doc/TODO

   1 If you want to contribute (implement something from the current list, or
   2 anything), contact the developer's mailing list (gnutls-dev@lists.gnupg.org),
   3 in order to avoid having people working on the same thing.
   4
   5 Current list:
   6 + Support PKCS#8 AES and DES-MD5 (tests/enc3pkcs8.pem) encrypted keys.
   7 * Implement Datagram-TLS (DTLS).
   8 * Implement TLS-PSK with PKCS #11.
   9 * Verify added CRLs (is it really needed?)
  10 * Add support for generating empty CRLs
  11 * Document the format for the supported DN attributes.
  12 * Audit the code
  13 - Allow verifying of certificates on their reception.
  14 - Add gnutls_certificate_set_openpgp_keyring()
  15   function, similar to gnutls_certificate_set_openpgp_key().
  16 - Add function to extract the signers of an openpgp key. Should
  17   be similar to gnutls_x509_crt_get_dn_oid().
  18 - Add function to verify an openpgp key against a plain key.
  19 - Clean up name space of helper functions in library (memmem,
  20    firstElement, bit_mask, ...) for platforms that libtool's
  21    -export-symbols-regex doesn't work.
  22 - Add Kerberos ciphersuites
  23 - Certificate chain validation improvements:
  24   - Implement "correct" DN comparison (instead of memcmp).
  25   - Support critical key usage KeyCertSign and cRLSign.
  26   - Support path length constraints.
  27 - RFC 3280 compliant certificate path validation.
  28 - Add progress handler gnutls_{dh,rsa}_params_generate2, to allow
  29   application to give progress feedback to user.
  30 - Support non-blocking gnutls_{dh,rsa}_params_generate2 for when there
  31   is not enough entropy available.
  32 - Chain verifications.
  33   - Check path length constraints.
  34   - Check keyCertSign key usages.
  35   - Reject extensions in v1 certificates.
  36 - Exhaustive test suite, using NIST's PKI Test vectors,
  37   see http://csrc.nist.gov/pki/testing/x509paths_old.html
  38   and http://csrc.nist.gov/pki/testing/x509paths.html
  39 - Clean up certtool.  Perhaps separate the different functions into
  40   separate tools.  Probably a rewrite is necessary.
  41 - Make it possible to extract the internal state of a session, to
  42   be able to execve a new process that take over the current
  43   living socket (using the fcntl close-on-exec flag) and
  44   continue the TLS session as well.
  45 - Reduce memory footprint
  46   - Inside gnutls_global_init, the library allocates about 64 kb of
  47     memory in almost 4000 calls to malloc. On my desktop, there are 22
  48     processes using gnutls, meaning about 1.2 MB of memory usage from
  49     this alone.
  50   - Furthermore, gnutls has 24 kb of relocations in the shared
  51     library. You can see this on a 2.6.16 kernel by reading
  52     /proc/PID/smaps and looking for:
  53
  54     b71a5000-b71ab000 rw-p 00062000 03:01 3131118
  55       /usr/lib/libgnutls.so.12.3.6
  56     Size:                24 kB
  57     Rss:                 24 kB
  58     Shared_Clean:         0 kB
  59     Shared_Dirty:         0 kB
  60     Private_Clean:        0 kB
  61     Private_Dirty:       24 kB
  62
  63     This means another 24 kb used by each process that makes use of
  64     libgnutls.
  65 - Make gnutls-cli-debug exit with better error messages if the
  66   handshake fails, rather than saying that the server doesn't support
  67   TLS.
  68 - Make gnutls_certificate_get_ours return a zero-terminated array (or
  69   add a new API that return the size of the array).
  70
  71 (+) Means high priority
  72 (*) Means medium priority
  73 (-) Means low priority (ie. nobody is interested to develop that)