow use of Bundesnetzagentur issued X.509 certificates.
345
346  * Added --hash=xxx option to scdaemon's PKSIGN command.
347
348  * Pkcs#12 files are now created with a MAC.  This is for better
349    interoperability.
350
351  * Collected bug fixes and minor other changes.
352
353
354 Noteworthy changes in version 1.9.20 (2005-12-20)
355 -------------------------------------------------
356
357  * Importing pkcs#12 files created be recent versions of Mozilla works
358    again.
359
360  * Basic support for qualified signatures.
361
362  * New debug tool gpgparsemail. 
363
364
365 Noteworthy changes in version 1.9.19 (2005-09-12)
366 -------------------------------------------------
367
368  * The Belgian eID card is now supported for signatures and ssh.
369    Other pkcs#15 cards should work as well.
370
371  * Fixed bug in --export-secret-key-p12 so that certificates are again
372    included.
373
374
375 Noteworthy changes in version 1.9.18 (2005-08-01)
376 -------------------------------------------------
377
378  * [gpgsm] Now allows for more than one email address as well as URIs
379    and dnsNames in certificate request generation.  A keygrip may be
380    given to create a request from an existing key.
381
382  * A couple of minor bug fixes.
383
384
385 Noteworthy changes in version 1.9.17 (2005-06-20)
386 -------------------------------------------------
387
388  * gpg-connect-agent has now features to handle Assuan INQUIRE
389    commands.
390
391  * Internal changes for OpenPGP cards. New Assuan command WRITEKEY.
392
393  * GNU Pth is now a hard requirement.
394
395  * [scdaemon] Support for OpenSC has been removed.  Instead a new and
396    straightforward pkcs#15 modules has been written.  As of now it
397    does allows only signing using TCOS cards but we are going to
398    enhance it to match all the old capabilities.
399
400  * [gpg-agent] New option --write-env-file and Assuan command
401    UPDATESTARTUPTTY.
402
403  * [gpg-agent] New option --default-cache-ttl-ssh to set the TTL for
404    SSH passphrase caching independent from the other passphrases.
405
406
407 Noteworthy changes in version 1.9.16 (2005-04-21)
408 -------------------------------------------------
409
410  * gpg-agent does now support the ssh-agent protocol and thus allows
411    to use the pinentry as well as the OpenPGP smartcard with ssh.
412
413  * New tool gpg-connect-agent as a general client for the gpg-agent.
414
415  * New tool symcryptrun as a wrapper for certain encryption tools.
416
417  * The gpg tool is not anymore build by default because those gpg
418    versions available in the gnupg 1.4 series are far more matured.
419
420
421 Noteworthy changes in version 1.9.15 (2005-01-13)
422 -------------------------------------------------
423
424  * Fixed passphrase caching bug.
425
426  * Better support for CCID readers; the reader from Cherry RS 6700 USB
427    does now work.
428
429
430 Noteworthy changes in version 1.9.14 (2004-12-22)
431 -------------------------------------------------
432
433  * [gpg-agent] New option --use-standard-socket to allow the use of a
434    fixed socket.  gpgsm falls back to this socket if GPG_AGENT_INFO
435    has not been set.
436
437  * Ported to MS Windows with some functional limitations.
438
439  * New tool gpg-preset-passphrase.
440
441
442 Noteworthy changes in version 1.9.13 (2004-12-03)
443 -------------------------------------------------
444
445  * [gpgsm] New option --prefer-system-dirmngr.
446
447  * Minor cleanups and debugging aids.
448
449
450 Noteworthy changes in version 1.9.12 (2004-10-22)
451 -------------------------------------------------
452
453  * [scdaemon] Partly rewrote the PC/SC code.
454
455  * Removed the sc-investigate tool.  It is now in a separate package
456    available at ftp://ftp.g10code.com/g10code/gscutils/ .
457
458  * [gpg-agent] Fixed logging problem.
459
460
461 Noteworthy changes in version 1.9.11 (2004-10-01)
462 -------------------------------------------------
463
464  * When using --import along with --with-validation, the imported
465    certificates are validated and only imported if they are fully
466    valid.
467
468  * [gpg-agent] New option --max-cache-ttl.
469
470  * [gpg-agent] When used without --daemon or --server, gpg-agent now
471    check whether a agent is already running and usable.
472
473  * Fixed some i18n problems.
474
475
476 Noteworthy changes in version 1.9.10 (2004-07-22)
477 -------------------------------------------------
478
479  * Fixed a serious bug in the checking of trusted root certificates.
480
481  * New configure option --enable-agent-pnly allows to build and
482    install just the agent.
483
484  * Fixed a problem with the log file handling.
485
486
487 Noteworthy changes in version 1.9.9 (2004-06-08)
488 ------------------------------------------------
489
490  * [gpg-agent] The new option --allow-mark-trusted is now required to
491    allow gpg-agent to add a key to the trustlist.txt after user
492    confirmation.
493
494  * Creating PKCS#10 requests does now honor the key usage.
495
496
497 Noteworthy changes in version 1.9.8 (2004-04-29)
498 ------------------------------------------------
499
500  * [scdaemon] Overhauled the internal CCID driver.
501
502  * [scdaemon] Status files named ~/.gnupg/reader_<n>.status are now
503    written when using the internal CCID driver.
