GADNET - Bezpieczeństwo nowej generacji.
Wystarczy podłączyć, by chronić dom, rodzinę i biznes.
75% ataków IoT obserwowanych dziś celuje w routery domowe i małych firm — Zscaler ThreatLabz, 2025.
GADNET to cyfrowa tarcza dla Twojego domu i biura, która zmienia zwykłe WiFi w twierdzę. Chroni Twoją rodzinę i dzieci przed zagrożeniami z internetu oraz przestępcami. To nie jest kolejny router – to inteligentny strażnik, który rozdziela i izoluje urządzenia, zanim zagrożenie dotrze do Twoich danych. Domyślnie zakłada, że każde urządzenie w sieci może być przejęte — to właśnie znaczy „Zero Trust": żadnego zaufania z automatu, każde połączenie sprawdzane.
Dla specjalistów
Dla kogo?
Nowoczesne rodziny
- Izolacja urządzeń IoT / Smart Home
- Chromecast / AirPlay / HomeKit / Spotify Connect działają między strefami
- Kontrola rodzicielska i filtry treści
- Osobna sieć gościnna z limitami
Obrońcy prywatności
- Blokowanie śledzenia i telemetrii 24/7
- Szyfrowany DNS-over-HTTPS (DoH)
- Logi tylko lokalnie (bez chmury)
Mały biznes
- Separacja terminali płatniczych
- Bariery przeciwko ransomware
- Priorytet dla VoIP i wideokonferencji
Profesjonaliści
- Ochrona tajemnicy zawodowej/źródła
- Dostęp zdalny bez firm trzecich
- Niezaprzeczalne logi aktywności
Dlaczego GADNET?
Zero Trust domyślnie
Nowe urządzenia trafiają do izolacji, dopóki ich nie zatwierdzisz. Koniec z zasadą "kto w WiFi, ten widzi wszystko".
Dwuwarstwowy admin
Logujesz się kluczem sprzętowym lub odciskiem palca. Codzienny dostęp przez certyfikat urządzenia; WebAuthn dla recovery i z telefonu.
Prywatność wg RODO
Twoje dane zostają na urządzeniu. Jednym kliknięciem eksport i usuwanie dla dowolnego użytkownika — Art. 15 i 17 zaszyte w produkcie.
Usprawniona instalacja
Nagraj kartę SD balenaEtcher'em, podłącz — strona konfiguracji pojawi się sama. ~15 minut, jeśli masz już klucz FIDO2.
Open Source
Każda linia kodu jest jawna. Bez ukrytej telemetrii, bez zaciemniania, bez backdoorów — możesz sprawdzić sam(a).
Transparentny łańcuch dostaw
Każde wydanie zawiera pełną listę składników (SBOM) — jak etykieta na żywności. Gotowe na unijny Cyber Resilience Act (Rozporządzenie 2024/2847, główne wymogi od 11 grudnia 2027).
Ochrona dzieci
Blokowanie na poziomie DNS reklam, malware i treści dla dorosłych. Profile rodzicielskie per strefa, dopasowane do wieku.
Ochrona firmy
Rozdziel laptop służbowy, terminal POS i kamerę IoT do osobnych stref. Włamanie do jednej nie przeskoczy na inne.
Wewnętrzne CA
GADNET wystawia własne certyfikaty — dla panelu admina, dla każdego urządzenia, dla mTLS między usługami. Bez zewnętrznego CA.
TLS odporny na kwanty
Jutrzejsze komputery kwantowe złamią dzisiejsze szyfrowanie — ale sesje szyfrowane przez GADNET zostaną bezpieczne. Hybrydowe PQC jest domyślnie aktywne.
Aktywny monitoring zagrożeń
Detekcja skanowania portów oparta na regułach, sygnaturowe filtrowanie DNS (listy UT1 + RPZ) oraz wykrywanie anomalii w ruchu sieciowym oparte na ML (IsolationForest). Bez ogólników o "AI" — wprost co jest, a co nie jest uczeniem maszynowym.
Uniwersalny captive portal
Strona konfiguracji pojawia się sama — iPhone, Android, Windows, macOS. Tak jak hotelowe WiFi. Zgodne z RFC 8908.
Wielowarstwowy backup
Twoja konfiguracja trzymana w czterech miejscach: na karcie SD, w lokalnym snapshot'cie, na zdalnym serwerze SSH i w S3. Kryptograficznie podpisana.
Rejestracja przez QR
Zeskanuj kod QR nowym urządzeniem — gotowe. Bez wpisywania IP, bez kopiowania długich tokenów.
