Post release updates.
[gnupg.git] / NEWS
1 Noteworthy changes in version 2.1.5 (unreleased)
2 ------------------------------------------------
3
4
5 Noteworthy changes in version 2.1.4 (2015-05-12)
6 ------------------------------------------------
7
8  * gpg: Add command --quick-adduid to non-interacitivly add a new user
9    id to an existing key.
10
11  * gpg: Do no enable honor-keyserver-url by default.  Make it work if
12    enabled.
13
14  * gpg: Display the serial number in the --card-staus output again.
15
16  * agent: Support for external password managers.
17    Add option --no-allow-external-cache.
18
19  * scdaemon: Improved handling of extended APDUs.
20
21  * Make HTTP proxies work again.
22
23  * All network access including DNS as been moved to Dirmngr.
24
25  * Allow building without LDAP support.
26
27  * Fixed lots of smaller bugs.
28
29
30 Noteworthy changes in version 2.1.3 (2015-04-11)
31 ------------------------------------------------
32
33  * gpg: LDAP keyservers are now supported by 2.1.
34
35  * gpg: New option --with-icao-spelling.
36
37  * gpg: New option --print-pka-records.  Changed the PKA method to use
38    CERT records and hashed names.
39
40  * gpg: New command --list-gcrypt-config.  New parameter "curve"
41    for --list-config.
42
43  * gpg: Print a NEWSIG status line like gpgsm always did.
44
45  * gpg: Print MPI values with --list-packets and --verbose.
46
47  * gpg: Write correct MPI lengths with ECC keys.
48
49  * gpg: Skip legacy PGP-2 keys while searching.
50
51  * gpg: Improved searching for mail addresses when using a keybox.
52
53  * gpgsm: Changed default algos to AES-128 and SHA-256.
54
55  * gpgtar: Fixed extracting files with sizes of a multiple of 512.
56
57  * dirmngr: Fixed SNI handling for hkps pools.
58
59  * dirmngr: extra-certs and trusted-certs are now always loaded from
60    the sysconfig dir instead of the homedir.
61
62  * Fixed possible problems due to compiler optimization, two minor
63    regressions, and other bugs.
64
65
66 Noteworthy changes in version 2.1.2 (2015-02-11)
67 ------------------------------------------------
68
69  * gpg: The parameter 'Passphrase' for batch key generation works
70    again.
71
72  * gpg: Using a passphrase option in batch mode now has the expected
73    effect on --quick-gen-key.
74
75  * gpg: Improved reporting of unsupported PGP-2 keys.
76
77  * gpg: Added support for algo names when generating keys using
78    --command-fd.
79
80  * gpg: Fixed DoS based on bogus and overlong key packets.
81
82  * agent: When setting --default-cache-ttl the value
83    for --max-cache-ttl is adjusted to be not lower than the former.
84
85  * agent: Fixed problems with the new --extra-socket.
86
87  * agent: Made --allow-loopback-pinentry changeable with gpgconf.
88
89  * agent: Fixed importing of unprotected openpgp keys.
90
91  * agent: Now tries to use a fallback pinentry if the standard
92    pinentry is not installed.
93
94  * scd: Added support for ECDH.
95
96  * Fixed several bugs related to bogus keyrings and improved some
97    other code.
98
99
100 Noteworthy changes in version 2.1.1 (2014-12-16)
101 ------------------------------------------------
102
103  * gpg: Detect faulty use of --verify on detached signatures.
104
105  * gpg: New import option "keep-ownertrust".
106
107  * gpg: New sub-command "factory-reset" for --card-edit.
108
109  * gpg: A stub key for smartcards is now created by --card-status.
110
111  * gpg: Fixed regression in --refresh-keys.
112
113  * gpg: Fixed regresion in %g and %p codes for --sig-notation.
114
115  * gpg: Fixed best matching hash algo detection for ECDSA and EdDSA.
116
117  * gpg: Improved perceived speed of secret key listisngs.
118
119  * gpg: Print number of skipped PGP-2 keys on import.
120
121  * gpg: Removed the option aliases --throw-keyid and --notation-data;
122    use --throw-keyids and --set-notation instead.
123
124  * gpg: New import option "keep-ownertrust".
125
126  * gpg: Skip too large keys during import.
127
128  * gpg,gpgsm: New option --no-autostart to avoid starting gpg-agent or
129    dirmngr.
130
131  * gpg-agent: New option --extra-socket to provide a restricted
132    command set for use with remote clients.
133
134  * gpgconf --kill does not anymore start a service only to kill it.
135
136  * gpg-pconnect-agent: Add convenience option --uiserver.
137
138  * Fixed keyserver access for Windows.
139
140  * Fixed build problems on Mac OS X
141
142  * The Windows installer does now install development files
143
144  * More translations (but most of them are not complete).
145
146  * To support remotely mounted home directories, the IPC sockets may
147    now be redirected.  This feature requires Libassuan 2.2.0.
148
149  * Improved portability and the usual bunch of bug fixes.
150
151
152 Noteworthy changes in version 2.1.0 (2014-11-06)
153 ------------------------------------------------
154
155  This release introduces a lot of changes.  Most of them are internal
156  and thus not user visible.  However, some long standing behavior has
157  slightly changed and it is strongly suggested that an existing
158  "~/.gnupg" directory is backed up before this version is used.
