1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › WLAN-Tracking und Datenschutz: Ist…

Hashing anonymisiert nicht,

  1. Thema

Neues Thema Ansicht wechseln


  1. Hashing anonymisiert nicht,

    Autor: M-M 09.01.19 - 14:14

    ... sondern pseudonymisiert höchstens. So oder so bringt das Hashing von MAC-Adressen nichts, es gibt einfach zu wenige mögliche Adressen:

    MAC-Adressen haben 48 bit.
    Die erste Hälfte der MAC-Adressen ist der sog. Organisationally Unique Identifier (OUI). Es gibt etwa 24215 verschiedene OUIs. Praktisch gibt es also ca 24215*2^24= 4.1E11 verschiedene MAC-Adressen, also ungefähr 400 Milliarden. Damit bräuchte man schon sehr langsame Hashfunktionen, damit man den Hash nicht in sehr kurzer Zeit auf eine MAC-Adresse zurückführen könnte.

  2. Re: Hashing anonymisiert nicht,

    Autor: ibsi 09.01.19 - 15:45

    Wenn man das mit einem Tagessalt hasht (also jeden Tag ein neuer Salt), dann könnte man das meiner Meinung nach hin bekommen. Am nächsten Tag bin ich dann halt ein neuer Kunde.

  3. Re: Hashing anonymisiert nicht,

    Autor: Shismar 09.01.19 - 19:10

    Zum einen kann man die MAC salzen, wenn man unbedingt möchte und zum anderen sind Hash-Funktionen nun einmal nicht reversibel. D.h., selbst wenn Du den Hash in Deiner rainbow table aller möglichen MAC-Adressen gefunden hast (keine Ahnung ob es die gibt), so ist immer noch nicht bekannt, welche der mehreren Millionen MAC-Adressen die den gleichen Hash bilden die richtige ist. (Angenommen ein einigermaßen aktuelles und nicht kompromittiertes Hash-Verfahren)

    Also, nein, der Hash lässt sich nicht auf die Adresse zurückführen, für die er generiert wurde.


    Ein Tagesdatum als Salt hätte den Vorteil, dass zum einen eine rainbow table unrealistisch würde, weil für jeden Tag zu generieren, und man für die Dauer des Tages Bewegungen verfolgen kann. Danach kann man den Hash wegwerfen, weil sehr sicher nie wieder mit der gleichen MAC den gleichen Hash haben wird.

  4. Re: Hashing anonymisiert nicht,

    Autor: M-M 09.01.19 - 19:53

    Ein ausreichend langer Salt, der zeitnah verworfen wird, kann tatsächlich etwas bringen.

    Zum Brechen von ungesalzenen MAC-Adress-Hashes brauch es keine Rainbowtables. Eine Million MAC-Adressen aus Hashes wiederherzustellen dauert keine fünf Minuten auf einer (gar nicht so neuen) Grafikkarte. Bei Verfahren wie md5 oder sha-256 sind mir keine Kollisionen untergekommen.

  5. Re: Hashing anonymisiert nicht,

    Autor: robinx999 09.01.19 - 19:56

    Die Frage muss man natürlich schon stellen, wie viel hashes pro Sekunde kann ein schnelles System berechnen. Das hängt natürlich Algorithmus ab. Aber grundsätzlich ist die Gefahr natürlich hoch das es hier live von einem billigen Gerät berechnet werden muss, und eine High End Workstation kann es evtl. in akzeptabler Zeit Bruteforcen, dann nützt auch ein Salt nichts mehr.

    Und es ist halt die Frage ob man so etwas wie eine Mac oder eine IP Adresse (zumindest IPv4) überhaupt mittels eines Hashes anonymisieren kann, da es einfach zu wenige gibt

  6. Re: Hashing anonymisiert nicht,

    Autor: M-M 09.01.19 - 20:06

    Eine Nvidia RTX 2080 FE kommt mit hashcat auf fast 40 Milliarded md5-Hashes pro Sekunde :D (siehe https://gist.github.com/epixoip/23068f4bc81db505115c43e7751522f2). Bei bcrypt oder scrypt sieht das aber schon anders aus.

