Webauftritt aktualisiert inkl. Transparenzbericht

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 4.600 Mitglieder helfen dir weiter. > Frage stellen <

  • Es sollte meiner Meinung nach tatsächlich im Cryptography Whitepaper erwähnt werden (falls nicht schon gemacht), dass das Telefonnummernhashing nicht viel wert ist.

    Das ist dort bereits erwähnt:

    Zitat


    A word about hashing phone numbers
    Due to the relatively low number of possible phone number combinations, it is theoretically possible to crack hashes of phone numbers by trying all possibilities. This is due to the nature of hashes and phone numbers and cannot be solved differently (using salts like for hashing passwords does not work for this kind of data matching). Therefore, the servers treat phone number hashes with the same care as if they were raw/unhashed phone numbers. Speci cally, they never store hashes uploaded during synchronization in persistent storage, but instead discard them as soon as the list of matching IDs has been returned to the client.


    Was leider nicht explizit, sondern nur implizit erwähnt wird, ist, dass die eigene verknüpfte Telefonnummer ungehasht gespeichert wird. Wäre gehasht zwar wohl kein großer Sicherheitsgewinn (siehe Diskussion oben), aber m. E. dennoch ein erwähnenswertes Argument, wenn man vor der Wahl steht: Verknüpfen der ID - ja oder nein.


    - Andy

    Einmal editiert, zuletzt von andyg (3. November 2016 um 21:28)

  • Moin


    ... werden offenbar auch die Telefonnummern nun doch wieder gehasht auf den Servern gespeichert. ...


    Die mit der eigenen ID verknüpfte und gehashte Telefonnummer wurden schon immer auf den Threema-Servern gespeichert.

    Das ist technisch einfach eine notwendige Voraussetzung, um bei einem Abgleich mit den gehashten Telefonnummern eines anderen Nutzers, die übereinstimmenden Telefonnummern zuordnen zu können.

    Da hat man vielleicht die Dokumentation angepasst, mehr aber nicht.

  • Ich weiß nicht wie es vorher aussah, aber nach der Einführung der DSGVO habe ich mal meine Daten bei Threema angefordert (ID *MY3DATA) und habe schon dort gesehen, dass die Mail bzw auch testweise mal die Handynummer gehasht zurück gemeldet wurde. Ich kann mir dabei nicht vorstellen, dass dies nur bei der Abfrage passiert, sondern dass diese Hashes bereits so auf dem Server vorgehalten werden.
    Ich kann deine Anmerkung somit bestätigen rugk.

  • Habe Mal nachgeschaut:
    - Am 24.05.18 war in der Abfrage unter ~MY3DATA die Handynummer noch im Klartext erhalten.
    - Am 18.12.18 nur noch der Hash gespeichert
    - So auch beim erneuten Test heute früh: nur noch Hash gespeichert.

    Finde ich sehr positiv! Auch wenn der Hash im Falle der Telefonnummer keinen wirklichen Schutz bietet.

    Andy


  • - Am 24.05.18 war in der Abfrage unter ~MY3DATA die Handynummer noch im Klartext erhalten.
    - Am 18.12.18 nur noch der Hash gespeichert


    Ich kann das noch etwas eingrenzen:
    Am 29.07.2018 war die Nummer bereits auch schon gehasht. Die Änderung hat also zwischen dem 26.05.2018 (da hatte ich abgefragt) und dem 29.07.2018 statt gefunden.