Release 2.1.2
[gnupg.git] / NEWS
1 Noteworthy changes in version 2.1.2 (2015-02-11)
2 ------------------------------------------------
3
4  * gpg: The parameter 'Passphrase' for batch key generation works
5    again.
6
7  * gpg: Using a passphrase option in batch mode now has the expected
8    effect on --quick-gen-key.
9
10  * gpg: Improved reporting of unsupported PGP-2 keys.
11
12  * gpg: Added support for algo names when generating keys using
13    --command-fd.
14
15  * gpg: Fixed DoS based on bogus and overlong key packets.
16
17  * agent: When setting --default-cache-ttl the value
18    for --max-cache-ttl is adjusted to be not lower than the former.
19
20  * agent: Fixed problems with the new --extra-socket.
21
22  * agent: Made --allow-loopback-pinentry changeable with gpgconf.
23
24  * agent: Fixed importing of unprotected openpgp keys.
25
26  * agent: Now tries to use a fallback pinentry if the standard
27    pinentry is not installed.
28
29  * scd: Added support for ECDH.
30
31  * Fixed several bugs related to bogus keyrings and improved some
32    other code.
33
34
35 Noteworthy changes in version 2.1.1 (2014-12-16)
36 ------------------------------------------------
37
38  * gpg: Detect faulty use of --verify on detached signatures.
39
40  * gpg: New import option "keep-ownertrust".
41
42  * gpg: New sub-command "factory-reset" for --card-edit.
43
44  * gpg: A stub key for smartcards is now created by --card-status.
45
46  * gpg: Fixed regression in --refresh-keys.
47
48  * gpg: Fixed regresion in %g and %p codes for --sig-notation.
49
50  * gpg: Fixed best matching hash algo detection for ECDSA and EdDSA.
51
52  * gpg: Improved perceived speed of secret key listisngs.
53
54  * gpg: Print number of skipped PGP-2 keys on import.
55
56  * gpg: Removed the option aliases --throw-keyid and --notation-data;
57    use --throw-keyids and --set-notation instead.
58
59  * gpg: New import option "keep-ownertrust".
60
61  * gpg: Skip too large keys during import.
62
63  * gpg,gpgsm: New option --no-autostart to avoid starting gpg-agent or
64    dirmngr.
65
66  * gpg-agent: New option --extra-socket to provide a restricted
67    command set for use with remote clients.
68
69  * gpgconf --kill does not anymore start a service only to kill it.
70
71  * gpg-pconnect-agent: Add convenience option --uiserver.
72
73  * Fixed keyserver access for Windows.
74
75  * Fixed build problems on Mac OS X
76
77  * The Windows installer does now install development files
78
79  * More translations (but most of them are not complete).
80
81  * To support remotely mounted home directories, the IPC sockets may
82    now be redirected.  This feature requires Libassuan 2.2.0.
83
84  * Improved portability and the usual bunch of bug fixes.
85
86
87 Noteworthy changes in version 2.1.0 (2014-11-06)
88 ------------------------------------------------
89
90  This release introduces a lot of changes.  Most of them are internal
91  and thus not user visible.  However, some long standing behavior has
92  slightly changed and it is strongly suggested that an existing
93  "~/.gnupg" directory is backed up before this version is used.
94
95  A verbose description of the major new features and changes can be
96  found in the file doc/whats-new-in-2.1.txt.
97
98  * gpg: All support for v3 (PGP 2) keys has been dropped.  All
99    signatures are now created as v4 signatures.  v3 keys will be
100    removed from the keyring.
101
102  * gpg: With pinentry-0.9.0 the passphrase "enter again" prompt shows
103    up in the same window as the "new passphrase" prompt.
104
105  * gpg: Allow importing keys with duplicated long key ids.
106
107  * dirmngr: May now be build without support for LDAP.
108
109  * For a complete list of changes see the lists of changes for the
110    2.1.0 beta versions below.  Note that all relevant fixes from
111    versions 2.0.14 to 2.0.26 are also applied to this version.
112
113
114  [Noteworthy changes in version 2.1.0-beta864 (2014-10-03)]
115
116  * gpg: Removed the GPG_AGENT_INFO related code.  GnuPG does now
117    always use a fixed socket name in its home directory.
118
119  * gpg: Renamed --gen-key to --full-gen-key and re-added a --gen-key
120    command with less choices.
121
122  * gpg: Use SHA-256 for all signature types also on RSA keys.
123
124  * gpg: Default keyring is now created with a .kbx suffix.
125
126  * gpg: Add a shortcut to the key capabilies menu (e.g. "=e" sets the
127    encryption capabilities).
128
129  * gpg: Fixed obsolete options parsing.
130
131  * Further improvements for the alternative speedo build system.
132
133
134  [Noteworthy changes in version 2.1.0-beta834 (2014-09-18)]
135
136  * gpg: Improved passphrase caching.
137
138  * gpg: Switched to algorithm number 22 for EdDSA.
139
140  * gpg: Removed CAST5 from the default preferences.
