Add blog entry: A new bugtracker for GnuPG.
[gnupg-doc.git] / misc / blog.gnupg.org / 20150426-openpgp-summit.org
1 # GnuPG News for January 2015
2 #+STARTUP: showall
3 #+AUTHOR: Werner
4 #+DATE: April 26th, 2015
5
6 ** Notes from the first OpenPGP Summit
7
8    On April 18/19 a bunch of OpenPGP folks met in Dreieich near
9    Frankfurt to get to know themselves better and exchange experience
10    in implementing and deploying OpenPGP based applications.
11
12    During one of the meetings of our local group of regulars at the
13    [[https://chaosdorf.de][Chaosdorf]], I talked with Nico from Enigmail about the idea to get
14    the few GnuPG frontend authors together for an informal meeting.
15    We agreed that this is would be useful and we decided to go
16    for it in spring.  Due to the attention GnuPG received during the
17    following [[https://31c3.de][31C3]] it turned out that the planned GPG meeting
18    would grow to an OpenPGP summit with about 30 attendees.  We even
19    had to reject several requests to join the meeting due to limited
20    space and time constraints to prepare a larger meeting.  [[http://www.josuttis.de][Nico]] took
21    care of the organization and I am really glad that he kept me clear
22    of this task.  Thanks.
23
24    Our host was [[https://www.giepa.de/][Giegerich & Partner]], an IT security company which
25    does a proprietary Outlook plugin based on GnuPG.  Their local
26    organization was excellent including snacks, beverages, a
27    great self-made dinner, and shuttle service to the hotel and the
28    airport.  Network access also worked flawlessly after having
29    signed that usual German [[http://de.wikipedia.org/wiki/St%C3%B6rerhaftung][Störerhaftung]] disclaimer.  Thanks guys.
30
31    After a welcome on Saturday morning from Nico and our host, I
32    quickly explained the planned release schedule for GnuPG and
33    explained a less known feature of GPA and Kleoptra, the [[https://gnupg.org/documentation/manuals/gpgme/UI-Server-Protocol.html][UI-Server]].
34    We then started the presentations of the projects present:
35    [[http://gpg4win.org][Gpg4win]],
36    [[https://enigmail.net][Enigmail]],
37    Gpg4o,
38    r2mail2,
39    [[http://openkeychain.org][OpenKeychain,]]
40    [[https://gpgtools.org][GPG Tools]],
41    [[https://pixelated-project.org][Pixelated]],
42    [[https://whiteout.io][Whiteout]],
43    [[https://mailvelope.com][Mailvelope,]]
44    [[https://mailpile.is][Mailpile]],
45    [[https://github.com/google/end-to-end][End-to-end]],
46    [[https://caliopen.org][CaliOpen]], and
47    [[https://debian.org][Debian]].
48
49    It was really interesting to learn first hand about the rich
50    environment around the OpenPGP protocol.  Although most developers
51    knew about each other it was the first time they all came together
52    to present their projects to their peers.  About half of the
53    projects are using GnuPG as their backend engine with the others
54    using one of the Javascript implementations for their OpenPGP core.
55
56    The presentations answered a lot of questions but raised others
57    which were discussed during the breaks and the wine and beer track
58    in the evening.  Important topics were identified and put on the
59    agenda for Sunday.
60
61    One of these topics was the question whether to use PGP/MIME or to
62    create a new format; with about the half of the group in favor of
63    PGP/MIME.  It seems that some often used MUAs (mailers) have
64    somewhat limited support even for regular MIME despite that this is
65    a 22 years old and matured standard.  In particular webmail
66    applications are quite limited in their MIME handling.
67    They have the easiest way to roll out fixed versions, though.  As usual I
68    got into long debates with Bjarni from Mailpile on this.  This
69    discussion was continued on Sunday in working groups on meta data
70    encryption and encrypted search.
71
72    Another topic was key distribution.  I decided not to join the
73    respective working group on Sunday because this will be a
74    too large topic for short working group.  During the Saturday
75    presentations it became clear that the more centralized projects,
76    like Whiteout and Google’s end-to-end, can more or less sidestep
77    that problem due to the better control they have on the mail
78    accounts.  The presentation from the End-to-end project was
79    nevertheless interesting and probably sparked a few idea.
80
81    Mobile clients are a primary, or even the only, target for most
82    projects and thus discussions revolved around issues like reducing
83    the amount of data to download from IMAP servers but still be able
84    to show summaries of the mail content after decryption; or on how
85    to efficiently and securely search through encrypted mails stored
86    on a remote site.
87
88    It would be quite useful to publish the results from the Sunday
89    working groups as well as the group picture.  However they have
90    not yet been collected; see below for updates.
91
92    I appreciated the opportunity to meet the GPG Tools developers, who
93    are very dedicated to make GnuPG working well on OS X.  I stressed
94    the importance to actively participate on the GnuPG mailing list to
95    keep information in sync.  One example may illustrate this: For
96    years the adaption of GnuPG-2 on GNOME based systems has been
97    hampered by the fact that the gnome-keyring-manager (GKR) tries to
98    emulate gpg-agent and thus inhibits proper working of any advanced
99    function of GnuPG (e.g. smartcards and gpgsm).  With Debian’s
100    release of Jessie that problem will even be worse due to other
101    desktop environments now also using GKR.  Given that the GKR
102    developers are not willing to change their defaults, Neal, dkg, and
103    me came up with a pragmatic solution for this problem on Saturday
104    morning.  Surprisingly we learned in the evening that GPG Tools long
105    ago came up with a very similar solution on how to integrate GnuPG
106    into the OS X keychain.
107
108    To comply with crypto geek tradition the meeting ended with a key
109    signing party using fingerprints collected in a shared file,
110    comparing its sha1sum ^W sha256sum locally, and publicly
111    confirming the correctness of ones own key.  Some had to rush for
112    the airport or train station and thus not all keys could be
113    checked.
114
115    Overall it was a successful meeting and it should be repeated to
116    extend our discussions on the mailing lists in a conference
117    setting.  I do not want end these notes without remarking that I am
118    a bit disappointed that many of the participants favored this
119    closed invitation-only style summit and want the next meeting to
120    happen the same way.  I would actually like to have an open OpenPGP
121    meeting with a stronger emphasis on Free Software and a clear
122    anti-surveillance message.
123
124
125 ** Minutes from the working groups
126
127    /[If you have something to publish, please send it to me for
128      publication at this place.  CC-by-SA please.]/