Fix factory-reset for admin-less mode.
[gnuk/gnuk.git] / README
diff --git a/README b/README
index 1e1431a..08feaed 100644 (file)
--- a/README
+++ b/README
@@ -1,19 +1,34 @@
-************* THIS IS DEVELOPMENT BRANCH OF GNUK       *************
-************* Text written below is for release 1.0.2, *************
-************* which might not be vaild for this code   *************
-
 Gnuk - An Implementation of USB Cryptographic Token for GnuPG
 
-                                                         Version 1.0.2
-                                                            2013-02-15
+                                                         Version 1.2.4
+                                                            2017-05-12
                                                           Niibe Yutaka
                                      Free Software Initiative of Japan
 
+Release Notes
+=============
+
+This is the release of Gnuk, version 1.2.4, which has major
+incompatible changes to Gnuk 1.0.x.  Specifically, it now supports
+overriding key import, but importing keys (or generating keys) results
+password reset.  Please update your documentation for Gnuk Token, so
+that the instruction of importing keys won't cause any confusion.
+
+It has supports of EdDSA, ECDSA (with NIST P256 and secp256k1), and
+ECDH (with X25519, NIST P256 and secp256k1), but this ECC feature is
+somehow experimental, and it requires modern GnuPG 2.1 with libgcrypt
+1.7.0 or later.
+
+It also supports RSA-4096, but users should know that it takes more
+than 8 seconds to sign/decrypt.  Key generation of RSA-4096 just fails,
+because the device doesn't have enough memory.
+
+
 What's Gnuk?
 ============
 
 Gnuk is an implementation of USB cryptographic token for GNU Privacy
-Guard.  Gnuk supports OpenPGP card protocol version 2, and it runs on
+Guard.  Gnuk supports OpenPGP card protocol version 3, and it runs on
 STM32F103 processor.
 
 I wish that Gnuk will be a developer's soother who uses GnuPG.  I have
@@ -31,9 +46,9 @@ FAQ
 ===
 
 Q0: How Gnuk USB Token is superior than other solutions (OpenPGP
-    card 2.0, GPF Crypto Stick, etc.) ?
-    http://www.g10code.de/p-card.html
-    http://www.privacyfoundation.de/crypto_stick/
+    card 2.0, YubiKey, etc.) ?
+    https://www.g10code.de/p-card.html
+    https://www.yubico.com/
 A0: Good points of Gnuk are:
     * If you have skill of electronics and like DIY, you can build
       Gnuk Token cheaper (see Q8-A8).
@@ -46,28 +61,30 @@ A0: Good points of Gnuk are:
            "for Free Software"; Gnuk supports GnuPG.
 
 Q1: What kind of key algorithm is supported?
-A1: Gnuk version 1 only supports 2048-bit RSA.
+A1: Gnuk version 1.0 only supports RSA-2048.
+    Gnuk version 1.2.x supports 255-bit EdDSA, as well as RSA-4096.
+    (Note that it takes long time to sign with RSA-4096.)
 
 Q2: How long does it take for digital signing?
-A2: It takes a second and a half or so. 
+A2: It takes a second and a half or so for RSA-2048. 
+    It takes more than 8 secondd for RSA-4096.
 
 Q3: What's your recommendation for target board?
 A3: Orthodox choice is Olimex STM32-H103.
-    If you have skill of electronics and like DIY, STM32 part of STM8S
-    Discovery Kit might be the best choice.
-    FST-01 (Flying Stone Tiny 01) will be soon available for sale,
-    and it will be the best choice, hopefully.
+    FST-01 (Flying Stone Tiny 01) is available for sale, and it is a
+    kind of the best choice, hopefully.
+    If you have a skill of electronics, STM32 Nucleo F103 is the best
+    choice for experiment.
 
 Q4: What's version of GnuPG are you using?
-A4: In Debian GNU/Linux system, I use gnupg 1.4.11-3 and gnupg-agent
-    2.0.18-2.  With older versions, you can only sign with SHA1.
-    See: http://www.fsij.org/gnuk/gnupg2-fixes-needed
+A4: In Debian GNU/Linux system, I use GnuPG modern 2.1.18 in
+    unstable.
 
