Czy kanarki Warrant są przydatne?

Publiczne zaniepokojenie masowym rządowym nadzorem internetowym wzrosło, odkąd Edward Snowden ujawnił światu niewiarygodną skalę i zasięg operacji szpiegowskich NSA. Od tego czasu stał się popularny wśród usług internetowych, które przetwarzają poufne dane lub które mają na celu ochronę prywatności użytkowników (takich jak usługi VPN), aby wydawać kanarki warrantowe. Mają one na celu zapewnienie klientów, że usługa nie została naruszona przez rząd i zrealizowała zamówienie na knebel.

W Stanach Zjednoczonych każda firma może otrzymać tajne wezwanie rządowe lub list bezpieczeństwa narodowego (NSA). Zmusza to ich do przekazania wszystkich danych dotyczących określonego klienta, a nawet do przestrzegania ogólnego zamówienia dotyczącego przekazywania wszystkich klientów. Firma może być również zobowiązana do prowadzenia rejestrów nowej aktywności użytkowników, nawet jeśli inaczej by tego nie zrobiła.

Do takich wezwań lub NSL zwykle dołącza się knebel, który uniemożliwia firmie (lub dowolnemu jej pracownikowi), pod groźbą poważnych konsekwencji prawnych (jak w więzieniu), ujawnienie swoim klientom wezwania lub NSL. Większość innych krajów ma podobne przepisy.

Być może najbardziej niesławnym przypadkiem związanym z takim rozkazem kneblowania jest sprawa Lavabit. W 2013 r. Wezwano tę bezpieczną firmę pocztową (z nakazem kneblowania), aby przekazać NSA klucze prywatne SSL wszystkich ponad 400 000 klientów w celu szpiegowania Edwarda Snowdena (który prawdopodobnie korzystał z tej usługi).

Właściciel Levi Levinson zdecydował się nie stosować i natychmiast zamknął swoją firmę w celu ochrony prywatności jej użytkowników. Później został skazany za obrazę sądu.

Co to są kanarki nakazowe?

Kanarek nakazu jest regularnie aktualizowanym oświadczeniem firmy, że nie został naruszony i nie wydał rozkazu. Jeśli kanarek nakazu nie jest aktualizowany w regularnych odstępach czasu (zwykle zgodnie z ustalonym harmonogramem), użytkownicy powinni założyć, że usługa została naruszona.

IPredator, na przykład VPN, publikuje kanarek nakazu „co najmniej raz na kwartał”, który to stwierdza,

„IPredator nie otrzymał żadnych listów bezpieczeństwa narodowego ani nakazów sądowych FISA, lub został uciszony przez podobne (il) prawne i antydemokratyczne narzędzia prawne.”

To oświadczenie jest podpisane kluczem PGP, który ma na celu sprawdzenie jego autentyczności.

Kanarki Warrant pracują nad koncepcją, że rząd może legalnie uciszyć osobę, ale nie może zmusić jej do kłamstwa (tj. Do fałszywej aktualizacji kanarka nakazu). W USA argumentuje się, że pierwsza poprawka chroni przed wymuszoną mową. Jak zauważa Electronic Frontier Foundation (EFF),

„Chociaż rząd może być w stanie wymusić ciszę za pomocą rozkazu kneblowania, może nie być w stanie zmusić ISP do kłamstwa, fałszywie stwierdzając, że nie został poddany procesowi prawnemu, podczas gdy w rzeczywistości ma”.

Idea kanarków nakazowych została poparta przez EFF, który prowadzi Canary Watch, stronę internetową poświęconą monitorowaniu, czy firmy pozwalają na wygaśnięcie swoich kanarków nakazowych.

Czy można zaufać kanistrowi nakazu??

Na pierwszy rzut oka kanarki warrant brzmią jak dobry pomysł. Jednak wielu nie jest przekonanych, twierdząc, że kanarki nakazowe to niewiele więcej niż reklama puchu i dymu, z niewielką lub żadną rzeczywistą treścią.

1. Pierwsza poprawka ochrona korzystania z kanarków nakazów ma charakter wyłącznie domniemany - nigdy nie był testowany w sądzie. Jest bardzo możliwe, że sąd w USA orzeknie, że brak aktualizacji kanarka nakazu stanowi pogwałcenie wymogu prawnego nałożonego na osobę.

