Prima il P2P. Relay quando serve.
Il traffico voce percorre il cammino più breve consentito dalla rete. Quando NAT o policy firewall bloccano le connessioni dirette, un relay passivo inoltra il ciphertext tra gli endpoint — senza mai detenere chiavi, senza mai ispezionare il payload.
Architettura di rete
P2P diretto o server relay. In ogni caso, il server è cieco.
Modalità A
P2P Diretto
Chiamante
Peer
Quando il NAT lo consente. Latenza e costi minimi.
Modalità B
Modalità Relay
Chiamante
Peer
Quando le reti bloccano il P2P. Il relay inoltra solo ciphertext.
Il server non detiene mai le chiavi
Gli endpoint derivano il segreto di sessione
ML-KEM-1024 + AES-GCM
Stessa crittografia in entrambe le modalità
Selezione automatica
Prova prima il P2P, ricade in modo trasparente
Il relay è un inoltratore passivo di pacchetti. Non può leggere, modificare o ritrasmettere il flusso di ciphertext — nemmeno sotto coercizione.
Meccanica del NAT traversal
La maggior parte delle reti domestiche e aziendali si trova dietro NAT o firewall restrittivi che bloccano l'UDP in ingresso. Il nostro client sonda la raggiungibilità del peer con una raccolta di candidati in stile ICE, poi apre un percorso diretto quando entrambi gli endpoint sono raggiungibili.
- Raccolta candidati su trasporti host, server-reflexive e relayed
- Il rilevamento di NAT simmetrico ripiega automaticamente sul relay
- Nessuna dipendenza da STUN esterni nei deployment controllati dall'operatore
Logica di fallback
La sessione negozia sempre la stessa chiave post-quantistica. La modalità di rete è scelta in base alla raggiungibilità, non alla fiducia: se il P2P fallisce, il relay subentra entro lo stesso budget di RTT. L'involucro crittografico non cambia.
- Finestra di tentativo P2P: ≤ 800 ms prima dell'attivazione del relay
- Commutazione a metà chiamata supportata al variare delle condizioni di rete
- Stesso segreto di sessione ML-KEM-1024 in entrambe le modalità
Nessuna conservazione di metadati
Il relay inoltra i pacchetti e li scarta. Nessun call detail record, nessun log di durata delle chiamate, nessun grafo dei partecipanti. L'unico stato conservato è il mapping NAT a vita breve necessario per instradare il pacchetto successivo.
- Nessun CDR, nessun log di fatturazione per chiamata, nessun grafo dei partecipanti memorizzato
- Metadati dei pacchetti conservati solo per la durata del mapping NAT
- Deployment lato operatore: il relay può girare nel vostro datacenter
Serve un deployment relay privato?
Air-gapped, sovrano, on-premise — i vostri operatori, la vostra rete, il vostro control plane.
Richiedi il brief di architettura