 Q5: What's version of pcscd and libccid are you using?
-A5: In Debian GNU/Linux system, I use pcscd 1.5.5-4 and libccid 1.3.11-2,
-    which is in squeeze.  Note that you need to edit /etc/libccid_Info.plist
-    when using libccid (< 1.4.1).
-    Note that pcscd and libccid are optional, you can use Gnuk without them.
+A5: I don't use them, pcscd and libccid are optional, you can use Gnuk
+    Token without them.
+    I tested pcscd 1.5.5-4 and libccid 1.3.11-2 which were in Debian
+    squeeze.
 
 Q6: What kinds of hardware is required for development?
 A6: You need a target board plus a JTAG/SWD debugger.  If you just
@@ -79,17 +96,12 @@ Q7: How much does it cost?
 A7: Olimex STM32-H103 plus ARM-USB-TINY-H cost 70 Euro or so.
 
 Q8: How much does it cost for DIY version?
-A8: STM8S Discovery Kit costs 750 JPY (< $10 USD) only.  You can build
-    your own JTAG debugger using FTDI2232 module (1450 JPY), see:
-    http://www.fsij.org/gnuk/jtag_dongle_ftdi2232
+A8: STM32 Nucleo F103 costs about $10 USD.
 
 Q9: I got an error like "gpg: selecting openpgp failed: ec=6.108", what's up?
-
-A9: GnuPG's SCDaemon has problems for handling insertion/removal of
-    card/reader (problems are fixed in trunk, and backported to 2.0
-    branch, it will be 2.0.20).  When your newly inserted token is not
-    found by GnuPG, try killing scdaemon and let it to be invoked
-    again.  I do:
+A9: Older GnuPG's SCDaemon has problems for handling insertion/removal of
+    card/reader.  When your newly inserted token is not found by
+    GnuPG, try killing scdaemon and let it to be invoked again.  I do:
 
         $ gpg-connect-agent "SCD KILLSCD" "SCD BYE" /bye
 
@@ -103,7 +115,7 @@ Aa: You need to deactivate seahorse-agent and gnome-keyring, but use
 
       $ gconftool-2 --type bool --set /apps/gnome-keyring/daemon-components/ssh false
 
-Qb: With GNOME 3, I can't use Gnuk Token at all.  Why?
+Qb: With GNOME 3.0, I can't use Gnuk Token at all.  Why?
 Ab: That's because gnome-keyring-daemon interferes GnuPG.  Type:
 
       $ gnome-session-properties
@@ -111,21 +123,30 @@ Ab: That's because gnome-keyring-daemon interferes GnuPG.  Type:
     and at the tab of "Startup Programs", disable check buttons for
     "GPG Password Agent" and "SSH Key Agent".
 
-Qc: Do you know a good SWD debugger to connect FST-01 or something?
-Ac: ST-Link/V2 is cheap one.  We have a tool/stlinkv2.py as flash ROM
-    writer program.
+Qc: With GNOME 3.x (x >= 8?), I can't use Gnuk Token at all.  Why?
+Ac: That's because gnome-keyring-daemon interferes GnuPG.  Please
+    disable the invocation of gnome-keyring-daemon.  In Debian
+    wheezy, it's in the files /etc/xdg/autostart/gnome-keyring-ssh.desktop
+    and /etc/xdg/autostart/gnome-keyring-gpg.desktop.
+    We have a line something like:
 
+        OnlyShowIn=GNOME;Unity;MATE;
 
-Release notes
-=============
+    Please edit this line to:
 
-This is a second minor release in version 1.0 series of Gnuk.
+        OnlyShowIn=
+
+Qd: Do you know a good SWD debugger to connect FST-01 or something?
+Ad: ST-Link/V2 is cheap one.  We have a tool/stlinkv2.py as flash ROM
+    writer program.  STM32 Nucleo F103 comes with the valiant of
+    ST-Link/V2.  However, the firmware of ST-Link/V2 is proprietary.
+    Now, I develop BBG-SWD, SWD debugger by BeagleBone Green.
 
-While it is daily use for a year and a half, some newly introduced
-features (including key generation and firmware upgrade) should be
-considered experimental.
 
-Tested features are:
+Tested features
+===============
+
+Gnuk is tested by test suite.  Please see the test directory.
 
