blog: fix typo
[gnupg-doc.git] / misc / blog.gnupg.org / 20160519-gnupg-in-2016.org
1 # GnuPG in 2016
2 #+STARTUP: showall
3 #+AUTHOR: Justus
4 #+DATE: May 19th, 2016
5 #+Keywords: Presentation
6
7 ** GnuPG in 2016
8
9 This is an overview of what happened in the first half of 2016 in the
10 GnuPG project and community.
11
12 *** Development
13
14 There has been one release of the current stable branch of GnuPG,
15 version [[https://lists.gnupg.org/pipermail/gnupg-announce/2016q1/000385.html][2.0.30]].  Our development branch GnuPG modern saw two releases,
16 [[https://lists.gnupg.org/pipermail/gnupg-announce/2016q1/000383.html][2.1.11]], and [[https://lists.gnupg.org/pipermail/gnupg-announce/2016q2/000387.html][2.1.12]].
17
18 Among many bugfixes and other improvements GnuPG 2.1.11 added a new
19 command ~--export-ssh-key~ that replaces the ~gpgkey2ssh~ tool, and we
20 now use the CA certificate of ~hkps.pool.sks-keyservers.net~ to secure
21 communications with the servers in the pool without further
22 configuration.  Furthermore, we now print a warning if a GnuPG
23 component is using an older version of our backend daemons.
24
25 2.1.12 brought support for a new experimental "Web Key Directory" key
26 location service, read-support for a new private key protection format
27 and the new extended private key format, improved Tofu support, use of
28 the new libusb 1.0 API, and countless small features and fixes.
29
30
31 Daniel Genkin, Lev Pachmanov, Itamar Pipman, and Eran Tromer from the
32 Tel Aviv University demonstrated a practical way to extract ECDH keys
33 via low-bandwidth electromagnetic attacks on PCs[fn:1].  Libgcrypt
34 version 1.6.5 and an updated Windows installer for GnuPG 2.1.11 has
35 been [[https://lists.gnupg.org/pipermail/gnupg-announce/2016q1/000384.html][released]] to mitigate this attack.
36
37 In April we released a new stable version of Libgcrypt, version [[https://lists.gnupg.org/pipermail/gnupg-announce/2016q2/000386.html][1.7]].
38 It retains full API and ABI compatibiliy to the 1.6 series.  Its main
39 features are new algorithms, curves, and performance improvements.
40
41
42 Andre worked on PGP/MIME support in GpgOL, and the current stable
43 version [[http://lists.wald.intevation.org/pipermail/gpg4win-announce/2016-April/000068.html][2.3.1]] of Gpg4win includes an option to enable experimental
44 support for sending GPG/MIME and S/MIME.  He also worked on Kleopatra,
45 removing some dependencies on KDE components and DBUS, and porting it
46 to newer KDE frameworks, making it easier to build, maintain and hack.
47 A [[https://wiki.gnupg.org/Gpg4win/Testversions][beta version]] of Gpg4win 3.0.0 has been released featuring the leaner
48 Kleopatra with newer KDE libraries.  Andre also worked on registering
49 file extensions in Windows integrating encryption and decryption of
50 files into the desktop environment, and implementing a 'Show Password'
51 feature for the pinentries.
52
53
54 Jussi worked on libgcrypt, most notably [[https://lists.gnupg.org/pipermail/gcrypt-devel/2016-January/003671.html][adding]] an ARM assembly
55 implementation of SHA-512, and Intel PCMUL implementations for CRC
56 algorithms.
57
58
59 Justus worked on a new [[https://lists.gnupg.org/pipermail/gnupg-devel/2016-April/031027.html][test framework]] for GnuPG and related projects,
60 a new [[https://lists.gnupg.org/pipermail/gnupg-devel/2016-April/031001.html][extensible storage format]] for private keys, [[https://www.libssh.org/archive/libssh/2016-03/0000058.html][implemented]]
61 elliptic-curve cryptography in libssh using libgcrypt as backend, and
62 triaged and fixed GnuPG bugs.
63
64
65 Kai evaluated Mailpile.  As the future of Mozilla Thunderbird - and
66 with it Enigmails - is uncertain, we decided to explore alternative
67 end-user-friendly mail clients with support for GnuPG.
