Hallo!
Nachdem ich nun die (sehr gute!) FAQ dreimal durchgelesen habe, bin ich bei einer Frage immer noch nicht schlauer geworden. Den Threema-Support anzuschreiben hat vermutlich wenig Sinn, daher mal hier.
Der Abgleich von Adressbüchern, um rauszufinden, welche meiner Kontakte bereits Threema haben, wird von Threema auf deren Server durchgeführt. Dazu werden die Nummern/Mailadressen meiner Kontakte gehasht und dann übertragen (behauptet Threema, kann nicht unbedingt verifiziert werden). Auf dem Server wird abgeglichen mit den Nummern/Mailadressen, die diese Kontakte für sich eingestellt haben.
Meine Frage ist nun, wenn ich bei mir eine Nummer/Adresse einstelle, wird diese dann auch nur gehasht übertragen und auf den Threema-Servern gespeichert? Für den oben beschriebenen Abgleich ist das vollkommen ausreichend. Hashkollisionen sind da sehr unwahrscheinlich und würden auch nicht vermieden werden, wenn meine Angaben im Klartext gespeichert würden.
Leider schweigt sich die FAQ darüber aus, ob die (notwendigerweise!) permanente Speicherung meiner Daten als Hash oder als Echtdaten erfolgt. Ich habe auch mal die Zurücksetzen-Funktion über die Webseite genutzt, aber das liefert keine Hinweise, da ich ja fürs Zurücksetzen auch meine E-Mail-Adresse angeben muss. Hier wäre es natürlich hilfreich für Threema, die Sachen im Klartext zu speichern, da so keine Probleme mit Hashkollisionen entstehen (und jemand zufällig, falls der Hash passt, eine andere Adresse zurücksetzen könnte). Aber auch hier denke ich, dass es nicht notwendig ist.
Ich würde halt gerne nur wissen, was Sache ist, weil es von der Sicherheit her schon einen großen Unterschied macht, ob Threema weiß, welche konkreten Nummern kommunizieren, oder ob sie nur abstrakte Hashwerte haben. Auch wenn Threema behauptet, keine Metadaten zu speichern, ist es besser, Daten gar nicht erst zu erheben und stattdessen eine abstrakte ID-ID-Kommunikation aufzubauen.