141
142  * gpg: Order SHA-1 last in the hash preferences.
143
144  * gpg: Changed default cipher for --symmetric to AES-128.
145
146  * gpg: Fixed export of ECC keys and import of EdDSA keys.
147
148  * dirmngr: Fixed the KS_FETCH command.
149
150  * The speedo build system now downloads related packages and works
151    for non-Windows platforms.
152
153
154  [Noteworthy changes in version 2.1.0-beta783 (2014-08-14)]
155
156  * gpg: Add command --quick-gen-key.
157
158  * gpg: Make --quick-sign-key promote local key signatures.
159
160  * gpg: Added "show-usage" sub-option to --list-options.
161
162  * gpg: Screen keyserver responses to avoid importing unwanted keys
163    from rogue servers.
164
165  * gpg: Removed the option --pgp2 and --rfc1991 and the ability to
166    create PGP-2 compatible messages.
167
168  * gpg: Removed options --compress-keys and --compress-sigs.
169
170  * gpg: Cap attribute packets at 16MB.
171
172  * gpg: Improved output of --list-packets.
173
174  * gpg: Make with-colons output of --search-keys work again.
175
176  * gpgsm: Auto-create the ".gnupg" directory like gpg does.
177
178  * agent: Fold new passphrase warning prompts into one.
179
180  * scdaemon: Add support for the Smartcard-HSM card.
181
182  * scdaemon: Remove the use of the pcsc-wrapper.
183
184
185  [Noteworthy changes in version 2.1.0-beta751 (2014-07-03)]
186
187  * gpg: Create revocation certificates during key generation.
188
189  * gpg: Create exported secret keys and revocation certifciates with
190    mode 0700
191
192  * gpg: The validity of user ids is now shown by default.  To revert
193    this add "list-options no-show-uid-validity" to gpg.conf.
194
195  * gpg: Make export of secret keys work again.
196
197  * gpg: The output of --list-packets does now print the offset of the
198    packet and information about the packet header.
199
200  * gpg: Avoid DoS due to garbled compressed data packets. [CVE-2014-4617]
201
202  * gpg: Print more specific reason codes with the INV_RECP status.
203
204  * gpg: Cap RSA and Elgamal keysize at 4096 bit also for unattended
205    key generation.
206
207  * scdaemon: Support reader Gemalto IDBridge CT30 and pinpad of SCT
208    cyberJack go.
209
210  * The speedo build system has been improved.  It is now also possible
211    to build a partly working installer for Windows.
212
213
214  [Noteworthy changes in version 2.1.0-beta442 (2014-06-05)]
215
216  * gpg: Changed the format of key listings.  To revert to the old
217    format the option --legacy-list-mode is available.
218
219  * gpg: Add experimental signature support using curve Ed25519 and
220    with a patched Libgcrypt also encryption support with Curve25519.
221    [Update: this encryption support has been removed from 2.1.0 until
222    we have agreed on a suitable format.]
223
224  * gpg: Allow use of Brainpool curves.
225
226  * gpg: Accepts a space separated fingerprint as user ID.  This
227    allows to copy and paste the fingerprint from the key listing.
228
229  * gpg: The hash algorithm is now printed for signature records in key
230    listings.
231
232  * gpg: Reject signatures made using the MD5 hash algorithm unless the
233    new option --allow-weak-digest-algos or --pgp2 are given.
234
235  * gpg: Print a warning if the Gnome-Keyring-Daemon intercepts the
236    communication with the gpg-agent.
237
238  * gpg: New option --pinentry-mode.
239
240  * gpg: Fixed decryption using an OpenPGP card.
241
242  * gpg: Fixed bug with deeply nested compressed packets.
243
244  * gpg: Only the major version number is by default included in the
245    armored output.
246
247  * gpg: Do not create a trustdb file if --trust-model=always is used.
248
249  * gpg: Protect against rogue keyservers sending secret keys.
250
251  * gpg: The format of the fallback key listing ("gpg KEYFILE") is now
252    more aligned to the regular key listing ("gpg -k").
253
254  * gpg: The option--show-session-key prints its output now before the
255    decryption of the bulk message starts.
256
257  * gpg: New %U expando for the photo viewer.
258
259  * gpg,gpgsm: New option --with-secret.
260
261  * gpgsm: By default the users are now asked via the Pinentry whether
262    they trust an X.509 root key.  To prohibit interactive marking of
263    such keys, the new option --no-allow-mark-trusted may be used.
264
265  * gpgsm: New commands to export a secret RSA key in PKCS#1 or PKCS#8
266    format.
267
268  * gpgsm: Improved handling of re-issued CA certificates.
269
270  * agent: The included ssh agent does now support ECDSA keys.
271
272  * agent: New option --enable-putty-support to allow gpg-agent on
273    Windows to act as a Pageant replacement with full smartcard support.
274
275  * scdaemon: New option --enable-pinpad-varlen.
276
277  * scdaemon: Various fixes for pinpad equipped card readers.
278
279  * scdaemon: Rename option --disable-pinpad (was --disable-keypad).
