RESPONSIBLE DISCLOSURE

Sicherheit

BCrypto baut Ende-zu-Ende verschlüsselte Post-Quanten-Kommunikationsprodukte (Q-Audion). Wir behandeln Security-Reports als Engineering-Arbeit erster Klasse. Diese Seite ist der kanonische Meldekanal bis zum Start des gemanagten Bug Bounty.

Kontakt

PGP-Schlüssel-Fingerprint

Wird hier zusammen mit dem Public-Key-Block vor dem öffentlichen 1.0 Release veröffentlicht.

Verschlüsselte Alternative

Eine Draft Security Advisory im Security-Tab des relevanten BCrypto-Repositorys öffnen (GitHub Private Vulnerability Reporting).

Unsere Verpflichtungen

  • Bestätigung innerhalb 48 Geschäftsstunden nach Erhalt
  • Triage und Schweregradklassifikation innerhalb 5 Werktagen
  • 90-Tage Coordinated-Disclosure-Fenster Standard, nur mit Reporter-Zustimmung verlängert wenn ein komplexer Fix erforderlich
  • Öffentliche Anerkennung in Release Notes sofern keine Anonymität gewünscht

Bug Bounty

Ein gemanagtes Bug-Bounty-Programm wird vor dem öffentlichen 1.0 Release von Q-Audion live gehen. Bis dahin bieten wir gutgläubige Belohnungen fallweise für High-Impact-Findings.

Scope

Im Scope
  • +Gesamter BCrypto Server-Code (Identität, Key-Management, Transport, Gruppen, Prekeys, File Storage)
  • +Alle veröffentlichten Q-Audion Clients auf Android, iOS und Desktop
  • +Kryptografisches Protokolldesign (PQ-Handshake, Post-Quanten-Double-Ratchet, Sealed Sender, Sigsum Key Transparency)
  • +Wire-Spec-Drift, die plattformübergreifendes unsicheres Verhalten verursacht
Außer Scope
  • Probleme, die physischen Zugriff auf entsperrtes Gerät erfordern
  • Selbst zugefügte XSS ohne Überschreitung einer Trust-Boundary
  • Veraltete Browser-/OS-Versionen außerhalb der Hersteller-Support-Fenster
  • Volumetrische DDoS ohne Logic Flaw
  • Social Engineering von BCrypto-Personal
  • Reports basierend auf automatisiertem Scanner-Output ohne funktionierendes Proof-of-Concept

Offene Wire Specification

Der plattformübergreifende Protokollvertrag ist byte-identisch über alle Q-Audion Clients. Die Spec ist über die Client-Repositorys und das Server-Repository als Gating Commit für jede Wire-Änderung gespiegelt. Unabhängige Prüfer können sie vor dem Öffnen einer Session lesen — Library-Implementierungen (liboqs, BouncyCastle, @noble/post-quantum) werden gegen geteilte KAT-Vektoren kreuzvalidiert.

Reproduzierbare Builds (1.0-Ziel)

Alle Q-Audion 1.0 Release-Artefakte (APK, IPA via TestFlight, Desktop-Installer) werden Sigstore-signiert. Unabhängige Reproduzierbarkeit aus dem Quellcode ist ein Release-Go-Kriterium: jeder kann verifizieren, dass das ausgelieferte Binary mit dem öffentlichen Quellcode übereinstimmt.