PQC KHEPRA MCP Server
officielServeur MCP KHEPRA badge smithery Registre MCP Licence Conteneur PQC Moteur de conformité souveraine avec 36 195 correspondances STIG/CCI/NIST/CMMC. Déconnectable. Zéro coût de jeton. Exécutez ert_scan → obtenez un rapport Godfather avec impact commercial libellé en dollars. Le seul serveur de conformité MCP qui fonctionne sur votre matériel — avec le premier STIG PQC du DoD intégré. PQC-01-STIG-V1R1 — Livre blanc complet → 17 contrôles couvrant CNSA 2.0, FIPS 203/204/205 et l'avis de sécurité MCP de la NSA de mai 2026. Le premier STIG de cryptographie post-quantique de style DoD au monde, incluant les premiers contrôles PQC pour l'IA agentique et les déploiements MCP.
Documentation
Serveur MCP KHEPRA
Moteur de conformité souverain avec 36 195 correspondances STIG/CCI/NIST/CMMC. 72 outils. v2.0.0.
Fonctionne en air-gap. Zéro coût de jeton. Lancez ert_scan → obtenez un Rapport Godfather avec impact métier chiffré en dollars.
Le seul serveur MCP de conformité qui tourne sur votre propre matériel — avec le Premier STIG PQC du DoD au monde intégré.
PQC-01-STIG-V1R1 — Livre blanc complet →
17 contrôles couvrant CNSA 2.0, FIPS 203/204/205 et l'avis de sécurité MCP de la NSA de mai 2026.
Le premier STIG de cryptographie post-quantique de type DoD au monde, incluant les premiers contrôles PQC pour l'IA agentique et les déploiements MCP.
Point de terminaison hébergé en direct :
https://mcp.souhimbou.ai/sse— zéro installation, connexion en 30 secondes.
Auto-hébergement pour mode souverain/air-gap : Docker ou binaire.
Niveaux
| Niveau | Clé de licence | Outils | Télémétrie | Trafic sortant |
|---|---|---|---|---|
| Communauté | ❌ Non requise | pqc_stig + 12 outils de base | Dark Crypto Intel (opt-in) | Zéro (mode souverain) |
| Souverain | ✅ Requise | Tous les 72 outils | Zéro | Zéro |
| Pharaoh | ✅ Requise | Tous les 72 outils + support prioritaire + SLA | Zéro | Zéro |
Le niveau Communauté est gratuit. Lancez
pqc_stigpour évaluer la préparation quantique de votre projet par rapport au
PQC-01-STIG-V1R1 — le premier STIG de cryptographie post-quantique de type DoD au monde — aucune clé de licence nécessaire.
Ce qu'il fait
KHEPRA MCP connecte votre assistant IA directement à un moteur de conformité renforcé. Demandez à Claude ou à tout client MCP d'analyser un système, de mapper les résultats aux contrôles STIG/NIST/CMMC et de générer un rapport de risque prêt pour la direction — le tout sans envoyer de données à des API externes.
Capacités clés :
- 36 195 correspondances STIG/CCI/NIST 800-53/800-171/CMMC (hors ligne, intégrées)
- Attestation cryptographique post-quantique à chaque appel d'outil (ML-DSA-65 / FIPS 204)
- Premier STIG PQC du DoD au monde — 17 contrôles couvrant CNSA 2.0 / FIPS 203/204/205 + IA agentique / MCP (PQC-01-STIG-V1R1)
- Rapport Godfather : impact métier chiffré en dollars par résultat (modèle FAIR)
- Compatible air-gap et SCIF — les modes souverain/ironbank n'effectuent aucun appel sortant
- Licence annuelle forfaitaire — pas de frais par jeton ou par requête
- Fonctionne sur votre matériel : sur site, DoD, IC, environnements classifiés
Démarrage rapide — Point de terminaison hébergé (Zéro installation)
Le chemin le plus rapide vers un outil de conformité opérationnel dans votre client IA. Pas de Docker, pas de binaire, pas de compilation :
{
"mcpServers": {
"khepra": {
"command": "npx",
"args": ["-y", "mcp-remote", "https://mcp.souhimbou.ai/sse"]
}
}
}
Ou si votre client prend en charge le transport SSE natif :
https://mcp.souhimbou.ai/sse
Vérification de l'état : https://mcp.souhimbou.ai/mcp/v1/health
Note sur les données : Le point de terminaison hébergé fonctionne en mode
edge— le DAG est en mémoire et éphémère. Pour des pistes d'audit persistantes et signées et un déploiement air-gap, utilisez les options auto-hébergées ci-dessous.
