RESPONSIBLE DISCLOSURE

Sicurezza

BCrypto costruisce prodotti di comunicazione end-to-end encrypted post-quantum (Q-Audion). Trattiamo i security report come lavoro di ingegneria di prima classe. Questa pagina è il canale canonico di segnalazione fino al lancio del bug bounty gestito.

Contatto

Fingerprint chiave PGP

Sarà pubblicata qui insieme al public key block prima della release 1.0 pubblica.

Alternativa cifrata

Aprire una draft security advisory nel tab Security del repository BCrypto rilevante (GitHub private vulnerability reporting).

I nostri impegni

  • Acknowledgement entro 48 ore lavorative dalla ricezione
  • Triage e classificazione severità entro 5 giorni lavorativi
  • Finestra di disclosure coordinata di 90 giorni di default, estesa solo con accordo del reporter quando una fix complessa lo richiede
  • Credito pubblico nelle release notes salvo richiesta di anonimato

Bug bounty

Un programma bug bounty gestito sarà operativo prima della 1.0 pubblica di Q-Audion. Nel frattempo offriamo ricompense in buona fede caso per caso per finding ad alto impatto.

Scope

In scope
  • +Tutto il codice server BCrypto (identità, gestione chiavi, trasporto, gruppi, prekey, file storage)
  • +Tutti i client Q-Audion pubblicati su Android, iOS e Desktop
  • +Design dei protocolli crittografici (handshake PQ, double ratchet post-quantistico, Sealed Sender, Sigsum Key Transparency)
  • +Drift della wire spec che causa comportamenti cross-platform non sicuri
Fuori scope
  • Problemi che richiedono accesso fisico a un dispositivo sbloccato
  • XSS self-inflicted senza attraversare un confine di fiducia
  • Versioni browser/OS obsolete fuori dalle finestre di supporto vendor
  • DDoS volumetrico senza logic flaw
  • Social engineering del personale BCrypto
  • Report basati su output di scanner automatici senza proof-of-concept funzionante

Wire specification aperta

Il contratto cross-platform del protocollo è byte-identico fra tutti i client Q-Audion. La spec è mirrorata nei repository client e in quello server come commit gating per qualunque cambio wire. Revisori indipendenti possono leggerla prima di aprire una sessione — le implementazioni di libreria (liboqs, BouncyCastle, @noble/post-quantum) sono cross-validate contro vettori KAT condivisi.

Build riproducibili (target 1.0)

Tutti gli artifact di release Q-Audion 1.0 (APK, IPA via TestFlight, installer Desktop) saranno firmati Sigstore. La riproducibilità indipendente dai sorgenti è criterio di go-release: chiunque può verificare che il binario distribuito corrisponda al sorgente pubblico.