การใช้ 3DES ในแอพ iOS ของ Deepseek และการเข้ารหัส AES-256 ที่ใช้โดย Make.com (สมมติว่าเป็นกรณีนี้เนื่องจากข้อมูลเฉพาะเกี่ยวกับการเข้ารหัสของ Make.com ไม่ได้ให้ไว้ในผลการค้นหา) เน้นความแตกต่างที่สำคัญในการปฏิบัติด้านความปลอดภัยและมาตรฐานการเข้ารหัส
3des ใน Deepseek
การใช้ 3DES ของ Deepseek เป็นปัญหาด้วยเหตุผลหลายประการ:
- อัลกอริทึมที่ไม่ปลอดภัย: 3DES เป็นอัลกอริทึมการเข้ารหัสที่เลิกใช้งานซึ่งเลิกใช้อย่างเป็นทางการในปี 2559 เนื่องจากช่องโหว่เช่นมีความอ่อนไหวต่อการเข้ารหัสเชิงเส้นและเชิงเส้น [3] [4]
- ความยาวและความปลอดภัยของคีย์: แม้ว่า 3DES สามารถใช้ความยาวคีย์สูงสุด 168 บิต (ปุ่ม 56 บิตสามปุ่ม) ความปลอดภัยที่มีประสิทธิภาพต่ำกว่า AES มาก ตัวอย่างเช่นคีย์ 3DES 168 บิตมีความปลอดภัยที่มีประสิทธิภาพประมาณ 112 บิตซึ่งอ่อนแอกว่า AES-256 [3] [6]
- คีย์ Hardcoded: Deepseek ใช้คีย์เข้ารหัส hardcoded ซึ่งหมายความว่าข้อมูลของผู้ใช้ทุกคนถูกเข้ารหัสด้วยคีย์เดียวกัน นี่เป็นความเสี่ยงด้านความปลอดภัยที่สำคัญเนื่องจากหากคีย์ถูกบุกรุกข้อมูลผู้ใช้ทั้งหมดสามารถถอดรหัสได้ [1] [4]
- ปัญหาเวกเตอร์เริ่มต้น: แอพยังนำการเริ่มต้นเวกเตอร์ (IVs) และใช้ NIL IV ซึ่งจะทำให้การเข้ารหัสอ่อนลงโดยทำให้ผู้โจมตีใช้ประโยชน์จากรูปแบบในข้อมูลที่เข้ารหัสได้ง่ายขึ้น [1] [7]
AES-256 การเข้ารหัส
ในทางกลับกันการเข้ารหัส AES-256 ถือว่ามีความปลอดภัยสูงและใช้กันอย่างแพร่หลายในแอปพลิเคชันที่ต้องการการปกป้องข้อมูลที่แข็งแกร่ง:
-ความปลอดภัยและความยาวคีย์: AES-256 ใช้คีย์ 256 บิตซึ่งให้พื้นที่คีย์ที่มีขนาดใหญ่มากทำให้ไม่สามารถแยกออกได้ด้วยกำลังคอมพิวเตอร์ปัจจุบัน [5] [8]
- กระบวนการเข้ารหัส: AES ดำเนินการบนเครือข่ายการขยายการทดแทนซึ่งปลอดภัยกว่าเครือข่าย FEISTEL ที่ใช้โดย DES และ 3DES โครงสร้างนี้ให้ความต้านทานอย่างมากต่อการโจมตีประเภทต่างๆ [8] [9]
- ความเร็วและประสิทธิภาพ: AES โดยทั่วไปเร็วกว่า 3DE โดยเฉพาะอย่างยิ่งในการใช้งานซอฟต์แวร์เนื่องจากกระบวนการเข้ารหัสที่ง่ายและมีประสิทธิภาพมากขึ้น [3]
การเปรียบเทียบ
โดยสรุปการใช้การเข้ารหัส AES-256 โดย Make.com (ถ้ามี) จะให้ความปลอดภัยที่ดีขึ้นอย่างมากเมื่อเทียบกับการใช้ 3DES ของ Deepseek AES-256 ให้พื้นที่สำคัญที่มีขนาดใหญ่กว่ามากความต้านทานต่อการโจมตีและกระบวนการเข้ารหัสที่เร็วขึ้นทำให้เป็นตัวเลือกที่ต้องการสำหรับการปกป้องข้อมูลที่ละเอียดอ่อน ในทางตรงกันข้ามการพึ่งพา 3DES ของ Deepseek ที่มีปุ่ม Hardcoded และข้อบกพร่องในการใช้งานอื่น ๆ ทำให้เกิดความเสี่ยงด้านความปลอดภัยที่ร้ายแรงสำหรับข้อมูลผู้ใช้
นอกจากนี้การปฏิบัติของ Deepseek ในการส่งข้อมูลที่ละเอียดอ่อนที่ไม่ได้เข้ารหัสและปิดการใช้งานการรักษาความปลอดภัยการขนส่งแอพจะทำให้ความเสี่ยงเหล่านี้รุนแรงขึ้นในขณะที่การเข้ารหัส AES-256 ทำให้มั่นใจได้ว่าข้อมูลยังคงเป็นความลับและปลอดภัยในระหว่างการส่งและการจัดเก็บ [4] [7]
การอ้างอิง:
[1] https://www.ownowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-and-privacy-flaws-in-deepseek-ios-mobile-app/
[2] https://stackoverflow.com/questions/992019/java-256-bit-aes-password-encryption
[3] http://article.nadiapub.com/ijsia/vol9_no7/21.pdf
[4] https://appleinsider.com/articles/25/02/07/deepseks-ios-app-sends-unencrypted-data-to-chinese-servers
[5] https://www.kiteworks.com/risk-compliance-lothossary/aes-256-encription/
[6] https://crypto.stackexchange.com/questions/24210/128-bit-3des-key-and-aes-key-whats-the-difference
[7] https://thehackernews.com/2025/02/deepseek-app-transmits-sensitive-user.html
[8] https://en.wikipedia.org/wiki/advanced_encryption_standard
[9] https://www.tutorialspoint.com/difference-between-aes-and-des-ciphers
[10] https://www.cybersecurityintelligence.com/blog/deepseek-exposes-sensitive-data-8245.html
[11] https://www.ubiqsecurity.com/128bit-or-256bit-enchption-hich-to-use/
[12] https://www.reddit.com/r/networking/comments/59nnk6/3des_vs_aes_for_ipsec/