Mapa sieci na żywo
Zobacz każde podłączone urządzenie, jego strefę i to, z czym faktycznie się komunikuje. Na żywo, nie wieczorne snapshot'y.
Panel zagrożeń
Jeden wynik 0–100 plus lista co go obniżyło. Bez dyplomu z bezpieczeństwa zorientujesz się, czy coś jest nie tak.
Transparentne aktualizacje
Dziś ręczne `apk upgrade`, ze snapshotami Alpine LBU jako siatką bezpieczeństwa. Daemon auto-aktualizacji w roadmapie na v1.0.
Interfejs po polsku
Natywny interfejs po angielsku i polsku — panel admina, captive portal, komunikaty błędów. Kolejne języki mile widziane przez społeczność.
Wewnątrz panelu admina — szkielet nawigacji
Co jest faktycznie w środku, pogrupowane wg funkcji. Dokładne UI jeszcze ewoluuje w Phase B — to są obszary, które są dostępne dziś.
OVERVIEW
Co się dzieje teraz
- Dashboard
- Mapa sieci
- Aktywność i audyt
NETWORK
Co jest podłączone gdzie
- Urządzenia
- Strefy
- Konfiguracja WiFi
- Smart-home / mDNS
POLICY
Co może rozmawiać z czym
- Reguły połączeń
- Filtrowanie domen
- Sesje
IDENTITY & CRYPTO
Kto i jak chroniony
- Użytkownicy
- Klucze (WebAuthn)
- Certyfikaty
- Status PQC
- Odzyskiwanie i escrow
Jutrzejszy atak kwantowy — zablokowany dziś
Gdy pojawią się dostatecznie duże komputery kwantowe, będą w stanie złamać szyfrowanie, które dziś chroni internet. To znaczy, że dane wysyłane teraz — hasła, rozmowy, bankowość, dokumenty medyczne — mogą zostać nagrane dziś przez kogoś i odszyfrowane za 10–20 lat, gdy taki sprzęt się pojawi. GADNET używa **odpornych na komputery kwantowe algorytmów już dziś**, równolegle do klasycznych. Twoje sesje są bezpieczne nawet jeśli ktoś nagrywa je teraz, czekając na jutrzejszy sprzęt.
Dla specjalistów
X25519MLKEM768 (IANA codepoint 0x11ec) + SecP256r1MLKEM768 (0x11eb) zgodnie z FIPS 203 ML-KEM-768. Aktywne domyślnie na admin.gadnet; fallback do X25519 / secp384r1 / secp256r1 zgodnie z RFC 8446 §4.2.8 jeśli klient nie ma PQC. Wspierane przez OpenSSL 3.5+ i telemetrię Python 3.14 stdlib ssl.SSLObject.group() (pole hybrid_pqc per handshake w audycie). Równoległa ML-DSA-65 (FIPS 204) Root + Intermediate CA + leaf serwera na admin-pq.gadnet, opt-in przez PQ_LISTENER_ENABLED dopóki główne przeglądarki nie wdrożą walidatorów ML-DSA. Substrate ML-KEM-768 + hybrid HKDF gotowy dla Signal X3DH (Faza B).Szyfrowany DNS — Twoich zapytań nikt nie podejrzy
Za każdym razem, gdy odwiedzasz stronę, Twoje urządzenie najpierw sprawdza jej adres — trochę jak zerknięcie do książki telefonicznej. W większości domowych sieci to zapytanie leci otwartym tekstem: Twój dostawca internetu, WiFi w kawiarni, każdy w tej samej sieci może odczytać pełną listę miejsc, których szukało Twoje urządzenie. GADNET domyślnie zamyka każde takie zapytanie w szyfrowanej kopercie, korzystając z trzech standardów — DoH, DoT i DoQ — zależnie od tego, kto pyta i dokąd odpowiedź musi dotrzeć. Nic nie musisz włączać, za nic dodatkowo nie płacisz.
DoH — DNS przez HTTPS
Czym jest: Opakowuje zapytanie w zwykłe połączenie HTTPS — takie samo, z którego korzysta Twój bank. Dla reszty sieci wygląda jak jedno z wielu żądań webowych.
Przykład: Twój laptop wysyła każde zapytanie DNS do GADNET wewnątrz połączenia HTTPS. Każde inne urządzenie w tej samej sieci WiFi — urządzenie gościa, niesforne IoT, zainfekowany głośnik smart — widzi tylko szyfrowane połączenie do routera. Same nazwy domen są dla niego niewidoczne.
