You signed in with another tab or window. Reload to refresh your session.You signed out in another tab or window. Reload to refresh your session.You switched accounts on another tab or window. Reload to refresh your session.Dismiss alert
Copy file name to clipboardExpand all lines: docs/ru/config/transport.md
+24-3Lines changed: 24 additions & 3 deletions
Display the source diff
Display the rich diff
Original file line number
Diff line number
Diff line change
@@ -314,6 +314,7 @@ x25519Kyber768Draft00
314
314
"maxClientVer": "",
315
315
"maxTimeDiff": 0,
316
316
"shortIds": ["", "0123456789abcdef"],
317
+
"mldsa65Seed": "",
317
318
"limitFallbackUpload": {
318
319
"afterBytes": 0,
319
320
"bytesPerSec": 0,
@@ -326,8 +327,9 @@ x25519Kyber768Draft00
326
327
},
327
328
"fingerprint": "chrome",
328
329
"serverName": "",
329
-
"publicKey": "",
330
+
"password": "",
330
331
"shortId": "",
332
+
"mldsa65Verify": "",
331
333
"spiderX": ""
332
334
}
333
335
```
@@ -400,6 +402,17 @@ Reality лишь модифицирует TLS, и для реализации н
400
402
401
403
Если содержит пустое значение, `shortId` клиента может быть пустым.
402
404
405
+
> `mldsa65Seed` : string
406
+
407
+
Только для сервера. Приватный ключ, применяемый для добавления к сертификату, выдаваемому клиенту Reality, дополнительной пост-квантовой подписи по схеме ML-DSA-65. Назначение — защитить соединение на случай появления квантового компьютера, способного взломать X25519: даже если пароль будет скомпрометирован, MITM-атака останется невозможной.
408
+
409
+
Сгенерировать пару ключей можно командой `xray mldsa65`. После того как приватный ключ внесён в конфигурацию сервера, подпись добавляется в расширение сертификата; на старые клиенты или клиенты без поддержки этой функции это не влияет.
410
+
411
+
После включения этой функции длина сертификата, возвращаемого целевым сервером (target), **обязательно** должна превышать 3500 байт. Пост-квантовая подпись увеличивает размер временного сертификата Reality; чтобы не создавать отличительную особенность, сертификат target тоже должен быть крупным. Проверить размер можно командой `xray tls ping example.com`.
412
+
Для полной пост-квантовой защиты сам target также должен поддерживать ключевой обмен X25519MLKEM768. Поддержку можно проверить той же командой, указанной выше.
413
+
414
+
> `limitFallbackUpload`/`limitFallbackDownload`
415
+
403
416
::: warning
404
417
Предупреждение: Лучшей практикой для REALITY всегда является использование сертификата из той же ASN, поэтому, скорее всего, вам эта функция не понадобится; только если вы вынуждены использовать сертификат CDN, можно рассмотреть включение этой функции, чтобы избежать превращения вашего сервера в узел для других.
405
418
@@ -457,9 +470,17 @@ Reality лишь модифицирует TLS, и для реализации н
457
470
458
471
0 также является четным числом, поэтому, если `shordIDs` сервера содержит пустое значение `""`, клиент также может быть пустым.
459
472
460
-
> `publicKey` : string
473
+
> `password` : string
474
+
475
+
Обязательный параметр: публичный ключ, соответствующий приватному ключу сервера. Генерируется командой
476
+
`./xray x25519 -i "серверный приватный ключ"`.
477
+
478
+
Ранее назывался `publicKey`, однако во избежание недоразумений переименован (формально это X25519-публичный ключ, но в концепции Reality он хранится у клиента и не должен публиковаться).
479
+
480
+
> `mldsa65Verify` : string
461
481
462
-
Обязательный параметр, открытый ключ, соответствующий закрытому ключу сервера. Генерируется с помощью команды `./xray x25519 -i "закрытый_ключ_сервера"`.
482
+
Необязательный параметр. Публичный ключ для проверки подписи ML-DSA-65.
483
+
Если поле не пустое, клиент будет использовать указанный ключ для валидации сертификата, возвращённого сервером. Подробности см. в описании параметра `"mldsa65Seed"`.
0 commit comments