4fe868096abe2e1b264b4537beb81c3ce6765402
[gnupg-doc.git] / misc / blog.gnupg.org / 20150310-gnupg-in-february.org
1 # GnuPG News for January 2015
2 #+STARTUP: showall
3 #+AUTHOR: Werner
4 #+DATE: March 10th, 2015
5
6 ** GnuPG News for February 2015
7
8 Indeed, very exiting news this month: The financial crisis of The
9 GnuPG Project is over.  Due to an unexpected amount of donations
10 received in the first days of February we can keep on working for at
11 least the next 2 or 3 years.
12
13 How did this happen?  At the [[https://events.ccc.de/congress/2014/wiki/Main_Page][31C3]] Nico Josuttis arranged an Interview
14 with [[http://juliaangwin.com][Julia Angwin]] who writes for [[http://www.propublica.org][ProPublica]].  Eventually on the 5th
15 her [[http://www.propublica.org/article/the-worlds-email-encryption-software-relies-on-one-guy-who-is-going-broke][article]] was published and immediately received a lot of attention.
16 Not only at the ProPublica site but at many other news site as well.
17 While checking my mail on that evening, I noticed more than thousand
18 notification mails for donations and even better: that continuous stream of
19 donations did not stop for the next days.  Alone on the first day we
20 received more than 120,000\thinsp\euro and thus more than our initial goal.
21 I even had to fix the script building the donation progress bar to not
22 overflow the right margin the same night.  I also received a call from
23 one of the Stripe founders who offered yearly donations from Stripe
24 and Facebook each at 50,0000\thinsp$.  Amazing.
25
26 I like to *thank everyone* for supporting the project, be it small or
27 large individual donations, helping users, providing corporate
28 sponsorship, working on the software, and for all the encouraging
29 words by mail, blogs, and even postcards.
30
31 Due to that new publicity for GnuPG, I received many requests for
32 interviews and for several days journalists and photographers visited
33 me in my office.  They wrote several articles for German papers and
34 radio stations, for example in the [[http://www.taz.de/Verschluesselung-mit-GnuPG/!154635/][taz]], the [[http://www.sueddeutsche.de/digital/verschluesselungssoftware-gnu-pg-wie-ein-mann-das-e-mail-geheimnis-verteidigt-1.2355155][Süddeutsche Zeitung]], and
35 the [[http://dw.de/p/1Eebj][Deutsche Welle]]. I hope these articles help to keep up the
36 awareness for the importance of privacy issues.
37
38 GnuPG does not stand alone: there are many other projects, often
39 unknown to most people, which are essential to keep the free Internet
40 running.  Many of them are run by volunteers who spend a lot of unpaid
41 time on them.  They need our support as well!
42
43 Now what to do with all that money?  Before a final plan can be
44 drafted, tax issues need to be resolved.  Given that g10^code (the
45 legal entity behind the project) is not a charity, we need to find a
46 way to stretch the use of the money beyond this year.  My tax
47 advisor is currently looking into this and I will report on the
48 outcome in another blog entry.
49
50 Regardless of this I started to look out for a second developer and
51 fortunately [[http://walfield.org][Neal Walfield]] was searching for a job and accepted my
52 offer to work on GnuPG.  Neal is well known for his work on modern
53 operating systems and I consider him an excellent hacker.  I am glad
54 to have him on board.
55
56 *** Release status
57
58 GnuPG [[https://lists.gnupg.org/pipermail/gnupg-announce/2015q1/000361.html][2.1.2]] was released on the 11th, [[http://lists.gnupg.org/pipermail/gnupg-announce/2015q1/000362.html][2.0.27]] on the 18th, and [[http://lists.gnupg.org/pipermail/gnupg-announce/2015q1/000363.html][1.4.19]]
59 on the 27th.
60
61 The 1.4.19 release features a fix for a new side channel attack on the
62 Elgamal encryption (which used to be the default public key encryption
63 algorithm until 2009).  Go ahead and read how Genkin’s group describes
64 the [[http://www.cs.tau.ac.il/~tromer/radioexp/][details]] of this attack.  The release also includes a mitigation
65 for another SCA to be described in the forthcoming paper /Last-Level
66 Cache Side-Channel Attacks are Practical/ by Yarom et al.
67
68 Libgcrypt [[http://lists.gnupg.org/pipermail/gnupg-announce/2015q1/000364.html][1.6.3]] was released on the 27th to fix the described SCAs for
69 GnuPG 2.0 and 2.1.
70
71 *** Released and not yet released changes
72
73 Several segfaults due to NULL-derefs and invalid memory reads when
74 using garbled keyrings were fixed.  These unlikely exploitable bugs
75 were detected by fuzzing instrumented versions of GnuPG; [[https://blog.fuzzing-project.org/5-Multiple-issues-in-GnuPG-found-through-keyring-fuzzing-TFPA-0012015.html][Hanno Böck's
76 report]] has some details.  A long standing implementation flaw
77 copying memory stored values to integers variables was also found and
78 fixed.  These bug fixes have been backported to 2.0 and 1.4;
79 Daniel Kahn Gillmor was kind enough to help with this.
80
81 The decade old PKA system was modernized.  The formerly used TXT
82 records haven been replaced with CERT records of the IPGP type, and
83 the local part of the mail address is now hashed and base32 encoded to
84 support all valid mail addresses.  This has been backported to 1.4.19.
85 The new option =--print-pka-records= for 2.1 can be used to create
86 zone files for PKA.
87
88 The removal of the PGP-2 support from 2.1 turned out to be more
89 complicated than expected.  Another bug related to this only showed up
90 and was fixed after the release of 2.1.2.
91
92 To help people not fluent in the spelling alphabet or when using
93 small fonts the option =--with-icao-spelling= has been added to 2.1:
94 #+begin_example
95 pub   dsa2048/F2AD85AC1E42B367 2007-12-31 [expires: 2018-12-31]
96       Key fingerprint = 8061 5870 F5BA D690 3336  86D0 F2AD 85AC 1E42 B367
97                         "Eight Zero Six One  Five Eight Seven Zero
98                          Foxtrot Five Bravo Alfa  Delta Six Niner Zero
99                          Three Three Three Six  Eight Six Delta Zero
100                          Foxtrot Two Alfa Delta  Eight Five Alfa Charlie
101                          One Echo Four Two  Bravo Three Six Seven"
102 #+end_example
103
104 The dropped support for LDAP keyserver will be re-introduced with
105 2.1.3.  Neal started to work on this and published a detailed description
106 on how to setup such an [[https://wiki.gnupg.org/LDAPKeyserver][LDAP server]].
107
108
109 ** About this news posting
110
111 I try to write a news posting every month.  However, other work may
112 have a higher priority (e.g. security fixes) and thus I won’t promise
113 any fix publication date.  If you have an interesting topic for a news
114 posting, please feel free to mail me or gnupg-users@.  A summary of
115 the mailing list discussion would be a nice to have.