PQC KHEPRA MCP Server
chính thứcWe need to translate the given text from English to Vietnamese, preserving the name "PQC KHEPRA MCP Server" if it appears, but the instruction says "Do not include the name unless it appears in the source text." The source text starts with "KHEPRA MCP Server smithery badge MCP Registry License Container PQC ..." So the name "KHEPRA MCP Server" appears, but the full name "PQC KHEPRA MCP Server" is not exactly there. However, the directory item type is "MCP server" and the name to preserve is "PQC KHEPRA MCP Server". The source text has "KHEPRA MCP Server" and later "PQC" separately. I think we should preserve the exact name as given: "PQC KHEPRA MCP Server" if it appears. But it doesn't appear as a whole. The instruction says "Translate only the text inside <text>. Do not include the name unless it appears in the source text." So we
Tài liệu
Máy chủ PQC KHEPRA MCP
Công cụ tuân thủ chủ quyền với 36.195 ánh xạ STIG/CCI/NIST/CMMC. 72 công cụ. v2.0.0.
Có khả năng hoạt động trên mạng biệt lập. Không tốn phí token. Chạy ert_scan → nhận Báo cáo Godfather với tác động kinh doanh quy đổi bằng đô-la.
Máy chủ MCP tuân thủ duy nhất chạy trên chính phần cứng của bạn — tích hợp sẵn STIG PQC đầu tiên trên thế giới của Bộ Quốc phòng.
PQC-01-STIG-V1R1 — Sách trắng đầy đủ →
17 biện pháp kiểm soát bao gồm CNSA 2.0, FIPS 203/204/205 và tư vấn bảo mật MCP tháng 5 năm 2026 của NSA.
STIG Mật mã Hậu lượng tử kiểu Bộ Quốc phòng đầu tiên trên thế giới, bao gồm các biện pháp kiểm soát PQC đầu tiên cho AI tác tử và triển khai MCP.
Điểm cuối được lưu trữ trực tiếp:
https://mcp.souhimbou.ai/sse— không cần cài đặt, kết nối trong 30 giây.
Tự lưu trữ cho chế độ chủ quyền/biệt lập: Docker hoặc tệp nhị phân.
Các gói
| Gói | Khóa bản quyền | Công cụ | Đo lường từ xa | Kết nối ra ngoài |
|---|---|---|---|---|
| Cộng đồng | ❌ Không yêu cầu | pqc_stig + 12 công cụ cốt lõi | Tình báo Mật mã Tối (tự chọn tham gia) | Không (chế độ chủ quyền) |
| Chủ quyền | ✅ Yêu cầu | Tất cả 72 công cụ | Không | Không |
| Pharaoh | ✅ Yêu cầu | Tất cả 72 công cụ + hỗ trợ ưu tiên + SLA | Không | Không |
Gói Cộng đồng miễn phí. Chạy
pqc_stigđể đánh giá mức độ sẵn sàng lượng tử của dự án của bạn dựa trên
PQC-01-STIG-V1R1 — STIG Mật mã Hậu lượng tử kiểu Bộ Quốc phòng đầu tiên trên thế giới — không cần khóa bản quyền.
Chức năng
KHEPRA MCP kết nối trợ lý AI của bạn trực tiếp với một công cụ tuân thủ được tăng cường bảo mật. Yêu cầu Claude hoặc bất kỳ máy khách MCP nào quét hệ thống, ánh xạ các phát hiện sang các biện pháp kiểm soát STIG/NIST/CMMC và tạo báo cáo rủi ro sẵn sàng cho lãnh đạo — tất cả mà không cần gửi dữ liệu đến các API bên ngoài.
