Використання алгоритму 3DES у додатку DeepSeek створює значні ризики безпеки завдяки застарілому та невпевненому характеру. Ось детальні ризики, пов'язані з використанням 3DE:
1. Невпевненість 3DE: Потрійний алгоритм шифрування DES (3DES) широко вважається невпевненим та застарілим. Колись він був стандартом для безпечного шифрування даних, але його замінили більш безпечні алгоритми, як AES, завдяки його вразливих місцях. Використання 3DE робить зашифровані дані сприйнятливими до розшифровки зловмисників, компрометуючи конфіденційність користувачів та цілісність даних [2] [4] [9].
2. Клавіші шифрування жорстко кодовані: Впровадження DeepSeek 3DES передбачає жорстке кодування клавіш шифрування в коді додатка. Ця практика є надзвичайно небезпечною, оскільки дозволяє потенційним зловмисникам витягувати ці ключі з додатка, тим самим отримуючи доступ до дешифрування будь -яких зашифрованих даними з ними. Жорсткі кодовані ключі усувають переваги безпеки шифрування, оскільки їх можна легко виявити та використовувати [4] [9] [10].
3. Повторне використання векторів ініціалізації (IV): повторне використання векторів ініціалізації (IVS) у поєднанні з 3DE ще більше послаблює шифрування. IVS покликані бути унікальними для кожної операції шифрування для запобігання атак, які покладаються на шаблони в зашифрованих даних. Повторне використання IVS полегшує зловмисникам виводити ключ шифрування або використовувати слабкі сторони в процесі шифрування [1] [9].
. Це піддає користувачів як пасивних, так і активних атак, де дані можуть бути перехоплені та маніпулювати [1] [7] [10].
5. Проблеми з питань конфіденційності та даних: Передача даних користувачів на сервери, керовані Bytedance, китайська компанія, викликає занепокоєння щодо управління даними відповідно до юрисдикції Китаю. Сюди входить потенціал без гарантійного спостереження та зловживання даними, які є значними ризиками конфіденційності для користувачів [5] [6].
Підсумовуючи, використання 3DE в DeepSeek у поєднанні з жорсткими кодованими клавішами та повторно використаними IV, значно підриває безпеку та конфіденційність даних користувачів. Ці вразливості роблять додаток цільовим для кіберзагроз та порушень даних, підкреслюючи необхідність більш надійної практики шифрування та кращого управління даними.
Цитати:
[1] https://thehackernews.com/2025/02/deepseek-app-ransmits-sensitive-user.html
[2.
[3] https://hiddenlayer.com/innovation-hub/deepsht-exposing-the-security-risks-of-deepeek-r1/
[4] https://www.linkedin.com/pulse/encryption-crisis-ai-lessons-from-deepseeks-security-failures-faux-tx7re
[5] https://blog.devolutions.net/2025/02/cybersecurity-newsflash-researchers-find-security-vulnerability-in-deepseek-for-ios/
[6] https://sbscyber.com/blog/deepseek-ai-dangers
4
[8] https://www.infosecurity-magazine.com/news/deepseek-r1-security/
[9] https://approov.io/blog/deepseek-apps-security-failures-how-approov-could-have-prevented-the-damage
[10] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-risks-in-deepkeek-app/