Post release updates.
[gnupg.git] / NEWS
1 Noteworthy changes in version 2.1.1 (unreleased)
2 ------------------------------------------------
3
4
5 Noteworthy changes in version 2.1.0 (2014-11-06)
6 ------------------------------------------------
7
8  This release introduces a lot of changes.  Most of them are internal
9  and thus not user visible.  However, some long standing behavior has
10  slightly changed and it is strongly suggested that an existing
11  "~/.gnupg" directory is backed up before this version is used.
12
13  A verbose description of the major new features and changes can be
14  found in the file doc/whats-new-in-2.1.txt.
15
16  * gpg: All support for v3 (PGP 2) keys has been dropped.  All
17    signatures are now created as v4 signatures.  v3 keys will be
18    removed from the keyring.
19
20  * gpg: With pinentry-0.9.0 the passphrase "enter again" prompt shows
21    up in the same window as the "new passphrase" prompt.
22
23  * gpg: Allow importing keys with duplicated long key ids.
24
25  * dirmngr: May now be build without support for LDAP.
26
27  * For a complete list of changes see the lists of changes for the
28    2.1.0 beta versions below.  Note that all relevant fixes from
29    versions 2.0.14 to 2.0.26 are also applied to this version.
30
31
32  [Noteworthy changes in version 2.1.0-beta864 (2014-10-03)]
33
34  * gpg: Removed the GPG_AGENT_INFO related code.  GnuPG does now
35    always use a fixed socket name in its home directory.
36
37  * gpg: Renamed --gen-key to --full-gen-key and re-added a --gen-key
38    command with less choices.
39
40  * gpg: Use SHA-256 for all signature types also on RSA keys.
41
42  * gpg: Default keyring is now created with a .kbx suffix.
43
44  * gpg: Add a shortcut to the key capabilies menu (e.g. "=e" sets the
45    encryption capabilities).
46
47  * gpg: Fixed obsolete options parsing.
48
49  * Further improvements for the alternative speedo build system.
50
51
52  [Noteworthy changes in version 2.1.0-beta834 (2014-09-18)]
53
54  * gpg: Improved passphrase caching.
55
56  * gpg: Switched to algorithm number 22 for EdDSA.
57
58  * gpg: Removed CAST5 from the default preferences.
59
60  * gpg: Order SHA-1 last in the hash preferences.
61
62  * gpg: Changed default cipher for --symmetric to AES-128.
63
64  * gpg: Fixed export of ECC keys and import of EdDSA keys.
65
66  * dirmngr: Fixed the KS_FETCH command.
67
68  * The speedo build system now downloads related packages and works
69    for non-Windows platforms.
70
71
72  [Noteworthy changes in version 2.1.0-beta783 (2014-08-14)]
73
74  * gpg: Add command --quick-gen-key.
75
76  * gpg: Make --quick-sign-key promote local key signatures.
77
78  * gpg: Added "show-usage" sub-option to --list-options.
79
80  * gpg: Screen keyserver responses to avoid importing unwanted keys
81    from rogue servers.
82
83  * gpg: Removed the option --pgp2 and --rfc1991 and the ability to
84    create PGP-2 compatible messages.
85
86  * gpg: Removed options --compress-keys and --compress-sigs.
87
88  * gpg: Cap attribute packets at 16MB.
89
90  * gpg: Improved output of --list-packets.
91
92  * gpg: Make with-colons output of --search-keys work again.
93
94  * gpgsm: Auto-create the ".gnupg" directory like gpg does.
95
96  * agent: Fold new passphrase warning prompts into one.
97
98  * scdaemon: Add support for the Smartcard-HSM card.
99
100  * scdaemon: Remove the use of the pcsc-wrapper.
101
102
103  [Noteworthy changes in version 2.1.0-beta751 (2014-07-03)]
104
105  * gpg: Create revocation certificates during key generation.
106
107  * gpg: Create exported secret keys and revocation certifciates with
108    mode 0700
109
110  * gpg: The validity of user ids is now shown by default.  To revert
111    this add "list-options no-show-uid-validity" to gpg.conf.
112
113  * gpg: Make export of secret keys work again.
114
115  * gpg: The output of --list-packets does now print the offset of the
116    packet and information about the packet header.
117
118  * gpg: Avoid DoS due to garbled compressed data packets. [CVE-2014-4617]
119
120  * gpg: Print more specific reason codes with the INV_RECP status.
121
122  * gpg: Cap RSA and Elgamal keysize at 4096 bit also for unattended
123    key generation.
124
125  * scdaemon: Support reader Gemalto IDBridge CT30 and pinpad of SCT
126    cyberJack go.