Installation auto-hébergée
Pour un déploiement souverain/air-gap : Docker (recommandé, aucune compilation requise) ou binaire compilé (démarrage le plus rapide, prêt pour SCIF). Les deux prennent en charge les mêmes variables d'environnement et tous les clients MCP.
Choisissez votre voie :
| Méthode | Idéal pour | Démarrage |
|---|---|---|
| Point de terminaison hébergé | Démarrage le plus rapide, outils cloud | Instantané |
| Docker | La plupart des utilisateurs, auto-hébergement le plus simple | ~2s |
| Binaire compilé | Air-gap, SCIF, performance | ~300ms |
Option A : Docker (Recommandé)
Nécessite Docker Desktop ou Docker Engine. L'image est pré-construite et contient la base de données de conformité complète — aucun téléchargement supplémentaire en mode souverain.
# Pull once
docker pull ghcr.io/nouchix/pqc-khepra-mcp:latest
# Test it (should print the initialize response and exit)
echo '{"jsonrpc":"2.0","method":"initialize","params":{"protocolVersion":"2025-11-25","capabilities":{},"clientInfo":{"name":"test","version":"1.0"}},"id":0}' \
| docker run --rm -i -e KHEPRA_MODE=sovereign ghcr.io/nouchix/pqc-khepra-mcp:latest
Option B : Binaire compilé
Nécessite Go 1.21+ pour la compilation, ou téléchargez une version pré-compilée depuis GitHub Releases.
git clone https://github.com/nouchix/PQC-Khepra-MCP.git
cd PQC-Khepra-MCP
# Build (cross-compile for your OS)
go build -o khepra-mcp ./cmd/khepra-mcp # Linux / macOS
go build -o khepra-mcp.exe ./cmd/khepra-mcp # Windows
# Test the binary
echo '{"jsonrpc":"2.0","method":"initialize","params":{"protocolVersion":"2025-11-25","capabilities":{},"clientInfo":{"name":"test","version":"1.0"}},"id":0}' \
| KHEPRA_MODE=sovereign ./khepra-mcp
Windows — en utilisant le lanceur batch
Le dépôt fournit un lanceur run-mcp.bat pour Windows. Il utilise le binaire pré-compilé (voie rapide) et se replie automatiquement sur go run :
:: run-mcp.bat is already in the repo at the root of PQC-Khepra-MCP
:: Point your MCP client to: cmd /c C:\path\to\PQC-Khepra-MCP\run-mcp.bat
Ajout à votre client IA
Claude Desktop
Emplacement du fichier de configuration :
- macOS :
~/Library/Application Support/Claude/claude_desktop_config.json - Windows :
%APPDATA%\Claude\claude_desktop_config.json - Linux :
~/.config/Claude/claude_desktop_config.json
Niveau Communauté — Docker (macOS / Linux)
{
"mcpServers": {
"khepra": {
"command": "docker",
"args": [
"run", "--rm", "-i",
"-e", "KHEPRA_MODE=sovereign",
"-v", "/var/lib/khepra:/var/lib/khepra",
"ghcr.io/nouchix/pqc-khepra-mcp:latest"
]
}
}
}
Niveau Communauté — Docker (Windows)
{
"mcpServers": {
"khepra": {
"command": "docker",
"args": [
"run", "--rm", "-i",
"-e", "KHEPRA_MODE=sovereign",
"-v", "C:\\Users\\YourName\\.khepra:/var/lib/khepra",
"ghcr.io/nouchix/pqc-khepra-mcp:latest"
]
}
}
}
Niveau Communauté — Binaire (Windows, démarrage le plus rapide)
{
"mcpServers": {
"khepra": {
"command": "C:\\path\\to\\PQC-Khepra-MCP\\khepra-mcp.exe",
"args": [],
"env": {
"KHEPRA_MODE": "sovereign",
"KHEPRA_NETWORK_POLICY": "lan",
