Datenschutz: Gehashte Mobiltelefonnummer ist anonym? (Posteo-Gutachten)
Bernhard E. Reiter
bernhard at fsfe.org
Fr Mär 16 11:46:38 UTC 2018
Moin,
Datenschutz für Dienste ist ein Thema, was aus Sicht der Freien Software
interessiert. Der Anbieter Posteo.de setzt auf den Servern laut eigener
Angabe [1] nur Freie Software ein.
Jetzt hat Posteo ein selbst beauftragtes Gutachten veröffentlicht,
dass sie die Hash-Werte der Mobiltelefonnummern von Kunden nicht herausgeben
müssen, da sie anonym seien:
https://posteo.de/blog/bnetza-entscheidung-zu-posteo-kryptographisch-bearbeitete-daten-nicht-auskunftspflichtig
Was ich daran nicht verstehe ist, warum die Bundesnetzagentur und die
Datenschutzbeauftragte das so sehen.
Soweit ich es verstanden habe, hashen die mit einem Salt die
Mobiltelefonnummer (im Webbrowser) müssen dafür den Salt
auf dem Server generieren, an den Browser senden, dann den Hash abholen
und zusammen mit dem Salz abspeichern.
Sofern ich eine Liste von Mobiltelefonnummern hätte, sollte es doch möglich
sein, die mit den bekannten Salts auszuprobieren. Der Aufwand erscheint mir
gangbar. Nehmen wir alle Mobiltelefone in DE grob 10^12 Möglichkeiten
(vermutlich weniger, weil nicht alle Nummern vergeben sind oder wenn ich
schon bestimmte Nummern im Verdacht habe). Wenn ich 10^^6 Möglichkeiten
in der Sekunde ausrechnen könnte, dann bräuchte ich nur 10^^6 Sekunden,
macht ~11,5 Tage um zu dem Hashwert die Mobiltelefonnummer zu ermitteln.
Was übersehe ich da?
Gruß,
Bernhard
ps.: Posteo listet vorbildlich auf, wieviele Anfragen Sie von Behörden
bekommen und beantwortet haben:
https://posteo.de/site/transparenzbericht
[1] https://posteo.de/site/ueber_posteo
// Auf allen Posteo-Servern kommt aus Sicherheitsgründen ausschließlich Open
Source Software zum Einsatz //
--
FSFE -- Founding Member of the GA blogs.fsfe.org/bernhard
Support our work for Free Software: https://fsfe.org/support/?ber
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 488 bytes
Beschreibung: This is a digitally signed message part.
URL : <http://lists.fsfe.org/pipermail/fsfe-de/attachments/20180316/bd5d9c72/attachment.sig>
Mehr Informationen über die Mailingliste FSFE-de