Abo
  1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › WLAN-Tracking und Datenschutz: Ist…

Hashing anonymisiert nicht,

  1. Thema

Neues Thema Ansicht wechseln


  1. Hashing anonymisiert nicht,

    Autor: M-M 09.01.19 - 14:14

    ... sondern pseudonymisiert höchstens. So oder so bringt das Hashing von MAC-Adressen nichts, es gibt einfach zu wenige mögliche Adressen:

    MAC-Adressen haben 48 bit.
    Die erste Hälfte der MAC-Adressen ist der sog. Organisationally Unique Identifier (OUI). Es gibt etwa 24215 verschiedene OUIs. Praktisch gibt es also ca 24215*2^24= 4.1E11 verschiedene MAC-Adressen, also ungefähr 400 Milliarden. Damit bräuchte man schon sehr langsame Hashfunktionen, damit man den Hash nicht in sehr kurzer Zeit auf eine MAC-Adresse zurückführen könnte.

  2. Re: Hashing anonymisiert nicht,

    Autor: ibsi 09.01.19 - 15:45

    Wenn man das mit einem Tagessalt hasht (also jeden Tag ein neuer Salt), dann könnte man das meiner Meinung nach hin bekommen. Am nächsten Tag bin ich dann halt ein neuer Kunde.

  3. Re: Hashing anonymisiert nicht,

    Autor: Shismar 09.01.19 - 19:10

    Zum einen kann man die MAC salzen, wenn man unbedingt möchte und zum anderen sind Hash-Funktionen nun einmal nicht reversibel. D.h., selbst wenn Du den Hash in Deiner rainbow table aller möglichen MAC-Adressen gefunden hast (keine Ahnung ob es die gibt), so ist immer noch nicht bekannt, welche der mehreren Millionen MAC-Adressen die den gleichen Hash bilden die richtige ist. (Angenommen ein einigermaßen aktuelles und nicht kompromittiertes Hash-Verfahren)

    Also, nein, der Hash lässt sich nicht auf die Adresse zurückführen, für die er generiert wurde.


    Ein Tagesdatum als Salt hätte den Vorteil, dass zum einen eine rainbow table unrealistisch würde, weil für jeden Tag zu generieren, und man für die Dauer des Tages Bewegungen verfolgen kann. Danach kann man den Hash wegwerfen, weil sehr sicher nie wieder mit der gleichen MAC den gleichen Hash haben wird.

  4. Re: Hashing anonymisiert nicht,

    Autor: M-M 09.01.19 - 19:53

    Ein ausreichend langer Salt, der zeitnah verworfen wird, kann tatsächlich etwas bringen.

    Zum Brechen von ungesalzenen MAC-Adress-Hashes brauch es keine Rainbowtables. Eine Million MAC-Adressen aus Hashes wiederherzustellen dauert keine fünf Minuten auf einer (gar nicht so neuen) Grafikkarte. Bei Verfahren wie md5 oder sha-256 sind mir keine Kollisionen untergekommen.

  5. Re: Hashing anonymisiert nicht,

    Autor: robinx999 09.01.19 - 19:56

    Die Frage muss man natürlich schon stellen, wie viel hashes pro Sekunde kann ein schnelles System berechnen. Das hängt natürlich Algorithmus ab. Aber grundsätzlich ist die Gefahr natürlich hoch das es hier live von einem billigen Gerät berechnet werden muss, und eine High End Workstation kann es evtl. in akzeptabler Zeit Bruteforcen, dann nützt auch ein Salt nichts mehr.

    Und es ist halt die Frage ob man so etwas wie eine Mac oder eine IP Adresse (zumindest IPv4) überhaupt mittels eines Hashes anonymisieren kann, da es einfach zu wenige gibt

  6. Re: Hashing anonymisiert nicht,

    Autor: M-M 09.01.19 - 20:06

    Eine Nvidia RTX 2080 FE kommt mit hashcat auf fast 40 Milliarded md5-Hashes pro Sekunde :D (siehe https://gist.github.com/epixoip/23068f4bc81db505115c43e7751522f2). Bei bcrypt oder scrypt sieht das aber schon anders aus.

    Interessant wäre es, wenn man scrypt ASIC miner zum Hash-Brechen nutzen könnte.

