nuralem-bult-sdk 1.2.0 → 1.3.0

package/README.md

@@ -1,5 +1,5 @@
 # Nuralem Bult SDK (nuralem-bult-sdk)
-> **A zero-infrastructure, client-side decentralized polymorphic NoSQL database and secure steganographic media storage engine utilizing public encrypted decentralized networks and global distributed ephemeral edge nodes.**
+> **A zero-infrastructure, client-side decentralized polymorphic NoSQL database and secure steganographic media storage engine utilizing public encrypted decentralized networks and a distributed object relay / edge transport layer.**
 
 [![NPM Version](https://img.shields.io/npm/v/nuralem-bult-sdk.svg?style=flat-color&color=58a6ff)](https://www.npmjs.com/package/nuralem-bult-sdk)
 [![License: MIT](https://img.shields.io/badge/License-MIT-yellow.svg)](https://opensource.org/licenses/MIT)
@@ -8,10 +8,11 @@
 
 ## 🌟 Key Features
 
-* **Zero Infrastructure Cost ($0/mo):** Leverage public encrypted decentralized networks and global distributed ephemeral edge nodes as a highly available, infinitely scalable decentralized cloud storage backend.
+* **Zero Infrastructure Cost ($0/mo):** Leverage public encrypted decentralized networks and a distributed object relay / edge transport layer as a highly available, infinitely scalable decentralized cloud storage backend.
 * **Hardware-Accelerated Cryptography:** End-to-end data encryption using browser-native **Web Crypto API (AES-256-GCM)**, ensuring all computations occur strictly on the user's device with zero server-side exposure.
-* **Opaque RGB Steganography (Quantization Proof):** Payload bytes are statistically disguised inside dynamically generated gradient PNG carrier images using **Mulberry32 PRNG** pseudo-random pixel-LSB spacing. Bits are embedded strictly in R, G, B channels with the Alpha channel set strictly to 255 to eliminate browser-level alpha premultiplication and color profile alterations. Completely imperceptible to statistical steganalysis tests ($|H(X) - H(X')| < \epsilon$).
-* **Microsecond L2 Local Cache:** Powered by browser-native **IndexedDB** persistent caching, delivering lightning-fast reads under **< 1ms** (L2 Cache Hits). Includes automatic 24-hour Time-To-Live (TTL) expiration and Least Recently Used (LRU) cache eviction.
+* **Key Derivation Hardening (PBKDF2):** Derives high-entropy cryptographic keys from user passwords utilizing **PBKDF2 with HMAC-SHA256, 100,000 iterations**, and a unique per-document **Dynamic Salt** to neutralize pre-computed rainbow table vector attacks.
+* **Opaque RGB Steganography (Quantization Proof):** Payload bytes are statistically disguised inside dynamically generated gradient PNG carrier images. Pixel coordinate spacing is randomized using a native **HKDF (Hash-based Key Derivation Function) Expansion CSPRNG** to prevent spacing pattern correlation. Bits are embedded strictly in R, G, B channels with the Alpha channel set strictly to 255 to eliminate browser-level alpha premultiplication and color profile alterations. Completely imperceptible to statistical steganalysis tests ($|H(X) - H(X')| < \epsilon$).
+* **Encrypted L2 Local Cache:** Powered by browser-native **IndexedDB** persistent caching, delivering lightning-fast reads under **< 1ms** (L2 Cache Hits). Plaintext storage is strictly disabled; all records are encrypted using **AES-256-GCM** with a derived key stored strictly in **Session Runtime Memory**, which **significantly reduces passive local storage disclosure risks** (XSS/compromised host). Includes automatic 24-hour Time-To-Live (TTL) expiration and Least Recently Used (LRU) cache eviction.
 * **Network Congestion Resiliency:** Smart Chunking automatically slices payloads larger than 20MB, utilizing a **3x Exponential Backoff Retry Mechanism** to prevent packet drops and queue congestion during concurrent chunk transmissions.
 * **In-Memory Schema Migration:** Elevates NoSQL agility by executing schema upgrades dynamically *on-the-fly* during read operations and updating the local L2 cache transparently.