"MCP_PQC_ENABLED": "true",
"KHEPRA_MANIFEST_PATH": "C:\\path\\to\\PQC-Khepra-MCP\\manifest.json"
}
}
}
}
Niveau Communauté — Binaire via lanceur batch (Windows)
{
"mcpServers": {
"khepra": {
"command": "cmd",
"args": ["/c", "C:\\path\\to\\PQC-Khepra-MCP\\run-mcp.bat"],
"env": {
"KHEPRA_MODE": "sovereign",
"KHEPRA_NETWORK_POLICY": "lan",
"MCP_PQC_ENABLED": "true"
}
}
}
}
Niveau Souverain / Pharaoh (avec clé de licence)
{
"mcpServers": {
"khepra": {
"command": "docker",
"args": [
"run", "--rm", "-i",
"-e", "KHEPRA_LICENSE_KEY",
"-e", "KHEPRA_MODE=sovereign",
"-v", "/var/lib/khepra:/var/lib/khepra",
"-v", "/var/log/khepra:/var/log/khepra",
"ghcr.io/nouchix/pqc-khepra-mcp:latest"
],
"env": {
"KHEPRA_LICENSE_KEY": "YOUR_LICENSE_KEY_HERE"
}
}
}
}
Après modification, redémarrez Claude Desktop. Vérifiez dans Paramètres → Développeur — vous devriez voir khepra avec le statut en cours d'exécution et tous les outils listés.
Cursor
Fichier de configuration : .cursor/mcp.json à la racine de votre projet, ou ~/.cursor/mcp.json globalement.
Docker (macOS / Linux)
{
"servers": {
"khepra": {
"type": "stdio",
"command": "docker",
"args": [
"run", "--rm", "-i",
"-e", "KHEPRA_MODE=sovereign",
"-v", "/var/lib/khepra:/var/lib/khepra",
"ghcr.io/nouchix/pqc-khepra-mcp:latest"
]
}
}
}
Binaire (macOS / Linux)
{
"servers": {
"khepra": {
"type": "stdio",
"command": "/path/to/khepra-mcp",
"args": [],
"env": {
"KHEPRA_MODE": "sovereign",
"KHEPRA_MANIFEST_PATH": "/path/to/PQC-Khepra-MCP/manifest.json"
}
}
}
}
Binaire (Windows)
{
"servers": {
"khepra": {
"type": "stdio",
"command": "C:\\path\\to\\PQC-Khepra-MCP\\khepra-mcp.exe",
"args": [],
"env": {
"KHEPRA_MODE": "sovereign",
"KHEPRA_MANIFEST_PATH": "C:\\path\\to\\PQC-Khepra-MCP\\manifest.json"
}
}
}
}
VS Code (avec l'extension GitHub Copilot ou Cline)
Fichier de configuration : .vscode/mcp.json dans votre projet, ou paramètres utilisateur.
{
"servers": {
"khepra": {
"type": "stdio",
"command": "docker",
"args": [
"run", "--rm", "-i",
"-e", "KHEPRA_MODE=sovereign",
"-v", "${env:HOME}/.khepra:/var/lib/khepra",
"ghcr.io/nouchix/pqc-khepra-mcp:latest"
]
}
}
}
Ou via les paramètres utilisateur settings.json pour l'extension Cline :
{
"cline.mcpServers": {
"khepra": {
"command": "docker",
"args": [
"run", "--rm", "-i",
"-e", "KHEPRA_MODE=sovereign",
"ghcr.io/nouchix/pqc-khepra-mcp:latest"
]
}
}
}
Windsurf
Fichier de configuration : ~/.codeium/windsurf/mcp_config.json
{
"mcpServers": {
"khepra": {
"command": "docker",
"args": [
"run", "--rm", "-i",
"-e", "KHEPRA_MODE=sovereign",
"-v", "/var/lib/khepra:/var/lib/khepra",
"ghcr.io/nouchix/pqc-khepra-mcp:latest"
]
}
}
}
Continue.dev
Fichier de configuration : ~/.continue/config.json — ajoutez au tableau experimental.modelContextProtocolServers :
{
"experimental": {
"modelContextProtocolServers": [
{
"name": "khepra",
"transport": {
"type": "stdio",
"command": "docker",
"args": [
"run", "--rm", "-i",
"-e", "KHEPRA_MODE=sovereign",
"ghcr.io/nouchix/pqc-khepra-mcp:latest"
]
}
}
]
}
}
Outils IA Cloud / SaaS (Claude.ai, ChatGPT, Gemini, etc.)