Jest to tym bardziej prawdziwe poza Stanami Zjednoczonymi, gdzie ludzie nie korzystają z wyraźnych praw konstytucyjnych przyznanych obywatelom USA. Australia jest pierwszym krajem, który wyraźnie zakazał korzystania z kanarków nakazowych, a inne kraje (takie jak Wielka Brytania) prawdopodobnie niedługo nadejdą.

2. Rząd może łatwo przejąć stronę internetową i podać fałszywe aktualizacje. Zabezpieczenie kanarka nakazu za pomocą klucza PGP ma na celu ochronę przed tym, ale a) ile osób faktycznie sprawdza te klucze PGP ?, oraz b) jeśli właściciel firmy może zostać zmuszony do naruszenia jego usług, można go również zmusić (lub przekupiony), aby przekazać klucze PGP.

Jak powiedział Brett Max Kaufman, prawnik z American Civil Liberties Union,

„Gdyby rząd poprosił firmę o pozostawienie swojego nakazu kanaryjskiego (i w związku z tym podać coś fałszywego do wiadomości publicznej), firma miałaby prawo zakwestionować każdy knebel (na podstawie Pierwszej Poprawki ... lub na podstawie niektórych postanowień amerykańskiej wolności Act) w sądzie. Ale jeśli sąd podtrzyma wniosek rządu ... społeczeństwo nie będzie mądrzejsze, przynajmniej przez jakiś czas. Rzeczywiście byłby to cały cel z punktu widzenia rządu."

Osoba, która była wystarczająco szybka, może być w stanie zniszczyć wszystkie kopie swojego klucza PGP (które będą przechowywane w różnych miejscach, aby można je było zweryfikować) przed zmuszeniem do przekazania. Pozwoliłoby to obserwatorowi z orłem na zauważenie brakującego podpisu, gdyby firma była zmuszona kontynuować aktualizację kanarka nakazu. Jednak nadal nie ma możliwości, aby klienci wiedzieli, czy klucz nie został zniszczony.

SpiderOak, firma zajmująca się bezpiecznym przechowywaniem stron internetowych, podejmuje odważną próbę rozwiązania tego problemu, podpisując swój kanarek cyfrowo podpisany przez 3 różne wysoko postawione osoby w firmie (przypuszczalnie zlokalizowane w różnych lokalizacjach geograficznych). Z pewnością spowodowałoby to utrudnienie (lub przekupienie) wszystkich sygnatariuszy trudniejsze (lub droższe), ale nie zapewnia żeliwnych gwarancji, że tak jest i że wszystkim można zaufać.

3. Nawet gdy kanarki nakazu zostaną „uruchomione” (tj. Nie zostaną zaktualizowane w odpowiednim czasie), często jest to ignorowane. Dobrym przykładem jest Apple, które w 2014 r. Usunęło kanistra nakazów z najnowszego raportu w sprawie przejrzystości. Mimo to powszechnie twierdzono, że usunięcie prawdopodobnie nie oznacza, że ​​Apple został zmuszony do przekazania danych na podstawie tajnych zamówień rządowych. To może, ale nie musi, być prawda, ale w każdym razie incydent został szybko zapomniany, a klienci jak zwykle ufali Apple.

Innym przykładem jest brakujący kanarek nakazu w raporcie na temat przejrzystości z 2015 r. Reddit. Pomimo pewnych początkowych obaw wśród niewielkiej podsekcji Redditors, działalność na forach Reddit również trwa odtąd jak zwykle.

Jaki jest zatem sens posiadania kanistra nakazu, jeśli jego zniknięcie nie wywoła alarmu!?

Wniosek

Kanarki Warrant to wadliwy pomysł, który służy głównie jako puch promocyjny dla firm pragnących pokazać swoje dane uwierzytelniające przyjazne dla prywatności.

Fakt, że nawet w momencie wyzwolenia kanistrów nakazu, jest to rutynowo ignorowane (przypuszczalnie dlatego, że działanie na spuście jest niewygodne dla użytkowników) służy jedynie dalszemu osłabieniu tego, na co możemy polegać w takim stopniu.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me