OpenKeychain

OpenKeychain

Basisdaten

Hauptentwickler Confidential Technologies GmbH
Erscheinungsjahr 1. März 2012
Aktuelle Version 6.0.4[1]
(27. Februar 2024)
Betriebssystem Android
Programmier­sprache Java
Kategorie OpenPGP
Lizenz GNU GPLv3
deutschsprachig ja
https://openkeychain.org/

OpenKeychain ist eine kostenlose Mobile App für Android, die Nutzern Verschlüsselung via OpenPGP-Standard ermöglicht. Nutzer können Nachrichten, E-Mails und Dateien ver- und entschlüsseln sowie signieren, außerdem Signaturen prüfen. Die App kann öffentliche Schlüssel anderer Nutzer, mit denen man interagiert, speichern. Mit diesen Schlüsseln können Dateien so verschlüsselt werden, dass nur der berechtigte Nutzer sie entschlüsseln kann. Umgekehrt können Dateien, die von einem Nutzer mit gespeicherten Schlüsseln empfangen werden, auf Authentizität geprüft und entschlüsselt werden.

K-9-Mail-Integration

Zusammen mit K-9 Mail (einem Android-E-Mail-Client) lassen sich Ende-zu-Ende-verschlüsselte E-Mails mit OpenPGP INLINE und PGP/MIME erstellen und verschicken. Die Entwickler von OpenKeychain und K-9 Mail versuchen die bisherigen Benutzerschnittstellen für E-Mail-Verschlüsselung zu überarbeiten. Sie schlagen vor, die Optionen für nur-verschlüsselte[2] und nur-signierte E-Mails abzuschaffen[3] und nur noch Verschlüsselung und Signaturerstellung zusammen zuzulassen, um gleichzeitig Vertraulichkeit und Authentizität sicherzustellen.

Rezeption

OpenKeychain wird auf der offiziellen OpenPGP-Website gelistet[4], und das renommierte Entwickler-Kollektiv The Guardian Project empfiehlt es anstelle von APG zur Mailverschlüsselung.[5] TechRepublic veröffentlichte einen Artikel über die App und resumierte: “OpenKeychain happens to be one of the easiest encryption tools available for Android (that also happens to best follow OpenPGP standards).”[6] Heise bewertete die App im c’t-Android-Magazin 2016 und betrachtete im Besonderen OpenKeychains Backupmechanismus.[7] In der Wissenschaft wird OpenKeychain für experimentelle Auswertungen verwendet; es wurde als Beispiel für kryptografische Operationen in Trusted Execution Environments verwendet.[8] Weiterhin wurden moderne Alternativen für Public Key Fingerprints von Wissenschaftlern implementiert.[9] 2016 veröffentlichte das BSI eine Studie über OpenPGP auf Android und evaluierte OpenKeychains Funktionalität.[10] OpenKeychain funktioniert nun mit Smartcards und NFC-Ringen. Die daraus resultierende Nutzerstudie wurde auf der Tagung Ubicomp 2017 veröffentlicht.[11]

Finanzierung

Die OpenKeychain-Entwickler nahmen an drei Google-Summer-of-Code-Programmen teil, mit insgesamt 6 Studenten.[12][13][14] Im Jahr 2015 bekam einer der Hauptentwickler ein Jahr Funding um die OpenPGP Unterstützung in K-9 Mail auszubauen, bezahlt vom Open Technology Fund.[15] Am 28. Juni 2018 wurde die Confidential Technologies GmbH mithilfe der TU Braunschweig gegründet[16], sie soll den Support bereitstellen und die Entwicklung von OpenKeychain betreiben. Zusätzlich bietet sie „zugeschnittene Ende-zu-Ende Verschlüsselungslösungen“ und entwickelt eine Autocrypt-Bibliothek, die für Projekte unter GPL-Lizenz weiter als Freie Software verwendbar bleibt, aber für proprietäre Projekte als kommerzielle Lizenz erhältlich sein soll.[17]

