Hallo Gast! Bitte registriere dich um Beiträge schreiben zu können und Zugang zu allen Bereichen zu bekommen. Hier registrieren

Auch ohne Registrierung direkt eine Support-Anfrage stellen: Zum Support-Fomular


Webauftritt aktualisiert inkl. Transparenzbericht
#61
(03.11.2016., 16:35)lgrahl schrieb: Es sollte meiner Meinung nach tatsächlich im Cryptography Whitepaper erwähnt werden (falls nicht schon gemacht), dass das Telefonnummernhashing nicht viel wert ist.

Das ist dort bereits erwähnt:
Zitat:A word about hashing phone numbers
Due to the relatively low number of possible phone number combinations, it is theoretically possible to crack hashes of phone numbers by trying all possibilities. This is due to the nature of hashes and phone numbers and cannot be solved differently (using salts like for hashing passwords does not work for this kind of data matching). Therefore, the servers treat phone number hashes with the same care as if they were raw/unhashed phone numbers. Speci cally, they never store hashes uploaded during synchronization in persistent storage, but instead discard them as soon as the list of matching IDs has been returned to the client.

Was leider nicht explizit, sondern nur implizit erwähnt wird, ist, dass die eigene verknüpfte Telefonnummer ungehasht gespeichert wird. Wäre gehasht zwar wohl kein großer Sicherheitsgewinn (siehe Diskussion oben), aber m. E. dennoch ein erwähnenswertes Argument, wenn man vor der Wahl steht: Verknüpfen der ID - ja oder nein.


- Andy
Zitieren
#62
Zu diesem Thema gibt es eine Überraschung: Seit 2018 werden offenbar auch die Telefonnummern nun doch wieder gehasht auf den Servern gespeichert. Das beweist zumindest die neue Datenschutzerklärung der App (geändert 2018) und eben auch der neue Transparentbericht.
Zitieren
#63
Moin
(10.02.2019., 20:28)rugk schrieb: ... werden offenbar auch die Telefonnummern nun doch wieder gehasht auf den Servern gespeichert. ...
Die mit der eigenen ID verknüpfte und gehashte Telefonnummer wurden schon immer auf den Threema-Servern gespeichert.

Das ist technisch einfach eine notwendige Voraussetzung, um bei einem Abgleich mit den gehashten Telefonnummern eines anderen Nutzers, die übereinstimmenden Telefonnummern zuordnen zu können.

Da hat man vielleicht die Dokumentation angepasst, mehr aber nicht.
Zitieren
#64
Lies dir bitte mal den Thread/ein paar Posts zuvor durch. Es geht darum, dass sie jetzt gehasht gespeichert werden, vor 2018 waren sie noch im Klartext. (Und warum, ist in diesem Thread auch schon ausreichend erklärt/erläutert wurden.)
Zitieren
#65
Ich weiß nicht wie es vorher aussah, aber nach der Einführung der DSGVO habe ich mal meine Daten bei Threema angefordert (ID *MY3DATA) und habe schon dort gesehen, dass die Mail bzw auch testweise mal die Handynummer gehasht zurück gemeldet wurde. Ich kann mir dabei nicht vorstellen, dass dies nur bei der Abfrage passiert, sondern dass diese Hashes bereits so auf dem Server vorgehalten werden.
Ich kann deine Anmerkung somit bestätigen @rugk.
Zitieren
#66
Habe Mal nachgeschaut:
- Am 24.05.18 war in der Abfrage unter ~MY3DATA die Handynummer noch im Klartext erhalten.
- Am 18.12.18 nur noch der Hash gespeichert
- So auch beim erneuten Test heute früh: nur noch Hash gespeichert.

Finde ich sehr positiv! Auch wenn der Hash im Falle der Telefonnummer keinen wirklichen Schutz bietet.

Andy
Zitieren
#67
(11.02.2019., 07:06)andyg schrieb: - Am 24.05.18 war in der Abfrage unter ~MY3DATA die Handynummer noch im Klartext erhalten.
- Am 18.12.18 nur noch der Hash gespeichert
Ich kann das noch etwas eingrenzen:
Am 29.07.2018 war die Nummer bereits auch schon gehasht. Die Änderung hat also zwischen dem 26.05.2018 (da hatte ich abgefragt) und dem 29.07.2018 statt gefunden.
Zitieren