280
281  * scdaemon: Better support fo CCID readers.  Now, internal CCID
282    driver supports readers with no auto configuration feature.
283
284  * dirmngr: Removed support for the original HKP keyserver which is
285    not anymore used by any site.
286
287  * dirmngr: Improved support for keyserver pools.
288
289  * tools: New option --dirmngr for gpg-connect-agent.
290
291  * The GNU Pth library has been replaced by the new nPth library.
292
293  * Support installation as portable application under Windows.
294
295  * All kind of other improvements - see the git log.
296
297
298  [Noteworthy changes in version 2.1.0beta3 (2011-12-20)]
299
300  * gpg: Fixed regression in the secret key export function.
301
302  * gpg: Allow generation of card keys up to 4096 bit.
303
304  * gpgsm: Preliminary support for the validation model "steed".
305
306  * gpgsm: Improved certificate creation.
307
308  * agent: Support the SSH confirm flag.
309
310  * agent: New option to select a passphrase mode.  The loopback
311    mode may be used to bypass Pinentry.
312
313  * agent: The Assuan commands KILLAGENT and KILLSCD are working again.
314
315  * scdaemon: Does not anymore block after changing a card (regression
316    fix).
317
318  * tools: gpg-connect-agent does now proberly display the help output
319    for "SCD HELP" commands.
320
321
322  [Noteworthy changes in version 2.1.0beta2 (2011-03-08)]
323
324  * gpg: ECC support as described by draft-jivsov-openpgp-ecc-06.txt
325    [Update: now known as RFC-6637].
326
327  * gpg: Print "AES128" instead of "AES".  This change introduces a
328    little incompatibility for tools using "gpg --list-config".  We
329    hope that these tools are written robust enough to accept this new
330    algorithm name as well.
331
332  * gpgsm: New feature to create certificates from a parameter file.
333    Add prompt to the --gen-key UI to create self-signed certificates.
334
335  * agent: TMPDIR is now also honored when creating a socket using
336    the --no-standard-socket option and with symcryptrun's temp files.
337
338  * scdaemon: Fixed a bug where scdaemon sends a signal to gpg-agent
339    running in non-daemon mode.
340
341  * dirmngr: Fixed CRL loading under W32 (bug#1010).
342
343  * Dirmngr has taken over the function of the keyserver helpers.  Thus
344    we now have a specified direct interface to keyservers via Dirmngr.
345    LDAP, DNS and mail backends are not yet implemented.
346
347  * Fixed TTY management for pinentries and session variable update
348    problem.
349
350
351  [Noteworthy changes in version 2.1.0beta1 (2010-10-26)]
352
353  * gpg: secring.gpg is not anymore used but all secret key operations
354    are delegated to gpg-agent.  The import command moves secret keys
355    to the agent.
356
357  * gpg: The OpenPGP import command is now able to merge secret keys.
358
359  * gpg: Encrypted OpenPGP messages with trailing data (e.g. other
360    OpenPGP packets) are now correctly parsed.
361
362  * gpg: Given sufficient permissions Dirmngr is started automagically.
363
364  * gpg: Fixed output of "gpgconf --check-options".
365
366  * gpg: Removed options --export-options(export-secret-subkey-passwd)
367    and --simple-sk-checksum.
368
369  * gpg: New options --try-secret-key.
370
371  * gpg: Support DNS lookups for SRV, PKA and CERT on W32.
372
373  * gpgsm: The --audit-log feature is now more complete.
374
375  * gpgsm: The default for --include-cert is now to include all
376    certificates in the chain except for the root certificate.
377
378  * gpgsm: New option --ignore-cert-extension.
379
380  * g13: The G13 tool for disk encryption key management has been
381    added.
382
383  * agent: If the agent's --use-standard-socket option is active, all
384    tools try to start and daemonize the agent on the fly.  In the past
385    this was only supported on W32; on non-W32 systems the new
386    configure option --disable-standard-socket may now be used to
387    disable this new default.
388
389  * agent: New and changed passphrases are now created with an
390    iteration count requiring about 100ms of CPU work.
391
392  * dirmngr: Dirmngr is now a part of this package.  It is now also
393    expected to run as a system service and the configuration
394    directories are changed to the GnuPG name space. [Update: 2.1.0
395    starts dirmngr on demand as user daemon.]
396
397  * Support for Windows CE. [Update: This has not been tested for the
398    2.1.0 release]
399
400  * Numerical values may now be used as an alternative to the
401    debug-level keywords.
402
403
404 Noteworthy changes in version 2.0.13 (2009-09-04)
405 -------------------------------------------------
406
407  * GPG now generates 2048 bit RSA keys by default.  The default hash
408    algorithm preferences has changed to prefer SHA-256 over SHA-1.
409    2048 bit DSA keys are now generated to use a 256 bit hash algorithm
410
411  * The envvars XMODIFIERS, GTK_IM_MODULE and QT_IM_MODULE are now
412    passed to the Pinentry to make SCIM work.
413
414  * The GPGSM command --gen-key features a --batch mode and implements
415    all features of gpgsm-gencert.sh in standard mode.
