Ovatko optiikanarit hyödyllisiä?

Kansalaisten huolenpito hallitusten harjoittamasta Internetin seurannasta on kasvanut siitä lähtien, kun Edward Snowden paljasti NSA: n vakoilutoimintojen uskomattoman laajuuden ja laajuuden maailmalle. Siitä lähtien on arkaluontoisia tietoja käsittelevien tai käyttäjien yksityisyyden suojelemiseksi tarkoitettujen Internet-palveluiden (kuten VPN-palveluiden) suosittu tarjoamaan kantareita. Niiden tarkoituksena on vakuuttaa asiakkaat siitä, että hallitus ei ole vaarantanut palvelua ja että ne ovat toimittaneet suukapula-tilauksen.


Yhdysvalloissa jokaiselle yritykselle voidaan antaa salainen hallituksen haaste tai kansallisen turvallisuuden kirje (NSA). Tämä pakottaa heidät luovuttamaan kaikki nimetylle asiakkaalle liittyvät tiedot tai jopa noudattamaan yleistä tilausta luovuttaa tietoja kaikista asiakkaista. Yritystä voidaan myös vaatia aloittamaan lokien pitäminen käyttäjien uudesta toiminnasta, vaikka se ei muutoin tekisi niin.

Tällaisiin oikeudenkäynteihin tai NSL: iin liittyy tyypillisesti gag-määräys, joka estää yritystä (tai mitä tahansa sen henkilöstöä) vakavien oikeudellisten seurausten uhassa (vankilassa ollessaan) paljastamasta oikeudenkäynnin tai NSL: n olemassaolo asiakkailleen. Useimmissa muissa maissa on vastaavat lait.

Ehkä kaikkein surullisin tapaus, johon liittyy tällainen gag-järjestys, on Lavabit. Vuonna 2013 tälle turvalliselle verkkopostiyritykselle annettiin oikeuskäsittely (gag-määräyksellä) luovuttaa kaikkien 400 000+ asiakkaan SSL-yksityiset avaimet NSA: lle vakoillakseen Edward Snowdenia (jonka uskottiin käyttäneen palvelua).

Omistaja Levi Levinson päätti olla noudattamatta ja lopetti heti yrityksensä käyttäjien yksityisyyden suojaamiseksi. Myöhemmin hänet tuomittiin oikeuden halveksunnasta.

Mitkä ovat optiikanarit??

Optio-kanariini on säännöllisesti päivitettävä yrityksen lausunto siitä, ettei sitä ole vaarattu ja että se on toimittanut jyrkkymääräyksen. Jos optiokanariaa ei päivitetä säännöllisin väliajoin (yleensä asetettuun aikatauluun), käyttäjien tulee olettaa, että palvelu on vaarannettu.

Esimerkiksi VPN-asu iPredator julkaisee optiokanarian ”vähintään neljännesvuosittain”, jossa todetaan, että,

"IPredator ei ole vastaanottanut mitään kansallisen turvallisuuden kirjeitä tai FISA: n tuomioistuimen määräyksiä tai se on vaiennettu vastaavilla (il) laillisilla ja demokraattisilla lailla."

Tämä lausunto on allekirjoitettu PGP-avaimella, jonka tarkoituksena on varmistaa sen aitous.

Optio-kanariansaarit työskentelevät ajatuksen mukaan, että hallitus voi laillisesti vaientaa henkilön, mutta että se ei voi pakottaa heitä valehtelemaan (ts. Päivittämään väärin optio-kanarian. Yhdysvalloissa väitetään, että ensimmäinen muutos suojaa pakotetulta puheelta. Kuten Electronic Frontier Foundation (EFF) toteaa,

"Vaikka hallitus saattaa kyetä pakottamaan hiljaisuuden gag-määräyksen avulla, se ei välttämättä pysty pakottamaan Internet-palveluntarjoajaa valehtelemaan ilmoittamalla virheellisesti, että se ei ole saanut oikeudellista prosessia tosiasiallisesti."

Kansainvälisen kalatalousrahaston, joka ylläpitää Canary Watchia, verkkosivustolla on tarkoitus valvoa optiokanarioiden ajattelua Kanariansaarilla.

Voidaanko lupakirjaanarioon luottaa?

Sitä vastoin optiokanarit kuulostavat hyvältä idealta. Monet eivät ole kuitenkaan vakuuttuneita väittäessään, että optiokanarit ovat hiukan enemmän kuin turvotusta ja savua koskevaa mainontaa vähän tai ei mitään todellista ainetta.

