OpenKeychain und Cotech

OpenKeychain wird nun von Cotech weiterentwickelt.


OpenKeychain ist die am häufigsten verwendete OpenPGP-Implementierung auf Android. Mit OpenKeychain können Sie ganz einfach neue Schlüsselpaare generieren und die öffentlichen Schlüssel Ihrer Kontakte verwalten. Mit der Integration in K-9 Mail gibt es eine benutzerfreundliche Möglichkeit, PGP/MIME-E-Mails zu versenden. Darüber hinaus können Sie in OpenKeychain kryptografische Operationen wie Signaturgenerierung und Verschlüsselung manuell ausführen.

Mein Lieblingsmerkmal ist die Unterstützung von Sicherheitstokens. Ich persönlich verwende einen YubiKey 4C Nano, um meinen privaten Schlüssel sicher aufzubewahren. Es ist viel einfacher, OpenPGP auf mehreren Geräten zu verwalten, wenn der private Schlüssel an ein externes kleines Gerät gebunden ist. Vor der Verwendung dieses Sicherheitstokens war es schwierig, OpenPGP auf neuen Geräten einzusetzen, z.B. wenn der private Schlüssel sicher auf einen neuen Laptop übertragen werden musste.

In der Open-Source-Welt ist es schwierig, mit der Pflege eines Projekts Geld zu verdienen. Insbesondere bei der Wartung von GPLv3-lizenzierter Software, da eine Anforderungen der GPL-Lizenz besagt, dass der Quellcode offengelegt werden muss. Dies ist möglicherweise nicht wünschenswert, wenn der Technologie-Stack auch in kommerzielle Produkte integriert werden soll. Ein möglicher Weg, dies zu umgehen, wurde durch das Signal-Protokoll erfolgreich demonstriert: Es wurde im Rahmen der Signal-Anwendung entwickelt, aber auch in kommerziellen Produkten wie WhatsApp oder Google Allo genutzt. Möglich wurde dies durch die Doppellizenzierung der Protokoll-Komponente. Wir verfolgen eine ähnliche Lizenzstrategie für OpenKeychain. Deshalb haben wir alle Mitwirkenden gebeten, einen Contributor License Agreement (CLA) zu unterzeichnen. Dies ermöglicht es uns, kommerzielle Produkte zu entwickeln, die auf OpenKeychain basieren.

Wir glauben an Open-Source-Software und dass ihre Offenheit eine Schlüsselanforderung ist. Die eingesetzte Technologie muss für externe Parteien nachprüfbar sein. Aus diesem Grund werden wir immer eine Open-Source-Version von OpenKeychain anbieten.