Minor fixes
[gnupg.git] / README
1
2                     GnuPG - The GNU Privacy Guard
3                    -------------------------------
4                             Version 1.4.10
5
6          Copyright 1998, 1999, 2000, 2001, 2002, 2003, 
7                    2004, 2005, 2006, 2007, 2008,
8                    2009  Free Software Foundation, Inc.
9
10     This file is free software; as a special exception the author
11     gives unlimited permission to copy and/or distribute it, with or
12     without modifications, as long as this notice is preserved.
13
14     This file is distributed in the hope that it will be useful, but
15     WITHOUT ANY WARRANTY, to the extent permitted by law; without even
16     the implied warranty of MERCHANTABILITY or FITNESS FOR A
17     PARTICULAR PURPOSE.
18
19
20     Intro
21     -----
22
23     GnuPG is GNU's tool for secure communication and data storage.
24     It can be used to encrypt data and to create digital signatures.
25     It includes an advanced key management facility and is compliant
26     with the proposed OpenPGP Internet standard as described in RFC4880.
27
28     GnuPG works best on GNU/Linux or *BSD systems.  Most other Unices
29     are also supported but are not as well tested as the Free Unices.
30     See http://www.gnupg.org/download/supported_systems.html for a
31     list of systems which are known to work.
32
33     GnuPG is distributed under the terms of the GNU General Public
34     License.  See the file COPYING for copyright and warranty
35     information.
36
37     Because GnuPG does not use use any patented algorithms it is not
38     by default fully compatible with PGP 2.x, which uses the patented
39     IDEA algorithm.  See http://www.gnupg.org/why-not-idea.html for
40     more information on this subject.
41
42     The default public key algorithm is RSA, but DSA and Elgamal are
43     also supported.  Symmetric algorithms available are AES (with 128,
44     192, and 256 bit keys), 3DES, Blowfish, CAST5 and Twofish.  Digest
45     algorithms available are MD5, RIPEMD/160, SHA-1, SHA-256, SHA-384,
46     and SHA-512.  Compression algorithms available are ZIP, ZLIB, and
47     BZIP2 (with libbz2 installed).
48
49
50     Installation
51     ------------
52
53     Please read the file INSTALL and the sections in this file
54     related to the installation.  Here is a quick summary:
55
56     1) Check that you have unmodified sources.  See below on how to do
57        this.  Don't skip it - this is an important step!
58
59     2) Unpack the tarball.  With GNU tar you can do it this way:
60        "tar xzvf gnupg-x.y.z.tar.gz".  If got a bzip2 compressed
61        tarball you need to use: "tar xjvf gnupg-x.y.z.tar.bz2".
62
63     3) "cd gnupg-x.y.z"
64
65     4) "./configure"
66
67     5) "make"
68
69     6) "make install"
70
71     7) You end up with a "gpg" binary in /usr/local/bin.
72
73     8) To avoid swapping out of sensitive data, you can install "gpg"
74        setuid root.  If you don't do so, you may want to add the
75        option "no-secmem-warning" to ~/.gnupg/gpg.conf.  Note that on
76        modern GNU/Linux systems swapping protection does not anymore
77        require GPG to be installed setuid root.
78
79
80     How to Verify the Source
81     ------------------------
82
83     In order to check that the version of GnuPG which you are going to
84     install is an original and unmodified one, you can do it in one of
85     the following ways:
86
87     a) If you already have a trusted Version of GnuPG installed, you
88        can simply check the supplied signature:
89
90         $ gpg --verify gnupg-x.y.z.tar.gz.sig
91
92        This checks that the detached signature gnupg-x.y.z.tar.gz.sig
93        is indeed a signature of gnupg-x.y.z.tar.gz.  The key currently
94        used to create this signature is:
95
96        "pub  1024R/1CE0C630 2006-01-01 Werner Koch (dist sig) <dd9jn@gnu.org>"
97
98        If you do not have this key, you can get it from the source in
99        the file doc/samplekeys.asc (use "gpg --import  doc/samplekeys.asc"
100        to add it to the keyring) or from any keyserver.  You have to
101        make sure that this is really the key and not a faked one. You
102        can do this by comparing the output of:
103
104         $ gpg --fingerprint 0x1CE0C630
105
106        with the fingerprint published elsewhere.
