In che modo l'uso di 3des in DeepSeek è paragonato alla crittografia AES 256-Bit utilizzata da Make.com

3des in profondità

L'uso di 3des da parte di Deepseek è problematico per diversi motivi:
- Algoritmo insicuro: 3DES è un algoritmo di crittografia deprecato che è stato ufficialmente deprecato nel 2016 a causa delle sue vulnerabilità, come essere suscettibile alla criptanalisi differenziale e lineare [3] [4].
- Lunghezza e sicurezza chiave: sebbene 3DE possa utilizzare lunghezze chiave fino a 168 bit (tre chiavi a 56 bit), la sua sicurezza efficace è molto inferiore agli eventi avversi. Ad esempio, una chiave 3DES a 168 bit ha un'efficace sicurezza di circa 112 bit, che è significativamente più debole di AES-256 [3] [6].
- Chiavi codificate con codifica: DeepSeek utilizza tasti di crittografia hardcoded, il che significa che i dati di ogni utente sono crittografati con la stessa chiave. Questo è un rischio di sicurezza grave perché se la chiave è compromessa, tutti i dati dell'utente possono essere decrittuiti [1] [4].
- Problemi del vettore di inizializzazione: l'app riutilizza anche i vettori di inizializzazione (IV) e utilizza un NIL IV, che indebolisce ulteriormente la crittografia rendendo più facile per gli aggressori sfruttare i modelli nei dati crittografati [1] [7].

Crittografia AES-256

La crittografia AES-256, d'altra parte, è considerata altamente sicura ed è ampiamente utilizzata nelle applicazioni che richiedono una forte protezione dei dati:
-Sicurezza e lunghezza della chiave: AES-256 utilizza una chiave da 256 bit, che fornisce uno spazio chiave estremamente grande, rendendolo praticamente non crackabile con la potenza di calcolo corrente [5] [8].
- Processo di crittografia: gli AES operano su una rete di permutazione di sostituzione, che è più sicura della rete Feistel utilizzata da DES e 3DE. Questa struttura fornisce una forte resistenza contro vari tipi di attacchi [8] [9].
- Velocità ed efficienza: gli eventi avversi sono generalmente più veloci di 3DE, specialmente nelle implementazioni del software, a causa del suo processo di crittografia più semplice ed efficiente [3].

confronto

In sintesi, l'uso della crittografia AES-256 di Make.com (se applicabile) offrirebbe una sicurezza significativamente migliore rispetto all'uso di 3DE da parte di Deepseek. AES-256 offre uno spazio chiave molto più ampio, una resistenza più forte agli attacchi e processi di crittografia più veloci, rendendolo la scelta preferita per proteggere i dati sensibili. Al contrario, la dipendenza di DeepSeek dai 3DE con chiavi hardcoded e altri difetti di implementazione pone gravi rischi per la sicurezza per i dati degli utenti.

Inoltre, la pratica di DeepSeek di inviare dati sensibili non crittografati e disabilita la sicurezza del trasporto delle app aggrava ulteriormente questi rischi, mentre la crittografia AES-256 garantisce che i dati rimangono riservati e sicuri durante la trasmissione e lo stoccaggio [4] [7].

Citazioni:
[1] https://www.nownecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-and-privacy-flaws-in-deepseek-ios-mobile-app/
[2] https://stackoverflow.com/questions/992019/java-256-bit-aes-password-bash-best-cryption
[3] http://article.nadiapub.com/ijsia/vol9_no7/21.pdf
[4] https://appleinsider.com/articles/25/02/07/deepseeks-ios-app-sends-unencrypted-data-to-chinese-servers
[5] https://www.kiteworks.com/risk-compliance-glossary/aes-256-encryption/
[6] https://crypto.stackexchange.com/questions/24210/128-bit-3des-key-e-aes-key-whats-the-theffference
[7] https://thehackernews.com/2025/02/deepseek-app-transmits-sensitive-user.html
[8] https://en.wikipedia.org/wiki/advanced_encryption_standard
[9] https://www.tutorialspoint.com/difference-between-aes-and-des-cifrers
[10] https://www.cybersecurityintrelligence.com/blog/deepseek-exposes-sensitive-data-8245.html
[11] https://www.ubiqsecurity.com/128bit-or-256bit-cryption-which-to-use/
[12] https://www.reddit.com/r/networking/comments/59nnk6/3des_vs_aes_for_ipsec/