Release 2.1.3.
[gnupg.git] / NEWS
1 Noteworthy changes in version 2.1.3 (2015-04-11)
2 ------------------------------------------------
3
4  * gpg: LDAP keyservers are now supported by 2.1.
5
6  * gpg: New option --with-icao-spelling.
7
8  * gpg: New option --print-pka-records.  Changed the PKA method to use
9    CERT records and hashed names.
10
11  * gpg: New command --list-gcrypt-config.  New parameter "curve"
12    for --list-config.
13
14  * gpg: Print a NEWSIG status line like gpgsm always did.
15
16  * gpg: Print MPI values with --list-packets and --verbose.
17
18  * gpg: Write correct MPI lengths with ECC keys.
19
20  * gpg: Skip legacy PGP-2 keys while searching.
21
22  * gpg: Improved searching for mail addresses when using a keybox.
23
24  * gpgsm: Changed default algos to AES-128 and SHA-256.
25
26  * gpgtar: Fixed extracting files with sizes of a multiple of 512.
27
28  * dirmngr: Fixed SNI handling for hkps pools.
29
30  * dirmngr: extra-certs and trusted-certs are now always loaded from
31    the sysconfig dir instead of the homedir.
32
33  * Fixed possible problems due to compiler optimization, two minor
34    regressions, and other bugs.
35
36
37 Noteworthy changes in version 2.1.2 (2015-02-11)
38 ------------------------------------------------
39
40  * gpg: The parameter 'Passphrase' for batch key generation works
41    again.
42
43  * gpg: Using a passphrase option in batch mode now has the expected
44    effect on --quick-gen-key.
45
46  * gpg: Improved reporting of unsupported PGP-2 keys.
47
48  * gpg: Added support for algo names when generating keys using
49    --command-fd.
50
51  * gpg: Fixed DoS based on bogus and overlong key packets.
52
53  * agent: When setting --default-cache-ttl the value
54    for --max-cache-ttl is adjusted to be not lower than the former.
55
56  * agent: Fixed problems with the new --extra-socket.
57
58  * agent: Made --allow-loopback-pinentry changeable with gpgconf.
59
60  * agent: Fixed importing of unprotected openpgp keys.
61
62  * agent: Now tries to use a fallback pinentry if the standard
63    pinentry is not installed.
64
65  * scd: Added support for ECDH.
66
67  * Fixed several bugs related to bogus keyrings and improved some
68    other code.
69
70
71 Noteworthy changes in version 2.1.1 (2014-12-16)
72 ------------------------------------------------
73
74  * gpg: Detect faulty use of --verify on detached signatures.
75
76  * gpg: New import option "keep-ownertrust".
77
78  * gpg: New sub-command "factory-reset" for --card-edit.
79
80  * gpg: A stub key for smartcards is now created by --card-status.
81
82  * gpg: Fixed regression in --refresh-keys.
83
84  * gpg: Fixed regresion in %g and %p codes for --sig-notation.
85
86  * gpg: Fixed best matching hash algo detection for ECDSA and EdDSA.
87
88  * gpg: Improved perceived speed of secret key listisngs.
89
90  * gpg: Print number of skipped PGP-2 keys on import.
91
92  * gpg: Removed the option aliases --throw-keyid and --notation-data;
93    use --throw-keyids and --set-notation instead.
94
95  * gpg: New import option "keep-ownertrust".
96
97  * gpg: Skip too large keys during import.
98
99  * gpg,gpgsm: New option --no-autostart to avoid starting gpg-agent or
100    dirmngr.
101
102  * gpg-agent: New option --extra-socket to provide a restricted
103    command set for use with remote clients.
104
105  * gpgconf --kill does not anymore start a service only to kill it.
106
107  * gpg-pconnect-agent: Add convenience option --uiserver.
108
109  * Fixed keyserver access for Windows.
110
111  * Fixed build problems on Mac OS X
112
113  * The Windows installer does now install development files
114
115  * More translations (but most of them are not complete).
116
117  * To support remotely mounted home directories, the IPC sockets may
118    now be redirected.  This feature requires Libassuan 2.2.0.
119
120  * Improved portability and the usual bunch of bug fixes.
121
122
123 Noteworthy changes in version 2.1.0 (2014-11-06)
124 ------------------------------------------------
125
126  This release introduces a lot of changes.  Most of them are internal
127  and thus not user visible.  However, some long standing behavior has
128  slightly changed and it is strongly suggested that an existing
129  "~/.gnupg" directory is backed up before this version is used.
130
131  A verbose description of the major new features and changes can be
132  found in the file doc/whats-new-in-2.1.txt.
133
134  * gpg: All support for v3 (PGP 2) keys has been dropped.  All
135    signatures are now created as v4 signatures.  v3 keys will be
136    removed from the keyring.
137
138  * gpg: With pinentry-0.9.0 the passphrase "enter again" prompt shows
139    up in the same window as the "new passphrase" prompt.
140
141  * gpg: Allow importing keys with duplicated long key ids.
142
143  * dirmngr: May now be build without support for LDAP.
144
145  * For a complete list of changes see the lists of changes for the
146    2.1.0 beta versions below.  Note that all relevant fixes from
147    versions 2.0.14 to 2.0.26 are also applied to this version.
