Brugen af 3DES -algoritmen i Deepseek -appen udgør betydelige sikkerhedsrisici på grund af dens forældede og usikre natur. Her er de detaljerede risici forbundet med at bruge 3DE'er:
1. Usikkerhed af 3DES: Triple DES (3DES) krypteringsalgoritmen betragtes som usikker og udskrevet. Det var engang en standard for sikker datakryptering, men den er blevet erstattet af mere sikre algoritmer som AE'er på grund af dens sårbarheder. Brug af 3DE'er gør de krypterede data modtagelige for dekryptering af angribere, kompromitterende brugernes privatliv og dataintegritet [2] [4] [9].
2. hardkodede krypteringstaster: Deepseeks implementering af 3DES involverer hardkodning af krypteringstaster i appens kode. Denne praksis er meget usikker, fordi den giver potentielle angribere mulighed for at udtrække disse taster fra appen og derved få adgang til at dekryptere eventuelle data, der er krypteret med dem. Hardkodede nøgler eliminerer sikkerhedsfordelene ved kryptering, da de let kan opdages og udnyttes [4] [9] [10].
3. Genbrug af initialiseringsvektorer (IV'er): Genbrug af initialiseringsvektorer (IV'er) i forbindelse med 3DES svækker krypteringen yderligere. IV'er er beregnet til at være unikke for hver krypteringsoperation for at forhindre angreb, der er afhængige af mønstre i krypterede data. Genbrug af IV'er gør det lettere for angribere at udlede krypteringsnøglen eller udnytte svagheder i krypteringsprocessen [1] [9].
4. Dataeksponering og manipulation: Da Deepseek også deaktiverer apptransportsikkerhed (ATS) på iOS, som forhindrer, at følsomme data bliver sendt over ikke -krypterede kanaler, transmitterer appen nogle data uden nogen kryptering overhovedet. Dette udsætter brugerne for både passive og aktive angreb, hvor data kan opfanges og manipuleres [1] [7] [10].
5. Privatlivs- og data Suverænitet Bekymringer: Overførsel af brugerdata til servere, der administreres af Bytedance, et kinesisk firma, rejser bekymring for datastyring under kinesisk jurisdiktion. Dette inkluderer potentialet for nogen misbrug af garantiløs og data, som er betydelige privatlivsrisici for brugere [5] [6].
I sammendraget undergraver brugen af 3DE'er i Deepseek kombineret med hardkodede nøgler og genanvendt IV'er markant sikkerheden og privatlivets fred for brugerdata. Disse sårbarheder gør appen til et mål for cybertrusler og dataovertrædelser, der fremhæver behovet for mere robust krypteringspraksis og bedre datastyring.
Citater:
[1] https://thehackernews.com/2025/02/deepseek-app-transmits-sensitive-user.html
)
)
)
)
[6] https://sbscyber.com/blog/deepseek-i-drangers
[7] https://www.cybersecurityIntelligence.com/blog/deepseek-exposes-sensitive-data-8245.html
[8] https://www.infosecurity-magazine.com/news/deepseek-r1-security/
!
)