        * Personalization of the card
          * Changing Login name, URL, Name, Sex, Language, etc.
@@ -142,11 +163,10 @@ Tested features are:
        * Modify with pin pad
        * Card holder certificate (read)
        * Removal of keys
-         (Overriding key import is not supported,
-         but you can remove all keys to import again).
-       * Key generation on device side
+       * Key generation on device side for RSA-2048
+       * Overriding key import
 
-Original features of Gnuk, tested lightly:
+Original features of Gnuk, tested manually lightly:
 
        * OpenPGP card serial number setup
        * Card holder certificate (write by UPDATE BINARY)
@@ -154,48 +174,46 @@ Original features of Gnuk, tested lightly:
 
 It is known not-working well:
 
-       * For some version of kernel and libccid, --enable-debug can't
-         work well.  Please make sure to disable DEBUG option if it
-         doesn't work well.
-
-It is known that the combination of libccid 1.4.1 (or newer) with
-libusb 1.0.8 (or older) has a minor problem.  It is rare but it is
-possible for USB communication to be failed, because of a bug in
-libusb implementation.  Use libusbx 1.0.9 or newer, or don't use
-PC/SC, but use internal CCID driver of GnuPG.
+        * It is known that the specific combination of libccid 1.4.1
+         (or newer) with libusb 1.0.8 (or older) had a minor problem.
+         It is rare but it is possible for USB communication to be
+         failed, because of a bug in libusb implementation.  Use
+         libusbx 1.0.9 or newer, or don't use PC/SC, but use internal
+         CCID driver of GnuPG.
 
 
 Targets
 =======
 
-We use Olimex STM32-H103 board and Flying Stone Tiny 01 (FST-01).  We
-also use STM32 part of STM8S Discovery Kit.
+We use Olimex STM32-H103 board and Flying Stone Tiny 01 (FST-01).
 
-With DfuSe support, CQ STARM, STBee, and STBee Mini are also our
-targets.  But those targets with DfuSe are basically not for normal
-use but for experiments, because it would be impossible for DfuSe to
+With DfuSe support, STBee is also our targets.  But this target with
+DfuSe is for experiment only, because it is impossible for DfuSe to
 disable read from flash.  For real use, please consider killing DfuSe
 and enabling read protection using JTAG debugger.
 
-I think that it could run on Olimex STM32-P103, or other boards with
-STM32F103.  Besides, we are porting it to STM32 Primer 2.
+For experimental PIN-pad support, I connect a consumer IR receive
+module to FST-01, and use controller for TV.  PIN verification is
+supported by this configuration.  Yes, it is not secure at all, since
+it is very easy to monitor IR output of the controllers.  It is just
+an experiment.  Note that hardware needed for this experiment is only
+a consumer IR receive module which is as cheap as 50 JPY.
 
-For PIN-pad support, I connect a consumer IR receive module to STBee
-Mini and STM8S Discovery Kit, and use controller for TV.  PIN
-verification is supported by this configuration.  Yes, it is not
-secure at all, since it is very easy to monitor IR output of the
-controllers.  It is just an experiment.  Note that hardware needed for
-this experiment is only a consumer IR receive module which is as cheap
-as 50 JPY.
+Note that you need pinpad support for GnuPG to use PIN-pad enabled
+Gnuk.  The pinpad support for GnuPG is only available in version 2.
 
-Another PIN-pad support is connecting rotary encoder, push switch and
-7-segment LED display.  Both of PIN verification and PIN modification
-are supported for this circuit extension.
 
-Note that you need pinpad support for GnuPG to use PIN-pad enabled
-Gnuk.  The pinpad support for GnuPG is currently in the master branch
-of GnuPG git repository at git.gnupg.org, and it's under evaluation.
-When it will be considered stable, it will be put onto stable branch.
+Build system and Host system
+============================
+
+Makefile is written for GNU make.  You need Bash 4.x for configure.
+
+If your bash is not installed as /bin/bash, you need to run configure
+script prepending 'bash' before './configure'.
+
+Some tools are written in Python.  If your Python is not installed as
+/usr/bin/python, please prepend 'python' for your command invocation.
+Python 2.7 and PyUSB 0.4.3 is assumed.
 
 
 Souce code
@@ -220,10 +238,9 @@ Please read relevant licenses for external source code as well.
 
 The author(s) of Gnuk expect users of Gnuk will be able to access the
 source code of Gnuk, so that users can study the code and can modify
-if needed.  This doesn't mean person who has a USB Token by Gnuk
-should be able to access everything on the Token, regardless of its
-protections.  Private keys, and other information should be protected
-properly.
+if needed.  This doesn't mean person who has a Gnuk Token should be
+able to access everything on the Token, regardless of its protections.
+Private keys, and other information should be protected properly.
 
