Datenschutz: Gehashte Mobiltelefonnummer ist anonym? (Posteo-Gutachten)

Bernhard E. Reiter bernhard at fsfe.org
Fr Mär 16 11:46:38 UTC 2018 

Moin,
Datenschutz für Dienste ist ein Thema, was aus Sicht der Freien Software 
interessiert. Der Anbieter Posteo.de setzt auf den Servern laut eigener 
Angabe [1] nur Freie Software ein.

Jetzt hat Posteo ein selbst beauftragtes Gutachten veröffentlicht,
dass sie die Hash-Werte der Mobiltelefonnummern von Kunden nicht herausgeben 
müssen, da sie anonym seien: 

https://posteo.de/blog/bnetza-entscheidung-zu-posteo-kryptographisch-bearbeitete-daten-nicht-auskunftspflichtig

Was ich daran nicht verstehe ist, warum die Bundesnetzagentur und die 
Datenschutzbeauftragte das so sehen.


Soweit ich es verstanden habe, hashen die mit einem Salt die 
Mobiltelefonnummer (im Webbrowser) müssen dafür den Salt
auf dem Server generieren, an den Browser senden, dann den Hash abholen
und zusammen mit dem Salz abspeichern.

Sofern ich eine Liste von Mobiltelefonnummern hätte, sollte es doch möglich 
sein, die mit den bekannten Salts auszuprobieren. Der Aufwand erscheint mir 
gangbar. Nehmen wir alle Mobiltelefone in DE grob 10^12 Möglichkeiten 
(vermutlich weniger, weil nicht alle Nummern vergeben sind oder wenn ich 
schon bestimmte Nummern im Verdacht habe). Wenn ich 10^^6 Möglichkeiten
in der Sekunde ausrechnen könnte, dann bräuchte ich nur 10^^6 Sekunden,
macht ~11,5 Tage um zu dem Hashwert die Mobiltelefonnummer zu ermitteln.

Was übersehe ich da?

Gruß,
Bernhard
ps.: Posteo listet vorbildlich auf, wieviele Anfragen Sie von Behörden 
bekommen und beantwortet haben: 
https://posteo.de/site/transparenzbericht


[1] https://posteo.de/site/ueber_posteo
// Auf allen Posteo-Servern kommt aus Sicherheitsgründen ausschließlich Open 
Source Software zum Einsatz //

-- 
FSFE -- Founding Member of the GA            blogs.fsfe.org/bernhard
Support our work for Free Software:     https://fsfe.org/support/?ber
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 488 bytes
Beschreibung: This is a digitally signed message part.
URL         : <http://lists.fsfe.org/pipermail/fsfe-de/attachments/20180316/bd5d9c72/attachment.sig>

Mehr Informationen über die Mailingliste FSFE-de