Các khả năng chính:
- 36.195 ánh xạ STIG/CCI/NIST 800-53/800-171/CMMC (ngoại tuyến, đóng gói sẵn)
- Chứng thực mật mã hậu lượng tử trên mỗi lần gọi công cụ (ML-DSA-65 / FIPS 204)
- STIG PQC đầu tiên trên thế giới của Bộ Quốc phòng — 17 biện pháp kiểm soát bao gồm CNSA 2.0 / FIPS 203/204/205 + AI tác tử / MCP (PQC-01-STIG-V1R1)
- Báo cáo Godfather: tác động kinh doanh quy đổi bằng đô-la cho mỗi phát hiện (mô hình FAIR)
- Tương thích mạng biệt lập và SCIF — chế độ chủ quyền/ironbank không thực hiện cuộc gọi ra ngoài
- Cấp phép thường niên phẳng — không tính phí theo token hoặc truy vấn
- Chạy trên chính phần cứng của bạn: tại chỗ, Bộ Quốc phòng, Cộng đồng Tình báo, môi trường mật
Bắt đầu nhanh — Điểm cuối được lưu trữ (Không cần cài đặt)
Con đường nhanh nhất để có công cụ tuân thủ trực tiếp trong máy khách AI của bạn. Không cần Docker, không cần tệp nhị phân, không cần build:
{
"mcpServers": {
"khepra": {
"command": "npx",
"args": ["-y", "mcp-remote", "https://mcp.souhimbou.ai/sse"]
}
}
}
Hoặc nếu máy khách của bạn hỗ trợ truyền tải SSE gốc:
https://mcp.souhimbou.ai/sse
Kiểm tra tình trạng: https://mcp.souhimbou.ai/mcp/v1/health
Lưu ý về dữ liệu: Điểm cuối được lưu trữ chạy ở chế độ
edge— DAG nằm trong bộ nhớ và tạm thời. Để có dấu vết kiểm toán được ký và triển khai mạng biệt lập bền vững, hãy sử dụng các tùy chọn tự lưu trữ bên dưới.
Cài đặt Tự lưu trữ
Dành cho triển khai chủ quyền/mạng biệt lập: Docker (khuyến nghị, không cần build) hoặc tệp nhị phân đã biên dịch (khởi động nhanh nhất, sẵn sàng cho SCIF). Cả hai đều hỗ trợ các biến môi trường giống nhau và tất cả các máy khách MCP.
Chọn con đường của bạn:
| Phương pháp | Phù hợp nhất | Khởi động |
|---|---|---|
| Điểm cuối được lưu trữ | Bắt đầu nhanh nhất, công cụ đám mây | Ngay lập tức |
| Docker | Hầu hết người dùng, tự lưu trữ dễ nhất | ~2 giây |
| Tệp nhị phân đã biên dịch | Mạng biệt lập, SCIF, hiệu suất | ~300ms |
Tùy chọn A: Docker (Khuyến nghị)
Yêu cầu Docker Desktop hoặc Docker Engine. Ảnh được build sẵn và chứa toàn bộ cơ sở dữ liệu tuân thủ — không cần tải xuống thêm ở chế độ chủ quyền.
# Pull once
docker pull ghcr.io/nouchix/pqc-khepra-mcp:latest
# Test it (should print the initialize response and exit)
echo '{"jsonrpc":"2.0","method":"initialize","params":{"protocolVersion":"2025-11-25","capabilities":{},"clientInfo":{"name":"test","version":"1.0"}},"id":0}' \
| docker run --rm -i -e KHEPRA_MODE=sovereign ghcr.io/nouchix/pqc-khepra-mcp:latest
Tùy chọn B: Tệp nhị phân đã biên dịch
Yêu cầu Go 1.21+ để build, hoặc tải xuống bản phát hành build sẵn từ GitHub Releases.
