VIGIL MESH

Documentation

Modèle de sécurité

Chez VIGIL-MESH, il n'y a qu'une seule couche de chiffrement : la session entre deux machines EST une connexion QUIC de bout en bout — pas un tunnel superposé à un autre tunnel. Les vigies qui relaient le trafic sont structurellement aveugles : elles ne voient que des métadonnées opaques, jamais le contenu ni les clés. La révocation d'un membre est immédiate, et l'échange de clés est post-quantique dès la conception pour résister à un déchiffrement futur.

Une seule couche de chiffrement

La session qui relie deux machines n'est pas chiffrée « par-dessus » un transport : elle EST une connexion QUIC de bout en bout. Le chiffrement vient de TLS 1.3, l'authentification des pairs repose sur des clés publiques brutes Ed25519 (raw public keys, RFC 7250) — pas de chaîne de certificats à gérer — et l'établissement de clés utilise un échange hybride post-quantique X25519 + ML-KEM768.

Les VPN mesh classiques procèdent autrement : ils superposent un tunnel chiffré à l'intérieur d'un canal de secours, ce qui aboutit à un double chiffrement sur le chemin relayé — plus de surface, plus de coût, deux couches à faire vieillir ensemble. VIGIL n'a qu'une couche à sécuriser, et c'est la bonne : celle qui va vraiment d'un bout à l'autre.

Coupe d’un datagramme relayé : enveloppe porteur, session E2E, donnéesporteur (Vigie)session E2E — vos deux machinesvos donnéesla Vigie n'ouvre que l'enveloppe externe
Une seule enveloppe de bout en bout, pas un tunnel dans un tunnel : le chemin relayé ne rajoute pas de couche de chiffrement, il transporte la session QUIC telle quelle.

Le relais aveugle, par construction

L'aveuglement du relais n'est pas une promesse de bonne conduite, c'est une propriété structurelle : la vigie ne détient jamais les clés qui déchiffrent vos flux. Voici précisément ce que chaque acteur voit — et ne voit jamais.

ActeurVoitNe voit jamais
La vigieIdentifiants de flux et de groupe opaques, tailles de paquets, cadence, adresses IP de transportLe contenu, les clés, la carte réseau (netmap) en clair
Le contrôleurIdentités, policy, annuaire des membres et des réseauxLe contenu de vos flux de bout en bout

La conséquence est directe : la compromission complète d'une vigie ne livre que des métadonnées. Un attaquant qui prend une vigie ne peut ni forger une identité de nœud (il n'a pas les clés privées, qui ne quittent jamais leur machine), ni lire le trafic de bout en bout (il n'a pas les clés de session). Il observe des tailles et des cadences, rien de plus.

La diffusion aussi est chiffrée

Le multicast n'échappe pas à la règle. Chaque émetteur diffuse sous une clé d'émetteur (sender key) qui tourne à la révocation d'un membre, à sa reconnexion ou son redémarrage, et au plus tard toutes les 24 heures. La vigie réplique les paquets vers les récepteurs sans jamais pouvoir les lire.

Le modèle de confiance est dit honnêtement : la garantie porte sur l'authenticité au niveau du groupe. Tout membre autorisé peut émettre et déchiffrer les diffusions du groupe — c'est exactement le modèle d'un LAN physique, où quiconque est branché au commutateur partage le même domaine de diffusion.

Révocation immédiate

Retirer un membre ne consiste pas à attendre l'expiration d'un jeton. La révocation combine deux gestes immédiats : le retrait du membre de la carte réseau signée (netmap) diffusée par le contrôleur, et la rotation immédiate des clés de groupe encore utilisées.

Résultat : un membre révoqué ne peut plus établir de nouvelle session, et il ne déchiffre plus rien des diffusions postérieures à sa révocation. La coupure est effective au moment de la décision, pas au prochain cycle.

Post-quantique dès la conception

L'échange de clés des sessions QUIC est hybride X25519 + ML-KEM768. « Hybride » signifie que la clé de session dépend des deux mécanismes à la fois : elle reste sûre tant que l'un des deux tient. C'est une défense contre le scénario « harvest now, decrypt later » — un adversaire qui enregistre aujourd'hui du trafic chiffré dans l'espoir de le casser demain avec un ordinateur quantique.

L'implémentation de ML-KEM utilisée est une bibliothèque éprouvée, intégrée telle quelle — jamais une réécriture maison de la primitive cryptographique.

AttentionCe que nous ne prétendons pas

Lire ensuitePerformances : mesures et objectifs

In English

VIGIL-MESH has a single encryption layer: the session between two machines IS an end-to-end QUIC connection (TLS 1.3, raw Ed25519 public keys, hybrid post-quantum key exchange) — not a tunnel wrapped inside another tunnel.

Relays are structurally blind: a fully compromised relay yields only metadata — opaque flow identifiers, sizes, timing, transport IPs — never the content, the keys, or a forgeable node identity.

Key exchange is post-quantum from day one (X25519 + ML-KEM768). We are honest about scope: no independent security audit has been performed yet — an external audit is on the roadmap.