127
128  * The speedo build system has been improved.  It is now also possible
129    to build a partly working installer for Windows.
130
131
132  [Noteworthy changes in version 2.1.0-beta442 (2014-06-05)]
133
134  * gpg: Changed the format of key listings.  To revert to the old
135    format the option --legacy-list-mode is available.
136
137  * gpg: Add experimental signature support using curve Ed25519 and
138    with a patched Libgcrypt also encryption support with Curve25519.
139    [Update: this encryption support has been removed from 2.1.0 until
140    we have agreed on a suitable format.]
141
142  * gpg: Allow use of Brainpool curves.
143
144  * gpg: Accepts a space separated fingerprint as user ID.  This
145    allows to copy and paste the fingerprint from the key listing.
146
147  * gpg: The hash algorithm is now printed for signature records in key
148    listings.
149
150  * gpg: Reject signatures made using the MD5 hash algorithm unless the
151    new option --allow-weak-digest-algos or --pgp2 are given.
152
153  * gpg: Print a warning if the Gnome-Keyring-Daemon intercepts the
154    communication with the gpg-agent.
155
156  * gpg: New option --pinentry-mode.
157
158  * gpg: Fixed decryption using an OpenPGP card.
159
160  * gpg: Fixed bug with deeply nested compressed packets.
161
162  * gpg: Only the major version number is by default included in the
163    armored output.
164
165  * gpg: Do not create a trustdb file if --trust-model=always is used.
166
167  * gpg: Protect against rogue keyservers sending secret keys.
168
169  * gpg: The format of the fallback key listing ("gpg KEYFILE") is now
170    more aligned to the regular key listing ("gpg -k").
171
172  * gpg: The option--show-session-key prints its output now before the
173    decryption of the bulk message starts.
174
175  * gpg: New %U expando for the photo viewer.
176
177  * gpg,gpgsm: New option --with-secret.
178
179  * gpgsm: By default the users are now asked via the Pinentry whether
180    they trust an X.509 root key.  To prohibit interactive marking of
181    such keys, the new option --no-allow-mark-trusted may be used.
182
183  * gpgsm: New commands to export a secret RSA key in PKCS#1 or PKCS#8
184    format.
185
186  * gpgsm: Improved handling of re-issued CA certificates.
187
188  * agent: The included ssh agent does now support ECDSA keys.
189
190  * agent: New option --enable-putty-support to allow gpg-agent on
191    Windows to act as a Pageant replacement with full smartcard support.
192
193  * scdaemon: New option --enable-pinpad-varlen.
194
195  * scdaemon: Various fixes for pinpad equipped card readers.
196
197  * scdaemon: Rename option --disable-pinpad (was --disable-keypad).
198
199  * scdaemon: Better support fo CCID readers.  Now, internal CCID
200    driver supports readers with no auto configuration feature.
201
202  * dirmngr: Removed support for the original HKP keyserver which is
203    not anymore used by any site.
204
205  * dirmngr: Improved support for keyserver pools.
206
207  * tools: New option --dirmngr for gpg-connect-agent.
208
209  * The GNU Pth library has been replaced by the new nPth library.
210
211  * Support installation as portable application under Windows.
212
213  * All kind of other improvements - see the git log.
214
215
216  [Noteworthy changes in version 2.1.0beta3 (2011-12-20)]
217
218  * gpg: Fixed regression in the secret key export function.
219
220  * gpg: Allow generation of card keys up to 4096 bit.
221
222  * gpgsm: Preliminary support for the validation model "steed".
223
224  * gpgsm: Improved certificate creation.
225
226  * agent: Support the SSH confirm flag.
227
228  * agent: New option to select a passphrase mode.  The loopback
229    mode may be used to bypass Pinentry.
230
231  * agent: The Assuan commands KILLAGENT and KILLSCD are working again.
232
233  * scdaemon: Does not anymore block after changing a card (regression
234    fix).
235
236  * tools: gpg-connect-agent does now proberly display the help output
237    for "SCD HELP" commands.
238
239
240  [Noteworthy changes in version 2.1.0beta2 (2011-03-08)]
241
242  * gpg: ECC support as described by draft-jivsov-openpgp-ecc-06.txt
243    [Update: now known as RFC-6637].
244
245  * gpg: Print "AES128" instead of "AES".  This change introduces a
246    little incompatibility for tools using "gpg --list-config".  We
247    hope that these tools are written robust enough to accept this new
248    algorithm name as well.
249
250  * gpgsm: New feature to create certificates from a parameter file.
251    Add prompt to the --gen-key UI to create self-signed certificates.
252
253  * agent: TMPDIR is now also honored when creating a socket using
254    the --no-standard-socket option and with symcryptrun's temp files.
