Setting up autocrypt

Today I decided to try to setup Autocrypt for my email address. I use both Thunderbird and K9 email as clients, both support Autocrypt. The marketing of Autocrypt sounds great: automatic PGP encryption with any contacts that support it. This post documents my effort of setting up the clients so far. Neither client offers something like a ‘setup autocrypt’ button, I reckon setting up PGP first will unlock some options regarding Autocrypt.

Thunderbird Enigmail

  • After installing the addon, it offers to install gnupg4win (this is on Windows) and I did.
  • Continue with Enigmail setup (standard): a key is already present (how it got there: not stated).
  • If you select this key (because I assumed either Enigmail or the GnuPG installer must have generated as an attempt to improve the UX for newbies) the next dialog requests a passphrase to protect the key.
  • The following dialog generates a key anyway, so I am still unclear what the intially present key was. Perhaps it was an ‘identity’ (name + emailadres combo to which PGP keys are linked).
  • Then you can save the revocation key (it is not explained how that is different from the private key, which is not explained either, nor is it explained wether or not that recovation key file will be protected be the passphrase entered previously.)
  • Windows Firewall pops up with dirmngr.exe wanting access. No publisher, no other info. It’s 2018, your installer can add firewall rules just like in Linux people.
  • The last dialog of the wizard reports success, but no option to close or otherwise end Enigmail setup. Closing the windows gives a ‘do you want to abort’ modal. The dialog contains a link to more documentation (<https://ww.enigmail.net/documentation) but clicking pops up a window with a ‘Server not found’ message.

As I can’t seem to continue, I aborted the attempt. I use Thunderbird 60, the latest versions Gnu Privacy Guard and Enigmail available as of today.

K9

Setting up on K9 was not hasslefree either.

  • Configuration page just says no providers present, does not suggest any solutions.
  • K9 website mentions OpenKeychain. F-droid has OpenKeychain: Easy PGP. Anyone trained to be security-safe flinches here: subtle naming differences are a sure way to install spyware crap on commercial webstores. I took a chance and it is the correct program, but beforehand it is confusing precisely because you have to turn off behaviour that is otherwise essential (do install similar named apps).
  • During key generation crash, but key appears to be there. After trying to delete and revoke I deduce key upload probably failed (it is not on , which isn't listed anywhere either but appears in the errorlog when you wait a while on the key screen and a key import error appears.) Manually checking the keyserver URL reveiled that it was down. Fifteen minutes later it was up. There appears to be no way to publish the public key manually.
  • In K9 I set OpenKeychain as OpenPGP app. No Autocrypt options appeared.
  • Although OpenKeychain asked Contact-access, it does not reveal for which contacts keys were found. Also in K9 there is no feedback beforehand. A contact whom I know has a key published on was listed as not supporting encryption.

Summary

You can feel where this is going: a resounding downvote for the entire process. Although I’d like to believe I’m not clueless, I did not manage to setup PGP email encryption, and I do blame the software for being obtuse. I suppose it is entirely geared towards people working in organizations (formal or not) already intimately familier with PGP. I also suppose I must have hit a bug in Thunderbird. The fact that the setup procedure has bugs in both pieces of software does not leave the impression of solidity however, and it feels a lot like the early Linux-days, where having the time and skill to troubleshoot was essential and seen as a rite of passage. Today I expect something different, and I now know why PGP has next to no adoption: only those who really care (for either personal safety or authentication reasons) can manage. I am proud to have converted my closest family to Signal, and I chose Autocrypt so that I might have a chance with them too, without forcing them to switch to third party providers (Tutanota, Protonmail, etc.). That is not going to happen however, because this is a process that even I cannot tolerate.

What’s next

Since the third parties mentioned are all siloed and/or require that you trust them because they hold your private keys, I don’t see any good way forward. Custom domains, which I think is an important component to being independently secure, cost money with all of them, and good amounts too. Only Tutanota has a reasonable price of 1 EUR/month where I could hook up my domain and send non-Tutanota contacts links to my encrypted message, which is fine on occasion but untenable as a matter of course.