 
 External source code
@@ -231,17 +248,14 @@ External source code
 
 Gnuk is distributed with external source code.
 
-* chibios/  -- ChibiOS/RT 2.4.3
-
-  Source code taken from: http://chibios.sourceforge.net/
+* chopstx/  -- Chopstx 1.3
 
-  We use ChibiOS/RT as the kernel for Gnuk.
+  We use Chopstx as the kernel for Gnuk.
 
-  ChibiOS/RT is distributed under GPLv3+ (with a special exception
-  for unmodified code).
+  Chopstx is distributed under GPLv3+ (with a special exception).
 
 
-* polarssl/  -- PolarSSL 1.2.6
+* polarssl/  -- based on PolarSSL 1.2.10 (now mbedTLS)
 
   Souce code taken from: http://polarssl.org/
 
@@ -266,7 +280,12 @@ Gnuk is distributed with external source code.
   modified for 2048-bit keys only Gnuk.
 
   The function mpi_mul_hlp in library/bignum.c is modified for more
-  optimization for ARM Cortex-M3.
+  optimization for ARM Cortex-M3.  Functions mpi_montred, mpi_sub_hlp,
+  mpi_sub_abs, mpi_mul_mpi, mpi_montmul, and mpi_exp_mod are modified
+  to avoid side channel attacks.  Note that we don't use RSA-blinding
+  technique for Gnuk.  Function mpi_gen_prime and mpi_is_prime are
+  modified to use Fouque-Tibouchi method.  Function mpi_exp_mod is
+  modified to use new function mpi_montsqr for speed up.
 
   The file library/aes.c is modified so that some constants can
   go to .sys section.
@@ -282,14 +301,16 @@ Gnuk is distributed with external source code.
 USB vendor ID and product ID (USB device ID)
 ============================================
 
-When you have a vender ID and assign a product ID for Gnuk, edit the
+When you have a vendor ID and assign a product ID for Gnuk, edit the
 file GNUK_USB_DEVICE_ID and add an entry for yours.  In this case,
 please contact Niibe, so that it is listed to the file in the official
 release of the source code.
 
 When you are modifing Gnuk and installing the binary to device, you
-should replace the vendor string to yours, so that users can see it's
-not by original vendor, and it is modified version.
+should replace the vendor string and serial number to yours (in the
+file GNUK_USB_DEVICE_ID and SERIALNO of the script of src/configure),
+so that users can see it's not by original vendor, and it is modified
+version.
 
 FSIJ allows you to use USB device ID of FSIJ (234b:0000) for devices
 with Gnuk under one of following conditions:
@@ -331,43 +352,22 @@ For GNU/Linux, PC/SC service is an option, you can use GnuPG's
 internal CCID driver instead.  If you chose using PC/SC service,
 libccid version >= 1.3.11 is recommended for GNU/Linux.
 
-I think that it should not be requirment but the kernel version of my use is:
-Linux version 2.6.32-5-686 (Debian 2.6.32-18) (ben@decadent.org.uk) (gcc version 4.3.5 (Debian 4.3.5-2) ) #1 SMP Sat Jul 24 02:27:10 UTC 2010
-
-Linux 2.6.30 is known *NOT* working well with DEBUG option.
-Linux 2.6.24 is known working well with DEBUG option.
-
 
 How to compile
 ==============
 
 You need GNU toolchain and newlib for 'arm-none-eabi' target.
 
-See http://github.com/esden/summon-arm-toolchain/ (which includes fix
-of binutils-2.21.1) for preparation of GNU Toolchain for
-'arm-none-eabi' target.  This is for GCC 4.5.
+On Debian we can install the packages of gcc-arm-none-eabi,
+gdb-arm-none-eabi and its friends.  I'm using:
 
-# Note that we need to link correct C library (for string functions).
-# For this purpose, Makefile.in contains following line:
-# 
-#      MCFLAGS= -mcpu=$(MCU) -mfix-cortex-m3-ldrd
-# 
-# This should not be needed (as -mcpu=cortex-m3 means
-# -mfix-cortex-m3-ldrd), but in practice it is needed for 
-# the configuration of patch-gcc-config-arm-t-arm-elf.diff in
-# summon-arm-toolchain.
-# 
-# In ChibiOS_2.0.8/os/ports/GCC/ARM/rules.mk, it specifies
-# -mno-thumb-interwork option.  This means that you should not
-# link C library which contains ARM (not Thumb) code.
-
-Recently, there is "gcc-arm-embedded" project.  See:
-
-    https://launchpad.net/gcc-arm-embedded/
-
-It is based on GCC 4.6.   For version 4.6-2012-q2-update, you'd
-need "-O3 -Os" instead of "-O2" and it will be slightly better.
+       binutils-arm-none-eabi  2.28-4+9+b2
+       gcc-arm-none-eabi       15:5.4.1+svn241155-1
+       gdb-arm-none-eabi       7.12-6+9+b2
+       libnewlib-arm-none-eabi 2.4.0.20160527-2
 
