jenkins: include local bin directory in PATH
[gnupg-doc.git] / misc / blog.gnupg.org / 20151224-gnupg-in-november-and-december.org
1 # GnuPG News for November and December 2015
2 #+STARTUP: showall
3 #+AUTHOR: Neal
4 #+DATE: December 24th, 2015
5 #+Keywords: Presentation
6
7 ** GnuPG News for November and December 2015
8
9 *** See us at 32C3
10
11 Werner and Neal will each give a talk at 32C3 as part of the [[https://events.ccc.de/congress/2015/wiki/Assembly:Free_Software_Foundation_Europe#sessions][FSFE
12 Assembly]].  Both talks are on Monday, December 28th.  Neal's
13 presentation is at 16:00 in Hall A.1.  He'll present "An Advanced
14 Introduction to GnuPG."  Werner follows immediately at 17:00 with
15 "GnuPG and its current state of development."
16
17 If you want to chat, we (Justus, Kai, Neal & Werner) will be around
18 during the congress.  (Neal will be mostly hanging out at the Kidspace
19 and thus will probably be the easiest to find.)  If you want to
20 arrange a chat, send us an email.  If you see one of us, don't
21 hesitate to ask for a business card with a list of the keys we use to
22 sign GnuPG releases!
23
24 *** Press
25
26 [[https://www.piratenpartei.de/2015/12/23/interview-mit-werner-koch/][Werner was interviewed]] (in German) by J├╝rgen Asbeck from Germany's
27 Pirate Party.
28
29 *** Development
30
31 There have been two new releases of GnuPG: version [[https://lists.gnupg.org/pipermail/gnupg-announce/2015q4/000381.html][2.1.10]] and version
32 [[https://lists.gnupg.org/pipermail/gnupg-announce/2015q4/000382.html][1.4.20]].
33
34 Version 2.1.10 is the first GnuPG version to include support for TOFU.
35 TOFU stands for trust on first use and should be familiar to anyone
36 who uses ssh.  Basically, TOFU is a mechanism to detect when the
37 binding between an identity and a key changes.  This can prevent or
38 detect active man-in-the-middle (MitM) attacks and forgeries.
39 Although this protection is weaker than the Web of Trust's theoretical
40 guarantees, we have observed that most people don't bother to sign
41 keys or set owner trust.  The practical result is that most users
42 don't make use of the web of trust and, as such, GnuPG only protects
43 them from passive MitM attacks.  TOFU provides protection against
44 active MitM as long as they are not sustained while not requiring any
45 user support.  Happily, the web of trust and TOFU can be combined.  To
46 read more about how to use TOFU, see this [[https://lists.gnupg.org/pipermail/gnupg-devel/2015-October/030341.html][email]].  A more theoretical
47 handling of how TOFU works is described in our forthcoming [[ftp://ftp.g10code.com/people/neal/tofu.pdf][paper]].
48 (Feedback is welcome.)
49
50 Another noteworthy addition to 2.1.10 is Tor support.  To enable this,
51 simple add the following to your dirmngr.conf file:
52
53 #+BEGIN_EXAMPLE
54 use-tor
55 keyserver hkp://jirk5u4osbsr34t5.onion
56 #+END_EXAMPLE
57
58 (~hkp://jirk5u4osbsr34t5.onion~ is the .onion address for [[https://sks-keyservers.net][SKS
59 Keyserver Pool]].)  Note: for this to work, you'll need to be running
60 Tor.  On Debian, you just need to install the Tor package; there is
61 nothing more to configure.
62
63 2.1.10 also includes a number of small additions.  It is now possible
64 to use ~--default-key~ multiple times and GnuPG will use the last key
65 that is available for signing (this is good when using a configuration
66 file shared among multiple hosts).  ~--encrypt-to-default-key~ will
67 causes all messages to also be encrypted to the key specified in
68 ~--default-key~.  ~--unwrap~ will strip an OpenPGP message of its
69 encryption layer (and everyone thing outside of it).  Since most
70 messages are signed and then encrypted, this preserves the signature
71 (unlike ~--decrypt~).  ~--only-sign-text-ids~ causes ~--sign~ to not
72 sign photo IDs.
73
74 In 2.1.10, Neal added code to detect ambiguous key specifications.
75 This code proved to be incomplete and has since been removed from git.
76 Given that it will take some time to ensure that the code is stable,
77 this feature will return in 2.3.x.  (2.2 is planned for the beginning
78 of 2016.)
79
80 2.1.10 also includes a number of bug fixes for dirmngr.  In
81 particular, there was a bug that prevented fetching a large number of
82 keys over TLS streams.
83
84 Both 2.1.10 and 1.4.20 include support for the new ~--weak-digest~
85 option, which can be used to explicitly mark a digest as deprecated.
86 (You should consider doing this for SHA-1, which is no longer
87 considered safe.)