Geschichte

OpenKeychain wurde im März 2012 als Abspaltung der App Android Privacy Guard (APG) gestartet. Zwischen Dezember 2010 und Oktober 2013 wurden keine neuen Versionen von APG veröffentlicht. OpenKeychain wurde initiiert mit der Intention die Entwicklung fortzuführen und dabei Nutzerinterface und API zu verbessern. Die erste Version 2.0 wurde im Januar 2013 veröffentlicht. Nach drei Jahren ohne Updates wurden Sicherheitsfixes von OpenKeychain in APG zusammengeführt, und später wurde eine komplette neue Version von APG auf OpenKeychains Quellcode basiert. Dieser Prozess stoppte aber im März 2014, während die OpenKeychain-Entwickler weiterhin regelmäßig neue Versionen veröffentlichten. Einige Sicherheitslücken in OpenKeychain wurden von Cure53[18] gefunden und geschlossen.[19] Seit K-9 Mail Version 5.200 wird APG nicht länger als Kryptographieanbieter unterstützt.[20]

Einzelnachweise

  1. Release 6.0.4. 27. Februar 2024 (abgerufen am 22. März 2024).
  2. OpenPGP Considerations, Part II: Encrypted-Only Mails. Abgerufen am 11. Februar 2017 (englisch).
  3. OpenPGP Considerations, Part I: Signed-Only Mails. Abgerufen am 11. Februar 2017 (englisch).
  4. Official OpenPGP Homepage. Abgerufen am 11. Februar 2017 (englisch).
  5. How To: Lockdown Your Mobile E-Mail. Abgerufen am 11. Februar 2017 (englisch).
  6. Let OpenKeychain help handle your encryption. Abgerufen am 11. Februar 2017 (englisch).
  7. Urs Mansmann, Holger Bleich, Axel Kossel: Mit PGP verschlüsselt mailen. In: c’t Android 2016. 1. Jahrgang, 2016, S. 50–51.
  8. Konstantin Rubinov, Lucia Rosculete, Tulika Mitra, Abhik Roychoudhury: Automated Partitioning of Android Applications for Trusted Execution Environments. In: Proceedings of the 38th International Conference on Software Engineering. 2016, S. 923–934, doi:10.1145/2884781.2884817 (englisch).
  9. Sergej Dechand, Dominik Schürmann, Karoline Busse, Yasemin Acar, Sascha Fahl, Matthew Smith: An Empirical Study of Textual Key-Fingerprint Representations. In: 25th USENIX Security Symposium (USENIX Security 16). 2016, S. 193–208 (englisch).
  10. BSI Studie: Nutzung von OpenPGP auf Android. Abgerufen am 13. Februar 2017.
  11. Dominik Schürmann, Sergej Dechand, Wolf Lars: OpenKeychain: An Architecture for Cryptography with Smart Cards and NFC Rings on Android. In: Proc. ACM Interact. Mob. Wearable Ubiquitous Technol. 1. Jahrgang, Nr. 3, 2017, S. 99:1--99:24, doi:10.1145/3130964 (englisch).
  12. GSoC Archive 2014. Abgerufen am 11. Februar 2017 (englisch).
  13. GSoC Archive 2015. Abgerufen am 11. Februar 2017 (englisch).
  14. GSoC Archive 2016. Abgerufen am 11. Februar 2017 (englisch).
  15. Bringing OpenKeychain Support to K-9 Mail. Abgerufen am 11. Februar 2017 (englisch).
  16. OpenKeychain-Team: Founding of Confidential Technologies GmbH · OpenKeychain. Abgerufen am 6. Juli 2018.
  17. Cotech: OpenKeychain and Cotech | Cotech. Abgerufen am 10. August 2018 (englisch).
  18. Cure53 Security Audit. Abgerufen am 11. Februar 2017 (englisch).
  19. OpenKeychain Wiki: Cure53 Security Audit. Abgerufen am 11. Februar 2017 (englisch).
  20. Why APG is no longer supported. Abgerufen am 11. Februar 2017 (englisch).