255
256  * scdaemon: Fixed a bug where scdaemon sends a signal to gpg-agent
257    running in non-daemon mode.
258
259  * dirmngr: Fixed CRL loading under W32 (bug#1010).
260
261  * Dirmngr has taken over the function of the keyserver helpers.  Thus
262    we now have a specified direct interface to keyservers via Dirmngr.
263    LDAP, DNS and mail backends are not yet implemented.
264
265  * Fixed TTY management for pinentries and session variable update
266    problem.
267
268
269  [Noteworthy changes in version 2.1.0beta1 (2010-10-26)]
270
271  * gpg: secring.gpg is not anymore used but all secret key operations
272    are delegated to gpg-agent.  The import command moves secret keys
273    to the agent.
274
275  * gpg: The OpenPGP import command is now able to merge secret keys.
276
277  * gpg: Encrypted OpenPGP messages with trailing data (e.g. other
278    OpenPGP packets) are now correctly parsed.
279
280  * gpg: Given sufficient permissions Dirmngr is started automagically.
281
282  * gpg: Fixed output of "gpgconf --check-options".
283
284  * gpg: Removed options --export-options(export-secret-subkey-passwd)
285    and --simple-sk-checksum.
286
287  * gpg: New options --try-secret-key.
288
289  * gpg: Support DNS lookups for SRV, PKA and CERT on W32.
290
291  * gpgsm: The --audit-log feature is now more complete.
292
293  * gpgsm: The default for --include-cert is now to include all
294    certificates in the chain except for the root certificate.
295
296  * gpgsm: New option --ignore-cert-extension.
297
298  * g13: The G13 tool for disk encryption key management has been
299    added.
300
301  * agent: If the agent's --use-standard-socket option is active, all
302    tools try to start and daemonize the agent on the fly.  In the past
303    this was only supported on W32; on non-W32 systems the new
304    configure option --disable-standard-socket may now be used to
305    disable this new default.
306
307  * agent: New and changed passphrases are now created with an
308    iteration count requiring about 100ms of CPU work.
309
310  * dirmngr: Dirmngr is now a part of this package.  It is now also
311    expected to run as a system service and the configuration
312    directories are changed to the GnuPG name space. [Update: 2.1.0
313    starts dirmngr on demand as user daemon.]
314
315  * Support for Windows CE. [Update: This has not been tested for the
316    2.1.0 release]
317
318  * Numerical values may now be used as an alternative to the
319    debug-level keywords.
320
321
322 Noteworthy changes in version 2.0.13 (2009-09-04)
323 -------------------------------------------------
324
325  * GPG now generates 2048 bit RSA keys by default.  The default hash
326    algorithm preferences has changed to prefer SHA-256 over SHA-1.
327    2048 bit DSA keys are now generated to use a 256 bit hash algorithm
328
329  * The envvars XMODIFIERS, GTK_IM_MODULE and QT_IM_MODULE are now
330    passed to the Pinentry to make SCIM work.
331
332  * The GPGSM command --gen-key features a --batch mode and implements
333    all features of gpgsm-gencert.sh in standard mode.
334
335  * New option --re-import for GPGSM's IMPORT server command.
336
337  * Enhanced writing of existing keys to OpenPGP v2 cards.
338
339  * Add hack to the internal CCID driver to allow the use of some
340    Omnikey based card readers with 2048 bit keys.
341
342  * GPG now repeatly asks the user to insert the requested OpenPGP
343    card.  This can be disabled with --limit-card-insert-tries=1.
344
345  * Minor bug fixes.
346
347
348 Noteworthy changes in version 2.0.12 (2009-06-17)
349 -------------------------------------------------
350
351  * GPGSM now always lists ephemeral certificates if specified by
352    fingerprint or keygrip.
353
354  * New command "KEYINFO" for GPG_AGENT.  GPGSM now also returns
355    information about smartcards.
356
357  * Made sure not to leak file descriptors if running gpg-agent with a
358    command.  Restore the signal mask to solve a problem in Mono.
359
360  * Changed order of the confirmation questions for root certificates
361    and store negative answers in trustlist.txt.
362
363  * Better synchronization of concurrent smartcard sessions.
364
365  * Support 2048 bit OpenPGP cards.
366
367  * Support Telesec Netkey 3 cards.
368
369  * The gpg-protect-tool now uses gpg-agent via libassuan.  Under
370    Windows the Pinentry will now be put into the foreground.
371
372  * Changed code to avoid a possible Mac OS X system freeze.
373
374
375 Noteworthy changes in version 2.0.11 (2009-03-03)
376 -------------------------------------------------
377
378  * Fixed a problem in SCDAEMON which caused unexpected card resets.