107
108        Please note, that you have to use an old version of GnuPG to
109        do all this stuff.  *Never* use the version which you are going
110        to check!
111
112
113     b) If you don't have any of the above programs, you have to verify
114        the SHA1 checksum:
115
116         $ sha1sum gnupg-x.y.z.tar.gz
117
118        This should yield an output _similar_ to this:
119
120         fd9351b26b3189c1d577f0970f9dcadc1234abcd  gnupg-x.y.z.tar.gz
121
122        Now check that this checksum is _exactly_ the same as the one
123        published via the announcement list and probably via Usenet.
124
125
126     Documentation
127     -------------
128
129     The manual will be distributed separately under the name "gph".
130     An online version of the latest manual draft is available at the
131     GnuPG web pages:
132
133         http://www.gnupg.org/documentation/
134
135     A list of frequently asked questions is available in the GnuPG
136     distribution in the file doc/FAQ and online as:
137
138         http://www.gnupg.org/documentation/faqs.html
139
140     A couple of HOWTO documents are available online; for a listing see:
141
142         http://www.gnupg.org/documentation/howtos.html
143
144     A man page with a description of all commands and options gets installed
145     along with the program. 
146
147
148     Introduction
149     ------------
150
151     Here is a brief overview on how to use GnuPG - it is strongly suggested
152     that you read the manual and other information about the use of
153     cryptography.  GnuPG is only a tool, secure usage requires that
154     YOU KNOW WHAT YOU ARE DOING.
155
156     The first time you run gpg, it will create a .gnupg directory in
157     your home directory and populate it with a default configuration
158     file.  Once this is done, you may create a new key, or if you
159     already have keyrings from PGP, you can import them into GnuPG
160     with:
161
162         gpg --import path/to/pgp/keyring/pubring.pkr
163     and
164         gpg --import path/to/pgp/keyring/secring.skr
165
166     The normal way to create a key is
167
168         gpg --gen-key
169
170     This asks some questions and then starts key generation. To create
171     good random numbers for the key parameters, GnuPG needs to gather
172     enough noise (entropy) from your system.  If you see no progress
173     during key generation you should start some other activities such
174     as moving the mouse or hitting the CTRL and SHIFT keys.
175
176     Generate a key ONLY on a machine where you have direct physical
177     access - don't do it over the network or on a machine also used
178     by others, especially if you have no access to the root account.
179
180     When you are asked for a passphrase use a good one which you can
181     easily remember.  Don't make the passphrase too long because you
182     have to type it for every decryption or signing; but, - AND THIS
183     IS VERY IMPORTANT - use a good one that is not easily to guess
184     because the security of the whole system relies on your secret key
185     and the passphrase that protects it when someone gains access to
186     your secret keyring.  One good way to select a passphrase is to
187     figure out a short nonsense sentence which makes some sense for
188     you and modify it by inserting extra spaces, non-letters and
189     changing the case of some characters - this is really easy to
190     remember especially if you associate some pictures with it.
191
192     Next, you should create a revocation certificate in case someone
193     gets knowledge of your secret key or you forgot your passphrase
194
195         gpg --gen-revoke your_user_id
196
197     Run this command and store the revocation certificate away.  The output
198     is always ASCII armored, so that you can print it and (hopefully
199     never) re-create it if your electronic media fails.
200
201     Now you can use your key to create digital signatures
202
203         gpg -s file
204
205     This creates a file "file.gpg" which is compressed and has a
206     signature attached.
207
208         gpg -sa file
209
210     Same as above, but creates a file "file.asc" which is ASCII armored
211     and and ready for sending by mail.  It is better to use your
212     mailers features to create signatures (The mailer uses GnuPG to do
213     this) because the mailer has the ability to MIME encode such
214     signatures - but this is not a security issue.
215
216         gpg -s -o out file
217
218     Creates a signature of "file", but writes the output to the file
219     "out".
220
221     Everyone who knows your public key (you can and should publish
222     your key by putting it on a key server, a web page or in your .plan
223     file) is now able to check whether you really signed this text
224
225         gpg --verify file
226
227     GnuPG now checks whether the signature is valid and prints an
228     appropriate message.  If the signature is good, you know at least
229     that the person (or machine) has access to the secret key which
230     corresponds to the published public key.