416
417  * New option --re-import for GPGSM's IMPORT server command.
418
419  * Enhanced writing of existing keys to OpenPGP v2 cards.
420
421  * Add hack to the internal CCID driver to allow the use of some
422    Omnikey based card readers with 2048 bit keys.
423
424  * GPG now repeatly asks the user to insert the requested OpenPGP
425    card.  This can be disabled with --limit-card-insert-tries=1.
426
427  * Minor bug fixes.
428
429
430 Noteworthy changes in version 2.0.12 (2009-06-17)
431 -------------------------------------------------
432
433  * GPGSM now always lists ephemeral certificates if specified by
434    fingerprint or keygrip.
435
436  * New command "KEYINFO" for GPG_AGENT.  GPGSM now also returns
437    information about smartcards.
438
439  * Made sure not to leak file descriptors if running gpg-agent with a
440    command.  Restore the signal mask to solve a problem in Mono.
441
442  * Changed order of the confirmation questions for root certificates
443    and store negative answers in trustlist.txt.
444
445  * Better synchronization of concurrent smartcard sessions.
446
447  * Support 2048 bit OpenPGP cards.
448
449  * Support Telesec Netkey 3 cards.
450
451  * The gpg-protect-tool now uses gpg-agent via libassuan.  Under
452    Windows the Pinentry will now be put into the foreground.
453
454  * Changed code to avoid a possible Mac OS X system freeze.
455
456
457 Noteworthy changes in version 2.0.11 (2009-03-03)
458 -------------------------------------------------
459
460  * Fixed a problem in SCDAEMON which caused unexpected card resets.
461
462  * SCDAEMON is now aware of the Geldkarte.
463
464  * The SCDAEMON option --allow-admin is now used by default.
465
466  * GPGCONF now restarts SCdaemon if necessary.
467
468  * The default cipher algorithm in GPGSM is now again 3DES.  This is
469    due to interoperability problems with Outlook 2003 which still
470    can't cope with AES.
471
472
473 Noteworthy changes in version 2.0.10 (2009-01-12)
474 -------------------------------------------------
475
476  * [gpg] New keyserver helper gpg2keys_kdns as generic DNS CERT
477    lookup.  Run with --help for a short description.  Requires the
478    ADNS library.
479
480  * [gpg] New mechanisms "local" and "nodefault" for --auto-key-locate.
481    Fixed a few problems with this option.
482
483  * [gpg] New command --locate-keys.
484
485  * [gpg] New options --with-sig-list and --with-sig-check.
486
487  * [gpg] The option "-sat" is no longer an alias for --clearsign.
488
489  * [gpg] The option --fixed-list-mode is now implicitly used and obsolete.
490
491  * [gpg] New control statement %ask-passphrase for the unattended key
492    generation.
493
494  * [gpg] The algorithm to compute the SIG_ID status has been changed.
495
496  * [gpgsm] Now uses AES by default.
497
498  * [gpgsm] Made --output option work with --export-secret-key-p12.
499
500  * [gpg-agent] Terminate process if the own listening socket is not
501    anymore served by ourself.
502
503  * [scdaemon] Made it more robust on W32.
504
505  * [gpg-connect-agent] Accept commands given as command line arguments.
506
507  * [w32] Initialized the socket subsystem for all keyserver helpers.
508
509  * [w32] The sysconf directory has been moved from a subdirectory of
510    the installation directory to %CSIDL_COMMON_APPDATA%/GNU/etc/gnupg.
511
512  * [w32] The gnupg2.nls directory is not anymore used.  The standard
513    locale directory is now used.
514
515  * [w32] Fixed a race condition between gpg and gpgsm in the use of
516    temporary file names.
517
518  * The gpg-preset-passphrase mechanism works again.  An arbitrary
519    string may now be used for a custom cache ID.
520
521  * Admin PINs are cached again (bug in 2.0.9).
522
523  * Support for version 2 OpenPGP cards.
524
525  * Libgcrypt 1.4 is now required.
526
527
528 Noteworthy changes in version 2.0.9 (2008-03-26)
529 ------------------------------------------------
530
531  * Gpgsm always tries to locate missing certificates from a running
532    Dirmngr's cache.
533
534  * Tweaks for Windows.
535
536  * The Admin PIN for OpenPGP cards may now be entered with the pinpad.
537
538  * Improved certificate chain construction.
539
540  * Extended the PKITS framework.
541
542  * Fixed a bug in the ambigious name detection.
543
544  * Fixed possible memory corruption while importing OpenPGP keys (bug
545    introduced with 2.0.8). [CVE-2008-1530]
546
547  * Minor bug fixes.
548
549
550 Noteworthy changes in version 2.0.8 (2007-12-20)
551 ------------------------------------------------
552
553  * Enhanced gpg-connect-agent with a small scripting language.
554
555  * New option --list-config for gpgconf.
556
557  * Fixed a crash in gpgconf.
