P2P zuerst. Relay bei Bedarf.
Der Sprachverkehr nimmt den kürzesten Pfad, den das Netzwerk zulässt. Wenn NAT oder Firewall-Richtlinien direkte Verbindungen blockieren, leitet ein passives Relay den Ciphertext zwischen den Endpunkten weiter — ohne je Schlüssel zu halten, ohne je die Nutzlast zu inspizieren.
Netzwerkarchitektur
P2P-Direktverbindung oder Server-Relay. So oder so: Der Server ist blind.
Modus A
P2P Direkt
Anrufer
Peer
Wenn NAT es zulässt. Niedrigste Latenz, niedrigste Kosten.
Modus B
Relay-Modus
Anrufer
Peer
Wenn Netzwerke P2P blockieren. Das Relay leitet nur Ciphertext weiter.
Der Server hält niemals Schlüssel
Endpoints leiten das Session-Secret ab
ML-KEM-1024 + AES-GCM
Gleiche Krypto in beiden Modi
Automatische Auswahl
Versucht zuerst P2P, fällt elegant zurück
Das Relay ist ein passiver Paketweiterleiter. Es kann den Ciphertext-Stream weder lesen, verändern noch wiederholen — auch nicht unter Zwang.
Mechanik des NAT-Traversal
Die meisten Heim- und Unternehmensnetzwerke liegen hinter NAT oder strikten Firewalls, die eingehendes UDP blockieren. Unser Client prüft die Erreichbarkeit der Gegenstelle per Candidate-Gathering nach ICE-Muster und öffnet einen direkten Pfad, sobald beide Endpunkte erreichbar sind.
- Candidate-Gathering über Host-, Server-Reflexive- und Relayed-Transporte
- Erkennung von symmetrischem NAT fällt automatisch auf das Relay zurück
- Keine externe STUN-Abhängigkeit bei operatorkontrollierten Deployments
Fallback-Logik
Die Sitzung handelt stets denselben Post-Quanten-Schlüssel aus. Der Netzwerkmodus wird nach Erreichbarkeit gewählt, nicht nach Vertrauen: Schlägt P2P fehl, übernimmt das Relay innerhalb desselben RTT-Budgets. Die kryptographische Hülle ändert sich nicht.
- P2P-Versuchsfenster: ≤ 800 ms, bevor das Relay eingeschaltet wird
- Wechsel während des Anrufs unterstützt, wenn sich die Netzwerkbedingungen ändern
- Dasselbe ML-KEM-1024-Sitzungsgeheimnis in beiden Modi
Keine Speicherung von Metadaten
Das Relay leitet Pakete weiter und verwirft sie. Keine Call Detail Records, keine Protokolle zur Anrufdauer, keine Teilnehmergraphen. Der einzige gehaltene Zustand ist das kurzlebige NAT-Mapping, das zum Routen des nächsten Pakets erforderlich ist.
- Keine CDRs, keine Abrechnungsprotokolle pro Anruf, kein gespeicherter Teilnehmergraph
- Paket-Metadaten nur für die Lebensdauer des NAT-Mappings gehalten
- Vom Betreiber deploybar: Das Relay kann in Ihrem eigenen Rechenzentrum laufen
Benötigen Sie ein privates Relay-Deployment?
Air-gapped, souverän, on-premise — Ihre Operatoren, Ihr Netzwerk, Ihre Control Plane.
Architektur-Brief anfordern