  7. Re: Hashing anonymisiert nicht,

    Autor: Agina 09.01.19 - 20:13

    Shismar schrieb:
    --------------------------------------------------------------------------------
    > zum
    > anderen sind Hash-Funktionen nun einmal nicht reversibel. D.h., selbst wenn
    > Du den Hash in Deiner rainbow table aller möglichen MAC-Adressen gefunden
    > hast, so ist immer noch nicht bekannt, welche
    > der mehreren Millionen MAC-Adressen die den gleichen Hash bilden die
    > richtige ist.
    Es gibt 2^46 verschiedene MAC-Adressen und md5 hat 2^128 verschiedene Möglichkeiten.
    Damit sind Kollisionen zwar möglich, aber extrem unwahrscheinlich und wenn, dann werden es wohl auch nur 2 MACs sein, die den gleichen md5-Hash haben.

  8. Re: Hashing anonymisiert nicht,

    Autor: robinx999 09.01.19 - 20:21

    M-M schrieb:
    --------------------------------------------------------------------------------
    > Ein ausreichend langer Salt, der zeitnah verworfen wird, kann tatsächlich
    > etwas bringen.
    >
    Nur wie Zeitnah will man so einen Salt verwerfen wenn man laut Aussage der Betreiber sicher stellen will das Jeder Besucher nur ein mal Gezählt wird, da kann man diesen nicht sehr oft verwerfen

  9. Re: Hashing anonymisiert nicht,

    Autor: Agina 09.01.19 - 20:27

    robinx999 schrieb:
    --------------------------------------------------------------------------------
    > M-M schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ein ausreichend langer Salt, der zeitnah verworfen wird, kann
    > tatsächlich
    > > etwas bringen.
    > >
    > Nur wie Zeitnah will man so einen Salt verwerfen wenn man laut Aussage der
    > Betreiber sicher stellen will das Jeder Besucher nur ein mal Gezählt wird,
    > da kann man diesen nicht sehr oft verwerfen
    Auch wenn der Betreiber das natürlich am liebsten über Jahre tracken würde, reicht es aus, einmal am Tag den Key zu verwerfen.
    Damit wird zwar nur sichergestellt, dass jeder Besucher nur einmal am Tag getrackt wird, aber das reicht schon aus.

  10. Re: Hashing anonymisiert nicht,

    Autor: robinx999 09.01.19 - 20:37

    Hängt dann aber natürlich Trotzdem von dem Verfahren ab einige simple lassen ja trotzdem zu das man mehrere Millionen pro Sekunde durchprobiert mit einer schnellen Grafikkarte. Also braucht es ein Verfahren welches gegenüber Bruteforce Atacken einigermaßen Resistent ist und gleichzeitig ausreichend schnell von Billigen Messgeräten erzeugt werden kann.

  11. Re: Hashing anonymisiert nicht,

    Autor: fox82 09.01.19 - 21:07

    Es ist nicht so entscheidend ob man nun eine echte Mac Adresse oder ein Pseudonym hat.

    Der Datenschutz-Gau passiert wenn man irgendwo das Bewegungsprofil (Pseudonym/Hash, wasauchimmer) einer Person zuordnen kann. Etwa einer Zahlungskarte, einem Foto einer Überwachungskamera etc.

    Wenn ich jeden Tag ein neues Salt verwende, aber jeden Tag das Profil der Kundenkarte der Person A zuordne dann ist dieses Salt völlig irrelavant. Denn ab dann weiß ich was Person A jeden Tag gemacht hat.

    Am besten das Ganze bleiben lassen. Denn die Verantwortlichen denken sie haben alles super anonymisiert, arbeiten in großem Stil mit den Daten, geben sie weiter (alles anonym, lol), und sobald jemand diese Daten mit anderen Daten zusammenführt kommt plötzlich was völlig Dummes raus.

    zB eine Taxizentrale (NY oder so) hat mal anonyme Daten zu Fahrten veröffentlicht. Die Daten hat jemand mit Paparazzi Fotos kombiniert (Taxinummer + Person am Foto), und schon hatte man Bewegungsdaten von vielen bekannten Personen.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. EXTRA Computer GmbH, Giengen an der Brenz
  2. AGCO GmbH, Marktoberdorf
  3. AOK Systems GmbH, Bonn
  4. MorphoSys AG, Planegg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 22,99€
  2. (-71%) 19,99€
  3. (-55%) 44,99€
  4. 4,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


WLAN-Kameras ausgeknipst: Wer hat die Winkekatze geklaut?
WLAN-Kameras ausgeknipst
Wer hat die Winkekatze geklaut?

