Rete Sovrana

VPN Post-Quantum

VPN propriétaire avec handshake post-quantique hybride. Propriété et contrôle totaux par le client. Aucun tiers dans le parcours des clés. Architecture compatible avec HTTP/3 + MASQUE.

ML-KEM-1024 + X25519HTTP/3 MASQUESovereign Key ControlEU Supply Chain

Handshake hybride PQ + classique

Le handshake combine ML-KEM-1024 (FIPS 203) avec X25519 via HKDF-SHA-256. Même si l'une des deux primitives est cassée à l'avenir, les sessions restent sécurisées. Protection contre les attaques harvest-now-decrypt-later.

  • ML-KEM-1024 : sécurité PQ 256 bits
  • X25519 : sécurité classique 128 bits en fallback
  • Combineur HKDF-SHA-256 pour la clé pré-partagée dérivée

Le client, propriétaire des clés

Le VPN BCrypto ne gère jamais les clés du client. Le KMS souverain s'exécute dans l'infrastructure de l'organisation. Audit complet du cycle de vie des clés, politique de rotation configurable, ZK-attestation prouvant que les clés n'ont jamais quitté l'enclave.

  • Stockage de clés en HSM ou lié au TPM en option
  • Rotation configurable (horaire → mensuelle)
  • Journal d'audit signé de chaque opération sur les clés

Trasporto HTTP/3 + MASQUE

Le datapath utilise HTTP/3 avec MASQUE (RFC 9298) pour le proxying UDP. Indiscernable du trafic web ordinaire, résistant au DPI et à la censure. Optimisé pour la latence : handshake 1-RTT avec ML-KEM.

  • Transport natif QUIC (aucun fallback TCP nécessaire)
  • MASQUE-on-HTTP/3 pour l'encapsulation UDP
  • Connexions résilientes au changement de réseau (multipath)
ANTI-DEEPFAKE TOUJOURS ACTIF · APPELS CHIFFRÉS ET NON CHIFFRÉS · ZÉRO DONNÉE TRANSMISE · SOVEREIGN OPERATIONS · POST-QUANTUM ML-KEM-1024 · 3 BREVETS DÉPOSÉS
ANTI-DEEPFAKE TOUJOURS ACTIF · APPELS CHIFFRÉS ET NON CHIFFRÉS · ZÉRO DONNÉE TRANSMISE · SOVEREIGN OPERATIONS · POST-QUANTUM ML-KEM-1024 · 3 BREVETS DÉPOSÉS