Abo
  • Services:
Anzeige
Informationen über New Yorker Taxifahrer wurden durch einen Fehler öffentlich.
Informationen über New Yorker Taxifahrer wurden durch einen Fehler öffentlich. (Bild: Henning 48 / Wikimedia Commons, CC by-sa)

Hashfunktionen: Datenbank über New Yorker Taxis deanonymisiert

Behörden in New York haben auf Anfrage eine riesige Datenbank mit Informationen über Taxirouten veröffentlicht. Wegen eines Fehlers lassen sich die Nummernschilder und mit deren Hilfe auch die Namen der Taxifahrer herausfinden. Der Grund ist die fehlerhafte Verwendung einer Hashfunktion.

Anzeige

Eine Datenbank über die Routen von Taxis in New York wurde offenbar fehlerhaft anonymisiert. Mit einigen Tricks ist es gelungen, sämtliche Datensätze den entsprechenden Nummernschildern und Zulassungslizenzen der einzelnen Taxifahrer zuzuordnen. Denn die Behörden hatten eine Hashfunktion nicht korrekt angewendet.

Der Blogger Chris Whong wollte Daten über Taxifahrten in New York auswerten und hatte bei den zuständigen Behörden eine Anfrage nach dem Freedom of Information Act gestellt. Der Freedom of Information Act ist das US-amerikanische Informationsfreiheitsgesetz, das es Bürgern in vielen Fällen erlaubt, US-Behörden zur Herausgabe von Daten zu zwingen. Whong erhielt daraufhin eine 20 GByte große Datei im CSV-Format, die Details zu etwa 170 Millionen Taxifahrten beinhaltete.

Hashes aus MD5-Summen

Neben Datum, Uhrzeit und den GPS-Koordinaten von Start und Ziel einer Taxifahrt befanden sich in jedem Datensatz auch zwei offenbar anonymisierte Werte für das Nummernschild und die Lizenznummer. Dabei handelte es sich jeweils um eine 32-stellige Hexadezimalzahl. In einem Kommentar auf Reddit wies ein Nutzer darauf hin, dass offenbar ein bestimmter Taxifahrer auffällig viele Fahrten hinter sich hätte. Dem Programmierer Vijay Pandurangan fiel auf, dass es sich bei dem Wert "CFCD208495D565EF66E7DFF9F98764DA" allerdings lediglich um den MD5-Hash-Wert der Zahl 0 handelte. Damit war klar, dass offenbar MD5-Hashes zur Anonymisierung der Nummernschilder und Lizenznummern verwendet wurden.

Eine Hashfunktion wie MD5 weist jedem beliebigen Eingabewert einen festen Ausgabewert einer bestimmten Länge zu, bei MD5 sind dies 128 Bit. Eine wichtige Eigenschaft von Hashfunktionen ist, dass es sich um Einwegfunktionen handelt: Es soll mit realistischem Rechenaufwand unmöglich sein, aus einem Hashwert Rückschlüsse auf den Eingabewert zu ziehen. Dies gilt allerdings nur dann, wenn ein Angreifer keine Informationen über den Eingabewert hat.

Zurückrechnen möglich

Die Nummernschilder von New Yorker Taxis sind alle nach einem bestimmten Schema gestaltet, insgesamt gibt es lediglich zwei Millionen Varianten. Auf einem handelsüblichen Computer lassen sich diese Varianten innerhalb von Sekunden durchrechnen. Damit ist eine Deanonymisierung der Daten möglich. Ähnlich verhält es sich mit den Lizenznummern der Taxifahrer: Hier gibt es 22 Millionen verschiedene Varianten, auch die lassen sich innerhalb von Minuten alle berechnen. Die Zuordnung der Nummernschilder und Taxilizenznummern zu den Namen der einzelnen Taxifahrer ist mit Hilfe anderer Daten, die öffentlich im Internet verfügbar sind, ebenfalls möglich.

MD5 gilt aus heutiger Sicht als nicht mehr sicher. Allerdings sind die Schwächen von MD5 in diesem Fall nicht das Problem, sondern vielmehr, dass hier eine Hashfunktion völlig falsch verwendet wurde. Selbst eine sichere Hashfunktion wie SHA-2 hätte keine Abhilfe gebracht.

Besser immer mit Salz

Hätte man für die Datensätze einen Salt-Wert verwendet, wäre der Angriff zwar erschwert worden, aber immer noch möglich. Ein Salt-Wert ist ein Zufallswert, der im Hashwert abgespeichert wird. In dem Fall hätte man die Berechnungen für jeden Datensatz einzeln vornehmen müssen.

