Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Auslesen von Kontaktliste…

gehashte Telefonnummern

  1. Thema

Neues Thema Ansicht wechseln


  1. gehashte Telefonnummern

    Autor: Welpenschutz 02.09.16 - 14:48

    Welchen Vorteil verspricht man sich von gehashten Telefonnummern?

  2. Re: gehashte Telefonnummern

    Autor: Tantalus 02.09.16 - 14:54

    Die Klartextnummern verlassen niemals das Telefon, können also auch weder weitergegeben noch geleaked werden (nach meinem Verständnis).

    Gruß
    Tantalus

    ___________________________

    Man sollte sich die Ruhe und Nervenstärke eines Stuhles zulegen. Der muss auch mit jedem Arsch klarkommen.

  3. Re: gehashte Telefonnummern

    Autor: Tr1umph 02.09.16 - 15:10

    Tantalus schrieb:
    --------------------------------------------------------------------------------
    > Die Klartextnummern verlassen niemals das Telefon, können also auch weder
    > weitergegeben noch geleaked werden (nach meinem Verständnis).
    >
    > Gruß
    > Tantalus

    Da die die Anzahl der Telefonnummern durch Anzahl und Form sehr begrenzt sind ist in Rückrechnen extrem einfach. Hashes von Telefonnummern sind daher rein Sicherheitstechnisch eher Augenwischerei.

  4. Re: gehashte Telefonnummern

    Autor: Welpenschutz 02.09.16 - 15:15

    Tr1umph schrieb:
    > sind ist in Rückrechnen extrem einfach. Hashes von Telefonnummern sind
    > daher rein Sicherheitstechnisch eher Augenwischerei.

    Eben. Gibt zudem bestimmt schon genug Rainbow-Tabellen für Telefonnummern.

  5. Re: gehashte Telefonnummern

    Autor: w00tknut 02.09.16 - 15:42

    Das ist aber nur zutreffend, wenn kein Salt verwendet wird. Ohne das genaue Verfahren bei Threema zu kennen, ist keine valide Aussage zu treffen.

  6. Re: gehashte Telefonnummern

    Autor: tehabe 02.09.16 - 17:44

    w00tknut schrieb:
    --------------------------------------------------------------------------------
    > Das ist aber nur zutreffend, wenn kein Salt verwendet wird. Ohne das genaue
    > Verfahren bei Threema zu kennen, ist keine valide Aussage zu treffen.

    Salt funktioniert hier nicht. Weil die Telefonnummer immer passen müssen. Die einzige Art und Weise es richtig zu machen wäre, die Abfrage komplett und nur im Arbeitsspeicher zu machen und direkt danach die Querydaten zu löschen währen die positiven Nummern zurück an den User geschickt werden.

    Moxie Marlinspike hatte sich mal Gedanken gemacht, wie es besser geht aber einen Lösung hat er nicht gefunden:
    https://whispersystems.org/blog/contact-discovery/

  7. Re: gehashte Telefonnummern

    Autor: computerversteher 02.09.16 - 17:46

    w00tknut schrieb:
    --------------------------------------------------------------------------------
    > Das ist aber nur zutreffend, wenn kein Salt verwendet wird. Ohne das genaue
    > Verfahren bei Threema zu kennen, ist keine valide Aussage zu treffen.
    Wir reden hier von einem Nummernvergleich. D.h. mit der vergebenen Nummer müsste einem Vergleiche mit Nummern in der Kontaktliste eines anderen Benutzers immer noch möglich sein. Damit kann der Salt nicht mehr geheim sein und wird damit wertlos. Wie weiter oben schon von jmd. erwähnt, ist das eigentliche Problem der eingeschränkte Wertebereich.

  8. Re: gehashte Telefonnummern

    Autor: logged_in 02.09.16 - 23:20

    Stell Dir vor Du machst eine 3D-Figur der Telefonnummer und strahlst mit einer Lampe drauf. Dann bastelst Du eine extrem komplexe Spiegelstruktur und stellst die hinter die Telefonnummer. Die Spiegelstruktur lenkt die Licht-Schattenstruktur der Telefonnummer auf ein Blatt, dass dann nur noch aus hellen und dunklen Segmenten besteht, die für jede Telefonnummer anders sind. Die Telefonnummer lässt sich nicht mehr erkennen. Davon wird ein Foto gemacht und das wird auf dem Server gespeichert.