Weg ist die Winkekatze - und keine unserer vier Überwachungskameras hat den Dieb gesehen. Denn WLAN-Cams von Abus, Nest, Yi Technology und Arlo lassen sich ganz einfach ausschalten.
Von Moritz Tremmel

  1. Wi-Fi 6 Router und Clients für den neuen WLAN-Standard
  2. Wi-Fi 6 und 802.11ax Was bringt der neue WLAN-Standard?
  3. Brandenburg Vodafone errichtet 1.200 kostenlose WLAN-Hotspots

Rohstoffe: Lithium aus dem heißen Untergrund
Rohstoffe
Lithium aus dem heißen Untergrund

Liefern Geothermiekraftwerke in Südwestdeutschland bald nicht nur Strom und Wärme, sondern auch einen wichtigen Rohstoff für die Akkus von Smartphones, Tablets und Elektroautos? Das Thermalwasser hat einen so hohen Gehalt an Lithium, dass sich ein Abbau lohnen könnte. Doch es gibt auch Gegner.
Ein Bericht von Werner Pluta

  1. Wasserkraft Strom aus dem Strom
  2. Energie Wie Mikroben Methan mit Windstrom produzieren
  3. Erneuerbare Energien Die Energiewende braucht Wasserstoff

SSD-Kompendium: AHCI, M.2, NVMe, PCIe, Sata, U.2 - ein Überblick
SSD-Kompendium
AHCI, M.2, NVMe, PCIe, Sata, U.2 - ein Überblick

Heutige SSDs gibt es in allerhand Formfaktoren mit diversen Anbindungen und Protokollen, selbst der verwendete Speicher ist längst nicht mehr zwingend NAND-Flash. Wir erläutern die Unterschiede und Gemeinsamkeiten der Solid State Drives.
Von Marc Sauter

  1. PM1733 Samsungs PCIe-Gen4-SSD macht die 8 GByte/s voll
  2. PS5018-E18 Phisons PCIe-Gen4-SSD-Controller liefert 7 GByte/s
  3. Ultrastar SN640 Western Digital bringt SSD mit 31 TByte im E1.L-Ruler-Format

  1. 16K-Videos: 400 MByte für einen Screenshot
    16K-Videos
    400 MByte für einen Screenshot

    Die meisten Spiele können nur 4K, mit Downsampling sind bis zu 16K möglich. Wie das geht, haben wir bereits in einem früheren Artikel erklärt. Jetzt folgt die nächste Stufe: Wie erstellt man Videos in solchen Auflösungen? Hier wird gleich ein ganzer Schwung weiterer Tools und Tricks nötig.

  2. Antivirus-Hersteller: US-Beteiligungsgesellschaft möchte Sophos übernehmen
    Antivirus-Hersteller
    US-Beteiligungsgesellschaft möchte Sophos übernehmen

    Mehr als 3,9 Milliarden US-Dollar möchte sich die Beteiligungsgesellschaft Thoma Bravo das britische Sicherheitsunternehmen Sophos kosten lassen. Thoma Bravo hält auch Anteile an der Sicherheitsfirma McAfee.

  3. Supply-Chain-Angriff: Spionagechips können einfach und günstig eingelötet werden
    Supply-Chain-Angriff
    Spionagechips können einfach und günstig eingelötet werden

    Ein Sicherheitsforscher zeigt, wie er mit Equipment für unter 200 US-Dollar mit einem Mikrochip eine Hardware-Firewall übernehmen konnte. Damit beweist er, wie günstig und realistisch solche Angriffe sein können. Vor einem Jahr berichtete Bloomberg von vergleichbaren chinesischen Spionagechips.


  1. 09:00

  2. 08:28

  3. 16:54

  4. 16:41

  5. 16:04

  6. 15:45

  7. 15:35

  8. 15:00