git clone https://github.com/nouchix/PQC-Khepra-MCP.git
cd PQC-Khepra-MCP
# Build (cross-compile for your OS)
go build -o khepra-mcp ./cmd/khepra-mcp # Linux / macOS
go build -o khepra-mcp.exe ./cmd/khepra-mcp # Windows
# Test the binary
echo '{"jsonrpc":"2.0","method":"initialize","params":{"protocolVersion":"2025-11-25","capabilities":{},"clientInfo":{"name":"test","version":"1.0"}},"id":0}' \
| KHEPRA_MODE=sovereign ./khepra-mcp
Windows — sử dụng trình khởi chạy batch
Kho lưu trữ đi kèm trình khởi chạy run-mcp.bat cho Windows. Nó sử dụng tệp nhị phân build sẵn (con đường nhanh) và tự động chuyển sang dùng go run:
:: run-mcp.bat is already in the repo at the root of PQC-Khepra-MCP
:: Point your MCP client to: cmd /c C:\path\to\PQC-Khepra-MCP\run-mcp.bat
Thêm vào Máy khách AI của bạn
Claude Desktop
Vị trí tệp cấu hình:
- macOS:
~/Library/Application Support/Claude/claude_desktop_config.json - Windows:
%APPDATA%\Claude\claude_desktop_config.json - Linux:
~/.config/Claude/claude_desktop_config.json
Gói Cộng đồng — Docker (macOS / Linux)
{
"mcpServers": {
"khepra": {
"command": "docker",
"args": [
"run", "--rm", "-i",
"-e", "KHEPRA_MODE=sovereign",
"-v", "/var/lib/khepra:/var/lib/khepra",
"ghcr.io/nouchix/pqc-khepra-mcp:latest"
]
}
}
}
Gói Cộng đồng — Docker (Windows)
{
"mcpServers": {
"khepra": {
"command": "docker",
"args": [
"run", "--rm", "-i",
"-e", "KHEPRA_MODE=sovereign",
"-v", "C:\\Users\\YourName\\.khepra:/var/lib/khepra",
"ghcr.io/nouchix/pqc-khepra-mcp:latest"
]
}
}
}
Gói Cộng đồng — Tệp nhị phân (Windows, khởi động nhanh nhất)
{
"mcpServers": {
"khepra": {
"command": "C:\\path\\to\\PQC-Khepra-MCP\\khepra-mcp.exe",
"args": [],
"env": {
"KHEPRA_MODE": "sovereign",
"KHEPRA_NETWORK_POLICY": "lan",
"MCP_PQC_ENABLED": "true",
"KHEPRA_MANIFEST_PATH": "C:\\path\\to\\PQC-Khepra-MCP\\manifest.json"
}
}
}
}
Gói Cộng đồng — Tệp nhị phân qua trình khởi chạy batch (Windows)
{
"mcpServers": {
"khepra": {
"command": "cmd",
"args": ["/c", "C:\\path\\to\\PQC-Khepra-MCP\\run-mcp.bat"],
"env": {
"KHEPRA_MODE": "sovereign",
"KHEPRA_NETWORK_POLICY": "lan",
"MCP_PQC_ENABLED": "true"
}
}
}
}
Gói Chủ quyền / Pharaoh (có khóa bản quyền)
{
"mcpServers": {
"khepra": {
"command": "docker",
"args": [
"run", "--rm", "-i",
"-e", "KHEPRA_LICENSE_KEY",
"-e", "KHEPRA_MODE=sovereign",
"-v", "/var/lib/khepra:/var/lib/khepra",
"-v", "/var/log/khepra:/var/log/khepra",
"ghcr.io/nouchix/pqc-khepra-mcp:latest"
],
"env": {
"KHEPRA_LICENSE_KEY": "YOUR_LICENSE_KEY_HERE"
}
}
}
}
Sau khi chỉnh sửa, khởi động lại Claude Desktop. Xác minh trong Cài đặt → Nhà phát triển — bạn sẽ thấy khepra với trạng thái đang chạy và tất cả các công cụ được liệt kê.
Cursor
Tệp cấu hình: .cursor/mcp.json trong thư mục gốc dự án của bạn, hoặc ~/.cursor/mcp.json toàn cục.
Docker (macOS / Linux)
{
"servers": {
"khepra": {
"type": "stdio",
"command": "docker",
"args": [
"run", "--rm", "-i",
"-e", "KHEPRA_MODE=sovereign",
"-v", "/var/lib/khepra:/var/lib/khepra",
"ghcr.io/nouchix/pqc-khepra-mcp:latest"
]
}
}
}
Tệp nhị phân (macOS / Linux)
{
"servers": {
"khepra": {
"type": "stdio",
"command": "/path/to/khepra-mcp",
"args": [],
"env": {
"KHEPRA_MODE": "sovereign",
"KHEPRA_MANIFEST_PATH": "/path/to/PQC-Khepra-MCP/manifest.json"
}
}
}
}
Tệp nhị phân (Windows)
{
"servers": {
"khepra": {
"type": "stdio",
"command": "C:\\path\\to\\PQC-Khepra-MCP\\khepra-mcp.exe",
"args": [],
"env": {
"KHEPRA_MODE": "sovereign",
"KHEPRA_MANIFEST_PATH": "C:\\path\\to\\PQC-Khepra-MCP\\manifest.json"
}
}
}
}
VS Code (với tiện ích mở rộng GitHub Copilot hoặc Cline)
Tệp cấu hình: .vscode/mcp.json trong dự án của bạn, hoặc cài đặt người dùng.
