Update GNU helper files.
[gnupg.git] / NEWS
diff --git a/NEWS b/NEWS
index 245e629..24500c1 100644 (file)
--- a/NEWS
+++ b/NEWS
-Noteworthy changes in version 1.4.2
+Noteworthy changes in version 1.4.12 (unreleased)
+-------------------------------------------------
+
+    * GPG now accepts a space separated fingerprint as a user ID.
+      This allows to copy and paste the fingerprint from the key
+      listing.
+
+
+Noteworthy changes in version 1.4.11 (2010-10-18)
+-------------------------------------------------
+
+    * Bug fixes and portability changes.
+
+    * Minor changes for better interoperability with GnuPG-2.
+
+
+Noteworthy changes in version 1.4.10 (2009-09-02)
+-------------------------------------------------
+
+    * 2048 bit RSA keys are now generated by default.  The default
+      hash algorithm preferences has changed to prefer SHA-256 over
+      SHA-1.  2048 bit DSA keys are now generated to use a 256 bit
+      hash algorithm
+
+    * Support v2 OpenPGP cards.
+
+    * The algorithm to compute the SIG_ID status has been changed to
+      match the one from 2.0.10.
+
+    * Improved file locking.  Implemented it for W32.
+
+    * Fixed a memory leak which made imports of many keys very slow.
+
+    * Many smaller bug fixes.
+
+    * Support for the Camellia cipher (RFC-5581).
+
+    * Support for HKP keyservers over SSL ("HKPS").
+
+
+Noteworthy changes in version 1.4.9 (2008-03-26)
+------------------------------------------------
+
+    * Improved AES encryption performance by more than 20% (on ia32).
+      Decryption is also a bit faster.
+
+    * Fixed possible memory corruption bug in 1.4.8 while importing
+      OpenPGP keys. [CVE-2008-1530]
+
+
+Noteworthy changes in version 1.4.8 (2007-12-20)
+------------------------------------------------
+
+             *******************************************
+             * A decade of GnuPG: g10-0.0.0.tar.gz was *
+             *      released exactly 10 years ago.     *
+             *******************************************
+
+    * Changed the license to GPLv3.
+
+    * Improved detection of keyrings specified multiple times.
+
+    * Changes to better cope with broken keyservers.
+
+    * Minor bug fixes.
+
+    * The new OpenPGP standard is now complete, and has been published
+      as RFC-4880.  The GnuPG --openpgp mode (note this is not the
+      default) has been updated to match the new standard.  The
+      --rfc2440 option can be used to return to the older RFC-2440
+      behavior.  The main differences between the two are
+      "--enable-dsa2 --no-rfc2440-text --escape-from-lines
+      --require-cross-certification".
+
+    * By default (i.e. --gnupg mode), --require-cross-certification is
+      now on.  --rfc2440-text and --force-v3-sigs are now off.
+
+    * Allow encryption using legacy Elgamal sign+encrypt keys if
+      option --rfc2440 is used.
+
+    * Fixed the auto creation of the key stub for smartcards.
+
+    * Fixed a rare bug in decryption using the OpenPGP card.
+
+    * Fix RFC-4880 typo in the SHA-224 hash prefix.  Old SHA-224
+      signatures will continue to work.
+
+
+Noteworthy changes in version 1.4.7 (2007-03-05)
+------------------------------------------------
+
+    * By default, do not allow processing multiple plaintexts in a
+      single stream.  Many programs that called GnuPG were assuming
+      that GnuPG did not permit this, and were thus not using the
+      plaintext boundary status tags that GnuPG provides.  This change
+      makes GnuPG reject such messages by default which makes those
+      programs safe again.  --allow-multiple-messages returns to the
+      old behavior. [CVE-2007-1263].
+
+    * [W32] The environment variable LANGUAGE may be used to override
+      the language given by HKCU\Software\GNU\GnuPG:Lang.  The
+      language files "*.mo" are expected in a directory named
+      "gnupg.nls" below the directory with the gpg.exe binary.
+
+    * New --verify-option show-primary-uid-only.
+
+
+Noteworthy changes in version 1.4.6 (2006-12-06)
+------------------------------------------------
+
+    * Fixed a serious and exploitable bug in processing encrypted
+      packages. [CVE-2006-6235].
+
+    * Fixed a buffer overflow in gpg. [bug#728, CVE-2006-6169]
+
+    * Fixed a bug while decrypting certain compressed and encrypted
+      messages. [bug#537]
+
+    * Added --s2k-count to set the number of times passphrase mangling
+      is repeated.  The default is 65536 times.
+
+    * Added --passphrase-repeat to set the number of times GPG will
+      prompt for a new passphrase to be repeated.  This is useful to
+      help memorize a new passphrase.  The default is 1 repetition.
+
+    * Added a GPL license exception to the keyserver helper programs
+      gpgkeys_ldap, gpgkeys_curl, and gpgkeys_hkp, to clarify any
+      potential questions about the ability to distribute binaries
+      that link to the OpenSSL library.  GnuPG does not link directly
