Moin, Datenschutz für Dienste ist ein Thema, was aus Sicht der Freien Software interessiert. Der Anbieter Posteo.de setzt auf den Servern laut eigener Angabe [1] nur Freie Software ein.
Jetzt hat Posteo ein selbst beauftragtes Gutachten veröffentlicht, dass sie die Hash-Werte der Mobiltelefonnummern von Kunden nicht herausgeben müssen, da sie anonym seien:
https://posteo.de/blog/bnetza-entscheidung-zu-posteo-kryptographisch-bearbei...
Was ich daran nicht verstehe ist, warum die Bundesnetzagentur und die Datenschutzbeauftragte das so sehen.
Soweit ich es verstanden habe, hashen die mit einem Salt die Mobiltelefonnummer (im Webbrowser) müssen dafür den Salt auf dem Server generieren, an den Browser senden, dann den Hash abholen und zusammen mit dem Salz abspeichern.
Sofern ich eine Liste von Mobiltelefonnummern hätte, sollte es doch möglich sein, die mit den bekannten Salts auszuprobieren. Der Aufwand erscheint mir gangbar. Nehmen wir alle Mobiltelefone in DE grob 10^12 Möglichkeiten (vermutlich weniger, weil nicht alle Nummern vergeben sind oder wenn ich schon bestimmte Nummern im Verdacht habe). Wenn ich 10^^6 Möglichkeiten in der Sekunde ausrechnen könnte, dann bräuchte ich nur 10^^6 Sekunden, macht ~11,5 Tage um zu dem Hashwert die Mobiltelefonnummer zu ermitteln.
Was übersehe ich da?
Gruß, Bernhard ps.: Posteo listet vorbildlich auf, wieviele Anfragen Sie von Behörden bekommen und beantwortet haben: https://posteo.de/site/transparenzbericht
[1] https://posteo.de/site/ueber_posteo // Auf allen Posteo-Servern kommt aus Sicherheitsgründen ausschließlich Open Source Software zum Einsatz //
On 03/16/18 08:46, Bernhard E. Reiter wrote:
Was übersehe ich da?
Kannst du deine Frage bitte etwas präzisieren?
Mir persönlich ist noch nicht ganz klar, wie die Passwort-vergessen-Funktion von Posteo funktioniert.
Das Salt scheint allerdings pro Kunde individuell zu sein. Insofern sieht es so aus, als wäre es Posteo zwar möglich die Mobiltelefonnummer zurück zu rechnen. Das sie überhaupt gehasht wird, sieht auf den ersten Blick wie ein rechtlicher Trick aus, um die Nummer nicht raus geben zu müssen.
lg, Torsten
Am Freitag, 16. März 2018, 18:10:56 CET schrieb Torsten Grote:
Insofern sieht es so aus, als wäre es Posteo zwar möglich die Mobiltelefonnummer zurück zu rechnen.
Warum haben die Bundesnetzagentur und die Datenschutzbeauftragte den Status "anonymisiert" für den Hash der Mobiltelefonnummer aktzeptiert, wenn er doch mit überschaubaren Aufwand wieder personenbeziehbar ist (und damit höchstens "pseudonymisiert" wäre)?
Wissen die mehr, als im Gutachten der Rechtsanwaltinnen steht? Wenn ja, warum veröffentlichen die das nicht? Oder haben Sie den Aspekt anders berechnet, als ich?
Das sie überhaupt gehasht wird, sieht auf den ersten Blick wie ein rechtlicher Trick aus, um die Nummer nicht raus geben zu müssen.
Wenn der Hash über einen Wert mit mehr Möglichkeiten bebildet würde, dann könnte die Idee durchaus funktionieren. Das Problem ist die kleine Grundgesamtheit aller Mobiltelefonnummern (in DE), die eine Exhaustionsmethode möglich macht.
Gruß, Bernhard
moin Bernhard,
am Freitag, 2018-03-16 12:46:38 +0100, schrieb Bernhard E. Reiter:
Was ich daran nicht verstehe ist, warum die Bundesnetzagentur und die Datenschutzbeauftragte das so sehen.
Steht doch im Artikel: in dem Moment, wo der Hash vom Kunden an Posteo uebermittelt wird, ist das durch die Anonymisierung kein personenbeziehbares Teilnehmerdatum. Detaillierter ist das bestimmt auch im eigentlichen Gutachten nachlesbar, das dort ebenfalls verlinkt ist. z.B. in D.II.3.b)cc) und D.II.4.
Posteo weiss eigentlich nicht mal, ob der Kunde ueberhaupt eine Telefonnummer angegeben hat oder irgendetwas anderes.
Soweit ich es verstanden habe, hashen die mit einem Salt die Mobiltelefonnummer (im Webbrowser) müssen dafür den Salt auf dem Server generieren, an den Browser senden, dann den Hash abholen und zusammen mit dem Salz abspeichern.
Ja.
Sofern ich eine Liste von Mobiltelefonnummern hätte, [...] macht ~11,5 Tage um zu dem Hashwert die Mobiltelefonnummer zu ermitteln.
Was übersehe ich da?