Więcej szczegółów
Zaleta: DoH jest najtrudniejszy ze wszystkich trzech do zidentyfikowania i zablokowania na poziomie sieci. Sieci, które filtrują DoT (port 853), nie zrobią tego samego z DoH bez przerwania zwykłego ruchu HTTPS.
Bez tego: Każda nazwa, którą Twoje urządzenie sprawdza w DNS, leci otwartym tekstem na porcie 53. Każdy w tej samej sieci — sąsiad, admin hotelu, captive portal — może prowadzić dokładny dziennik wszystkiego, co Twoje urządzenie sprawdzało, ze znacznikami czasu.
DoT — DNS przez TLS
Czym jest: Dedykowany szyfrowany tunel wydzielony wyłącznie dla DNS, na własnym porcie. GADNET używa tego tunelu do rozmowy z zaufanymi publicznymi resolverami — Cloudflare, Google, Quad9 — i sprawdza ich certyfikat względem oczekiwanego adresu, zanim wyśle choćby jedno zapytanie.
Przykład: Gdy GADNET potrzebuje adresu, którego jeszcze nie ma w cache, pyta Cloudflare przez ten tunel. Twój dostawca widzi tylko, że router skontaktował się z Cloudflare — nie wie, jakich nazw dotyczyły zapytania DNS.
Więcej szczegółów
Zaleta: Jeśli certyfikat upstream-a nie pasuje do oczekiwanego resolvera, GADNET odmawia zapytania. Nie ma cichego cofnięcia się do plaintext DNS — sfałszowana odpowiedź nie przejdzie.
Bez tego: Twój dostawca może odczytać i przepisać każdą odpowiedź DNS, o którą router pyta. Tak właśnie wielu ISP wsuwa reklamy na strony błędów albo przekierowuje literówki na własną wyszukiwarkę.
DoQ — DNS przez QUIC
Czym jest: Ta sama idea co DoT — szyfrowany DNS — ale przewieziony przez QUIC, nowszy transport zbudowany nad UDP. Wiele zapytań może jechać równolegle bez ustawiania się w kolejkę, a szyfrowana sesja przeżywa krótkie zmiany w sieci zamiast zaczynać od zera.
Przykład: Gdy jedna strona uruchamia kilkadziesiąt zapytań DNS naraz — na trackery, fonty, treści osadzone — DoQ pozwala każdemu zapytaniu jechać własnym strumieniem QUIC. Wolne zapytanie nie zatrzymuje pozostałych — kończą się niezależnie.
Więcej szczegółów
Zaleta: Gdy ścieżka sieciowa klienta się zmieni — roaming między punktami dostępowymi WiFi, krótkie zerwanie połączenia, wybudzenie ze stanu uśpienia — szyfrowany kanał DNS przetrwa zmianę. Przy DoT lub DoH handshake musi zacząć się od nowa po zmianie IP.
Bez tego: Jedno wolne zapytanie potrafi zatrzymać te ustawione za nim w kolejce na tym samym połączeniu TCP. A za każdym razem, gdy połączenie się zrywa, DoT i DoH muszą od nowa wykonać pełny handshake TCP i TLS, zanim cokolwiek pójdzie.
Dla specjalistów
/dns-query z typem application/dns-message i ALPN h2, stosując padding wiadomości wg RFC 8467 dla utrudnienia analizy ruchu. Serwuje DoQ wg RFC 9250 na porcie UDP 853 z ALPN doq, jednym strumieniem na zapytanie i standardowym 2-bajtowym prefiksem długości. Upstream do publicznych resolverów: DoT wg RFC 7858 i RFC 8310 w profilu Strict z weryfikacją Authentication Domain Name, plus EDNS0 keepalive wg RFC 7828. Postawa fail-closed: jeśli szyfrowany upstream nie odpowiada, zapytanie zostaje odrzucone — nie ma cichego cofnięcia się do plaintext DNS. Wykrywanie szyfrowanego resolvera wg RFC 9462 (SVCB _dns.resolver.arpa.) i RFC 9463 (DHCPv4 opcja 145; opcja dla IPv6 RA pojawi się wraz z pełnym włączeniem IPv6). Certyfikaty serwera pochodzą z wewnętrznego PKI, więc klienci LAN korzystają z trust anchor-a, który już mają. Floor TLS: TLS 1.2 minimum na każdej powierzchni szyfrowanego DNS, z preferencją TLS 1.3 wszędzie tam, gdzie resolver to obsługuje. Każdy listener bindowany per strefa — bez wildcard 0.0.0.0 ani ::.GADNET vs Tradycyjny router
