Uporaba algoritma 3DES v aplikaciji Deepseek predstavlja pomembna varnostna tveganja zaradi zastarele in negotove narave. Tu so podrobna tveganja, povezana z uporabo 3DES:
1. Negotovost 3DES: Triple DES (3DES) algoritem šifriranja velja za negotovo in opuščeno. Nekoč je bil standard za varno šifriranje podatkov, vendar so ga zaradi svojih ranljivosti nadomestili varnejši algoritmi, kot je AES. Uporaba 3DES je šifrirani podatki dovzetni za dešifriranje napadalcev, kar ogroža zasebnost uporabnikov in celovitost podatkov [2] [4] [9].
2. Trdo kodirane šifrirne tipke: Deepseekova izvedba 3DE vključuje trde kodiranje šifrirnih tipk znotraj kode aplikacije. Ta praksa je zelo negotova, saj potencialnim napadalcem omogoča, da te tipke izvlečejo iz aplikacije in s tem dobijo dostop do dešifriranja vseh podatkov, ki so šifrirani z njimi. Trdo kodirane tipke odpravljajo varnostne prednosti šifriranja, saj jih je mogoče enostavno odkriti in izkoristiti [4] [9] [10].
3. Ponovna uporaba inicializacijskih vektorjev (IV): Ponovna uporaba inicializacijskih vektorjev (IV) v povezavi s 3DE še dodatno oslabi šifriranje. IV naj bi bili edinstveni za vsako šifrirno operacijo, da se prepreči napade, ki se zanašajo na vzorce v šifriranih podatkih. Ponovna uporaba IV -jev lažje uveljavljajo šifrirni ključ ali izkoriščajo slabosti v procesu šifriranja [1] [9].
4. Izpostavljenost in manipulacija s podatki: Ker Deepseek onemogoči tudi varnost prevoza aplikacij (ATS) na iOS, kar preprečuje, da bi se občutljivi podatki poslali po nešifriranih kanalih, aplikacija prenaša nekatere podatke brez šifriranja. To uporabnike izpostavlja tako pasivnim kot aktivnim napadom, kjer je mogoče podatke prestreči in manipulirati [1] [7] [10].
5. Zasebnost in suverenost podatkov o zasebnosti in podatkih: Prenos podatkov uporabnikov na strežnike, ki jih upravlja BYTEDACE, kitajska družba, vzbuja zaskrbljenost glede upravljanja podatkov v okviru kitajske pristojnosti. To vključuje potencial za nadzor in zlorabo podatkov, ki so pomembna za zasebnost za uporabnike [5] [6].
Če povzamemo, uporaba 3DE v Deepseeku, v kombinaciji s trdo kodiranimi tipkami in ponovno uporabljenimi IV, znatno spodkopava varnost in zasebnost uporabniških podatkov. Te ranljivosti postavljajo aplikacijo za kibernetske grožnje in kršitve podatkov, kar poudarja potrebo po močnejših praksah šifriranja in boljšega upravljanja podatkov.
Navedbe:
[1] https://thehackernews.com/2025/02/deepseek-app-transmits-sesivetive-user.html
[2] https://www.indiatoday.in/technology/news/story/deepseek-r1-recent-findings-reveal-moultiple-Security-flaws-in-ios-app-app-2677442-2025-02-02-10
[3] https://hiddenlayer.com/innovation-hub/deepsht-exposing-the-security-risks-of-reepseek-r1/
[4] https://www.linkedin.com/pulse/encrypy-crisis-ai-lessons-from-deepseeks-Security-Failures-Faux-TX7RE
[5] https://blog.devolutions.net/2025/02/cybersecurity-newsflash-researchers-find-security-Vulnebilnosti in-deepseek-for-ios/
[6] https://sbscyber.com/blog/deepseek-ai-Dangers
[7] https://www.cybercecurityIntelligence.com/blog/deepseek-exposes-seasive-data-8245.html
[8] https://www.infosecurity-magazine.com/news/deepseek-r1-security/
[9] https://approov.io/blog/deepseek-apps-security-failures-how-approov-could-have-phevented-the-dAmage
[10] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-risks-in-deepseek-ai-app/