504
505  * [gpgsm] New commands --dump-{,secret,external}-keys to show a very
506    detailed view of the certificates.
507
508  * The keybox gets now compressed after 3 hours and ephemeral
509    stored certificates are deleted after about a day.
510
511  * [gpg] Usability fixes for --card-edit.  Note, that this has already
512    been ported back to gnupg-1.3
513
514
515 Noteworthy changes in version 1.9.7 (2004-04-06)
516 ------------------------------------------------
517
518  * Instrumented the modules for gpgconf.
519
520  * Added support for DINSIG card applications.
521
522  * Include the smimeCapabilities attribute with signed messages.
523
524  * Now uses the gettext domain "gnupg2" to avoid conflicts with gnupg
525    versions < 1.9.
526
527
528 Noteworthy changes in version 1.9.6 (2004-03-06)
529 ------------------------------------------------
530
531  * Code cleanups and bug fixes.
532
533
534 Noteworthy changes in version 1.9.5 (2004-02-21)
535 ------------------------------------------------
536
537  * gpg-protect-tool gets now installed into libexec as it ought to be.
538    Cleaned up the build system to better comply with the coding
539    standards.
540
541  * [gpgsm] The --import command is now able to autodetect pkcs#12
542    files and import secret and private keys from this file format.
543    A new command --export-secret-key-p12 is provided to allow
544    exporting of secret keys in PKCS\#12 format.
545
546  * [gpgsm] The pinentry will now present a description of the key for
547    whom the passphrase is requested.
548
549  * [gpgsm] New option --with-validation to check the validity of key
550    while listing it.
551
552  * New option --debug-level={none,basic,advanced,expert,guru} to map
553    the debug flags to sensitive levels on a per program base.
554
555
556 Noteworthy changes in version 1.9.4 (2004-01-30)
557 ------------------------------------------------
558
559  * Added support for the Telesec NKS 2.0 card application.
560
561  * Added simple tool addgnupghome to create .gnupg directories from
562    /etc/skel/.gnupg.
563
564  * Various minor bug fixes and cleanups; mainly gpgsm and gpg-agent
565    related.
566
567
568 Noteworthy changes in version 1.9.3 (2003-12-23)
569 ------------------------------------------------
570
571  * New gpgsm options --{enable,disable}-ocsp to validate keys using
572    OCSP. This option requires a not yet released DirMngr version.
573    Default is disabled.
574
575  * The --log-file option may now be used to print logs to a socket.
576    Prefix the socket name with "socket://" to enable this.  This does
577    not work on all systems and falls back to stderr if there is a
578    problem with the socket.
579
580  * The options --encrypt-to and --no-encrypt-to now work the same in
581    gpgsm as in gpg.  Note, they are also used in server mode.
582
583  * Duplicated recipients are now silently removed in gpgsm.
584
585
586 Noteworthy changes in version 1.9.2 (2003-11-17)
587 ------------------------------------------------
588
589  * On card key generation is no longer done using the --gen-key
590    command but from the menu provided by the new --card-edit command.
591
592  * PINs are now properly cached and there are only 2 PINs visible.
593    The 3rd PIN (CHV2) is internally syncronized with the regular PIN.
594
595  * All kind of other internal stuff.
596
597
598 Noteworthy changes in version 1.9.1 (2003-09-06)
599 ------------------------------------------------
600
601  * Support for OpenSC is back. scdaemon supports a --disable-opensc to
602    disable OpenSC use at runtime, so that PC/SC or ct-API can still be
603    used directly.
604
605  * Rudimentary support for the SCR335 smartcard reader using an
606    internal driver.  Requires current libusb from CVS.
607
608  * Bug fixes.
609
610
611 Noteworthy changes in version 1.9.0 (2003-08-05)
612 ------------------------------------------------
613
614       ====== PLEASE SEE README-alpha =======
615
616  * gpg has been renamed to gpg2 and gpgv to gpgv2.  This is a
617    temporary change to allow co-existing with stable gpg versions.
618
619  * ~/.gnupg/gpg.conf-1.9.0 is fist tried as config file before the
620    usual gpg.conf.
621
622  * Removed the -k, -kv and -kvv commands.  -k is now an alias to
623    --list-keys.  New command -K as alias for --list-secret-keys.
624
625  * Removed --run-as-shm-coprocess feature.
626
627  * gpg does now also use libgcrypt, libgpg-error is required.
628
629  * New gpgsm commands --call-dirmngr and --call-protect-tool.
630
631  * Changing a passphrase is now possible using "gpgsm --passwd"
632
633  * The content-type attribute is now recognized and created.
634
635  * The agent does now reread certain options on receiving a HUP.
636
637  * The pinentry is now forked for each request so that clients with
638    different environments are supported.  When running in daemon mode
639    and --keep-display is not used the DISPLAY variable is ignored.
640
641  * Merged stuff from the newpg branch and started this new
642    development branch.
643
644
645  Copyright 2002, 2003, 2004, 2005, 2006, 2007,
646            2008  Free Software Foundation, Inc.
647
648  This file is free software; as a special exception the author gives
649  unlimited permission to copy and/or distribute it, with or without
650  modifications, as long as this notice is preserved.
651
652  This file is distributed in the hope that it will be useful, but
653  WITHOUT ANY WARRANTY, to the extent permitted by law; without even the
654  implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.