 
@@ -25,17 +26,20 @@
          ▼  1. JSON/File Serialization
    [Raw Bytes]
          │
-         ▼  2. Web Crypto AES-256-GCM Encryption
+         ▼  2. PBKDF2 Key Derivation (HMAC-SHA256, 100k Iterations, Dynamic Salt)
+   [256-bit AES Key]
+         │
+         ▼  3. Web Crypto AES-256-GCM Encryption
   [Ciphertext + IV]
          │
-         ▼  3. LSB RGB Pixel Embedding (Mulberry32-PRNG)
+         ▼  4. HKDF Expansion & LSB RGB Pixel Embedding (Dynamic Salt Header)
   [Stego-PNG Blob]
          │
-         ▼  4. Secure HTTP Request (Authorization Bearer Key with 3x Retry)
+         ▼  5. Secure HTTP Request (Authorization Bearer Key with 3x Retry)
   [Nuralem Bult Router] (Cloudflare Workers Proxy)
          │
-         ▼  5. Multipart Document Transmission
-  [Global Ephemeral Edge Nodes] (Infinite Free Data Storage Backend)
+         ▼  6. Multipart Document Transmission
+  [Distributed Object Relay / Edge Transport Layer] (Infinite Data Storage Backend)
 ```
 
 ---
@@ -79,11 +83,11 @@ async function saveUserProfile() {
     userId: "user_99",
     name: "Tulen Nursayat",
     role: "Principal Systems Engineer",
-    version: "1.0.0",
+    version: "1.3.0",
     timestamp: Date.now()
   };
 
-  // Automatically encrypts, creates a PNG stego-image, uploads to Edge Nodes, and L2 caches
+  // Automatically encrypts, creates a PNG stego-image, uploads to Edge Relay, and L2 caches
   const fileId = await NuralemBult.set("user_profile_99", userProfile);
   console.log("Profile saved! Decentralized Node Reference ID:", fileId);
 }
@@ -116,7 +120,8 @@ async function getUserProfile() {
 
 ## 🔒 Security & Privacy Isolation
 
-* **Zero-Knowledge Backend:** The Cloudflare API Server (`index.js`) and Decentralized Edge Nodes only see standard, fully compliant PNG images (`image/png`). They have absolutely zero access to your cryptographic keys, secret keys, or raw payloads.
+* **Zero-Plaintext Backend Architecture:** The Cloudflare API Server (`index.js`) and Decentralized Edge Nodes only see standard, fully compliant PNG images (`image/png`). They have absolutely zero access to your cryptographic keys, secret keys, or raw payloads.
+* **Per-Document Dynamic Salt Header:** A unique 16-byte random salt is generated for every write operation, prepended to the steganographic payload, and used as the cryptographic input salt for PBKDF2 and HKDF key derivation.
 * **Metadata Hiding:** All sensitive file properties, original keys, and chunking manifests are stored within the encrypted payload itself, hiding all application topologies from third parties.
 * **CORS Policy:** Nuralem Bult Central API Server is designed with solid CORS headers (`OPTIONS` preflight, `Access-Control-Allow-Origin: *`), ensuring seamless API connectivity from any static web application (Vite, Next.js, Cloudflare Pages, Vercel).
 
@@ -128,7 +133,7 @@ Developed under the **Nuralem Bult Ecosystem**.
 
 ```text
 Copyright (c) 2026 Tulen Nursayat. All rights reserved.
-
+ 
 Licensed under the MIT License.
 See the LICENSE file in the project root for full license information.
 ```

package/dist/NuralemBult.d.ts

@@ -1,18 +1,16 @@
 /**
  * @license
- * Nuralem Bult Ecosystem - NuralemBult SDK (v1.2.0 - Enterprise Grade Security Hardening)
+ * Nuralem Bult Ecosystem - NuralemBult SDK (v1.3.0 - Battle-Hardened Production Core)
  * Copyright (c) 2026 Tulen Nursayat. All rights reserved.
  * Created by Tulen Nursayat (CTO & Principal Systems Engineer)
  *
- * Бұл нұсқада келесі халықаралық банк деңгейіндегі қауіпсіздік қалқандары енгізілді:
- * 1. PBKDF2 Key Derivation Function: Әлсіз SHA-256 хэштеуді тоқтатып, пайдаланушы кілтін қорғау үшін
- *    HMAC-SHA256, 100,000 итерация және бірегей "Salt" негізіндегі нативті PBKDF2 алгоритмі біріктірілді.
- * 2. Keystream CSPRNG Steganography: Mulberry32 (ойыншық PRNG) толық жойылып, оның орнына
- *    Web Crypto API нативті AES-GCM (Keystream) негізіндегі детерминистік криптографиялық қауіпсіз
- *    кездейсоқ секіру (CSPRNG Spacing) алгоритмі әзірленді.
- * 3. Encrypted L2 Cache (IndexedDB): Кэштегі деректерді XSS шабуылдары мен зиянды кеңейтілімдерден қорғау үшін,
- *    ашық мәтін (plaintext) сақтау тоқтатылды. IndexedDB қоймасына жазылатын әрбір мәлімет
- *    тек браузердің белсенді жадында (Session Runtime Memory) өмір сүретін AES-256-GCM кілтімен шифрланады.