231
232     If you run gpg without an option it will verify the signature and
233     create a new file that is identical to the original.  gpg can also
234     run as a filter, so that you can pipe data to verify trough it
235
236         cat signed-file | gpg | wc -l
237
238     which will check the signature of signed-file and then display the
239     number of lines in the original file.
240
241     To send a message encrypted to someone you can use
242
243         gpg -e -r heine file
244
245     This encrypts "file" with the public key of the user "heine" and
246     writes it to "file.gpg"
247
248         echo "hello" | gpg -ea -r heine | mail heine
249
250     Ditto, but encrypts "hello\n" and mails it as ASCII armored message
251     to the user with the mail address heine.
252
253         gpg -se -r heine file
254
255     This encrypts "file" with the public key of "heine" and writes it
256     to "file.gpg" after signing it with your user id.
257
258         gpg -se -r heine -u Suttner file
259
260     Ditto, but sign the file with your alternative user id "Suttner"
261
262
263     GnuPG has some options to help you publish public keys.  This is
264     called "exporting" a key, thus
265
266         gpg --export >all-my-keys
267
268     exports all the keys in the keyring and writes them (in a binary
269     format) to "all-my-keys".  You may then mail "all-my-keys" as an
270     MIME attachment to someone else or put it on an FTP server. To
271     export only some user IDs, you give them as arguments on the command
272     line.
273
274     To mail a public key or put it on a web page you have to create
275     the key in ASCII armored format
276
277         gpg --export --armor | mail panther@tiger.int
278
279     This will send all your public keys to your friend panther.
280
281     If you have received a key from someone else you can put it
282     into your public keyring.  This is called "importing"
283
284         gpg --import [filenames]
285
286     New keys are appended to your keyring and already existing
287     keys are updated. Note that GnuPG does not import keys that
288     are not self-signed.
289
290     Because anyone can claim that a public key belongs to her
291     we must have some way to check that a public key really belongs
292     to the owner.  This can be achieved by comparing the key during
293     a phone call.  Sure, it is not very easy to compare a binary file
294     by reading the complete hex dump of the file - GnuPG (and nearly
295     every other program used for management of cryptographic keys)
296     provides other solutions.
297
298         gpg --fingerprint <username>
299
300     prints the so called "fingerprint" of the given username which
301     is a sequence of hex bytes (which you may have noticed in mail
302     sigs or on business cards) that uniquely identifies the public
303     key - different keys will always have different fingerprints.
304     It is easy to compare fingerprints by phone and I suggest
305     that you print your fingerprint on the back of your business
306     card.  To see the fingerprints of the secondary keys, you can
307     give the command twice; but this is normally not needed.
308
309     If you don't know the owner of the public key you are in trouble.
310     Suppose however that friend of yours knows someone who knows someone
311     who has met the owner of the public key at some computer conference.
312     Suppose that all the people between you and the public key holder
313     may now act as introducers to you.  Introducers signing keys thereby
314     certify that they know the owner of the keys they sign.  If you then
315     trust all the introducers to have correctly signed other keys, you
316     can be be sure that the other key really belongs to the one who
317     claims to own it.
318
319     There are 2 steps to validate a key:
320         1. First check that there is a complete chain
321            of signed keys from the public key you want to use
322            and your key and verify each signature.
323         2. Make sure that you have full trust in the certificates
324            of all the introduces between the public key holder and
325            you.
326     Step 2 is the more complicated part because there is no easy way
327     for a computer to decide who is trustworthy and who is not.  GnuPG
328     leaves this decision to you and will ask you for a trust value
329     (here also referenced as the owner-trust of a key) for every key
330     needed to check the chain of certificates.  You may choose from:
331       a) "I don't know" - then it is not possible to use any
332          of the chains of certificates, in which this key is used
333          as an introducer, to validate the target key.  Use this if
334          you don't know the introducer.
335       b) "I do not trust" - Use this if you know that the introducer
336          does not do a good job in certifying other keys.  The effect
337          is the same as with a) but for a) you may later want to
338          change the value because you got new information about this
339          introducer.
340       c) "I trust marginally" - Use this if you assume that the
341          introducer knows what he is doing.  Together with some
342          other marginally trusted keys, GnuPG validates the target
343          key then as good.
344       d) "I fully trust" - Use this if you really know that this
345          introducer does a good job when certifying other keys.
346          If all the introducer are of this trust value, GnuPG
347          normally needs only one chain of signatures to validate
348          a target key okay. (But this may be adjusted with the help
349          of some options).
