English SECURITY

이 얽힘 라이브러리(EntanglementLib)의 네이티브 라이브러리는 "군사적 수준의 보안"과 "완벽한 데이터 소거(Anti-Data Remanence)"를 핵심 철학으로 삼고 있습니다. 우리는 여러분의 보안 취약점 제보를 매우 중요하게 생각하며, 발견된 문제는 최우선 순위로 처리됩니다.

이 네이티브 라이브러리의 보안 취약점이나 민감한 데이터 잔류 문제, 메모리 관련 문제를 발견하셨다면, 절대 GitHub Issue에 공개적으로 게시하지 마세요! 대신 아래 절차에 따라 비공개로 제보해 주시기를 부탁드립니다.

1. 이메일 qtfelix@qu4nt.space로 저에게 직접 연락하세요.
2. 메일 제목에 [SECURITY] entlib-native Vulnerability Report [GITHUB USERNAME]를 포함해 주세요.
3. 가능하다면 아래의 정보를 포함해 주세요.
   • 취약점의 유형 (타이밍 문제, 메모리 덤프 시 키 잔류, FFI 경계 검사 우회, PQC 알고리즘 구현 오류 등)
   • 재현 방법 (PoC 코드 또는 단계별 설명)
   • 영향을 받는 버전 및 환경의 상세한 정보 (OS, 컴퓨터 하드웨어 정보, Java 버전 등)

제보된 취약점은 다음과 같은 절차로 처리됩니다.

1. 접수 확인: 48시간 이내에 제보자에게 접수 확인 메일을 발송합니다.
2. 분석 및 검증: 퀀트 팀 내부에서 취약점의 영향도와 재현 가능성을 세밀히 분석합니다.
3. 패치 개발: 문제가 확인되면 entlib-native 또는 entanglementlib의 핫픽스를 개발합니다.
4. 공개 및 배포: 패치가 완료되고 릴리즈된 후, 제보자와 협의하여 적절한 시점에 취약점 정보를 공개(Disclosure)합니다.

이 프로젝트는 특히 다음 영역의 보안을 중요하게 다룹니다.

• 메모리 소거 (Memory Erasure): 민감한 데이터(키, 평문, 난수 시드 등)가 사용 후 즉시, 그리고 확실하게 메모리에서 소거되는지 여부. Drop 트레이트와 write_volatile을 통한 소거 로직의 무결성
• 상수 시간 연산 (Constant-Time Operations): 비밀 키나 데이터에 의존하는 연산이 입력 값에 상관없이 일정한 시간에 수행되는지 여부. 타이밍 공격(Timing Attack)에 대한 저항성
• 난수 생성 (Random Number Generation): 하드웨어 엔트로피(rdseed, rdrand, rndr)의 올바른 사용과 MixedRng의 비선형 혼합 로직의 안전성
• FFI 경계 (FFI Boundaries): Java와 Rust 간의 데이터 교환 시 발생할 수 있는 메모리 오염, null 포인터 역참조, 버퍼 오버플로 등의 문제
• 암호학적 정확성 (Cryptographic Correctness): 구현된 알고리즘(SHA-2, SHA-3, Base64 등)이 표준 명세(NIST FIPS, SP 등)를 정확히 준수하는지 여부

다음 항목들은 일반적으로 보안 취약점 보고 대상에서 제외되지만, 심각한 경우 검토될 수 있습니다.

• 단순 성능 문제: 보안에 영향을 주지 않는 단순한 성능 저하(단, DoS 공격으로 이어질 수 있는 경우는 제외)
• 문서의 오타: 기술적인 오해를 불러일으키지 않는 단순한 오타나 문법 오류
• 실험적 기능: 명시적으로 "실험적(Experimental)"이라고 표시된 기능의 버그
• 사용자 환경 문제: 사용자의 OS나 하드웨어 자체의 결함으로 인한 문제

해당 문제가 취약점으로 확인되면 보안 권고사항을 발표하고 당신의 기여를 기여자 목록에 포함시키겠습니다. 원하시는 경우, 기여자 목록에 당신의 성함과 연락처 정보를 기재할 수도 있습니다.

얽힘 라이브러리의 보안을 강화하는 데 기여해 주신 모든 보안 연구원 및 개발자분들께 미리 감사의 말씀을 전합니다.