Der Threema Transparenzbericht listet, wenig überraschend, erschreckendes auf. Er spiegelt den ständig wachsenden Datenhunger der Kriminellen (vulgo Regierungen) wieder. Um so wichtiger ist es Tools wie Threema zu haben und zu verwenden. Nun frage ich mich, wie kann es sein daß Threema angibt Mobilfunknummern (sofern verknüpft) nur gehasht zu übertragen. Genau so wie eMail Adressen. Im Transparenzbericht wird angegeben das eMail Adressen nur gehasht heraus gegeben werden können, Mobilfunknummern werden ohne Zusatz gehasht erwähnt! Wieso?
https://threema.ch/de/transparencyreport
https://threema.ch/de/faq/addressbook_data
-------------------------------------------
"Wenn Sie die Synchronisation verwenden, werden E-Mail-Adressen und Telefonnummern aus dem Adressbuch nur einwegverschlüsselt («gehasht») und zusätzlich mit SSL gesichert an unsere Server übertragen. Die Server halten diese Hashes nur kurzzeitig im Arbeitsspeicher, um die Liste der übereinstimmenden IDs zu ermitteln, und löschen sie sofort wieder. Zu keinem Zeitpunkt werden die Hashes oder die Ergebnisse des Abgleichs auf einen Datenträger geschrieben.
Bitte beachten Sie: aufgrund der relativ wenigen möglichen Zahlenkombinationen von Telefonnummern können Hashes davon theoretisch per Brute-Force-Attacke (= Durchprobieren aller Möglichkeiten) entschlüsselt werden. Dies ist prinzipbedingt und kann nicht anders gelöst werden (die Verwendung von Salts wie beim Hashing von Passwörtern funktioniert für so einen Datenabgleich nicht). Wir behandeln daher die Telefonnummern-Hashes mit der selben Vorsicht, als wenn es rohe/ungehashte Telefonnummern wären."
vs.:
"Sofern die rechtlichen Voraussetzungen vollständig erfüllt sind, können wir folgende Angaben zu einer gegebenen Threema-ID liefern:
Handynummer, sofern durch den Nutzer verknüpft
E-Mail-Adresse (Hash), sofern durch den Nutzer verknüpft
Push-Token, sofern der Nutzer einen Push-Dienst verwendet"