148
149
150  [Noteworthy changes in version 2.1.0-beta864 (2014-10-03)]
151
152  * gpg: Removed the GPG_AGENT_INFO related code.  GnuPG does now
153    always use a fixed socket name in its home directory.
154
155  * gpg: Renamed --gen-key to --full-gen-key and re-added a --gen-key
156    command with less choices.
157
158  * gpg: Use SHA-256 for all signature types also on RSA keys.
159
160  * gpg: Default keyring is now created with a .kbx suffix.
161
162  * gpg: Add a shortcut to the key capabilies menu (e.g. "=e" sets the
163    encryption capabilities).
164
165  * gpg: Fixed obsolete options parsing.
166
167  * Further improvements for the alternative speedo build system.
168
169
170  [Noteworthy changes in version 2.1.0-beta834 (2014-09-18)]
171
172  * gpg: Improved passphrase caching.
173
174  * gpg: Switched to algorithm number 22 for EdDSA.
175
176  * gpg: Removed CAST5 from the default preferences.
177
178  * gpg: Order SHA-1 last in the hash preferences.
179
180  * gpg: Changed default cipher for --symmetric to AES-128.
181
182  * gpg: Fixed export of ECC keys and import of EdDSA keys.
183
184  * dirmngr: Fixed the KS_FETCH command.
185
186  * The speedo build system now downloads related packages and works
187    for non-Windows platforms.
188
189
190  [Noteworthy changes in version 2.1.0-beta783 (2014-08-14)]
191
192  * gpg: Add command --quick-gen-key.
193
194  * gpg: Make --quick-sign-key promote local key signatures.
195
196  * gpg: Added "show-usage" sub-option to --list-options.
197
198  * gpg: Screen keyserver responses to avoid importing unwanted keys
199    from rogue servers.
200
201  * gpg: Removed the option --pgp2 and --rfc1991 and the ability to
202    create PGP-2 compatible messages.
203
204  * gpg: Removed options --compress-keys and --compress-sigs.
205
206  * gpg: Cap attribute packets at 16MB.
207
208  * gpg: Improved output of --list-packets.
209
210  * gpg: Make with-colons output of --search-keys work again.
211
212  * gpgsm: Auto-create the ".gnupg" directory like gpg does.
213
214  * agent: Fold new passphrase warning prompts into one.
215
216  * scdaemon: Add support for the Smartcard-HSM card.
217
218  * scdaemon: Remove the use of the pcsc-wrapper.
219
220
221  [Noteworthy changes in version 2.1.0-beta751 (2014-07-03)]
222
223  * gpg: Create revocation certificates during key generation.
224
225  * gpg: Create exported secret keys and revocation certifciates with
226    mode 0700
227
228  * gpg: The validity of user ids is now shown by default.  To revert
229    this add "list-options no-show-uid-validity" to gpg.conf.
230
231  * gpg: Make export of secret keys work again.
232
233  * gpg: The output of --list-packets does now print the offset of the
234    packet and information about the packet header.
235
236  * gpg: Avoid DoS due to garbled compressed data packets. [CVE-2014-4617]
237
238  * gpg: Print more specific reason codes with the INV_RECP status.
239
240  * gpg: Cap RSA and Elgamal keysize at 4096 bit also for unattended
241    key generation.
242
243  * scdaemon: Support reader Gemalto IDBridge CT30 and pinpad of SCT
244    cyberJack go.
245
246  * The speedo build system has been improved.  It is now also possible
247    to build a partly working installer for Windows.
248
249
250  [Noteworthy changes in version 2.1.0-beta442 (2014-06-05)]
251
252  * gpg: Changed the format of key listings.  To revert to the old
253    format the option --legacy-list-mode is available.
254
255  * gpg: Add experimental signature support using curve Ed25519 and
256    with a patched Libgcrypt also encryption support with Curve25519.
257    [Update: this encryption support has been removed from 2.1.0 until
258    we have agreed on a suitable format.]
259
260  * gpg: Allow use of Brainpool curves.
261
262  * gpg: Accepts a space separated fingerprint as user ID.  This
263    allows to copy and paste the fingerprint from the key listing.
264
265  * gpg: The hash algorithm is now printed for signature records in key
266    listings.
267
268  * gpg: Reject signatures made using the MD5 hash algorithm unless the
269    new option --allow-weak-digest-algos or --pgp2 are given.
270
271  * gpg: Print a warning if the Gnome-Keyring-Daemon intercepts the
272    communication with the gpg-agent.
273
274  * gpg: New option --pinentry-mode.
275
276  * gpg: Fixed decryption using an OpenPGP card.
277
278  * gpg: Fixed bug with deeply nested compressed packets.
279
280  * gpg: Only the major version number is by default included in the
281    armored output.
282
283  * gpg: Do not create a trustdb file if --trust-model=always is used.
284
285  * gpg: Protect against rogue keyservers sending secret keys.
286
287  * gpg: The format of the fallback key listing ("gpg KEYFILE") is now
288    more aligned to the regular key listing ("gpg -k").
289
290  * gpg: The option--show-session-key prints its output now before the
291    decryption of the bulk message starts.
