Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Auslesen von Kontaktliste…

gehashte Telefonnummern

  1. Thema

Neues Thema Ansicht wechseln


  1. gehashte Telefonnummern

    Autor: Welpenschutz 02.09.16 - 14:48

    Welchen Vorteil verspricht man sich von gehashten Telefonnummern?

  2. Re: gehashte Telefonnummern

    Autor: Tantalus 02.09.16 - 14:54

    Die Klartextnummern verlassen niemals das Telefon, können also auch weder weitergegeben noch geleaked werden (nach meinem Verständnis).

    Gruß
    Tantalus

    ___________________________

    Man sollte sich die Ruhe und Nervenstärke eines Stuhles zulegen. Der muss auch mit jedem Arsch klarkommen.

  3. Re: gehashte Telefonnummern

    Autor: Tr1umph 02.09.16 - 15:10

    Tantalus schrieb:
    --------------------------------------------------------------------------------
    > Die Klartextnummern verlassen niemals das Telefon, können also auch weder
    > weitergegeben noch geleaked werden (nach meinem Verständnis).
    >
    > Gruß
    > Tantalus

    Da die die Anzahl der Telefonnummern durch Anzahl und Form sehr begrenzt sind ist in Rückrechnen extrem einfach. Hashes von Telefonnummern sind daher rein Sicherheitstechnisch eher Augenwischerei.

  4. Re: gehashte Telefonnummern

    Autor: Welpenschutz 02.09.16 - 15:15

    Tr1umph schrieb:
    > sind ist in Rückrechnen extrem einfach. Hashes von Telefonnummern sind
    > daher rein Sicherheitstechnisch eher Augenwischerei.

    Eben. Gibt zudem bestimmt schon genug Rainbow-Tabellen für Telefonnummern.

  5. Re: gehashte Telefonnummern

    Autor: w00tknut 02.09.16 - 15:42

    Das ist aber nur zutreffend, wenn kein Salt verwendet wird. Ohne das genaue Verfahren bei Threema zu kennen, ist keine valide Aussage zu treffen.

  6. Re: gehashte Telefonnummern

    Autor: tehabe 02.09.16 - 17:44

    w00tknut schrieb:
    --------------------------------------------------------------------------------
    > Das ist aber nur zutreffend, wenn kein Salt verwendet wird. Ohne das genaue
    > Verfahren bei Threema zu kennen, ist keine valide Aussage zu treffen.

    Salt funktioniert hier nicht. Weil die Telefonnummer immer passen müssen. Die einzige Art und Weise es richtig zu machen wäre, die Abfrage komplett und nur im Arbeitsspeicher zu machen und direkt danach die Querydaten zu löschen währen die positiven Nummern zurück an den User geschickt werden.

    Moxie Marlinspike hatte sich mal Gedanken gemacht, wie es besser geht aber einen Lösung hat er nicht gefunden:
    https://whispersystems.org/blog/contact-discovery/

  7. Re: gehashte Telefonnummern

    Autor: computerversteher 02.09.16 - 17:46

    w00tknut schrieb:
    --------------------------------------------------------------------------------
    > Das ist aber nur zutreffend, wenn kein Salt verwendet wird. Ohne das genaue
    > Verfahren bei Threema zu kennen, ist keine valide Aussage zu treffen.
    Wir reden hier von einem Nummernvergleich. D.h. mit der vergebenen Nummer müsste einem Vergleiche mit Nummern in der Kontaktliste eines anderen Benutzers immer noch möglich sein. Damit kann der Salt nicht mehr geheim sein und wird damit wertlos. Wie weiter oben schon von jmd. erwähnt, ist das eigentliche Problem der eingeschränkte Wertebereich.

  8. Re: gehashte Telefonnummern

    Autor: logged_in 02.09.16 - 23:20

    Stell Dir vor Du machst eine 3D-Figur der Telefonnummer und strahlst mit einer Lampe drauf. Dann bastelst Du eine extrem komplexe Spiegelstruktur und stellst die hinter die Telefonnummer. Die Spiegelstruktur lenkt die Licht-Schattenstruktur der Telefonnummer auf ein Blatt, dass dann nur noch aus hellen und dunklen Segmenten besteht, die für jede Telefonnummer anders sind. Die Telefonnummer lässt sich nicht mehr erkennen. Davon wird ein Foto gemacht und das wird auf dem Server gespeichert.

