git.cworth.org Git - notmuch-wiki/blob - meetings/hd2015.mdwn

   1 What, Where, When
   2 =================
   3
   4 *  Bremner and dkg are co-hosting a BoF at [debconf](https://summit.debconf.org/debconf15/meeting/217/improving-privacy-and-security-for-notmuch-mail/).
   5
   6 * The meeting is Monday 2015-08-17, 1700-1800
   7
   8 * Video streaming should be [available](https://wiki.debconf.org/wiki/DebConf15/Videostream/Amsterdam)
   9
  10
  11 Agenda
  12 ======
  13
  14 Moving parts for secure e-mail
  15 ------------
  16 * libxapian  (C++, full text search)
  17 * libgmime (C, glib, RFC822+MIME library)
  18 * libnotmuch (C and C++)
  19 * /usr/bin/notmuch (C)
  20 * GnuPG (C)
  21 * Emacs UI (emacs lisp)
  22   * notmuch-emacs
  23   * mml-mode
  24 * Alot / nmbug / nmbug-status (python)
  25   * python-bindings
  26 * webmail:
  27   * noservice (Clojure)
  28   * notmuch web (Haskell)
  29
  30 Security concerns
  31 -----------------
  32 * wrong key selection during composition
  33 * reply (message mode defaults)
  34 * inline PGP
  35 * message-id collisions
  36 * webmail authentication/authorization (muliple users?)
  37 * webmail message escaping (XSS, etc)
  38 * shell injection
  39 * terminal escape sequences
  40 * S/MIME support
  41
  42 ### usability as security?
  43
  44 * indexing encrypted mail
  45 * Memory Hole protected headers
  46 * key selection indicators during compositoin
  47
  48
  49 Breakout sessions
  50 -----------------
  51
  52 * based on moving part
  53
  54 Reportbacks
  55 -----------
  56
  57
  58
  59 -------------------------
  60
  61 proposed session:
  62 ---------
  63 One of (at least my) primary motivations for working on Notmuch is reducing my dependence on cloud services, and supporting the secure sending and receiving of signed and encrypted mail.  Like any realworld piece of software, notmuch is far from perfect, and several areas related to privacy and security could clearly be improved. During this BoF we'd like to plan out some topics to work on in followup hacking sessions. Anyone is welcome, even if they don't feel like hacking on notmuch. Potential topics of discussion andhacking include:
  64         * S/MIME signatures and encryption
  65         * Improving the security of the Emacs MML mime composer
  66         * Searching of GPG encrypted mail
  67         * Auditing and fixing "webbug" style problems in front ends
  68         * Making notmuch build reproducibly
  69
  70 ---------
  71
  72 more complete agenda:
  73
  74         * S/MIME signatures and encryption
  75             * test suites
  76             * integration with other keyrings
  77             * signature only (easyish) versus encryption (more work)
  78         * Improving the security of the Emacs MML mime composer
  79             * automated "encrypt-when-i-have-keys-available" mode or other convenience functions?
  80             * can an adversary force signatures based on quoted text?
  81             * generate memory-hole-style messages
  82         * Searching of GPG encrypted mail
  83             * possible implementation mechanism: "notmuch reindex --with-filter=decrypt"
  84         * Auditing and fixing "webbug" style problems in front ends
  85             * can we instruct emacs to restrict all network access from notmuch?
  86             * what other frontends might call out to the network?
  87         * Making notmuch build reproducibly
  88             * https://reproducible.debian.net/rb-pkg/unstable/amd64/notmuch.html
  89         * Protect against spoofed signature verification?
  90             * how do we deal with multipart messages where only a subtree is signed?
  91             * are other sorts of spoofing possible?
  92         * read and display memory-hole-style messages
  93         * "safe" ways to display html parts (e.g. without text/plain alternatives)
  94
  95