558
559  * Gpg-agent now supports the passphrase quality bar of the latest
560    Pinentry.
561
562  * The envvars XAUTHORITY and PINENTRY_USER_DATA are now passed to the
563    Pinentry.
564
565  * Fixed the auto creation of the key stub for smartcards.
566
567  * Fixed a rare bug in decryption using the OpenPGP card.
568
569  * Creating DSA2 keys is now possible.
570
571  * New option --extra-digest-algo for gpgsm to allow verification of
572    broken signatures.
573
574  * Allow encryption with legacy Elgamal sign+encrypt keys with option
575    --rfc2440.
576
577  * Windows is now a supported platform.
578
579  * Made sure that under Windows the file permissions of the socket are
580    taken into account.  This required a change of our socket emulation
581    code and changed the IPC protocol under Windows.
582
583
584 Noteworthy changes in version 2.0.7 (2007-09-10)
585 ------------------------------------------------
586
587  * Fixed encryption problem if duplicate certificates are in the
588    keybox.
589
590  * Made it work on Windows Vista.  Note that the entire Windows port
591    is still considered Beta.
592
593  * Add new options min-passphrase-nonalpha, check-passphrase-pattern,
594    enforce-passphrase-constraints and max-passphrase-days to
595    gpg-agent.
596
597  * Add command --check-components to gpgconf.  Gpgconf now uses the
598    installed versions of the programs and does not anymore search via
599    PATH for them.
600
601
602 Noteworthy changes in version 2.0.6 (2007-08-16)
603 ------------------------------------------------
604
605  * GPGSM does now grok --default-key.
606
607  * GPGCONF is now aware of --default-key and --encrypt-to.
608
609  * GPGSM does again correctly print the serial number as well the the
610    various keyids.  This was broken since 2.0.4.
611
612  * New option --validation-model and support for the chain-model.
613
614  * Improved Windows support.
615
616
617 Noteworthy changes in version 2.0.5 (2007-07-05)
618 ------------------------------------------------
619
620  * Switched license to GPLv3.
621
622  * Basic support for Windows.  Run "./autogen.sh --build-w32" to build
623    it.  As usual the mingw cross compiling toolchain is required.
624
625  * Fixed bug when using the --p12-charset without --armor.
626
627  * The command --gen-key may now be used instead of the
628    gpgsm-gencert.sh script.
629
630  * Changed key generation to reveal less information about the
631    machine.  Bug fixes for gpg2's card key generation.
632
633
634 Noteworthy changes in version 2.0.4 (2007-05-09)
635 ------------------------------------------------
636
637  * The server mode key listing commands are now also working for
638    systems without the funopen/fopencookie API.
639
640  * PKCS#12 import now tries several encodings in case the passphrase
641    was not utf-8 encoded.  New option --p12-charset for gpgsm.
642
643  * Improved the libgcrypt logging support in all modules.
644
645
646 Noteworthy changes in version 2.0.3 (2007-03-08)
647 ------------------------------------------------
648
649  * By default, do not allow processing multiple plaintexts in a single
650    stream.  Many programs that called GnuPG were assuming that GnuPG
651    did not permit this, and were thus not using the plaintext boundary
652    status tags that GnuPG provides.  This change makes GnuPG reject
653    such messages by default which makes those programs safe again.
654    --allow-multiple-messages returns to the old behavior. [CVE-2007-1263].
655
656  * New --verify-option show-primary-uid-only.
657
658  * gpgconf may now reads a global configuration file to select which
659    options are changeable by a frontend.  The new applygnupgdefaults
660    tool may be used by an admin to set default options for all users.
661
662  * The PIN pad of the Cherry XX44 keyboard is now supported.  The
663    DINSIG and the NKS applications are now also aware of PIN pads.
664
665
666 Noteworthy changes in version 2.0.2 (2007-01-31)
667 ------------------------------------------------
668
669  * Fixed a serious and exploitable bug in processing encrypted
670    packages. [CVE-2006-6235].
671
672  * Added --passphrase-repeat to set the number of times GPG will
673    prompt for a new passphrase to be repeated.  This is useful to help
674    memorize a new passphrase.  The default is 1 repetition.
675
676  * Using a PIN pad does now also work for the signing key.
677
678  * A warning is displayed by gpg-agent if a new passphrase is too
679    short.  New option --min-passphrase-len defaults to 8.
680
681  * The status code BEGIN_SIGNING now shows the used hash algorithms.
682
683
684 Noteworthy changes in version 2.0.1 (2006-11-28)
685 ------------------------------------------------
686
687  * Experimental support for the PIN pads of the SPR 532 and the Kaan
688    Advanced card readers.  Add "disable-keypad" scdaemon.conf if you
689    don't want it.  Does currently only work for the OpenPGP card and
690    its authentication and decrypt keys.
691
692  * Fixed build problems on some some platforms and crashes on amd64.
693
694  * Fixed a buffer overflow in gpg2. [bug#728,CVE-2006-6169]
695
696
697 Noteworthy changes in version 2.0.0 (2006-11-11)
698 ------------------------------------------------
699
700  * First stable version of a GnuPG integrating OpenPGP and S/MIME.
