취약점 보고
보안 문제를 발견하셨나요? security@i2p.net으로 보고하세요 (PGP 권장).
PGP 키 다운로드 | GPG 키 지문: 40DF FE20 7D79 9BEC 3AE8 7DEA 5F98 BE91 176E 1941
연구 가이드라인
절대 하지 마세요:
- 실제 I2P 네트워크를 악용하지 마세요
- 사회공학이나 I2P 인프라 공격을 시도하지 마세요
- 다른 사용자의 서비스를 방해하지 마세요
다음 행동을 하세요:
- 가능한 경우 격리된 테스트 네트워크를 사용하세요
- 협력된 공개 관행을 따르세요
- 실제 네트워크 테스트 전에 저희에게 연락하세요
대응 프로세스
1. 보고 접수
- 3 근무일 이내 회신
- 대응 매니저 배정
- 심각도 분류 (HIGH/MEDIUM/LOW)
2. 조사 및 개발
- 암호화된 채널을 통한 비공개 패치 개발
- 격리된 네트워크에서 테스트
- HIGH 심각도: 3일 이내에 공개 알림 (공격 세부 사항 제외)
3. 출시 및 공개
- 보안 업데이트 배포
- 최대 90일 이내에 전면 공개
- 발표에서 연구자 신용 제공 가능
심각도 수준
HIGH - 네트워크 전반의 영향, 즉각적인 주의 필요 MEDIUM - 개별 라우터, 표적 착취 LOW - 제한적인 영향, 이론적 시나리오
안전한 커뮤니케이션
모든 보안 보고에 대해 PGP/GPG 암호화를 사용하세요:
지문: 40DF FE20 7D79 9BEC 3AE8 7DEA 5F98 BE91 176E 1941
보고서에 포함할 내용:
- 상세한 기술 설명서
- 재현 가능한 단계
- 개념 증명 코드 (해당되는 경우)
타임라인
| 단계 | 타임프레임 |
|---|---|
| 초기 회신 | 0-3일 |
| 조사 | 1-2주 |
| 개발 및 테스트 | 2-6주 |
| 출시 | 6-12주 |
| 전면 공개 | 최대 90일 |
FAQ
보고하면 문제가 생길까요? 아니요. 책임 있는 공개는 감사하고 보호받습니다.
실제 네트워크에서 테스트할 수 있나요? 아니요. 격리된 테스트 네트워크만을 사용하세요.
익명을 유지할 수 있나요? 예, 하지만 이는 커뮤니케이션을 복잡하게 할 수 있습니다.
버그 포상금이 있나요? 현재는 없습니다. I2P는 자원이 제한된 자원 봉사 중심 프로젝트입니다.
보고할 내용
범위 내:
- I2P 라우터 취약점
- 프로토콜 또는 암호화 결함
- 네트워크 수준의 공격
- 익명성 해제 기법
- 서비스 거부 문제
범위 외:
- 타사 애플리케이션 (개발자에게 문의)
- 사회공학이나 물리적 공격
- 알려진/공개된 취약점
- 순전히 이론적 문제
I2P 보안을 유지하는 데 도움을 주셔서 감사합니다!