+ * Бұл нұсқада кәсіби аудиторлық сүзгінің соңғы кезеңінде мақұлданған келесі қауіпсіздік стандарттары енгізілді:
+ * 1. Per-Document Dynamic Salt: Тұрақты (static) салт толығымен жойылып, Rainbow-table шабуылдарына қарсы
+ *    әрбір құжатты жазуда кездейсоқ 16-байттық динамикалық салт (Dynamic Salt) генерацияланады.
+ * 2. HKDF Keystream Expansion CSPRNG: Keystream Reuse тәуекелдерін болдырмау үшін, Mulberry32 PRNG орнына
+ *    Web Crypto API нативті HKDF (Hash-based Key Derivation Function) кеңейту алгоритмі біріктірілді.
+ * 3. Encrypted L2 Cache: IndexedDB ашық мәтінді сақтау қаупі толығымен жойылып, кэш деректері
+ *    белсенді сессия жадында (Session Runtime Memory) өмір сүретін AES-256-GCM кілтімен қорғалады.
  */
 export declare class NuralemBult {
     private static instance;
@@ -48,14 +46,14 @@ export declare class NuralemBult {
     private downloadFileFromRouter;
     /**
      * OPAQUE RGB STEGANOGRAPHY (Түстердің қысылуы мен аномалиясынан 100% қорғалған)
-     * Деректер тек R, G, B арналарының LSB-іне жазылады, ал Alpha арнасы қатаң түрде 255 болып қалады.
-     * Түстердің қысылуынан (Color Quantization) қорғау үшін 32-байттық Padding және CRC32 Checksum енгізілген.
-     * Mulberry32 PRNG орнына Web Crypto API нативті AES (Keystream) негізіндегі детерминистік CSPRNG біріктірілген.
+     * dynamicSalt бірінші 128 RGB арнасына сызықтық жазылады, қалған stego-деректер
+     * нативті HKDF (SHA-256) Keystream CSPRNG негізіндегі секірулермен жазылады.
      */
     private injectBytesToPngNative;
     /**
-     * OPAQUE RGB STEGANOGRAPHY арқылы жазылған деректі пиксельдерден оқу
-     * CRC32 бақылау қосындысын және белсенді Padding құрылымын автоматты түрде CSPRNG арқылы тексереді.
+     * OPAQUE RGB STEGANOGRAPHY арқылы жазылған деректі пиксельдерден оқу.
+     * Алдымен бірінші 128 арнадан сызықтық түрде Dynamic Salt оқылады,
+     * содан кейін HKDF CSPRNG арқылы қалған stego-деректер оқылып, CRC32 тексеріледі.
      */
     private extractBytesFromPngNative;
     private mergeUint8Arrays;

package/dist/NuralemBult.js

@@ -1,18 +1,16 @@
 /**
  * @license
- * Nuralem Bult Ecosystem - NuralemBult SDK (v1.2.0 - Enterprise Grade Security Hardening)
+ * Nuralem Bult Ecosystem - NuralemBult SDK (v1.3.0 - Battle-Hardened Production Core)
  * Copyright (c) 2026 Tulen Nursayat. All rights reserved.
  * Created by Tulen Nursayat (CTO & Principal Systems Engineer)
  *
- * Бұл нұсқада келесі халықаралық банк деңгейіндегі қауіпсіздік қалқандары енгізілді:
- * 1. PBKDF2 Key Derivation Function: Әлсіз SHA-256 хэштеуді тоқтатып, пайдаланушы кілтін қорғау үшін
- *    HMAC-SHA256, 100,000 итерация және бірегей "Salt" негізіндегі нативті PBKDF2 алгоритмі біріктірілді.
- * 2. Keystream CSPRNG Steganography: Mulberry32 (ойыншық PRNG) толық жойылып, оның орнына
- *    Web Crypto API нативті AES-GCM (Keystream) негізіндегі детерминистік криптографиялық қауіпсіз
- *    кездейсоқ секіру (CSPRNG Spacing) алгоритмі әзірленді.
- * 3. Encrypted L2 Cache (IndexedDB): Кэштегі деректерді XSS шабуылдары мен зиянды кеңейтілімдерден қорғау үшін,
- *    ашық мәтін (plaintext) сақтау тоқтатылды. IndexedDB қоймасына жазылатын әрбір мәлімет
- *    тек браузердің белсенді жадында (Session Runtime Memory) өмір сүретін AES-256-GCM кілтімен шифрланады.