    Wenn Person A die Nummer sounso hat, die durch die Spiegelstruktur das Bild A ergibt und Person B in der Kontaktliste die Nummer der Person A hat, und die auch durch die Spiegelstruktur jagt, dann stimmen die Bilder überein. Der Server weiss also, dass beide die gleiche Nummer meinen, kennt aber die Nummer nicht, da es zu kompliziert ist auf Grund der Licht-Schatten-Segmente im Bild die Nummer wieder herzustellen, auch wenn ihm die Spiegelstruktur bekannt ist.

  9. Re: gehashte Telefonnummern

    Autor: logged_in 02.09.16 - 23:29

    Ein Salt hat nie geheim zu sein, zumindest nicht als Security-Feature, maximal um die Sache ein bisschen schwerer zu machen.

    Die einzig wahre Funktion des Salt ist die, dass keine schon existierende Rainbow-Tabellen verwendet werden können.

    Da der Server den Salt aber im Speicher behalten muss und beim starten erstmal von irgendwoher bekommen muss, ist er kompromittierbar und somit keine Sicherheitsfeature an sich.

  10. Re: gehashte Telefonnummern

    Autor: Moe479 03.09.16 - 01:37

    die lösung ist die kommunikation zu kontakten an keiner stelle über ein fragwürdiges gerät, programm, person und/oder service ablaufen zu lassen.

    bzw. der kontaktlisten app vertrauen die leute wie ihrem gerät oder telko, sobald sie jemanden anderen kontaktieren ... jedes mal erneut!

  11. Re: gehashte Telefonnummern

    Autor: crazypsycho 03.09.16 - 02:33

    logged_in schrieb:
    --------------------------------------------------------------------------------
    > Die einzig wahre Funktion des Salt ist die, dass keine schon existierende
    > Rainbow-Tabellen verwendet werden können.

    Welche bei Rufnummern eh nicht in Betracht kommen, da das ja reine Zahlenfolgen sind.

    Aber WhatsApp ist ja nicht OpenSource, daher wäre der Salt im Code nicht sichtbar (und auf dem Server sowieso nicht).
    Das würde also schon einiges an Sicherheit bringen.

  12. Re: gehashte Telefonnummern

    Autor: matok 03.09.16 - 11:40

    logged_in schrieb:
    --------------------------------------------------------------------------------
    > Ein Salt hat nie geheim zu sein, zumindest nicht als Security-Feature,
    > maximal um die Sache ein bisschen schwerer zu machen.
    >
    > Die einzig wahre Funktion des Salt ist die, dass keine schon existierende
    > Rainbow-Tabellen verwendet werden können.

    Der Salt bei WA müsste allerdings bei allen Nutzern gleich sein, damit ein Nummernmatch klappt. Mit dem nicht geheimen Salt dann eine Rainbowtable zu errechnen, ist bei Telefonnummern kein größerer Akt. Sowohl Länge, als auch Zeichenumfang ist einfach zu gering. Hashen bringt mit oder ohne Salt bei WA praktisch gar nichts. Und der Nummernmatch ist nunmal ein Key-Feature für die meisten User, weil sie so mit minimalem Aufwand durch's Leben kommen.

  13. Re: gehashte Telefonnummern

    Autor: My1 03.09.16 - 12:49

    die erklärung ist geil.

  14. Re: gehashte Telefonnummern

    Autor: crazypsycho 03.09.16 - 16:02

    matok schrieb:
    --------------------------------------------------------------------------------
    > logged_in schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ein Salt hat nie geheim zu sein, zumindest nicht als Security-Feature,
    > > maximal um die Sache ein bisschen schwerer zu machen.
    > >
    > > Die einzig wahre Funktion des Salt ist die, dass keine schon
    > existierende
    > > Rainbow-Tabellen verwendet werden können.
    >
    > Der Salt bei WA müsste allerdings bei allen Nutzern gleich sein, damit ein
    > Nummernmatch klappt. Mit dem nicht geheimen Salt dann eine Rainbowtable zu
    > errechnen, ist bei Telefonnummern kein größerer Akt. Sowohl Länge, als auch
    > Zeichenumfang ist einfach zu gering. Hashen bringt mit oder ohne Salt bei
    > WA praktisch gar nichts. Und der Nummernmatch ist nunmal ein Key-Feature
    > für die meisten User, weil sie so mit minimalem Aufwand durch's Leben
    > kommen.

    Das sehe ich etwas anders. Den Salt muss man ja erstmal raus bekommen. Die Clientsoftware ist ja nicht Open-Source, somit sieht man auch nicht was vor dem Hashen mit der Nummer passiert.
    Wenn dann noch vor dem Hashen die Telefonnummer bspw gedreht wird, wird es noch schwieriger.

    Hashen ohne Salt bringt natürlich wirklich nichts, aber mit ist es kaum möglich die Rufnummern rauszubekommen.

