# Шифрование и протоколы

SecurQbit защищает ваш трафик с помощью современной криптографии отраслевого стандарта, построенной на **TLS 1.3** — том же проверенном протоколе, который обеспечивает безопасность онлайн-банкинга и HTTPS по всему вебу. Это означает аутентифицированные AEAD-шифры и обмен ключами с прямой секретностью без устаревших режимов, способных ослабить защиту. На этой странице объясняются примитивы, рукопожатие и причины этих решений.

## AEAD-шифры

SecurQbit шифрует трафик с помощью **AEAD** (Authenticated Encryption with Associated Data) — шифров, определённых в TLS 1.3. AEAD шифрует и аутентифицирует за одну операцию, поэтому каждый пакет одновременно конфиденциален и защищён от подделки — изменённый пакет обнаруживается и отбрасывается.

- **ChaCha20-Poly1305** — быстрый и работающий за постоянное время в программной реализации, идеален для мобильных процессоров без выделенного аппаратного AES. Часто используется по умолчанию на телефонах.
- **AES-256-GCM** — чрезвычайно быстрый там, где доступно аппаратное ускорение AES (большинство современных устройств), с 256-битным ключом.

Клиент и сервер согласуют лучший шифр для возможностей вашего устройства.

## Прямая секретность

SecurQbit устанавливает сеансовые ключи с помощью **эфемерного обмена ключами Диффи-Хеллмана на эллиптических кривых поверх X25519** (Curve25519). Каждый сеанс получает свежие ключи из короткоживущих эфемерных значений, которые уничтожаются по завершении сеанса.

Это обеспечивает **прямую секретность**: даже если долгосрочный ключ когда-либо будет скомпрометирован в будущем, прошлые сеансы нельзя будет расшифровать задним числом, потому что ключей, которые их защищали, больше нигде не существует. В сочетании с [серверами, работающими только в RAM](/no-logs-privacy), не сохраняется ничего, к чему можно было бы вернуться и что можно было бы раскрыть.

## Обзор рукопожатия

Соединение работает поверх настоящего **сеанса TLS 1.3 на TCP-порту 443** — неотличимого на проводе от обычного веб-трафика.

1. **Обмен ключами** — клиент и сервер каждый генерируют эфемерные пары ключей X25519 и обмениваются открытыми значениями во время рукопожатия TLS 1.3.
2. **Общий секрет** — обе стороны вычисляют один и тот же общий секрет через обмен Диффи-Хеллмана на эллиптических кривых; он никогда не передаётся.
3. **Вывод ключей** — сеансовые ключи выводятся из общего секрета с помощью HKDF, с отдельными ключами для каждого направления.
4. **Аутентификация сервера** — сервер подтверждает свою подлинность до того, как пойдут любые пользовательские данные, что пресекает попытки атаки «человек посередине».
5. **AEAD-туннель** — весь последующий трафик шифруется и аутентифицируется согласованным AEAD-шифром.

Поскольку носителем является настоящий TLS 1.3, а не его имитация, сеанс сливается с обычным HTTPS без отдельной обёртки, оставляющей отпечаток. См. [Обход межсетевых экранов и обфускация](/firewall-bypass) о том, как это побеждает глубокую инспекцию пакетов.

```text
Client ── ephemeral X25519 pubkey ──▶ Server   (TLS 1.3 / TCP 443)
Client ◀── ephemeral X25519 pubkey ── Server
both:  ECDH → shared secret → HKDF → per-direction AEAD keys
data:  AEAD(ChaCha20-Poly1305 | AES-256-GCM) over genuine TLS 1.3
```

## Примитивы вкратце

| Функция | Примитив | Примечания |
| --- | --- | --- |
| Транспорт | TLS 1.3 поверх TCP/443 | Настоящий, не имитация |
| Конфиденциальность + целостность | ChaCha20-Poly1305 / AES-256-GCM | AEAD; аутентификация каждого пакета |
| Обмен ключами | Эфемерный Диффи-Хеллман X25519 | Обеспечивает прямую секретность |
| Вывод ключей | HKDF | Отдельные ключи для каждого направления/сеанса |
| Аутентификация сервера | Идентичность на открытом ключе | Предотвращает атаку «человек посередине» |
| Длина симметричного ключа | 256-бит | Большой запас прочности против перебора |

## Почему именно такой выбор

- **Построено на TLS 1.3** — самый изученный и широко развёрнутый защищённый транспорт в мире; откат к слабым устаревшим шифрам невозможен.
- **AEAD вместо старых режимов** — однопроходное аутентифицированное шифрование устраняет целые классы атак типа padding-oracle и подделки.
- **Два варианта шифра** — ChaCha20-Poly1305 сохраняет скорость на телефонах без аппаратного AES; AES-256-GCM использует аппаратное ускорение там, где оно есть.
- **Эфемерный обмен ключами X25519** — быстрый, устойчивый к атакам по сторонним каналам и обеспечивающий прямую секретность по своей конструкции.
- **Без избыточного шифрования** — уже зашифрованный трафик (например, HTTPS, который вы просматриваете) передаётся эффективно, без расточительного второго слоя массового шифрования, что сохраняет скорость туннеля.
- **Стандартные, хорошо проанализированные примитивы** — SecurQbit отдаёт предпочтение широко аудированной криптографии перед новыми, непроверенными схемами.

> **Примечание:** Шифрование защищает то, *что* вы отправляете; обфускация скрывает *то, что* вы используете VPN. См. [Архитектуру безопасности](/architecture) о том, как сочетаются эти слои.
