git.cworth.org Git - notmuch-wiki/blob - meetings/hd2015.mdwn

   1 Bremner and dkg are co-hosting a BoF at debconf:
   2
   3 https://summit.debconf.org/debconf15/meeting/217/improving-privacy-and-security-for-notmuch-mail/
   4
   5 Agenda
   6 ======
   7
   8 Moving parts for secure e-mail
   9 ------------
  10 * libnotmuch
  11 * /usr/bin/notmuch
  12 * notmuch-emacs
  13 * libgmime
  14 * GnuPG
  15 * mml-mode
  16 * webmail:
  17   * noservice
  18   * notmuch web
  19
  20 Security concerns
  21 -----------------
  22 * wrong key selection during composition
  23 * reply (message mode defaults)
  24 * inline PGP
  25 * webmail authentication/authorization (muliple users?)
  26 * webmail message escaping (XSS, etc)
  27 * shell injection
  28 * terminal escape sequences
  29 * S/MIME support
  30
  31 ### usability as security?
  32
  33 * indexing encrypted mail
  34 * Memory Hole protected headers
  35 * key selection indicators during compositoin
  36
  37
  38 Breakout sessions
  39 -----------------
  40
  41 * based on moving part
  42
  43 Reportbacks
  44 -----------
  45
  46
  47
  48 -------------------------
  49
  50 proposed session:
  51 ---------
  52 One of (at least my) primary motivations for working on Notmuch is reducing my dependence on cloud services, and supporting the secure sending and receiving of signed and encrypted mail.  Like any realworld piece of software, notmuch is far from perfect, and several areas related to privacy and security could clearly be improved. During this BoF we'd like to plan out some topics to work on in followup hacking sessions. Anyone is welcome, even if they don't feel like hacking on notmuch. Potential topics of discussion andhacking include:
  53         * S/MIME signatures and encryption
  54         * Improving the security of the Emacs MML mime composer
  55         * Searching of GPG encrypted mail
  56         * Auditing and fixing "webbug" style problems in front ends
  57         * Making notmuch build reproducibly
  58
  59 ---------
  60
  61 more complete agenda:
  62
  63         * S/MIME signatures and encryption
  64             * test suites
  65             * integration with other keyrings
  66             * signature only (easyish) versus encryption (more work)
  67         * Improving the security of the Emacs MML mime composer
  68             * automated "encrypt-when-i-have-keys-available" mode or other convenience functions?
  69             * can an adversary force signatures based on quoted text?
  70             * generate memory-hole-style messages
  71         * Searching of GPG encrypted mail
  72             * possible implementation mechanism: "notmuch reindex --with-filter=decrypt"
  73         * Auditing and fixing "webbug" style problems in front ends
  74             * can we instruct emacs to restrict all network access from notmuch?
  75             * what other frontends might call out to the network?
  76         * Making notmuch build reproducibly
  77             * https://reproducible.debian.net/rb-pkg/unstable/amd64/notmuch.html
  78         * Protect against spoofed signature verification?
  79             * how do we deal with multipart messages where only a subtree is signed?
  80             * are other sorts of spoofing possible?
  81         * read and display memory-hole-style messages
  82         * "safe" ways to display html parts (e.g. without text/plain alternatives)
  83
  84