Korzystanie z 3DES w aplikacji iOSeek w DeepSeek i szyfrowaniu AES-256 używanym przez Make.com (zakładając, że tak jest, ponieważ szczególne informacje o szyfrowaniu Make.com nie są dostarczane w wynikach wyszukiwania) podkreśla znaczące różnice w praktykach bezpieczeństwa i standardach szyfrowania.
3des w Deepseek
Zastosowanie 3DES Deepseek jest problematyczne z kilku powodów:
- Niepewny algorytm: 3DES jest przestarzałym algorytmem szyfrowania, który został oficjalnie przestarzały w 2016 r. Z powodu jego luk, takich jak podatne na kryptalanalizę różnicową i liniową [3] [4].
- Długość i bezpieczeństwo klucza: Chociaż 3DE mogą używać kluczowych długości do 168 bitów (trzy 56-bitowe klucze), jego efektywne bezpieczeństwo jest znacznie niższe niż AES. Na przykład 168-bitowy klucz 3DES ma skuteczne bezpieczeństwo około 112 bitów, co jest znacznie słabsze niż AES-256 [3] [6].
- Klawisze z hardkodem: Deepseek używa klawiszy szyfrowania twardego, co oznacza, że dane każdego użytkownika są szyfrowane tym samym kluczem. Jest to poważne ryzyko bezpieczeństwa, ponieważ jeśli klucz jest zagrożony, wszystkie dane użytkownika można odszyfrować [1] [4].
- Problemy wektora inicjalizacji: Aplikacja ponownie wykorzystuje wektory inicjalizacyjne (IVS) i wykorzystuje zero IV, który dodatkowo osłabia szyfrowanie, ułatwiając atakującymi do wykorzystania wzorców w zaszyfrowanych danych [1] [7].
AES-256 Szyfrowanie
Z drugiej strony szyfrowanie AES-256 jest uważane za bardzo bezpieczne i jest szeroko stosowane w aplikacjach wymagających silnej ochrony danych:
-Bezpieczeństwo i długość klucza: AES-256 używa 256-bitowego klucza, który zapewnia wyjątkowo dużą przestrzeń, dzięki czemu jest praktycznie niezniszczalny z bieżącą mocą obliczeniową [5] [8].
- Proces szyfrowania: AES działa w sieci zastępczej, która jest bezpieczniejsza niż sieć Feistel używana przez DES i 3DES. Ta struktura zapewnia silny opór wobec różnych rodzajów ataków [8] [9].
- Szybkość i wydajność: AES jest ogólnie szybszy niż 3DE, szczególnie w implementacjach oprogramowania, ze względu na jego prostszy i bardziej wydajny proces szyfrowania [3].
Porównanie
Podsumowując, użycie szyfrowania AES-256 przez Make.com (jeśli dotyczy) zapewniłoby znacznie lepsze bezpieczeństwo w porównaniu z wykorzystaniem 3DE Deepseek. AES-256 zapewnia znacznie większą kluczową przestrzeń, silniejszą odporność na ataki i szybsze procesy szyfrowania, co czyni go preferowanym wyborem do ochrony wrażliwych danych. Natomiast poleganie Deepseek od 3DES z klawiszami zakodowanymi na twardo i innymi wadami implementacji stanowi poważne zagrożenia dla danych użytkowników.
Ponadto praktyka DeepSeek polegająca na wysyłaniu poufnych danych niezaszyfrowała i wyłączanie bezpieczeństwa transportu aplikacji dodatkowo zaostrza te ryzyko, podczas gdy szyfrowanie AES-256 zapewnia, że dane pozostają poufne i bezpieczne podczas transmisji i przechowywania [4] [7].
Cytaty:
[1] https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-and-privacy-in-deepseek-ios-mobile-app/
[2] https://stackoverflow.com/questions/992019/java-256-lit-aes-password oparty na oparciu o to
[3] http://article.nadiapub.com/ijsia/vol9_no7/21.pdf
[4] https://appleinsider.com/articles/25/02/07/deepseeks-ios-app-sends-unencrypted-data-to-chinese-servers
[5] https://www.kiteworks.com/risk-compliance-glossary/aes-256-encryption/
[6] https://crypto.stackexchange.com/questions/24210/128-lit-3des-key-and-aes-key-whats-the-difference
[7] https://thehackernews.com/2025/02/deepseek-app-transmits-sensitive-user.html
[8] https://en.wikipedia.org/wiki/advanced_encryption_standard
[9] https://www.tutorialspoint.com/difference-between-aes-and-deds-ciphers
[10] https://www.cybersecurityintelligan.com/blog/deepseek-exposes-sensive-data-8245.html
[11] https://www.ubiqsecurity.com/128bit-or-256bit-encryption-hichich-to-use/
[12] https://www.reddit.com/r/networking/comments/59nnk6/3des_vs_aes_for_ipsec/