379
380  * SCDAEMON is now aware of the Geldkarte.
381
382  * The SCDAEMON option --allow-admin is now used by default.
383
384  * GPGCONF now restarts SCdaemon if necessary.
385
386  * The default cipher algorithm in GPGSM is now again 3DES.  This is
387    due to interoperability problems with Outlook 2003 which still
388    can't cope with AES.
389
390
391 Noteworthy changes in version 2.0.10 (2009-01-12)
392 -------------------------------------------------
393
394  * [gpg] New keyserver helper gpg2keys_kdns as generic DNS CERT
395    lookup.  Run with --help for a short description.  Requires the
396    ADNS library.
397
398  * [gpg] New mechanisms "local" and "nodefault" for --auto-key-locate.
399    Fixed a few problems with this option.
400
401  * [gpg] New command --locate-keys.
402
403  * [gpg] New options --with-sig-list and --with-sig-check.
404
405  * [gpg] The option "-sat" is no longer an alias for --clearsign.
406
407  * [gpg] The option --fixed-list-mode is now implicitly used and obsolete.
408
409  * [gpg] New control statement %ask-passphrase for the unattended key
410    generation.
411
412  * [gpg] The algorithm to compute the SIG_ID status has been changed.
413
414  * [gpgsm] Now uses AES by default.
415
416  * [gpgsm] Made --output option work with --export-secret-key-p12.
417
418  * [gpg-agent] Terminate process if the own listening socket is not
419    anymore served by ourself.
420
421  * [scdaemon] Made it more robust on W32.
422
423  * [gpg-connect-agent] Accept commands given as command line arguments.
424
425  * [w32] Initialized the socket subsystem for all keyserver helpers.
426
427  * [w32] The sysconf directory has been moved from a subdirectory of
428    the installation directory to %CSIDL_COMMON_APPDATA%/GNU/etc/gnupg.
429
430  * [w32] The gnupg2.nls directory is not anymore used.  The standard
431    locale directory is now used.
432
433  * [w32] Fixed a race condition between gpg and gpgsm in the use of
434    temporary file names.
435
436  * The gpg-preset-passphrase mechanism works again.  An arbitrary
437    string may now be used for a custom cache ID.
438
439  * Admin PINs are cached again (bug in 2.0.9).
440
441  * Support for version 2 OpenPGP cards.
442
443  * Libgcrypt 1.4 is now required.
444
445
446 Noteworthy changes in version 2.0.9 (2008-03-26)
447 ------------------------------------------------
448
449  * Gpgsm always tries to locate missing certificates from a running
450    Dirmngr's cache.
451
452  * Tweaks for Windows.
453
454  * The Admin PIN for OpenPGP cards may now be entered with the pinpad.
455
456  * Improved certificate chain construction.
457
458  * Extended the PKITS framework.
459
460  * Fixed a bug in the ambigious name detection.
461
462  * Fixed possible memory corruption while importing OpenPGP keys (bug
463    introduced with 2.0.8). [CVE-2008-1530]
464
465  * Minor bug fixes.
466
467
468 Noteworthy changes in version 2.0.8 (2007-12-20)
469 ------------------------------------------------
470
471  * Enhanced gpg-connect-agent with a small scripting language.
472
473  * New option --list-config for gpgconf.
474
475  * Fixed a crash in gpgconf.
476
477  * Gpg-agent now supports the passphrase quality bar of the latest
478    Pinentry.
479
480  * The envvars XAUTHORITY and PINENTRY_USER_DATA are now passed to the
481    Pinentry.
482
483  * Fixed the auto creation of the key stub for smartcards.
484
485  * Fixed a rare bug in decryption using the OpenPGP card.
486
487  * Creating DSA2 keys is now possible.
488
489  * New option --extra-digest-algo for gpgsm to allow verification of
490    broken signatures.
491
492  * Allow encryption with legacy Elgamal sign+encrypt keys with option
493    --rfc2440.
494
495  * Windows is now a supported platform.
496
497  * Made sure that under Windows the file permissions of the socket are
498    taken into account.  This required a change of our socket emulation
499    code and changed the IPC protocol under Windows.
500
501
502 Noteworthy changes in version 2.0.7 (2007-09-10)
503 ------------------------------------------------
504
505  * Fixed encryption problem if duplicate certificates are in the
506    keybox.
507
508  * Made it work on Windows Vista.  Note that the entire Windows port
509    is still considered Beta.
510
511  * Add new options min-passphrase-nonalpha, check-passphrase-pattern,
512    enforce-passphrase-constraints and max-passphrase-days to
513    gpg-agent.