350     This information is confidential because it gives your personal
351     opinion on the trustworthiness of someone else.  Therefore this data
352     is not stored in the keyring but in the "trustdb"
353     (~/.gnupg/trustdb.gpg).  Do not assign a high trust value just
354     because the introducer is a friend of yours - decide how well she
355     understands the implications of key signatures and you may want to
356     tell her more about public key cryptography so you can later change
357     the trust value you assigned.
358
359     Okay, here is how GnuPG helps you with key management.  Most stuff
360     is done with the --edit-key command
361
362         gpg --edit-key <keyid or username>
363
364     GnuPG displays some information about the key and then prompts
365     for a command (enter "help" to see a list of commands and see
366     the man page for a more detailed explanation).  To sign a key
367     you select the user ID you want to sign by entering the number
368     that is displayed in the leftmost column (or do nothing if the
369     key has only one user ID) and then enter the command "sign" and
370     follow all the prompts.  When you are ready, give the command
371     "save" (or use "quit" to cancel your actions).
372
373     If you want to sign the key with another of your user IDs, you
374     must give an "-u" option on the command line together with the
375     "--edit-key".
376
377     Normally you want to sign only one user ID because GnuPG
378     uses only one and this keeps the public key certificate
379     small.  Because such key signatures are very important you
380     should make sure that the signatories of your key sign a user ID
381     which is very likely to stay for a long time - choose one with an
382     email address you have full control of or do not enter an email
383     address at all.  In future GnuPG will have a way to tell which
384     user ID is the one with an email address you prefer - because
385     you have no signatures on this email address it is easy to change
386     this address.  Remember, your signatories sign your public key (the
387     primary one) together with one of your user IDs - so it is not possible
388     to change the user ID later without voiding all the signatures.
389
390     Tip: If you hear about a key signing party on a computer conference
391     join it because this is a very convenient way to get your key
392     certified (But remember that signatures have nothing to to with the
393     trust you assign to a key).
394
395
396     8 Ways to Specify a User ID
397     ---------=-----------------
398
399     There are several ways to specify a user ID, here are some examples.
400
401     * Only by the short keyid (prepend a zero if it begins with A..F):
402
403         "234567C4"
404         "0F34E556E"
405         "01347A56A"
406         "0xAB123456
407
408     * By a complete keyid:
409
410         "234AABBCC34567C4"
411         "0F323456784E56EAB"
412         "01AB3FED1347A5612"
413         "0x234AABBCC34567C4"
414
415     * By a fingerprint:
416
417         "1234343434343434C434343434343434"
418         "123434343434343C3434343434343734349A3434"
419         "0E12343434343434343434EAB3484343434343434"
420
421       The first one is a short fingerprint for PGP 2.x style keys.
422       The others are long fingerprints for OpenPGP keys.
423
424     * By an exact string:
425
426         "=Heinrich Heine <heinrichh@uni-duesseldorf.de>"
427
428     * By an email address:
429
430         "<heinrichh@uni-duesseldorf.de>"
431
432     * By word match
433
434         "+Heinrich Heine duesseldorf"
435
436       All words must match exactly (not case sensitive) and appear in
437       any order in the user ID.  Words are any sequences of letters,
438       digits, the underscore and characters with bit 7 set.
439
440     * Or by the usual substring:
441
442         "Heine"
443         "*Heine"
444
445       The '*' indicates substring search explicitly.
446
447
448     Batch mode
449     ----------
450
451     If you use the option "--batch", GnuPG runs in non-interactive mode and
452     never prompts for input data.  This does not even allow entering the
453     passphrase.  Until we have a better solution (something like ssh-agent),
454     you can use the option "--passphrase-fd n", which works like PGP's
455     PGPPASSFD.
456
457     Batch mode also causes GnuPG to terminate as soon as a BAD signature is
458     detected.
459
460
461     Exit status
462     -----------
463
464     GnuPG returns with an exit status of 1 if in batch mode and a bad signature
465     has been detected or 2 or higher for all other errors.  You should parse
466     stderr or, better, the output of the fd specified with --status-fd to get
467     detailed information about the errors.
468
469
470     Configure options 
471     -----------------
472
473     Here is a list of configure options which are sometime useful 
474     for installation.