159
160  A verbose description of the major new features and changes can be
161  found in the file doc/whats-new-in-2.1.txt.
162
163  * gpg: All support for v3 (PGP 2) keys has been dropped.  All
164    signatures are now created as v4 signatures.  v3 keys will be
165    removed from the keyring.
166
167  * gpg: With pinentry-0.9.0 the passphrase "enter again" prompt shows
168    up in the same window as the "new passphrase" prompt.
169
170  * gpg: Allow importing keys with duplicated long key ids.
171
172  * dirmngr: May now be build without support for LDAP.
173
174  * For a complete list of changes see the lists of changes for the
175    2.1.0 beta versions below.  Note that all relevant fixes from
176    versions 2.0.14 to 2.0.26 are also applied to this version.
177
178
179  [Noteworthy changes in version 2.1.0-beta864 (2014-10-03)]
180
181  * gpg: Removed the GPG_AGENT_INFO related code.  GnuPG does now
182    always use a fixed socket name in its home directory.
183
184  * gpg: Renamed --gen-key to --full-gen-key and re-added a --gen-key
185    command with less choices.
186
187  * gpg: Use SHA-256 for all signature types also on RSA keys.
188
189  * gpg: Default keyring is now created with a .kbx suffix.
190
191  * gpg: Add a shortcut to the key capabilies menu (e.g. "=e" sets the
192    encryption capabilities).
193
194  * gpg: Fixed obsolete options parsing.
195
196  * Further improvements for the alternative speedo build system.
197
198
199  [Noteworthy changes in version 2.1.0-beta834 (2014-09-18)]
200
201  * gpg: Improved passphrase caching.
202
203  * gpg: Switched to algorithm number 22 for EdDSA.
204
205  * gpg: Removed CAST5 from the default preferences.
206
207  * gpg: Order SHA-1 last in the hash preferences.
208
209  * gpg: Changed default cipher for --symmetric to AES-128.
210
211  * gpg: Fixed export of ECC keys and import of EdDSA keys.
212
213  * dirmngr: Fixed the KS_FETCH command.
214
215  * The speedo build system now downloads related packages and works
216    for non-Windows platforms.
217
218
219  [Noteworthy changes in version 2.1.0-beta783 (2014-08-14)]
220
221  * gpg: Add command --quick-gen-key.
222
223  * gpg: Make --quick-sign-key promote local key signatures.
224
225  * gpg: Added "show-usage" sub-option to --list-options.
226
227  * gpg: Screen keyserver responses to avoid importing unwanted keys
228    from rogue servers.
229
230  * gpg: Removed the option --pgp2 and --rfc1991 and the ability to
231    create PGP-2 compatible messages.
232
233  * gpg: Removed options --compress-keys and --compress-sigs.
234
235  * gpg: Cap attribute packets at 16MB.
236
237  * gpg: Improved output of --list-packets.
238
239  * gpg: Make with-colons output of --search-keys work again.
240
241  * gpgsm: Auto-create the ".gnupg" directory like gpg does.
242
243  * agent: Fold new passphrase warning prompts into one.
244
245  * scdaemon: Add support for the Smartcard-HSM card.
246
247  * scdaemon: Remove the use of the pcsc-wrapper.
248
249
250  [Noteworthy changes in version 2.1.0-beta751 (2014-07-03)]
251
252  * gpg: Create revocation certificates during key generation.
253
254  * gpg: Create exported secret keys and revocation certifciates with
255    mode 0700
256
257  * gpg: The validity of user ids is now shown by default.  To revert
258    this add "list-options no-show-uid-validity" to gpg.conf.
259
260  * gpg: Make export of secret keys work again.
261
262  * gpg: The output of --list-packets does now print the offset of the
263    packet and information about the packet header.
264
265  * gpg: Avoid DoS due to garbled compressed data packets. [CVE-2014-4617]
266
267  * gpg: Print more specific reason codes with the INV_RECP status.
268
269  * gpg: Cap RSA and Elgamal keysize at 4096 bit also for unattended
270    key generation.
271
272  * scdaemon: Support reader Gemalto IDBridge CT30 and pinpad of SCT
273    cyberJack go.
274
275  * The speedo build system has been improved.  It is now also possible
276    to build a partly working installer for Windows.
277
278
279  [Noteworthy changes in version 2.1.0-beta442 (2014-06-05)]
280
281  * gpg: Changed the format of key listings.  To revert to the old
282    format the option --legacy-list-mode is available.
283
284  * gpg: Add experimental signature support using curve Ed25519 and
285    with a patched Libgcrypt also encryption support with Curve25519.
286    [Update: this encryption support has been removed from 2.1.0 until
287    we have agreed on a suitable format.]
288
289  * gpg: Allow use of Brainpool curves.
290
291  * gpg: Accepts a space separated fingerprint as user ID.  This
292    allows to copy and paste the fingerprint from the key listing.
293
294  * gpg: The hash algorithm is now printed for signature records in key
295    listings.
296
297  * gpg: Reject signatures made using the MD5 hash algorithm unless the
298    new option --allow-weak-digest-algos or --pgp2 are given.
299
300  * gpg: Print a warning if the Gnome-Keyring-Daemon intercepts the
301    communication with the gpg-agent.
302
303  * gpg: New option --pinentry-mode.
