Hallo,

grundsätzlich arbeiten Passwort Manager immer mit einem Masterpasswort/schlüssel. Der Benutzer legt also eine Datenbank an, dabei wird nach einem Masterpasswort gefragt. Dieses Masterpasswort sollte am Besten direkt gehashed werden. Am besten noch mit irgendeinem "Salt".
Der Zugang zu der Datenbank wird auf die einzige Möglichkeit mithilfe des Masterpassworts beschränkt. D.h. die Passwörter werden symmetrisch verschlüsselt, als Key das Masterpasswort und halt eben am Besten noch andere Faktoren die aber wieder zurückrechenbar sind.
Am Ende muss die Entschlüsselung mit nur dem Masterpasswort möglich sein.

Ein anderer wichtiger Faktor ist aber, wie du mit den Passwörtern in der Memory umgehst, sodass andere Prozesse nicht einfach auf den Passwort Manager zugreifen können und die Passwörter ausm Speicher liest.
KeePass ist doch Open Source da kannst du dir sicher einiges dran abschauen. Bis auf, dass der Passwort Manager auf das veraltete WinForms setzt, finde ich den richtig super.

Edit: Meine Erwartungen an einen Passwort Manager:

• Sicherheit (Richtig implementierte Verschlüsselung, InMemory Password Encryption etc.)
  
• Synchronisierbar mit Cloud Diensten wie Dropbox, Drive, OneDrive, eigener Server etc.
  
• Multiplatform (PC,Android etc)
• Gruppierung
  
• Einträge mit konfigurierbarer Maske (d.h. die Felder kann man selbst festlegen die gespeichert werden)
  
• Dateien speichern in Einträgen die mit verschlüsselt werden. (z.B. Private Keys)
  
• System Integration (Bei KeePass kann man Ctrl+V auf einem Passwort Eintrag drücken, dann switched KeePass automatisch zum vorher geöffneten Fenster und trägt die Daten in die Maske ein).
  
• Da gibts bestimmt noch einiges mehr...

Also zunächst mal MD5 ist keine Verschlüsselung sondern ein Hash-Verfahren. Der Unterschied ist: Verschlüsselt man etwas, kann man es wieder entschlüsseln. Hasht man etwas, dann will man daraus einen Schlüssel erzeugen der nicht mehr zurück berechnet werden kann.
Das Masterpasswort sollte gehasht werden. Zudem sollltest du nicht MD5 benutzen da dies mittlerweile als unsicher gilt. SHA ist da die besser Wahl, vielleicht noch in Kombination mit was anderem.

AES ist symmetrisch. Die Passwörter bzw. die Datei verschlüsselst du mit AES und als Schlüssel den Hash des Masterpassworts.
Sobald der Benutzer bei der Datenbank Anmeldung sein Masterpasswort eingegeben hat, hashst du die Eingabe und vergleichst den Hash mit dem festgelegten Masterpasswort Hash, der übrigens auch noch gut gesichert sein muss.

Um ehrlich zu sein rate ich dir ganz dringend davon ab sowas zu entwickeln, vor allem wenn du vor hast das Ganze auch noch zu veröffentlichen. Zuerst solltest du dich wirklich ausgiebig mit Kryptographie befassen und erst dann überhaupt an solch ein Projekt denken.
Ich schätze mich selbst ein als hätte ich zumindest etwas mehr Ahnung als du von Kryptographie aber längst nicht genug um solch ein Projekt zu bewerkstelligen. Ich habe größten Respekt vor solcher Software. Ich persönlich finde es auch sehr interessant aber das ist mir zu groß und zu riskant.