    Wenn Person A die Nummer sounso hat, die durch die Spiegelstruktur das Bild A ergibt und Person B in der Kontaktliste die Nummer der Person A hat, und die auch durch die Spiegelstruktur jagt, dann stimmen die Bilder überein. Der Server weiss also, dass beide die gleiche Nummer meinen, kennt aber die Nummer nicht, da es zu kompliziert ist auf Grund der Licht-Schatten-Segmente im Bild die Nummer wieder herzustellen, auch wenn ihm die Spiegelstruktur bekannt ist.

  9. Re: gehashte Telefonnummern

    Autor: logged_in 02.09.16 - 23:29

    Ein Salt hat nie geheim zu sein, zumindest nicht als Security-Feature, maximal um die Sache ein bisschen schwerer zu machen.

    Die einzig wahre Funktion des Salt ist die, dass keine schon existierende Rainbow-Tabellen verwendet werden können.

    Da der Server den Salt aber im Speicher behalten muss und beim starten erstmal von irgendwoher bekommen muss, ist er kompromittierbar und somit keine Sicherheitsfeature an sich.

  10. Re: gehashte Telefonnummern

    Autor: Moe479 03.09.16 - 01:37

    die lösung ist die kommunikation zu kontakten an keiner stelle über ein fragwürdiges gerät, programm, person und/oder service ablaufen zu lassen.

    bzw. der kontaktlisten app vertrauen die leute wie ihrem gerät oder telko, sobald sie jemanden anderen kontaktieren ... jedes mal erneut!

  11. Re: gehashte Telefonnummern

    Autor: crazypsycho 03.09.16 - 02:33

    logged_in schrieb:
    --------------------------------------------------------------------------------
    > Die einzig wahre Funktion des Salt ist die, dass keine schon existierende
    > Rainbow-Tabellen verwendet werden können.

    Welche bei Rufnummern eh nicht in Betracht kommen, da das ja reine Zahlenfolgen sind.

    Aber WhatsApp ist ja nicht OpenSource, daher wäre der Salt im Code nicht sichtbar (und auf dem Server sowieso nicht).
    Das würde also schon einiges an Sicherheit bringen.

  12. Re: gehashte Telefonnummern

    Autor: matok 03.09.16 - 11:40

    logged_in schrieb:
    --------------------------------------------------------------------------------
    > Ein Salt hat nie geheim zu sein, zumindest nicht als Security-Feature,
    > maximal um die Sache ein bisschen schwerer zu machen.
    >
    > Die einzig wahre Funktion des Salt ist die, dass keine schon existierende
    > Rainbow-Tabellen verwendet werden können.

    Der Salt bei WA müsste allerdings bei allen Nutzern gleich sein, damit ein Nummernmatch klappt. Mit dem nicht geheimen Salt dann eine Rainbowtable zu errechnen, ist bei Telefonnummern kein größerer Akt. Sowohl Länge, als auch Zeichenumfang ist einfach zu gering. Hashen bringt mit oder ohne Salt bei WA praktisch gar nichts. Und der Nummernmatch ist nunmal ein Key-Feature für die meisten User, weil sie so mit minimalem Aufwand durch's Leben kommen.

  13. Re: gehashte Telefonnummern

    Autor: My1 03.09.16 - 12:49

    die erklärung ist geil.

  14. Re: gehashte Telefonnummern

    Autor: crazypsycho 03.09.16 - 16:02

    matok schrieb:
    --------------------------------------------------------------------------------
    > logged_in schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ein Salt hat nie geheim zu sein, zumindest nicht als Security-Feature,
    > > maximal um die Sache ein bisschen schwerer zu machen.
    > >
    > > Die einzig wahre Funktion des Salt ist die, dass keine schon
    > existierende
    > > Rainbow-Tabellen verwendet werden können.
    >
    > Der Salt bei WA müsste allerdings bei allen Nutzern gleich sein, damit ein
    > Nummernmatch klappt. Mit dem nicht geheimen Salt dann eine Rainbowtable zu
    > errechnen, ist bei Telefonnummern kein größerer Akt. Sowohl Länge, als auch
    > Zeichenumfang ist einfach zu gering. Hashen bringt mit oder ohne Salt bei
    > WA praktisch gar nichts. Und der Nummernmatch ist nunmal ein Key-Feature
    > für die meisten User, weil sie so mit minimalem Aufwand durch's Leben
    > kommen.

    Das sehe ich etwas anders. Den Salt muss man ja erstmal raus bekommen. Die Clientsoftware ist ja nicht Open-Source, somit sieht man auch nicht was vor dem Hashen mit der Nummer passiert.
    Wenn dann noch vor dem Hashen die Telefonnummer bspw gedreht wird, wird es noch schwieriger.

    Hashen ohne Salt bringt natürlich wirklich nichts, aber mit ist es kaum möglich die Rufnummern rauszubekommen.