  15. Re: gehashte Telefonnummern

    Autor: logged_in 03.09.16 - 16:27

    Wenn man davon ausgeht, dass der Salt geheim ist und geheim gehalten werden kann, so wie das hier derzeit die meisten tun, dann ist das Haschen von Telefonnummern überhaupt kein Problem:

    hash_of_number = hash( hash( number, salt1), salt2)

    Der erste hash spuckt die Nummer als einen 256 Byte langen String raus, der erheblich komplexer ist als jedes admin1234-Passwort, und der zweite Hash verhindert dann die "einfache Anwendung einer Rainbow-Table" des ersten Hashes, was ja eh nur gemacht werden kann, wenn der erste Salt bekannt ist.

    Von da her ist das nur aus Zahlen bestehende Format einer Telefonnummer gar kein Thema.

  16. Re: gehashte Telefonnummern

    Autor: crazypsycho 03.09.16 - 16:35

    logged_in schrieb:
    --------------------------------------------------------------------------------
    > Wenn man davon ausgeht, dass der Salt geheim ist und geheim gehalten werden
    > kann, so wie das hier derzeit die meisten tun, dann ist das Haschen von
    > Telefonnummern überhaupt kein Problem:
    >
    > hash_of_number = hash( hash( number, salt1), salt2)

    Richtig, wobei es so aufwendig nicht sein muss.
    hashOfNumber = hash(salt1 . rotate(number) .salt2);
    Würde auch bereits reichen.

    > Der erste hash spuckt die Nummer als einen 256 Byte langen String raus, der
    > erheblich komplexer ist als jedes admin1234-Passwort, und der zweite Hash
    > verhindert dann die "einfache Anwendung einer Rainbow-Table" des ersten
    > Hashes, was ja eh nur gemacht werden kann, wenn der erste Salt bekannt
    > ist.

    Wobei eine Rainbow-Table bei fortlaufenden Nummern überflüssig ist.
    Aber ja, es würde ein Durchlaufen aller Nummern verhindern.

    > Von da her ist das nur aus Zahlen bestehende Format einer Telefonnummer gar
    > kein Thema.

    Exakt!

    Wäre schön wenn ein Messenger das mal so umsetzen würde. Muss natürlich in den ersten Monaten gratis sein, um sich verbreiten zu können.
    Dann wäre endlich Ruhe mit dieser Diskussion um die Rufnummern-Weitergabe bei Messengern.

    Gut Google und Apple haben die Nummern natürlich trotzdem, man speichert die ja in der Cloud (und da geht Hashen ja nicht). Daran scheint sich aber niemand zu stören.
    Warum Google/Apple jetzt vertrauenswürdiger als Facebook/WhatsApp sein soll, ist mir auch unklar. Gerade Google ist ja mit Analytics eine sehr große Datenkrake.

  17. Re: gehashte Telefonnummern

    Autor: Tr1umph 04.09.16 - 02:14

    crazypsycho schrieb:
    --------------------------------------------------------------------------------

    > Das sehe ich etwas anders. Den Salt muss man ja erstmal raus bekommen. Die
    > Clientsoftware ist ja nicht Open-Source, somit sieht man auch nicht was vor
    > dem Hashen mit der Nummer passiert.

    Falsch. Bei einer Client Software gibt es keine Geheimnisse. Es wird sich immer jemand finden, der die Software dekompiliert und hardcoded Passwörter oder Salts ausliest.

    Geiheime Salts kann es nur Serverseitig geben.

    Das Hashen von Telefonnummern ist meiner Ansicht nach nur Sinnvoll um vor Datendieben geschützt abzuspeichern. Praktisch wie es bei Passwörtern gemacht werden sollte. Ob die Telefonnummern bei der Übertragung gehasht sind oder nicht spielt keine Rolle. Es gibt keine Möglichkeit die Telefonnummern so zu verschleiern, dass WhatsApp oder Threema diese nicht relativ leicht wieder zurückrechnen können. Da muss man dem Anbieter halt vertrauen. Oder im Fall von WhatsApp mit dem Wissen leben, dass sämtliche Daten gebraucht werden um dich besser manipulieren zu können ;-p

  18. Re: gehashte Telefonnummern

    Autor: crazypsycho 04.09.16 - 20:01

    Tr1umph schrieb:
    --------------------------------------------------------------------------------
    > crazypsycho schrieb:
    > ---------------------------------------------------------------------------
    > -----
    >
    > > Das sehe ich etwas anders. Den Salt muss man ja erstmal raus bekommen.
    > Die
    > > Clientsoftware ist ja nicht Open-Source, somit sieht man auch nicht was
    > vor
    > > dem Hashen mit der Nummer passiert.
    >
    > Falsch. Bei einer Client Software gibt es keine Geheimnisse. Es wird sich
    > immer jemand finden, der die Software dekompiliert und hardcoded Passwörter
    > oder Salts ausliest.
    >
    > Geiheime Salts kann es nur Serverseitig geben.

