Add more passphrase policy rules.
[gnupg.git] / NEWS
1 Noteworthy changes in version 2.0.7
2 ------------------------------------------------
3
4  * Fixed encryption problem if duplicate certificates are in the
5    keybox.
6
7  * Made it work on Windows Vista.  Note that the entire Windows port
8    is still considered Beta.
9
10  * Add new options min-passphrase-nonalpha, check-passphrase-pattern,
11    enforce-passphrase-constraints and max-passphrase-days to
12    gpg-agent.
13
14
15 Noteworthy changes in version 2.0.6 (2007-08-16)
16 ------------------------------------------------
17
18  * GPGSM does now grok --default-key.
19
20  * GPGCONF is now aware of --default-key and --encrypt-to. 
21
22  * GPGSM does again correctly print the serial number as well the the
23    various keyids.  This was broken since 2.0.4.
24
25  * New option --validation-model and support for the chain-model.
26
27  * Improved Windows support.
28
29  
30 Noteworthy changes in version 2.0.5 (2007-07-05)
31 ------------------------------------------------
32
33  * Switched license to GPLv3.
34
35  * Basic support for Windows.  Run "./autogen.sh --build-w32" to build
36    it.  As usual the mingw cross compiling toolchain is required.
37
38  * Fixed bug when using the --p12-charset without --armor.
39
40  * The command --gen-key may now be used instead of the
41    gpgsm-gencert.sh script.
42
43  * Changed key generation to reveal less information about the
44    machine.  Bug fixes for gpg2's card key generation.
45
46
47 Noteworthy changes in version 2.0.4 (2007-05-09)
48 ------------------------------------------------
49
50  * The server mode key listing commands are now also working for
51    systems without the funopen/fopencookie API.
52
53  * PKCS#12 import now tries several encodings in case the passphrase
54    was not utf-8 encoded.  New option --p12-charset for gpgsm.
55
56  * Improved the libgcrypt logging support in all modules.
57
58
59 Noteworthy changes in version 2.0.3 (2007-03-08)
60 ------------------------------------------------
61
62  * By default, do not allow processing multiple plaintexts in a single
63    stream.  Many programs that called GnuPG were assuming that GnuPG
64    did not permit this, and were thus not using the plaintext boundary
65    status tags that GnuPG provides.  This change makes GnuPG reject
66    such messages by default which makes those programs safe again.
67    --allow-multiple-messages returns to the old behavior. [CVE-2007-1263].
68
69  * New --verify-option show-primary-uid-only. 
70
71  * gpgconf may now reads a global configuration file to select which
72    options are changeable by a frontend.  The new applygnupgdefaults
73    tool may be used by an admin to set default options for all users.
74
75  * The PIN pad of the Cherry XX44 keyboard is now supported.  The
76    DINSIG and the NKS applications are now also aware of PIN pads.
77
78
79 Noteworthy changes in version 2.0.2 (2007-01-31)
80 ------------------------------------------------
81
82  * Fixed a serious and exploitable bug in processing encrypted
83    packages. [CVE-2006-6235].
84
85  * Added --passphrase-repeat to set the number of times GPG will
86    prompt for a new passphrase to be repeated.  This is useful to help
87    memorize a new passphrase.  The default is 1 repetition.
88
89  * Using a PIN pad does now also work for the signing key.
90
91  * A warning is displayed by gpg-agent if a new passphrase is too
92    short.  New option --min-passphrase-len defaults to 8.
93
94  * The status code BEGIN_SIGNING now shows the used hash algorithms.
95
96
97 Noteworthy changes in version 2.0.1 (2006-11-28)
98 ------------------------------------------------
99
100  * Experimental support for the PIN pads of the SPR 532 and the Kaan
101    Advanced card readers.  Add "disable-keypad" scdaemon.conf if you
102    don't want it.  Does currently only work for the OpenPGP card and
103    its authentication and decrypt keys.
104
105  * Fixed build problems on some some platforms and crashes on amd64.
106
107  * Fixed a buffer overflow in gpg2. [bug#728,CVE-2006-6169]
108
109
110 Noteworthy changes in version 2.0.0 (2006-11-11)
111 ------------------------------------------------
112
113  * First stable version of a GnuPG integrating OpenPGP and S/MIME.
114
115
116 Noteworthy changes in version 1.9.95 (2006-11-06)
117 -------------------------------------------------
118
119  * Minor bug fixes.
120
121
122 Noteworthy changes in version 1.9.94 (2006-10-24)
123 -------------------------------------------------
124
125  * Keys for gpgsm may now be specified using a keygrip.  A keygrip is
126    indicated by a prefixing it with an ampersand.
127
128  * gpgconf now supports switching the CMS cipher algo (e.g. to AES).
129
130  * New command --gpgconf-test for all major tools. This may be used to
131    check whether the configuration file is sane.
132
133
134 Noteworthy changes in version 1.9.93 (2006-10-18)
135 -------------------------------------------------
136
137  * In --with-validation mode gpgsm will now also ask whether a root
138    certificate should be trusted.
139
140  * Link to Pth only if really necessary.
141
142  * Fixed a pubring corruption bug in gpg2 occurring when importing
143    signatures or keys with insane lengths.
144
145  * Fixed v3 keyID calculation bug in gpg2.
146
147  * More tweaks for certificates without extensions.
148
149
150 Noteworthy changes in version 1.9.92 (2006-10-11)
151 -------------------------------------------------
152
153  * Bug fixes.
154
155
156 Noteworthy changes in version 1.9.91 (2006-10-04)
157 -------------------------------------------------
158
159  * New "relax" flag for trustlist.txt to allow root CA certificates
160    without BasicContraints.
161
162  * [gpg2] Removed the -k PGP 2 compatibility hack.  -k is now an
163    alias for --list-keys.
164
165  * [gpg2] Print a warning if "-sat" is used instead of "--clearsign".
166
167
168 Noteworthy changes in version 1.9.90 (2006-09-25)
169 -------------------------------------------------
170
171  * Made readline work for gpg.
172
173  * Cleanups und minor bug fixes.
174
175  * Included translations from gnupg 1.4.5.
176
177
178 Noteworthy changes in version 1.9.23 (2006-09-18)
179 -------------------------------------------------
180
181  * Regular man pages for most tools are now build directly from the
182    Texinfo source.
183
184  * The gpg code from 1.4.5 has been fully merged into this release.
185    The configure option --enable-gpg is still required to build this
186    gpg part.  For production use of OpenPGP the gpg version 1.4.5 is
187    still recommended.  Note, that gpg will be installed under the name
188    gpg2 to allow coexisting with an 1.4.x gpg.
189
190  * API change in gpg-agent's pkdecrypt command.  Thus an older gpgsm
191    may not be used with the current gpg-agent.
192
193  * The scdaemon will now call a script on reader status changes.
194
195  * gpgsm now allows file descriptor passing for "INPUT", "OUTPUT" and
196    "MESSAGE".
197
198  * The gpgsm server may now output a key listing to the output file
199    handle. This needs to be enabled using "OPTION list-to-output=1".
200
201  * The --output option of gpgsm has now an effect on list-keys.
202
203  * New gpgsm commands --dump-chain and list-chain.
204
205  * gpg-connect-agent has new options to utilize descriptor passing.
206
207  * A global trustlist may now be used.  See doc/examples/trustlist.txt.
208
209  * When creating a new pubring.kbx keybox common certificates are
210    imported.
211
212
213 Noteworthy changes in version 1.9.22 (2006-07-27)
214 -------------------------------------------------
215
216  * Enhanced pkcs#12 support to allow import from simple keyBags.
217
218  * Exporting to pkcs#12 now create bag attributes so that Mozilla is
219    able to import the files.
220
221  * Fixed uploading of certain keys to the smart card.
222
223
224 Noteworthy changes in version 1.9.21 (2006-06-20)
225 -------------------------------------------------
226
227  * New command APDU for scdaemon to allow using it for general card
228    access.  Might be used through gpg-connect-agent by using the SCD
229    prefix command.
230
231  * Support for the CardMan 4040 PCMCIA reader (Linux 2.6.15 required).
232
233  * Scdaemon does not anymore reset cards at the end of a connection. 
234
235  * Kludge to allow use of Bundesnetzagentur issued X.509 certificates.
236
237  * Added --hash=xxx option to scdaemon's PKSIGN command.
238
239  * Pkcs#12 files are now created with a MAC.  This is for better
240    interoperability.
241
242  * Collected bug fixes and minor other changes.
243
244
245 Noteworthy changes in version 1.9.20 (2005-12-20)
246 -------------------------------------------------
247
248  * Importing pkcs#12 files created be recent versions of Mozilla works
249    again.
250
251  * Basic support for qualified signatures.
252
253  * New debug tool gpgparsemail. 
254
255
256 Noteworthy changes in version 1.9.19 (2005-09-12)
257 -------------------------------------------------
258
259  * The Belgian eID card is now supported for signatures and ssh.
260    Other pkcs#15 cards should work as well.
261
262  * Fixed bug in --export-secret-key-p12 so that certificates are again
263    included.
264
265
266 Noteworthy changes in version 1.9.18 (2005-08-01)
267 -------------------------------------------------
268
269  * [gpgsm] Now allows for more than one email address as well as URIs
270    and dnsNames in certificate request generation.  A keygrip may be
271    given to create a request from an existing key.
