Použitie algoritmu 3DES v aplikácii Deepseek predstavuje značné bezpečnostné riziká v dôsledku zastaranej a neistej povahy. Tu sú podrobné riziká spojené s použitím 3DES:
1. Neistota 3DES: Algoritmus šifrovania Triple DES (3DES) sa všeobecne považuje za neistý a zastaraný. Bol kedysi štandardom pre bezpečné šifrovanie údajov, ale kvôli svojim zraniteľnostiam ho nahradili bezpečnejšie algoritmy ako AES. Použitie 3DES robí šifrované údaje náchylné na dešifrovanie útočníkov, čo ohrozí súkromie používateľa a integritu údajov [2] [9] [9].
2. Tvrdé šifrovacie kľúče: Implementácia 3DE DeepSeek zahŕňa hardkódovacie šifrovacie kľúče v rámci kódu aplikácie. Táto prax je veľmi neistá, pretože umožňuje potenciálnym útočníkom extrahovať tieto kľúče z aplikácie, čím získava prístup k dešifrovaniu akýchkoľvek údajov šifrovaných s nimi. Tvrdé kódované kľúče eliminujú bezpečnostné výhody šifrovania, pretože ich možno ľahko objaviť a využívať [4] [9] [10].
3. Opätovné použitie inicializačných vektorov (IVS): opätovné použitie inicializačných vektorov (IVS) v spojení s 3DES ďalej oslabuje šifrovanie. IV sú určené ako jedinečné pre každú šifrovaciu operáciu, aby sa zabránilo útokom, ktoré sa spoliehajú na vzory v šifrovaných údajoch. Opätovné použitie IVS uľahčuje útočníkom odvodenie šifrovacieho kľúču alebo využívať slabosti v procese šifrovania [1] [9].
4. Expozícia a manipulácia s údajmi: Keďže DeepSeek tiež deaktivuje bezpečnosť APP Transport Security (ATS) na iOS, čo bráni odosielaniu citlivých údajov cez nešifrované kanály, aplikácia prenáša niektoré údaje bez šifrovania. To vystavuje používateľov pasívnym aj aktívnym útokom, kde je možné údaje zachytiť a manipulovať [1] [7] [10].
5. Obavy ochrany súkromia a dát: prenos údajov používateľov na servery spravované čínskou spoločnosťou Bytedance, vyvoláva obavy týkajúce sa správy údajov v čínskej jurisdikcii. Zahŕňa to potenciál pre bezodarné sledovanie a zneužívanie údajov, ktoré sú pre používateľov významné riziká ochrany osobných údajov [5] [6].
Stručne povedané, použitie 3DE v DeepSeek v kombinácii s pevne kódovanými kľúčmi a opätovne použité IV, výrazne podkopáva bezpečnosť a súkromie používateľských údajov. Tieto zraniteľné miesta robia z aplikácie cieľ pre kybernetické hrozby a porušenia údajov a zdôrazňujú potrebu robustnejších praktík šifrovania a lepšieho riadenia údajov.
Citácie:
[1] https://theackernews.com/2025/02/deepseek-app-transmits-sensitive-user.html
Https://www.indiatoday.in/technology/news/story/deepseek-r1-recent-findings-reveal-meltiple-security-flaws-in-ios-App-p-267442-2025-02-10
[3] https://hiddenlayer.com/innovation-hub/deepsht-exposing-the-security-Risksof-queepseek-r1/
[4] https://www.linkedin.com/pulse/encryption-crisis-ai-lesons-from-deepseeks-security-failures-faux-tx7re
[5] https://blog.devolutions.net/2025/02/cybersecurity-newsflash-researchers-find-security-vulnerabilities-in-deepseek-for-ios/
[6] https://sbscer.com/blog/deepseek-ai-dangers
[7] https://www.cybersecurityIntelligence.com/blog/deepseek-exposes-sensitive-data-8245.html
[8] https://www.infosecurity-magazine.com/news/deepseek-r1-security/
[9] https://approov.io/blog/deepseek-apps-security-failures-how-approov-could-have-prevented-the-damage
[10] https://krebonsecurity.com/2025/02/experts-flag-security-privacy-reps-indeepseek-aip/