+      to OpenSSL, but libcurl (used for HKP, HTTP, and FTP) and
+      OpenLDAP (used for LDAP) may.  Note that this license exception
+      is considered a bug fix and is intended to forgive any
+      violations pertaining to this issue, including those that may
+      have occurred in the past.
+
+    * Man pages are now built from the same source as those of GnuPG-2.
+
+
+Noteworthy changes in version 1.4.5 (2006-08-01)
+------------------------------------------------
+
+    * Reverted check for valid standard handles under Windows.
+
+    * More DSA2 tweaks.
+
+    * Fixed a problem uploading certain keys to the smart card.
+
+    * Fixed 2 more possible memory allocation attacks.
+
+    * Added Norwegian translation.
+
+
+Noteworthy changes in version 1.4.4 (2006-06-25)
+------------------------------------------------
+
+    * User IDs are now capped at 2048 bytes.  This avoids a memory
+      allocation attack (see CVE-2006-3082).
+
+    * Added support for the SHA-224 hash.  Like the SHA-384 hash, it
+      is mainly useful when DSS (the US Digital Signature Standard)
+      compatibility is desired.
+
+    * Added support for the latest update to DSA keys and signatures.
+      This allows for larger keys than 1024 bits and hashes other than
+      SHA-1 and RIPEMD/160.  Note that not all OpenPGP implementations
+      can handle these new keys and signatures yet.  See
+      "--enable-dsa2" in the manual for more information.
+
+
+Noteworthy changes in version 1.4.3 (2006-04-03)
+------------------------------------------------
+
+    * If available, cURL-based keyserver helpers are built that can
+      retrieve keys using HKP or any protocol that cURL supports
+      (HTTP, HTTPS, FTP, FTPS, etc).  If cURL is not available, HKP
+      and HTTP are still supported using a built-in cURL emulator.  To
+      force building the old pre-cURL keyserver helpers, use the
+      configure option --enable-old-keyserver-helpers.  Note that none
+      of this affects finger or LDAP support, which are unchanged.
+      Note also that a future version of GnuPG will remove the old
+      keyserver helpers altogether.
+
+    * Implemented Public Key Association (PKA) signature verification.
+      This uses special DNS records and notation data to associate a
+      mail address with an OpenPGP key to prove that mail coming from
+      that address is legitimate without the need for a full trust
+      path to the signing key.
+
+    * When exporting subkeys, those specified with a key ID or
+      fingerpint and the '!' suffix are now merged into one keyblock.
+
+    * Added "gpg-zip", a program to create encrypted archives that can
+      interoperate with PGP Zip.
+
+    * Added support for signing subkey cross-certification "back
+      signatures".  Requiring cross-certification to be present is
+      currently off by default, but will be changed to on by default
+      in the future, once more keys use it.  A new "cross-certify"
+      command in the --edit-key menu can be used to update signing
+      subkeys to have cross-certification.
+
+    * The key cleaning options for --import-options and
+      --export-options have been further polished.  "import-clean" and
+      "export-clean" replace the older
+      import-clean-sigs/import-clean-uids and
+      export-clean-sigs/export-clean-uids option pairs.
+
+    * New "minimize" command in the --edit-key menu removes everything
+      that can be removed from a key, rendering it as small as
+      possible.  There are corresponding "export-minimal" and
+      "import-minimal" commands for --export-options and
+      --import-options.
+
+    * New --fetch-keys command to retrieve keys by specifying a URI.
+      This allows direct key retrieval from a web page or other
+      location that can be specified in a URI.  Available protocols
+      are HTTP and finger, plus anything that cURL supplies, if built
+      with cURL support.
+
+    * Files containing several signed messages are not allowed any
+      longer as there is no clean way to report the status of such
+      files back to the caller.  To partly revert to the old behaviour
+      the new option --allow-multisig-verification may be used.
+
+    * The keyserver helpers can now handle keys in either ASCII armor
+      or binary format.
+
+    * New auto-key-locate option that takes an ordered list of methods
+      to locate a key if it is not available at encryption time (-r or
+      --recipient).  Possible methods include "cert" (use DNS CERT as
+      per RFC2538bis, "pka" (use DNS PKA), "ldap" (consult the LDAP
+      server for the domain in question), "keyserver" (use the
+      currently defined keyserver), as well as arbitrary keyserver
+      URIs that will be contacted for the key.
+
+    * Able to retrieve keys using DNS CERT records as per RFC-4398.
+
+
+Noteworthy changes in version 1.4.2 (2005-07-26)
 ------------------------------------------------
 
