<div dir="ltr"><div dir="ltr"><div dir="ltr">comments<br><div class="gmail_quote"><div dir="ltr">On Tue, Nov 6, 2018 at 7:54 AM Damien Goutte-Gattat <<a href="mailto:dgouttegattat@incenp.org">dgouttegattat@incenp.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">Hi,<br>
<br>
First, a warning: I am by no means a "security expert" and I have<br>
very little experience with Mac OS X, which I only use at my<br>
workplace (and only because my employer didn't let me use a<br>
GNU/Linux workstation...).<br>
<br>
However and for what it's worth:<br>
<br>
On Tue, Nov 06, 2018 at 06:48:07AM -0500, Nicholas Papadonis wrote:<br>
> I noticed that there are two OSX packages for GPG:<br>
> <br>
>           Mac GPG Installer from the gpgtools project<br>
>           GnuPG for OS X Installer for GnuPG<br>
<br>
There's a third possibility, which is the one I use: install the GnuPG<br>
provided by the MacPorts project [1].<br>
<br></blockquote><div><br></div><p style="margin:0px;font-stretch:normal;font-size:13px;line-height:normal;font-family:Arial;color:rgb(26,26,26)"><span style="-webkit-font-kerning: none;">This raises another question about the security of the ports project itself.  I read that Homebrew had some security issues, a majority which come from the installer making /usr/local/bin writable by users other than root.  This allows an unprivileged application to inject a malicious binary there, for instance sudo.  /usr/local/bin is first in the search path and therefore the administrator password could be captured.  I also read Macports may not have this security issue because the installer runs as root and all installations run as root.</span></p><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">
Install MacPorts and then simply run:<br>
<br>
  $ port install gnupg2<br>
<br>
MacPorts packagers seem keen to provide the latest versions and to<br>
update their ports quickly when upstream publishes a new release.<br>
For example, Libgcrypt was updated to version 1.8.4 the day after<br>
that version was released.<br>
<br></blockquote><div><span style="color:rgb(26,26,26);font-family:Arial;font-size:13px">Thanks for the suggestion.  I'm hoping to clear up my security questions on Macports as well.  I suspect there could be many security holes based upon the tool chain to compile the ports and all hands involved in the source trees.</span></div><div><br></div><div>Nicholas </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">
<br>
> I'm considering using the Mac Mail.app<br>
<br>
I tried to build the Mail.app plugin from the gpgtools project,<br>
but failed. I don't remember what the problem was, just that I<br>
gave up.<br>
<br>
I am currently using alternatively Neomutt (also installed through<br>
MacPorts), which natively supports GnuPG, and Thunderbird with<br>
Enigmail. Everything is working fine, including smartcard support.<br>
Whether this is a "better integrated" solution than using Mail.app<br>
I cannot tell.<br>
<br>
Hope that helps a bit.<br>
<br>
Damien<br>
<br>
[1] <a href="https://www.macports.org/" rel="noreferrer" target="_blank">https://www.macports.org/</a><br>
</blockquote></div></div></div></div>