Utilisez le point de terminaison hébergé en direct sur mcp.souhimbou.ai — aucune configuration requise :
Option 1 — Point de terminaison hébergé en direct (recommandé, zéro configuration)
{
"mcpServers": {
"khepra": {
"command": "npx",
"args": ["-y", "mcp-remote", "https://mcp.souhimbou.ai/sse"]
}
}
}
Ou URL SSE directe pour les outils qui l'acceptent :
https://mcp.souhimbou.ai/sse
| Outil Cloud | Où ajouter l'URL MCP |
|---|---|
| Claude.ai (Pro/Team) | Paramètres → Intégrations → Serveurs MCP |
| Cursor | .cursor/mcp.json → champ url |
| Assistants OpenAI | Champ API tools avec type: "mcp" |
| Glama.ai | Espace de travail → Serveurs MCP |
| Smithery.ai | Catalogue → Serveur auto-hébergé |
Option 2 — Proxy mcp-remote (binaire local derrière le pont)
Si vous avez besoin du mode souverain (zéro trafic sortant) proxyfié vers un outil cloud :
# Install once
npm install -g mcp-remote
# Bridge your local sovereign instance
KHEPRA_MODE=sovereign mcp-remote \
--server "docker run --rm -i -e KHEPRA_MODE=sovereign ghcr.io/nouchix/pqc-khepra-mcp:latest" \
--port 3000
# Point cloud tool to:
# http://localhost:3000/sse
Note de sécurité : En mode
sovereign/ironbank, KHEPRA n'effectue aucun appel sortant — seul le pont de connexion vers l'outil cloud transporte des données.
Option 3 — Smithery / Registre MCP (Niveau Communauté)
KHEPRA est listé sur Smithery.ai et le Registre MCP. Les outils cloud qui prennent en charge la découverte basée sur le registre peuvent l'installer directement :
Registry ID: io.github.nouchix/pqc-khepra-mcp
Validation — Testez votre installation
Exécutez ceci depuis votre terminal pour vérifier que le serveur répond correctement :
# Docker
echo '{"jsonrpc":"2.0","method":"tools/list","params":{},"id":1}' \
| docker run --rm -i -e KHEPRA_MODE=sovereign ghcr.io/nouchix/pqc-khepra-mcp:latest
# Binary (Linux / macOS)
echo '{"jsonrpc":"2.0","method":"tools/list","params":{},"id":1}' \
| KHEPRA_MODE=sovereign ./khepra-mcp
# Binary (Windows PowerShell)
'{"jsonrpc":"2.0","method":"tools/list","params":{},"id":1}' \
| & ".\khepra-mcp.exe"
Sortie attendue : une réponse JSON-RPC listant tous les outils disponibles. Si vous voyez "tools": [...] avec plus de 12 entrées — vous êtes connecté.
Validation complète du protocole (Windows)
# Runs the complete Claude Desktop handshake sequence and validates all responses
.\scripts\test-mcp-handshake.ps1 -BinaryPath ".\khepra-mcp.exe"
# Expected output:
# [PASS] initialize | protocolVersion=2025-11-25 | listChanged=False
# [PASS] tools/list | count=34
# TRL-10 READY - Server passes full Claude Desktop protocol validation
Outils MCP
Niveau Communauté (Gratuit — Aucune clé de licence)
pqc_stig — Premier STIG PQC du DoD au monde ⭐
Évalue un répertoire de code source par rapport au PQC-01-STIG-V1R1 : 12 contrôles couvrant l'approbation des algorithmes CNSA 2.0, la force des clés ML-DSA-65, l'encapsulation ML-KEM-768, la cryptographie hybride, le stockage des clés, l'implémentation en temps constant et les exigences de chaîne de certificats.