304
305  * gpg: Fixed decryption using an OpenPGP card.
306
307  * gpg: Fixed bug with deeply nested compressed packets.
308
309  * gpg: Only the major version number is by default included in the
310    armored output.
311
312  * gpg: Do not create a trustdb file if --trust-model=always is used.
313
314  * gpg: Protect against rogue keyservers sending secret keys.
315
316  * gpg: The format of the fallback key listing ("gpg KEYFILE") is now
317    more aligned to the regular key listing ("gpg -k").
318
319  * gpg: The option--show-session-key prints its output now before the
320    decryption of the bulk message starts.
321
322  * gpg: New %U expando for the photo viewer.
323
324  * gpg,gpgsm: New option --with-secret.
325
326  * gpgsm: By default the users are now asked via the Pinentry whether
327    they trust an X.509 root key.  To prohibit interactive marking of
328    such keys, the new option --no-allow-mark-trusted may be used.
329
330  * gpgsm: New commands to export a secret RSA key in PKCS#1 or PKCS#8
331    format.
332
333  * gpgsm: Improved handling of re-issued CA certificates.
334
335  * agent: The included ssh agent does now support ECDSA keys.
336
337  * agent: New option --enable-putty-support to allow gpg-agent on
338    Windows to act as a Pageant replacement with full smartcard support.
339
340  * scdaemon: New option --enable-pinpad-varlen.
341
342  * scdaemon: Various fixes for pinpad equipped card readers.
343
344  * scdaemon: Rename option --disable-pinpad (was --disable-keypad).
345
346  * scdaemon: Better support fo CCID readers.  Now, internal CCID
347    driver supports readers with no auto configuration feature.
348
349  * dirmngr: Removed support for the original HKP keyserver which is
350    not anymore used by any site.
351
352  * dirmngr: Improved support for keyserver pools.
353
354  * tools: New option --dirmngr for gpg-connect-agent.
355
356  * The GNU Pth library has been replaced by the new nPth library.
357
358  * Support installation as portable application under Windows.
359
360  * All kind of other improvements - see the git log.
361
362
363  [Noteworthy changes in version 2.1.0beta3 (2011-12-20)]
364
365  * gpg: Fixed regression in the secret key export function.
366
367  * gpg: Allow generation of card keys up to 4096 bit.
368
369  * gpgsm: Preliminary support for the validation model "steed".
370
371  * gpgsm: Improved certificate creation.
372
373  * agent: Support the SSH confirm flag.
374
375  * agent: New option to select a passphrase mode.  The loopback
376    mode may be used to bypass Pinentry.
377
378  * agent: The Assuan commands KILLAGENT and KILLSCD are working again.
379
380  * scdaemon: Does not anymore block after changing a card (regression
381    fix).
382
383  * tools: gpg-connect-agent does now proberly display the help output
384    for "SCD HELP" commands.
385
386
387  [Noteworthy changes in version 2.1.0beta2 (2011-03-08)]
388
389  * gpg: ECC support as described by draft-jivsov-openpgp-ecc-06.txt
390    [Update: now known as RFC-6637].
391
392  * gpg: Print "AES128" instead of "AES".  This change introduces a
393    little incompatibility for tools using "gpg --list-config".  We
394    hope that these tools are written robust enough to accept this new
395    algorithm name as well.
396
397  * gpgsm: New feature to create certificates from a parameter file.
398    Add prompt to the --gen-key UI to create self-signed certificates.
399
400  * agent: TMPDIR is now also honored when creating a socket using
401    the --no-standard-socket option and with symcryptrun's temp files.
402
403  * scdaemon: Fixed a bug where scdaemon sends a signal to gpg-agent
404    running in non-daemon mode.
405
406  * dirmngr: Fixed CRL loading under W32 (bug#1010).
407
408  * Dirmngr has taken over the function of the keyserver helpers.  Thus
409    we now have a specified direct interface to keyservers via Dirmngr.
410    LDAP, DNS and mail backends are not yet implemented.
411
412  * Fixed TTY management for pinentries and session variable update
413    problem.
414
415
416  [Noteworthy changes in version 2.1.0beta1 (2010-10-26)]
417
418  * gpg: secring.gpg is not anymore used but all secret key operations
419    are delegated to gpg-agent.  The import command moves secret keys
420    to the agent.
421
422  * gpg: The OpenPGP import command is now able to merge secret keys.
423
424  * gpg: Encrypted OpenPGP messages with trailing data (e.g. other
425    OpenPGP packets) are now correctly parsed.
426
427  * gpg: Given sufficient permissions Dirmngr is started automagically.
428
429  * gpg: Fixed output of "gpgconf --check-options".
430
431  * gpg: Removed options --export-options(export-secret-subkey-passwd)
432    and --simple-sk-checksum.
433
434  * gpg: New options --try-secret-key.
435
436  * gpg: Support DNS lookups for SRV, PKA and CERT on W32.
437
438  * gpgsm: The --audit-log feature is now more complete.
439
440  * gpgsm: The default for --include-cert is now to include all
441    certificates in the chain except for the root certificate.
442
443  * gpgsm: New option --ignore-cert-extension.
444
445  * g13: The G13 tool for disk encryption key management has been
446    added.
447
448  * agent: If the agent's --use-standard-socket option is active, all
449    tools try to start and daemonize the agent on the fly.  In the past
450    this was only supported on W32; on non-W32 systems the new
451    configure option --disable-standard-socket may now be used to
452    disable this new default.
453
454  * agent: New and changed passphrases are now created with an
455    iteration count requiring about 100ms of CPU work.
456
457  * dirmngr: Dirmngr is now a part of this package.  It is now also
458    expected to run as a system service and the configuration
459    directories are changed to the GnuPG name space. [Update: 2.1.0
460    starts dirmngr on demand as user daemon.]
461
462  * Support for Windows CE. [Update: This has not been tested for the
463    2.1.0 release]
464
465  * Numerical values may now be used as an alternative to the
466    debug-level keywords.
467
468
469 Noteworthy changes in version 2.0.13 (2009-09-04)
470 -------------------------------------------------
471
472  * GPG now generates 2048 bit RSA keys by default.  The default hash
473    algorithm preferences has changed to prefer SHA-256 over SHA-1.
474    2048 bit DSA keys are now generated to use a 256 bit hash algorithm
475
476  * The envvars XMODIFIERS, GTK_IM_MODULE and QT_IM_MODULE are now
477    passed to the Pinentry to make SCIM work.
478
479  * The GPGSM command --gen-key features a --batch mode and implements
480    all features of gpgsm-gencert.sh in standard mode.
481
482  * New option --re-import for GPGSM's IMPORT server command.
483
484  * Enhanced writing of existing keys to OpenPGP v2 cards.
485
486  * Add hack to the internal CCID driver to allow the use of some
487    Omnikey based card readers with 2048 bit keys.
488
489  * GPG now repeatly asks the user to insert the requested OpenPGP
490    card.  This can be disabled with --limit-card-insert-tries=1.
491
492  * Minor bug fixes.
493
494
495 Noteworthy changes in version 2.0.12 (2009-06-17)
496 -------------------------------------------------
497
498  * GPGSM now always lists ephemeral certificates if specified by
499    fingerprint or keygrip.
500
501  * New command "KEYINFO" for GPG_AGENT.  GPGSM now also returns
502    information about smartcards.
503
504  * Made sure not to leak file descriptors if running gpg-agent with a
505    command.  Restore the signal mask to solve a problem in Mono.
506
507  * Changed order of the confirmation questions for root certificates
508    and store negative answers in trustlist.txt.
509
510  * Better synchronization of concurrent smartcard sessions.
511
512  * Support 2048 bit OpenPGP cards.
513
514  * Support Telesec Netkey 3 cards.
515
516  * The gpg-protect-tool now uses gpg-agent via libassuan.  Under
517    Windows the Pinentry will now be put into the foreground.
518
519  * Changed code to avoid a possible Mac OS X system freeze.
520
521
522 Noteworthy changes in version 2.0.11 (2009-03-03)
523 -------------------------------------------------
524
525  * Fixed a problem in SCDAEMON which caused unexpected card resets.
526
527  * SCDAEMON is now aware of the Geldkarte.
528
529  * The SCDAEMON option --allow-admin is now used by default.
530
531  * GPGCONF now restarts SCdaemon if necessary.
532
533  * The default cipher algorithm in GPGSM is now again 3DES.  This is
534    due to interoperability problems with Outlook 2003 which still
535    can't cope with AES.
536
537
538 Noteworthy changes in version 2.0.10 (2009-01-12)
539 -------------------------------------------------
540
541  * [gpg] New keyserver helper gpg2keys_kdns as generic DNS CERT
542    lookup.  Run with --help for a short description.  Requires the
543    ADNS library.
544
545  * [gpg] New mechanisms "local" and "nodefault" for --auto-key-locate.
546    Fixed a few problems with this option.
547
548  * [gpg] New command --locate-keys.
549
550  * [gpg] New options --with-sig-list and --with-sig-check.
551
552  * [gpg] The option "-sat" is no longer an alias for --clearsign.
553
554  * [gpg] The option --fixed-list-mode is now implicitly used and obsolete.
555
556  * [gpg] New control statement %ask-passphrase for the unattended key
557    generation.
558
559  * [gpg] The algorithm to compute the SIG_ID status has been changed.
560
561  * [gpgsm] Now uses AES by default.
562
563  * [gpgsm] Made --output option work with --export-secret-key-p12.
564
565  * [gpg-agent] Terminate process if the own listening socket is not
566    anymore served by ourself.
567
568  * [scdaemon] Made it more robust on W32.
569
570  * [gpg-connect-agent] Accept commands given as command line arguments.
571
572  * [w32] Initialized the socket subsystem for all keyserver helpers.
573
574  * [w32] The sysconf directory has been moved from a subdirectory of
575    the installation directory to %CSIDL_COMMON_APPDATA%/GNU/etc/gnupg.
576
577  * [w32] The gnupg2.nls directory is not anymore used.  The standard
578    locale directory is now used.
579
580  * [w32] Fixed a race condition between gpg and gpgsm in the use of
581    temporary file names.
582
583  * The gpg-preset-passphrase mechanism works again.  An arbitrary
584    string may now be used for a custom cache ID.
585
586  * Admin PINs are cached again (bug in 2.0.9).
587
588  * Support for version 2 OpenPGP cards.
589
590  * Libgcrypt 1.4 is now required.