701
702
703 Noteworthy changes in version 1.9.95 (2006-11-06)
704 -------------------------------------------------
705
706  * Minor bug fixes.
707
708
709 Noteworthy changes in version 1.9.94 (2006-10-24)
710 -------------------------------------------------
711
712  * Keys for gpgsm may now be specified using a keygrip.  A keygrip is
713    indicated by a prefixing it with an ampersand.
714
715  * gpgconf now supports switching the CMS cipher algo (e.g. to AES).
716
717  * New command --gpgconf-test for all major tools. This may be used to
718    check whether the configuration file is sane.
719
720
721 Noteworthy changes in version 1.9.93 (2006-10-18)
722 -------------------------------------------------
723
724  * In --with-validation mode gpgsm will now also ask whether a root
725    certificate should be trusted.
726
727  * Link to Pth only if really necessary.
728
729  * Fixed a pubring corruption bug in gpg2 occurring when importing
730    signatures or keys with insane lengths.
731
732  * Fixed v3 keyID calculation bug in gpg2.
733
734  * More tweaks for certificates without extensions.
735
736
737 Noteworthy changes in version 1.9.92 (2006-10-11)
738 -------------------------------------------------
739
740  * Bug fixes.
741
742
743 Noteworthy changes in version 1.9.91 (2006-10-04)
744 -------------------------------------------------
745
746  * New "relax" flag for trustlist.txt to allow root CA certificates
747    without BasicContraints.
748
749  * [gpg2] Removed the -k PGP 2 compatibility hack.  -k is now an
750    alias for --list-keys.
751
752  * [gpg2] Print a warning if "-sat" is used instead of "--clearsign".
753
754
755 Noteworthy changes in version 1.9.90 (2006-09-25)
756 -------------------------------------------------
757
758  * Made readline work for gpg.
759
760  * Cleanups und minor bug fixes.
761
762  * Included translations from gnupg 1.4.5.
763
764
765 Noteworthy changes in version 1.9.23 (2006-09-18)
766 -------------------------------------------------
767
768  * Regular man pages for most tools are now build directly from the
769    Texinfo source.
770
771  * The gpg code from 1.4.5 has been fully merged into this release.
772    The configure option --enable-gpg is still required to build this
773    gpg part.  For production use of OpenPGP the gpg version 1.4.5 is
774    still recommended.  Note, that gpg will be installed under the name
775    gpg2 to allow coexisting with an 1.4.x gpg.
776
777  * API change in gpg-agent's pkdecrypt command.  Thus an older gpgsm
778    may not be used with the current gpg-agent.
779
780  * The scdaemon will now call a script on reader status changes.
781
782  * gpgsm now allows file descriptor passing for "INPUT", "OUTPUT" and
783    "MESSAGE".
784
785  * The gpgsm server may now output a key listing to the output file
786    handle. This needs to be enabled using "OPTION list-to-output=1".
787
788  * The --output option of gpgsm has now an effect on list-keys.
789
790  * New gpgsm commands --dump-chain and list-chain.
791
792  * gpg-connect-agent has new options to utilize descriptor passing.
793
794  * A global trustlist may now be used.  See doc/examples/trustlist.txt.
795
796  * When creating a new pubring.kbx keybox common certificates are
797    imported.
798
799
800 Noteworthy changes in version 1.9.22 (2006-07-27)
801 -------------------------------------------------
802
803  * Enhanced pkcs#12 support to allow import from simple keyBags.
804
805  * Exporting to pkcs#12 now create bag attributes so that Mozilla is
806    able to import the files.
807
808  * Fixed uploading of certain keys to the smart card.
809
810
811 Noteworthy changes in version 1.9.21 (2006-06-20)
812 -------------------------------------------------
813
814  * New command APDU for scdaemon to allow using it for general card
815    access.  Might be used through gpg-connect-agent by using the SCD
816    prefix command.
817
818  * Support for the CardMan 4040 PCMCIA reader (Linux 2.6.15 required).
819
820  * Scdaemon does not anymore reset cards at the end of a connection.
821
822  * Kludge to allow use of Bundesnetzagentur issued X.509 certificates.
823
824  * Added --hash=xxx option to scdaemon's PKSIGN command.
825
826  * Pkcs#12 files are now created with a MAC.  This is for better
827    interoperability.
828
829  * Collected bug fixes and minor other changes.
830
831
832 Noteworthy changes in version 1.9.20 (2005-12-20)
833 -------------------------------------------------
834
835  * Importing pkcs#12 files created be recent versions of Mozilla works
836    again.
837
838  * Basic support for qualified signatures.
839
840  * New debug tool gpgparsemail.
841
842
843 Noteworthy changes in version 1.9.19 (2005-09-12)
844 -------------------------------------------------
845
846  * The Belgian eID card is now supported for signatures and ssh.
847    Other pkcs#15 cards should work as well.
848
849  * Fixed bug in --export-secret-key-p12 so that certificates are again
850    included.
