doc: Typo fix for "Creation-Date".
[gnupg.git] / announce.txt
1 To: gnupg-announce@gnupg.org, info-gnu@gnu.org
2 Mail-Followup-To: gnupg-users@gnupg.org
3
4
5 Hello!
6
7 We are pleased to announce the availability of a new stable GnuPG-2
8 release: Version 2.0.24.  This release includes a *security fix* to
9 stop a possible DoS using garbled compressed data packets which can
10 be used to put gpg into an infinite loop.
11
12 The GNU Privacy Guard (GnuPG) is GNU's tool for secure communication
13 and data storage.  It can be used to encrypt data, create digital
14 signatures, help authenticating using Secure Shell and to provide a
15 framework for public key cryptography.  It includes an advanced key
16 management facility and is compliant with the OpenPGP and S/MIME
17 standards.
18
19 GnuPG-2 has a different architecture than GnuPG-1 (e.g. 1.4.17) in
20 that it splits up functionality into several modules.  However, both
21 versions may be installed alongside without any conflict.  In fact,
22 the gpg version from GnuPG-1 is able to make use of the gpg-agent as
23 included in GnuPG-2 and allows for seamless passphrase caching.  The
24 advantage of GnuPG-1 is its smaller size and the lack of dependency on
25 other modules at run and build time.  We will keep maintaining GnuPG-1
26 versions because they are very useful for small systems and for server
27 based applications requiring only OpenPGP support.
28
29 GnuPG is distributed under the terms of the GNU General Public License
30 (GPLv3+).  GnuPG-2 works best on GNU/Linux and *BSD systems but is
31 also available for other Unices, Microsoft Windows and Mac OS X.
32
33
34 What's New in 2.0.24
35 ====================
36
37  * gpg: Avoid DoS due to garbled compressed data packets.
38
39  * gpg: Screen keyserver responses to avoid importing unwanted keys
40    from rogue servers.
41
42  * gpg: The validity of user ids is now shown by default.  To revert
43    this add "list-options no-show-uid-validity" to gpg.conf.
44
45  * gpg: Print more specific reason codes with the INV_RECP status.
46
47  * gpg: Allow loading of a cert only key to an OpenPGP card.
48
49  * gpg-agent: Make ssh support for ECDSA keys work with Libgcrypt 1.6.
50
51  * Minor bug fixes.
52
53
54 Getting the Software
55 ====================
56
57 Please follow the instructions found at https://www.gnupg.org/download/
58 or read on:
59
60 GnuPG 2.0.24 may be downloaded from one of the GnuPG mirror sites or
61 direct from ftp://ftp.gnupg.org/gcrypt/gnupg/ .  The list of mirrors
62 can be found at https://www.gnupg.org/mirrors.html .  Note that GnuPG
63 is not available at ftp.gnu.org.
64
65 On ftp.gnupg.org and on its mirrors you should find the following new
66 files in the gnupg/ directory:
67
68   - The GnuPG-2 source code compressed using BZIP2 and its OpenPGP
69     signature:
70
71     gnupg-2.0.24.tar.bz2     (4201k)
72     gnupg-2.0.24.tar.bz2.sig
73
74   - A patch file to upgrade a 2.0.23 GnuPG source tree.  This patch does
75     not include updates of the language files.
76
77     gnupg-2.0.23-2.0.24.diff.bz2 (20k)
78
79 Note, that we don't distribute gzip compressed tarballs for GnuPG-2.
80 A Windows version will eventually be released at https://gpg4win.org .
81
82
83 Checking the Integrity
84 ======================
85
86 In order to check that the version of GnuPG which you are going to
87 install is an original and unmodified one, you can do it in one of
88 the following ways:
89
90  * If you already have a trusted version of GnuPG installed, you
91    can simply check the supplied signature.  For example to check the
92    signature of the file gnupg-2.0.24.tar.bz2 you would use this command:
93
94      gpg --verify gnupg-2.0.24.tar.bz2.sig
95
96    This checks whether the signature file matches the source file.
97    You should see a message indicating that the signature is good and
98    made by that signing key.  Make sure that you have the right key,
99    either by checking the fingerprint of that key with other sources
100    or by checking that the key has been signed by a trustworthy other
101    key.  Note, that you can retrieve the signing key using the command
102
103      finger wk ,at' g10code.com
104
105    or using a keyserver like
106
107      gpg --keyserver keys.gnupg.net --recv-key 4F25E3B6
108
109    The distribution key 4F25E3B6 is signed by the well known key
110    1E42B367.
111
112    NEVER USE A GNUPG VERSION YOU JUST DOWNLOADED TO CHECK THE
113    INTEGRITY OF THE SOURCE - USE AN EXISTING GNUPG INSTALLATION!
114
115  * If you are not able to use an old version of GnuPG, you have to verify
116    the SHA-1 checksum.  Assuming you downloaded the file
117    gnupg-2.0.24.tar.bz2, you would run the sha1sum command like this:
118
119      sha1sum gnupg-2.0.24.tar.bz2
120
121    and check that the output matches the first line from the
122    following list:
123
124 010e027d5f622778cadc4c124013fe515ed705cf  gnupg-2.0.24.tar.bz2
125 594d7f91ba4fc215345f18afee46c4aa9f2b3303  gnupg-2.0.23-2.0.24.diff.bz2
126
127
128 Documentation
129 =============
130
131 The file gnupg.info has the complete user manual of the system.
132 Separate man pages are included as well; however they have not all the
133 details available in the manual.  It is also possible to read the
134 complete manual online in HTML format at
135
136   https://www.gnupg.org/documentation/manuals/gnupg/
137
138 or in Portable Document Format at
139
140   https://www.gnupg.org/documentation/manuals/gnupg.pdf .
141
142 The chapters on gpg-agent, gpg and gpgsm include information on how
143 to set up the whole thing.  You may also want search the GnuPG mailing
144 list archives or ask on the gnupg-users mailing lists for advise on
145 how to solve problems.  Many of the new features are around for
146 several years and thus enough public knowledge is already available.
147
148 Almost all mail clients support GnuPG-2.  Mutt users may want to use
149 the configure option "--enable-gpgme" during build time and put a "set
150 use_crypt_gpgme" in ~/.muttrc to enable S/MIME support along with the
151 reworked OpenPGP support.
152
153
154 Support
155 =======
156
157 Please consult the archive of the gnupg-users mailing list before
158 reporting a bug <https://gnupg.org/documentation/mailing-lists.html>.
159 We suggest to send bug reports for a new release to this list in favor
160 of filing a bug at <https://bugs.gnupg.org>.  We also have a dedicated
161 service directory at:
162
163   https://www.gnupg.org/service.html
164
165 The driving force behind the development of GnuPG is the company of
166 its principal author, Werner Koch.  Maintenance and improvement of
167 GnuPG and related software takes up most of their resources.  To allow
168 him to continue this work he kindly asks to either purchase a support
169 contract, engage g10 Code for custom enhancements, or to donate money:
170
171   https://gnupg.org/donate/
172
173
174 Thanks
175 ======
176
177 We have to thank all the people who helped with this release, be it
178 testing, coding, translating, suggesting, auditing, administering the
179 servers, spreading the word, and answering questions on the mailing
180 lists.
181
182
183 Happy Hacking,
184
185   The GnuPG Team