令状カナリアは有用ですか?

エドワード・スノーデンがNSAのスパイ活動の信じられないほどの規模と範囲を世界に公開して以来、インターネットの大規模な政府による監視に対する国民の関心は高まっています。それ以来、機密データを処理するインターネットサービスや、ユーザーのプライバシーを保護することを目的とするインターネットサービス(VPNサービスなど)で人気を博し、カナリア令状を発行しています。これらは、サービスが政府によって侵害されておらず、ギャグ注文を処理したことを顧客に安心させることを目的としています。.

米国では、どの会社にも秘密の政府召喚状または国家安全保障証書(NSA)を発行できます。これにより、指名された顧客に関連するすべてのデータを手渡すか、またはすべての顧客に関する情報を引き渡すための全面的な命令に準拠する必要さえあります。会社は、ユーザーの新しいアクティビティのログの保存を開始する必要がある場合があります。.

このような召喚状またはNSLには通常、ギャグ命令が付随します。これにより、会社(またはその従業員)は、重大な法的結果(刑務所にいるときなど)の脅威にさらされて、召喚状またはNSLの存在を顧客に開示できなくなります。他のほとんどの国には同様の法律があります.

おそらく、そのようなギャグ注文を含む最も悪名高いケースは、Lavabitのケースです。 2013年、この安全なウェブメール会社は(ギャグ注文で)召喚され、400,000人以上のすべての顧客のSSL秘密鍵をNSAに渡して、Edward Snowden(サービスを使用したと考えられていた)をスパイしました.

所有者のLevi Levinsonは従わないことを選択し、ユーザーのプライバシーを保護するためにすぐに会社を閉鎖しました。彼は後に法廷of辱罪で有罪判決を受けた.

令状カナリアとは?

令状カナリアは、会社によって定期的に更新され、侵害されておらず、ギャグ注文を処理したという声明です。令状カナリアが定期的に(通常は設定されたスケジュールで)更新されない場合、ユーザーはサービスが侵害されたと想定する必要があります。.

たとえば、VPNの衣装iPredatorは、「少なくとも四半期ごと」に令状カナリアを発行しています。,

「IPredatorは、国家安全保障の手紙またはFISAの裁判所命令を受け取っていないか、同様の(非)法的および反民主的な法律ツールによって沈黙されています。」

このステートメントは、その信頼性を検証するためのPGPキーで署名されています.

ワラントカナリアは、政府が個人を法的に黙らせることはできるが、嘘をつくことを強制できない(つまり、ワラントカナリアを誤って更新する)ことはできないという考えに基づいています。米国では、憲法修正第1条は強制的な発言から保護すると主張されています。 Electronic Frontier Foundation(EFF)が指摘しているように,

「政府はギャグ命令によって沈黙を強いることができるかもしれないが、実際には法的手続きを受けていないという虚偽の主張によってISPに嘘をつくことはできないかもしれない。」

ワラントカナリアのアイデアは、企業がワラントカナリアの失効を許可するかどうかを監視する専用のウェブサイトであるカナリアウォッチを運営するEFFによって支持されています。.

令状カナリアを信頼できますか?

一見、令状のカナリアは良いアイデアのように聞こえます。しかし、多くの人は確信していませんが、令状のカナリアは、実質的な内容がほとんどないかまったくない、広告を吸うだけのものであると主張しています.

1.令状カナリアの使用に対する修正第1条の保護は純粋に推測的なものです –法廷でテストされたことがない。米国の裁判所が、令状カナリアの更新の失敗は、個人に課された法的要件の軽constitutesを構成すると判断する可能性が非常に高い.

これは、米国市民に付与された明示的な憲法上の権利を人々が享受していない米国以外ではさらに真実です。オーストラリアは、令状カナリアの使用を明示的に禁止した最初の国であり、他の国(英国など)はすぐに追随する可能性が高い.

2.政府がWebサイトを簡単に乗っ取ることができ、誤った更新が提供される. PGPキーを使用して令状カナリアを保護することは、これに対する保護を目的としていますが、a)実際にこれらのPGPキーをチェックする人は何人ですか?およびb)会社の所有者が自分のサービスを侵害することを余儀なくされる場合、彼らも強制することができます(または賄bri)PGPキーを引き渡す.

アメリカ市民自由連合の弁護士であるブレット・マックス・カウフマンがBBCに語ったように,

「政府が企業に令状のカナリアを残すように要求した場合(したがって、一般に虚偽のことを伝えた場合)、会社はギャグに挑戦する権利を持ちます(修正第1条または米国自由の特定の条項の下)法)。しかし、裁判所が政府の要請を支持した場合...少なくともしばらくの間、世間は賢明な人ではなくなるでしょう。確かに、それは政府の観点から見た全体の目的でしょう."

十分に速かった個人は、PGPキー(検証できるようにさまざまな場所に保存される)のすべてのコピーを破棄してから、強制的に引き渡す可能性があります。これにより、会社が令状カナリアの更新を続けることを余儀なくされた場合、ワシの目をしたオブザーバーは欠落している署名に気付くことができます。ただし、キーが破壊されていないかどうかを顧客が知る方法はまだありません.

安全なWebストレージ会社SpiderOakは、社内の3人の異なる上位の個人(おそらく地理的に異なる場所にいる可能性が高い)によって署名された令状カナリアを持つことで、この問題に対処するための勇敢な試みを行います。これは確かにすべての署名者を強制(または賄))することをより困難(ま​​たは高価)にしますが、これが事実であり、すべてが信頼できるという鋳鉄の保証を提供しません.

3.令状カナリアが「トリガー」された場合(つまり、タイムリーに更新されない場合)でも、これはしばしば無視されます。. 良い例はAppleで、2014年に最新の透明性レポートから令状カナリアを削除しました。これにもかかわらず、Appleが秘密の政府命令に続いてデータを引き渡すことを強制されたという意味ではないかもしれないと広く議論されました。これは真実である場合もそうでない場合もありますが、いずれにしても、事件はすぐに忘れられ、顧客はいつものようにAppleを信頼し続けました.

もう1つの例は、Redditの2015年の透明性レポートに記載されていない令状のカナリアです。 Redditorsの小さなサブセクションでの最初の懸念にもかかわらず、Redditフォーラムでのビジネスも通常どおり継続されています。.

それでは、失disappearがアラームを引き起こさない場合、令状カナリアを持っていることのポイントです!?

結論

令状カナリアは、プライバシーに配慮した資格情報を表示することに熱心な企業にとって、主に販促用の綿毛として機能する欠陥のあるアイデアです.

令状のカナリアがトリガーされた場合でも、これは日常的に無視されます(おそらくトリガーに基づいて行動することはユーザーにとって不便であるため)。.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me