Архітектура безпеки
Огляд серверної архітектури SecurQbit, що працює лише в RAM, життєвого циклу тунелю, поводження з ключами та моделі загроз — від чого VPN захищає, а від чого ні.
Ця сторінка описує, як SecurQbit побудований для приватності та стійкості: волатильна серверна інфраструктура, життєвий цикл тунелю, поводження з ключами та чесна модель загроз того, що VPN може й чого не може.
Серверна архітектура
SecurQbit керує глобальною мережею серверів на волатильному сховищі, що працює лише в RAM.
- Без зберігання на диску. Система завантажується в пам'ять; нічого про вашу сесію не записується на диск. Перезавантаження чи вимкнення живлення стирає все. Дивіться Без журналів і приватність.
- Без журналів активності. Немає збереженої історії, яку можна було б витекти, вилучити чи витребувати за повісткою.
- Ефемерний стан сесії. Таблиці маршрутизації та ключі сесії існують лише в пам'яті протягом тривалості з'єднання й знищуються, коли воно завершується.
- Мінімальний слід довіри. Скомпрометований чи конфіскований сервер не дає жодної минулої активності, тому що нічого не збереглося.
Життєвий цикл тунелю
- Встановлення. Клієнт виконує обмін ключами з прямою секретністю та піднімає тунель, зашифрований AEAD. Дивіться Шифрування та протоколи.
- Обфускація. Тунель загортається так, щоб виглядати як звичайний HTTPS, аби DPI не міг розпізнати його за відбитком. Дивіться Обхід брандмауера та обфускація.
- Робота. Трафік шифрується, автентифікується для кожного пакета та маршрутизується.
- Адаптація. При зміні мережі клієнт перегенеровує ключі та повторно встановлює тунель, перш ніж трафік відновиться.
- Згортання. При відключенні ефемерні ключі та стан сесії відкидаються на обох кінцях.
Поводження з ключами
- Ефемерні ключі генеруються для кожної сесії і ніколи не використовуються повторно.
- Пряма секретність гарантує, що минулі сесії не можна розшифрувати, навіть якщо майбутній ключ буде розкрито.
- Без депонування ключів. SecurQbit не зберігає ключі сесії після згортання — а з серверами, що працюють лише в RAM, їм просто немає де зберігатися.
- Ідентичність сервера автентифікується під час рукостискання, щоб запобігти атакам «людина посередині».
Модель загроз
VPN — це один рівень захисту, а не чарівний плащ. Чіткість щодо меж — частина належної безпеки.
Від чого SecurQbit захищає
- Підслуховування в локальній мережі — ваш інтернет-провайдер, готель, аеропорт чи будь-хто в тій самій Wi-Fi не може прочитати ваш трафік чи побачити, які сайти ви відвідуєте.
- Блокування VPN на основі DPI — обфускація долає глибоку інспекцію пакетів, яка обмежує швидкість або блокує звичайні VPN.
- Розкриття IP — пункти призначення бачать IP сервера, а не ваш.
- Ретроактивне розкриття — відсутність журналів і сервери, що працюють лише в RAM, означають, що немає чого передавати постфактум.
Від чого він не захищає
- Компрометація кінцевого пристрою. Шкідливе ПЗ, кейлогер чи ворожий застосунок на вашому власному пристрої бачить вашу активність ще до того, як вона потрапляє в тунель.
- Ідентифікація на рівні облікового запису. Якщо ви входите в сервіс, цей сервіс знає, що це ви, незалежно від VPN.
- Відбитки браузера та пристрою. Трекери все одно можуть зняти відбиток вашого браузера; поєднуйте SecurQbit із налаштуваннями браузера, що поважають приватність.
- Фішинг та соціальна інженерія. VPN не може зупинити вас від введення облікових даних на підробному сайті.
- Неправильно налаштовані винятки. Застосунки, які ви виключаєте через роздільне тунелювання, не захищені.
Note: Надійна приватність — багаторівнева. Використовуйте SecurQbit разом із належною гігієною пристрою, обачними практиками з обліковими записами та браузером, що зважає на приватність.
Подальше читання
- Шифрування та протоколи — криптографічні примітиви.
- Без журналів і приватність — дані, які ми навмисно не зберігаємо.