{
"servers": {
"khepra": {
"type": "stdio",
"command": "docker",
"args": [
"run", "--rm", "-i",
"-e", "KHEPRA_MODE=sovereign",
"-v", "${env:HOME}/.khepra:/var/lib/khepra",
"ghcr.io/nouchix/pqc-khepra-mcp:latest"
]
}
}
}
Hoặc qua settings.json người dùng cho tiện ích mở rộng Cline:
{
"cline.mcpServers": {
"khepra": {
"command": "docker",
"args": [
"run", "--rm", "-i",
"-e", "KHEPRA_MODE=sovereign",
"ghcr.io/nouchix/pqc-khepra-mcp:latest"
]
}
}
}
Windsurf
Tệp cấu hình: ~/.codeium/windsurf/mcp_config.json
{
"mcpServers": {
"khepra": {
"command": "docker",
"args": [
"run", "--rm", "-i",
"-e", "KHEPRA_MODE=sovereign",
"-v", "/var/lib/khepra:/var/lib/khepra",
"ghcr.io/nouchix/pqc-khepra-mcp:latest"
]
}
}
}
Continue.dev
Tệp cấu hình: ~/.continue/config.json — thêm vào mảng experimental.modelContextProtocolServers:
{
"experimental": {
"modelContextProtocolServers": [
{
"name": "khepra",
"transport": {
"type": "stdio",
"command": "docker",
"args": [
"run", "--rm", "-i",
"-e", "KHEPRA_MODE=sovereign",
"ghcr.io/nouchix/pqc-khepra-mcp:latest"
]
}
}
]
}
}
Công cụ AI Đám mây / SaaS (Claude.ai, ChatGPT, Gemini, v.v.)
Sử dụng điểm cuối được lưu trữ trực tiếp tại mcp.souhimbou.ai — không cần thiết lập:
Tùy chọn 1 — Điểm cuối được lưu trữ trực tiếp (khuyến nghị, không cần thiết lập)
{
"mcpServers": {
"khepra": {
"command": "npx",
"args": ["-y", "mcp-remote", "https://mcp.souhimbou.ai/sse"]
}
}
}
Hoặc URL SSE trực tiếp cho các công cụ chấp nhận nó:
https://mcp.souhimbou.ai/sse
| Công cụ Đám mây | Nơi thêm URL MCP |
|---|---|
| Claude.ai (Pro/Team) | Cài đặt → Tích hợp → Máy chủ MCP |
| Cursor | .cursor/mcp.json → trường url |
| OpenAI Assistants | Trường API tools với type: "mcp" |
| Glama.ai | Không gian làm việc → Máy chủ MCP |
| Smithery.ai | Danh mục → Máy chủ tự lưu trữ |
Tùy chọn 2 — Proxy mcp-remote (tệp nhị phân cục bộ phía sau cầu nối)
Nếu bạn cần chế độ chủ quyền (không kết nối ra ngoài) được ủy quyền tới một công cụ đám mây:
# Install once
npm install -g mcp-remote
# Bridge your local sovereign instance
KHEPRA_MODE=sovereign mcp-remote \
--server "docker run --rm -i -e KHEPRA_MODE=sovereign ghcr.io/nouchix/pqc-khepra-mcp:latest" \
--port 3000
# Point cloud tool to:
# http://localhost:3000/sse
Lưu ý bảo mật: Ở chế độ
sovereign/ironbank, KHEPRA không thực hiện cuộc gọi ra ngoài — chỉ kết nối cầu nối tới công cụ đám mây mang dữ liệu.