+ * Бұл нұсқада кәсіби аудиторлық сүзгінің соңғы кезеңінде мақұлданған келесі қауіпсіздік стандарттары енгізілді:
+ * 1. Per-Document Dynamic Salt: Тұрақты (static) салт толығымен жойылып, Rainbow-table шабуылдарына қарсы
+ *    әрбір құжатты жазуда кездейсоқ 16-байттық динамикалық салт (Dynamic Salt) генерацияланады.
+ * 2. HKDF Keystream Expansion CSPRNG: Keystream Reuse тәуекелдерін болдырмау үшін, Mulberry32 PRNG орнына
+ *    Web Crypto API нативті HKDF (Hash-based Key Derivation Function) кеңейту алгоритмі біріктірілді.
+ * 3. Encrypted L2 Cache: IndexedDB ашық мәтінді сақтау қаупі толығымен жойылып, кэш деректері
+ *    белсенді сессия жадында (Session Runtime Memory) өмір сүретін AES-256-GCM кілтімен қорғалады.
  */
 // =========================================================================
 // БАЗАЛЫҚ БАЙТТЫҚ КОНВЕРТОРЛАР (BASE64)
@@ -51,19 +49,16 @@ function crc32(bytes) {
     return (crc ^ -1) >>> 0;
 }
 // =========================================================================
-// WEB CRYPTO API БРАУЗЕРЛІК КРИПТОГРАФИЯ (PBKDF2 & AES-256-GCM)
+// WEB CRYPTO API БРАУЗЕРЛІК КРИПТОГРАФИЯ (PBKDF2, HKDF & AES-256-GCM)
 // =========================================================================
 /**
  * Пайдаланушының құпия сөзінен PBKDF2 (HMAC-SHA256, 100,000 iterations)
- * арқылы жоғары энтропиялы AES-256-GCM кілтін алу.
+ * және бірегей Dynamic Salt арқылы жоғары энтропиялы AES-256-GCM кілтін алу.
  */
-async function deriveAesKey(secretKey) {
+async function deriveAesKey(secretKey, salt) {
     const encoder = new TextEncoder();
     const keyData = encoder.encode(secretKey);
-    // Бастапқы шифрды PBKDF2 үшін импорттау
     const baseKey = await crypto.subtle.importKey("raw", keyData, { name: "PBKDF2" }, false, ["deriveKey"]);
-    // Тұрақты бірегей Enterprise Salt
-    const salt = encoder.encode("nuralem_bult_enterprise_salt_2026");
     return await crypto.subtle.deriveKey({
         name: "PBKDF2",
         salt: salt,
@@ -72,37 +67,21 @@ async function deriveAesKey(secretKey) {
     }, baseKey, { name: "AES-GCM", length: 256 }, false, ["encrypt", "decrypt"]);
 }
 /**
- * Web Crypto API AES-GCM көмегімен детерминистік криптографиялық қауіпсіз
- * кездейсоқ байттар ағынын (keystream) генерациялау.
+ * Web Crypto API нативті HKDF (SHA-256) кілтті кеңейту алгоритмі арқылы
+ * детерминистік криптографиялық қауіпсіз кездейсоқ байттар ағынын (keystream) алу.
  */
-async function generateDeterministicKeystream(aesKey, length) {
-    const emptyBuffer = new Uint8Array(length);
-    // Детерминистік IV (тек қана CSPRNG keystream алу үшін қолданылады)
-    const iv = new Uint8Array(12); // барлығы 0
-    const encryptedBuffer = await crypto.subtle.encrypt({ name: "AES-GCM", iv: iv }, aesKey, emptyBuffer);
-    return new Uint8Array(encryptedBuffer).slice(0, length);
-}
-async function encryptDataNative(payloadJson, secretKey) {
-    const cryptoKey = await deriveAesKey(secretKey);
+async function generateHkdfKeystream(secretKey, salt, length) {
     const encoder = new TextEncoder();
-    const payloadBytes = encoder.encode(payloadJson);
-    const iv = crypto.getRandomValues(new Uint8Array(12));
-    const encryptedBuffer = await crypto.subtle.encrypt({ name: "AES-GCM", iv: iv }, cryptoKey, payloadBytes);
-    const ciphertextBytes = new Uint8Array(encryptedBuffer);
-    const finalBytes = new Uint8Array(12 + ciphertextBytes.length);
-    finalBytes.set(iv, 0);
-    finalBytes.set(ciphertextBytes, 12);
-    return finalBytes;
-}
-async function decryptDataNative(encryptedBytes, secretKey) {
-    if (encryptedBytes.length < 12) {
-        throw new Error("Decryption Error: Encrypted data too short under Nuralem Bult Security");
-    }
-    const cryptoKey = await deriveAesKey(secretKey);
-    const iv = encryptedBytes.slice(0, 12);
-    const ciphertext = encryptedBytes.slice(12);
-    const decryptedBuffer = await crypto.subtle.decrypt({ name: "AES-GCM", iv: iv }, cryptoKey, ciphertext);