851
852
853 Noteworthy changes in version 1.9.18 (2005-08-01)
854 -------------------------------------------------
855
856  * [gpgsm] Now allows for more than one email address as well as URIs
857    and dnsNames in certificate request generation.  A keygrip may be
858    given to create a request from an existing key.
859
860  * A couple of minor bug fixes.
861
862
863 Noteworthy changes in version 1.9.17 (2005-06-20)
864 -------------------------------------------------
865
866  * gpg-connect-agent has now features to handle Assuan INQUIRE
867    commands.
868
869  * Internal changes for OpenPGP cards. New Assuan command WRITEKEY.
870
871  * GNU Pth is now a hard requirement.
872
873  * [scdaemon] Support for OpenSC has been removed.  Instead a new and
874    straightforward pkcs#15 modules has been written.  As of now it
875    does allows only signing using TCOS cards but we are going to
876    enhance it to match all the old capabilities.
877
878  * [gpg-agent] New option --write-env-file and Assuan command
879    UPDATESTARTUPTTY.
880
881  * [gpg-agent] New option --default-cache-ttl-ssh to set the TTL for
882    SSH passphrase caching independent from the other passphrases.
883
884
885 Noteworthy changes in version 1.9.16 (2005-04-21)
886 -------------------------------------------------
887
888  * gpg-agent does now support the ssh-agent protocol and thus allows
889    to use the pinentry as well as the OpenPGP smartcard with ssh.
890
891  * New tool gpg-connect-agent as a general client for the gpg-agent.
892
893  * New tool symcryptrun as a wrapper for certain encryption tools.
894
895  * The gpg tool is not anymore build by default because those gpg
896    versions available in the gnupg 1.4 series are far more matured.
897
898
899 Noteworthy changes in version 1.9.15 (2005-01-13)
900 -------------------------------------------------
901
902  * Fixed passphrase caching bug.
903
904  * Better support for CCID readers; the reader from Cherry RS 6700 USB
905    does now work.
906
907
908 Noteworthy changes in version 1.9.14 (2004-12-22)
909 -------------------------------------------------
910
911  * [gpg-agent] New option --use-standard-socket to allow the use of a
912    fixed socket.  gpgsm falls back to this socket if GPG_AGENT_INFO
913    has not been set.
914
915  * Ported to MS Windows with some functional limitations.
916
917  * New tool gpg-preset-passphrase.
918
919
920 Noteworthy changes in version 1.9.13 (2004-12-03)
921 -------------------------------------------------
922
923  * [gpgsm] New option --prefer-system-dirmngr.
924
925  * Minor cleanups and debugging aids.
926
927
928 Noteworthy changes in version 1.9.12 (2004-10-22)
929 -------------------------------------------------
930
931  * [scdaemon] Partly rewrote the PC/SC code.
932
933  * Removed the sc-investigate tool.  It is now in a separate package
934    available at ftp://ftp.g10code.com/g10code/gscutils/ .
935
936  * [gpg-agent] Fixed logging problem.
937
938
939 Noteworthy changes in version 1.9.11 (2004-10-01)
940 -------------------------------------------------
941
942  * When using --import along with --with-validation, the imported
943    certificates are validated and only imported if they are fully
944    valid.
945
946  * [gpg-agent] New option --max-cache-ttl.
947
948  * [gpg-agent] When used without --daemon or --server, gpg-agent now
949    check whether a agent is already running and usable.
950
951  * Fixed some i18n problems.
952
953
954 Noteworthy changes in version 1.9.10 (2004-07-22)
955 -------------------------------------------------
956
957  * Fixed a serious bug in the checking of trusted root certificates.
958
959  * New configure option --enable-agent-pnly allows to build and
960    install just the agent.
961
962  * Fixed a problem with the log file handling.
963
964
965 Noteworthy changes in version 1.9.9 (2004-06-08)
966 ------------------------------------------------
967
968  * [gpg-agent] The new option --allow-mark-trusted is now required to
969    allow gpg-agent to add a key to the trustlist.txt after user
970    confirmation.
971
972  * Creating PKCS#10 requests does now honor the key usage.
973
974
975 Noteworthy changes in version 1.9.8 (2004-04-29)
976 ------------------------------------------------
977
978  * [scdaemon] Overhauled the internal CCID driver.
979
980  * [scdaemon] Status files named ~/.gnupg/reader_<n>.status are now
981    written when using the internal CCID driver.
982
983  * [gpgsm] New commands --dump-{,secret,external}-keys to show a very
984    detailed view of the certificates.
985
986  * The keybox gets now compressed after 3 hours and ephemeral
987    stored certificates are deleted after about a day.
988
989  * [gpg] Usability fixes for --card-edit.  Note, that this has already
990    been ported back to gnupg-1.3
991
992
993 Noteworthy changes in version 1.9.7 (2004-04-06)
994 ------------------------------------------------
995
996  * Instrumented the modules for gpgconf.
997
998  * Added support for DINSIG card applications.
999
1000  * Include the smimeCapabilities attribute with signed messages.