pqc_stig(scan_path?: string, profile?: "quick" | "full" | "executive")
Exemple : "Exécute pqc_stig sur mon projet et dis-moi si je suis conforme CNSA 2.0"
nist_map
Mappez les identifiants CCI ou les résultats STIG vers les contrôles NIST 800-53 Rev 5.
khepra_query_stig
Interrogez la base de données de conformité STIG/CCI/NIST/CMMC de 36 195 lignes par ID de contrôle.
dark_crypto_contribute (opt-in)
Contribuez à la télémétrie anonymisée des algorithmes cryptographiques au réseau de renseignement Dark Crypto IA SouHimBou. Aucune PII. Opt-in uniquement — ne se déclenche jamais sans invocation explicite.
Niveau Souverain / Pharaoh
ert_scan
Analyse des risques et menaces d'entreprise couvrant STIG, NIST 800-53, NIST 800-171, CMMC et FedRAMP. Retourne un Rapport Godfather avec impact métier chiffré en dollars.
ert_scan(target: string, frameworks?: string[], output_format?: "godfather" | "json" | "csv")
Exemple : "Exécute ert_scan sur /etc et génère un Rapport Godfather"
stig_check
Analyse de conformité automatisée RHEL-09-STIG-V1R3 sur un système en direct ou un chemin de configuration.
cmmc_assess
Évaluation complète CMMC Niveau 1, 2 ou 3 avec analyse des écarts et génération de POA&M.
godfather_report
Générez un Rapport Godfather exécutif à partir des résultats d'analyse précédents : 10 principales conclusions classées par exposition financière, ROI de remédiation et impact métier selon le modèle FAIR.
+ 20 outils supplémentaires
agent_record, dag_attestation, flight_export, khepra_get_dag_chain, nhi_inventory, acp_status, owasp_agent_assess, khepra_export_attestation, khepra_export_poam, khepra_get_compliance_score, ert_crypto, ert_readiness, stig_benchmark, ir_analysis, vuln_hunter, sbom_generate, threat_model, khepra_query_threat_intel, discover_assets, et plus.
Le Rapport Godfather
Contrairement aux scanners de conformité qui produisent un mur de CVE, KHEPRA traduit les résultats dans le langage qui intéresse les dirigeants :
Finding: RHEL-09-212030 — No FIPS-validated crypto on /etc/ssh
Severity: CAT I (HIGH)
Business Impact: $2.4M estimated breach exposure (FAIR model)
Remediation Cost: $800 (4 hours engineer time)
ROI: 3,000x
Chaque résultat inclut l'ID de contrôle, le mappage du cadre, l'impact métier en dollars, l'estimation du coût de remédiation et le ROI.
Modes de déploiement
| Mode | Air-Gap | Trafic sortant | Télémétrie | Cas d'usage |
|---|---|---|---|---|
sovereign | ✅ Oui | Zéro | Zéro | Sur site, SCIF, classifié (PAR DÉFAUT) |
ironbank | ✅ Oui | Zéro | Zéro | Production DoD/IC, FIPS uniquement |
hybrid | ❌ Non | LAN | Zéro | Coordination edge + cloud |
edge | ❌ Non | Illimité | Zéro | SaaS entièrement sans état |
Défini via la variable d'environnement KHEPRA_MODE. Les valeurs inconnues sont rejetées au démarrage et reviennent à sovereign (sécurité par défaut).