1. Ensimmäisen muutoksen suojaus optio-kanarioiden käytölle on puhtaasti arveluttavaa - sitä ei ole koskaan testattu tuomioistuimessa. On hyvin mahdollista, että Yhdysvaltain tuomioistuin toteaa, että optiokanarian päivittämättä jättäminen merkitsee yksityiselle asetetun lain vaatimuksen kunnioittamista..

Tämä pätee entistä enemmän Yhdysvaltojen ulkopuolelle, jossa ihmiset eivät nautti Yhdysvaltojen kansalaisille annetuista nimenomaisista perustuslaillisista oikeuksista. Australia on ensimmäinen maa, joka nimenomaisesti kieltää optiokanarioiden käytön, ja muut maat (kuten Yhdistynyt kuningaskunta) seuraavat todennäköisesti pian.

2. Hallitus voi helposti ottaa verkkosivuston käyttöön ja antaa vääriä päivityksiä. Optio-kanarian turvaamisella PGP-avaimella on tarkoitus suojata tätä vastaan, mutta a) kuinka moni ihminen tosiasiallisesti tarkistaa nämä PGP-avaimet? Ja b) jos yrityksen omistaja voidaan pakottaa vaarantamaan palvelunsa, ne voidaan myös pakottaa (tai lahjoitettu) PGP-avainten luovuttamiseksi.

Kuten Yhdysvaltain kansalaisvapauksien liiton lakimies Brett Max Kaufman kertoi BBC: lle,

”Jos hallitus pyysi yritystä jättämään optiokanariansa (ja ilmoittamaan sille jotain vääriä yleisölle), yrityksellä olisi oikeus haastaa mikä tahansa jyrä (ensimmäisen muutoksen nojalla ... tai Yhdysvaltojen vapauden tiettyjen määräysten nojalla) Laki) tuomioistuimessa. Mutta jos tuomioistuin hyväksyisi hallituksen pyynnön, kansalaiset eivät olisi viisaampia, ainakaan jonkin aikaa. Se olisi todellakin koko tavoite hallituksen näkökulmasta."

Henkilö, joka oli riittävän nopea, saattaa pystyä tuhoamaan kaikki PGP-avaimensa kopiot (jotka varastoidaan useisiin paikkoihin, jotta se voidaan tarkistaa) ennen pakotusta luovuttamaan sen. Tämä antaisi kotkasilmäiselle tarkkailijalle huomata puuttuvasta allekirjoituksesta, jos yritys pakotetaan päivittämään optio-kanariaan. Asiakkaille ei kuitenkaan vielä ole tietoa, onko avainta tuhottu vai ei.

Suojattu verkkotallennusyritys SpiderOak yrittää rohkeasti puuttua tähän ongelmaan saattamalla optio-kanariansa digitaalisesti allekirjoittamaan 3 erilaista yrityksen korkean tason henkilöä (jotka oletettavasti sijaitsevat eri maantieteellisillä alueilla). Tämä tekisi varmasti kaikkien allekirjoittajien pakottamisen (tai lahjoittamisen) vaikeammaksi (tai kalliimmaksi), mutta ei anna mitään valurautatakuita siitä, että näin on ja että heihin kaikkiin voi luottaa.

3. Jopa kun optiokanarit "laukaistaan" (ts. Niitä ei päivitetä ajoissa), tämä jätetään usein huomioimatta.. Hyvä esimerkki on Apple, joka vuonna 2014 poisti optio-kanariansa viimeisimmästä avoimuusraportista. Tästä huolimatta väitettiin laajasti, että poistaminen ei todennäköisesti tarkoittanut, että Apple oli pakotettu luovuttamaan tietoja hallituksen salaisten määräysten perusteella. Tämä voi olla totta, mutta tapauksesta riippumatta tapahtuma unohdettiin nopeasti ja asiakkaat luottavat Appleen tavalliseen tapaan.

Toinen esimerkki on puuttuva optiikanariini Redditin vuoden 2015 avoimuusraportissa. Huolimatta pienestä Redditors-alaryhmän alustavasta huolestumisesta, Reddit-foorumeiden liiketoiminta on sittemmin jatkunut tavalliseen tapaan.

Silloin on merkitystä saada optiikanariini, jos sen katoaminen ei aiheuta hälytystä!?

johtopäätös

Optio-kanariat ovat virheellinen idea, joka toimii pääasiassa myynninedistämisfluffa yrityksille, jotka haluavat näyttää yksityisyyttä suojelevan valtakirjansa.

Se tosiasia, että jopa kun optiokanarit laukaistaan, sitä rutiininomaisesti jätetään huomioimatta (luultavasti siksi, että laukaisimella toimiminen on käyttäjille hankalaa), vain vähentää vain sitä vähäistä luottamusta, joka meillä voi olla tällaiseen toimenpiteeseen.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me