1001
1002  * Now uses the gettext domain "gnupg2" to avoid conflicts with gnupg
1003    versions < 1.9.
1004
1005
1006 Noteworthy changes in version 1.9.6 (2004-03-06)
1007 ------------------------------------------------
1008
1009  * Code cleanups and bug fixes.
1010
1011
1012 Noteworthy changes in version 1.9.5 (2004-02-21)
1013 ------------------------------------------------
1014
1015  * gpg-protect-tool gets now installed into libexec as it ought to be.
1016    Cleaned up the build system to better comply with the coding
1017    standards.
1018
1019  * [gpgsm] The --import command is now able to autodetect pkcs#12
1020    files and import secret and private keys from this file format.
1021    A new command --export-secret-key-p12 is provided to allow
1022    exporting of secret keys in PKCS\#12 format.
1023
1024  * [gpgsm] The pinentry will now present a description of the key for
1025    whom the passphrase is requested.
1026
1027  * [gpgsm] New option --with-validation to check the validity of key
1028    while listing it.
1029
1030  * New option --debug-level={none,basic,advanced,expert,guru} to map
1031    the debug flags to sensitive levels on a per program base.
1032
1033
1034 Noteworthy changes in version 1.9.4 (2004-01-30)
1035 ------------------------------------------------
1036
1037  * Added support for the Telesec NKS 2.0 card application.
1038
1039  * Added simple tool addgnupghome to create .gnupg directories from
1040    /etc/skel/.gnupg.
1041
1042  * Various minor bug fixes and cleanups; mainly gpgsm and gpg-agent
1043    related.
1044
1045
1046 Noteworthy changes in version 1.9.3 (2003-12-23)
1047 ------------------------------------------------
1048
1049  * New gpgsm options --{enable,disable}-ocsp to validate keys using
1050    OCSP. This option requires a not yet released DirMngr version.
1051    Default is disabled.
1052
1053  * The --log-file option may now be used to print logs to a socket.
1054    Prefix the socket name with "socket://" to enable this.  This does
1055    not work on all systems and falls back to stderr if there is a
1056    problem with the socket.
1057
1058  * The options --encrypt-to and --no-encrypt-to now work the same in
1059    gpgsm as in gpg.  Note, they are also used in server mode.
1060
1061  * Duplicated recipients are now silently removed in gpgsm.
1062
1063
1064 Noteworthy changes in version 1.9.2 (2003-11-17)
1065 ------------------------------------------------
1066
1067  * On card key generation is no longer done using the --gen-key
1068    command but from the menu provided by the new --card-edit command.
1069
1070  * PINs are now properly cached and there are only 2 PINs visible.
1071    The 3rd PIN (CHV2) is internally syncronized with the regular PIN.
1072
1073  * All kind of other internal stuff.
1074
1075
1076 Noteworthy changes in version 1.9.1 (2003-09-06)
1077 ------------------------------------------------
1078
1079  * Support for OpenSC is back. scdaemon supports a --disable-opensc to
1080    disable OpenSC use at runtime, so that PC/SC or ct-API can still be
1081    used directly.
1082
1083  * Rudimentary support for the SCR335 smartcard reader using an
1084    internal driver.  Requires current libusb from CVS.
1085
1086  * Bug fixes.
1087
1088
1089 Noteworthy changes in version 1.9.0 (2003-08-05)
1090 ------------------------------------------------
1091
1092       ====== PLEASE SEE README-alpha =======
1093
1094  * gpg has been renamed to gpg2 and gpgv to gpgv2.  This is a
1095    temporary change to allow co-existing with stable gpg versions.
1096
1097  * ~/.gnupg/gpg.conf-1.9.0 is fist tried as config file before the
1098    usual gpg.conf.
1099
1100  * Removed the -k, -kv and -kvv commands.  -k is now an alias to
1101    --list-keys.  New command -K as alias for --list-secret-keys.
1102
1103  * Removed --run-as-shm-coprocess feature.
1104
1105  * gpg does now also use libgcrypt, libgpg-error is required.
1106
1107  * New gpgsm commands --call-dirmngr and --call-protect-tool.
1108
1109  * Changing a passphrase is now possible using "gpgsm --passwd"
1110
1111  * The content-type attribute is now recognized and created.
1112
1113  * The agent does now reread certain options on receiving a HUP.
1114
1115  * The pinentry is now forked for each request so that clients with
1116    different environments are supported.  When running in daemon mode
1117    and --keep-display is not used the DISPLAY variable is ignored.
1118
1119  * Merged stuff from the newpg branch and started this new
1120    development branch.
1121
1122
1123  Copyright 2002, 2003, 2004, 2005, 2006, 2007,
1124            2008, 2009, 2010, 2011  Free Software Foundation, Inc.
1125
1126  This file is free software; as a special exception the author gives
1127  unlimited permission to copy and/or distribute it, with or without
1128  modifications, as long as this notice is preserved.
1129
1130  This file is distributed in the hope that it will be useful, but
1131  WITHOUT ANY WARRANTY, to the extent permitted by law; without even the
1132  implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.