  15. Re: gehashte Telefonnummern

    Autor: logged_in 03.09.16 - 16:27

    Wenn man davon ausgeht, dass der Salt geheim ist und geheim gehalten werden kann, so wie das hier derzeit die meisten tun, dann ist das Haschen von Telefonnummern überhaupt kein Problem:

    hash_of_number = hash( hash( number, salt1), salt2)

    Der erste hash spuckt die Nummer als einen 256 Byte langen String raus, der erheblich komplexer ist als jedes admin1234-Passwort, und der zweite Hash verhindert dann die "einfache Anwendung einer Rainbow-Table" des ersten Hashes, was ja eh nur gemacht werden kann, wenn der erste Salt bekannt ist.

    Von da her ist das nur aus Zahlen bestehende Format einer Telefonnummer gar kein Thema.

  16. Re: gehashte Telefonnummern

    Autor: crazypsycho 03.09.16 - 16:35

    logged_in schrieb:
    --------------------------------------------------------------------------------
    > Wenn man davon ausgeht, dass der Salt geheim ist und geheim gehalten werden
    > kann, so wie das hier derzeit die meisten tun, dann ist das Haschen von
    > Telefonnummern überhaupt kein Problem:
    >
    > hash_of_number = hash( hash( number, salt1), salt2)

    Richtig, wobei es so aufwendig nicht sein muss.
    hashOfNumber = hash(salt1 . rotate(number) .salt2);
    Würde auch bereits reichen.

    > Der erste hash spuckt die Nummer als einen 256 Byte langen String raus, der
    > erheblich komplexer ist als jedes admin1234-Passwort, und der zweite Hash
    > verhindert dann die "einfache Anwendung einer Rainbow-Table" des ersten
    > Hashes, was ja eh nur gemacht werden kann, wenn der erste Salt bekannt
    > ist.

    Wobei eine Rainbow-Table bei fortlaufenden Nummern überflüssig ist.
    Aber ja, es würde ein Durchlaufen aller Nummern verhindern.

    > Von da her ist das nur aus Zahlen bestehende Format einer Telefonnummer gar
    > kein Thema.

    Exakt!

    Wäre schön wenn ein Messenger das mal so umsetzen würde. Muss natürlich in den ersten Monaten gratis sein, um sich verbreiten zu können.
    Dann wäre endlich Ruhe mit dieser Diskussion um die Rufnummern-Weitergabe bei Messengern.

    Gut Google und Apple haben die Nummern natürlich trotzdem, man speichert die ja in der Cloud (und da geht Hashen ja nicht). Daran scheint sich aber niemand zu stören.
    Warum Google/Apple jetzt vertrauenswürdiger als Facebook/WhatsApp sein soll, ist mir auch unklar. Gerade Google ist ja mit Analytics eine sehr große Datenkrake.

  17. Re: gehashte Telefonnummern

    Autor: Tr1umph 04.09.16 - 02:14

    crazypsycho schrieb:
    --------------------------------------------------------------------------------

    > Das sehe ich etwas anders. Den Salt muss man ja erstmal raus bekommen. Die
    > Clientsoftware ist ja nicht Open-Source, somit sieht man auch nicht was vor
    > dem Hashen mit der Nummer passiert.

    Falsch. Bei einer Client Software gibt es keine Geheimnisse. Es wird sich immer jemand finden, der die Software dekompiliert und hardcoded Passwörter oder Salts ausliest.

    Geiheime Salts kann es nur Serverseitig geben.

    Das Hashen von Telefonnummern ist meiner Ansicht nach nur Sinnvoll um vor Datendieben geschützt abzuspeichern. Praktisch wie es bei Passwörtern gemacht werden sollte. Ob die Telefonnummern bei der Übertragung gehasht sind oder nicht spielt keine Rolle. Es gibt keine Möglichkeit die Telefonnummern so zu verschleiern, dass WhatsApp oder Threema diese nicht relativ leicht wieder zurückrechnen können. Da muss man dem Anbieter halt vertrauen. Oder im Fall von WhatsApp mit dem Wissen leben, dass sämtliche Daten gebraucht werden um dich besser manipulieren zu können ;-p

  18. Re: gehashte Telefonnummern

    Autor: crazypsycho 04.09.16 - 20:01

    Tr1umph schrieb:
    --------------------------------------------------------------------------------
    > crazypsycho schrieb:
    > ---------------------------------------------------------------------------
    > -----
    >
    > > Das sehe ich etwas anders. Den Salt muss man ja erstmal raus bekommen.
    > Die
    > > Clientsoftware ist ja nicht Open-Source, somit sieht man auch nicht was
    > vor
    > > dem Hashen mit der Nummer passiert.
    >
    > Falsch. Bei einer Client Software gibt es keine Geheimnisse. Es wird sich
    > immer jemand finden, der die Software dekompiliert und hardcoded Passwörter
    > oder Salts ausliest.
    >
    > Geiheime Salts kann es nur Serverseitig geben.