W 5 kategoriach — bezpieczeństwo, uwierzytelnianie, prywatność, sieć, aktualizacje
| Funkcja | Router ISP (operatorski) | Router zaawansowany | GADNET Zero Trust |
|---|---|---|---|
| Bezpieczeństwo i kryptografia | |||
| Te wiersze pokazują, jak GADNET szyfruje i chroni Twoje dane — im więcej zielonych pól po prawej, tym mocniejsza ochrona. | |||
| Szyfrowanie TLS | TLS 1.2 z RSA-2048 (legacy) | Klasyczny TLS 1.3 | Hybrydowy TLS 1.3 z X25519MLKEM768 (post-kwantowy już dziś) |
| Certyfikaty CA | Wgrane przez producenta, często wygasłe | Self-signed lub ręczny Let's Encrypt | Wewnętrzne CA + równoległa PKI ML-DSA-65 |
| Hashowanie haseł | W starszych modelach często plaintext, MD5 lub SHA-1; w nowych większym problemem są domyślne hasła | bcrypt lub scrypt | Argon2id (memory-hard, dostrojony do RPi5; przekracza baseline OWASP) |
| Powierzchnia ataku WAN | W starszych modelach panel admina często wystawiony do WAN; w nowszych — TR-069 ACS | Zamknięty domyślnie | Default deny na każdym porcie WAN |
| Uwierzytelnianie i prywatność | |||
| Kto może się logować, w jaki sposób, i co dzieje się z Twoimi danymi. | |||
| Logowanie admina | Hasło wydrukowane na naklejce (zakazane dla nowych urządzeń w UK na mocy PSTI Act 2024) | Hasło + opcjonalne 2FA | WebAuthn AAL2 + certyfikat mTLS urządzenia (dwuwarstwowe) |
| Odzyskiwanie | Tylko reset do ustawień fabrycznych | Kod recovery + backup w chmurze | WebAuthn alt-path + podpisany backup restore |
| Telemetria | Chmura producenta, często nieprzejrzysta lub z ograniczonym opt-out | Opcjonalny opt-out (i tak zbierana) | Zero wychodzącej telemetrii domyślnie |
| GDPR DSAR | Email do supportu producenta (wolno) | Ręczny eksport konfiguracji | Jeden klik eksport DSAR + usuwanie Art. 17 |
| Architektura sieci | |||
| Jak urządzenia w sieci widzą się nawzajem — albo nie widzą — żeby jedno zhakowane urządzenie nie dotarło do reszty. | |||
| Segmentacja sieci | Jedna płaska sieć LAN | VLAN-y do limitu producenta; konfiguracja ręczna | 6 domyślnych stref Zero Trust + nieograniczone własne |
| Izolacja urządzeń IoT | Ta sama sieć co osobiste urządzenia | VLAN możliwy, konfigurowany ręcznie | Dedykowana strefa IoT, ograniczony internet, brak inter-zone |
| Wykrywanie smart-home między strefami | Jedna płaska sieć — wszystko widzi wszystko (niebezpiecznie) | Ręczne static routes lub IGMP proxy per odbiornik — kruche, działa tylko po hostname | Selektywny mDNS bridging — telefon w strefie Zaufanej widzi Chromecast w IoT, ale zhakowana żarówka smart nie zeskanuje Twojego laptopa |
| Domyślne traktowanie nowych | Natychmiastowy pełny dostęp | Pełny dostęp po połączeniu z WiFi | Kwarantanna w strefie izolacji do zatwierdzenia |
| Captive portal | Vendor-specific redirect (często zepsuty) | Konfigurowalny, różnie | RFC 8908 + byte-exact probe'y Apple / Android / Windows |
| Obserwowalność i monitoring | |||
| Czy faktycznie widzisz, co dzieje się w Twojej sieci — i czy zdołasz to udowodnić, gdy coś pójdzie nie tak. | |||
| Mapa sieci | Statyczna lista urządzeń | Topologia w czasie rzeczywistym | Topologia + przepływy ruchu + przynależność do stref na żywo |
| Detekcja zagrożeń | Brak | Opcjonalna subskrypcja IDS / IPS | Detekcja portów oparta o reguły + ML do wykrywania anomalii w ruchu |
| Logi audytowe | Reset przy reboot lub co tydzień | Eksport syslog na zewnętrzny serwer | Strukturalny JSONL, 90 dni auth + rozszerzona retencja security |
| Aktualizacje i własność | |||
| Kto kontroluje urządzenie po zakupie — i jak długo dostaje poprawki bezpieczeństwa. | |||
