OpenKeychain

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen
OpenKeychain

OpenKeychain Logo.svg
Basisdaten

Maintainer Confidential Technologies GmbH
Erscheinungsjahr 1. März 2012
Aktuelle Version 5.2[1]
(26. Juli 2018)
Betriebssystem Android
Programmiersprache Java
Kategorie OpenPGP
Lizenz GNU GPLv3
deutschsprachig ja
https://openkeychain.org

OpenKeychain ist eine kostenlose Mobile App für Android, die Nutzern Verschlüsselung via dem OpenPGP-Standard ermöglicht. Nutzer können Nachrichten, E-Mails und Dateien ver- und entschlüsseln, sowie signieren und Signaturen prüfen. Die App kann öffentliche Schlüssel anderer Nutzer, mit denen man interagiert, speichern. Mit diesen Schlüsseln können Dateien so verschlüsselt werden, dass nur der passende Nutzer sie entschlüsseln kann. Umgekehrt können Dateien, die von einem Nutzer mit gespeichertem Schlüsseln empfangen werden, auf Authentizität geprüft und entschlüsselt werden.

K-9 Mail Integration[Bearbeiten | Quelltext bearbeiten]

Zusammen mit K-9 Mail (einem Android-E-Mail-Client), lassen sich Ende-zu-Ende verschlüsselte E-Mails mit OpenPGP INLINE und PGP/MIME erstellen und verschicken. Die Entwickler von OpenKeychain und K-9 Mail versuchen die bisherigen Benutzerschnittstellen für E-Mail-Verschlüsselung zu überarbeiten. Sie schlagen vor, die Optionen für nur-verschlüsselte[2] und nur-signierte E-Mails abzuschaffen[3], und nur noch Verschlüsselung und Singnaturerstellung zusammen zuzulassen, um gleichzeitig Vertraulichkeit und Authentizität sicherzustellen.

Rezeption[Bearbeiten | Quelltext bearbeiten]

OpenKeychain wird auf der offiziellen OpenPGP-Website gelistet[4] und das renommierte Entwickler-Kollektiv "The Guardian Project" empfiehlt es anstelle von APG zur Mailverschlüsselung.[5] TechRepublic veröffentlichte einen Artikel über die App und resumierte: "OpenKeychain happens to be one of the easiest encryption tools available for Android (that also happens to best follow OpenPGP standards)."[6] Heise bewertete die App im c’t Android Magazin 2016 und betrachtete im Besonderen OpenKeychains Backupmechanismus.[7] In der Wissenschaft wird OpenKeychain für experimentelle Auswertungen verwendet: Es wurde als Beispiel für kryptografische Operationen in Trusted Execution Environments verwendet.[8] Weiterhin wurden moderne Alternativen für Public Key Fingerprints von Wissenschaftlern implementiert.[9] 2016 veröffentlichte das BSI eine Studie über OpenPGP auf Android und evaluierte OpenKeychains Funktionalität.[10] OpenKeychain funktioniert nun mit Smartcards und NFC Ringen. Die daraus resultierende Nutzerstudie wurde auf der Ubicomp 2017 veröffentlicht.[11]

Finanzierung[Bearbeiten | Quelltext bearbeiten]

Die OpenKeychain-Entwickler nahmen an drei Google-Summer-of-Code-Programmen teil, mit insgesamt 6 Studenten.[12][13][14] Im Jahr 2015 bekam einer der Hauptentwickler ein Jahr Funding um die OpenPGP Unterstützung in K-9 Mail auszubauen, bezahlt vom Open Technology Fund.[15] Am 28. Juni 2018 wurde die Confidential Technologies GmbH mithilfe der TU Braunschweig gegründet[16], sie soll den Support bereitstellen und die Entwicklung von OpenKeychain betreiben. Zusätzlich bietet sie "zugeschnittene Ende-zu-Ende Verschlüsselungslösungen" und entwickelt eine Autocrypt-Bibliothek, die für Projekte unter GPL-Lizenz weiter als Freie Software verwendbar bleibt, aber für proprietäre Projekte als kommerzielle Lizenz erhältlich sein soll.[17]