475
476     --enable-static-rnd=<name> 
477                      Force the use of the random byte gathering
478                      module <name>.  Default is either to use /dev/random
479                      or the auto mode.  Value for name:
480                        egd - Use the module which accesses the
481                              Entropy Gathering Daemon. See the webpages
482                              for more information about it.
483                       unix - Use the standard Unix module which does not
484                              have a very good performance.
485                      linux - Use the module which accesses /dev/random.
486                              This is the first choice and the default one
487                              for GNU/Linux or *BSD.
488                       auto - Compile linux, egd and unix in and 
489                              automagically select at runtime.
490   
491      --with-egd-socket=<name>
492                      This is only used when EGD is used as random
493                      gatherer. GnuPG uses by default "~/.gnupg/entropy"
494                      as the socket to connect EGD.  Using this option the
495                      socket name can be changed.  You may use any filename
496                      here with 2 exceptions:  a filename starting with
497                      "~/" uses the socket in the home directory of the user
498                      and one starting with a "=" uses a socket in the
499                      GnuPG home directory which is "~/.gnupg" by default.
500  
501      --without-readline
502                      Do not include support for the readline library
503                      even if it is available.  The default is to check
504                      whether the readline library is a available and
505                      use it to allow fancy command line editing.
506   
507      --with-included-zlib
508                      Forces usage of the local zlib sources. Default is
509                      to use the (shared) library of the system.
510
511      --with-zlib=<DIR>
512                      Look for the system zlib in DIR.
513
514      --with-bzip2=<DIR>
515                      Look for the system libbz2 in DIR.
516
517      --without-bzip2
518                      Disable the BZIP2 compression algorithm.
519
520      --with-included-gettext
521                      Forces usage of the local gettext sources instead of
522                      the one provided by your system.
523
524      --disable-nls
525                      Disable NLS support (See the file ABOUT-NLS)
526
527      --enable-m-guard
528                      Enable the integrated malloc checking code. Please
529                      note that this feature does not work on all CPUs
530                      (e.g. SunOS 5.7 on UltraSparc-2) and might give
531                      you a bus error.
532
533      --disable-dynload 
534                     If you have problems with dynamic loading, this
535                     option disables all dynamic loading stuff.  Note
536                     that the use of dynamic linking is very limited.
537
538      --disable-asm
539                     Do not use assembler modules.  It is not possible 
540                     to use this on some CPU types.
541                     
542      --disable-exec
543                     Disable all remote program execution.  This
544                     disables photo ID viewing as well as all keyserver
545                     access.
546
547      --disable-photo-viewers
548                     Disable only photo ID viewing.
549
550      --disable-keyserver-helpers
551                     Disable only keyserver helpers.
552
553      --disable-keyserver-path
554                     Disables the user's ability to use the exec-path
555                     feature to add additional search directories when
556                     executing a keyserver helper.
557
558      --with-photo-viewer=FIXED_VIEWER
559                     Force the photo viewer to be FIXED_VIEWER and
560                     disable any ability for the user to change it in
561                     their options file.
562
563      --disable-rsa
564                     Removes support for the RSA public key algorithm.
565                     This can give a smaller gpg binary for places
566                     where space is tight.
567
568      --disable-idea
569      --disable-cast5
570      --disable-blowfish
571      --disable-aes
572      --disable-twofish
573      --disable-sha256
574      --disable-sha512
575                     Removes support for the selected symmetric or hash
576                     algorithm.  This can give a smaller gpg binary for
577                     places where space is tight.
578
579                     **** Note that if there are existing keys that
580                     have one of these algorithms as a preference,
581                     messages may be received that use one of these
582                     algorithms and you will not be able to decrypt the
583                     message! ****
584
585                     The public key preference list can be updated to
586                     match the list of available algorithms by using
587                     "gpg --edit-key (thekey)", and running the
588                     "setpref" command.
589
590      --enable-minimal
591                     Build the smallest gpg binary possible (disables
592                     all optional algorithms, disables keyserver
593                     access, and disables photo IDs).  Specifically,
594                     this means --disable-rsa --disable-idea,
595                     --disable-cast5, --disable-blowfish,
596                     --disable-aes, --disable-twofish,
597                     --disable-sha256, --disable-sha512,
598                     --without-bzip2, --disable-exec, 
599                     --disable-card-support and
600                     --disable-agent-support.