| Cykl aktualizacji | Zwykle 2-5 lat; koniec wsparcia często bez ogłoszenia | Aktualizacje dopóki płacisz maintenance | Open source — społeczność może fork-ować zawsze |
| Backup | Brak lub jeden plik konfiguracji | Lokalnie lub przez chmurowy controller (zależnie od producenta) | 4-warstwowy: LBU apkovl + snapshot + SSH + S3 (podpisany) |
| Transparentność łańcucha dostaw | Zamknięty firmware blob | Tylko release notes | SBOM CycloneDX (1.5/1.6, ECMA-424) per artefakt + publiczne raporty audytów |
| Własność sprzętu | Zamknięty przez producenta, brak root | Ograniczony root, vendor enclosure | Pełny root na standardowym Raspberry Pi 5 |
| Całkowity koszt 5-letni | 80-150$ przy zakupie; 600-900$ przy wynajmie od ISP | 200-500$ sprzęt + subskrypcja chmury | ~100-120$ starter kit (Pi 5 + zasilacz 27 W + obudowa z aktywnym chłodzeniem + microSD); opcjonalna nakładka NVMe +45$ do pracy 24/7; 0$ oprogramowanie na zawsze |
Ukryte zagrożenie
Zagrożenia bezpieczeństwa routera
Ukryte zagrożenie
Jest rok 2026. Twój telefon aktualizuje się co tydzień, ale skany internetowe Censys 2024 pokazują, że duża część routerów domowych nadal pracuje na firmware z 2020 r. lub wcześniejszym. Ufa każdemu urządzeniu, stając się najsłabszym ogniwem.
Przeciętny dom ma teraz 20+ urządzeń online, a w domach pełnych smart-tech łatwo przekroczyć 35 (Bitdefender + Netgear 2025). Jeśli jedno jest przestarzałe, otwiera tylne drzwi do całej Twojej sieci.
Koniec ery "zamku i fosy"
Tradycyjne routery zakładają, że "w środku jest bezpiecznie". Ale gdy haker przejmie inteligentną żarówkę — jak w eksploicie Philips Hue Zigbee zgłoszonym przez Check Point w 2020 (CVE-2020-6007) — omija firewall. To tzw. Ruch boczny (Lateral Movement).
Nie atakują PC bezpośrednio. Wchodzą przez TV albo żarówkę, potem przeskakują na laptopa. W lutym 2024 CISA udokumentowała ten sam wzorzec w skali państwowej: aktorzy "Volt Typhoon" wykorzystywali zhakowane routery SOHO jako odskocznię do sieci celu (advisory AA24-038A).
Realia botnetów IoT
Tanie kamery i gniazdka są dostarczane z domyślnymi hasłami i niezałatanymi CVE. Gdy takie urządzenie trafia do internetu, botnety jak Mirai i Aisuru (2024-2025) wcielają je w ciągu godzin, a czasem minut. Ponad połowa urządzeń IoT trafia na rynek z znanymi podatnościami (Forescout Vedere Labs 2024 Riskiest Connected Devices).
Zainfekowane stają się szpiegami w salonie, nagrywając dźwięk i atakując innych bez Twojej wiedzy.
Ryzyko pracy zdalnej
Twój służbowy laptop działa w tym samym WiFi co tablet dziecka. Jeśli dziecko ściągnie "darmową grę" z wirusem, może on przeskoczyć na Twój komputer, omijając firmowy VPN.
Poufne dokumenty, do których dostęp ma Twoje dziecko (lub jego zawirusowany tablet), są zagrożone. Bez izolacji, zainfekowana konsola może wykraść pliki firmowe lub zaszyfrować dysk żądając okupu.
Czym jest Zero Trust?
(I dlaczego to zmienia wszystko)
Proste wyjaśnienie
Wyobraź sobie sieć jako hotel. Tradycyjny router daje każdemu gościowi klucz uniwersalny do wszystkich pokoi. Gdy wejdziesz do budynku, możesz iść wszędzie.
GADNET działa inaczej. Daje każdemu kartę tylko do jego pokoju. Nawet jeśli ktoś ukradnie kartę, ma dostęp tylko do jednego pokoju – nie całego hotelu.
Domyślna odmowa
Blokuj domyślnie. Dostęp tylko dla urządzeń z "białej listy".
Ciągła weryfikacja
Nie ufaj nikomu. Każde żądanie jest weryfikowane w czasie rzeczywistym.
Minimum uprawnień
Minimum dostępu. Użytkownik widzi tylko niezbędne zasoby.
Mikrosegmentacja
Izolacja zagrożeń. Sieć podzielona na separowane strefy bezpieczeństwa.