+Or else, see https://launchpad.net/gcc-arm-embedded for preparation of
+GNU Toolchain for 'arm-none-eabi' target.
 
 Change directory to `src':
 
@@ -381,11 +381,12 @@ Here, you need to specify USB vendor ID and product ID.  For FSIJ's,
 it's: --vidpid=234b:0000 .  Please read section 'USB vendor ID and
 product ID' above.
 
-Type:
+
+Then, type:
 
   $ make
 
-Then, we will have "gnuk.elf".
+Then, we will have "gnuk.elf" under src/build directory.
 
 
 How to install
@@ -394,97 +395,36 @@ How to install
 Olimex STM32-H103 board
 -----------------------
 
-If you are using Olimex JTAG-Tiny, type following to invoke OpenOCD:
-
-  $ openocd -f interface/olimex-jtag-tiny.cfg -f board/olimex_stm32_h103.cfg
+If you are using Olimex JTAG-Tiny, type following to invoke OpenOCD
+and write "gnuk.elf" to Flash ROM:
 
-Then, with another terminal, type following to write "gnuk.elf" to Flash ROM:
+  $ openocd -f interface/ftdi/olimex-jtag-tiny.cfg \
+            -f board/olimex_stm32_h103.cfg \
+            -c "program build/gnuk.elf verify reset exit"
 
-  $ telnet localhost 4444
-  > reset halt
-  > flash write_image erase gnuk.elf
-  > reset
-  > exit
-  $ 
+Command invocation is assumed in src/ directory.
 
 
 Flying Stone Tiny 01
 --------------------
 
-If you are using Flying Stone Tiny 01, you need a SWD writer.  I am
-using revision 946 of Simon Qian's Versaloon.
-
-    svn checkout -r 946 http://vsprog.googlecode.com/svn/trunk/
-
-For OpenOCD, we need unofficial patch.
-
-See the article of Versaloon Forum:
-
-    http://www.versaloon.com/bbs/viewtopic.php?p=16179
-
-
-Type following to invoke OpenOCD:
-
-  $ openocd -f interface/vsllink.cfg -c "transport select swd" -c "swd_mode 2" -f target/stm32f1x.cfg
-
-Then, with another terminal, type following to write "gnuk.elf" to Flash ROM:
-
-  $ telnet localhost 4444
-  > reset halt
-  > flash write_image erase gnuk.elf
-  > reset
-  > exit
-  $ 
-
-OpenOCD 0.6.1 now supports ST-Link/V2.  We can use it:
-
-  $ openocd -f interface/stlink-v2.cfg -f target/stm32f1x_stlink.cfg
-
-But it doesn't support option bytes handling yet.
-
-
-STM8S Discovery Kit
--------------------
-
-If you are using FTDI-2232D module and the connection is standard, type:
-
-  $ openocd -f interface/openocd-usb.cfg -f target/stm32.cfg
-
-Initially, the flash ROM of the chip is protected.  you need to do:
+If you are using Flying Stone Tiny 01, you need a SWD writer.
 
-  $ telnet localhost 4444
-  > reset halt
-  > stm32x unlock 0
-  > reset
-  > shutdown
-  $ 
+OpenOCD 0.9.0 now supports ST-Link/V2.  We can use it like:
 
-and re-connect the board.  Note that power-off / power-on sequence is
-required to reset flash ROM.
+  $ openocd -f interface/stlink-v2.cfg -f target/stm32f1x.cfg \
+            -c "program build/gnuk.elf verify reset exit"
 
-Then, invoke OpenOCD again and telnet to connect OpenCD and write
-image as above example of Olimex STM32-H103.
 