601                     Configure command lines are read from left to
602                     right, so if you want to have an "almost minimal"
603                     configuration, you can do (for example)
604                     "--enable-minimal --enable-rsa" to have RSA added
605                     to the minimal build.  Adding the option 
606                     --disable-nls may be useful too.
607
608      --enable-key-cache=SIZE
609                     Set the internal key and UID cache size.  This has
610                     a significant impact on performance with large
611                     keyrings.  The default is 4096, but for use on
612                     platforms where memory is an issue, it can be set
613                     as low as 5.
614
615      --disable-card-support
616                     Do not include smartcard support.  The default is
617                     to include support if all required libraries are
618                     available.
619
620      --disable-agent-support
621                     Do not include support for the gpg-agent.  The
622                     default is to include support.
623
624      --enable-selinux-support
625                     This prevents access to certain files and won't
626                     allow import or export of secret keys. 
627
628      --enable-noexecstack
629                     Pass option --noexecstack to as.  Autdetect wether
630                     the tool chain actually support this.
631
632      --disable-gnupg-iconv
633                     If iconv is available it is used to convert
634                     between utf-8 and the system character set.  This
635                     is in general the preferable solution.  However
636                     the code is new and under some cirumstances it may
637                     give different output than with the limited old
638                     support.  This option allows to explicity disable
639                     the use of iconv.  Note, that iconv is also
640                     disabled if gettext has been disabled.
641
642
643     Installation Problems
644     ---------------------
645
646     If you get unresolved externals "gettext" you should run configure
647     again with the option "--with-included-gettext"; this is version
648     0.12.1 which is available at ftp.gnu.org.
649
650     If you have other compile problems, try the configure options
651     "--with-included-zlib" or "--disable-nls" (See ABOUT-NLS) or
652     --disable-dynload.
653
654     We can't check all assembler files, so if you have problems
655     assembling them (or the program crashes) use --disable-asm with
656     ./configure.  If you opt to delete individual replacement files in
657     hopes of using the remaining ones, be aware that the configure
658     scripts may consider several subdirectories to get all available
659     assembler files; be sure to delete the correct ones. The assembler
660     replacements are in C and in mpi/generic; never delete
661     udiv-qrnnd.S in any CPU directory, because there may be no C
662     substitute.  Don't forget to delete "config.cache" and run
663     "./config.status --recheck".  We have also heard reports of
664     problems when using versions of gcc earlier than 2.96 along with a
665     non-GNU assembler (as).  If this applies to your platform, you can
666     either upgrade gcc to a more recent version, or use the GNU
667     assembler.
668
669     Some make tools are broken - the best solution is to use GNU's
670     make.  Try gmake or grab the sources from a GNU archive and
671     install them.
672
673     On some OSF systems you may get unresolved externals.  This is a
674     libtool problem and the workaround is to manually remove all the
675     "-lc -lz" but the last one from the linker line and execute them
676     manually.
677
678     On some architectures you see warnings like:
679       longlong.h:175: warning: function declaration isn't a prototype
680     or
681       http.c:647: warning: cast increases required alignment of target type
682     This doesn't matter and we know about it (actually it is due to
683     some warning options which we have enabled for gcc)
684
685     If you are cross-compiling and you get an error either building a
686     tool called "yat2m" or running that tool, the problem is most
687     likely a bad or missing native compiler.  We require a standard
688     C-89 compiler to produce an executable to be run on the build
689     platform.  You can explicitly set such a compiler with configure
690     arguments. On HP/UX you might want to try: "CC_FOR_BUILD=c89".
691
692
693
694     Specific problems on some machines
695     ----------------------------------
696
697     * Apple Darwin 6.1:
698
699         ./configure --with-libiconv-prefix=/sw
700
701     * IBM RS/6000 running AIX:
702
703         Due to a change in gcc (since version 2.8) the MPI stuff may
704         not build. In this case try to run configure using:
705             CFLAGS="-g -O2 -mcpu=powerpc" ./configure
706
707     * SVR4.2 (ESIX V4.2 cc)
708
709         Due to problems with the ESIX as, you probably want to do
710             CFLAGS="-O -K pentium" ./configure --disable-asm
711
712     * SunOS 4.1.4
713
714          ./configure ac_cv_sys_symbol_underscore=yes
715
716
717     The Random Device
718     -----------------
719
720     Random devices are available in Linux, FreeBSD and OpenBSD.
721     Operating systems without a random devices must use another
722     entropy collector. 