272
273  * A couple of minor bug fixes.
274
275
276 Noteworthy changes in version 1.9.17 (2005-06-20)
277 -------------------------------------------------
278
279  * gpg-connect-agent has now features to handle Assuan INQUIRE
280    commands.
281
282  * Internal changes for OpenPGP cards. New Assuan command WRITEKEY.
283
284  * GNU Pth is now a hard requirement.
285
286  * [scdaemon] Support for OpenSC has been removed.  Instead a new and
287    straightforward pkcs#15 modules has been written.  As of now it
288    does allows only signing using TCOS cards but we are going to
289    enhance it to match all the old capabilities.
290
291  * [gpg-agent] New option --write-env-file and Assuan command
292    UPDATESTARTUPTTY.
293
294  * [gpg-agent] New option --default-cache-ttl-ssh to set the TTL for
295    SSH passphrase caching independent from the other passphrases.
296
297
298 Noteworthy changes in version 1.9.16 (2005-04-21)
299 -------------------------------------------------
300
301  * gpg-agent does now support the ssh-agent protocol and thus allows
302    to use the pinentry as well as the OpenPGP smartcard with ssh.
303
304  * New tool gpg-connect-agent as a general client for the gpg-agent.
305
306  * New tool symcryptrun as a wrapper for certain encryption tools.
307
308  * The gpg tool is not anymore build by default because those gpg
309    versions available in the gnupg 1.4 series are far more matured.
310
311
312 Noteworthy changes in version 1.9.15 (2005-01-13)
313 -------------------------------------------------
314
315  * Fixed passphrase caching bug.
316
317  * Better support for CCID readers; the reader from Cherry RS 6700 USB
318    does now work.
319
320
321 Noteworthy changes in version 1.9.14 (2004-12-22)
322 -------------------------------------------------
323
324  * [gpg-agent] New option --use-standard-socket to allow the use of a
325    fixed socket.  gpgsm falls back to this socket if GPG_AGENT_INFO
326    has not been set.
327
328  * Ported to MS Windows with some functional limitations.
329
330  * New tool gpg-preset-passphrase.
331
332
333 Noteworthy changes in version 1.9.13 (2004-12-03)
334 -------------------------------------------------
335
336  * [gpgsm] New option --prefer-system-dirmngr.
337
338  * Minor cleanups and debugging aids.
339
340
341 Noteworthy changes in version 1.9.12 (2004-10-22)
342 -------------------------------------------------
343
344  * [scdaemon] Partly rewrote the PC/SC code.
345
346  * Removed the sc-investigate tool.  It is now in a separate package
347    available at ftp://ftp.g10code.com/g10code/gscutils/ .
348
349  * [gpg-agent] Fixed logging problem.
350
351
352 Noteworthy changes in version 1.9.11 (2004-10-01)
353 -------------------------------------------------
354
355  * When using --import along with --with-validation, the imported
356    certificates are validated and only imported if they are fully
357    valid.
358
359  * [gpg-agent] New option --max-cache-ttl.
360
361  * [gpg-agent] When used without --daemon or --server, gpg-agent now
362    check whether a agent is already running and usable.
363
364  * Fixed some i18n problems.
365
366
367 Noteworthy changes in version 1.9.10 (2004-07-22)
368 -------------------------------------------------
369
370  * Fixed a serious bug in the checking of trusted root certificates.
371
372  * New configure option --enable-agent-pnly allows to build and
373    install just the agent.
374
375  * Fixed a problem with the log file handling.
376
377
378 Noteworthy changes in version 1.9.9 (2004-06-08)
379 ------------------------------------------------
380
381  * [gpg-agent] The new option --allow-mark-trusted is now required to
382    allow gpg-agent to add a key to the trustlist.txt after user
383    confirmation.
384
385  * Creating PKCS#10 requests does now honor the key usage.
386
387
388 Noteworthy changes in version 1.9.8 (2004-04-29)
389 ------------------------------------------------
390
391  * [scdaemon] Overhauled the internal CCID driver.
392
393  * [scdaemon] Status files named ~/.gnupg/reader_<n>.status are now
394    written when using the internal CCID driver.
395
396  * [gpgsm] New commands --dump-{,secret,external}-keys to show a very
397    detailed view of the certificates.
398
399  * The keybox gets now compressed after 3 hours and ephemeral
400    stored certificates are deleted after about a day.
401
402  * [gpg] Usability fixes for --card-edit.  Note, that this has already
403    been ported back to gnupg-1.3
404
405
406 Noteworthy changes in version 1.9.7 (2004-04-06)
407 ------------------------------------------------
408
409  * Instrumented the modules for gpgconf.
410
411  * Added support for DINSIG card applications.
