Chemnitzer Linux-Tage 2025

Auch auf den Chemnitzer Linux-Tagen 2025 war ich wieder mit insgesamt 2 Vorträgen vertreten.

2025-03-23: Passwortlose Logins mit PassKeys

• Termin: Sonntag, 14:00 - Raum V4 - Dauer 60 Min.
• https://chemnitzer.linux-tage.de/2025/de/programm/beitrag/188

Auf den CLT 2016 habe ich die Zwei-Faktor-Authentifizierung mit Yubikeys vorgestellt. Inzwischen hat sich in der FIDO-Welt einiges getan. So haben die FIDO-Alliance und das W3C schon 2022 sogenannte Passkeys ausgerollt. Diese sollen langfristig den Einsatz von Passwörtern überflüssig machen und Phishing-Attacken nachhaltig verhindern.

In diesem Vortrag zeige ich, wie WebAuthN bzw. FIDO2 funktionieren und erweitert wurden, um sichere passwortlose Logins zu ermöglichen. Desweiteren zeige ich, welche Hardware (Tokens, Smartphones, Secure Enclave) für Passkeys genutzt werden können und wo welche Vor- und Nachteile liegen. Besonderes Augenmerk liegt dabei auf der Kryptographie und Sicherheit des Verfahrens und auf dem versprochenen Phishing-Schutz. Außerdem diskutiere ich die Gefahr des Verlustes der digitalen Identität, wenn man seine Credentials an bestimmte Hersteller ausliefert.

Erwünschte Vorkenntnisse: Der Vortrag ist für Einsteiger geeignet.

Folien und Video

• Folien (lokal): CLT2025-Schumacher-PasswortloseLoginsPasskeys.pdf

• https://chemnitzer.linux-tage.de/2025/media/programm/shortpaper/188.pdf

• https://chemnitzer.linux-tage.de/2025/media/programm/folien/188.pdf

• https://media.ccc.de/v/clt25-188-passwortlose-logins-mit-passkeys

2025-03-23: Open-Source-Software BSI-Grundschutzfähig machen

• Termin: Sonntag, 16:00 - Raum V5 - Dauer 60 Min.
• https://chemnitzer.linux-tage.de/2025/de/programm/beitrag/190

Open Source Software ist fundamental, um die digitale Souveränität unserer Demokratie zu sichern. Aber auch aus Sicherheitssicht ist FLOSS kommerzieller Closed-Source meist weit überlegen. Doch die Sicherheitsfreigabe von Software erfolgt im Öffentlichen Dienst in der Regel über eine BSI-Grundschutz-Zertifizierung. Und diese ist für FLOSS mit einigen Herausforderungen verbunden, denn (noch) bevorzugen die Anforderungen des Grundschutzkompendiums kommerzielle Lösungen.

Da wir in unserem Projekt den öffentlichen Dienst mit FLOSS digitalisieren wollen, müssen wir auch diese BSI-Anforderungen (vor allem APP.3, APP.6 und OPS) erfüllen. Dazu haben wir einige eigene Methoden entwickelt, die ich in diesem Vortrag vorstellen möchte. Dazu gehört u.a. eine Richtlinie zur Bewertung von FLOSS-Quellen und -Projekten, um diese BSI-konform betreiben zu können. Auch einige Erfahrungen zur Containerisierung im Kubernetes-Betrieb werde ich vorstellen.

In diesem Vortrag stelle ich die von uns entwickelte Checkliste zum BSI-konformen Bezug von Open-Source-Software vor. Desweiteren zeige ich, was Open-Source-Projekte tun können um ihre BSI-Grundschutzfähigkeit (und damit auch teilweise die Sicherheit) zu erhöhen.

Erwünschte Vorkenntnisse: Keine Vorkenntnisse erforderlich

Folien und Video

• Folien (lokal): CLT2025-Schumacher-OpenSourceBSIGrundschutz.pdf

• Shortpaper: https://chemnitzer.linux-tage.de/2025/media/programm/shortpaper/190.pdf

• Folien: https://chemnitzer.linux-tage.de/2025/media/programm/folien/190.pdf

• Videoaufzeichnung: https://media.ccc.de/v/clt25-190-open-source-software-bsi-grundschutzfahig-machen

Mastodon