git.cworth.org Git - notmuch-wiki/blob - meetings/hd2015.mdwn

   1 What, Where, When
   2 =================
   3
   4 *  Bremner and dkg are co-hosting a BoF at [debconf](https://summit.debconf.org/debconf15/meeting/217/improving-privacy-and-security-for-notmuch-mail/).
   5
   6 * The meeting is Monday 2015-08-17, 1700-1800 CET
   7
   8 * Video streaming should be [available](https://wiki.debconf.org/wiki/DebConf15/Videostream/Amsterdam)
   9
  10
  11 Agenda
  12 ======
  13
  14 Moving parts for secure e-mail
  15 ------------
  16 * libxapian  (C++, full text search)
  17 * libgmime (C, glib, RFC822+MIME library)
  18 * libnotmuch (C and C++)
  19 * /usr/bin/notmuch (C)
  20 * GnuPG (C)
  21 * Emacs UI (emacs lisp)
  22   * notmuch-emacs
  23   * mml-mode, mm multimedia rendering library
  24 * Alot / nmbug / nmbug-status (python)
  25   * python-bindings
  26 * webmail:
  27   * noservice (Clojure)
  28   * notmuch web (Haskell)
  29
  30 Security and privacy concerns
  31 -----------------------------
  32 * privacy leaks rendering messages
  33 * message-id collisions
  34 * Oops I just sent...
  35   * wrong key selection during composition
  36   * reply (message mode defaults)
  37 * inline PGP
  38
  39 * webmail authentication/authorization (multiple users?)
  40 * webmail message escaping (XSS, etc)
  41 * shell injection
  42 * terminal escape sequences
  43 * S/MIME support
  44   * signatures
  45   * encryption
  46 * reproducible builds:
  47   [sphinx man pages](https://reproducible.debian.net/rb-pkg/testing/amd64/notmuch.html)
  48
  49 ### usability as security?
  50
  51 * indexing encrypted mail
  52 * Memory Hole protected headers
  53 * key selection indicators during composition
  54
  55
  56 Breakout sessions
  57 -----------------
  58
  59 * based on moving part
  60
  61 Reportbacks
  62 -----------
  63
  64
  65
  66 -------------------------
  67
  68
  69 more complete agenda:
  70
  71         * S/MIME signatures and encryption
  72             * test suites
  73             * integration with other keyrings
  74             * signature only (easyish) versus encryption (more work)
  75         * Improving the security of the Emacs MML mime composer
  76             * automated "encrypt-when-i-have-keys-available" mode or other convenience functions?
  77             * can an adversary force signatures based on quoted text?
  78             * generate memory-hole-style messages
  79         * Searching of GPG encrypted mail
  80             * possible implementation mechanism: "notmuch reindex --with-filter=decrypt"
  81         * Auditing and fixing "webbug" style problems in front ends
  82             * can we instruct emacs to restrict all network access from notmuch?
  83             * what other frontends might call out to the network?
  84         * Making notmuch build reproducibly
  85             * https://reproducible.debian.net/rb-pkg/unstable/amd64/notmuch.html
  86         * Protect against spoofed signature verification?
  87             * how do we deal with multipart messages where only a subtree is signed?
  88             * are other sorts of spoofing possible?
  89         * read and display memory-hole-style messages
  90         * "safe" ways to display html parts (e.g. without text/plain alternatives)
  91
  92