292
293  * gpg: New %U expando for the photo viewer.
294
295  * gpg,gpgsm: New option --with-secret.
296
297  * gpgsm: By default the users are now asked via the Pinentry whether
298    they trust an X.509 root key.  To prohibit interactive marking of
299    such keys, the new option --no-allow-mark-trusted may be used.
300
301  * gpgsm: New commands to export a secret RSA key in PKCS#1 or PKCS#8
302    format.
303
304  * gpgsm: Improved handling of re-issued CA certificates.
305
306  * agent: The included ssh agent does now support ECDSA keys.
307
308  * agent: New option --enable-putty-support to allow gpg-agent on
309    Windows to act as a Pageant replacement with full smartcard support.
310
311  * scdaemon: New option --enable-pinpad-varlen.
312
313  * scdaemon: Various fixes for pinpad equipped card readers.
314
315  * scdaemon: Rename option --disable-pinpad (was --disable-keypad).
316
317  * scdaemon: Better support fo CCID readers.  Now, internal CCID
318    driver supports readers with no auto configuration feature.
319
320  * dirmngr: Removed support for the original HKP keyserver which is
321    not anymore used by any site.
322
323  * dirmngr: Improved support for keyserver pools.
324
325  * tools: New option --dirmngr for gpg-connect-agent.
326
327  * The GNU Pth library has been replaced by the new nPth library.
328
329  * Support installation as portable application under Windows.
330
331  * All kind of other improvements - see the git log.
332
333
334  [Noteworthy changes in version 2.1.0beta3 (2011-12-20)]
335
336  * gpg: Fixed regression in the secret key export function.
337
338  * gpg: Allow generation of card keys up to 4096 bit.
339
340  * gpgsm: Preliminary support for the validation model "steed".
341
342  * gpgsm: Improved certificate creation.
343
344  * agent: Support the SSH confirm flag.
345
346  * agent: New option to select a passphrase mode.  The loopback
347    mode may be used to bypass Pinentry.
348
349  * agent: The Assuan commands KILLAGENT and KILLSCD are working again.
350
351  * scdaemon: Does not anymore block after changing a card (regression
352    fix).
353
354  * tools: gpg-connect-agent does now proberly display the help output
355    for "SCD HELP" commands.
356
357
358  [Noteworthy changes in version 2.1.0beta2 (2011-03-08)]
359
360  * gpg: ECC support as described by draft-jivsov-openpgp-ecc-06.txt
361    [Update: now known as RFC-6637].
362
363  * gpg: Print "AES128" instead of "AES".  This change introduces a
364    little incompatibility for tools using "gpg --list-config".  We
365    hope that these tools are written robust enough to accept this new
366    algorithm name as well.
367
368  * gpgsm: New feature to create certificates from a parameter file.
369    Add prompt to the --gen-key UI to create self-signed certificates.
370
371  * agent: TMPDIR is now also honored when creating a socket using
372    the --no-standard-socket option and with symcryptrun's temp files.
373
374  * scdaemon: Fixed a bug where scdaemon sends a signal to gpg-agent
375    running in non-daemon mode.
376
377  * dirmngr: Fixed CRL loading under W32 (bug#1010).
378
379  * Dirmngr has taken over the function of the keyserver helpers.  Thus
380    we now have a specified direct interface to keyservers via Dirmngr.
381    LDAP, DNS and mail backends are not yet implemented.
382
383  * Fixed TTY management for pinentries and session variable update
384    problem.
385
386
387  [Noteworthy changes in version 2.1.0beta1 (2010-10-26)]
388
389  * gpg: secring.gpg is not anymore used but all secret key operations
390    are delegated to gpg-agent.  The import command moves secret keys
391    to the agent.
392
393  * gpg: The OpenPGP import command is now able to merge secret keys.
394
395  * gpg: Encrypted OpenPGP messages with trailing data (e.g. other
396    OpenPGP packets) are now correctly parsed.
397
398  * gpg: Given sufficient permissions Dirmngr is started automagically.
399
400  * gpg: Fixed output of "gpgconf --check-options".
401
402  * gpg: Removed options --export-options(export-secret-subkey-passwd)
403    and --simple-sk-checksum.
404
405  * gpg: New options --try-secret-key.
406
407  * gpg: Support DNS lookups for SRV, PKA and CERT on W32.
408
409  * gpgsm: The --audit-log feature is now more complete.
410
411  * gpgsm: The default for --include-cert is now to include all
412    certificates in the chain except for the root certificate.
413
414  * gpgsm: New option --ignore-cert-extension.
415
416  * g13: The G13 tool for disk encryption key management has been
417    added.
418
419  * agent: If the agent's --use-standard-socket option is active, all
420    tools try to start and daemonize the agent on the fly.  In the past
421    this was only supported on W32; on non-W32 systems the new
422    configure option --disable-standard-socket may now be used to
423    disable this new default.
424
425  * agent: New and changed passphrases are now created with an
426    iteration count requiring about 100ms of CPU work.
427
428  * dirmngr: Dirmngr is now a part of this package.  It is now also
429    expected to run as a system service and the configuration
430    directories are changed to the GnuPG name space. [Update: 2.1.0
431    starts dirmngr on demand as user daemon.]
