Архітектура безпеки

Огляд серверної архітектури SecurQbit, що працює лише в RAM, життєвого циклу тунелю, поводження з ключами та моделі загроз — від чого VPN захищає, а від чого ні.

Ця сторінка описує, як SecurQbit побудований для приватності та стійкості: волатильна серверна інфраструктура, життєвий цикл тунелю, поводження з ключами та чесна модель загроз того, що VPN може й чого не може.

Серверна архітектура

SecurQbit керує глобальною мережею серверів на волатильному сховищі, що працює лише в RAM.

  • Без зберігання на диску. Система завантажується в пам'ять; нічого про вашу сесію не записується на диск. Перезавантаження чи вимкнення живлення стирає все. Дивіться Без журналів і приватність.
  • Без журналів активності. Немає збереженої історії, яку можна було б витекти, вилучити чи витребувати за повісткою.
  • Ефемерний стан сесії. Таблиці маршрутизації та ключі сесії існують лише в пам'яті протягом тривалості з'єднання й знищуються, коли воно завершується.
  • Мінімальний слід довіри. Скомпрометований чи конфіскований сервер не дає жодної минулої активності, тому що нічого не збереглося.

Життєвий цикл тунелю

  1. Встановлення. Клієнт виконує обмін ключами з прямою секретністю та піднімає тунель, зашифрований AEAD. Дивіться Шифрування та протоколи.
  2. Обфускація. Тунель загортається так, щоб виглядати як звичайний HTTPS, аби DPI не міг розпізнати його за відбитком. Дивіться Обхід брандмауера та обфускація.
  3. Робота. Трафік шифрується, автентифікується для кожного пакета та маршрутизується.
  4. Адаптація. При зміні мережі клієнт перегенеровує ключі та повторно встановлює тунель, перш ніж трафік відновиться.
  5. Згортання. При відключенні ефемерні ключі та стан сесії відкидаються на обох кінцях.

Поводження з ключами

  • Ефемерні ключі генеруються для кожної сесії і ніколи не використовуються повторно.
  • Пряма секретність гарантує, що минулі сесії не можна розшифрувати, навіть якщо майбутній ключ буде розкрито.
  • Без депонування ключів. SecurQbit не зберігає ключі сесії після згортання — а з серверами, що працюють лише в RAM, їм просто немає де зберігатися.
  • Ідентичність сервера автентифікується під час рукостискання, щоб запобігти атакам «людина посередині».

Модель загроз

VPN — це один рівень захисту, а не чарівний плащ. Чіткість щодо меж — частина належної безпеки.

Від чого SecurQbit захищає

  • Підслуховування в локальній мережі — ваш інтернет-провайдер, готель, аеропорт чи будь-хто в тій самій Wi-Fi не може прочитати ваш трафік чи побачити, які сайти ви відвідуєте.
  • Блокування VPN на основі DPI — обфускація долає глибоку інспекцію пакетів, яка обмежує швидкість або блокує звичайні VPN.
  • Розкриття IP — пункти призначення бачать IP сервера, а не ваш.
  • Ретроактивне розкриття — відсутність журналів і сервери, що працюють лише в RAM, означають, що немає чого передавати постфактум.

Від чого він не захищає

  • Компрометація кінцевого пристрою. Шкідливе ПЗ, кейлогер чи ворожий застосунок на вашому власному пристрої бачить вашу активність ще до того, як вона потрапляє в тунель.
  • Ідентифікація на рівні облікового запису. Якщо ви входите в сервіс, цей сервіс знає, що це ви, незалежно від VPN.
  • Відбитки браузера та пристрою. Трекери все одно можуть зняти відбиток вашого браузера; поєднуйте SecurQbit із налаштуваннями браузера, що поважають приватність.
  • Фішинг та соціальна інженерія. VPN не може зупинити вас від введення облікових даних на підробному сайті.
  • Неправильно налаштовані винятки. Застосунки, які ви виключаєте через роздільне тунелювання, не захищені.

Note: Надійна приватність — багаторівнева. Використовуйте SecurQbit разом із належною гігієною пристрою, обачними практиками з обліковими записами та браузером, що зважає на приватність.

Подальше читання