doc/TODO

   1 If you want to contribute (implement something from the current list, or
   2 anything), contact the developer's mailing list (gnutls-dev@lists.gnupg.org),
   3 in order to avoid having people working on the same thing.
   4
   5 Current list:
   6 * When importing a PKCS #11 certificate, check for its issuers to generate a
   7   chain (e.g. use the DN to retrieve possible signers).
   8 * Handle the following X.509 extensions:
   9    2.5.29.36: Policy Constraints
  10    2.5.29.33: Policy Mappings
  11    2.5.29.54: Inhibit Any-policy
  12    2.5.29.46: Freshest CRL
  13    2.5.29.30: Name Constraints
  14 * Improve AES assembly. AES in nettle can be improved in x86, arm and
  15   x86-64.
  16 * Add support for RSA-PSS. This signature algorithm is seen in some
  17   passport CAs. Should be added in nettle and then in gnutls.
  18 * Move ECC code to nettle.
  19 - Add DTLS 1.2 support (RFC6347)
  20 - Add certificate image support (see RFC3709, RFC6170)
  21 - RFC 3280 compliant certificate path validation.
  22   - Reject extensions in v1 certificates.
  23 - Certificate chain validation improvements:
  24   - Implement "correct" DN comparison (instead of memcmp).
  25   - Support critical key usage KeyCertSign and cRLSign.
  26   - Support path length constraints.
  27 - Perform signature calculation in PKCS #11 using not plain
  28   RSA but rather the combination of RSA-SHA256, RSA-SHA1 etc.
  29   That will allow the usage of tokens that do not allow plain RSA.
  30 - Support PKCS#8 DES-MD5 (tests/enc3pkcs8.pem) encrypted keys.
  31   (openssl seems to use DES-MD5 to encrypt keys by default)
  32 - Add support for generating empty CRLs
  33 - Document the format for the supported DN attributes.
  34 - Audit the code
  35 - Allow setting a PKCS #11 module to gnutls_x509_trust_list_t, to verify
  36   against, similarly to NSS way.
  37 - Support replacing individual algorithms via a PKCS #11 module -
  38   maybe use p11-kit for that.
  39 - Add function to extract the signers of an openpgp key. Should
  40   be similar to gnutls_x509_crt_get_dn_oid().
  41 - Add function to verify an openpgp key against a plain key.
  42 - Clean up name space of helper functions in library (memmem,
  43    firstElement, bit_mask, ...) for platforms that libtool's
  44    -export-symbols-regex doesn't work.
  45 - Add Kerberos ciphersuites
  46 - Update the current test suite, using the newest NIST's PKI Test vectors,
  47   see http://csrc.nist.gov/pki/testing/x509paths.html
  48 - Make gnutls-cli-debug exit with better error messages if the
  49   handshake fails, rather than saying that the server doesn't support
  50   TLS.
  51
  52 (+) Means high priority
  53 (*) Means medium priority
  54 (-) Means low priority (ie. nobody is interested to develop that)