     * New command "verify" in the card-edit menu to display
       the Private-DO-3.  The Admin command has been enhanced to take
       the optional arguments "on", "off" and "verify".  The latter may
-      be used to verify the ADmin Pin without modifying data; this
-      allows displayin the Private-DO-4 with the "list" command.
+      be used to verify the Admin Pin without modifying data; this
+      allows displaying the Private-DO-4 with the "list" command.
 
     * Rewrote large parts of the card code to optionally make use of a
       running gpg-agent.  If --use-agent is being used and a gpg-agent
       with enabled scdaemon is active, gpg will now divert all card
-      operations to that daemon.  This is required because bot,
+      operations to that daemon.  This is required because both,
       scdaemon and gpg require exclusive access to the card reader. By
       delegating the work to scdaemon, both can peacefully coexist and
       scdaemon is able to control the use of the reader.  Note that
@@ -27,6 +265,19 @@ Noteworthy changes in version 1.4.2
       library.  It is enabled via the configure option --with-libcurl
       like the other (also experimental) cURL helpers.
 
+    * New key cleaning options that can be used to remove unusable
+      (expired, revoked) signatures from a key.  This is available via
+      the new "clean" command in --edit-key on a key by key basis, as
+      well as via the import-clean-sigs/import-clean-uids and
+      export-clean-sigs/export-clean-uids options for --import-options
+      and --export-options.  These are currently off by default, and
+      replace the import-unusable-sigs/export-unusable-sigs options
+      from version 1.4.1.
+
+    * New export option export-reset-subkey-passwd.
+
+    * New option --limit-card-insert-tries.
+
 
 Noteworthy changes in version 1.4.1 (2005-03-15)
 ------------------------------------------------
@@ -70,7 +321,7 @@ Noteworthy changes in version 1.4.1 (2005-03-15)
       of them.
 
     * [W32] The locale selection under Windows changed. You need to
-      enter the locale in the registry at HKCU\Software\GNU\GnuPG:Lang. 
+      enter the locale in the registry at HKCU\Software\GNU\GnuPG:Lang.
       For German you would use "de".  If it is not set, GnuPG falls
       back to HKLM.  The languages files "*.mo" are expected in a
       directory named "gnupg.nls" below the installation directory;
@@ -100,17 +351,17 @@ Noteworthy changes in version 1.3.93 (2004-12-14)
 
     * Switched to automake 1.9.  Minor big fixes.
 
-    
+
 Noteworthy changes in version 1.3.92 (2004-10-28)
 -------------------------------------------------
-    
+
     * Added Russian man page. Thanks to Pawel I. Shajdo.
 