Tùy chọn 3 — Smithery / MCP Registry (Gói Cộng đồng)
KHEPRA được liệt kê trên Smithery.ai và MCP Registry. Các công cụ đám mây hỗ trợ khám phá dựa trên registry có thể cài đặt trực tiếp:
Registry ID: io.github.nouchix/pqc-khepra-mcp
Xác thực — Kiểm tra Cài đặt của bạn
Chạy lệnh này từ terminal của bạn để xác minh máy chủ phản hồi chính xác:
# Docker
echo '{"jsonrpc":"2.0","method":"tools/list","params":{},"id":1}' \
| docker run --rm -i -e KHEPRA_MODE=sovereign ghcr.io/nouchix/pqc-khepra-mcp:latest
# Binary (Linux / macOS)
echo '{"jsonrpc":"2.0","method":"tools/list","params":{},"id":1}' \
| KHEPRA_MODE=sovereign ./khepra-mcp
# Binary (Windows PowerShell)
'{"jsonrpc":"2.0","method":"tools/list","params":{},"id":1}' \
| & ".\khepra-mcp.exe"
Đầu ra mong đợi: một phản hồi JSON-RPC liệt kê tất cả các công cụ có sẵn. Nếu bạn thấy "tools": [...] với hơn 12 mục — bạn đã kết nối.
Xác thực giao thức đầy đủ (Windows)
# Runs the complete Claude Desktop handshake sequence and validates all responses
.\scripts\test-mcp-handshake.ps1 -BinaryPath ".\khepra-mcp.exe"
# Expected output:
# [PASS] initialize | protocolVersion=2025-11-25 | listChanged=False
# [PASS] tools/list | count=34
# TRL-10 READY - Server passes full Claude Desktop protocol validation
Công cụ MCP
Gói Cộng đồng (Miễn phí — Không cần Khóa bản quyền)
pqc_stig — STIG PQC đầu tiên trên thế giới của Bộ Quốc phòng ⭐
Đánh giá một thư mục mã nguồn dựa trên PQC-01-STIG-V1R1: 12 biện pháp kiểm soát bao gồm phê duyệt thuật toán CNSA 2.0, độ mạnh khóa ML-DSA-65, đóng gói ML-KEM-768, mật mã lai, lưu trữ khóa, triển khai thời gian hằng số và các yêu cầu chuỗi chứng chỉ.
pqc_stig(scan_path?: string, profile?: "quick" | "full" | "executive")
Ví dụ: "Chạy pqc_stig trên dự án của tôi và cho tôi biết liệu tôi có tuân thủ CNSA 2.0 không"
nist_map
Ánh xạ các định danh CCI hoặc phát hiện STIG sang các biện pháp kiểm soát NIST 800-53 Rev 5.
khepra_query_stig
Truy vấn cơ sở dữ liệu tuân thủ STIG/CCI/NIST/CMMC 36.195 hàng theo ID kiểm soát.
dark_crypto_contribute (tự chọn tham gia)
Đóng góp dữ liệu đo lường từ xa thuật toán mật mã ẩn danh vào Mạng lưới Tình báo Mật mã Tối SouHimBou AI. Không có PII. Chỉ tự chọn tham gia — không bao giờ kích hoạt nếu không có lệnh gọi rõ ràng.
Gói Chủ quyền / Pharaoh
ert_scan
Quét Rủi ro & Đe dọa Doanh nghiệp trên STIG, NIST 800-53, NIST 800-171, CMMC và FedRAMP. Trả về Báo cáo Godfather với tác động kinh doanh quy đổi bằng đô-la.
ert_scan(target: string, frameworks?: string[], output_format?: "godfather" | "json" | "csv")
Ví dụ: "Chạy ert_scan trên /etc và tạo Báo cáo Godfather"
stig_check
Quét tuân thủ RHEL-09-STIG-V1R3 tự động trên hệ thống trực tiếp hoặc đường dẫn cấu hình.
cmmc_assess
Đánh giá CMMC Cấp độ 1, 2 hoặc 3 đầy đủ với phân tích khoảng cách và tạo POA&M.
godfather_report
Tạo Báo cáo Godfather cho lãnh đạo từ kết quả quét trước đó: 10 phát hiện hàng đầu được xếp hạng theo mức độ rủi ro đô-la, ROI khắc phục và tác động kinh doanh mô hình FAIR.
