Uporaba 3DES v aplikaciji iOS Deepseek in šifriranja AES-256, ki ga uporablja Make.com (ob predpostavki, da je tako, saj posebni podatki o šifriranju Make.com niso navedeni v rezultatih iskanja), poudarja pomembne razlike v varnostnih praksah in standardih šifriranja.
3DES v Deepseeku
Deepseekova uporaba 3DES je problematična iz več razlogov:
- Negotovi algoritem: 3DES je algoritem za šifriranje, ki je bil v letu 2016 uradno opuščen zaradi svojih ranljivosti, kot je dovzetna za diferencialno in linearno kriptanalizo [3] [4].
- Dolžina in varnost ključa: Čeprav lahko 3DES uporabi dolžine ključa do 168 bitov (tri 56-bitne tipke), je njegova učinkovita varnost precej nižja od AES. Na primer, 168-bitni ključ 3DES ima učinkovito varnost približno 112 bitov, kar je bistveno šibkejše od AES-256 [3] [6].
- Trdo kodirane tipke: Deepseek uporablja trdo kodirane šifrirne tipke, kar pomeni, da so podatki vsakega uporabnika šifrirani z istim ključem. To je veliko varnostno tveganje, ker če je ključ ogrožen, je mogoče vse uporabniške podatke dešifrirati [1] [4].
- Inicializacijska vektorska vprašanja: APP ponovno uporabi tudi inicializacijske vektorje (IV) in uporablja NIL IV, kar še dodatno oslabi šifriranje, tako da napadalcem olajša izkoriščanje vzorcev v šifriranih podatkih [1] [7].
AES-256 Šifriranje
Šifriranje AES-256 se na drugi strani šteje za zelo varno in se pogosto uporablja v aplikacijah, ki zahtevajo močno varstvo podatkov:
-Varnost in dolžina ključa: AES-256 uporablja 256-bitni ključ, ki zagotavlja izjemno velik prostor za ključe, zaradi česar je praktično nepovraten s trenutno računalniško močjo [5] [8].
- Proces šifriranja: AES deluje v omrežju nadomestnih permutacij, ki je bolj varno kot omrežje Feistel, ki ga uporabljata DES in 3DES. Ta struktura zagotavlja močno odpornost proti različnim vrstam napadov [8] [9].
- Hitrost in učinkovitost: AES je na splošno hitrejši od 3DE, zlasti pri implementacijah programske opreme, zaradi preprostejšega in učinkovitejšega procesa šifriranja [3].
Primerjava
Če povzamemo, bi uporaba šifriranja AES-256 s strani Make.com (če je primerno) nudila bistveno boljšo varnost v primerjavi z uporabo 3DES-a Deepseeka. AES-256 ponuja veliko večji ključni prostor, močnejšo odpornost proti napadom in hitrejše šifrirne procese, zaradi česar je najprimernejša izbira za zaščito občutljivih podatkov. V nasprotju s tem je zanašanje Deepseeka na 3DE s trdo kodiranimi tipkami in drugimi napakami v izvajanju resno varnostna tveganja za uporabniške podatke.
Poleg tega Deepseekova praksa pošiljanja občutljivih podatkov nešifrira in onemogoča varnost prevoza aplikacij še poslabša ta tveganja, medtem ko šifriranje AES-256 zagotavlja, da podatki ostanejo zaupni in varni med prenosom in shranjevanjem [4] [7].
Navedbe:
[1] https://www.nowecure.com/blog/2025/02/06/nowecure-uncovers-moultiple-security-and-privacy-flaws in-deepseek-ios-mobile-app/
[2] https://stackoverflow.com/questions/992019/java-256-bit-aes-password-based-encrypcija
[3] http://article.nadiapub.com/ijsia/vol9_no7/21.pdf
[4] https://appleinsider.com/articles/25/02/07/deepseeks-ios-app-sends-unencrypted-data-to-chinese-survers
[5] https://www.kiteworks.com/risk-compliance-glossary/aes-256-encrypcija/
[6] https://crypto.stackexchange.com/questions/24210/128-bit-3des-key-and-aes-key-whats-the-difference
[7] https://thehackernews.com/2025/02/deepseek-app-transmits-sesivetive-user.html
[8] https://en.wikipedia.org/wiki/Advanced_encrypt_Standard
[9] https://www.tutorialspoint.com/difference-between-aes-and-des-ciphers
[10] https://www.cybercecurityIntelligence.com/blog/deepseek-exposes-sesive-data-8245.html
[11] https://www.ubiqsecurity.com/128bit-or-256bit-encrypy-which-to-use/
[12] https://www.reddit.com/r/networking/comments/59NNK6/3DES_VS_AES_FOR_IPSC/