591
592
593 Noteworthy changes in version 2.0.9 (2008-03-26)
594 ------------------------------------------------
595
596  * Gpgsm always tries to locate missing certificates from a running
597    Dirmngr's cache.
598
599  * Tweaks for Windows.
600
601  * The Admin PIN for OpenPGP cards may now be entered with the pinpad.
602
603  * Improved certificate chain construction.
604
605  * Extended the PKITS framework.
606
607  * Fixed a bug in the ambigious name detection.
608
609  * Fixed possible memory corruption while importing OpenPGP keys (bug
610    introduced with 2.0.8). [CVE-2008-1530]
611
612  * Minor bug fixes.
613
614
615 Noteworthy changes in version 2.0.8 (2007-12-20)
616 ------------------------------------------------
617
618  * Enhanced gpg-connect-agent with a small scripting language.
619
620  * New option --list-config for gpgconf.
621
622  * Fixed a crash in gpgconf.
623
624  * Gpg-agent now supports the passphrase quality bar of the latest
625    Pinentry.
626
627  * The envvars XAUTHORITY and PINENTRY_USER_DATA are now passed to the
628    Pinentry.
629
630  * Fixed the auto creation of the key stub for smartcards.
631
632  * Fixed a rare bug in decryption using the OpenPGP card.
633
634  * Creating DSA2 keys is now possible.
635
636  * New option --extra-digest-algo for gpgsm to allow verification of
637    broken signatures.
638
639  * Allow encryption with legacy Elgamal sign+encrypt keys with option
640    --rfc2440.
641
642  * Windows is now a supported platform.
643
644  * Made sure that under Windows the file permissions of the socket are
645    taken into account.  This required a change of our socket emulation
646    code and changed the IPC protocol under Windows.
647
648
649 Noteworthy changes in version 2.0.7 (2007-09-10)
650 ------------------------------------------------
651
652  * Fixed encryption problem if duplicate certificates are in the
653    keybox.
654
655  * Made it work on Windows Vista.  Note that the entire Windows port
656    is still considered Beta.
657
658  * Add new options min-passphrase-nonalpha, check-passphrase-pattern,
659    enforce-passphrase-constraints and max-passphrase-days to
660    gpg-agent.
661
662  * Add command --check-components to gpgconf.  Gpgconf now uses the
663    installed versions of the programs and does not anymore search via
664    PATH for them.
665
666
667 Noteworthy changes in version 2.0.6 (2007-08-16)
668 ------------------------------------------------
669
670  * GPGSM does now grok --default-key.
671
672  * GPGCONF is now aware of --default-key and --encrypt-to.
673
674  * GPGSM does again correctly print the serial number as well the the
675    various keyids.  This was broken since 2.0.4.
676
677  * New option --validation-model and support for the chain-model.
678
679  * Improved Windows support.
680
681
682 Noteworthy changes in version 2.0.5 (2007-07-05)
683 ------------------------------------------------
684
685  * Switched license to GPLv3.
686
687  * Basic support for Windows.  Run "./autogen.sh --build-w32" to build
688    it.  As usual the mingw cross compiling toolchain is required.
689
690  * Fixed bug when using the --p12-charset without --armor.
691
692  * The command --gen-key may now be used instead of the
693    gpgsm-gencert.sh script.
694
695  * Changed key generation to reveal less information about the
696    machine.  Bug fixes for gpg2's card key generation.
697
698
699 Noteworthy changes in version 2.0.4 (2007-05-09)
700 ------------------------------------------------
701
702  * The server mode key listing commands are now also working for
703    systems without the funopen/fopencookie API.
704
705  * PKCS#12 import now tries several encodings in case the passphrase
706    was not utf-8 encoded.  New option --p12-charset for gpgsm.
707
708  * Improved the libgcrypt logging support in all modules.
709
710
711 Noteworthy changes in version 2.0.3 (2007-03-08)
712 ------------------------------------------------
713
714  * By default, do not allow processing multiple plaintexts in a single
715    stream.  Many programs that called GnuPG were assuming that GnuPG
716    did not permit this, and were thus not using the plaintext boundary
717    status tags that GnuPG provides.  This change makes GnuPG reject
718    such messages by default which makes those programs safe again.
719    --allow-multiple-messages returns to the old behavior. [CVE-2007-1263].
720
721  * New --verify-option show-primary-uid-only.
722
723  * gpgconf may now reads a global configuration file to select which
724    options are changeable by a frontend.  The new applygnupgdefaults
725    tool may be used by an admin to set default options for all users.
726
727  * The PIN pad of the Cherry XX44 keyboard is now supported.  The
728    DINSIG and the NKS applications are now also aware of PIN pads.
729
730
731 Noteworthy changes in version 2.0.2 (2007-01-31)
732 ------------------------------------------------
733
734  * Fixed a serious and exploitable bug in processing encrypted
735    packages. [CVE-2006-6235].
736
737  * Added --passphrase-repeat to set the number of times GPG will
738    prompt for a new passphrase to be repeated.  This is useful to help
739    memorize a new passphrase.  The default is 1 repetition.
740
741  * Using a PIN pad does now also work for the signing key.
742
743  * A warning is displayed by gpg-agent if a new passphrase is too
744    short.  New option --min-passphrase-len defaults to 8.
745
746  * The status code BEGIN_SIGNING now shows the used hash algorithms.