Variables d'environnement
| Variable | Requise | Par défaut | Description |
|---|---|---|---|
KHEPRA_LICENSE_KEY | Souverain/Pharaoh uniquement | — | Clé de licence. Le niveau Communauté fonctionne sans. Obtenez-la sur nouchix.com |
KHEPRA_MODE | Non | sovereign | Mode de déploiement : sovereign, ironbank, hybrid, edge |
KHEPRA_MANIFEST_PATH | Non | manifest.json | Chemin vers le fichier manifeste d'outils signé |
KHEPRA_HOME | Non | /var/lib/khepra | Répertoire des données et de la base de conformité |
KHEPRA_LOG_DIR | Non | /var/log/khepra | Répertoire des journaux |
KHEPRA_DAG_PATH | Non | ~/.khepra/dag | Chemin de stockage de la chaîne d'audit DAG |
KHEPRA_AUDIT_LOG_PATH | Non | ~/.khepra/audit.ndjson | Chemin du journal d'audit signé |
KHEPRA_MAX_CONCURRENT | Non | 5 | Nombre maximal d'appels d'outils simultanés par agent |
KHEPRA_NETWORK_POLICY | Non | lan | Portée réseau : lan, none, unrestricted |
MCP_PQC_ENABLED | Non | true | Activer l'attestation PQC ML-DSA-65 sur toutes les réponses |
Déploiement Air-Gap & SCIF
KHEPRA n'effectue aucun appel réseau externe en modes sovereign et ironbank :
- Licence validée hors ligne via le fichier
license.adinkheprasigné ML-DSA-65 - Bases de données de conformité (36 195 correspondances) intégrées au conteneur — aucun téléchargement externe
- Aucune télémétrie, aucun battement de cœur, aucun trafic sortant — vérifié au niveau de la couche transport
# Transfer image to air-gapped network
docker save ghcr.io/nouchix/pqc-khepra-mcp:latest | gzip > khepra-mcp.tar.gz
# On air-gapped host:
docker load < khepra-mcp.tar.gz
Note sur la télémétrie : L'outil
dark_crypto_contribute(niveau Communauté) envoie des données de télémétrie anonymisées sur les algorithmes cryptographiques au réseau de renseignement SouHimBou AI uniquement lorsqu'il est explicitement invoqué par l'utilisateur. Il n'est jamais déclenché automatiquement. En mode souverain/ironbank, tous les appels réseau sont bloqués au niveau de la couche transport, quoi qu'il arrive.
Couverture de conformité
| Cadre | Version | Correspondances |
|---|---|---|
| STIG (RHEL 9) | V1R3 | Analyse automatisée |
| NIST 800-53 | Rev 5 | 2 120 CCI |
| NIST 800-171 | Rev 2 | 320 contrôles |
| CMMC | Niveau 3 | Ensemble complet de pratiques |
| FedRAMP | High | Analyse de référence |
| PQC-01-STIG-V1R1 | V1R1 | 17 contrôles PQC (CNSA 2.0) |
| Total | Plus de 36 195 correspondances |
Licences
Licence annuelle forfaitaire — aucun frais par jeton ou par requête.
| Niveau | Coût | Clé de licence | Outils |
|---|---|---|---|
| Communauté | Gratuit | Non requise | pqc_stig + 12 outils de base |
| Souverain | Forfait annuel | Requise | Les 34 outils, air-gap, sur site |
| Pharaon | Forfait annuel | Requise | Les 34 outils + support prioritaire + SLA |
- Le niveau Communauté est gratuit à vie — contribuez à l'adoption open-source de la PQC
- Souverain/Pharaon : contactez [email protected] ou visitez nouchix.com
Sécurité
Signalement des vulnérabilités
N'ouvrez pas de ticket public pour les vulnérabilités de sécurité.
Signalez-les en privé via les Avis de sécurité GitHub ou par courriel à [email protected].
| SLA | Objectif |
|---|---|
| Accusé de réception | 24 heures |
| Évaluation initiale | 5 jours ouvrés |
| Correctif / atténuation (Critique) | 30 jours |
Nous acceptons les rapports chiffrés via PGP (keys/security_contact.asc) et les canaux post-quantiques (clés Dilithium / ML-DSA-65 dans keys/). Consultez SECURITY.md pour la politique de divulgation complète et la taxonomie des événements ASAF.
Posture de sécurité
Déploiement de cryptographie post-quantique avancée, isolation air-gap et mappages STIG complets — conçu en alignement direct avec les directives du Model Context Protocol de la NSA et de l'ASD.
