# Kiến trúc bảo mật

Trang này mô tả cách SecurQbit được xây dựng để riêng tư và bền bỉ: hạ tầng máy chủ dễ bay hơi, vòng đời của một đường hầm, cách xử lý khóa, và một mô hình mối đe dọa trung thực về những gì một VPN có thể và không thể làm.

## Kiến trúc máy chủ

SecurQbit vận hành một mạng lưới máy chủ toàn cầu trên **bộ nhớ dễ bay hơi, chỉ dùng RAM**.

- **Không lưu trữ trên đĩa.** Hệ thống nạp vào bộ nhớ; không có gì về phiên của bạn được ghi vào đĩa. Một lần khởi động lại hoặc tắt nguồn sẽ xóa sạch mọi thứ. Xem [Không nhật ký & quyền riêng tư](/no-logs-privacy).
- **Không nhật ký hoạt động.** Không có lịch sử được lưu trữ nào để rò rỉ, tịch thu hay triệu tập.
- **Trạng thái phiên tạm thời.** Bảng định tuyến và khóa phiên chỉ tồn tại trong bộ nhớ trong suốt thời gian kết nối và bị tiêu hủy khi nó kết thúc.
- **Dấu chân tin cậy tối thiểu.** Một máy chủ bị xâm phạm hoặc bị tịch thu không cho ra hoạt động nào trong quá khứ, bởi vì không có gì được giữ lại.

## Vòng đời đường hầm

1. **Thiết lập.** Máy khách thực hiện trao đổi khóa có tính bí mật chuyển tiếp và thiết lập một đường hầm mã hóa AEAD. Xem [Mã hóa & giao thức](/encryption).
2. **Ngụy trang.** Đường hầm được bọc để trông như HTTPS thông thường nên DPI không thể nhận dạng nó. Xem [Vượt tường lửa & ngụy trang](/firewall-bypass).
3. **Vận hành.** Lưu lượng được mã hóa, xác thực theo từng gói, và định tuyến.
4. **Thích ứng.** Khi mạng thay đổi, máy khách tạo lại khóa và thiết lập lại đường hầm trước khi lưu lượng tiếp tục.
5. **Đóng kết nối.** Khi ngắt kết nối, các khóa tạm thời và trạng thái phiên bị loại bỏ ở cả hai đầu.

## Xử lý khóa

- **Khóa tạm thời** được tạo cho mỗi phiên và không bao giờ tái sử dụng.
- **Bí mật chuyển tiếp** đảm bảo các phiên đã qua không thể bị giải mã ngay cả khi một khóa trong tương lai bị lộ.
- **Không ký gửi khóa.** SecurQbit không giữ lại các khóa phiên sau khi đóng kết nối — và với máy chủ chỉ dùng RAM, không có nơi nào để chúng tồn tại.
- **Danh tính máy chủ** được xác thực trong quá trình bắt tay để ngăn các tấn công người-đứng-giữa.

## Mô hình mối đe dọa

Một VPN là một lớp phòng thủ, không phải một chiếc áo choàng thần kỳ. Rõ ràng về phạm vi là một phần của bảo mật tốt.

### SecurQbit bảo vệ chống lại điều gì

- **Nghe lén mạng cục bộ** — ISP của bạn, một khách sạn, một sân bay, hoặc bất kỳ ai trên cùng mạng Wi-Fi đều không thể đọc lưu lượng của bạn hay thấy bạn truy cập những trang nào.
- **Chặn VPN dựa trên DPI** — ngụy trang đánh bại kỹ thuật kiểm tra gói sâu vốn bóp băng thông hoặc chặn các VPN thông thường.
- **Lộ IP** — các điểm đến thấy IP của máy chủ, không phải của bạn.
- **Tiết lộ truy hồi** — không nhật ký và máy chủ chỉ dùng RAM nghĩa là không có gì để trao nộp sau này.

### Nó không bảo vệ chống lại điều gì

- **Điểm cuối bị xâm phạm.** Phần mềm độc hại, một keylogger, hoặc một ứng dụng thù địch trên chính thiết bị của bạn nhìn thấy hoạt động của bạn trước khi nó kịp vào đường hầm.
- **Định danh ở cấp tài khoản.** Nếu bạn đăng nhập vào một dịch vụ, dịch vụ đó biết đó là bạn bất kể VPN.
- **Lấy dấu vân tay trình duyệt và thiết bị.** Các trình theo dõi vẫn có thể lấy dấu vân tay trình duyệt của bạn; hãy kết hợp SecurQbit với các cài đặt trình duyệt tôn trọng quyền riêng tư.
- **Lừa đảo và tấn công phi kỹ thuật.** Một VPN không thể ngăn bạn nhập thông tin đăng nhập trên một trang giả mạo.
- **Loại trừ cấu hình sai.** Các ứng dụng bạn loại trừ qua [đường hầm phân tách](/split-tunneling) không được bảo vệ.

> **Lưu ý:** Quyền riêng tư mạnh mẽ được xếp thành nhiều lớp. Hãy dùng SecurQbit cùng với thói quen giữ thiết bị sạch sẽ, thực hành tài khoản cẩn trọng, và một trình duyệt coi trọng quyền riêng tư.

## Đọc thêm

- [Mã hóa & giao thức](/encryption) — các nguyên hàm mật mã.
- [Không nhật ký & quyền riêng tư](/no-logs-privacy) — dữ liệu mà chúng tôi cố tình không giữ.
