Şifreleme ve Protokoller

SecurQbit, trafiğinizi TLS 1.3, ChaCha20-Poly1305 ve AES-256-GCM gibi AEAD şifreleri ve ileri gizlilikli bir X25519 anahtar değişimi ile korur — güçlü, denetlenmiş kriptografi.

SecurQbit, trafiğinizi TLS 1.3 üzerine kurulu modern, endüstri standardı kriptografi ile korur — çevrimiçi bankacılığı ve web genelinde HTTPS'i güvence altına alan, kanıtlanmış aynı protokol. Bu, kimliği doğrulanmış AEAD şifreleri ve ileri gizlilikli bir anahtar değişimi anlamına gelir; zayıflatacak hiçbir eski mod yoktur. Bu sayfa temel yapı taşlarını, el sıkışmayı ve bu seçimlerin neden yapıldığını açıklar.

AEAD şifreleri

SecurQbit, trafiği TLS 1.3 tarafından tanımlanan AEAD (İlişkili Verili Kimliği Doğrulanmış Şifreleme) şifreleriyle şifreler. AEAD, tek bir işlemde şifreler ve kimliği doğrular, böylece her paket hem gizli hem de kurcalamaya karşı dayanıklıdır — değiştirilmiş bir paket tespit edilir ve düşürülür.

  • ChaCha20-Poly1305 — yazılımda hızlı ve sabit zamanlıdır, özel AES donanımı olmayan mobil CPU'lar için idealdir. Genellikle telefonlarda varsayılandır.
  • AES-256-GCM — donanım AES hızlandırmasının mevcut olduğu yerlerde (çoğu modern cihaz) son derece hızlıdır, 256 bitlik bir anahtarla.

İstemci ve sunucu, cihazınızın yeteneklerine en uygun şifreyi görüşerek belirler.

İleri gizlilik

SecurQbit, oturum anahtarlarını X25519 (Curve25519) üzerinden geçici eliptik eğri Diffie-Hellman anahtar değişimi ile oluşturur. Her oturum, oturum sona erdiğinde atılan kısa ömürlü geçici değerlerden taze anahtarlar türetir.

Bu, ileri gizlilik sağlar: gelecekte uzun ömürlü bir anahtar açığa çıksa bile, geçmiş oturumların şifresi geriye dönük olarak çözülemez, çünkü onları koruyan anahtarlar artık hiçbir yerde yoktur. Yalnızca RAM tabanlı sunucularla birleştirildiğinde, geri dönüp kilidi açılacak hiçbir şey saklanmaz.

El sıkışmaya genel bakış

Bağlantı, gerçek bir TCP 443 portu üzerinde TLS 1.3 oturumu üzerinden çalışır — hat üzerinde sıradan web trafiğinden ayırt edilemez.

  1. Anahtar değişimi — istemci ve sunucu her biri geçici X25519 anahtar çiftleri oluşturur ve TLS 1.3 el sıkışması sırasında genel değerleri değiştirir.
  2. Paylaşılan sır — her iki taraf da eliptik eğri Diffie-Hellman aracılığıyla aynı paylaşılan sırrı hesaplar; bu hiçbir zaman iletilmez.
  3. Anahtar türetme — oturum anahtarları, HKDF kullanılarak, her yön için ayrı anahtarlarla paylaşılan sırdan türetilir.
  4. Sunucu kimlik doğrulaması — sunucu, herhangi bir kullanıcı verisi akmadan önce kimliğini kanıtlayarak ortadaki adam girişimlerini yener.
  5. AEAD tüneli — sonraki tüm trafik, görüşülen AEAD şifresiyle şifrelenir ve kimliği doğrulanır.

Taşıyıcı, bir taklit değil gerçek TLS 1.3 olduğundan, oturum ayrı, parmak izi alınabilir bir sarmalayıcı olmadan normal HTTPS'e karışır. Bunun derin paket incelemesini nasıl yendiğini görmek için bkz. Güvenlik Duvarı Atlatma ve Gizleme.

Client ── ephemeral X25519 pubkey ──▶ Server   (TLS 1.3 / TCP 443)
Client ◀── ephemeral X25519 pubkey ── Server
both:  ECDH → shared secret → HKDF → per-direction AEAD keys
data:  AEAD(ChaCha20-Poly1305 | AES-256-GCM) over genuine TLS 1.3

Bir bakışta temel yapı taşları

İşlevTemel yapı taşıNotlar
TaşımaTCP/443 üzerinden TLS 1.3Gerçek, taklit değil
Gizlilik + bütünlükChaCha20-Poly1305 / AES-256-GCMAEAD; paket başına kimlik doğrulama
Anahtar değişimiGeçici X25519 Diffie-Hellmanİleri gizlilik sağlar
Anahtar türetmeHKDFYön/oturum başına ayrı anahtarlar
Sunucu kimlik doğrulamasıAçık anahtar kimliğiOrtadaki adam saldırısını önler
Simetrik anahtar uzunluğu256 bitKaba kuvvet saldırılarına karşı güçlü marj

Bu seçimler neden

  • TLS 1.3 üzerine kurulu — dünyadaki en çok incelenen, en yaygın olarak dağıtılan güvenli taşıma; zayıf eski şifrelere düşürme mümkün değildir.
  • Eski modlar yerine AEAD — tek geçişli kimliği doğrulanmış şifreleme, padding-oracle ve kurcalama saldırılarının tüm sınıflarını ortadan kaldırır.
  • İki şifre seçeneği — ChaCha20-Poly1305, AES donanımı olmayan telefonları hızlı tutar; AES-256-GCM, mevcut olduğunda donanım hızlandırmasından yararlanır.
  • Geçici X25519 anahtar değişimi — hızlı, yan kanal saldırılarına dayanıklı ve tasarımı gereği ileri gizlilikli.
  • Gereksiz şifreleme yok — zaten şifrelenmiş trafik (gezdiğiniz HTTPS gibi), savurgan bir ikinci toplu kripto katmanı olmadan verimli bir şekilde taşınır ve tünel hızlı tutulur.
  • Standart, iyi analiz edilmiş temel yapı taşları — SecurQbit, yeni ve kanıtlanmamış şemalar yerine yaygın olarak denetlenen kriptografiyi tercih eder.

Not: Şifreleme ne gönderdiğinizi korur; gizleme ise bir VPN kullandığınız gerçeğini gizler. Katmanların nasıl birleştiğini görmek için bkz. Güvenlik Mimarisi.