432
433  * Support for Windows CE. [Update: This has not been tested for the
434    2.1.0 release]
435
436  * Numerical values may now be used as an alternative to the
437    debug-level keywords.
438
439
440 Noteworthy changes in version 2.0.13 (2009-09-04)
441 -------------------------------------------------
442
443  * GPG now generates 2048 bit RSA keys by default.  The default hash
444    algorithm preferences has changed to prefer SHA-256 over SHA-1.
445    2048 bit DSA keys are now generated to use a 256 bit hash algorithm
446
447  * The envvars XMODIFIERS, GTK_IM_MODULE and QT_IM_MODULE are now
448    passed to the Pinentry to make SCIM work.
449
450  * The GPGSM command --gen-key features a --batch mode and implements
451    all features of gpgsm-gencert.sh in standard mode.
452
453  * New option --re-import for GPGSM's IMPORT server command.
454
455  * Enhanced writing of existing keys to OpenPGP v2 cards.
456
457  * Add hack to the internal CCID driver to allow the use of some
458    Omnikey based card readers with 2048 bit keys.
459
460  * GPG now repeatly asks the user to insert the requested OpenPGP
461    card.  This can be disabled with --limit-card-insert-tries=1.
462
463  * Minor bug fixes.
464
465
466 Noteworthy changes in version 2.0.12 (2009-06-17)
467 -------------------------------------------------
468
469  * GPGSM now always lists ephemeral certificates if specified by
470    fingerprint or keygrip.
471
472  * New command "KEYINFO" for GPG_AGENT.  GPGSM now also returns
473    information about smartcards.
474
475  * Made sure not to leak file descriptors if running gpg-agent with a
476    command.  Restore the signal mask to solve a problem in Mono.
477
478  * Changed order of the confirmation questions for root certificates
479    and store negative answers in trustlist.txt.
480
481  * Better synchronization of concurrent smartcard sessions.
482
483  * Support 2048 bit OpenPGP cards.
484
485  * Support Telesec Netkey 3 cards.
486
487  * The gpg-protect-tool now uses gpg-agent via libassuan.  Under
488    Windows the Pinentry will now be put into the foreground.
489
490  * Changed code to avoid a possible Mac OS X system freeze.
491
492
493 Noteworthy changes in version 2.0.11 (2009-03-03)
494 -------------------------------------------------
495
496  * Fixed a problem in SCDAEMON which caused unexpected card resets.
497
498  * SCDAEMON is now aware of the Geldkarte.
499
500  * The SCDAEMON option --allow-admin is now used by default.
501
502  * GPGCONF now restarts SCdaemon if necessary.
503
504  * The default cipher algorithm in GPGSM is now again 3DES.  This is
505    due to interoperability problems with Outlook 2003 which still
506    can't cope with AES.
507
508
509 Noteworthy changes in version 2.0.10 (2009-01-12)
510 -------------------------------------------------
511
512  * [gpg] New keyserver helper gpg2keys_kdns as generic DNS CERT
513    lookup.  Run with --help for a short description.  Requires the
514    ADNS library.
515
516  * [gpg] New mechanisms "local" and "nodefault" for --auto-key-locate.
517    Fixed a few problems with this option.
518
519  * [gpg] New command --locate-keys.
520
521  * [gpg] New options --with-sig-list and --with-sig-check.
522
523  * [gpg] The option "-sat" is no longer an alias for --clearsign.
524
525  * [gpg] The option --fixed-list-mode is now implicitly used and obsolete.
526
527  * [gpg] New control statement %ask-passphrase for the unattended key
528    generation.
529
530  * [gpg] The algorithm to compute the SIG_ID status has been changed.
531
532  * [gpgsm] Now uses AES by default.
533
534  * [gpgsm] Made --output option work with --export-secret-key-p12.
535
536  * [gpg-agent] Terminate process if the own listening socket is not
537    anymore served by ourself.
538
539  * [scdaemon] Made it more robust on W32.
540
541  * [gpg-connect-agent] Accept commands given as command line arguments.
542
543  * [w32] Initialized the socket subsystem for all keyserver helpers.
544
545  * [w32] The sysconf directory has been moved from a subdirectory of
546    the installation directory to %CSIDL_COMMON_APPDATA%/GNU/etc/gnupg.
547
548  * [w32] The gnupg2.nls directory is not anymore used.  The standard
549    locale directory is now used.
550
551  * [w32] Fixed a race condition between gpg and gpgsm in the use of
552    temporary file names.
553
554  * The gpg-preset-passphrase mechanism works again.  An arbitrary
555    string may now be used for a custom cache ID.
556
557  * Admin PINs are cached again (bug in 2.0.9).
558
559  * Support for version 2 OpenPGP cards.
560
561  * Libgcrypt 1.4 is now required.
562
563
564 Noteworthy changes in version 2.0.9 (2008-03-26)
565 ------------------------------------------------
566
567  * Gpgsm always tries to locate missing certificates from a running
568    Dirmngr's cache.
569
570  * Tweaks for Windows.
571
572  * The Admin PIN for OpenPGP cards may now be entered with the pinpad.
573
574  * Improved certificate chain construction.
575
576  * Extended the PKITS framework.