So, I think I’ll check in on Enigmail with a new release to see if things were fixed. Until then I’ll continue to do what I’ve done so far:

  • Assume email is compromised. Just accept it: even if I am secure, 99% of my contacts will not be, and will use hosters that not to be trusted.
  • Have a custom domain, so that options remain open
  • Avoid hosters in US jurisdictions ()
  • Do not use the hoster for email storage, so that data mining or trawling by state actors will result in little data. That is: I save important emails to disk (which I prefer anyway, I store them in my regular document file hierarchy) and delete email that’s read and has no lasting value (which is nearly all email). Every now and then I cleanup by selected all mail older than N months and delete it all.
  • Use any of the secure third parties for disposable purposes, they’re better protected than the mainstream options.

Marleen Stikker

Het afgelopen Zomergasten interview met Marleen Stikker had wel meer interessants op dit onderwerp, maar het deel naar aanleiding van het fragment met David Bohm (1:54) ging specifiek in op waarom ‘social media’ helemaal niet leiden tot constructieve en positieve communicatie, maar tot botsing en isolatie. Dit is omdat de technologie die we social media noemen een bias van de ontwerpers kristalliseert: de discussie, de twist. Door deze opzet, in vakjes twisten (discussieren) is het volkomen natuurlijk dat echokamers ontstaan en er (bijna) geen productieve dialoog plaatsvind. Ik zal verder niet samenvatten wat je zelf in tien minuten beter uitgelegd kunt zien dus kijkt allen!

Why French trains are faster than German trains

OK, it’s an eleven year old article now, but this analysis in der Spiegel is still roughly correct (the Berlin-Munich line was opened in the past year). Although not covered, the reason trains in Netherland are slow are identical: local politics have too much too say, and the country itself barely reaches a supralocal status: there should really only one high speed train station: Amsterdam. Over half of the population lives within one hour travel, and the rest is simply too rural and spread out for another stop. Geographically stops in Groningen and Maastricht (or perhaps Eindhoven) might make sense, but these cities are not on any (projected) high spead rail lines.

At least there is high speed rail southward, but reasons stated in the above article have not changed: Berlin has no plans to upgrade tracks to make a high speed connection to Amsterdam possible…

Meat is cancer

The Guardian has a longread (or podcast) on the causes of meat causing cancer (added nitrates make the meat pink but also react and form known carcinogens). The solution is no meat (difficult) or managing to find non-processed meats, something that the meat industry is actively frustrating.

Everyday I'm shufflin'

One problem: my method of shufflin’ ain’t heah. It’s a modified ‘overhand’: I hold the cards vertically and due to slight differences in card sizes, sweat on my fingers, grease on the cards, with one lift I pick cards up from various parts in the deck. These N stacks of M_n cards per stack I put on one side of the set and iterate. I always thought it was a better version of overhand shuffling, but it is not mentioned in the video nor on Wikipedia.

The Kek Wars

Deze schrijver is geïnteresseerd in de geschiedenis van ideeën, en schrijft nu over de ‘Kek Wars’, wat hij ziet als het voorspel op een mogelijke aanstaand kantelpunt in de ordening van de samenleving. Dit is geen uitzonderlijke gebeurtenis, immers ideeën volgen elkaar nu eenmaal op en hebben altijd consequenties voor wie precies macht heeft en wie niet, en dus is dit slechts de volgende iteraties in een eindeloze cyclus. Het interessante is dat het (m.i.) een tamelijk lastig onderwerp (hoe werken samenlevingen?) goed leesbaar uiteenzet. Ten tweede is het actueel, omdat het de opkomst van ‘Neoreaction’ en Trump als casus gebruikt.