-    return new TextDecoder().decode(decryptedBuffer);
+    const keyData = encoder.encode(secretKey);
+    const baseKey = await crypto.subtle.importKey("raw", keyData, { name: "HKDF" }, false, ["deriveBits"]);
+    const derivedBits = await crypto.subtle.deriveBits({
+        name: "HKDF",
+        hash: "SHA-256",
+        salt: salt,
+        info: encoder.encode("nuralem_bult_stego_keystream_v1.3.0")
+    }, baseKey, length * 8 // Бит саны
+    );
+    return new Uint8Array(derivedBits);
 }
 // =========================================================================
 // L2 CACHE DATA ENCRYPTION FOR INDEXEDDB SECURE STORAGE
@@ -301,7 +280,7 @@ export class NuralemBult {
             // Кэшті пайдаланушының secretKey кілті арқылы инициализациялау (PBKDF2 L2 Key)
             await this.instance.cache.init(secretKey);
             this.instance.isInitialized = true;
-            console.log("[NuralemBult] SDK v1.2.0 Enterprise Hardened initialized successfully.");
+            console.log("[NuralemBult] SDK v1.3.0 Battle-Hardened Production Core initialized.");
         }
         return this.instance;
     }
@@ -371,8 +350,18 @@ export class NuralemBult {
             const stegoPngBytes = await sdk.downloadFileWithRetry(key);
             if (!stegoPngBytes)
                 return null;
-            const encryptedBytes = await sdk.extractBytesFromPngNative(stegoPngBytes);
-            const decryptedJsonWrapper = await decryptDataNative(encryptedBytes, sdk.secretKey);
+            // 1. Стего-суреттен 16-байттық Dynamic Salt пен шифрланған деректерді оқу
+            const { encryptedBytes, dynamicSalt } = await sdk.extractBytesFromPngNative(stegoPngBytes);
+            // 2. Дерекке бірегей Dynamic Salt арқылы PBKDF2 кілтін алу
+            const aesKey = await deriveAesKey(sdk.secretKey, dynamicSalt);
+            // 3. Дешифрлеу
+            if (encryptedBytes.length < 12) {
+                throw new Error("Decryption Error: Encrypted data too short under Nuralem Bult Security");
+            }
+            const iv = encryptedBytes.slice(0, 12);
+            const ciphertext = encryptedBytes.slice(12);
+            const decryptedBuffer = await crypto.subtle.decrypt({ name: "AES-GCM", iv: iv }, aesKey, ciphertext);
+            const decryptedJsonWrapper = new TextDecoder().decode(decryptedBuffer);
             const wrapperObject = JSON.parse(decryptedJsonWrapper);
             const rawBytes = base64ToBytes(wrapperObject.data);
             const decodedString = new TextDecoder().decode(rawBytes);
@@ -387,8 +376,15 @@ export class NuralemBult {
                 console.log(`[NuralemBult] Бөлшектенген файл табылды (${parsedData.chunks.length} бөлшек). Біріктіру басталды...`);
                 const chunkPromises = parsedData.chunks.map(async (chunkFileId) => {
                     const chunkPng = await sdk.downloadFileWithRetry(chunkFileId);
-                    const chunkEncrypted = await sdk.extractBytesFromPngNative(chunkPng);
-                    const chunkDecryptedWrapper = await decryptDataNative(chunkEncrypted, sdk.secretKey);
+                    const { encryptedBytes: chunkEncrypted, dynamicSalt: chunkSalt } = await sdk.extractBytesFromPngNative(chunkPng);
+                    const chunkAesKey = await deriveAesKey(sdk.secretKey, chunkSalt);
+                    if (chunkEncrypted.length < 12) {
+                        throw new Error("Decryption Error: Chunk encrypted data too short");
+                    }
+                    const chunkIv = chunkEncrypted.slice(0, 12);
+                    const chunkCiphertext = chunkEncrypted.slice(12);
+                    const chunkDecryptedBuffer = await crypto.subtle.decrypt({ name: "AES-GCM", iv: chunkIv }, chunkAesKey, chunkCiphertext);
+                    const chunkDecryptedWrapper = new TextDecoder().decode(chunkDecryptedBuffer);
                     const parsedChunkWrapper = JSON.parse(chunkDecryptedWrapper);