+ 20 công cụ bổ sung
agent_record, dag_attestation, flight_export, khepra_get_dag_chain, nhi_inventory, acp_status, owasp_agent_assess, khepra_export_attestation, khepra_export_poam, khepra_get_compliance_score, ert_crypto, ert_readiness, stig_benchmark, ir_analysis, vuln_hunter, sbom_generate, threat_model, khepra_query_threat_intel, discover_assets, và hơn thế nữa.
Báo cáo Godfather
Không giống như các trình quét tuân thủ xuất ra một loạt CVE, KHEPRA chuyển các phát hiện thành ngôn ngữ mà các nhà lãnh đạo quan tâm:
Finding: RHEL-09-212030 — No FIPS-validated crypto on /etc/ssh
Severity: CAT I (HIGH)
Business Impact: $2.4M estimated breach exposure (FAIR model)
Remediation Cost: $800 (4 hours engineer time)
ROI: 3,000x
Mỗi phát hiện bao gồm ID kiểm soát, ánh xạ khung, tác động kinh doanh bằng đô-la, ước tính chi phí khắc phục và ROI.
Chế độ Triển khai
| Chế độ | Mạng biệt lập | Kết nối ra ngoài | Đo lường từ xa | Trường hợp sử dụng |
|---|---|---|---|---|
sovereign | ✅ Có | Không | Không | Tại chỗ, SCIF, mật (MẶC ĐỊNH) |
ironbank | ✅ Có | Không | Không | Sản xuất Bộ Quốc phòng/Cộng đồng Tình báo, chỉ FIPS |
hybrid | ❌ Không | LAN | Không | Phối hợp biên + đám mây |
edge | ❌ Không | Không giới hạn | Không | SaaS hoàn toàn phi trạng thái |
Đặt qua biến môi trường KHEPRA_MODE. Các giá trị không xác định bị từ chối khi khởi động và quay về sovereign (đóng khi lỗi).
Biến Môi trường
| Biến | Yêu cầu | Mặc định | Mô tả |
|---|---|---|---|
KHEPRA_LICENSE_KEY | Chỉ Chủ quyền/Pharaoh | — | Khóa bản quyền. Gói Cộng đồng chạy mà không cần. Lấy tại nouchix.com |
KHEPRA_MODE | Không | sovereign | Chế độ triển khai: sovereign, ironbank, hybrid, edge |
KHEPRA_MANIFEST_PATH | Không | manifest.json | Đường dẫn đến tệp kê khai công cụ đã ký |
KHEPRA_HOME | Không | /var/lib/khepra | Thư mục dữ liệu và cơ sở dữ liệu tuân thủ |
KHEPRA_LOG_DIR | Không | /var/log/khepra | Thư mục nhật ký |
KHEPRA_DAG_PATH | Không | ~/.khepra/dag | Đường dẫn lưu trữ chuỗi kiểm toán DAG |
KHEPRA_AUDIT_LOG_PATH | Không | ~/.khepra/audit.ndjson | Đường dẫn nhật ký kiểm toán đã ký |
KHEPRA_MAX_CONCURRENT | Không | 5 | Số lần gọi công cụ đồng thời tối đa cho mỗi tác tử |
KHEPRA_NETWORK_POLICY | Không | lan | Phạm vi mạng: lan, none, unrestricted |
MCP_PQC_ENABLED | Không | true | Bật chứng thực PQC ML-DSA-65 trên tất cả các phản hồi |
Triển khai Mạng biệt lập & SCIF
KHEPRA không thực hiện cuộc gọi mạng bên ngoài ở chế độ sovereign và ironbank:
- Bản quyền được xác thực ngoại tuyến qua tệp
license.adinkheprađã ký ML-DSA-65 - Cơ sở dữ liệu tuân thủ (36.195 ánh xạ) được đóng gói trong container — không tải xuống bên ngoài
- Không đo lường từ xa, không heartbeat, không kết nối ra ngoài — được xác minh ở tầng truyền tải
# Transfer image to air-gapped network
docker save ghcr.io/nouchix/pqc-khepra-mcp:latest | gzip > khepra-mcp.tar.gz
# On air-gapped host:
docker load < khepra-mcp.tar.gz
Lưu ý về đo lường từ xa: Công cụ
dark_crypto_contribute(Gói Cộng đồng) gửi dữ liệu đo lường từ xa thuật toán mật mã ẩn danh đến mạng lưới tình báo SouHimBou AI chỉ khi được người dùng gọi một cách rõ ràng. Nó không bao giờ được kích hoạt tự động. Ở chế độ chủ quyền/ironbank, tất cả các cuộc gọi mạng đều bị chặn ở tầng truyền tải bất kể thế nào.