577
578  * Fixed a bug in the ambigious name detection.
579
580  * Fixed possible memory corruption while importing OpenPGP keys (bug
581    introduced with 2.0.8). [CVE-2008-1530]
582
583  * Minor bug fixes.
584
585
586 Noteworthy changes in version 2.0.8 (2007-12-20)
587 ------------------------------------------------
588
589  * Enhanced gpg-connect-agent with a small scripting language.
590
591  * New option --list-config for gpgconf.
592
593  * Fixed a crash in gpgconf.
594
595  * Gpg-agent now supports the passphrase quality bar of the latest
596    Pinentry.
597
598  * The envvars XAUTHORITY and PINENTRY_USER_DATA are now passed to the
599    Pinentry.
600
601  * Fixed the auto creation of the key stub for smartcards.
602
603  * Fixed a rare bug in decryption using the OpenPGP card.
604
605  * Creating DSA2 keys is now possible.
606
607  * New option --extra-digest-algo for gpgsm to allow verification of
608    broken signatures.
609
610  * Allow encryption with legacy Elgamal sign+encrypt keys with option
611    --rfc2440.
612
613  * Windows is now a supported platform.
614
615  * Made sure that under Windows the file permissions of the socket are
616    taken into account.  This required a change of our socket emulation
617    code and changed the IPC protocol under Windows.
618
619
620 Noteworthy changes in version 2.0.7 (2007-09-10)
621 ------------------------------------------------
622
623  * Fixed encryption problem if duplicate certificates are in the
624    keybox.
625
626  * Made it work on Windows Vista.  Note that the entire Windows port
627    is still considered Beta.
628
629  * Add new options min-passphrase-nonalpha, check-passphrase-pattern,
630    enforce-passphrase-constraints and max-passphrase-days to
631    gpg-agent.
632
633  * Add command --check-components to gpgconf.  Gpgconf now uses the
634    installed versions of the programs and does not anymore search via
635    PATH for them.
636
637
638 Noteworthy changes in version 2.0.6 (2007-08-16)
639 ------------------------------------------------
640
641  * GPGSM does now grok --default-key.
642
643  * GPGCONF is now aware of --default-key and --encrypt-to.
644
645  * GPGSM does again correctly print the serial number as well the the
646    various keyids.  This was broken since 2.0.4.
647
648  * New option --validation-model and support for the chain-model.
649
650  * Improved Windows support.
651
652
653 Noteworthy changes in version 2.0.5 (2007-07-05)
654 ------------------------------------------------
655
656  * Switched license to GPLv3.
657
658  * Basic support for Windows.  Run "./autogen.sh --build-w32" to build
659    it.  As usual the mingw cross compiling toolchain is required.
660
661  * Fixed bug when using the --p12-charset without --armor.
662
663  * The command --gen-key may now be used instead of the
664    gpgsm-gencert.sh script.
665
666  * Changed key generation to reveal less information about the
667    machine.  Bug fixes for gpg2's card key generation.
668
669
670 Noteworthy changes in version 2.0.4 (2007-05-09)
671 ------------------------------------------------
672
673  * The server mode key listing commands are now also working for
674    systems without the funopen/fopencookie API.
675
676  * PKCS#12 import now tries several encodings in case the passphrase
677    was not utf-8 encoded.  New option --p12-charset for gpgsm.
678
679  * Improved the libgcrypt logging support in all modules.
680
681
682 Noteworthy changes in version 2.0.3 (2007-03-08)
683 ------------------------------------------------
684
685  * By default, do not allow processing multiple plaintexts in a single
686    stream.  Many programs that called GnuPG were assuming that GnuPG
687    did not permit this, and were thus not using the plaintext boundary
688    status tags that GnuPG provides.  This change makes GnuPG reject
689    such messages by default which makes those programs safe again.
690    --allow-multiple-messages returns to the old behavior. [CVE-2007-1263].
691
692  * New --verify-option show-primary-uid-only.
693
694  * gpgconf may now reads a global configuration file to select which
695    options are changeable by a frontend.  The new applygnupgdefaults
696    tool may be used by an admin to set default options for all users.
697
698  * The PIN pad of the Cherry XX44 keyboard is now supported.  The
699    DINSIG and the NKS applications are now also aware of PIN pads.
700
701
702 Noteworthy changes in version 2.0.2 (2007-01-31)
703 ------------------------------------------------
704
705  * Fixed a serious and exploitable bug in processing encrypted
706    packages. [CVE-2006-6235].
707
708  * Added --passphrase-repeat to set the number of times GPG will
709    prompt for a new passphrase to be repeated.  This is useful to help
710    memorize a new passphrase.  The default is 1 repetition.
711
712  * Using a PIN pad does now also work for the signing key.
713
714  * A warning is displayed by gpg-agent if a new passphrase is too
715    short.  New option --min-passphrase-len defaults to 8.
716
717  * The status code BEGIN_SIGNING now shows the used hash algorithms.
718
719
720 Noteworthy changes in version 2.0.1 (2006-11-28)
721 ------------------------------------------------
722
723  * Experimental support for the PIN pads of the SPR 532 and the Kaan
724    Advanced card readers.  Add "disable-keypad" scdaemon.conf if you
725    don't want it.  Does currently only work for the OpenPGP card and
726    its authentication and decrypt keys.