Dass es darum gar nicht geht. Oder gerade darum geht. Den Hash nicht herausgeben zu muessen dass irgendjemand den brute-forcen koennte.
Eike
Hallo Eike,
Am Sonntag 18 März 2018 19:49:59 schrieb Eike Rathke:
am Freitag, 2018-03-16 12:46:38 +0100, schrieb Bernhard E. Reiter:
Was ich daran nicht verstehe ist, warum die Bundesnetzagentur und die Datenschutzbeauftragte das so sehen.
Steht doch im Artikel: in dem Moment, wo der Hash vom Kunden an Posteo uebermittelt wird, ist das durch die Anonymisierung kein personenbeziehbares Teilnehmerdatum. Detaillierter ist das bestimmt auch im eigentlichen Gutachten nachlesbar, das dort ebenfalls verlinkt ist. z.B. in D.II.3.b)cc) und D.II.4.
ja, das Gutachten habe ich gelesen, ich verstehe nur nicht, wie die und die anderen zu dem Schluss kommen könnten, da die gehaste Mobiltelefonnummer ja mit überschaubaren Mitteln ermittelt und damit wieder Personenbeziehbar ist. Das steht im Widerspruch zu "anonymisiert", es wäre höchstens "pseudonymisiert".
Gruß, Bernhard
Am Freitag 16 März 2018 12:46:38 schrieb Bernhard E. Reiter:
Der Anbieter Posteo.de setzt auf den Servern laut eigener Angabe [1] nur Freie Software ein.
[1] https://posteo.de/site/ueber_posteo // Auf allen Posteo-Servern kommt aus Sicherheitsgründen ausschließlich Open Source Software zum Einsatz //
Hat sich die Aussage eigentlich mal jemand genauer angesehen?
In den Headern des Kalenders habe ich mal gesehen, dass die eine (alte?) Variante von Roundcube einsetzen. Hat wer den Quelltext dazu gefunden oder mal angefragt? Posteo scheint auch Freie Software MTA zu nutzen und es gibt gute Anleitungen (wenn auch manchmal leicht veraltet) für viele Email-Klients unddort auf Empfehlungen auf FS und fdroid.
Es gibt noch die Seite https://posteo.de/js-licenses.html da sehe ich den Quelltext für den Kalender zumindest nicht direkt.
Offenes-Visir: Bei der Umsetzung des https://wiki.gnupg.org/EasyGpg2016 Auftrags habe ich beruflich als Intevation zu Posteo Kontakt habt, um die Umsetzung von https://wiki.gnupg.org/WKD zu fördern. Bis 2012 war Intevation ein Hauptanteilseigner der Kolab-Systems AG, die später einen konkurrierenden Dienst in der Schweiz aufgebaut hat. Ich kenne privat Kunden von posteo, die ich gelegentlich technisch unterstütze.
Fazit: Posteo hat viele tolle Ansätze und deshalb aus meiner Sicht zu Recht gut bei der Stiftung Warentest abgeschnitten. Es wäre schön, wenn es tatsächlich so ist, dass sie sehr viel Freie Software einsetzen und großartig wenn es sich herausstellt, dass Sie ihre Änderungen regelmäßig in die Hauptströme bringen und diese systematisch fördern.
Viele Grüße, Bernhard
Hallo Bernhard,
"Bernhard E. Reiter" bernhard@fsfe.org writes:
In den Headern des Kalenders habe ich mal gesehen, dass die eine (alte?) Variante von Roundcube einsetzen. Hat wer den Quelltext dazu gefunden oder mal angefragt?
Das kann man versuchen, aber bis auf den Javascript-Code hat man kein Anrecht darauf. Roundcube steht unter GPLv2 bzw. GPLv3+ (je nach Version) und da Nutzer die Software, die auf dem Server läuft, ja nicht erhalten, greift die Lizenz hier doch auch nicht. Oder übersehe ich da was?
Happy hacking! Florian
Hallo Florian,
Am Donnerstag 22 März 2018 19:21:53 schrieb Florian Snow:
"Bernhard E. Reiter" bernhard@fsfe.org writes:
Hat wer den Quelltext dazu gefunden oder mal angefragt?
Das kann man versuchen, aber bis auf den Javascript-Code hat man kein Anrecht darauf.
rein von der Lizenz her nicht, richtig.
Jedoch schreibt Posteo, dass sie nur Freie Software auf den Servern einsetzten. Damit irgendwer die vier Freiheiten an der dort laufenden Software hat, muss der Quelltext vorliegen. Den muss also Jemand anders als Posteo für die dort laufende Software haben, unter einen entsprechenden Lizenz. Und dürfte den Quelltext dann auch veröffentlichen. In der Praxis läßt sich das komfortabel lösen, indem die Änderungen gleich öffentlich an den Hauptstrom gegeben werden.
(Mit "laufender Software" meine ich natürlich nicht die Konfiguration, wie Unternehmenslogos, Kennworte oder Daten.)
Da ich davon ausgehe und hoffe, dass Posteos Aussage stimmt, müssten die uns sagen können: Ja, wir nutzen eine GNU/Linux Distribution X und bei den Paketen Y und Z haben diese Leute den Quelltext, welchen wir auch nutzen.
Viele Grüße, Bernhard