Ograniczony dostęp
Cyfrowa twierdza. Porty otwarte tylko dla zaufanych adresów IP.
Monitorowanie i alerty
Pełna widoczność. Analiza ruchu i wykrywanie intruzów na żywo.
Dlaczego to ma znaczenie — liczby
Weryfikowalne badania branżowe, nie deklaracje producentów
Strefy sieciowe
Izolacja
Nowe urządzenia
Brak dostępuZaufane
Główne urządzenia
Pełny dostępIoT
Smart urządzenia
OgraniczonyGość
Goście
Tylko internetAdmin
Dostęp do panelu
Pełna kontrolaWłasna
W razie potrzeb
ElastycznaSpecyfikacja techniczna
Sprzęt
| Urządzenie | Raspberry Pi 5 (4 GB lub 8 GB) |
| Zasilanie | Oryginalny zasilacz USB-C 27 W (zwykłe ładowarki do telefonu powodują spadki napięcia pod obciążeniem sieciowym) |
| Chłodzenie | Obudowa z aktywnym chłodzeniem — bez niej Pi 5 throttluje termicznie |
| Pamięć — minimum | 32 GB microSD klasy A2 — działa, ale Redis AOF + rotacja logów audytu zużywa kartę; wymiana co 12-24 miesięcy przy intensywnym użyciu |
| Pamięć — zalecane | Nakładka NVMe (Pimoroni / Geekworm / 52Pi) + dysk NVMe SSD 256 GB — żywotność 5+ lat, szybszy boot, odporne na zużycie SD |
| Sieć | 2× Ethernet (WAN + LAN) + opcjonalne WiFi 6 |
| Jądro | linux-rpi 6.12 LTS |
System operacyjny
| Dystrybucja | Alpine Linux 3.23 (ARM64) |
| Edge piny | OpenSSL 3.5+ (PQC), Python 3.14+, Redis 8 (rozszerzone kategorie ACL) |
| Init | OpenRC, single-worker uvicorn |
| Persystencja | Alpine LBU apkovl + partycja /data |
Uwierzytelnianie
| Logowanie admina | W3C WebAuthn Level 2 + FIDO2 (COSE algs: ES256, EdDSA, ES384, ES512, RS256; Level 3 w W3C Candidate Recommendation od stycznia 2026) |
| Codzienny admin | Certyfikat mTLS urządzenia (powiązany z IP, wystawiony przez wewnętrzne CA) |
| Odzyskiwanie | Alternatywna ścieżka WebAuthn AAL2 (bez certyfikatu urządzenia) |
| Hashowanie haseł | Argon2id (64 MiB, 3 iteracje, 4 wątki — przekracza rekomendacje OWASP, dostrojone do RPi5) |
Kryptografia
| TLS 1.3 KEM | X25519MLKEM768 + SecP256r1MLKEM768 (hybrydowe PQC, NIST FIPS 203 — sierpień 2024) |
| Podpisy PKI | EC P-384/P-256 + równoległe ML-DSA-65 (NIST FIPS 204 — sierpień 2024) |
| Szyfrowanie envelope | AES-256-GCM z HKDF-SHA-256 |
| Derywacja kluczy | PBKDF2-HMAC-SHA-256 (600k iteracji) tylko dla envelope |
Sieć
| Domyślne strefy | 6 (Izolacja, Zaufana, IoT, Gość, Admin, Niestandardowa) + nieograniczone własne |
| Firewall | iptables + ip6tables stateful, macierz stref, fail-secure circuit breaker |
| DHCP | Dnsmasq, podsieć per strefa |
| DNS | Resolver Unbound + DoT/DoH/DoQ + filtrowanie kategorii oparte na regułach (UT1, RPZ) |
| Captive portal | RFC 8908 + probe'y Apple/Android/Windows/Firefox (byte-exact) |
Dane i przechowywanie
| Główne źródło | Redis 8 z persystencją RDB + AOF |
| Fallback | Plikowy circuit-breaker (fail-secure, nie ciche SQLite) |
| Szyfrowanie w spoczynku | Envelope AES-256-GCM dla SENSITIVE_KEY_PREFIXES |
| Warstwy backupu | LBU apkovl + lokalny snapshot + zdalny SSH + S3 (podpisane) |
Obserwowalność
| Format audytu | Strukturalny JSONL ze stabilnymi polami event_type |
| Retencja logów auth | 90 dni (TTL_AUTH_ATTEMPT) |
| Retencja audytu bezpieczeństwa | Rozszerzona (rekonstrukcja forensic; cel 7 lat) |
| Obsługa PII | Maskowanie IPv4 /24 i IPv6 /48 w logach i webhookach |
Oprogramowanie i licencja
| Backend | Python 3.14 + FastAPI + Pydantic 2 |
| Frontend | Vanilla JS ES2024+ + PWA + Service Worker |
| SBOM | CycloneDX per wydanie (Python i PWA na 1.5, Alpine na 1.6 / ECMA-424; 1.7 dostępne od października 2025) |
| Licencja | Open Source (MIT) |
Dlaczego warto zaufać?