    Genau, darum hat man auch längst rausgefunden, was Mircosoft bei Windows so alles gehasht überträgt. So einfach wie du dir das vorstellst, ist das nicht.

    Richtig ist natürlich, das WhatsApp den Salt kennt.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. T-Systems Multimedia Solutions GmbH, Dresden
  2. Ruhrverband, Essen
  3. ADAC Ostwestfalen-Lippe e.V., Bielefeld
  4. Schaeffler Technologies AG & Co. KG, Schweinfurt

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 69,90€ + Versand (Vergleichspreis 100,83€ + Versand)
  2. für 50,96€ mit Code: Osterlion19


Haben wir etwas übersehen?

E-Mail an news@golem.de


Technologie: Warum Roboter in Japan so beliebt sind
Technologie
Warum Roboter in Japan so beliebt sind

Japaner produzieren nicht nur mehr Roboter als jede andere Nation, sie gehen auch selbstverständlicher mit ihnen um. Das liegt an der besonderen Geschichte und Religion des Inselstaats - und an Astro Boy.
Von Miroslav Stimac

  1. Kreativität Roboterdame Ai-Da soll zeichnen und malen
  2. Automatisierung Roboterhotel entlässt Roboter
  3. Cimon Die ISS bekommt einen sensiblen Kommunikationsroboter

Echo Wall Clock im Test: Ach du liebe Zeit, Amazon!
Echo Wall Clock im Test
Ach du liebe Zeit, Amazon!

Die Echo Wall Clock hat fast keine Funktionen und die funktionieren auch noch schlecht: Amazons Wanduhr ist schon vielen US-Nutzern auf den Zeiger gegangen - im Test auch uns.
Ein Test von Ingo Pakalski

  1. Amazon Echo Link und Echo Link Amp kommen mit Beschränkungen
  2. Echo Wall Clock Amazon verkauft die Alexa-Wanduhr wieder
  3. Echo Wall Clock Amazon stoppt Verkauf der Alexa-Wanduhr wegen Technikfehler

Swobbee: Der Wechselakku kommt wieder
Swobbee
Der Wechselakku kommt wieder

Mieten statt kaufen, wechseln statt laden: Das Berliner Startup Swobbee baut eine Infrastruktur mit Lade- und Tauschstationen für Akkus auf. Ein ähnliches Geschäftsmodell ist schon einmal gescheitert. Dieses kann jedoch aufgehen.
Eine Analyse von Werner Pluta

  1. Elektromobilität Seoul will Zweirad-Kraftfahrzeuge und Minibusse austauschen
  2. Rechtsanspruch auf Wallboxen Wohnungswirtschaft warnt vor "Schnellschuss" bei WEG-Reform
  3. Innolith Energy Battery Schweizer Unternehmen entwickelt sehr leistungsfähigen Akku

  1. Guillaume Faury: Neuer Airbus-Chef setzt auf Elektroflieger
    Guillaume Faury
    Neuer Airbus-Chef setzt auf Elektroflieger

    Der Klimaschutz ist ihm wichtig: Guillaume Faury ist seit knapp zwei Wochen Chef von Airbus. In einem Zeitungsinterview hat er angekündigt, dass der europäische Luft- und Raumfahrtkonzern größere Flugzeuge mit Elektroantrieb bauen werde. Ein kommerzieller Einsatz sei Ende des kommenden Jahrzehnts denkbar.

  2. CIA-Vorwürfe: Huawei soll von chinesischer Regierung finanziert werden
    CIA-Vorwürfe
    Huawei soll von chinesischer Regierung finanziert werden

    Die US-Regierung legt im Handelsstreit mit China nach: Der US-Geheimdienst CIA wirft dem Netzausrüster Huawei vor, Finanzhilfen von der chinesischen Armee und dem Geheimdienst erhalten zu haben.

  3. SpaceX: Dragon-Raumschiff bei Test explodiert
    SpaceX
    Dragon-Raumschiff bei Test explodiert

    Bei einem Triebwerkstest ist ein SpaceX-Raumschiff auf dem Teststand explodiert. Das Raumschiff wurde dabei vollständig zerstört.


  1. 12:55

  2. 11:14

  3. 10:58

  4. 16:00

  5. 15:18

  6. 13:42

  7. 15:00

  8. 14:30