                     return base64ToBytes(parsedChunkWrapper.data);
                 });
@@ -471,8 +467,21 @@ export class NuralemBult {
     async uploadChunk(key, dataBytes) {
         const base64Data = bytesToBase64(dataBytes);
         const jsonPayload = JSON.stringify({ data: base64Data });
-        const encryptedBytes = await encryptDataNative(jsonPayload, this.secretKey);
-        const stegoPngBlob = await this.injectBytesToPngNative(encryptedBytes);
+        // 1. Әр құжатқа жеке 16-байттық Dynamic Salt генерациялау
+        const dynamicSalt = crypto.getRandomValues(new Uint8Array(16));
+        // 2. Осы динамикалық салт арқылы PBKDF2 шифрлау кілтін алу
+        const aesKey = await deriveAesKey(this.secretKey, dynamicSalt);
+        // 3. Негізгі деректі шифрлау
+        const encoder = new TextEncoder();
+        const payloadBytes = encoder.encode(jsonPayload);
+        const iv = crypto.getRandomValues(new Uint8Array(12));
+        const encryptedBuffer = await crypto.subtle.encrypt({ name: "AES-GCM", iv: iv }, aesKey, payloadBytes);
+        const ciphertextBytes = new Uint8Array(encryptedBuffer);
+        const encryptedBytes = new Uint8Array(12 + ciphertextBytes.length);
+        encryptedBytes.set(iv, 0);
+        encryptedBytes.set(ciphertextBytes, 12);
+        // 4. Steganography арқылы суретке жазу (dynamicSalt біріктіріледі)
+        const stegoPngBlob = await this.injectBytesToPngNative(encryptedBytes, dynamicSalt);
         const response = await fetch(`${this.routerUrl}/api/upload`, {
             method: "POST",
             headers: {
@@ -501,46 +510,42 @@ export class NuralemBult {
     }
     /**
      * OPAQUE RGB STEGANOGRAPHY (Түстердің қысылуы мен аномалиясынан 100% қорғалған)
-     * Деректер тек R, G, B арналарының LSB-іне жазылады, ал Alpha арнасы қатаң түрде 255 болып қалады.
-     * Түстердің қысылуынан (Color Quantization) қорғау үшін 32-байттық Padding және CRC32 Checksum енгізілген.
-     * Mulberry32 PRNG орнына Web Crypto API нативті AES (Keystream) негізіндегі детерминистік CSPRNG біріктірілген.
+     * dynamicSalt бірінші 128 RGB арнасына сызықтық жазылады, қалған stego-деректер
+     * нативті HKDF (SHA-256) Keystream CSPRNG негізіндегі секірулермен жазылады.
      */
-    async injectBytesToPngNative(payloadBytes) {
+    async injectBytesToPngNative(payloadBytes, dynamicSalt) {
         const payloadLen = payloadBytes.length;
-        // CRC32 бақылау қосындысын есептеу
         const payloadCrc = crc32(payloadBytes);
         // Браузерлік қысу және шеткі пиксель ауытқуларынан қорғайтын 32-байттық нөлдік Padding
         const paddingLen = 32;
         const paddingBytes = new Uint8Array(paddingLen);
-        // Жалпы құрылым: [4 байт: payloadLen] [4 байт: CRC32] [payloadBytes] [32 байт: Padding]
-        const totalLen = 4 + 4 + payloadLen + paddingLen;
-        const payloadWithLen = new Uint8Array(totalLen);
+        // Қалған stego-деректер блогы: [4 байт: payloadLen] [4 байт: CRC32] [payloadBytes] [32 байт: Padding]
+        const remainingLen = 4 + 4 + payloadLen + paddingLen;
+        const remainingPayload = new Uint8Array(remainingLen);
         // 1. Ұзындығы (Big-Endian)
         const lenBytes = new Uint8Array(new Uint32Array([payloadLen]).buffer).reverse();
-        payloadWithLen.set(lenBytes, 0);
+        remainingPayload.set(lenBytes, 0);
         // 2. CRC32 Checksum (Big-Endian)
         const crcBytes = new Uint8Array(new Uint32Array([payloadCrc]).buffer).reverse();
-        payloadWithLen.set(crcBytes, 4);
+        remainingPayload.set(crcBytes, 4);
         // 3. Шифрланған негізгі деректер
-        payloadWithLen.set(payloadBytes, 8);
+        remainingPayload.set(payloadBytes, 8);
         // 4. Тұрақтандырушы Padding
-        payloadWithLen.set(paddingBytes, 8 + payloadLen);
-        const totalBits = payloadWithLen.length * 8;
+        remainingPayload.set(paddingBytes, 8 + payloadLen);
+        const totalBits = 128 + remainingPayload.length * 8; // 128 бит dynamicSalt үшін