Przejrzystość open source
Każda linia kodu jest jawna. Audytuj sam(a) lub zatrudnij kogoś. Bez backdoorów, bez ukrytej telemetrii.
Żywy ślad audytowy
Rosnący zbiór niezależnych raportów audytowych w audit-reports/ — PQC, łańcuch dostaw, captive portal, obserwowalność. Otwarte do wglądu, w zakresie OWASP Top 10.
Prywatność "by design"
Zero telemetrii poza urządzeniem. Bez konta w chmurze. Twoje dane sieciowe zostają na routerze, szyfrowane w spoczynku AES-256-GCM dla wrażliwych kluczy.
Zgodność ze standardami
GDPR Art. 5/13/15/17/20/21 wpisane w architekturę. TLS 1.3 z hybrydowymi PQC KEM. W3C WebAuthn Level 2 + FIDO2. SBOM CycloneDX (1.5/1.6, ECMA-424) per wydanie.
Roadmapa
Co dziś działa, nad czym pracujemy, co jest w planach. Daty Q3/Q4 2026 to cele, nie zobowiązania — będziemy publikować aktualizacje w miarę postępów.
- Dostępne teraz
- W trakcie
- Następny krok
- W planach
Faza A — dostępne dziś
- 6 domyślnych stref Zero Trust (Izolacja, Zaufana, IoT, Gość, Admin, Niestandardowa) + nieograniczone własne
- Dwuwarstwowy admin: certyfikat mTLS urządzenia LUB sesja WebAuthn AAL2
- Hybrydowy TLS 1.3 PQC (X25519MLKEM768 + SecP256r1MLKEM768)
- Równoległa PKI ML-DSA-65 (admin-pq.gadnet, opt-in)
- RFC 8908 captive portal + probe'y vendorów (Apple/Android/Windows/Firefox)
- Wielowarstwowy backup (LBU apkovl + snapshot + SSH + S3, podpisane)
- GDPR: eksport DSAR + usunięcie + gating zgód
- PWA + Service Worker + telemetria RUM
- i18n: angielski + polski (7500+ tekstów)
- SBOM CycloneDX 1.5+ per artefakt (Python / PWA / Alpine)
Faza B — cel Q3 2026
- Wiadomości end-to-end (Signal X3DH + Double Ratchet na substracie ML-KEM)
- Web Push z payload E2EE (RFC 8291 + 8292)
- Daemon auto-aktualizacji z automatycznym rollback
- Zaszyfrowany root LUKS z odblokowaniem przez TPM
Faza B+ — Q4 2026
- VPN WireGuard dla zdalnego admina i site-to-site z hybrydowym handshake post-kwantowym (Rosenpass + ML-KEM-768 nad Noise IK)
- IKEv2 / IPsec z RFC 9242 hybrid key exchange + RFC 9370 multiple-key-exchange dla interop z enterprise
- MASQUE (RFC 9298 CONNECT-UDP nad QUIC) jako proxy dla urządzeń klienckich za routerem
Faza C — na horyzoncie
- Wiadomości grupowe MLS (RFC 9420 + rozszerzenia PQ)
- Certyfikaty PQ mTLS urządzeń + admina (rewizja 2027-01-01 — czeka na trust store przeglądarek)
- Niezależny audyt dostępności WCAG 2.1 AA
- Niezależny program bug bounty CVE
Dołącz do Early Access
Budujemy GADNET razem z małą grupą pierwszych użytkowników. Napisz do nas — zwykle odpowiadamy w dzień lub dwa, i wyślemy ci aktualny build. Dostaniesz też informację o publicznym wydaniu i kluczowych kamieniach milowych Phase B (możesz się wypisać w każdej chwili).
Beta jest ograniczona do ~50 testerów naraz i stanowi część Phase B — Twój feedback prowadzi nas do Phase C (publicznego wydania). Napisz mailem, jeśli masz już Raspberry Pi 5 gotowe do nagrania karty. W przeciwnym razie wpadnij na Discord — te same buildy, mniej formalności — aż zwolnimy kolejne miejsca.