 
-CQ STARM
---------
-
-Put jumper for J6 to enable DfuSe.  Connecting the board, and type:
-
-  # cd ../tool
-  # ./dfuse.py ../src/gnuk.hex
-
-Then, remove the jumper and reset the board.
-
-
-STBee and STBee Mini
---------------------
+STBee
+-----
 
 Reset the board with "USER" switch pushed.  Type following to write
 to flash:
 
   # cd ../tool
-  # ./dfuse.py ../src/gnuk.hex
+  # ./dfuse.py ../src/build/gnuk.hex
 
 Then, reset the board.
 
@@ -492,27 +432,33 @@ Then, reset the board.
 How to protect flash ROM
 ========================
 
-Invoke your OpenOCD and type:
+To protect, invoke OpenOCD like (for FST-01):
 
-  $ telnet localhost 4444
-  > reset halt
-  > stm32x lock 0
-  > reset
-  > shutdown
+  $ openocd -f interface/stlink-v2.cfg -f target/stm32f1x.cfg \
+            -c init -c "reset halt" -c "stm32f1x lock 0" -c reset -c exit
 
 After power-off / power-on sequence, the contents of flash ROM cannot
 be accessible from JTAG debugger.
 
+Unprotecting is:
+
+  $ openocd -f interface/stlink-v2.cfg -f target/stm32f1x.cfg \
+            -c init -c "reset halt" -c "stm32f1x unlock 0" -c reset -c exit
+
+Upon unprotection, flash is erased.
+
 Note that it would be still possible for some implementation of DfuSe
-to access the contents.  If you want to protect, killing DfuSe and
-accessing by JTAG debugger is recommended.
+to access the contents, even if it's protected.  If you really want to
+protect, killing DfuSe and accessing by JTAG debugger is recommended.
 
 
-How to configure
-================
+(Optional) Configure serial number and X.509 certificate
+========================================================
 
-You need python and pyscard (python-pyscard package in Debian) or
-PyUSB (python-usb package in Debian).
+This is completely optional.
+
+For this procedure, you need python and pyscard (python-pyscard
+package in Debian) or PyUSB 0.4.3 (python-usb package in Debian).
 
 (1) [pyscard] Stop scdaemon
     [PyUSB] Stop the pcsc daemon.
@@ -531,7 +477,7 @@ In case of PyUSB tool, you need to stop pcscd.
 
 If you use fixed serial number in the file 'GNUK_SERIAL_NUMBER', you can do:
 
-  $ EMAIL=<YOUR-EMAIL-ADDRESS> ../tool/gnuk_put_binary.py -s ../GNUK_SERIAL_NUMBER
+  $ EMAIL=<YOUR-EMAIL-ADDRESS> ../tool/gnuk_put_binary_usb.py -s ../GNUK_SERIAL_NUMBER
   Writing serial number
   ...
 
@@ -539,7 +485,7 @@ If you use fixed serial number in the file 'GNUK_SERIAL_NUMBER', you can do:
 
 If you have card holder certificate binary file, you can do:
 
-  $ ../tool/gnuk_put_binary.py ../../<YOUR-CERTIFICATE>.bin
+  $ ../tool/gnuk_put_binary_usb.py ../../<YOUR-CERTIFICATE>.bin
   ../../<YOUR-CERTIFICATE>.bin: <LENGTH-OF-YOUR-CERTIFICATE>
   Updating card holder certificate
   ...
@@ -560,42 +506,6 @@ virtual COM port by:
 and you will see debug output of Gnuk.
 
 
-Libccid fix needed
-------------------
-
-For libccid (< 1.4.1), we need following change:
-
---- /etc/libccid_Info.plist.dpkg-dist  2009-07-29 06:50:20.000000000 +0900
-+++ /etc/libccid_Info.plist    2010-09-05 09:09:49.000000000 +0900
-@@ -104,6 +104,7 @@
-       <key>ifdVendorID</key>
-       <array>
-+              <string>0x234B</string>
-               <string>0x08E6</string>
-               <string>0x08E6</string>
-               <string>0x08E6</string>
-@@ -237,6 +238,7 @@
-       <key>ifdProductID</key>
-       <array>
-+              <string>0x0000</string>
-               <string>0x2202</string>
-               <string>0x3437</string>
-               <string>0x3438</string>
-@@ -370,6 +372,7 @@
-       <key>ifdFriendlyName</key>
-       <array>
-+              <string>FSIJ USB Token</string>
-               <string>Gemplus Gem e-Seal Pro</string>
-               <string>Gemplus GemPC Twin</string>
-               <string>Gemplus GemPC Key</string>
-------------------
-
-This entry has been added into libccid 1.4.1 already ([r5425]).
-
-
 Testing Gnuk
 ------------
 
@@ -604,16 +514,15 @@ Type following command to see Gnuk runs:
   $ gpg --card-status
 
 
-Besides, there is a functinality test under test/ directory.  See
+Besides, there is a functionality test under test/ directory.  See
 test/README.
 