727
728  * Fixed build problems on some some platforms and crashes on amd64.
729
730  * Fixed a buffer overflow in gpg2. [bug#728,CVE-2006-6169]
731
732
733 Noteworthy changes in version 2.0.0 (2006-11-11)
734 ------------------------------------------------
735
736  * First stable version of a GnuPG integrating OpenPGP and S/MIME.
737
738
739 Noteworthy changes in version 1.9.95 (2006-11-06)
740 -------------------------------------------------
741
742  * Minor bug fixes.
743
744
745 Noteworthy changes in version 1.9.94 (2006-10-24)
746 -------------------------------------------------
747
748  * Keys for gpgsm may now be specified using a keygrip.  A keygrip is
749    indicated by a prefixing it with an ampersand.
750
751  * gpgconf now supports switching the CMS cipher algo (e.g. to AES).
752
753  * New command --gpgconf-test for all major tools. This may be used to
754    check whether the configuration file is sane.
755
756
757 Noteworthy changes in version 1.9.93 (2006-10-18)
758 -------------------------------------------------
759
760  * In --with-validation mode gpgsm will now also ask whether a root
761    certificate should be trusted.
762
763  * Link to Pth only if really necessary.
764
765  * Fixed a pubring corruption bug in gpg2 occurring when importing
766    signatures or keys with insane lengths.
767
768  * Fixed v3 keyID calculation bug in gpg2.
769
770  * More tweaks for certificates without extensions.
771
772
773 Noteworthy changes in version 1.9.92 (2006-10-11)
774 -------------------------------------------------
775
776  * Bug fixes.
777
778
779 Noteworthy changes in version 1.9.91 (2006-10-04)
780 -------------------------------------------------
781
782  * New "relax" flag for trustlist.txt to allow root CA certificates
783    without BasicContraints.
784
785  * [gpg2] Removed the -k PGP 2 compatibility hack.  -k is now an
786    alias for --list-keys.
787
788  * [gpg2] Print a warning if "-sat" is used instead of "--clearsign".
789
790
791 Noteworthy changes in version 1.9.90 (2006-09-25)
792 -------------------------------------------------
793
794  * Made readline work for gpg.
795
796  * Cleanups und minor bug fixes.
797
798  * Included translations from gnupg 1.4.5.
799
800
801 Noteworthy changes in version 1.9.23 (2006-09-18)
802 -------------------------------------------------
803
804  * Regular man pages for most tools are now build directly from the
805    Texinfo source.
806
807  * The gpg code from 1.4.5 has been fully merged into this release.
808    The configure option --enable-gpg is still required to build this
809    gpg part.  For production use of OpenPGP the gpg version 1.4.5 is
810    still recommended.  Note, that gpg will be installed under the name
811    gpg2 to allow coexisting with an 1.4.x gpg.
812
813  * API change in gpg-agent's pkdecrypt command.  Thus an older gpgsm
814    may not be used with the current gpg-agent.
815
816  * The scdaemon will now call a script on reader status changes.
817
818  * gpgsm now allows file descriptor passing for "INPUT", "OUTPUT" and
819    "MESSAGE".
820
821  * The gpgsm server may now output a key listing to the output file
822    handle. This needs to be enabled using "OPTION list-to-output=1".
823
824  * The --output option of gpgsm has now an effect on list-keys.
825
826  * New gpgsm commands --dump-chain and list-chain.
827
828  * gpg-connect-agent has new options to utilize descriptor passing.
829
830  * A global trustlist may now be used.  See doc/examples/trustlist.txt.
831
832  * When creating a new pubring.kbx keybox common certificates are
833    imported.
834
835
836 Noteworthy changes in version 1.9.22 (2006-07-27)
837 -------------------------------------------------
838
839  * Enhanced pkcs#12 support to allow import from simple keyBags.
840
841  * Exporting to pkcs#12 now create bag attributes so that Mozilla is
842    able to import the files.
843
844  * Fixed uploading of certain keys to the smart card.
845
846
847 Noteworthy changes in version 1.9.21 (2006-06-20)
848 -------------------------------------------------
849
850  * New command APDU for scdaemon to allow using it for general card
851    access.  Might be used through gpg-connect-agent by using the SCD
852    prefix command.
853
854  * Support for the CardMan 4040 PCMCIA reader (Linux 2.6.15 required).
855
856  * Scdaemon does not anymore reset cards at the end of a connection.
857
858  * Kludge to allow use of Bundesnetzagentur issued X.509 certificates.
859
860  * Added --hash=xxx option to scdaemon's PKSIGN command.
861
862  * Pkcs#12 files are now created with a MAC.  This is for better
863    interoperability.
864
865  * Collected bug fixes and minor other changes.
866
867
868 Noteworthy changes in version 1.9.20 (2005-12-20)
869 -------------------------------------------------
870
871  * Importing pkcs#12 files created be recent versions of Mozilla works
872    again.
873
874  * Basic support for qualified signatures.
875
876  * New debug tool gpgparsemail.
877
878
879 Noteworthy changes in version 1.9.19 (2005-09-12)
880 -------------------------------------------------
881
882  * The Belgian eID card is now supported for signatures and ssh.
