VPN Post-Quantum
VPN propriétaire avec handshake post-quantique hybride. Propriété et contrôle totaux par le client. Aucun tiers dans le parcours des clés. Architecture compatible avec HTTP/3 + MASQUE.
Handshake hybride PQ + classique
Le handshake combine ML-KEM-1024 (FIPS 203) avec X25519 via HKDF-SHA-256. Même si l'une des deux primitives est cassée à l'avenir, les sessions restent sécurisées. Protection contre les attaques harvest-now-decrypt-later.
- ML-KEM-1024 : sécurité PQ 256 bits
- X25519 : sécurité classique 128 bits en fallback
- Combineur HKDF-SHA-256 pour la clé pré-partagée dérivée
Le client, propriétaire des clés
Le VPN BCrypto ne gère jamais les clés du client. Le KMS souverain s'exécute dans l'infrastructure de l'organisation. Audit complet du cycle de vie des clés, politique de rotation configurable, ZK-attestation prouvant que les clés n'ont jamais quitté l'enclave.
- Stockage de clés en HSM ou lié au TPM en option
- Rotation configurable (horaire → mensuelle)
- Journal d'audit signé de chaque opération sur les clés
Trasporto HTTP/3 + MASQUE
Le datapath utilise HTTP/3 avec MASQUE (RFC 9298) pour le proxying UDP. Indiscernable du trafic web ordinaire, résistant au DPI et à la censure. Optimisé pour la latence : handshake 1-RTT avec ML-KEM.
- Transport natif QUIC (aucun fallback TCP nécessaire)
- MASQUE-on-HTTP/3 pour l'encapsulation UDP
- Connexions résilientes au changement de réseau (multipath)