 
-Personalize the Token and import keys
--------------------------------------
+Personalize the Token, import keys, and change the password
+-----------------------------------------------------------
 
 You can personalize the token, putting your information like: Name,
-Login name, Sex, Languages, URL, etc., and password.  To do so, GnuPG
-command is:
+Login name, Sex, Languages, URL.  To do so, GnuPG command is:
 
   $ gpg --card-edit
 
@@ -627,40 +536,8 @@ RSA), you can import them.
 Gnuk supports key generation, but this feature is young and should be
 considered experimental.
 
-For detail, please see doc/note/DEMO and doc/note/DEMO-2.
-
-Note that it make sense to preserve your keys on your computer so that
-you can import the keys (again) to (possibly another) Gnuk Token.  In
-this case, you can use GnuPG's option to specify the home directory by
---homedir.
-
-After creating keys on your computer by:
-
-  $ gpg --gen-key
-  ...
-
-Copy directory which contains your secret keys to new directory named
-<gpgdir-with-your-secret-keys>:
-
-  $ cp -pa $HOME/.gnupg <gpgdir-with-your-secret-keys>
-
-Then, import keys by:
-
-  $ gpg --edit-key <YOUR-KEYID>
-
-While your $HOME/.gnupg now doesn't have your secret keys after
-import, <gpgdir-with-your-secret-keys> still has them.  You can again
-import them by:
-
-  $ gpg --homedir=<gpgdir-with-your-secret-keys> --edit-key <YOUR-KEYID>
-
-Note that you *should not* save changes this time to preserve keys
-on your computer.  The session goes like this:
-
-  gpg> quit
-  Save changes? (y/N) n
-  Quit without saving? (y/N) y
-
+For detail, please see documentation under doc/.  You can see the HTML
+version at: http://www.fsij.org/doc-gnuk/
 
 
 How to debug
@@ -675,6 +552,10 @@ Inside GDB, we can connect OpenOCD by:
 
   (gdb) target remote localhost:3333
 
+or
+
+  (gdb) target extended-remote localhost:3333
+
 
 You can see the output of PCSCD:
 
@@ -695,18 +576,25 @@ See doc/note/firmware-update.
 Git Repositories
 ================
 
-You can browse at: http://www.gniibe.org/gitweb?p=gnuk.git;a=summary
+Please use: https://anonscm.debian.org/cgit/gnuk/gnuk/
 
 You can get it by:
+    $ git clone git://anonscm.debian.org/gnuk/gnuk/gnuk.git
 
-  $ git clone git://www.gniibe.org/gnuk.git/
+It's also available at: www.gniibe.org
+You can browse at: http://git.gniibe.org/gitweb?p=gnuk/gnuk.git;a=summary
 
-or
+I put Chopstx as a submodule of Git.  Please do this:
 
-  $ git clone http://www.gniibe.org/git/gnuk.git/
+    $ git submodule update --init
 
+Gnuk 1.0 uses ChibiOS/RT, and then, we have migrated from to Chopstx
+in the development phase of Gnuk 1.1.  If you have old code of
+ChibiOS/RT, you need:
 
-Copy is available at: http://gitorious.org/gnuk
+    Edit .git/config to remove chibios reference and
+    $ git rm --cached chibios
 
 
 Information on the Web
@@ -714,15 +602,24 @@ Information on the Web
 
 Please visit: http://www.fsij.org/gnuk/
 
+Please see the FST-01 support pages:
+
+    https://www.gniibe.org/category/fst-01.html
+
+Please consider to join Gnuk-users mailing list:
+
+    https://lists.alioth.debian.org/mailman/listinfo/gnuk-users
+
 
 Your Contributions
 ==================
 
 FSIJ welcomes your contributions.  Please assign your copyright
-to FSIJ (if possible).
+to FSIJ (if possible), as I do.
 
 
 Foot note
 ==========
+
 * NUK(R) is a registered trademark owend by MAPA GmbH, Germany.
 --