Jak zacząć
~15 min, jeśli pomijasz krok 1 (masz już nagraną kartę SD i klucz FIDO2) · zestaw startowy ~400-480 zł ($100-120): Raspberry Pi 5 4 GB + oryginalny zasilacz 27 W + obudowa z aktywnym chłodzeniem + 32 GB microSD A2 · opcjonalna nakładka NVMe + dysk SSD 256 GB ~+180 zł ($45) (zalecane do pracy 24/7 — patrz Specyfikacja)
Pobierz i nagraj
Nagraj system na kartę SD
5 minPodłącz i uruchom
Podłącz do modemu
10 minSkonfiguruj WiFi
Połącz z GADNET-Setup
3 minKonto admina
Stwórz konto lokalne i dodaj urządzenia
3 minFAQ
Czy to dla mnie — jakie umiejętności realnie potrzebuję?
Co jeśli coś przestanie działać, a nie jestem adminem?
Czy muszę mieć wiedzę techniczną?
Czy to działa z moim dostawcą internetu?
Co z moimi obecnymi urządzeniami?
Czy Chromecast, AirPlay, HomeKit i Spotify Connect będą działać, jeśli wrzucę je do osobnej strefy IoT?
Czy moje dane są w chmurze?
Co się stanie, jeśli GADNET awariuje?
Czy mogę użyć tego w firmie?
Czy to naprawdę darmowe?
Czym to się różni od VPN?
Wspieraj rozwój GADNET
GADNET jest darmowy i zawsze taki będzie. To projekt jednoosobowy prowadzony przez Michała Maciaka — każde wsparcie idzie wprost na hosting, sprzęt testowy i czas pracy nad kodem.
Closed Early Access oznacza, że teraz aktywnie szukamy testerów (nie sprzedaży). Wsparcie finansowe pomaga przyspieszyć Phase B (aktualizacje OTA, szyfrowanie LUKS w spoczynku, wiadomości E2E) i szybciej otworzyć publiczne wydanie.
Inne formy wsparcia
Bez budżetu? Bez problemu — te formy liczą się tak samo:
Źródła i standardy
Każdy techniczny claim na tej stronie linkuje do oryginalnej specyfikacji lub raportu.
Kryptografia i TLS
- IANA — TLS Supported Groupscodepointy X25519MLKEM768 (0x11ec) + SecP256r1MLKEM768 (0x11eb)
- NIST FIPS 203 — ML-KEMModule-Lattice-Based KEM (sierpień 2024)
- NIST FIPS 204 — ML-DSAModule-Lattice-Based DSA (sierpień 2024)
- RFC 8446 — TLS 1.3§4.2.8 negocjacja named groups
- RFC 9053 — COSE Algorithmsidentyfikatory algorytmów WebAuthn
Tożsamość i uwierzytelnianie
- W3C WebAuthn Level 2Recommendation (kwiecień 2021) — aktualny cel implementacji
- W3C WebAuthn Level 3Candidate Recommendation (styczeń 2026) — forward-compatible
- FIDO Alliance — FIDO2rodzina specyfikacji FIDO2
Protokoły sieciowe
- RFC 8908 — Captive Portal APIvendor-neutralny captive portal
- RFC 8291 — Web Push EncryptionE2EE payload (Faza B)
- RFC 8292 — VAPIDapplication server identification dla Web Push
- RFC 9420 — MLSMessaging Layer Security — grupy (Faza C)
- Rosenpass — WireGuard + PQChybrydowy handshake ML-KEM-768 (Faza B+)
- RFC 9242 — IKEv2 Intermediate Exchangehybrid key exchange dla IPsec (Faza B+)
- RFC 9370 — IKEv2 Multiple Key Exchangeskompozycja PQC dla IPsec (Faza B+)
- RFC 9298 — CONNECT-UDP / MASQUEtryb proxy nad QUIC (Faza B+)
Prywatność i zgodność
- GDPR — Rozporządzenie (UE) 2016/679pełny tekst (skonsolidowany)
- Cyber Resilience Act — Rozp. (UE) 2024/2847obowiązek SBOM i bezpieczeństwa od 2027
- CycloneDX (1.5+)format SBOM, który GADNET emituje per wydanie
Badania branżowe (cytowane statystyki)
- Zscaler ThreatLabz · IoT Nov 2025routery jako 75% celów ataków IoT
- Bitdefender / Netgear · 2025 IoT Landscape29 ataków/dzień na sieć domową
- Forescout · Device Vulnerability 2025wzrost podatności IT/IoT/OT/IoMT
- Securelist · Q1 2025 IoT statisticstrendy zagrożeń IoT — Kaspersky