    Genau, darum hat man auch längst rausgefunden, was Mircosoft bei Windows so alles gehasht überträgt. So einfach wie du dir das vorstellst, ist das nicht.

    Richtig ist natürlich, das WhatsApp den Salt kennt.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Bechtle Onsite Services GmbH, Stade
  2. SEW-EURODRIVE GmbH & Co KG, Bruchsal
  3. Rational AG, Landsberg am Lech
  4. DATAGROUP Köln GmbH, Düsseldorf

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 4,99€
  2. (-79%) 11,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


5G-Report: Nicht jedes Land braucht zur Frequenzvergabe Auktionen
5G-Report
Nicht jedes Land braucht zur Frequenzvergabe Auktionen

Die umstrittene Versteigerung von 5G-Frequenzen durch die Bundesnetzagentur ist zu Ende. Die Debatte darüber, wie Funkspektrum verteilt werden soll, geht weiter. Wir haben uns die Praxis in anderen Ländern angeschaut.
Ein Bericht von Stefan Krempl

  1. AT&T Testnutzer in 5G-Netzwerk misst 1,7 GBit/s
  2. Netzausbau Städtebund-Chef will 5G-Antennen auf Kindergärten
  3. SK Telecom Deutsche Telekom will selbst 5G-Ausrüstung entwickeln

Projektmanagement: An der falschen Stelle automatisiert
Projektmanagement
An der falschen Stelle automatisiert

Kommunikationstools und künstliche Intelligenz sollen dabei helfen, dass IT-Projekte besser und schneller fertig werden. Demnächst sollen sie sogar Posten wie den des Projektmanagers überflüssig machen. Doch das wird voraussichtlich nicht passieren.
Ein Erfahrungsbericht von Marvin Engel


    WD Blue SN500 ausprobiert: Die flotte günstige Blaue
    WD Blue SN500 ausprobiert
    Die flotte günstige Blaue

    Mit der WD Blue SN500 bietet Western Digital eine spannende NVMe-SSD an: Das M.2-Kärtchen basiert auf einem selbst entwickelten Controller und eigenem Flash-Speicher. Das Resultat ist ein schnelles, vor allem aber günstiges Modell als bessere Alternative zu Sata-SSDs.
    Von Marc Sauter

    1. WD Black SN750 ausprobiert Direkt hinter Samsungs SSDs
    2. WD Black SN750 Leicht optimierte NVMe-SSD mit 2 TByte
    3. Ultrastar DC ME200 Western Digital baut PCIe-Arbeitsspeicher mit 4 TByte

    1. Funklöcher: Telekom weist Vorwürfe zu schlechtem Antennenstandort zurück
      Funklöcher
      Telekom weist Vorwürfe zu schlechtem Antennenstandort zurück

      Nach den Vorwürfen eines Ortsteilbürgermeisters bei der Standortauswahl in einem Ort in Thüringen sieht sich die Telekom missverstanden. Auch sei die Ausleuchtung beider Ortsteile mit einer Antenne nicht möglich, sagt ein Sprecher.

    2. Bethesda: Wolfenstein Youngblood erscheint mit Nazis und Hakenkreuzen
      Bethesda
      Wolfenstein Youngblood erscheint mit Nazis und Hakenkreuzen

      Kein anonymes Regime, sondern Nazis und keine erfundenen Symbole, sondern Hakenkreuze: Wolfenstein Youngblood und das VR-Actionspiel Cyberpilot erscheinen auch in Deutschland in einer ungeschnittenen Version.

    3. Roli Lumi: Mit LED-Keyboard und Guitar-Hero-Klon musizieren lernen
      Roli Lumi
      Mit LED-Keyboard und Guitar-Hero-Klon musizieren lernen

      Roli will Anfängern den Einstieg in das Musikmachen erleichtern und finanziert deshalb auf Kickstarter das Roli-Lumi-Keyboard mit passender App. Nutzer lernen damit, Lieder zu spielen, indem das Keyboard die richtigen Tasten aufleuchten lässt. Es lassen sich zwei Keyboards zu einem größeren zusammenstecken.


    1. 18:13

    2. 17:54

    3. 17:39

    4. 17:10

    5. 16:45

    6. 16:31

    7. 15:40

    8. 15:27