Är Warrant Kanarieöarna användbara?

Allmänhetens oro för massövervakning av internet har vuxit sedan Edward Snowden avslöjade den otroliga omfattningen och omfattningen av NSA: s spionageverksamhet för världen. Det har sedan dess blivit populärt bland internettjänster som hanterar känslig information, eller som är avsedda att skydda användarnas integritet (som VPN-tjänster), för att utfärda garantikanarier. Dessa är avsedda att försäkra kunder om att tjänsten inte har äventyrats av regeringen och betjänat en gag order.

I USA kan alla företag utfärdas med en hemlig regeringsstämning eller nationell säkerhetsbrev (NSA). Detta tvingar dem att överlämna all information som gäller antingen en namngivna kund, eller till och med att följa en filtorder för att överlämna information om alla kunder. Företaget kan också behöva börja hålla loggar över användarnas nya aktivitet, även om det annars inte skulle göra det.

Sådana stämningar eller NSL åtföljs vanligtvis av en gagorder, som förhindrar företaget (eller någon av dess personal), under hot om allvarliga juridiska konsekvenser (som tid i fängelse), från att avslöja förekomsten av stämningen eller NSL till sina kunder. De flesta andra länder har liknande lagar.

Det kanske mest beryktade fallet som involverar en sådan gagorder är Lavabit. 2013 ställdes detta säkra webmailföretag fram (med gagorder) för att överlämna SSL-privata nycklar för alla 400 000+ kunder till NSA för att spionera på Edward Snowden (som tros ha använt tjänsten).

Ägaren Levi Levinson valde att inte följa och stängde omedelbart sitt företag för att skydda användarnas integritet. Han dömdes senare för förakt för domstolen.

Vad är teckningsoptioner?

En teckningsoption är ett regelbundet uppdaterat uttalande från ett företag att det inte har äventyrats och serverat en gag order. Om en garantikanarie inte uppdateras med regelbundna intervall (vanligtvis till ett fast schema), bör användare anta att tjänsten har äventyrats.

VPN-outfit iPredator, till exempel, publicerar en teckningsoption "åtminstone kvartalsvis", där det anges,

"IPredator har inte mottagit några nationella säkerhetsbrev eller FISA-domstolsbeslut eller har tystats av liknande (il) juridiska och anti-demokratiska lagar."

Detta uttalande är undertecknat med en PGP-nyckel avsedd att verifiera dess äkthet.

Warrant Kanarieöarna arbetar med tanken att en regering lagligt kan tystna en individ, men att den inte kan tvinga dem att berätta en lögn (dvs att felaktigt uppdatera befästningskanaren). I USA hävdas att det första ändringsförslaget skyddar mot tvingat tal. Som Electronic Frontier Foundation (EFF) noterar,

"Även om regeringen kanske kan tvinga tystnad genom en gagorder, kanske den inte kan tvinga en ISP att ljuga genom att felaktigt säga att den inte har fått någon juridisk process när den faktiskt har gjort det."

Idén om warrantskanarier har förkunnats av EFF, som driver Canary Watch, en webbplats avsedd för att övervaka om företag tillåter att deras kanariefågel kan förfalla.

Kan en teckningsoption vara tillförlitlig?

Mot bakgrund av det låter garanterade kanariefågar som en bra idé. Många är emellertid inte övertygade om att argumentera att kanariefågel är lite mer än puff- och rökreklam med liten eller ingen verklig substans.

1. Första ändringsskyddet för användning av teckningsoptioner är rent förutsägbart - Det har aldrig testats vid en domstol. Det är mycket möjligt att en amerikansk domstol skulle avgöra att underlåtenhet att uppdatera en teckningsoption utgör förakt för det rättsliga krav som ställs på en individ.

Detta är ännu sant utanför USA, där människor inte åtnjuter de uttryckliga konstitutionella rättigheter som amerikanska medborgare ger. Australien är det första landet som uttryckligen förbjuder användningen av kanariefilmer och andra länder (som Storbritannien) kommer troligen att följa snart.

2. En webbplats kan enkelt tas över av en regering och falska uppdateringar ges. Att säkerställa en teckningsoption med en PGP-nyckel är avsedd att skydda mot detta, men a) hur många människor som faktiskt kontrollerar dessa PGP-nycklar? (eller bestickas) för att lämna över sina PGP-nycklar.

Som Brett Max Kaufman, en advokat vid American Civil Liberties Union, berättade för BBC,

”Om regeringen bad ett företag lämna sin teckningsoption (och därför kommunicera något falskt för allmänheten) skulle företaget ha rätt att ifrågasätta gagg (under det första ändringsförslaget ... eller under vissa bestämmelser i USA Freedom Agera) i domstolen. Men om en domstol godkände regeringens begäran ... skulle allmänheten inte vara klokare, åtminstone under en tid. Det skulle verkligen vara hela målet från regeringens perspektiv."

En person som var tillräckligt snabb kanske kunde förstöra alla kopior av sin PGP-nyckel (som kommer att lagras på olika platser så att det kan verifieras) innan han tvingas överlämna den. Detta skulle göra det möjligt för en örn-ögonobservatör att märka den saknade signaturen om företaget tvingas fortsätta uppdatera sin teckningsoption. Det finns dock inget sätt för kunder att veta om en nyckel inte har förstörts eller inte.

Det säkra webblagringsföretaget SpiderOak gör ett modigt försök att ta itu med detta problem genom att ha sin garanti kanarie digitalt undertecknad av 3 olika högt rankade individer inom företaget (som antagligen finns på olika geografiska platser). Detta skulle säkert göra tvång (eller bestickning) av alla signatörer svårare (eller dyra), men ger inga gjutjärngarantier att detta är fallet och att alla kan lita på.

3. Även när ordningskanarier "utlöses" (dvs de uppdateras inte i rätt tid) ignoreras detta ofta. Ett bra exempel är Apple, som 2014 tog bort sin teckningsoption från sin senaste transparensrapport. Trots detta hävdades det allmänt att borttagningen förmodligen inte innebar att Apple hade tvingats lämna ut uppgifter efter hemliga regeringsbeslut. Detta kanske eller kanske inte är sant, men hur som helst, glömdes incidenten snabbt och kunder fortsatte att lita på Apple som vanligt.

Ett annat exempel är den saknade teckningsoptionen i Reddits 2015-insynsrapport. Trots en viss initial oro bland ett litet underavsnitt av Redditors har affärer på Reddit-forumet sedan dess fortsatt som vanligt.

Vad är då poängen med att ha en ordningskanarie om dess försvinnande orsakar inget larm!?

Slutsats

Warrant Kanarieöarna är en bristfällig idé som främst fungerar som reklamfluff för företag som är intresserade av att visa sina integritetsvänliga referenser.

Det faktum att även när garantikanarier utlöses ignoreras detta rutinmässigt (förmodligen för att agera på avtryckaren är olämpligt för användare) tjänar bara till att undergräva ytterligare det lilla förtroende vi kan ha i en sådan åtgärd.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me