747
748
749 Noteworthy changes in version 2.0.1 (2006-11-28)
750 ------------------------------------------------
751
752  * Experimental support for the PIN pads of the SPR 532 and the Kaan
753    Advanced card readers.  Add "disable-keypad" scdaemon.conf if you
754    don't want it.  Does currently only work for the OpenPGP card and
755    its authentication and decrypt keys.
756
757  * Fixed build problems on some some platforms and crashes on amd64.
758
759  * Fixed a buffer overflow in gpg2. [bug#728,CVE-2006-6169]
760
761
762 Noteworthy changes in version 2.0.0 (2006-11-11)
763 ------------------------------------------------
764
765  * First stable version of a GnuPG integrating OpenPGP and S/MIME.
766
767
768 Noteworthy changes in version 1.9.95 (2006-11-06)
769 -------------------------------------------------
770
771  * Minor bug fixes.
772
773
774 Noteworthy changes in version 1.9.94 (2006-10-24)
775 -------------------------------------------------
776
777  * Keys for gpgsm may now be specified using a keygrip.  A keygrip is
778    indicated by a prefixing it with an ampersand.
779
780  * gpgconf now supports switching the CMS cipher algo (e.g. to AES).
781
782  * New command --gpgconf-test for all major tools. This may be used to
783    check whether the configuration file is sane.
784
785
786 Noteworthy changes in version 1.9.93 (2006-10-18)
787 -------------------------------------------------
788
789  * In --with-validation mode gpgsm will now also ask whether a root
790    certificate should be trusted.
791
792  * Link to Pth only if really necessary.
793
794  * Fixed a pubring corruption bug in gpg2 occurring when importing
795    signatures or keys with insane lengths.
796
797  * Fixed v3 keyID calculation bug in gpg2.
798
799  * More tweaks for certificates without extensions.
800
801
802 Noteworthy changes in version 1.9.92 (2006-10-11)
803 -------------------------------------------------
804
805  * Bug fixes.
806
807
808 Noteworthy changes in version 1.9.91 (2006-10-04)
809 -------------------------------------------------
810
811  * New "relax" flag for trustlist.txt to allow root CA certificates
812    without BasicContraints.
813
814  * [gpg2] Removed the -k PGP 2 compatibility hack.  -k is now an
815    alias for --list-keys.
816
817  * [gpg2] Print a warning if "-sat" is used instead of "--clearsign".
818
819
820 Noteworthy changes in version 1.9.90 (2006-09-25)
821 -------------------------------------------------
822
823  * Made readline work for gpg.
824
825  * Cleanups und minor bug fixes.
826
827  * Included translations from gnupg 1.4.5.
828
829
830 Noteworthy changes in version 1.9.23 (2006-09-18)
831 -------------------------------------------------
832
833  * Regular man pages for most tools are now build directly from the
834    Texinfo source.
835
836  * The gpg code from 1.4.5 has been fully merged into this release.
837    The configure option --enable-gpg is still required to build this
838    gpg part.  For production use of OpenPGP the gpg version 1.4.5 is
839    still recommended.  Note, that gpg will be installed under the name
840    gpg2 to allow coexisting with an 1.4.x gpg.
841
842  * API change in gpg-agent's pkdecrypt command.  Thus an older gpgsm
843    may not be used with the current gpg-agent.
844
845  * The scdaemon will now call a script on reader status changes.
846
847  * gpgsm now allows file descriptor passing for "INPUT", "OUTPUT" and
848    "MESSAGE".
849
850  * The gpgsm server may now output a key listing to the output file
851    handle. This needs to be enabled using "OPTION list-to-output=1".
852
853  * The --output option of gpgsm has now an effect on list-keys.
854
855  * New gpgsm commands --dump-chain and list-chain.
856
857  * gpg-connect-agent has new options to utilize descriptor passing.
858
859  * A global trustlist may now be used.  See doc/examples/trustlist.txt.
860
861  * When creating a new pubring.kbx keybox common certificates are
862    imported.
863
864
865 Noteworthy changes in version 1.9.22 (2006-07-27)
866 -------------------------------------------------
867
868  * Enhanced pkcs#12 support to allow import from simple keyBags.
869
870  * Exporting to pkcs#12 now create bag attributes so that Mozilla is
871    able to import the files.
872
873  * Fixed uploading of certain keys to the smart card.
874
875
876 Noteworthy changes in version 1.9.21 (2006-06-20)
877 -------------------------------------------------
878
879  * New command APDU for scdaemon to allow using it for general card
880    access.  Might be used through gpg-connect-agent by using the SCD
881    prefix command.
882
883  * Support for the CardMan 4040 PCMCIA reader (Linux 2.6.15 required).
884
885  * Scdaemon does not anymore reset cards at the end of a connection.
886
887  * Kludge to allow use of Bundesnetzagentur issued X.509 certificates.
888
889  * Added --hash=xxx option to scdaemon's PKSIGN command.
890
891  * Pkcs#12 files are now created with a MAC.  This is for better
892    interoperability.
893
894  * Collected bug fixes and minor other changes.
895
896
897 Noteworthy changes in version 1.9.20 (2005-12-20)
898 -------------------------------------------------
899
900  * Importing pkcs#12 files created be recent versions of Mozilla works
901    again.
902
903  * Basic support for qualified signatures.
