Dies geht vor allem an Ulf als den Entwickler der zugehörigen Software:
Du schreibst, dass die Telefonnummern gesalzen und gehasht werden.
Dazu habe ich eine Frage: Wer genau bekommt die Salts und die fertigen Hashs zum Vergleichen in die Hand. Außerdem: Was für einen Hash algorithmus benutzt ihr?
Ich frage, weil meines Erachtens die Nummern nur dadurch geheim gehalten werden können, dass die Salts auch geheim bleiben oder der Hash-Algorithmus extrem aufwendig ist.
Falls nämlich jemand eine Salt-Hash-Kombination erlangt, muss er „nur noch“ die (wahrscheinlich deutlich) weniger als 3.2*10^10 deutschen Handynummern mit dem Salt des hashes verbinden und hashen.
(es gibt in Deutschland 32 Mobilfunkvorwahlen, die alle mindestens 4 Ziffern haben, manche aber auch 5, die ganze Nummer (ohne Ländervorwahl) darf insgesamt nur 13 Ziffern haben, siehe: Quelle dafür) Also hat man höchstens 32 * 10^9 Nummern.
Das entspricht einer Entropie von 2^35, was eher wenig ist.
In der Praxis dürfte es viel weniger Nummern geben und das Raten daher um so leichter.
Da das Problem kleiner wird, je teurer das Hashen ist, interessiert mich eben die Hashfunktion und wer von vorn Herein auch ohne Datenleck die Daten in die Hand bekommt.
EDIT: Nur, damit das hier noch mal ganz klar steht: Das Problem, das ich anspreche liegt in der Natur von Telefonnummern, von denen es eben nicht so viele gibt und das hier soll keine versteckte Kritik an irgendwem sein.