514
515  * Add command --check-components to gpgconf.  Gpgconf now uses the
516    installed versions of the programs and does not anymore search via
517    PATH for them.
518
519
520 Noteworthy changes in version 2.0.6 (2007-08-16)
521 ------------------------------------------------
522
523  * GPGSM does now grok --default-key.
524
525  * GPGCONF is now aware of --default-key and --encrypt-to.
526
527  * GPGSM does again correctly print the serial number as well the the
528    various keyids.  This was broken since 2.0.4.
529
530  * New option --validation-model and support for the chain-model.
531
532  * Improved Windows support.
533
534
535 Noteworthy changes in version 2.0.5 (2007-07-05)
536 ------------------------------------------------
537
538  * Switched license to GPLv3.
539
540  * Basic support for Windows.  Run "./autogen.sh --build-w32" to build
541    it.  As usual the mingw cross compiling toolchain is required.
542
543  * Fixed bug when using the --p12-charset without --armor.
544
545  * The command --gen-key may now be used instead of the
546    gpgsm-gencert.sh script.
547
548  * Changed key generation to reveal less information about the
549    machine.  Bug fixes for gpg2's card key generation.
550
551
552 Noteworthy changes in version 2.0.4 (2007-05-09)
553 ------------------------------------------------
554
555  * The server mode key listing commands are now also working for
556    systems without the funopen/fopencookie API.
557
558  * PKCS#12 import now tries several encodings in case the passphrase
559    was not utf-8 encoded.  New option --p12-charset for gpgsm.
560
561  * Improved the libgcrypt logging support in all modules.
562
563
564 Noteworthy changes in version 2.0.3 (2007-03-08)
565 ------------------------------------------------
566
567  * By default, do not allow processing multiple plaintexts in a single
568    stream.  Many programs that called GnuPG were assuming that GnuPG
569    did not permit this, and were thus not using the plaintext boundary
570    status tags that GnuPG provides.  This change makes GnuPG reject
571    such messages by default which makes those programs safe again.
572    --allow-multiple-messages returns to the old behavior. [CVE-2007-1263].
573
574  * New --verify-option show-primary-uid-only.
575
576  * gpgconf may now reads a global configuration file to select which
577    options are changeable by a frontend.  The new applygnupgdefaults
578    tool may be used by an admin to set default options for all users.
579
580  * The PIN pad of the Cherry XX44 keyboard is now supported.  The
581    DINSIG and the NKS applications are now also aware of PIN pads.
582
583
584 Noteworthy changes in version 2.0.2 (2007-01-31)
585 ------------------------------------------------
586
587  * Fixed a serious and exploitable bug in processing encrypted
588    packages. [CVE-2006-6235].
589
590  * Added --passphrase-repeat to set the number of times GPG will
591    prompt for a new passphrase to be repeated.  This is useful to help
592    memorize a new passphrase.  The default is 1 repetition.
593
594  * Using a PIN pad does now also work for the signing key.
595
596  * A warning is displayed by gpg-agent if a new passphrase is too
597    short.  New option --min-passphrase-len defaults to 8.
598
599  * The status code BEGIN_SIGNING now shows the used hash algorithms.
600
601
602 Noteworthy changes in version 2.0.1 (2006-11-28)
603 ------------------------------------------------
604
605  * Experimental support for the PIN pads of the SPR 532 and the Kaan
606    Advanced card readers.  Add "disable-keypad" scdaemon.conf if you
607    don't want it.  Does currently only work for the OpenPGP card and
608    its authentication and decrypt keys.
609
610  * Fixed build problems on some some platforms and crashes on amd64.
611
612  * Fixed a buffer overflow in gpg2. [bug#728,CVE-2006-6169]
613
614
615 Noteworthy changes in version 2.0.0 (2006-11-11)
616 ------------------------------------------------
617
618  * First stable version of a GnuPG integrating OpenPGP and S/MIME.
619
620
621 Noteworthy changes in version 1.9.95 (2006-11-06)
622 -------------------------------------------------
623
624  * Minor bug fixes.
625
626
627 Noteworthy changes in version 1.9.94 (2006-10-24)
628 -------------------------------------------------
629
630  * Keys for gpgsm may now be specified using a keygrip.  A keygrip is
631    indicated by a prefixing it with an ampersand.
632
633  * gpgconf now supports switching the CMS cipher algo (e.g. to AES).
634
635  * New command --gpgconf-test for all major tools. This may be used to
636    check whether the configuration file is sane.
637
638
639 Noteworthy changes in version 1.9.93 (2006-10-18)
640 -------------------------------------------------
641
642  * In --with-validation mode gpgsm will now also ask whether a root
643    certificate should be trusted.
644
645  * Link to Pth only if really necessary.