Phạm vi Tuân thủ
| Khung | Phiên bản | Ánh xạ |
|---|---|---|
| STIG (RHEL 9) | V1R3 | Quét tự động |
| NIST 800-53 | Rev 5 | 2.120 CCI |
| NIST 800-171 | Rev 2 | 320 biện pháp kiểm soát |
| CMMC | Cấp độ 3 | Bộ thực hành đầy đủ |
| FedRAMP | Cao | Quét cơ sở |
| PQC-01-STIG-V1R1 | V1R1 | 17 biện pháp kiểm soát PQC (CNSA 2.0) |
| Tổng cộng | Hơn 36.195 ánh xạ |
Cấp phép
Cấp phép thường niên trọn gói — không tính phí theo token hay theo truy vấn.
| Bậc | Chi phí | Khóa cấp phép | Công cụ |
|---|---|---|---|
| Cộng đồng | Miễn phí | Không yêu cầu | pqc_stig + 12 công cụ cốt lõi |
| Sovereign | Phí thường niên trọn gói | Yêu cầu | Tất cả 34 công cụ, air-gap, on-prem |
| Pharaoh | Phí thường niên trọn gói | Yêu cầu | Tất cả 34 công cụ + hỗ trợ ưu tiên + SLA |
- Bậc Cộng đồng miễn phí vĩnh viễn — đóng góp vào việc áp dụng PQC mã nguồn mở
- Sovereign/Pharaoh: liên hệ [email protected] hoặc truy cập nouchix.com
Bảo mật
Báo cáo lỗ hổng
Không mở issue công khai cho các lỗ hổng bảo mật.
Báo cáo riêng tư qua GitHub Security Advisories hoặc email [email protected].
| SLA | Mục tiêu |
|---|---|
| Xác nhận | 24 giờ |
| Đánh giá ban đầu | 5 ngày làm việc |
| Bản vá / biện pháp giảm thiểu (Nghiêm trọng) | 30 ngày |
Chúng tôi chấp nhận báo cáo được mã hóa qua PGP (keys/security_contact.asc) và các kênh Hậu lượng tử (khóa Dilithium / ML-DSA-65 trong keys/). Xem SECURITY.md để biết chính sách tiết lộ đầy đủ và phân loại sự kiện ASAF.
Tư thế bảo mật
Triển khai mật mã hậu lượng tử tiên tiến, cách ly air-gap và ánh xạ STIG toàn diện — được xây dựng phù hợp trực tiếp với hướng dẫn Model Context Protocol của NSA & ASD.