723
724     This collector works by running a lot of commands that yield more
725     or less unpredictable output and feds this as entropy into the
726     random generator - It should work reliably but you should check
727     whether it produces good output for your version of Unix. There
728     are some debug options to help you (see cipher/rndunix.c).
729
730
731     Creating an RPM package
732     -----------------------
733
734     The file scripts/gnupg.spec is used to build a RPM package (both
735     binary and src):
736       1. copy the spec file into /usr/src/redhat/SPECS
737       2. copy the tar file into /usr/src/redhat/SOURCES
738       3. type: rpm -ba SPECS/gnupg.spec
739
740     Or use the -t (--tarbuild) option of rpm:
741       1. rpm -ta gnupg-x.x.x.tar.gz
742
743     The binary rpm file can now be found in /usr/src/redhat/RPMS, source
744     rpm in /usr/src/redhat/SRPMS
745
746
747     Building Universal Binaries on Apple OS X
748     -----------------------------------------
749
750     You can build a universal ("fat") binary that will work on both
751     PPC and Intel Macs with something like:
752
753     ./configure CFLAGS="-arch ppc -arch i386" --disable-endian-check \
754                 --disable-dependency-tracking --disable-asm
755
756     If you are doing the build on a OS X 10.4 (Tiger) PPC machine you
757     may need to add "-isysroot /Developer/SDKs/MacOSX10.4u.sdk" to
758     those CFLAGS.  This additional isysroot is not necessary on Intel
759     Tiger boxes, or any OS X 10.5 (Leopard) or later boxes.
760
761     Note that when building a universal binary, any third-party
762     libraries you may link with need to be universal as well.  All
763     Apple-supplied libraries (even libraries not originally written by
764     Apple like curl, zip, and BZ2) are universal.
765
766
767     GnuPG 1.4 and GnuPG 2.0
768     -----------------------
769
770     GnuPG 2.0 is a newer version of GnuPG with additional support for
771     S/MIME.  It has a different design philosophy that splits
772     functionality up into several modules.  Both versions may be
773     installed simultaneously without any conflict (gpg is called gpg2
774     in GnuPG 2).  In fact, the gpg version from GnuPG 1.4 is able to
775     make use of the gpg-agent as included in GnuPG 2 and allows for
776     seamless passphrase caching.  The advantage of GnupG 1.4 is its
777     smaller size and no dependency on other modules at run and build
778     time.
779
780
781     How to Get More Information
782     ---------------------------
783
784     The primary WWW page is "http://www.gnupg.org"
785     The primary FTP site is "ftp://ftp.gnupg.org/gcrypt/"
786
787     See http://www.gnupg.org/download/mirrors.html for a list of
788     mirrors and use them if possible.  You may also find GnuPG
789     mirrored on some of the regular GNU mirrors.
790
791     We have some mailing lists dedicated to GnuPG:
792
793         gnupg-announce@gnupg.org    For important announcements like
794                                     new versions and such stuff.
795                                     This is a moderated list and has
796                                     very low traffic.  Do not post to
797                                     this list.
798
799         gnupg-users@gnupg.org       For general user discussion and
800                                     help (English).
801
802         gnupg-de@gnupg.org          German speaking counterpart of
803                                     gnupg-users.
804
805         gnupg-ru@gnupg.org          Russian speaking counterpart of
806                                     gnupg-users.
807
808         gnupg-devel@gnupg.org       GnuPG developers main forum.
809
810     You subscribe to one of the list by sending mail with a subject
811     of "subscribe" to x-request@gnupg.org, where x is the name of the
812     mailing list (gnupg-announce, gnupg-users, etc.).  An archive of
813     the mailing lists are available at
814     http://www.gnupg.org/documentation/mailing-lists.html
815
816     Please direct bug reports to http://bugs.gnupg.org or post
817     them direct to the mailing list <gnupg-devel@gnupg.org>.
818
819     Please direct questions about GnuPG to the users mailing list or
820     one of the pgp newsgroups; please do not direct questions to one
821     of the authors directly as we are busy working on improvements and
822     bug fixes.  The English and German mailing lists are watched by
823     the authors and we try to answer questions when time allows us to
824     do so.
825
826     Commercial grade support for GnuPG is available; please see
827     http://www.gnupg.org/service.html .