646
647  * Fixed a pubring corruption bug in gpg2 occurring when importing
648    signatures or keys with insane lengths.
649
650  * Fixed v3 keyID calculation bug in gpg2.
651
652  * More tweaks for certificates without extensions.
653
654
655 Noteworthy changes in version 1.9.92 (2006-10-11)
656 -------------------------------------------------
657
658  * Bug fixes.
659
660
661 Noteworthy changes in version 1.9.91 (2006-10-04)
662 -------------------------------------------------
663
664  * New "relax" flag for trustlist.txt to allow root CA certificates
665    without BasicContraints.
666
667  * [gpg2] Removed the -k PGP 2 compatibility hack.  -k is now an
668    alias for --list-keys.
669
670  * [gpg2] Print a warning if "-sat" is used instead of "--clearsign".
671
672
673 Noteworthy changes in version 1.9.90 (2006-09-25)
674 -------------------------------------------------
675
676  * Made readline work for gpg.
677
678  * Cleanups und minor bug fixes.
679
680  * Included translations from gnupg 1.4.5.
681
682
683 Noteworthy changes in version 1.9.23 (2006-09-18)
684 -------------------------------------------------
685
686  * Regular man pages for most tools are now build directly from the
687    Texinfo source.
688
689  * The gpg code from 1.4.5 has been fully merged into this release.
690    The configure option --enable-gpg is still required to build this
691    gpg part.  For production use of OpenPGP the gpg version 1.4.5 is
692    still recommended.  Note, that gpg will be installed under the name
693    gpg2 to allow coexisting with an 1.4.x gpg.
694
695  * API change in gpg-agent's pkdecrypt command.  Thus an older gpgsm
696    may not be used with the current gpg-agent.
697
698  * The scdaemon will now call a script on reader status changes.
699
700  * gpgsm now allows file descriptor passing for "INPUT", "OUTPUT" and
701    "MESSAGE".
702
703  * The gpgsm server may now output a key listing to the output file
704    handle. This needs to be enabled using "OPTION list-to-output=1".
705
706  * The --output option of gpgsm has now an effect on list-keys.
707
708  * New gpgsm commands --dump-chain and list-chain.
709
710  * gpg-connect-agent has new options to utilize descriptor passing.
711
712  * A global trustlist may now be used.  See doc/examples/trustlist.txt.
713
714  * When creating a new pubring.kbx keybox common certificates are
715    imported.
716
717
718 Noteworthy changes in version 1.9.22 (2006-07-27)
719 -------------------------------------------------
720
721  * Enhanced pkcs#12 support to allow import from simple keyBags.
722
723  * Exporting to pkcs#12 now create bag attributes so that Mozilla is
724    able to import the files.
725
726  * Fixed uploading of certain keys to the smart card.
727
728
729 Noteworthy changes in version 1.9.21 (2006-06-20)
730 -------------------------------------------------
731
732  * New command APDU for scdaemon to allow using it for general card
733    access.  Might be used through gpg-connect-agent by using the SCD
734    prefix command.
735
736  * Support for the CardMan 4040 PCMCIA reader (Linux 2.6.15 required).
737
738  * Scdaemon does not anymore reset cards at the end of a connection.
739
740  * Kludge to allow use of Bundesnetzagentur issued X.509 certificates.
741
742  * Added --hash=xxx option to scdaemon's PKSIGN command.
743
744  * Pkcs#12 files are now created with a MAC.  This is for better
745    interoperability.
746
747  * Collected bug fixes and minor other changes.
748
749
750 Noteworthy changes in version 1.9.20 (2005-12-20)
751 -------------------------------------------------
752
753  * Importing pkcs#12 files created be recent versions of Mozilla works
754    again.
755
756  * Basic support for qualified signatures.
757
758  * New debug tool gpgparsemail.
759
760
761 Noteworthy changes in version 1.9.19 (2005-09-12)
762 -------------------------------------------------
763
764  * The Belgian eID card is now supported for signatures and ssh.
765    Other pkcs#15 cards should work as well.
766
767  * Fixed bug in --export-secret-key-p12 so that certificates are again
768    included.
769
770
771 Noteworthy changes in version 1.9.18 (2005-08-01)
772 -------------------------------------------------
773
774  * [gpgsm] Now allows for more than one email address as well as URIs
775    and dnsNames in certificate request generation.  A keygrip may be
776    given to create a request from an existing key.
777
778  * A couple of minor bug fixes.
779
780
781 Noteworthy changes in version 1.9.17 (2005-06-20)
782 -------------------------------------------------
783
784  * gpg-connect-agent has now features to handle Assuan INQUIRE
785    commands.