     * libiconv is now used to support other character sets other than
       UTF-8, Latin-1,-2 and KOI8-2.  The W32 version will only work
       correctly when iconv.dll is installed on the system.  A binary
       version is available at all GNU mirror sites under libiconv.
-     
+
     * gettext for Windows has been simplified.  The MO files are now
       distributed UTF-8 encoded and gpg translates on the fly.
 
@@ -145,13 +396,13 @@ Noteworthy changes in version 1.3.90 (2004-10-01)
 
     * Support for the OpenPGP smartcard is now enabled by default.
       Use the option --disable-card-support to build without support
-      for smartcards. 
+      for smartcards.
 
     * New command "addcardkey" in the key edit menu to add subkeys to
       a smartcard. New command "keytocard" to transfer a key to a smartcard.
       The serial number of the card is show in secret key listings.
 
-    * -K may now be used as an alias for --list-secret-keys.      
+    * -K may now be used as an alias for --list-secret-keys.
 
     * HTTP Basic authentication is now supported for all HKP and HTTP
       keyserver functions, either through a proxy or via direct
@@ -338,12 +589,12 @@ Noteworthy changes in version 1.3.3 (2003-10-10)
       expands to the fingerprint of the key making the signature
       (which might be a subkey), and "%p" expands to the fingerprint
       of the primary key that owns the key making the signature.
+
     * New "tru" record in --with-colons --list-keys listings.  It
       shows the status of the trust database that was used to
       calculate the key validity in the listings.  See doc/DETAILS for
       the specifics of this.
+
     * New REVKEYSIG status tag for --status-fd.  It indicates a valid
       signature that was issued by a revoked key.  See doc/DETAILS for
       the specifics of this.
@@ -734,7 +985,7 @@ Noteworthy changes in version 1.0.7 (2002-04-29)
     * RSA key generation.
 
     * Merged Stefan's patches for RISC OS in.  See comments in
-      scripts/build-riscos. 
+      scripts/build-riscos.
 
     * It is now possible to sign and conventional encrypt a message (-cs).
 
@@ -771,7 +1022,7 @@ Noteworthy changes in version 1.0.6 (2001-05-29)
 
     * Security fix for a format string bug in the tty code.
 
-    * Fixed format string bugs in all PO files. 
+    * Fixed format string bugs in all PO files.
 
     * Removed Russian translation due to too many bugs.  The FTP
       server has an unofficial but better translation in the contrib
@@ -816,8 +1067,8 @@ Noteworthy changes in version 1.0.5 (2001-04-29)
 
     * Large File Support (LFS) is now working.
 
-    * New options: --ignore-crc-error, --no-sig-create-check, 
-      --no-sig-cache, --fixed_list_mode, --no-expensive-trust-checks,
+    * New options: --ignore-crc-error, --no-sig-create-check,
+      --no-sig-cache, --fixed-list-mode, --no-expensive-trust-checks,
       --enable-special-filenames and --use-agent.  See man page.
 
     * New command --pipemode, which can be used to run gpg as a
@@ -874,19 +1125,19 @@ Noteworthy changes in version 1.0.3 (2000-09-18)
     * New configuration option --with-egd-socket.
 
     * The --trusted-key option is back after it left us with 0.9.5
-     
+
     * RSA is supported. Key generation does not yet work but will come
-      soon. 
-    
+      soon.
+
     * CAST5 and SHA-1 are now the default algorithms to protect the key
       and for symmetric-only encryption. This should solve a couple
       of compatibility problems because the old algorithms are optional
       according to RFC2440
 
-    * Twofish and MDC enhanced encryption is now used.  PGP 7 supports 
+    * Twofish and MDC enhanced encryption is now used.  PGP 7 supports
       this.  Older versions of GnuPG don't support it, so they should be
       upgraded to at least 1.0.2
-      
+
 
 Noteworthy changes in version 1.0.2 (2000-07-12)
 ----------------------------------------------
@@ -1775,7 +2026,7 @@ Noteworthy changes in version 0.2.3
 
 
 Copyright 1998, 1999, 2000, 2001, 2002, 2003, 2004,
-          2005 Free Software Foundation, Inc.
+          2005, 2006, 2007 Free Software Foundation, Inc.
 
 This file is free software; as a special exception the author gives
 unlimited permission to copy and/or distribute it, with or without