    Interessant wäre es, wenn man scrypt ASIC miner zum Hash-Brechen nutzen könnte.

  7. Re: Hashing anonymisiert nicht,

    Autor: Agina 09.01.19 - 20:13

    Shismar schrieb:
    --------------------------------------------------------------------------------
    > zum
    > anderen sind Hash-Funktionen nun einmal nicht reversibel. D.h., selbst wenn
    > Du den Hash in Deiner rainbow table aller möglichen MAC-Adressen gefunden
    > hast, so ist immer noch nicht bekannt, welche
    > der mehreren Millionen MAC-Adressen die den gleichen Hash bilden die
    > richtige ist.
    Es gibt 2^46 verschiedene MAC-Adressen und md5 hat 2^128 verschiedene Möglichkeiten.
    Damit sind Kollisionen zwar möglich, aber extrem unwahrscheinlich und wenn, dann werden es wohl auch nur 2 MACs sein, die den gleichen md5-Hash haben.

  8. Re: Hashing anonymisiert nicht,

    Autor: robinx999 09.01.19 - 20:21

    M-M schrieb:
    --------------------------------------------------------------------------------
    > Ein ausreichend langer Salt, der zeitnah verworfen wird, kann tatsächlich
    > etwas bringen.
    >
    Nur wie Zeitnah will man so einen Salt verwerfen wenn man laut Aussage der Betreiber sicher stellen will das Jeder Besucher nur ein mal Gezählt wird, da kann man diesen nicht sehr oft verwerfen

  9. Re: Hashing anonymisiert nicht,

    Autor: Agina 09.01.19 - 20:27

    robinx999 schrieb:
    --------------------------------------------------------------------------------
    > M-M schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ein ausreichend langer Salt, der zeitnah verworfen wird, kann
    > tatsächlich
    > > etwas bringen.
    > >
    > Nur wie Zeitnah will man so einen Salt verwerfen wenn man laut Aussage der
    > Betreiber sicher stellen will das Jeder Besucher nur ein mal Gezählt wird,
    > da kann man diesen nicht sehr oft verwerfen
    Auch wenn der Betreiber das natürlich am liebsten über Jahre tracken würde, reicht es aus, einmal am Tag den Key zu verwerfen.
    Damit wird zwar nur sichergestellt, dass jeder Besucher nur einmal am Tag getrackt wird, aber das reicht schon aus.

  10. Re: Hashing anonymisiert nicht,

    Autor: robinx999 09.01.19 - 20:37

    Hängt dann aber natürlich Trotzdem von dem Verfahren ab einige simple lassen ja trotzdem zu das man mehrere Millionen pro Sekunde durchprobiert mit einer schnellen Grafikkarte. Also braucht es ein Verfahren welches gegenüber Bruteforce Atacken einigermaßen Resistent ist und gleichzeitig ausreichend schnell von Billigen Messgeräten erzeugt werden kann.

  11. Re: Hashing anonymisiert nicht,

    Autor: fox82 09.01.19 - 21:07

    Es ist nicht so entscheidend ob man nun eine echte Mac Adresse oder ein Pseudonym hat.

    Der Datenschutz-Gau passiert wenn man irgendwo das Bewegungsprofil (Pseudonym/Hash, wasauchimmer) einer Person zuordnen kann. Etwa einer Zahlungskarte, einem Foto einer Überwachungskamera etc.

    Wenn ich jeden Tag ein neues Salt verwende, aber jeden Tag das Profil der Kundenkarte der Person A zuordne dann ist dieses Salt völlig irrelavant. Denn ab dann weiß ich was Person A jeden Tag gemacht hat.

    Am besten das Ganze bleiben lassen. Denn die Verantwortlichen denken sie haben alles super anonymisiert, arbeiten in großem Stil mit den Daten, geben sie weiter (alles anonym, lol), und sobald jemand diese Daten mit anderen Daten zusammenführt kommt plötzlich was völlig Dummes raus.

    zB eine Taxizentrale (NY oder so) hat mal anonyme Daten zu Fahrten veröffentlicht. Die Daten hat jemand mit Paparazzi Fotos kombiniert (Taxinummer + Person am Foto), und schon hatte man Bewegungsdaten von vielen bekannten Personen.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. operational services GmbH & Co. KG, Wolfsburg
  2. operational services GmbH & Co. KG, Frankfurt am Main, Wolfsburg, Braunschweig
  3. BSH Hausgeräte GmbH, Ulm, Augsburg
  4. Fr. Schiettinger KG, Brand

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 4,99€
  2. (-73%) 15,99€
  3. 4,96€
  4. 1,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Starlink: SpaceX steht zwischen Flaute und Rekordjagd
Starlink
SpaceX steht zwischen Flaute und Rekordjagd

Die nächsten 60 Starlink-Satelliten stehen zum Start bereit, nachdem in diesem Jahr ungewöhnlich wenige Raketen gestartet sind - nicht nur von SpaceX. Die Flaute hat SpaceX selbst verursacht und einen Paradigmenwechsel in der Raumfahrt eingeläutet.
Von Frank Wunderlich-Pfeiffer

  1. Raumfahrt SpaceX testet Notfalltriebwerke des Crew Dragon
  2. Starship Mit viel Glück nur 6 Monate bis zum ersten Flug ins All
  3. SpaceX Das Starship nimmt Form an

Definitive Editon angespielt: Das Age of Empires 2 für Könige
Definitive Editon angespielt
Das Age of Empires 2 für Könige

Die 27 Einzelspielerkampagnen sollen für rund 200 Stunden Beschäftigung sorgen, dazu kommen Verbesserungen bei der Grafik und Bedienung sowie eine von Grund auf neu programmierte Gegner- oder Begleit-KI: Die Definitive Edition von Age of Empires 2 ist erhältlich.

  1. Microsoft Age of Empires 4 baut auf Nahrung, Holz, Stein und Gold
  2. Microsoft Age of Empires 4 schickt Spieler ins Mittelalter

Mi Note 10 im Kamera-Test: Der Herausforderer
Mi Note 10 im Kamera-Test
Der Herausforderer

Im ersten Hands on hat Xiaomis Fünf-Kamera-Smartphone Mi Note 10 bereits einen guten ersten Eindruck gemacht, jetzt ist der Vergleich mit anderen Smartphones dran. Dabei zeigt sich, dass es einen neuen, ernstzunehmenden Konkurrenten unter den besten Smartphone-Kameras gibt.
Von Tobias Költzsch

  1. Mi Note 10 im Hands on Fünf Kameras, die sich lohnen
  2. Xiaomi Neues Redmi Note 8T mit Vierfachkamera kostet 200 Euro
  3. Mi Note 10 Xiaomis neues Smartphone mit 108 Megapixeln kostet 550 Euro

  1. Blizzard: Diablo 4 und das Endgame
    Blizzard
    Diablo 4 und das Endgame

    Unbegrenzte Stufenanstiege oder irgendwann mal ein Maximallevel? Im ersten Blogbeitrag zum Spieldesign bei Diablo 4 beschäftigt sich Blizzard mit dem Endgame sowie mit Nephalemportalen und den Quellen der Macht.

  2. Deepmind: Maschinenlernen für bessere Vorschläge in Googles Play Store
    Deepmind
    Maschinenlernen für bessere Vorschläge in Googles Play Store

    Im Play Store können sich Nutzer Apps vorschlagen lassen, idealerweise haben die Vorschläge etwas mit vergangenen Präferenzen zu tun. Googles KI-Tochter Deepmind versucht mit ihren Algorithmen, die Auswahl an Vorschlägen besser auf die Nutzer abzustimmen.

  3. Microsoft: Facebook macht Visual Studio Code zur Standard-IDE
    Microsoft
    Facebook macht Visual Studio Code zur Standard-IDE

    Seinen Entwicklern empfiehlt Facebook künftig die Nutzung von Microsofts Visual Studio Code. Die beiden Unternehmen wollen das Werkzeug für Remote Development verbessern.


  1. 10:54

  2. 10:45

  3. 10:31

  4. 09:38

  5. 09:24

  6. 09:03

  7. 07:59

  8. 18:54