رمزگذاری و پروتکلها
SecurQbit ترافیک شما را با TLS 1.3، رمزهای AEAD مانند ChaCha20-Poly1305 و AES-256-GCM، و یک تبادل کلید X25519 با محرمانگی پیشرو محافظت میکند — رمزنگاری قوی و حسابرسیشده.
SecurQbit ترافیک شما را با رمزنگاری مدرن و استاندارد صنعتی که بر پایه TLS 1.3 ساخته شده محافظت میکند — همان پروتکل اثباتشدهای که بانکداری آنلاین و HTTPS را در سراسر وب امن میکند. این به معنای رمزهای احراز هویتشده AEAD و یک تبادل کلید با محرمانگی پیشرو است، بدون هیچ حالت قدیمیای که آن را تضعیف کند. این صفحه عناصر اولیه، دستدهی، و دلیل این انتخابها را توضیح میدهد.
رمزهای AEAD
SecurQbit ترافیک را با رمزهای AEAD (رمزگذاری احراز هویتشده با دادههای مرتبط) که توسط TLS 1.3 تعریف شدهاند رمزگذاری میکند. AEAD در یک عملیات واحد رمزگذاری و احراز هویت میکند، بنابراین هر بسته هم محرمانه و هم آشکارکننده دستکاری است — یک بسته دستکاریشده تشخیص داده شده و دور انداخته میشود.
- ChaCha20-Poly1305 — در نرمافزار سریع و زمانثابت است، ایدهآل برای پردازندههای موبایلی که سختافزار اختصاصی AES ندارند. اغلب پیشفرض روی گوشیهاست.
- AES-256-GCM — جایی که شتاب سختافزاری AES در دسترس است (بیشتر دستگاههای مدرن) بسیار سریع، با کلید ۲۵۶ بیتی.
کلاینت و سرور بهترین رمز را برای قابلیتهای دستگاه شما مذاکره میکنند.
محرمانگی پیشرو
SecurQbit کلیدهای نشست را با یک تبادل کلید دیفی-هلمن منحنی-بیضوی گذرا روی X25519 (Curve25519) برقرار میکند. هر نشست کلیدهای تازهای را از مقادیر گذرای کوتاهعمر استخراج میکند که با پایان نشست دور انداخته میشوند.
این، محرمانگی پیشرو را فراهم میکند: حتی اگر یک کلید بلندمدت در آینده به خطر بیفتد، نشستهای گذشته نمیتوانند بهصورت پسگرا رمزگشایی شوند، چون کلیدهایی که از آنها محافظت میکردند دیگر در هیچجا وجود ندارند. در ترکیب با سرورهای فقط-RAM، هیچ چیزی پایدار نشده که بتوان به آن بازگشت و قفلش را گشود.
مرور دستدهی
اتصال روی یک نشست واقعی TLS 1.3 روی پورت TCP شماره 443 اجرا میشود — که روی سیم از ترافیک عادی وب قابل تشخیص نیست.
- تبادل کلید — کلاینت و سرور هر یک جفتکلیدهای گذرای X25519 تولید میکنند و مقادیر عمومی را طی دستدهی TLS 1.3 مبادله میکنند.
- راز مشترک — هر دو طرف از طریق دیفی-هلمن منحنی-بیضوی همان راز مشترک را محاسبه میکنند؛ این راز هرگز منتقل نمیشود.
- استخراج کلید — کلیدهای نشست با استفاده از HKDF از راز مشترک استخراج میشوند، با کلیدهای جداگانه برای هر جهت.
- احراز هویت سرور — سرور پیش از جریانیافتن هرگونه داده کاربر، هویت خود را اثبات میکند و تلاشهای مرد-میانی را شکست میدهد.
- تونل AEAD — تمام ترافیک پس از آن با رمز AEAD مذاکرهشده رمزگذاری و احراز هویت میشود.
از آنجا که حامل، یک TLS 1.3 واقعی است نه تقلیدی از آن، نشست بدون یک پوشش جداگانه و قابلاثرانگشتگیری در HTTPS عادی ادغام میشود. برای آگاهی از اینکه این چگونه بازرسی عمیق بستهها را شکست میدهد، به عبور از فایروال و مبهمسازی مراجعه کنید.
Client ── ephemeral X25519 pubkey ──▶ Server (TLS 1.3 / TCP 443)
Client ◀── ephemeral X25519 pubkey ── Server
both: ECDH → shared secret → HKDF → per-direction AEAD keys
data: AEAD(ChaCha20-Poly1305 | AES-256-GCM) over genuine TLS 1.3عناصر اولیه در یک نگاه
| عملکرد | عنصر اولیه | یادداشتها |
|---|---|---|
| انتقال | TLS 1.3 روی TCP/443 | واقعی، نه تقلیدی |
| محرمانگی + یکپارچگی | ChaCha20-Poly1305 / AES-256-GCM | AEAD؛ احراز هویت در هر بسته |
| تبادل کلید | دیفی-هلمن گذرای X25519 | محرمانگی پیشرو را فراهم میکند |
| استخراج کلید | HKDF | کلیدهای جداگانه برای هر جهت/نشست |
| احراز هویت سرور | هویت کلید عمومی | از مرد-میانی جلوگیری میکند |
| طول کلید متقارن | ۲۵۶ بیتی | حاشیه قوی در برابر حمله جستجوی فراگیر |
چرا این انتخابها
- ساختهشده بر پایه TLS 1.3 — موشکافیشدهترین و گستردهترین انتقال امن مستقرشده در جهان؛ هیچ تنزلی به رمزهای قدیمی ضعیف ممکن نیست.
- AEAD بهجای حالتهای قدیمیتر — رمزگذاری احراز هویتشده تکگذری، کل دستههای حملات پدینگ-اوراکل و دستکاری را حذف میکند.
- دو گزینه رمز — ChaCha20-Poly1305 گوشیهای بدون سختافزار AES را سریع نگه میدارد؛ AES-256-GCM در جایی که شتاب سختافزاری وجود دارد از آن بهره میبرد.
- تبادل کلید گذرای X25519 — سریع، مقاوم در برابر کانالجانبی، و بنا بر طراحی دارای محرمانگی پیشرو.
- بدون رمزگذاری زائد — ترافیک از پیش رمزگذاریشده (مانند همان HTTPSی که مرور میکنید) بهصورت کارآمد و بدون یک لایه دوم اتلافکننده رمزنگاری انبوه حمل میشود و تونل را سریع نگه میدارد.
- عناصر اولیه استاندارد و بهخوبی تحلیلشده — SecurQbit رمزنگاری گستردهحسابرسیشده را بر طرحهای نوظهور و اثباتنشده ترجیح میدهد.
توجه: رمزگذاری از آنچه ارسال میکنید محافظت میکند؛ مبهمسازی پنهان میکند که شما از یک VPN استفاده میکنید. برای آگاهی از اینکه این لایهها چگونه با هم ترکیب میشوند به معماری امنیتی مراجعه کنید.