Transportschicht

P2P zuerst. Relay bei Bedarf.

Der Sprachverkehr nimmt den kürzesten Pfad, den das Netzwerk zulässt. Wenn NAT oder Firewall-Richtlinien direkte Verbindungen blockieren, leitet ein passives Relay den Ciphertext zwischen den Endpunkten weiter — ohne je Schlüssel zu halten, ohne je die Nutzlast zu inspizieren.

Mechanik des NAT-Traversal

Die meisten Heim- und Unternehmensnetzwerke liegen hinter NAT oder strikten Firewalls, die eingehendes UDP blockieren. Unser Client prüft die Erreichbarkeit der Gegenstelle per Candidate-Gathering nach ICE-Muster und öffnet einen direkten Pfad, sobald beide Endpunkte erreichbar sind.

  • Candidate-Gathering über Host-, Server-Reflexive- und Relayed-Transporte
  • Erkennung von symmetrischem NAT fällt automatisch auf das Relay zurück
  • Keine externe STUN-Abhängigkeit bei operatorkontrollierten Deployments

Fallback-Logik

Die Sitzung handelt stets denselben Post-Quanten-Schlüssel aus. Der Netzwerkmodus wird nach Erreichbarkeit gewählt, nicht nach Vertrauen: Schlägt P2P fehl, übernimmt das Relay innerhalb desselben RTT-Budgets. Die kryptographische Hülle ändert sich nicht.

  • P2P-Versuchsfenster: ≤ 800 ms, bevor das Relay eingeschaltet wird
  • Wechsel während des Anrufs unterstützt, wenn sich die Netzwerkbedingungen ändern
  • Dasselbe ML-KEM-1024-Sitzungsgeheimnis in beiden Modi

Keine Speicherung von Metadaten

Das Relay leitet Pakete weiter und verwirft sie. Keine Call Detail Records, keine Protokolle zur Anrufdauer, keine Teilnehmergraphen. Der einzige gehaltene Zustand ist das kurzlebige NAT-Mapping, das zum Routen des nächsten Pakets erforderlich ist.

  • Keine CDRs, keine Abrechnungsprotokolle pro Anruf, kein gespeicherter Teilnehmergraph
  • Paket-Metadaten nur für die Lebensdauer des NAT-Mappings gehalten
  • Vom Betreiber deploybar: Das Relay kann in Ihrem eigenen Rechenzentrum laufen

Benötigen Sie ein privates Relay-Deployment?

Air-gapped, souverän, on-premise — Ihre Operatoren, Ihr Netzwerk, Ihre Control Plane.

Architektur-Brief anfordern
IMMER AKTIVER ANTI-DEEPFAKE · VERSCHLÜSSELTE UND UNVERSCHLÜSSELTE ANRUFE · KEINE DATENÜBERTRAGUNG · SOVEREIGN OPERATIONS · POST-QUANTUM ML-KEM-1024 · 3 PATENTE ANGEMELDET
IMMER AKTIVER ANTI-DEEPFAKE · VERSCHLÜSSELTE UND UNVERSCHLÜSSELTE ANRUFE · KEINE DATENÜBERTRAGUNG · SOVEREIGN OPERATIONS · POST-QUANTUM ML-KEM-1024 · 3 PATENTE ANGEMELDET