Sự phù hợp bảo mật MCP của NSA & ASD
NSA và Cơ quan Tín hiệu Úc (ASD) đã công bố các vector đe dọa cụ thể cho các hệ thống AI tương tác với môi trường cục bộ. KHEPRA MCP được thiết kế rõ ràng để giảm thiểu mọi vector đã xác định:
| Yêu cầu NSA/ASD | Triển khai KHEPRA |
|---|---|
| Xác thực mật mã các phản hồi công cụ | Chữ ký ML-DSA-65 (Dilithium) trên tất cả payload JSON-RPC 2.0 |
| Xác thực đầu vào & làm sạch | Chống chèn tham số thông qua xác thực JSON Schema nghiêm ngặt |
| Nguyên tắc đặc quyền tối thiểu | Token tạm thời ngắn hạn gắn với các cửa sổ thực thi tác vụ cụ thể |
| Ghi nhật ký kiểm toán toàn diện | Sự kiện chống giả mạo được biên dịch thành cấu trúc DAG bất biến |
| Giới hạn tiêu thụ tài nguyên | Giới hạn tốc độ + áp lực ngược cho các vòng lặp yêu cầu LLM |
| Cổng ủy quyền cho hành động nhạy cảm | Cổng có sự can thiệp của con người cho các thay đổi trạng thái phá hủy |
| Cách ly môi trường | Thực thi container hóa với chế độ sovereign không ra ngoài |
| Tính toàn vẹn chuỗi cung ứng phần mềm | Ghim manifest cho tất cả công cụ và phụ thuộc đã tải |
| Giảm thiểu lộ diện mạng | Có khả năng air-gap — không truyền tải internet trong chế độ sovereign/ironbank |
| Khả năng phục hồi hậu lượng tử | Dấu vết DAG ký PQC bảo vệ chống lại thu thập-bây giờ-giải mã-sau |
Chứng nhận tuân thủ
| Khung | Trạng thái | Phạm vi |
|---|---|---|
| CMMC Cấp 2 | ✅ | Tự động thu thập bằng chứng cho các lĩnh vực AU, CM, SI, SC |
| NIST SP 800-171 Rev 2 | ✅ | Ghi nhật ký, trách nhiệm giải trình, tính toàn vẹn hệ thống |
| NIST SP 800-53 Rev 5 | ✅ | Giám sát liên tục (AU-2, SI-4) |
| FIPS 203 (ML-KEM) | ✅ | Đóng gói khóa cho truyền tải an toàn |
| FIPS 204 (ML-DSA) | ✅ | Chữ ký số cho xác thực payload |
| Ủy nhiệm PQC NSM-10 | ✅ | Tuân thủ Bản ghi nhớ An ninh Quốc gia 10 |
| DFARS 252.204-7012 | ✅ | Dấu vết pháp y bất biến cho báo cáo sự cố mạng |
| Hướng dẫn Bảo mật MCP của NSA | ✅ | Ánh xạ trực tiếp tới tất cả các biện pháp giảm thiểu đe dọa tác nhân AI đã công bố |
Triển khai thực tế — Biên vật lý
Chạy liên tục trên phần cứng biên hạn chế từ ngày 12 tháng 5 năm 2026 để chứng minh hiệu quả trong môi trường sovereign:
- Phần cứng: Raspberry Pi 2 · 1 GB RAM · 900 MHz ARM · Bộ định tuyến Spectrum trực tiếp
- SCADA Pod: STM32U585 / QRB2210 · Modbus TCP · MQTT · Zephyr RTOS 3.4+ · Xác minh chữ ký Dilithium trực tiếp
- Kiểm soát đang hoạt động: 3 cổng mở được bảo mật · 12 vi phạm STIG được phát hiện · 100% giám sát tính toàn vẹn tệp (AIDE) · Hoạt động liên tục 24/7
Xác nhận học thuật
| Sự kiện | Ngày | Tổ chức |
|---|---|---|
| Hội nghị chuyên đề UAlbany AI Plus 2026 — "Giao thức KHEPRA: Bảo mật AI Tác tử Kháng Lượng tử Sử dụng Mật mã Văn hóa" | Ngày 7 tháng 3 năm 2026 | Tổ chức NSA CAE-CDE · 200+ khán giả |
| Trình diễn An ninh mạng SUNY Albany — Lễ khóa PQC đầu tiên trên thiết bị lớp STM32 (SCADA Pod) | Ngày 12–13 tháng 5 năm 2026 | Demo trực tiếp · Poster kiến trúc SCADA |
Bằng sáng chế tạm thời USPTO #73565085 — đang chờ xử lý.
🔒 Container Iron Bank đang trong quy trình thẩm định DISA.
Về NouchiX
Công ty tư vấn do cựu chiến binh lãnh đạo, chuyển dịch các ủy nhiệm CMMC, NIST và STIG thành lộ trình điều hành.
- Kinh doanh / Chung: [email protected]
- Hỗ trợ: [email protected]
- Trang web: https://nouchix.com
- Điện thoại: (518) 304-4450
Được phát triển bởi SecRed Knowledge Inc. hoạt động dưới tên NouchiX, Albany, NY.