88
89 Andre published [[http://lists.wald.intevation.org/pipermail/gpg4win-announce/2015-November/000067.html][version 2.3.0 of gpg2win]].  He's also been working on
90 GpgOL (a GnuPG plug-in for Outlook).  The latest test version includes
91 support for sending PGP/MIME mails.  If you are interested in helping
92 to test it, read the [[https://wiki.gnupg.org/Gpg4win/Testversions][wiki]] and follow the [[https://lists.wald.intevation.org/cgi-bin/mailman/listinfo/gpg4win-devel][gpg4win-devel mailing list]]
93 for details.
94
95 Jussi has continued his work on libgcrypt.  He recently added a
96 variable length output interface for the digest API, which was needed
97 for new SHAKE algorithms.  He has also worked on some new
98 optimizations for the hash-algorithms; fine-tuned existing SHA-3/SHAKE
99 and Tiger implementations and added an ARMv7/NEON implementation of
100 SHA-3/SHAKE.
101
102 Niibe fixed an important long standing bug in scdaemon whereby users
103 cannot access their smartcard after reinsertion.  Another minor bug
104 that he fixed is that the removal of smartcards was not always
105 correctly detected.  These bugs are fixed in 2.1.10 and will be
106 backported to 2.0.x.
107
108 Niibe also did a major change in libgcrypt for Curve25519, which
109 changes the point format of the curve by adding the 0x40 prefix (this
110 is the same as Ed25519).  New private keys and encrypted messages
111 created with the new libgcrypt will always have the prefix 0x40.  Any
112 users of Curve25519 encryption should update their libgcrypt.
113 Existing keys should continue to be handled correctly.
114
115 For those interested in Werner's work on g13 (a LUKS replacement,
116 which allows using a smartcard to decrypt the master key), he has
117 pushed his current work to the ~wk/g13work~ branch.
118
119 *** Contact
120
121 Werner announced the official [[https://lists.gnupg.org/pipermail/gnupg-devel/2015-December/030599.html][chat room]] for developers.  Note: for
122 general questions, #gnupg on freenode remains the better real-time
123 chat forum.
124
125 *** Discussions
126
127 Guilhem Moulin discussed using [[https://lists.gnupg.org/pipermail/gnupg-devel/2015-November/030576.html][OpenPGP notations to limit the scope of
128 subkeys]].
129
130 James asked about [[https://lists.gnupg.org/pipermail/gnupg-users/2015-November/054679.html][best practices for creating keys]] and got a number of
131 helpful responses.
132
133 The Nitrokey developers [[https://lists.gnupg.org/pipermail/gnupg-users/2015-November/054695.html][announced an effort to develop a new USB
134 Security Key]] with hidden storage (for plausible deniability).
135 Nitrokey is 100% free software and open hardware.  Their [[https://www.indiegogo.com/projects/nitrokey-storage-usb-security-key-for-encryption#/][crowdfunding
136 campaign]] runs until the end of December.
137
138 Robert J. Hansen shared a link to an MIT Technology Review article on
139 how [[https://lists.gnupg.org/pipermail/gnupg-users/2015-December/054864.html][user error subverts communication security]].
140
141 Matthias Apitz asked about [[https://lists.gnupg.org/pipermail/gnupg-users/2015-December/054881.html][why private keys are stored differently in
142 GnuPG 2.1]] and Werner provided a detailed explanation.
143
144 *** Donations
145
146 At the beginning of 2015, the Linux Foundation, as part of their core
147 infrastructure initiative, made a one-time USD60,000 donation.  We are
148 pleased to report that the Linux Foundation has decided to renew their
149 support for 2016 and have donated another USD60,000.  Thanks!
150
151 Unfortunately, [[https://twitter.com/stripe/status/563449352635432960][although Facebook initially announced that they would
152 provide USD50,000 of support per year]], they have since rescinded.
153
154 ** Update 2016-01-01
155
156 We have meanwhile received unofficial information that Facebook did
157 not rescinded their support pledge.  We are waiting for an official
158 comment and will report on that then.
159
160 ** Update 2016-04-27
161
162 With the help of the friendly Facebook folks we were meanwhile able to
163 clarify our perceived problem with their donation promise.  It was all
164 due to an unfortunate misunderstanding between us.  Facebook will
165 keep on supporting GnuPG in 2016 with a donation of 50000 USD.
166
167 This support greatly helps us to pay our developers who are busy
168 working on improving GnuPG and the global encryption infrastructure.
169
170 ** About this news posting
171
172 We try to write a news posting each month.  However, other work may
173 have a higher priority (e.g. security fixes) and thus there is no
174 promise for a fixed publication date.  If you have an interesting
175 topic for a news posting, please send it to us.  A regular summary of
176 the mailing list discussions would make a nice column on this news.