# التشفير والبروتوكولات

يحمي SecurQbit حركة بياناتك بتشفير حديث ومتوافق مع معايير الصناعة، مبني على **TLS 1.3** — البروتوكول الموثوق نفسه الذي يؤمّن المعاملات المصرفية عبر الإنترنت وحركة HTTPS في جميع أنحاء الويب. وهذا يعني خوارزميات تشفير AEAD موثَّقة وتبادل مفاتيح ذا سرية أمامية، دون أي أنماط قديمة قد تُضعفه. تشرح هذه الصفحة العناصر الأولية، والمصافحة، وسبب اتخاذ هذه الخيارات.

## خوارزميات تشفير AEAD

يشفّر SecurQbit حركة البيانات باستخدام خوارزميات تشفير **AEAD** (التشفير الموثَّق مع البيانات المرتبطة) المحددة في TLS 1.3. تقوم AEAD بالتشفير والتوثيق في عملية واحدة، بحيث تكون كل حزمة سرية وقابلة لكشف العبث في آنٍ معًا — فأي حزمة مُعدَّلة تُكتشف وتُسقَط.

- **ChaCha20-Poly1305** — سريعة وثابتة الزمن في البرمجيات، ومثالية على معالجات الهواتف المحمولة التي تفتقر إلى عتاد AES مخصص. وغالبًا ما تكون الخيار الافتراضي على الهواتف.
- **AES-256-GCM** — سريعة للغاية حيثما توفّر تسريع AES العتادي (في معظم الأجهزة الحديثة)، بمفتاح طوله 256 بت.

يتفاوض العميل والخادم على أفضل خوارزمية تشفير تناسب قدرات جهازك.

## السرية الأمامية

ينشئ SecurQbit مفاتيح الجلسة عبر **تبادل مفاتيح ديفي-هيلمان عابر بالمنحنيات الإهليلجية على X25519** (Curve25519). تشتق كل جلسة مفاتيح جديدة من قيم عابرة قصيرة العمر تُتلَف عند انتهاء الجلسة.

ويوفّر هذا **السرية الأمامية**: فحتى لو تم اختراق مفتاح طويل الأمد في المستقبل، لا يمكن فك تشفير الجلسات السابقة بأثر رجعي، لأن المفاتيح التي حمتها لم تعد موجودة في أي مكان. وبالاقتران مع [الخوادم العاملة على RAM فقط](/no-logs-privacy)، لا يوجد أي شيء محفوظ يمكن الرجوع إليه وفتحه.

## نظرة عامة على المصافحة

يجري الاتصال عبر **جلسة TLS 1.3 حقيقية على TCP port 443** — لا يمكن تمييزها على الشبكة عن حركة الويب العادية.

1. **تبادل المفاتيح** — يولّد كل من العميل والخادم أزواج مفاتيح X25519 عابرة ويتبادلان القيم العامة أثناء مصافحة TLS 1.3.
2. **السر المشترك** — يحسب الطرفان السر المشترك نفسه عبر ديفي-هيلمان بالمنحنيات الإهليلجية؛ وهو لا يُرسَل أبدًا.
3. **اشتقاق المفاتيح** — تُشتق مفاتيح الجلسة من السر المشترك باستخدام HKDF، بمفاتيح منفصلة لكل اتجاه.
4. **توثيق الخادم** — يثبت الخادم هويته قبل تدفق أي بيانات للمستخدم، مما يحبط محاولات هجوم الوسيط.
5. **نفق AEAD** — تُشفَّر جميع حركة البيانات اللاحقة وتُوثَّق بخوارزمية تشفير AEAD المتفاوَض عليها.

ولأن الناقل هو TLS 1.3 حقيقي وليس محاكاة له، تندمج الجلسة في حركة HTTPS العادية دون غلاف منفصل قابل للبصمة. راجع [تجاوز الجدار الناري والتمويه](/firewall-bypass) لمعرفة كيف يهزم ذلك فحص الحزم العميق.

```text
Client ── ephemeral X25519 pubkey ──▶ Server   (TLS 1.3 / TCP 443)
Client ◀── ephemeral X25519 pubkey ── Server
both:  ECDH → shared secret → HKDF → per-direction AEAD keys
data:  AEAD(ChaCha20-Poly1305 | AES-256-GCM) over genuine TLS 1.3
```

## العناصر الأولية في لمحة

| الوظيفة | العنصر الأولي | ملاحظات |
| --- | --- | --- |
| النقل | TLS 1.3 عبر TCP/443 | حقيقي وليس محاكاة |
| السرية + السلامة | ChaCha20-Poly1305 / AES-256-GCM | AEAD؛ توثيق لكل حزمة |
| تبادل المفاتيح | ديفي-هيلمان X25519 العابر | يوفّر السرية الأمامية |
| اشتقاق المفاتيح | HKDF | مفاتيح منفصلة لكل اتجاه/جلسة |
| توثيق الخادم | هوية بالمفتاح العام | يمنع هجوم الوسيط |
| طول المفتاح المتماثل | 256 بت | هامش قوي ضد القوة الغاشمة |

## لماذا هذه الخيارات

- **مبني على TLS 1.3** — أكثر بروتوكولات النقل الآمن تدقيقًا وانتشارًا في العالم؛ ولا يمكن التراجع إلى خوارزميات تشفير قديمة ضعيفة.
- **AEAD بدلًا من الأنماط الأقدم** — التشفير الموثَّق ذو التمريرة الواحدة يقضي على فئات كاملة من هجمات أوراكل الحشو والعبث.
- **خياران للتشفير** — تبقي ChaCha20-Poly1305 الهواتف التي تفتقر إلى عتاد AES سريعة؛ بينما تستغل AES-256-GCM التسريع العتادي حيثما توفّر.
- **تبادل مفاتيح X25519 العابر** — سريع، ومقاوم للقنوات الجانبية، وذو سرية أمامية بطبيعة تصميمه.
- **لا تشفير زائد** — حركة البيانات المشفَّرة مسبقًا (مثل HTTPS التي تتصفحها) تُنقل بكفاءة دون طبقة ثانية مهدِرة من التشفير الكتلي، مما يبقي النفق سريعًا.
- **عناصر أولية قياسية ومدروسة جيدًا** — يفضّل SecurQbit التشفير المُدقَّق على نطاق واسع على المخططات الجديدة غير المُثبَتة.

> **ملاحظة:** يحمي التشفير *ما* ترسله؛ بينما يخفي التمويه *حقيقة* استخدامك لـ VPN. راجع [البنية الأمنية](/architecture) لمعرفة كيف تتكامل الطبقات.