786
787  * Internal changes for OpenPGP cards. New Assuan command WRITEKEY.
788
789  * GNU Pth is now a hard requirement.
790
791  * [scdaemon] Support for OpenSC has been removed.  Instead a new and
792    straightforward pkcs#15 modules has been written.  As of now it
793    does allows only signing using TCOS cards but we are going to
794    enhance it to match all the old capabilities.
795
796  * [gpg-agent] New option --write-env-file and Assuan command
797    UPDATESTARTUPTTY.
798
799  * [gpg-agent] New option --default-cache-ttl-ssh to set the TTL for
800    SSH passphrase caching independent from the other passphrases.
801
802
803 Noteworthy changes in version 1.9.16 (2005-04-21)
804 -------------------------------------------------
805
806  * gpg-agent does now support the ssh-agent protocol and thus allows
807    to use the pinentry as well as the OpenPGP smartcard with ssh.
808
809  * New tool gpg-connect-agent as a general client for the gpg-agent.
810
811  * New tool symcryptrun as a wrapper for certain encryption tools.
812
813  * The gpg tool is not anymore build by default because those gpg
814    versions available in the gnupg 1.4 series are far more matured.
815
816
817 Noteworthy changes in version 1.9.15 (2005-01-13)
818 -------------------------------------------------
819
820  * Fixed passphrase caching bug.
821
822  * Better support for CCID readers; the reader from Cherry RS 6700 USB
823    does now work.
824
825
826 Noteworthy changes in version 1.9.14 (2004-12-22)
827 -------------------------------------------------
828
829  * [gpg-agent] New option --use-standard-socket to allow the use of a
830    fixed socket.  gpgsm falls back to this socket if GPG_AGENT_INFO
831    has not been set.
832
833  * Ported to MS Windows with some functional limitations.
834
835  * New tool gpg-preset-passphrase.
836
837
838 Noteworthy changes in version 1.9.13 (2004-12-03)
839 -------------------------------------------------
840
841  * [gpgsm] New option --prefer-system-dirmngr.
842
843  * Minor cleanups and debugging aids.
844
845
846 Noteworthy changes in version 1.9.12 (2004-10-22)
847 -------------------------------------------------
848
849  * [scdaemon] Partly rewrote the PC/SC code.
850
851  * Removed the sc-investigate tool.  It is now in a separate package
852    available at ftp://ftp.g10code.com/g10code/gscutils/ .
853
854  * [gpg-agent] Fixed logging problem.
855
856
857 Noteworthy changes in version 1.9.11 (2004-10-01)
858 -------------------------------------------------
859
860  * When using --import along with --with-validation, the imported
861    certificates are validated and only imported if they are fully
862    valid.
863
864  * [gpg-agent] New option --max-cache-ttl.
865
866  * [gpg-agent] When used without --daemon or --server, gpg-agent now
867    check whether a agent is already running and usable.
868
869  * Fixed some i18n problems.
870
871
872 Noteworthy changes in version 1.9.10 (2004-07-22)
873 -------------------------------------------------
874
875  * Fixed a serious bug in the checking of trusted root certificates.
876
877  * New configure option --enable-agent-pnly allows to build and
878    install just the agent.
879
880  * Fixed a problem with the log file handling.
881
882
883 Noteworthy changes in version 1.9.9 (2004-06-08)
884 ------------------------------------------------
885
886  * [gpg-agent] The new option --allow-mark-trusted is now required to
887    allow gpg-agent to add a key to the trustlist.txt after user
888    confirmation.
889
890  * Creating PKCS#10 requests does now honor the key usage.
891
892
893 Noteworthy changes in version 1.9.8 (2004-04-29)
894 ------------------------------------------------
895
896  * [scdaemon] Overhauled the internal CCID driver.
897
898  * [scdaemon] Status files named ~/.gnupg/reader_<n>.status are now
899    written when using the internal CCID driver.
900
901  * [gpgsm] New commands --dump-{,secret,external}-keys to show a very
902    detailed view of the certificates.
903
904  * The keybox gets now compressed after 3 hours and ephemeral
905    stored certificates are deleted after about a day.
906
907  * [gpg] Usability fixes for --card-edit.  Note, that this has already
908    been ported back to gnupg-1.3
909
910
911 Noteworthy changes in version 1.9.7 (2004-04-06)
912 ------------------------------------------------
913
914  * Instrumented the modules for gpgconf.
915
916  * Added support for DINSIG card applications.
917
918  * Include the smimeCapabilities attribute with signed messages.
919
920  * Now uses the gettext domain "gnupg2" to avoid conflicts with gnupg
921    versions < 1.9.
922
923
924 Noteworthy changes in version 1.9.6 (2004-03-06)
925 ------------------------------------------------
926
927  * Code cleanups and bug fixes.