883    Other pkcs#15 cards should work as well.
884
885  * Fixed bug in --export-secret-key-p12 so that certificates are again
886    included.
887
888
889 Noteworthy changes in version 1.9.18 (2005-08-01)
890 -------------------------------------------------
891
892  * [gpgsm] Now allows for more than one email address as well as URIs
893    and dnsNames in certificate request generation.  A keygrip may be
894    given to create a request from an existing key.
895
896  * A couple of minor bug fixes.
897
898
899 Noteworthy changes in version 1.9.17 (2005-06-20)
900 -------------------------------------------------
901
902  * gpg-connect-agent has now features to handle Assuan INQUIRE
903    commands.
904
905  * Internal changes for OpenPGP cards. New Assuan command WRITEKEY.
906
907  * GNU Pth is now a hard requirement.
908
909  * [scdaemon] Support for OpenSC has been removed.  Instead a new and
910    straightforward pkcs#15 modules has been written.  As of now it
911    does allows only signing using TCOS cards but we are going to
912    enhance it to match all the old capabilities.
913
914  * [gpg-agent] New option --write-env-file and Assuan command
915    UPDATESTARTUPTTY.
916
917  * [gpg-agent] New option --default-cache-ttl-ssh to set the TTL for
918    SSH passphrase caching independent from the other passphrases.
919
920
921 Noteworthy changes in version 1.9.16 (2005-04-21)
922 -------------------------------------------------
923
924  * gpg-agent does now support the ssh-agent protocol and thus allows
925    to use the pinentry as well as the OpenPGP smartcard with ssh.
926
927  * New tool gpg-connect-agent as a general client for the gpg-agent.
928
929  * New tool symcryptrun as a wrapper for certain encryption tools.
930
931  * The gpg tool is not anymore build by default because those gpg
932    versions available in the gnupg 1.4 series are far more matured.
933
934
935 Noteworthy changes in version 1.9.15 (2005-01-13)
936 -------------------------------------------------
937
938  * Fixed passphrase caching bug.
939
940  * Better support for CCID readers; the reader from Cherry RS 6700 USB
941    does now work.
942
943
944 Noteworthy changes in version 1.9.14 (2004-12-22)
945 -------------------------------------------------
946
947  * [gpg-agent] New option --use-standard-socket to allow the use of a
948    fixed socket.  gpgsm falls back to this socket if GPG_AGENT_INFO
949    has not been set.
950
951  * Ported to MS Windows with some functional limitations.
952
953  * New tool gpg-preset-passphrase.
954
955
956 Noteworthy changes in version 1.9.13 (2004-12-03)
957 -------------------------------------------------
958
959  * [gpgsm] New option --prefer-system-dirmngr.
960
961  * Minor cleanups and debugging aids.
962
963
964 Noteworthy changes in version 1.9.12 (2004-10-22)
965 -------------------------------------------------
966
967  * [scdaemon] Partly rewrote the PC/SC code.
968
969  * Removed the sc-investigate tool.  It is now in a separate package
970    available at ftp://ftp.g10code.com/g10code/gscutils/ .
971
972  * [gpg-agent] Fixed logging problem.
973
974
975 Noteworthy changes in version 1.9.11 (2004-10-01)
976 -------------------------------------------------
977
978  * When using --import along with --with-validation, the imported
979    certificates are validated and only imported if they are fully
980    valid.
981
982  * [gpg-agent] New option --max-cache-ttl.
983
984  * [gpg-agent] When used without --daemon or --server, gpg-agent now
985    check whether a agent is already running and usable.
986
987  * Fixed some i18n problems.
988
989
990 Noteworthy changes in version 1.9.10 (2004-07-22)
991 -------------------------------------------------
992
993  * Fixed a serious bug in the checking of trusted root certificates.
994
995  * New configure option --enable-agent-pnly allows to build and
996    install just the agent.
997
998  * Fixed a problem with the log file handling.
999
1000
1001 Noteworthy changes in version 1.9.9 (2004-06-08)
1002 ------------------------------------------------
1003
1004  * [gpg-agent] The new option --allow-mark-trusted is now required to
1005    allow gpg-agent to add a key to the trustlist.txt after user
1006    confirmation.
1007
1008  * Creating PKCS#10 requests does now honor the key usage.
1009
1010
1011 Noteworthy changes in version 1.9.8 (2004-04-29)
1012 ------------------------------------------------
1013
1014  * [scdaemon] Overhauled the internal CCID driver.
1015
1016  * [scdaemon] Status files named ~/.gnupg/reader_<n>.status are now
1017    written when using the internal CCID driver.
1018
1019  * [gpgsm] New commands --dump-{,secret,external}-keys to show a very
1020    detailed view of the certificates.
1021
1022  * The keybox gets now compressed after 3 hours and ephemeral
1023    stored certificates are deleted after about a day.
1024
1025  * [gpg] Usability fixes for --card-edit.  Note, that this has already
1026    been ported back to gnupg-1.3
1027
1028
1029 Noteworthy changes in version 1.9.7 (2004-04-06)
1030 ------------------------------------------------
1031
1032  * Instrumented the modules for gpgconf.