904
905  * New debug tool gpgparsemail.
906
907
908 Noteworthy changes in version 1.9.19 (2005-09-12)
909 -------------------------------------------------
910
911  * The Belgian eID card is now supported for signatures and ssh.
912    Other pkcs#15 cards should work as well.
913
914  * Fixed bug in --export-secret-key-p12 so that certificates are again
915    included.
916
917
918 Noteworthy changes in version 1.9.18 (2005-08-01)
919 -------------------------------------------------
920
921  * [gpgsm] Now allows for more than one email address as well as URIs
922    and dnsNames in certificate request generation.  A keygrip may be
923    given to create a request from an existing key.
924
925  * A couple of minor bug fixes.
926
927
928 Noteworthy changes in version 1.9.17 (2005-06-20)
929 -------------------------------------------------
930
931  * gpg-connect-agent has now features to handle Assuan INQUIRE
932    commands.
933
934  * Internal changes for OpenPGP cards. New Assuan command WRITEKEY.
935
936  * GNU Pth is now a hard requirement.
937
938  * [scdaemon] Support for OpenSC has been removed.  Instead a new and
939    straightforward pkcs#15 modules has been written.  As of now it
940    does allows only signing using TCOS cards but we are going to
941    enhance it to match all the old capabilities.
942
943  * [gpg-agent] New option --write-env-file and Assuan command
944    UPDATESTARTUPTTY.
945
946  * [gpg-agent] New option --default-cache-ttl-ssh to set the TTL for
947    SSH passphrase caching independent from the other passphrases.
948
949
950 Noteworthy changes in version 1.9.16 (2005-04-21)
951 -------------------------------------------------
952
953  * gpg-agent does now support the ssh-agent protocol and thus allows
954    to use the pinentry as well as the OpenPGP smartcard with ssh.
955
956  * New tool gpg-connect-agent as a general client for the gpg-agent.
957
958  * New tool symcryptrun as a wrapper for certain encryption tools.
959
960  * The gpg tool is not anymore build by default because those gpg
961    versions available in the gnupg 1.4 series are far more matured.
962
963
964 Noteworthy changes in version 1.9.15 (2005-01-13)
965 -------------------------------------------------
966
967  * Fixed passphrase caching bug.
968
969  * Better support for CCID readers; the reader from Cherry RS 6700 USB
970    does now work.
971
972
973 Noteworthy changes in version 1.9.14 (2004-12-22)
974 -------------------------------------------------
975
976  * [gpg-agent] New option --use-standard-socket to allow the use of a
977    fixed socket.  gpgsm falls back to this socket if GPG_AGENT_INFO
978    has not been set.
979
980  * Ported to MS Windows with some functional limitations.
981
982  * New tool gpg-preset-passphrase.
983
984
985 Noteworthy changes in version 1.9.13 (2004-12-03)
986 -------------------------------------------------
987
988  * [gpgsm] New option --prefer-system-dirmngr.
989
990  * Minor cleanups and debugging aids.
991
992
993 Noteworthy changes in version 1.9.12 (2004-10-22)
994 -------------------------------------------------
995
996  * [scdaemon] Partly rewrote the PC/SC code.
997
998  * Removed the sc-investigate tool.  It is now in a separate package
999    available at ftp://ftp.g10code.com/g10code/gscutils/ .
1000
1001  * [gpg-agent] Fixed logging problem.
1002
1003
1004 Noteworthy changes in version 1.9.11 (2004-10-01)
1005 -------------------------------------------------
1006
1007  * When using --import along with --with-validation, the imported
1008    certificates are validated and only imported if they are fully
1009    valid.
1010
1011  * [gpg-agent] New option --max-cache-ttl.
1012
1013  * [gpg-agent] When used without --daemon or --server, gpg-agent now
1014    check whether a agent is already running and usable.
1015
1016  * Fixed some i18n problems.
1017
1018
1019 Noteworthy changes in version 1.9.10 (2004-07-22)
1020 -------------------------------------------------
1021
1022  * Fixed a serious bug in the checking of trusted root certificates.
1023
1024  * New configure option --enable-agent-pnly allows to build and
1025    install just the agent.
1026
1027  * Fixed a problem with the log file handling.
1028
1029
1030 Noteworthy changes in version 1.9.9 (2004-06-08)
1031 ------------------------------------------------
1032
1033  * [gpg-agent] The new option --allow-mark-trusted is now required to
1034    allow gpg-agent to add a key to the trustlist.txt after user
1035    confirmation.
1036
1037  * Creating PKCS#10 requests does now honor the key usage.
1038
1039
1040 Noteworthy changes in version 1.9.8 (2004-04-29)
1041 ------------------------------------------------
1042
1043  * [scdaemon] Overhauled the internal CCID driver.
1044
1045  * [scdaemon] Status files named ~/.gnupg/reader_<n>.status are now
1046    written when using the internal CCID driver.
1047
1048  * [gpgsm] New commands --dump-{,secret,external}-keys to show a very
1049    detailed view of the certificates.
1050
1051  * The keybox gets now compressed after 3 hours and ephemeral
1052    stored certificates are deleted after about a day.
1053
1054  * [gpg] Usability fixes for --card-edit.  Note, that this has already
1055    been ported back to gnupg-1.3
1056
1057
1058 Noteworthy changes in version 1.9.7 (2004-04-06)
1059 ------------------------------------------------
1060
1061  * Instrumented the modules for gpgconf.
