# Шифрування та протоколи

SecurQbit захищає ваш трафік сучасною криптографією галузевого стандарту, побудованою на **TLS 1.3** — тому самому перевіреному протоколі, що убезпечує онлайн-банкінг і HTTPS у всьому вебі. Це означає автентифіковані AEAD-шифри та обмін ключами з прямою секретністю, без застарілих режимів, що могли б його послабити. Ця сторінка пояснює примітиви, рукостискання та чому було зроблено саме такий вибір.

## AEAD-шифри

SecurQbit шифрує трафік **AEAD**-шифрами (Authenticated Encryption with Associated Data — автентифіковане шифрування з пов'язаними даними), визначеними у TLS 1.3. AEAD шифрує та автентифікує за одну операцію, тож кожен пакет є водночас конфіденційним і захищеним від підробки — модифікований пакет виявляється та відкидається.

- **ChaCha20-Poly1305** — швидкий і з постійним часом виконання в програмному забезпеченні, ідеальний для мобільних процесорів без апаратного AES. Часто є типовим на телефонах.
- **AES-256-GCM** — надзвичайно швидкий там, де доступне апаратне прискорення AES (більшість сучасних пристроїв), із 256-бітним ключем.

Клієнт і сервер узгоджують найкращий шифр для можливостей вашого пристрою.

## Пряма секретність

SecurQbit встановлює ключі сесії за допомогою **ефемерного обміну ключами Діффі-Геллмана на еліптичних кривих через X25519** (Curve25519). Кожна сесія виводить свіжі ключі з короткоживучих ефемерних значень, які відкидаються, коли сесія завершується.

Це забезпечує **пряму секретність**: навіть якби довготривалий ключ колись було скомпрометовано в майбутньому, минулі сесії не можна було б ретроактивно розшифрувати, тому що ключів, які їх захищали, більше ніде не існує. У поєднанні з [серверами, що працюють лише в RAM](/no-logs-privacy), немає нічого збереженого, до чого можна було б повернутися та розблокувати.

## Огляд рукостискання

З'єднання працює через справжню **сесію TLS 1.3 на TCP-порту 443** — на рівні мережі її неможливо відрізнити від звичайного веб-трафіку.

1. **Обмін ключами** — клієнт і сервер кожен генерують ефемерні пари ключів X25519 та обмінюються публічними значеннями під час рукостискання TLS 1.3.
2. **Спільний секрет** — обидві сторони обчислюють однаковий спільний секрет через Діффі-Геллмана на еліптичних кривих; він ніколи не передається.
3. **Виведення ключів** — ключі сесії виводяться зі спільного секрету за допомогою HKDF, з окремими ключами для кожного напрямку.
4. **Автентифікація сервера** — сервер доводить свою ідентичність, перш ніж потече будь-які дані користувача, долаючи спроби «людина посередині».
5. **AEAD-тунель** — увесь подальший трафік шифрується та автентифікується узгодженим AEAD-шифром.

Оскільки носієм є справжній TLS 1.3, а не його імітація, сесія зливається зі звичайним HTTPS без окремої обгортки, яку можна було б розпізнати за відбитком. Дивіться [Обхід брандмауера та обфускація](/firewall-bypass), щоб дізнатися, як це долає глибоку інспекцію пакетів.

```text
Client ── ephemeral X25519 pubkey ──▶ Server   (TLS 1.3 / TCP 443)
Client ◀── ephemeral X25519 pubkey ── Server
both:  ECDH → shared secret → HKDF → per-direction AEAD keys
data:  AEAD(ChaCha20-Poly1305 | AES-256-GCM) over genuine TLS 1.3
```

## Примітиви з першого погляду

| Функція | Примітив | Примітки |
| --- | --- | --- |
| Транспорт | TLS 1.3 через TCP/443 | Справжній, не імітований |
| Конфіденційність + цілісність | ChaCha20-Poly1305 / AES-256-GCM | AEAD; автентифікація для кожного пакета |
| Обмін ключами | Ефемерний Діффі-Геллман X25519 | Забезпечує пряму секретність |
| Виведення ключів | HKDF | Окремі ключі для напрямку/сесії |
| Автентифікація сервера | Ідентичність на основі публічного ключа | Запобігає «людині посередині» |
| Довжина симетричного ключа | 256-бітна | Надійний запас проти повного перебору |

## Чому саме такий вибір

- **Побудовано на TLS 1.3** — найбільш досліджений, широко розгорнутий захищений транспорт у світі; зниження до слабких застарілих шифрів неможливе.
- **AEAD замість старіших режимів** — однопрохідне автентифіковане шифрування усуває цілі класи атак на padding-oracle та підробку.
- **Два варіанти шифрів** — ChaCha20-Poly1305 тримає телефони без апаратного AES швидкими; AES-256-GCM використовує апаратне прискорення там, де воно є.
- **Ефемерний обмін ключами X25519** — швидкий, стійкий до атак сторонніми каналами та з прямою секретністю за задумом.
- **Без надлишкового шифрування** — уже зашифрований трафік (як-от HTTPS, який ви переглядаєте) переноситься ефективно без марнотратного другого шару масового шифрування, тримаючи тунель швидким.
- **Стандартні, добре проаналізовані примітиви** — SecurQbit віддає перевагу широко аудитованій криптографії над новими, неперевіреними схемами.

> **Note:** Шифрування захищає *те*, що ви надсилаєте; обфускація приховує *той факт*, що ви використовуєте VPN. Дивіться [Архітектуру безпеки](/architecture), щоб дізнатися, як ці рівні поєднуються.
