Enkripsi & Protokol
SecurQbit melindungi lalu lintas Anda dengan TLS 1.3, sandi (cipher) AEAD seperti ChaCha20-Poly1305 dan AES-256-GCM, serta pertukaran kunci X25519 dengan kerahasiaan maju (forward secrecy) — kriptografi yang kuat dan telah diaudit.
SecurQbit melindungi lalu lintas Anda dengan kriptografi modern berstandar industri yang dibangun di atas TLS 1.3 — protokol terbukti yang sama yang mengamankan perbankan online dan HTTPS di seluruh web. Ini berarti sandi (cipher) AEAD yang terautentikasi dan pertukaran kunci dengan kerahasiaan maju (forward secrecy), tanpa mode lawas yang dapat melemahkannya. Halaman ini menjelaskan primitif, handshake, dan alasan di balik pilihan-pilihan ini.
Sandi (cipher) AEAD
SecurQbit mengenkripsi lalu lintas dengan sandi (cipher) AEAD (Authenticated Encryption with Associated Data) yang ditetapkan oleh TLS 1.3. AEAD mengenkripsi dan mengautentikasi dalam satu operasi tunggal, sehingga setiap paket bersifat rahasia sekaligus dapat terdeteksi jika dirusak — paket yang dimodifikasi akan terdeteksi dan dibuang.
- ChaCha20-Poly1305 — cepat dan berwaktu konstan (constant-time) dalam perangkat lunak, ideal pada CPU seluler tanpa perangkat keras AES khusus. Sering menjadi default pada ponsel.
- AES-256-GCM — sangat cepat di mana akselerasi AES perangkat keras tersedia (sebagian besar perangkat modern), dengan kunci 256-bit.
Klien dan server menegosiasikan sandi (cipher) terbaik untuk kemampuan perangkat Anda.
Kerahasiaan maju (forward secrecy)
SecurQbit menetapkan kunci sesi dengan pertukaran kunci Diffie-Hellman kurva-eliptik efemeral melalui X25519 (Curve25519). Setiap sesi menurunkan kunci baru dari nilai efemeral berumur pendek yang dibuang ketika sesi berakhir.
Ini memberikan kerahasiaan maju (forward secrecy): bahkan jika kunci jangka panjang suatu saat di masa depan terkompromi, sesi-sesi sebelumnya tidak dapat didekripsi secara surut, karena kunci yang melindunginya tidak lagi ada di mana pun. Dikombinasikan dengan server yang hanya menggunakan RAM, tidak ada apa pun yang tersimpan untuk ditelusuri kembali dan dibuka.
Gambaran umum handshake
Koneksi berjalan melalui sesi TLS 1.3 asli pada port TCP 443 — tidak dapat dibedakan di jalur transmisi dari lalu lintas web biasa.
- Pertukaran kunci — klien dan server masing-masing menghasilkan pasangan kunci X25519 efemeral dan saling bertukar nilai publik selama handshake TLS 1.3.
- Rahasia bersama — kedua sisi menghitung rahasia bersama yang sama melalui Diffie-Hellman kurva-eliptik; rahasia ini tidak pernah ditransmisikan.
- Penurunan kunci — kunci sesi diturunkan dari rahasia bersama menggunakan HKDF, dengan kunci terpisah per arah.
- Autentikasi server — server membuktikan identitasnya sebelum ada data pengguna yang mengalir, mengalahkan upaya man-in-the-middle.
- Terowongan AEAD — semua lalu lintas berikutnya dienkripsi dan diautentikasi dengan sandi (cipher) AEAD yang dinegosiasikan.
Karena pembawanya adalah TLS 1.3 asli alih-alih tiruannya, sesi menyatu ke dalam HTTPS normal tanpa pembungkus terpisah yang dapat diidentifikasi (fingerprintable). Lihat Pengelakan Firewall & Obfuskasi untuk mengetahui bagaimana hal itu mengalahkan inspeksi paket mendalam.
Client ── ephemeral X25519 pubkey ──▶ Server (TLS 1.3 / TCP 443)
Client ◀── ephemeral X25519 pubkey ── Server
both: ECDH → shared secret → HKDF → per-direction AEAD keys
data: AEAD(ChaCha20-Poly1305 | AES-256-GCM) over genuine TLS 1.3Primitif sekilas
| Function | Primitive | Notes |
|---|---|---|
| Transport | TLS 1.3 melalui TCP/443 | Asli, bukan tiruan |
| Kerahasiaan + integritas | ChaCha20-Poly1305 / AES-256-GCM | AEAD; autentikasi per-paket |
| Pertukaran kunci | Diffie-Hellman X25519 efemeral | Memberikan kerahasiaan maju |
| Penurunan kunci | HKDF | Kunci terpisah per arah/sesi |
| Autentikasi server | Identitas kunci-publik | Mencegah man-in-the-middle |
| Panjang kunci simetris | 256-bit | Margin kuat terhadap brute force |
Mengapa pilihan-pilihan ini
- Dibangun di atas TLS 1.3 — transport aman yang paling banyak diteliti dan paling luas digunakan di dunia; tidak mungkin ada penurunan (downgrade) ke sandi lawas yang lemah.
- AEAD ketimbang mode lama — enkripsi terautentikasi satu-lintasan menghilangkan seluruh kelas serangan padding-oracle dan perusakan (tampering).
- Dua opsi sandi (cipher) — ChaCha20-Poly1305 menjaga ponsel tanpa perangkat keras AES tetap cepat; AES-256-GCM memanfaatkan akselerasi perangkat keras jika tersedia.
- Pertukaran kunci X25519 efemeral — cepat, tahan terhadap serangan saluran-samping (side-channel), dan berkerahasiaan maju secara desain.
- Tanpa enkripsi berlebihan — lalu lintas yang sudah terenkripsi (seperti HTTPS yang Anda jelajahi) dibawa secara efisien tanpa lapisan kedua kripto massal yang boros, sehingga terowongan tetap cepat.
- Primitif standar yang telah teranalisis dengan baik — SecurQbit lebih memilih kriptografi yang telah banyak diaudit ketimbang skema baru yang belum terbukti.
Catatan: Enkripsi melindungi apa yang Anda kirim; obfuskasi menyembunyikan bahwa Anda menggunakan VPN. Lihat Arsitektur Keamanan untuk mengetahui bagaimana lapisan-lapisan ini bergabung.