         const totalPixels = Math.ceil(totalBits / 3); // Әр пиксельде 3 бит (RGB LSB)
         const size = Math.ceil(Math.sqrt(totalPixels)) + 4;
         const totalRgbBytes = size * size * 3;
-        // Нативті PBKDF2 және AES-GCM арқылы детерминистік CSPRNG (Keystream) алу
-        const aesKey = await deriveAesKey(this.secretKey);
-        const keystream = await generateDeterministicKeystream(aesKey, totalRgbBytes);
+        // Нативті HKDF Expansion арқылы детерминистік CSPRNG (Keystream) алу
+        const keystream = await generateHkdfKeystream(this.secretKey, dynamicSalt, totalRgbBytes);
         let keystreamIdx = 0;
         const getNextCryptoRand = () => {
             const byteVal = keystream[keystreamIdx++];
-            return byteVal / 256; // 0-ден 1-ге дейінгі floating кездейсоқ санын алу
+            return byteVal / 256;
         };
         const canvas = document.createElement("canvas");
         canvas.width = size;
         canvas.height = size;
-        // srgb түстік кеңістігін орнату арқылы браузер деңгейіндегі бұрмалаудың алдын алу
         const ctx = canvas.getContext("2d", { colorSpace: "srgb" });
         const grad = ctx.createLinearGradient(0, 0, size, size);
         grad.addColorStop(0, "#1f4068");
@@ -550,23 +555,34 @@ export class NuralemBult {
         ctx.fillRect(0, 0, size, size);
         const imageData = ctx.getImageData(0, 0, size, size);
         const pixels = imageData.data;
-        let idx = 0;
-        for (let i = 0; i < totalBits; i++) {
+        // 1-Қадам: dynamicSalt-ты сызықтық түрде бірінші 128 RGB арнасына жазу (PRNG-сіз)
+        for (let i = 0; i < 128; i++) {
+            const bytePos = Math.floor(i / 8);
+            const bitPos = 7 - (i % 8);
+            const bit = (dynamicSalt[bytePos] >> bitPos) & 1;
+            const pixelIdx = Math.floor(i / 3);
+            const channel = i % 3;
+            const actualFlatIdx = pixelIdx * 4 + channel;
+            pixels[actualFlatIdx] = (pixels[actualFlatIdx] & 0xFE) | bit;
+        }
+        // 2-Қадам: Қалған stego-деректерді HKDF Spacing арқылы 128-ші арнадан бастап жазу
+        let idx = 128;
+        const remainingBits = remainingPayload.length * 8;
+        for (let i = 0; i < remainingBits; i++) {
             const remainingBytes = totalRgbBytes - idx;
-            const remainingBits = totalBits - i;
-            const max_step = Math.floor(remainingBytes / remainingBits);
+            const remainingBitsCount = remainingBits - i;
+            const max_step = Math.floor(remainingBytes / remainingBitsCount);
             const step = max_step > 1 ? Math.floor(getNextCryptoRand() * max_step) + 1 : 1;
             idx += step;
             const rgbByteIdx = idx - 1;
             // Битті анықтау
             const bytePos = Math.floor(i / 8);
             const bitPos = 7 - (i % 8);
-            const bit = (payloadWithLen[bytePos] >> bitPos) & 1;
+            const bit = (remainingPayload[bytePos] >> bitPos) & 1;
             // RGB индексін pixel RGBA индексіне көшіру (Alpha қатаң түрде 255 болып қалады)
             const pixelIdx = Math.floor(rgbByteIdx / 3);
             const channel = rgbByteIdx % 3; // 0: R, 1: G, 2: B
             const actualFlatIdx = pixelIdx * 4 + channel;
-            // Байттың LSB-ін жаңарту
             pixels[actualFlatIdx] = (pixels[actualFlatIdx] & 0xFE) | bit;
         }
         // Alpha арнасын 255 (толық ашық емес) етіп бекіту
@@ -579,8 +595,9 @@ export class NuralemBult {
         });
     }
     /**
-     * OPAQUE RGB STEGANOGRAPHY арқылы жазылған деректі пиксельдерден оқу
-     * CRC32 бақылау қосындысын және белсенді Padding құрылымын автоматты түрде CSPRNG арқылы тексереді.
+     * OPAQUE RGB STEGANOGRAPHY арқылы жазылған деректі пиксельдерден оқу.
+     * Алдымен бірінші 128 арнадан сызықтық түрде Dynamic Salt оқылады,
+     * содан кейін HKDF CSPRNG арқылы қалған stego-деректер оқылып, CRC32 тексеріледі.
