Seguridad
Q-Audion es mensajería y voz end-to-end cifradas post-cuánticas. Tratamos los reportes de seguridad como trabajo de ingeniería de primera clase. Esta página es el canal canónico de reporte hasta el lanzamiento del bug bounty gestionado.
Contacto
Se publicará aquí junto con el public key block antes de la release 1.0 pública.
Abrir un draft security advisory en la pestaña Security del repositorio Q-Audion relevante (GitHub private vulnerability reporting).
Nuestros compromisos
- Acuse de recibo dentro de 48 horas hábiles tras la recepción
- Triaje y clasificación de severidad dentro de 5 días hábiles
- Ventana de divulgación coordinada de 90 días por defecto, extendida solo con acuerdo del reporter cuando una corrección compleja lo requiera
- Crédito público en las release notes salvo solicitud de anonimato
Bug bounty
Un programa bug bounty gestionado estará operativo antes de la 1.0 pública. Mientras tanto, ofrecemos recompensas de buena fe caso por caso para findings de alto impacto.
Scope
- +Todo el código servidor Q-Audion (identidad, gestión de claves, transporte, grupos, prekeys, file storage)
- +Todos los clientes Q-Audion publicados en Android, iOS y Desktop (Windows / macOS / Linux cuando se entregue)
- +Diseño de protocolos criptográficos (handshake PQ, double ratchet post-cuántico, Sealed Sender, Sigsum Key Transparency)
- +Drift de la wire spec que cause comportamiento cross-platform inseguro
- −Problemas que requieren acceso físico a un dispositivo desbloqueado
- −XSS auto-infligido sin cruzar una frontera de confianza
- −Versiones browser/OS obsoletas fuera de ventanas de soporte del vendor
- −DDoS volumétrico sin logic flaw
- −Ingeniería social del personal Q-Audion
- −Reportes basados en salida de scanner automatizado sin proof-of-concept funcional
Wire specification abierta
El contrato cross-platform del protocolo es byte-idéntico entre todos los clientes Q-Audion. La spec está espejada en los repositorios cliente y en el repositorio server como commit gating para cualquier cambio wire. Revisores independientes pueden leerla antes de abrir una sesión — y las implementaciones de librería (liboqs, BouncyCastle, @noble/post-quantum) se cross-validan contra vectores KAT compartidos.
Builds reproducibles (objetivo 1.0)
Todos los artifacts de release 1.0 (APK, IPA vía TestFlight, instaladores Desktop) estarán firmados con Sigstore. La reproducibilidad independiente desde fuentes es criterio de go-release: cualquiera puede verificar que el binario entregado coincida con el código fuente público.