928
929
930 Noteworthy changes in version 1.9.5 (2004-02-21)
931 ------------------------------------------------
932
933  * gpg-protect-tool gets now installed into libexec as it ought to be.
934    Cleaned up the build system to better comply with the coding
935    standards.
936
937  * [gpgsm] The --import command is now able to autodetect pkcs#12
938    files and import secret and private keys from this file format.
939    A new command --export-secret-key-p12 is provided to allow
940    exporting of secret keys in PKCS\#12 format.
941
942  * [gpgsm] The pinentry will now present a description of the key for
943    whom the passphrase is requested.
944
945  * [gpgsm] New option --with-validation to check the validity of key
946    while listing it.
947
948  * New option --debug-level={none,basic,advanced,expert,guru} to map
949    the debug flags to sensitive levels on a per program base.
950
951
952 Noteworthy changes in version 1.9.4 (2004-01-30)
953 ------------------------------------------------
954
955  * Added support for the Telesec NKS 2.0 card application.
956
957  * Added simple tool addgnupghome to create .gnupg directories from
958    /etc/skel/.gnupg.
959
960  * Various minor bug fixes and cleanups; mainly gpgsm and gpg-agent
961    related.
962
963
964 Noteworthy changes in version 1.9.3 (2003-12-23)
965 ------------------------------------------------
966
967  * New gpgsm options --{enable,disable}-ocsp to validate keys using
968    OCSP. This option requires a not yet released DirMngr version.
969    Default is disabled.
970
971  * The --log-file option may now be used to print logs to a socket.
972    Prefix the socket name with "socket://" to enable this.  This does
973    not work on all systems and falls back to stderr if there is a
974    problem with the socket.
975
976  * The options --encrypt-to and --no-encrypt-to now work the same in
977    gpgsm as in gpg.  Note, they are also used in server mode.
978
979  * Duplicated recipients are now silently removed in gpgsm.
980
981
982 Noteworthy changes in version 1.9.2 (2003-11-17)
983 ------------------------------------------------
984
985  * On card key generation is no longer done using the --gen-key
986    command but from the menu provided by the new --card-edit command.
987
988  * PINs are now properly cached and there are only 2 PINs visible.
989    The 3rd PIN (CHV2) is internally syncronized with the regular PIN.
990
991  * All kind of other internal stuff.
992
993
994 Noteworthy changes in version 1.9.1 (2003-09-06)
995 ------------------------------------------------
996
997  * Support for OpenSC is back. scdaemon supports a --disable-opensc to
998    disable OpenSC use at runtime, so that PC/SC or ct-API can still be
999    used directly.
1000
1001  * Rudimentary support for the SCR335 smartcard reader using an
1002    internal driver.  Requires current libusb from CVS.
1003
1004  * Bug fixes.
1005
1006
1007 Noteworthy changes in version 1.9.0 (2003-08-05)
1008 ------------------------------------------------
1009
1010       ====== PLEASE SEE README-alpha =======
1011
1012  * gpg has been renamed to gpg2 and gpgv to gpgv2.  This is a
1013    temporary change to allow co-existing with stable gpg versions.
1014
1015  * ~/.gnupg/gpg.conf-1.9.0 is fist tried as config file before the
1016    usual gpg.conf.
1017
1018  * Removed the -k, -kv and -kvv commands.  -k is now an alias to
1019    --list-keys.  New command -K as alias for --list-secret-keys.
1020
1021  * Removed --run-as-shm-coprocess feature.
1022
1023  * gpg does now also use libgcrypt, libgpg-error is required.
1024
1025  * New gpgsm commands --call-dirmngr and --call-protect-tool.
1026
1027  * Changing a passphrase is now possible using "gpgsm --passwd"
1028
1029  * The content-type attribute is now recognized and created.
1030
1031  * The agent does now reread certain options on receiving a HUP.
1032
1033  * The pinentry is now forked for each request so that clients with
1034    different environments are supported.  When running in daemon mode
1035    and --keep-display is not used the DISPLAY variable is ignored.
1036
1037  * Merged stuff from the newpg branch and started this new
1038    development branch.
1039
1040
1041  Copyright 2002, 2003, 2004, 2005, 2006, 2007,
1042            2008, 2009, 2010, 2011  Free Software Foundation, Inc.
1043
1044  This file is free software; as a special exception the author gives
1045  unlimited permission to copy and/or distribute it, with or without
1046  modifications, as long as this notice is preserved.
1047
1048  This file is distributed in the hope that it will be useful, but
1049  WITHOUT ANY WARRANTY, to the extent permitted by law; without even the
1050  implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.