Alignement de sécurité MCP NSA & ASD
La NSA et l'Australian Signals Directorate (ASD) ont publié des vecteurs de menace spécifiques pour les systèmes d'IA interagissant avec des environnements locaux. KHEPRA MCP est explicitement conçu pour atténuer chaque vecteur identifié :
| Exigence NSA/ASD | Implémentation KHEPRA |
|---|---|
| Validation cryptographique des réponses des outils | Signatures ML-DSA-65 (Dilithium) sur toutes les charges utiles JSON-RPC 2.0 |
| Validation et assainissement des entrées | Résistance à l'injection de paramètres via une validation stricte par schéma JSON |
| Principe du moindre privilège pour les informations d'identification | Jetons éphémères à courte durée de vie liés à des fenêtres d'exécution de tâches spécifiques |
| Journalisation d'audit complète | Événements infalsifiables compilés dans une structure DAG immuable |
| Limites de consommation des ressources | Limitation de débit + contre-pression pour les boucles de requêtes LLM |
| Barrières d'autorisation pour les actions sensibles | Barrière humaine pour les changements d'état destructeurs |
| Isolation de l'environnement | Exécution conteneurisée avec mode souverain à sortie réseau nulle |
| Intégrité de la chaîne d'approvisionnement logicielle | Épinglage de manifeste pour tous les outils et dépendances chargés |
| Réduction de l'exposition réseau | Capacité air-gap — transit internet nul en modes sovereign/ironbank |
| Résilience post-quantique | Piste DAG signée PQC protégeant contre la collecte maintenant, le déchiffrement plus tard |
Certifications de conformité
| Cadre | Statut | Couverture |
|---|---|---|
| CMMC Niveau 2 | ✅ | Automatise la collecte de preuves pour les domaines AU, CM, SI, SC |
| NIST SP 800-171 Rev 2 | ✅ | Journalisation, responsabilité, intégrité du système |
| NIST SP 800-53 Rev 5 | ✅ | Surveillance continue (AU-2, SI-4) |
| FIPS 203 (ML-KEM) | ✅ | Encapsulation de clé pour le transit sécurisé |
| FIPS 204 (ML-DSA) | ✅ | Signatures numériques pour l'authentification des charges utiles |
| Mandat NSM-10 PQC | ✅ | Conformité au Mémorandum de sécurité nationale 10 |
| DFARS 252.204-7012 | ✅ | Pistes médico-légales immuables pour le signalement des cyber-incidents |
| Directives de sécurité MCP de la NSA | ✅ | Mappage direct à toutes les atténuations de menaces publiées pour les agents IA |
Déploiement en direct — Périphérie physique
Fonctionne en continu sur du matériel de périphérie contraint depuis le 12 mai 2026 pour prouver son efficacité dans les environnements souverains :
- Matériel : Raspberry Pi 2 · 1 Go de RAM · 900 MHz ARM · Routeur Spectrum en direct
- Pod SCADA : STM32U585 / QRB2210 · Modbus TCP · MQTT · Zephyr RTOS 3.4+ · Vérification de signature Dilithium en direct
- Contrôles actifs : 3 ports ouverts sécurisés · 12 violations STIG détectées · Surveillance de l'intégrité des fichiers à 100 % (AIDE) · Fonctionnement continu 24/7
Validation académique
| Événement | Date | Institution |
|---|---|---|
| UAlbany AI Plus Symposium 2026 — "Protocole KHEPRA : Sécurité IA agentique résiliente quantique utilisant la cryptographie culturelle" | 7 mars 2026 | Institution NSA CAE-CDE · Plus de 200 participants |
| Vitrine de cybersécurité SUNY Albany — Première cérémonie de clé PQC sur un appareil de classe STM32 (Pod SCADA) | 12–13 mai 2026 | Démo en direct · Affiche d'architecture SCADA |
Brevet provisoire USPTO #73565085 — en instance.
🔒 Conteneurs Iron Bank en cours d'évaluation par la DISA.
À propos de NouchiX
Cabinet de conseil dirigé par des vétérans, traduisant les mandats CMMC, NIST et STIG en feuilles de route pour les dirigeants.
- Ventes / Général : [email protected]
- Support : [email protected]
- Site web : https://nouchix.com
- Téléphone : (518) 304-4450
Développé par SecRed Knowledge Inc. dba NouchiX, Albany, NY.