Geschichte[Bearbeiten | Quelltext bearbeiten]

OpenKeychain wurde im März 2012 als Abspaltung der App Android Privacy Guard (APG) gestartet. Zwischen Dezember 2010 und Oktober 2013 wurden keine neuen Versionen von APG veröffentlicht. OpenKeychain wurde initiiert mit der Intention die Entwicklung fortzuführen und dabei Nutzerinterface und API zu verbessern. Die erste Version 2.0 wurde im Januar 2013 veröffentlicht. Nach drei Jahren ohne Updates wurden Sicherheitsfixes von OpenKeychain in APG zusammengeführt, und später wurde eine komplette neue Version von APG auf OpenKeychains Quellcode basiert. Dieser Prozess stoppte aber im März 2014, während die OpenKeychain-Entwickler weiterhin regelmäßig neue Versionen veröffentlichten. Einige Sicherheitslücken in OpenKeychain wurden von Cure53[18] gefunden und geschlossen.[19] Diese Lücken sind immer noch nicht geschlossen in der letzten Version von APG vom März 2014. Seit K-9 Mail Version 5.200 wird APG nicht länger als Kryptographieanbieter unterstützt.[20]

Weblinks[Bearbeiten | Quelltext bearbeiten]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. Release 5.2. 26. Juli 2018 (abgerufen am 29. Juli 2018).
  2. OpenPGP Considerations, Part II: Encrypted-Only Mails. Abgerufen am 11. Februar 2017.
  3. OpenPGP Considerations, Part I: Signed-Only Mails. Abgerufen am 11. Februar 2017.
  4. Official OpenPGP Homepage. Abgerufen am 11. Februar 2017.
  5. How To: Lockdown Your Mobile E-Mail. Abgerufen am 11. Februar 2017.
  6. Let OpenKeychain help handle your encryption. Abgerufen am 11. Februar 2017.
  7. Urs Mansmann, Holger Bleich, Axel Kossel: Mit PGP verschlüsselt mailen. In: c't Android 2016. 1, 2016, S. 50–51.
  8. Konstantin Rubinov, Lucia Rosculete, Tulika Mitra, Abhik Roychoudhury: Automated Partitioning of Android Applications for Trusted Execution Environments. In: Proceedings of the 38th International Conference on Software Engineering. 2016, S. 923–934. doi:10.1145/2884781.2884817.
  9. Sergej Dechand, Dominik Schürmann, Karoline Busse, Yasemin Acar, Sascha Fahl, Matthew Smith: An Empirical Study of Textual Key-Fingerprint Representations. In: 25th USENIX Security Symposium (USENIX Security 16). 2016, S. 193–208.
  10. BSI Study: Nutzung von OpenPGP auf Android. Abgerufen am 13. Februar 2017.
  11. Dominik Schürmann, Sergej Dechand, Wolf Lars: OpenKeychain: An Architecture for Cryptography with Smart Cards and NFC Rings on Android. In: Proc. ACM Interact. Mob. Wearable Ubiquitous Technol.. 1, Nr. 3, 2017, S. 99:1--99:24. doi:10.1145/3130964.
  12. GSoC Archive 2014. Abgerufen am 11. Februar 2017.
  13. GSoC Archive 2015. Abgerufen am 11. Februar 2017.
  14. GSoC Archive 2016. Abgerufen am 11. Februar 2017.
  15. Bringing OpenKeychain Support to K-9 Mail. Abgerufen am 11. Februar 2017.
  16. OpenKeychain-Team: Founding of Confidential Technologies GmbH · OpenKeychain. Abgerufen am 6. Juli 2018.
  17. Cotech: OpenKeychain and Cotech | Cotech. Abgerufen am 10. August 2018 (englisch).
  18. Cure53 Security Audit. Abgerufen am 11. Februar 2017.
  19. OpenKeychain Wiki: Cure53 Security Audit. Abgerufen am 11. Februar 2017.
  20. Why APG is no longer supported. Abgerufen am 11. Februar 2017.