1062
1063  * Added support for DINSIG card applications.
1064
1065  * Include the smimeCapabilities attribute with signed messages.
1066
1067  * Now uses the gettext domain "gnupg2" to avoid conflicts with gnupg
1068    versions < 1.9.
1069
1070
1071 Noteworthy changes in version 1.9.6 (2004-03-06)
1072 ------------------------------------------------
1073
1074  * Code cleanups and bug fixes.
1075
1076
1077 Noteworthy changes in version 1.9.5 (2004-02-21)
1078 ------------------------------------------------
1079
1080  * gpg-protect-tool gets now installed into libexec as it ought to be.
1081    Cleaned up the build system to better comply with the coding
1082    standards.
1083
1084  * [gpgsm] The --import command is now able to autodetect pkcs#12
1085    files and import secret and private keys from this file format.
1086    A new command --export-secret-key-p12 is provided to allow
1087    exporting of secret keys in PKCS\#12 format.
1088
1089  * [gpgsm] The pinentry will now present a description of the key for
1090    whom the passphrase is requested.
1091
1092  * [gpgsm] New option --with-validation to check the validity of key
1093    while listing it.
1094
1095  * New option --debug-level={none,basic,advanced,expert,guru} to map
1096    the debug flags to sensitive levels on a per program base.
1097
1098
1099 Noteworthy changes in version 1.9.4 (2004-01-30)
1100 ------------------------------------------------
1101
1102  * Added support for the Telesec NKS 2.0 card application.
1103
1104  * Added simple tool addgnupghome to create .gnupg directories from
1105    /etc/skel/.gnupg.
1106
1107  * Various minor bug fixes and cleanups; mainly gpgsm and gpg-agent
1108    related.
1109
1110
1111 Noteworthy changes in version 1.9.3 (2003-12-23)
1112 ------------------------------------------------
1113
1114  * New gpgsm options --{enable,disable}-ocsp to validate keys using
1115    OCSP. This option requires a not yet released DirMngr version.
1116    Default is disabled.
1117
1118  * The --log-file option may now be used to print logs to a socket.
1119    Prefix the socket name with "socket://" to enable this.  This does
1120    not work on all systems and falls back to stderr if there is a
1121    problem with the socket.
1122
1123  * The options --encrypt-to and --no-encrypt-to now work the same in
1124    gpgsm as in gpg.  Note, they are also used in server mode.
1125
1126  * Duplicated recipients are now silently removed in gpgsm.
1127
1128
1129 Noteworthy changes in version 1.9.2 (2003-11-17)
1130 ------------------------------------------------
1131
1132  * On card key generation is no longer done using the --gen-key
1133    command but from the menu provided by the new --card-edit command.
1134
1135  * PINs are now properly cached and there are only 2 PINs visible.
1136    The 3rd PIN (CHV2) is internally syncronized with the regular PIN.
1137
1138  * All kind of other internal stuff.
1139
1140
1141 Noteworthy changes in version 1.9.1 (2003-09-06)
1142 ------------------------------------------------
1143
1144  * Support for OpenSC is back. scdaemon supports a --disable-opensc to
1145    disable OpenSC use at runtime, so that PC/SC or ct-API can still be
1146    used directly.
1147
1148  * Rudimentary support for the SCR335 smartcard reader using an
1149    internal driver.  Requires current libusb from CVS.
1150
1151  * Bug fixes.
1152
1153
1154 Noteworthy changes in version 1.9.0 (2003-08-05)
1155 ------------------------------------------------
1156
1157       ====== PLEASE SEE README-alpha =======
1158
1159  * gpg has been renamed to gpg2 and gpgv to gpgv2.  This is a
1160    temporary change to allow co-existing with stable gpg versions.
1161
1162  * ~/.gnupg/gpg.conf-1.9.0 is fist tried as config file before the
1163    usual gpg.conf.
1164
1165  * Removed the -k, -kv and -kvv commands.  -k is now an alias to
1166    --list-keys.  New command -K as alias for --list-secret-keys.
1167
1168  * Removed --run-as-shm-coprocess feature.
1169
1170  * gpg does now also use libgcrypt, libgpg-error is required.
1171
1172  * New gpgsm commands --call-dirmngr and --call-protect-tool.
1173
1174  * Changing a passphrase is now possible using "gpgsm --passwd"
1175
1176  * The content-type attribute is now recognized and created.
1177
1178  * The agent does now reread certain options on receiving a HUP.
1179
1180  * The pinentry is now forked for each request so that clients with
1181    different environments are supported.  When running in daemon mode
1182    and --keep-display is not used the DISPLAY variable is ignored.
1183
1184  * Merged stuff from the newpg branch and started this new
1185    development branch.
1186
1187
1188  Copyright 2002, 2003, 2004, 2005, 2006, 2007,
1189            2008, 2009, 2010, 2011  Free Software Foundation, Inc.
1190
1191  This file is free software; as a special exception the author gives
1192  unlimited permission to copy and/or distribute it, with or without
1193  modifications, as long as this notice is preserved.
1194
1195  This file is distributed in the hope that it will be useful, but
1196  WITHOUT ANY WARRANTY, to the extent permitted by law; without even the
1197  implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.