1033
1034  * Added support for DINSIG card applications.
1035
1036  * Include the smimeCapabilities attribute with signed messages.
1037
1038  * Now uses the gettext domain "gnupg2" to avoid conflicts with gnupg
1039    versions < 1.9.
1040
1041
1042 Noteworthy changes in version 1.9.6 (2004-03-06)
1043 ------------------------------------------------
1044
1045  * Code cleanups and bug fixes.
1046
1047
1048 Noteworthy changes in version 1.9.5 (2004-02-21)
1049 ------------------------------------------------
1050
1051  * gpg-protect-tool gets now installed into libexec as it ought to be.
1052    Cleaned up the build system to better comply with the coding
1053    standards.
1054
1055  * [gpgsm] The --import command is now able to autodetect pkcs#12
1056    files and import secret and private keys from this file format.
1057    A new command --export-secret-key-p12 is provided to allow
1058    exporting of secret keys in PKCS\#12 format.
1059
1060  * [gpgsm] The pinentry will now present a description of the key for
1061    whom the passphrase is requested.
1062
1063  * [gpgsm] New option --with-validation to check the validity of key
1064    while listing it.
1065
1066  * New option --debug-level={none,basic,advanced,expert,guru} to map
1067    the debug flags to sensitive levels on a per program base.
1068
1069
1070 Noteworthy changes in version 1.9.4 (2004-01-30)
1071 ------------------------------------------------
1072
1073  * Added support for the Telesec NKS 2.0 card application.
1074
1075  * Added simple tool addgnupghome to create .gnupg directories from
1076    /etc/skel/.gnupg.
1077
1078  * Various minor bug fixes and cleanups; mainly gpgsm and gpg-agent
1079    related.
1080
1081
1082 Noteworthy changes in version 1.9.3 (2003-12-23)
1083 ------------------------------------------------
1084
1085  * New gpgsm options --{enable,disable}-ocsp to validate keys using
1086    OCSP. This option requires a not yet released DirMngr version.
1087    Default is disabled.
1088
1089  * The --log-file option may now be used to print logs to a socket.
1090    Prefix the socket name with "socket://" to enable this.  This does
1091    not work on all systems and falls back to stderr if there is a
1092    problem with the socket.
1093
1094  * The options --encrypt-to and --no-encrypt-to now work the same in
1095    gpgsm as in gpg.  Note, they are also used in server mode.
1096
1097  * Duplicated recipients are now silently removed in gpgsm.
1098
1099
1100 Noteworthy changes in version 1.9.2 (2003-11-17)
1101 ------------------------------------------------
1102
1103  * On card key generation is no longer done using the --gen-key
1104    command but from the menu provided by the new --card-edit command.
1105
1106  * PINs are now properly cached and there are only 2 PINs visible.
1107    The 3rd PIN (CHV2) is internally syncronized with the regular PIN.
1108
1109  * All kind of other internal stuff.
1110
1111
1112 Noteworthy changes in version 1.9.1 (2003-09-06)
1113 ------------------------------------------------
1114
1115  * Support for OpenSC is back. scdaemon supports a --disable-opensc to
1116    disable OpenSC use at runtime, so that PC/SC or ct-API can still be
1117    used directly.
1118
1119  * Rudimentary support for the SCR335 smartcard reader using an
1120    internal driver.  Requires current libusb from CVS.
1121
1122  * Bug fixes.
1123
1124
1125 Noteworthy changes in version 1.9.0 (2003-08-05)
1126 ------------------------------------------------
1127
1128       ====== PLEASE SEE README-alpha =======
1129
1130  * gpg has been renamed to gpg2 and gpgv to gpgv2.  This is a
1131    temporary change to allow co-existing with stable gpg versions.
1132
1133  * ~/.gnupg/gpg.conf-1.9.0 is fist tried as config file before the
1134    usual gpg.conf.
1135
1136  * Removed the -k, -kv and -kvv commands.  -k is now an alias to
1137    --list-keys.  New command -K as alias for --list-secret-keys.
1138
1139  * Removed --run-as-shm-coprocess feature.
1140
1141  * gpg does now also use libgcrypt, libgpg-error is required.
1142
1143  * New gpgsm commands --call-dirmngr and --call-protect-tool.
1144
1145  * Changing a passphrase is now possible using "gpgsm --passwd"
1146
1147  * The content-type attribute is now recognized and created.
1148
1149  * The agent does now reread certain options on receiving a HUP.
1150
1151  * The pinentry is now forked for each request so that clients with
1152    different environments are supported.  When running in daemon mode
1153    and --keep-display is not used the DISPLAY variable is ignored.
1154
1155  * Merged stuff from the newpg branch and started this new
1156    development branch.
1157
1158
1159  Copyright 2002, 2003, 2004, 2005, 2006, 2007,
1160            2008, 2009, 2010, 2011  Free Software Foundation, Inc.
1161
1162  This file is free software; as a special exception the author gives
1163  unlimited permission to copy and/or distribute it, with or without
1164  modifications, as long as this notice is preserved.
1165
1166  This file is distributed in the hope that it will be useful, but
1167  WITHOUT ANY WARRANTY, to the extent permitted by law; without even the
1168  implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.