412
413  * Include the smimeCapabilities attribute with signed messages.
414
415  * Now uses the gettext domain "gnupg2" to avoid conflicts with gnupg
416    versions < 1.9.
417
418
419 Noteworthy changes in version 1.9.6 (2004-03-06)
420 ------------------------------------------------
421
422  * Code cleanups and bug fixes.
423
424
425 Noteworthy changes in version 1.9.5 (2004-02-21)
426 ------------------------------------------------
427
428  * gpg-protect-tool gets now installed into libexec as it ought to be.
429    Cleaned up the build system to better comply with the coding
430    standards.
431
432  * [gpgsm] The --import command is now able to autodetect pkcs#12
433    files and import secret and private keys from this file format.
434    A new command --export-secret-key-p12 is provided to allow
435    exporting of secret keys in PKCS\#12 format.
436
437  * [gpgsm] The pinentry will now present a description of the key for
438    whom the passphrase is requested.
439
440  * [gpgsm] New option --with-validation to check the validity of key
441    while listing it.
442
443  * New option --debug-level={none,basic,advanced,expert,guru} to map
444    the debug flags to sensitive levels on a per program base.
445
446
447 Noteworthy changes in version 1.9.4 (2004-01-30)
448 ------------------------------------------------
449
450  * Added support for the Telesec NKS 2.0 card application.
451
452  * Added simple tool addgnupghome to create .gnupg directories from
453    /etc/skel/.gnupg.
454
455  * Various minor bug fixes and cleanups; mainly gpgsm and gpg-agent
456    related.
457
458
459 Noteworthy changes in version 1.9.3 (2003-12-23)
460 ------------------------------------------------
461
462  * New gpgsm options --{enable,disable}-ocsp to validate keys using
463    OCSP. This option requires a not yet released DirMngr version.
464    Default is disabled.
465
466  * The --log-file option may now be used to print logs to a socket.
467    Prefix the socket name with "socket://" to enable this.  This does
468    not work on all systems and falls back to stderr if there is a
469    problem with the socket.
470
471  * The options --encrypt-to and --no-encrypt-to now work the same in
472    gpgsm as in gpg.  Note, they are also used in server mode.
473
474  * Duplicated recipients are now silently removed in gpgsm.
475
476
477 Noteworthy changes in version 1.9.2 (2003-11-17)
478 ------------------------------------------------
479
480  * On card key generation is no longer done using the --gen-key
481    command but from the menu provided by the new --card-edit command.
482
483  * PINs are now properly cached and there are only 2 PINs visible.
484    The 3rd PIN (CHV2) is internally syncronized with the regular PIN.
485
486  * All kind of other internal stuff.
487
488
489 Noteworthy changes in version 1.9.1 (2003-09-06)
490 ------------------------------------------------
491
492  * Support for OpenSC is back. scdaemon supports a --disable-opensc to
493    disable OpenSC use at runtime, so that PC/SC or ct-API can still be
494    used directly.
495
496  * Rudimentary support for the SCR335 smartcard reader using an
497    internal driver.  Requires current libusb from CVS.
498
499  * Bug fixes.
500
501
502 Noteworthy changes in version 1.9.0 (2003-08-05)
503 ------------------------------------------------
504
505       ====== PLEASE SEE README-alpha =======
506
507  * gpg has been renamed to gpg2 and gpgv to gpgv2.  This is a
508    temporary change to allow co-existing with stable gpg versions.
509
510  * ~/.gnupg/gpg.conf-1.9.0 is fist tried as config file before the
511    usual gpg.conf.
512
513  * Removed the -k, -kv and -kvv commands.  -k is now an alias to
514    --list-keys.  New command -K as alias for --list-secret-keys.
515
516  * Removed --run-as-shm-coprocess feature.
517
518  * gpg does now also use libgcrypt, libgpg-error is required.
519
520  * New gpgsm commands --call-dirmngr and --call-protect-tool.
521
522  * Changing a passphrase is now possible using "gpgsm --passwd"
523
524  * The content-type attribute is now recognized and created.
525
526  * The agent does now reread certain options on receiving a HUP.
527
528  * The pinentry is now forked for each request so that clients with
529    different environments are supported.  When running in daemon mode
530    and --keep-display is not used the DISPLAY variable is ignored.
531
532  * Merged stuff from the newpg branch and started this new
533    development branch.
534
535
536  Copyright 2002, 2003, 2004, 2005, 2006, 2007 Free Software Foundation, Inc.
537
538  This file is free software; as a special exception the author gives
539  unlimited permission to copy and/or distribute it, with or without
540  modifications, as long as this notice is preserved.
541
542  This file is distributed in the hope that it will be useful, but
543  WITHOUT ANY WARRANTY, to the extent permitted by law; without even the
544  implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.