VPN Post-Quantum
VPN proprietaria con handshake post-quantistico ibrido. Possesso e controllo totali dal cliente. Nessuna terza parte nel percorso delle chiavi. Architettura compatibile con HTTP/3 + MASQUE.
Handshake ibrido PQ + classico
L'handshake combina ML-KEM-1024 (FIPS 203) con X25519 tramite HKDF-SHA-256. Anche se in futuro una delle due primitive venisse compromessa, le sessioni restano sicure. Protezione contro gli attacchi harvest-now-decrypt-later.
- ML-KEM-1024: 256-bit security PQ
- X25519: 128-bit security classica come fallback
- Combiner HKDF-SHA-256 per la pre-shared key derivata
Cliente proprietario delle chiavi
La VPN BCrypto non gestisce mai le chiavi del cliente. Il KMS sovrano gira nell'infrastruttura dell'organizzazione. Audit completo del key lifecycle, rotation policy configurabile, ZK-attestation che le chiavi non hanno lasciato l'enclave.
- HSM o TPM-bound key storage opzionale
- Rotazione configurabile (oraria → mensile)
- Audit log firmato di ogni operazione chiave
Trasporto HTTP/3 + MASQUE
Il datapath usa HTTP/3 con MASQUE (RFC 9298) per UDP proxying. Indistinguibile da traffico web normale, resistente a DPI e censura. Latency-optimized: 1-RTT handshake con ML-KEM.
- Trasporto nativo QUIC (no fallback TCP necessario)
- MASQUE-on-HTTP/3 per l'incapsulamento UDP
- Connessioni resilienti al cambio di rete (multipath)