Mainstream, losers, value signaling / bubbels / identity politics, het zijn begrippen van een orde die als doel het afdwingen van conformisme hebben. Die loyaliteit aan een orde is de makkelijkste manier van een elite om zich in stand te houden (hier betekent het woord elite dus wat het eigenlijk betekent: de machthebber, de stuurders, de hoofdzakelijke profiteurs van de huidige orde). De schrijver noemt de uitvoerders van deze orde de ‘managerial aristocracy’: mensen die loyaal zijn aan de orde (en dus aan hen die hem bedacht hebben/sturen: de elite), en daarvoor kruimels terug krijgen. Dit artikel is deel 2, in deel 1 meer over de werking van de managerial aristocracy, ook wel de lakeien. Een stevige kritiek dus aan het adres van allen die wij als liberale vrijdenkers zien, want issues als racisme of seksisme leggen volgens de schrijver perfect bloot dat het nut van die issues een selectieprocedure is: geef jij wel de juiste antwoorden opdat je een geschikte lakei zult zijn? Migratie en arbeid komen ook terug in het verhaal van wat de voedingsbodem precies vormt.

Dan nu over naar de ‘losers’: mensen die geen hoop hebben op een functie als rader in de machine, en daardoor niet op kruimels hoeven rekenen, maar daardoor ook daadwerkelijk vrij kunnen denken. Zoals het artikel zelf ergens zegt, het is een oude cyclus dat de losers verandering willen en in toenemende mate afdwingen totdat via een kantelpunt de nieuwe orde realiteit is en zelf weer een groep losers zal kennen, en zo voorts. Wat ik een interessante paragraaf vind is die waar de auteur benadrukt dat deze losers alle kanten uit kunnen, ook een goeie:

What happens in such situations is that the losers become the only ones willing to talk about the things that matter most to a great many people. That means, in turn, that whatever ideology the losers happen to have embraced may just become the guiding vision of radical political change, and if the change goes far enough, that ideology can end up imposed on a nation. If you’re lucky, the losers in question might embrace democratic nationalism, and you get a successful democracy such as modern Ireland or India. If you’re not lucky, the losers in question might embrace a far more toxic ideology, and you get Nazi Germany or the Soviet Union.

Het artikel gaat in op hoe die verliezers met hun totale vrijdenken tot een consensus en dus verandering kunnen komen (immers, ongeorganiseerd vrijdenken leidt hooguit tot wat ongelezen boeken, of nu, internetposts): Alt-Right of Neoreaction. Nu volgt even een waarschuwing:

Waar ik de schrijver verlies is bij het deel over magie, waar ik in deel 1 nog prima meekwam. Ik heb erg het gevoel dat hij dit erin propte omdat hij nog een appeltje te schillen had en helaas doet het wat af aan het verder heldere stuk. Magie definieerde hij als door te willen verandering te realiseren, voor zover het individu invloed heeft. Dit kan dus slechts het eigen gevoel zijn, maar alle vorm van manipulatie (cause->effect) van de wereld om ons heen vallen eronder, immers, acties van de mens beginnen met een wil die actie te ondernemen. Uiteindelijk wordt het betoog helderder: ‘chaos magic’ gebruikt symbolen, en een meme (kek kikkers) zijn dat, en hebben effect (zijn magie). Zijn stelling is dat door het ontbreken van gronding deze kikkermememakers (occulten) gevaarlijk zijn: zij begrijpen niet goed wat ze doen.

Er komen nog meer delen, dus zijn analyse is niet af. Het is jammer dat deel 2 eindigt middenin wwn deel overpepert met de magie-analogie, maar dat maakt het eerste deel niet minder interessant. Ben benieuwd of deel 3 dit slot weet om te zetten in weer een helder en informatief stuk.

Bhnet sans jquery

Yes! This website is now jQuery free! The three things I had to change were:

  1. Pick a slideshow script that isn’t a jQuery plugin: jsOnlyLightbox.
  2. Rewrite my Flickr jQuery plugin (it needs its own page): /res/flickr.js.
  3. Figure out that jQuery selectors can be replaced with querySelectorAll.

There is a tiny bit of css interference left to fix between this site’s theme and jsOnlyLightbox, but that hopefully fixes itself once I switch themes.