68
69
70 Gniibe worked on GnuPG and libgcrypt.  He ported GnuPG's ~scdaemon~ to
71 libusb 1.0, and worked with the team from Tel Aviv University to
72 protect libgcrypt against the sidechannel attack.  Gniibe also
73 maintains GnuPG-related packages in Debian.  He updated both [[https://tracker.debian.org/pkg/poldi][Poldi]] and
74 [[https://tracker.debian.org/pkg/scute][Scute]].  Gniibe designs and sells the FST-1, a small microcontroller
75 that depending on the firmware either acts as an OpenPGP smart card or
76 a hardware random number generator.  As the stock is running low and
77 some components cannot be sourced any longer, he is [[http://www.gniibe.org/memo/development/fs-bb48/fs-bb48-idea.html][working]] on the
78 successor featuring a simpler design, a button, and support for
79 elliptic curve cryptography.
80
81 *** Press
82
83 Werner received the [[https://www.fsf.org/news/library-freedom-project-and-werner-koch-are-2015-free-software-awards-winners][Award for the Advancement of Free Software]] for his
84 work on GnuPG.
85
86 *** Discussions
87
88 Andre [[http://lists.gnupg.org/pipermail/gnupg-users/2016-January/054943.html][asked]] how to obtain a key in a format suitable for SSH's
89 ~authorized_keys~ file from an OpenPGP public certificate now that
90 ~gpgkey2ssh~ has been deprecated.  The discussion was [[https://bugs.gnupg.org/gnupg/issue2212][taken to the bug
91 tracker]], and a solution released with GnuPG 2.1.11.
92
93 Lachlan J. Gunn, Andrew Allison, and Derek Abbott wrote a paper about
94 how Tor can be used to detect malicious key servers[fn:2].  The
95 [[http://lists.gnupg.org/pipermail/gnupg-users/2016-February/055326.html][announcement]] contains more information including a link to their
96 implementation.
97
98 Daniel [[https://lists.gnupg.org/pipermail/gnupg-users/2016-April/055819.html][reported]] that there have been discussions on building a Live-CD
99 for securely managing OpenPGP master keys and smart cards over at
100 debian-devel, and he asked if anyone knows about such an effort, or
101 has comments on his proposal.  The discussion went into all kinds of
102 directions, but the consensus was that this is a useful idea.
103
104 Bernhard [[https://lists.gnupg.org/pipermail/gnupg-devel/2016-May/031042.html][wrote]] about work being done for the EasyGpg2016 project.
105 They produced [[https://wiki.gnupg.org/EasyGpg2016/VisionAndStories][user archetypes and stories]] that should guide the
106 refinement of GnuPG and related tools, and a [[https://wiki.gnupg.org/EasyGpg2016/CertDistributionConcept][key distribution concept]].
107
108 *** Donations
109
110 We received this year until now about 90 donations summing up to 3000
111 Euro.  Thanks for that help.  Sure, that is not enough to pay our
112 costs, but fortunately we still have enough money in our accounts to
113 keep bread, water, and beer on our tables for this year and somewhat
114 longer.  We will eventually run a new donation campaign, though.
115
116 It is probably less known that that we offer SEPA payments which can be
117 used for recurring donations.  We have not received many payments
118 through SEPA yet and thus this method is only semi-automated and the
119 cause for delays between a donation and a confirmation mail.  There is
120 an obvious way to make us automate this ;-)
121
122 Lastly, let us confirm that we were meanwhile able to clarify our
123 perceived problem with the Facebook donation promise.  This was all
124 due to an unfortunate misunderstanding between us.  Facebook will keep
125 on supporting GnuPG in 2016 with a donation of 50000 USD.
126
127 ** About this news posting
128
129 We try to write a news posting each month (though we must admit that
130 we slipped a little in 2016).  However, other work may have a higher
131 priority (e.g. security fixes) and thus there is no promise for a
132 fixed publication date.  If you have an interesting topic for a news
133 posting, please send it to us.  A regular summary of the mailing list
134 discussions would make a nice column on this news.
135
136 * Footnotes
137
138 [fn:1] Daniel Genkin, Lev Pachmanov, Itamar Pipman, Eran Tromer, ECDH
139        key-extraction via low-bandwidth electromagnetic attacks on
140        PCs, proc. RSA Conference Cryptographers' Track (CT-RSA) 2016,
141        LNCS 9610, 219-235, Springer, 2016,
142        https://www.cs.tau.ac.il/~tromer/ecdh/
143
144 [fn:2] Lachlan J. Gunn, Andrew Allison, Derek Abbott, Verifying public
145        keys without trust: How anonymity can guarantee data integrity,
146        arXiv preprint arXiv:1602.03316, 2016,
147        http://arxiv.org/pdf/1602.03316v1.pdf