# Архітектура безпеки

Ця сторінка описує, як SecurQbit побудований для приватності та стійкості: волатильна серверна інфраструктура, життєвий цикл тунелю, поводження з ключами та чесна модель загроз того, що VPN може й чого не може.

## Серверна архітектура

SecurQbit керує глобальною мережею серверів на **волатильному сховищі, що працює лише в RAM**.

- **Без зберігання на диску.** Система завантажується в пам'ять; нічого про вашу сесію не записується на диск. Перезавантаження чи вимкнення живлення стирає все. Дивіться [Без журналів і приватність](/no-logs-privacy).
- **Без журналів активності.** Немає збереженої історії, яку можна було б витекти, вилучити чи витребувати за повісткою.
- **Ефемерний стан сесії.** Таблиці маршрутизації та ключі сесії існують лише в пам'яті протягом тривалості з'єднання й знищуються, коли воно завершується.
- **Мінімальний слід довіри.** Скомпрометований чи конфіскований сервер не дає жодної минулої активності, тому що нічого не збереглося.

## Життєвий цикл тунелю

1. **Встановлення.** Клієнт виконує обмін ключами з прямою секретністю та піднімає тунель, зашифрований AEAD. Дивіться [Шифрування та протоколи](/encryption).
2. **Обфускація.** Тунель загортається так, щоб виглядати як звичайний HTTPS, аби DPI не міг розпізнати його за відбитком. Дивіться [Обхід брандмауера та обфускація](/firewall-bypass).
3. **Робота.** Трафік шифрується, автентифікується для кожного пакета та маршрутизується.
4. **Адаптація.** При зміні мережі клієнт перегенеровує ключі та повторно встановлює тунель, перш ніж трафік відновиться.
5. **Згортання.** При відключенні ефемерні ключі та стан сесії відкидаються на обох кінцях.

## Поводження з ключами

- **Ефемерні ключі** генеруються для кожної сесії і ніколи не використовуються повторно.
- **Пряма секретність** гарантує, що минулі сесії не можна розшифрувати, навіть якщо майбутній ключ буде розкрито.
- **Без депонування ключів.** SecurQbit не зберігає ключі сесії після згортання — а з серверами, що працюють лише в RAM, їм просто немає де зберігатися.
- **Ідентичність сервера** автентифікується під час рукостискання, щоб запобігти атакам «людина посередині».

## Модель загроз

VPN — це один рівень захисту, а не чарівний плащ. Чіткість щодо меж — частина належної безпеки.

### Від чого SecurQbit захищає

- **Підслуховування в локальній мережі** — ваш інтернет-провайдер, готель, аеропорт чи будь-хто в тій самій Wi-Fi не може прочитати ваш трафік чи побачити, які сайти ви відвідуєте.
- **Блокування VPN на основі DPI** — обфускація долає глибоку інспекцію пакетів, яка обмежує швидкість або блокує звичайні VPN.
- **Розкриття IP** — пункти призначення бачать IP сервера, а не ваш.
- **Ретроактивне розкриття** — відсутність журналів і сервери, що працюють лише в RAM, означають, що немає чого передавати постфактум.

### Від чого він не захищає

- **Компрометація кінцевого пристрою.** Шкідливе ПЗ, кейлогер чи ворожий застосунок на вашому власному пристрої бачить вашу активність ще до того, як вона потрапляє в тунель.
- **Ідентифікація на рівні облікового запису.** Якщо ви входите в сервіс, цей сервіс знає, що це ви, незалежно від VPN.
- **Відбитки браузера та пристрою.** Трекери все одно можуть зняти відбиток вашого браузера; поєднуйте SecurQbit із налаштуваннями браузера, що поважають приватність.
- **Фішинг та соціальна інженерія.** VPN не може зупинити вас від введення облікових даних на підробному сайті.
- **Неправильно налаштовані винятки.** Застосунки, які ви виключаєте через [роздільне тунелювання](/split-tunneling), не захищені.

> **Note:** Надійна приватність — багаторівнева. Використовуйте SecurQbit разом із належною гігієною пристрою, обачними практиками з обліковими записами та браузером, що зважає на приватність.

## Подальше читання

- [Шифрування та протоколи](/encryption) — криптографічні примітиви.
- [Без журналів і приватність](/no-logs-privacy) — дані, які ми навмисно не зберігаємо.