      */
     async extractBytesFromPngNative(stegoPngBytes) {
         const blob = new Blob([stegoPngBytes], { type: "image/png" });
@@ -597,16 +614,26 @@ export class NuralemBult {
         const imageData = ctx.getImageData(0, 0, img.width, img.height);
         const pixels = imageData.data;
         const totalRgbBytes = img.width * img.height * 3;
-        // Нативті PBKDF2 және AES-GCM арқылы детерминистік CSPRNG (Keystream) алу
-        const aesKey = await deriveAesKey(this.secretKey);
-        const keystream = await generateDeterministicKeystream(aesKey, totalRgbBytes);
+        // 1-Қадам: Бірінші 128 RGB арнасынан dynamicSalt-ты сызықтық оқу
+        const dynamicSalt = new Uint8Array(16);
+        for (let i = 0; i < 128; i++) {
+            const pixelIdx = Math.floor(i / 3);
+            const channel = i % 3;
+            const actualFlatIdx = pixelIdx * 4 + channel;
+            const bit = pixels[actualFlatIdx] & 1;
+            const bytePos = Math.floor(i / 8);
+            const bitPos = 7 - (i % 8);
+            dynamicSalt[bytePos] |= bit << bitPos;
+        }
+        // 2-Қадам: Оқылған dynamicSalt арқылы HKDF Expansion Keystream генерациялау
+        const keystream = await generateHkdfKeystream(this.secretKey, dynamicSalt, totalRgbBytes);
         let keystreamIdx = 0;
         const getNextCryptoRand = () => {
             const byteVal = keystream[keystreamIdx++];
             return byteVal / 256;
         };
-        let idx = 0;
-        // 1. Ұзындықты оқу (32 бит = 4 байт)
+        let idx = 128; // dynamicSalt оқылғаннан кейін жалғастыру
+        // 3-Қадам: Ұзындықты оқу (32 бит = 4 байт)
         const lenBytes = new Uint8Array(4);
         const lenBits = 32;
         for (let i = 0; i < lenBits; i++) {
@@ -625,7 +652,7 @@ export class NuralemBult {
             lenBytes[bytePos] |= bit << bitPos;
         }
         const payloadLen = new Uint32Array(lenBytes.reverse().buffer)[0];
-        // 2. CRC32 бақылау қосындысын оқу (32 бит = 4 байт)
+        // 4-Қадам: CRC32 бақылау қосындысын оқу (32 бит = 4 байт)
         const crcBytes = new Uint8Array(4);
         const crcBits = 32;
         for (let i = 0; i < crcBits; i++) {
@@ -644,11 +671,12 @@ export class NuralemBult {
             crcBytes[bytePos] |= bit << bitPos;
         }
         const expectedCrc = new Uint32Array(crcBytes.reverse().buffer)[0];
-        // Өлшемді және сыйымдылық шегін тексеру (4 + 4 + payloadLen + 32)
-        const totalRequiredBits = (4 + 4 + payloadLen + 32) * 8;
+        // Өлшемді және сыйымдылық шегін тексеру (128 + 4 + 4 + payloadLen + 32)
+        const totalRequiredBits = 128 + (4 + 4 + payloadLen + 32) * 8;
         if (totalRequiredBits > totalRgbBytes) {
             throw new Error("Decryption failed under Nuralem Bult: Invalid key or corrupted image pixels");
         }
+        // 5-Қадам: Негізгі шифрланған байттарды оқу
         const totalPayloadBits = payloadLen * 8;
         const payloadBytes = new Uint8Array(payloadLen);
         for (let i = 0; i < totalPayloadBits; i++) {
@@ -671,7 +699,7 @@ export class NuralemBult {
         if (actualCrc !== expectedCrc) {
             throw new Error(`Decryption failed under Nuralem Bult: CRC32 checksum mismatch (Expected: 0x${expectedCrc.toString(16)}, Got: 0x${actualCrc.toString(16)}). Data is corrupted or color profile alterations occurred.`);
         }
-        return payloadBytes;
+        return { encryptedBytes: payloadBytes, dynamicSalt };
     }
     mergeUint8Arrays(arrays) {
         let totalLength = arrays.reduce((acc, val) => acc + val.length, 0);

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "nuralem-bult-sdk",
-  "version": "1.2.0",
+  "version": "1.3.0",
   "description": "Serverless Decentralized Document-based polymorphic NoSQL database with client-side caching and storage abstraction adapter. Developed under Nuralem Bult Ecosystem.",
   "main": "dist/NuralemBult.js",
   "types": "dist/NuralemBult.d.ts",