رمزگذاری و پروتکل‌ها

SecurQbit ترافیک شما را با TLS 1.3، رمزهای AEAD مانند ChaCha20-Poly1305 و AES-256-GCM، و یک تبادل کلید X25519 با محرمانگی پیش‌رو محافظت می‌کند — رمزنگاری قوی و حسابرسی‌شده.

SecurQbit ترافیک شما را با رمزنگاری مدرن و استاندارد صنعتی که بر پایه TLS 1.3 ساخته شده محافظت می‌کند — همان پروتکل اثبات‌شده‌ای که بانکداری آنلاین و HTTPS را در سراسر وب امن می‌کند. این به معنای رمزهای احراز هویت‌شده AEAD و یک تبادل کلید با محرمانگی پیش‌رو است، بدون هیچ حالت قدیمی‌ای که آن را تضعیف کند. این صفحه عناصر اولیه، دست‌دهی، و دلیل این انتخاب‌ها را توضیح می‌دهد.

رمزهای AEAD

SecurQbit ترافیک را با رمزهای AEAD (رمزگذاری احراز هویت‌شده با داده‌های مرتبط) که توسط TLS 1.3 تعریف شده‌اند رمزگذاری می‌کند. AEAD در یک عملیات واحد رمزگذاری و احراز هویت می‌کند، بنابراین هر بسته هم محرمانه و هم آشکارکننده دست‌کاری است — یک بسته دستکاری‌شده تشخیص داده شده و دور انداخته می‌شود.

  • ChaCha20-Poly1305 — در نرم‌افزار سریع و زمان‌ثابت است، ایده‌آل برای پردازنده‌های موبایلی که سخت‌افزار اختصاصی AES ندارند. اغلب پیش‌فرض روی گوشی‌هاست.
  • AES-256-GCM — جایی که شتاب سخت‌افزاری AES در دسترس است (بیشتر دستگاه‌های مدرن) بسیار سریع، با کلید ۲۵۶ بیتی.

کلاینت و سرور بهترین رمز را برای قابلیت‌های دستگاه شما مذاکره می‌کنند.

محرمانگی پیش‌رو

SecurQbit کلیدهای نشست را با یک تبادل کلید دیفی-هلمن منحنی-بیضوی گذرا روی X25519 (Curve25519) برقرار می‌کند. هر نشست کلیدهای تازه‌ای را از مقادیر گذرای کوتاه‌عمر استخراج می‌کند که با پایان نشست دور انداخته می‌شوند.

این، محرمانگی پیش‌رو را فراهم می‌کند: حتی اگر یک کلید بلندمدت در آینده به خطر بیفتد، نشست‌های گذشته نمی‌توانند به‌صورت پس‌گرا رمزگشایی شوند، چون کلیدهایی که از آن‌ها محافظت می‌کردند دیگر در هیچ‌جا وجود ندارند. در ترکیب با سرورهای فقط-RAM، هیچ چیزی پایدار نشده که بتوان به آن بازگشت و قفلش را گشود.

مرور دست‌دهی

اتصال روی یک نشست واقعی TLS 1.3 روی پورت TCP شماره 443 اجرا می‌شود — که روی سیم از ترافیک عادی وب قابل تشخیص نیست.

  1. تبادل کلید — کلاینت و سرور هر یک جفت‌کلیدهای گذرای X25519 تولید می‌کنند و مقادیر عمومی را طی دست‌دهی TLS 1.3 مبادله می‌کنند.
  2. راز مشترک — هر دو طرف از طریق دیفی-هلمن منحنی-بیضوی همان راز مشترک را محاسبه می‌کنند؛ این راز هرگز منتقل نمی‌شود.
  3. استخراج کلید — کلیدهای نشست با استفاده از HKDF از راز مشترک استخراج می‌شوند، با کلیدهای جداگانه برای هر جهت.
  4. احراز هویت سرور — سرور پیش از جریان‌یافتن هرگونه داده کاربر، هویت خود را اثبات می‌کند و تلاش‌های مرد-میانی را شکست می‌دهد.
  5. تونل AEAD — تمام ترافیک پس از آن با رمز AEAD مذاکره‌شده رمزگذاری و احراز هویت می‌شود.

از آنجا که حامل، یک TLS 1.3 واقعی است نه تقلیدی از آن، نشست بدون یک پوشش جداگانه و قابل‌اثرانگشت‌گیری در HTTPS عادی ادغام می‌شود. برای آگاهی از اینکه این چگونه بازرسی عمیق بسته‌ها را شکست می‌دهد، به عبور از فایروال و مبهم‌سازی مراجعه کنید.

Client ── ephemeral X25519 pubkey ──▶ Server   (TLS 1.3 / TCP 443)
Client ◀── ephemeral X25519 pubkey ── Server
both:  ECDH → shared secret → HKDF → per-direction AEAD keys
data:  AEAD(ChaCha20-Poly1305 | AES-256-GCM) over genuine TLS 1.3

عناصر اولیه در یک نگاه

عملکردعنصر اولیهیادداشت‌ها
انتقالTLS 1.3 روی TCP/443واقعی، نه تقلیدی
محرمانگی + یکپارچگیChaCha20-Poly1305 / AES-256-GCMAEAD؛ احراز هویت در هر بسته
تبادل کلیددیفی-هلمن گذرای X25519محرمانگی پیش‌رو را فراهم می‌کند
استخراج کلیدHKDFکلیدهای جداگانه برای هر جهت/نشست
احراز هویت سرورهویت کلید عمومیاز مرد-میانی جلوگیری می‌کند
طول کلید متقارن۲۵۶ بیتیحاشیه قوی در برابر حمله جستجوی فراگیر

چرا این انتخاب‌ها

  • ساخته‌شده بر پایه TLS 1.3 — موشکافی‌شده‌ترین و گسترده‌ترین انتقال امن مستقرشده در جهان؛ هیچ تنزلی به رمزهای قدیمی ضعیف ممکن نیست.
  • AEAD به‌جای حالت‌های قدیمی‌تر — رمزگذاری احراز هویت‌شده تک‌گذری، کل دسته‌های حملات پدینگ-اوراکل و دست‌کاری را حذف می‌کند.
  • دو گزینه رمز — ChaCha20-Poly1305 گوشی‌های بدون سخت‌افزار AES را سریع نگه می‌دارد؛ AES-256-GCM در جایی که شتاب سخت‌افزاری وجود دارد از آن بهره می‌برد.
  • تبادل کلید گذرای X25519 — سریع، مقاوم در برابر کانال‌جانبی، و بنا بر طراحی دارای محرمانگی پیش‌رو.
  • بدون رمزگذاری زائد — ترافیک از پیش رمزگذاری‌شده (مانند همان HTTPSی که مرور می‌کنید) به‌صورت کارآمد و بدون یک لایه دوم اتلاف‌کننده رمزنگاری انبوه حمل می‌شود و تونل را سریع نگه می‌دارد.
  • عناصر اولیه استاندارد و به‌خوبی تحلیل‌شده — SecurQbit رمزنگاری گسترده‌حسابرسی‌شده را بر طرح‌های نوظهور و اثبات‌نشده ترجیح می‌دهد.

توجه: رمزگذاری از آنچه ارسال می‌کنید محافظت می‌کند؛ مبهم‌سازی پنهان می‌کند که شما از یک VPN استفاده می‌کنید. برای آگاهی از اینکه این لایه‌ها چگونه با هم ترکیب می‌شوند به معماری امنیتی مراجعه کنید.