# 暗号化とプロトコル

SecurQbit は、**TLS 1.3** 上に構築された最新の業界標準の暗号技術であなたの通信を保護します。これは、オンラインバンキングやウェブ全体の HTTPS を守る、実績ある同じプロトコルです。つまり、認証付きの AEAD 暗号と前方秘匿性のある鍵交換を使用し、強度を弱めるレガシーモードはありません。このページでは、プリミティブ、ハンドシェイク、そしてこれらの選択がなされた理由を説明します。

## AEAD 暗号

SecurQbit は、TLS 1.3 で定義された **AEAD**（Authenticated Encryption with Associated Data、関連データ付き認証暗号）暗号で通信を暗号化します。AEAD は暗号化と認証を 1 回の操作で行うため、すべてのパケットが機密性を持つと同時に改ざんを検知できます。改変されたパケットは検出され破棄されます。

- **ChaCha20-Poly1305** — ソフトウェアで高速かつ定数時間で動作し、専用の AES ハードウェアを持たないモバイル CPU に最適です。スマートフォンではしばしばデフォルトとなります。
- **AES-256-GCM** — ハードウェアの AES アクセラレーションが利用できる環境（最新のデバイスのほとんど）で非常に高速で、256 ビットの鍵を使用します。

クライアントとサーバーは、お使いのデバイスの能力に最適な暗号を交渉します。

## 前方秘匿性

SecurQbit は、**X25519（Curve25519）上の一時的な楕円曲線ディフィー・ヘルマン鍵交換**でセッション鍵を確立します。各セッションは、セッション終了時に破棄される短命な一時値から新しい鍵を導出します。

これにより**前方秘匿性**が提供されます。たとえ長期鍵が将来漏洩したとしても、過去のセッションを遡って復号することはできません。それらを保護していた鍵がもはやどこにも存在しないからです。[RAM 専用サーバー](/no-logs-privacy)と組み合わさることで、遡って解錠するために永続化されたものは何もありません。

## ハンドシェイクの概要

接続は **TCP ポート 443 上の本物の TLS 1.3 セッション**で実行され、ネットワーク上では通常のウェブ通信と区別がつきません。

1. **鍵交換** — クライアントとサーバーがそれぞれ一時的な X25519 鍵ペアを生成し、TLS 1.3 ハンドシェイク中に公開値を交換します。
2. **共有秘密** — 双方が楕円曲線ディフィー・ヘルマンを介して同じ共有秘密を計算します。これが送信されることはありません。
3. **鍵導出** — セッション鍵は HKDF を使って共有秘密から導出され、方向ごとに別々の鍵が用いられます。
4. **サーバー認証** — ユーザーデータが流れる前にサーバーがその身元を証明し、中間者攻撃を阻止します。
5. **AEAD トンネル** — それ以降のすべての通信は、交渉された AEAD 暗号で暗号化され認証されます。

搬送路がその模倣ではなく本物の TLS 1.3 であるため、セッションは識別可能な別個のラッパーなしで通常の HTTPS に溶け込みます。それがどのようにディープパケットインスペクションを回避するかについては、[ファイアウォール回避と難読化](/firewall-bypass)をご覧ください。

```text
Client ── ephemeral X25519 pubkey ──▶ Server   (TLS 1.3 / TCP 443)
Client ◀── ephemeral X25519 pubkey ── Server
both:  ECDH → shared secret → HKDF → per-direction AEAD keys
data:  AEAD(ChaCha20-Poly1305 | AES-256-GCM) over genuine TLS 1.3
```

## プリミティブ一覧

| 機能 | プリミティブ | 備考 |
| --- | --- | --- |
| トランスポート | TLS 1.3 over TCP/443 | 本物であり、模倣ではない |
| 機密性 + 完全性 | ChaCha20-Poly1305 / AES-256-GCM | AEAD、パケットごとの認証 |
| 鍵交換 | 一時的な X25519 ディフィー・ヘルマン | 前方秘匿性を提供 |
| 鍵導出 | HKDF | 方向／セッションごとに別々の鍵 |
| サーバー認証 | 公開鍵による身元 | 中間者攻撃を防止 |
| 対称鍵の長さ | 256 ビット | 総当たり攻撃に対する強固なマージン |

## これらを選んだ理由

- **TLS 1.3 上に構築** — 世界で最も精査され、広く展開されている安全なトランスポート。弱いレガシー暗号へのダウングレードは不可能です。
- **古いモードではなく AEAD** — 一度の処理で行う認証暗号により、パディングオラクル攻撃や改ざん攻撃の一群を丸ごと排除します。
- **2 つの暗号オプション** — ChaCha20-Poly1305 は AES ハードウェアを持たないスマートフォンを高速に保ち、AES-256-GCM は存在する場合のハードウェアアクセラレーションを活用します。
- **一時的な X25519 鍵交換** — 高速で、サイドチャネル攻撃に強く、設計上前方秘匿性を備えています。
- **冗長な暗号化なし** — すでに暗号化された通信（あなたが閲覧する HTTPS など）は、無駄な 2 層目のバルク暗号なしで効率的に運ばれ、トンネルを高速に保ちます。
- **標準的で十分に分析されたプリミティブ** — SecurQbit は、新規で実証されていない方式よりも、広く監査された暗号技術を優先します。

> **注:** 暗号化はあなたが*何を*送るかを保護し、難読化はあなたが VPN を使っているという*事実*を隠します。レイヤーがどのように組み合わさるかについては、[セキュリティアーキテクチャ](/architecture)をご覧ください。
