Secria chystá vlastní VPN — co o ní zatím víme

Zatímco Surfshark nedávno představil vlastní protokol Dausos, další hráč v oblasti post-kvantově odolných VPN se připravuje na vstup na trh. Secria, dosud známá především jako poskytovatel post-kvantově zabezpečeného e-mailu, oznámila vlastní VPN službu. Finální produkt zatím není veřejně dostupný — oficiální web mluví o betě, která má dorazit „brzy“.

Co Secria zatím deklaruje

Na rozdíl od řady nových projektů, které zůstávají u obecných tvrzení o „kvantově bezpečné VPN“, Secria na své oficiální stránce už zveřejnila poměrně podrobný technický stack. A na papíře vypadá zajímavě.

Post-kvantová ochrana na všech vrstvách — Secria deklaruje post-kvantové zabezpečení nejen na úrovni samotného tunelu, ale napříč celým stackem: API transport, výměna klíčů, ověřování serveru, podepisování softwaru i DNS. Konkrétně to vypadá takto:

• Tunel: WireGuard doplněný o vrstvu Rosenpass, která přidává post-kvantovou výměnu klíčů pomocí algoritmů Classic McEliece a ML-KEM. Rosenpass běží paralelně s WireGuardem a periodicky rotuje jeho pre-shared key kvantově odolnými klíči.
• API transport: Hybridní PQ TLS kombinující X25519 s ML-KEM.
• Ověřování serveru: Ed25519 doplněné o ML-DSA.
• Podepisování softwaru: SLH-DSA (založené na SPHINCS+, hash-based post-kvantový podpis).
• DNS: Lokální Unbound resolver s validací DNSSEC — DNS dotazy se neposílají přes třetí stranu.

V tomto směru Secria nepůsobí jako projekt, který by zůstal jen u marketingového hesla. Technická specifikace je konkrétnější než to, co na svém webu uvádí řada zavedených VPN poskytovatelů.

RAM-only provoz — Všechny VPN klíče, logy a konfigurace žijí na tmpfs. Po vypnutí serveru nezbydou žádné stopy — žádné klíče, žádné logy, žádná forenzní data. Tento přístup používají i někteří velcí hráči (ExpressVPN, NordVPN), ale zdaleka ne všichni.

Volitelný multi-hop — Secria nabízí volitelné 3-hop routování napříč oddělenými jurisdikcemi, kde žádný jednotlivý server nezná zároveň identitu uživatele i cílovou destinaci. Důležité upřesnění: nejde o výchozí režim, ale o volitelnou funkci. Stránka Secria nepoužívá termín „onion routing“.

Kill switch na úrovni OS — Blokuje veškerý provoz při výpadku VPN tunelu. Žádné úniky, žádné WebRTC odhalení.

Ochrana proti „harvest now, decrypt later“ — Šifrování navržené tak, aby provoz zachycený dnes zůstal nečitelný i po příchodu kvantových počítačů. To je koneckonců hlavní důvod, proč post-kvantové VPN vůbec vznikají.

Platformy

Secria na svém webu uvádí plánované nativní aplikace pro iOS, Android, Windows, macOS a Linux. Nejde tedy o čistě mobilní projekt — desktopová podpora je součástí plánu od začátku.

Zero-logging přístup

Secria u svého e-mailového produktu staví na architektuře s nulovými znalostmi. U VPN používá přesnější termín: zero logging. Žádné časové značky připojení, žádné IP adresy, žádná data o provozu. Jak uvádí oficiální stránka: firma nemůže předat to, co nemá.

Jestli toto tvrzení bude možné ověřit nezávisle, ukáže teprve doba. U e-mailového produktu Secria zatím neprošla veřejně dostupným auditem třetí strany — bude zajímavé sledovat, jestli u VPN bude přístup k transparentnosti jiný.

Co sledovat před spuštěním

Pár otázek, na které budeme při spuštění hledat odpovědi:

Jurisdikce. Secria Mail sídlí v Delaware (USA). Platí to i pro VPN infrastrukturu? U služby zaměřené na soukromí je to relevantní bod — USA mají pravomoci typu National Security Letters, které jurisdikce jako Panama (NordVPN) nebo Švýcarsko (Proton) nemají.

Nezávislý audit. Na oficiální stránce Secria VPN se audit nezmiňuje. Bez auditu renomované firmy (Cure53, Securitum, Radically Open Security) zůstane „zero logging“ tvrzení jen deklarací. Surfshark u protokolu Dausos audit od Cure53 absolvoval — uvidíme, jestli Secria půjde stejnou cestou.

Otevřenost klienta. WireGuard i Rosenpass jsou open-source. Bude i samotná klientská aplikace Secria veřejně dostupná k revizi? U VPN zaměřené na soukromí je to důležitý signál důvěryhodnosti. ProtonVPN i Mullvad mají open-source klienty.

Serverová síť. Jaký rozsah nabídne Secria při oficiálním spuštění? Globální dostupnost je pro běžné použití VPN zásadní.

Secria vs. Surfshark Dausos: dvě různé strategie

Obě společnosti řeší stejný problém — post-kvantovou bezpečnost VPN — ale každá volí jiný přístup:

Surfshark Dausos vyvinul zcela nový proprietární protokol optimalizovaný pro jednotlivce a nechal ho auditovat od Cure53. Výhoda: plná kontrola nad implementací, dedikované tunely a ověřená bezpečnost na úrovni protokolu. Nevýhoda: uzavřený kód, komunita nemá možnost ho nezávisle prozkoumat.

Secria VPN transparentně sází na kombinaci existujících standardů (WireGuard + Rosenpass) a na svém webu zveřejňuje podrobný technický stack. Výhoda: využití prověřených open-source řešení s ambiciózní sadou doplňkových funkcí. Nevýhoda: bez nezávislého auditu celkové implementace zůstává reálná bezpečnost služby zatím neověřená.

Shrnutí

Secria VPN vypadá na papíře zajímavě — technická specifikace je nadprůměrně podrobná a architektura postavená na WireGuard + Rosenpass je obhajitelné rozhodnutí. Pro definitivní hodnocení je ale zatím brzy. Rozhodující bude, co přinese oficiální spuštění: zda dojde na nezávislý audit, jaká bude reálná dostupnost platforem a rozsah serverové sítě.

Post-kvantový závod v oblasti VPN očividně nabírá tempo a je dobře, že se ho účastní nejen etablovaní hráči, ale i menší projekty zaměřené na soukromí. Jakmile bude Secria VPN oficiálně dostupná, vrátíme se k ní s konkrétnějším hodnocením.

Zdroje:

• Secria.me — Post-Quantum Secure VPN
• Rosenpass — Post-quantum secure WireGuard extension
• WireGuard — Official documentation