Eine sinnvolle Möglichkeit zur Anonymisierung der Daten wäre es gewesen, alle Datensätze mit einem geheimen Schlüssel und einem symmetrischen Verschlüsselungsalgorithmus wie AES zu verschlüsseln. Vijay Pandurangan weist in seinem Blogbeitrag allerdings darauf hin, dass selbst dann unter bestimmten Umständen eine Deanonymisierung möglich gewesen wäre.


eye home zur Startseite
JensTautenhahn 29. Jun 2014

Vergesst es. Die Informationen zur Lizenznummer in Wikipedia sind offensichtlich veraltet.

robinx999 27. Jun 2014

Im Prinzip im Text "Der Blogger Chris Whong wollte Daten über Taxifahrten in New York...

katzenpisse 26. Jun 2014

Oder er hat sich nicht lange genug Gedanken darüber gemacht. Auf den ersten Blick...



Anzeige

Stellenmarkt
  1. Bertrandt Technikum GmbH, Ehningen bei Stuttgart
  2. operational services GmbH & Co. KG, Leinfelden-Echterdingen
  3. MBtech Group GmbH & Co. KGaA, Norddeutschland
  4. Deutsche Telekom AG, Bonn, Darmstadt


Anzeige
Blu-ray-Angebote
  1. 29,99€ (Vorbesteller-Preisgarantie)
  2. 24,99€ (Vorbesteller-Preisgarantie)
  3. 16,99€ (ohne Prime bzw. unter 29€ Einkauf zzgl. 3€ Versand)

Folgen Sie uns
       


  1. UEFI-Update

    Agesa 1004a lässt Ryzen-Boards schneller booten

  2. Sledgehammer Games

    Call of Duty WWII spielt wieder im Zweiten Weltkrieg

  3. Mobilfunk

    Patentverwerter klagt gegen Apple und Mobilfunkanbieter

  4. Privatsphäre

    Bildungsrechner spionieren Schüler aus

  5. Raumfahrt

    Chinesischer Raumfrachter Tanzhou 1 dockt an Raumstation an

  6. Die Woche im Video

    Kein Saft, kein Wumms, keine Argumente

  7. Windows 7 und 8

    Github-Nutzer schafft Freischaltung von neuen CPUs

  8. Whitelist umgehen

    Node-Server im Nvidia-Treiber ermöglicht Malware-Ausführung

  9. Easy S und Easy M

    Vodafone stellt günstige Einsteigertarife ohne LTE vor

  10. UP2718Q

    Dell verkauft HDR10-Monitor ab Mai 2017



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Quantenphysik: Im Kleinen spielt das Universum verrückt
Quantenphysik
Im Kleinen spielt das Universum verrückt
  1. Quantenmechanik Malen nach Zahlen für die weltbesten Mathematiker
  2. IBM Q Qubits as a Service
  3. Rechentechnik Ein Bauplan für einen Quantencomputer

Elektromobilität: Wie kommt der Strom in die Tiefgarage?
Elektromobilität
Wie kommt der Strom in die Tiefgarage?
  1. Elektroauto Volkswagen I.D. Crozz soll als Crossover autonom fahren
  2. Sportback Concept Audis zweiter E-tron ist ein Sportwagen
  3. Vision E Skoda will elektrisch überzeugen

Hate-Speech-Gesetz: Regierung kennt keine einzige strafbare Falschnachricht
Hate-Speech-Gesetz
Regierung kennt keine einzige strafbare Falschnachricht
  1. Neurowissenschaft Facebook erforscht Gedanken-Postings
  2. Rundumvideo Facebooks 360-Grad-Ballkamera nimmt Tiefeninformationen auf
  3. Spaces Facebook stellt Beta seiner Virtual-Reality-Welt vor

  1. Re: Weltveränderung

    Niaxa | 02:06

  2. Re: Weltveränderung

    m9898 | 01:49

  3. Re: Bootzeit?

    __destruct() | 01:49

  4. frage zu Passmark CPU benchmarks

    mrgenie | 01:18

  5. Re: GA-AB350-Gaming3 teils verschlimmbessert

    Silberfan | 01:05


  1. 12:40

  2. 11:55

  3. 15:19

  4. 13:40

  5. 11:00

  6. 09:03

  7. 18:01

  8. 17:08


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel