Moin, Datenschutz für Dienste ist ein Thema, was aus Sicht der Freien Software interessiert. Der Anbieter Posteo.de setzt auf den Servern laut eigener Angabe [1] nur Freie Software ein.
Jetzt hat Posteo ein selbst beauftragtes Gutachten veröffentlicht, dass sie die Hash-Werte der Mobiltelefonnummern von Kunden nicht herausgeben müssen, da sie anonym seien:
https://posteo.de/blog/bnetza-entscheidung-zu-posteo-kryptographisch-bearbei...
Was ich daran nicht verstehe ist, warum die Bundesnetzagentur und die Datenschutzbeauftragte das so sehen.
Soweit ich es verstanden habe, hashen die mit einem Salt die Mobiltelefonnummer (im Webbrowser) müssen dafür den Salt auf dem Server generieren, an den Browser senden, dann den Hash abholen und zusammen mit dem Salz abspeichern.
Sofern ich eine Liste von Mobiltelefonnummern hätte, sollte es doch möglich sein, die mit den bekannten Salts auszuprobieren. Der Aufwand erscheint mir gangbar. Nehmen wir alle Mobiltelefone in DE grob 10^12 Möglichkeiten (vermutlich weniger, weil nicht alle Nummern vergeben sind oder wenn ich schon bestimmte Nummern im Verdacht habe). Wenn ich 10^^6 Möglichkeiten in der Sekunde ausrechnen könnte, dann bräuchte ich nur 10^^6 Sekunden, macht ~11,5 Tage um zu dem Hashwert die Mobiltelefonnummer zu ermitteln.
Was übersehe ich da?
Gruß, Bernhard ps.: Posteo listet vorbildlich auf, wieviele Anfragen Sie von Behörden bekommen und beantwortet haben: https://posteo.de/site/transparenzbericht
[1] https://posteo.de/site/ueber_posteo // Auf allen Posteo-Servern kommt aus Sicherheitsgründen ausschließlich Open Source Software zum Einsatz //