Mikä on warrant canary?

Warrant canary on palveluntarjoajan säännöllisesti julkaisema lausunto, jossa vahvistetaan, ettei heille ole toimitettu salaisia hallituksen haastemiesmääräyksiä tai vaitiolomääräyksiä. Jos lausunto katoaa tai sen päivittäminen lakkaa, käyttäjät voivat päätellä, että viranomaiset ovat pakottaneet palveluntarjoajan luovuttamaan tietoja ilman, että tästä voidaan suoraan kertoa.

Miksi sitä kutsutaan nimellä "warrant canary"?

Nimi viittaa käytäntöön, jossa kanarialintuja käytettiin kaivoksissa vaarallisten kaasujen havaitsemiseen. Kaivostyöläiset luottivat linnun voinnin toimivan hiljaisena varoitusjärjestelmänä. Samoin warrant canaryn puuttuminen merkitsee vaaraa — erityisesti sitä, että VPN-palveluntarjoaja tai muu palveluntarjoaja on oikeudellisesti pakotettu vaikenemaan käyttäjiinsä kohdistuvasta valtion harjoittamasta valvonnasta.

Ovatko warrant canaryt oikeudellisesti täytäntöönpanokelpoisia tai luotettavia?

Warrant canaryt ovat oikeudellisesti harmaalla alueella. Vaikka palveluntarjoajat eivät lain mukaan voi valehdella haastemiesmääräyksen vastaanottamisesta, tuomioistuimet eivät ole antaneet lopullista ratkaisua siitä, onko canaryn poistaminen laitonta petosta. Niiden luotettavuus riippuu täysin palveluntarjoajan sitoutumisesta niiden ylläpitämiseen, minkä vuoksi ne ovat luottamukseen perustuvia yksityisyyden indikaattoreita eivätkä taattuja oikeudellisia suojamekanismeja.

Onko VPN-palveluntarjoajallani warrant canary?

Monet yksityisyyteen keskittyvät VPN-palveluntarjoajat julkaisevat warrant canaryja, joita päivitetään usein neljännesvuosittain tai vuosittain läpinäkyvyysraporteissaan. Tarkista palveluntarjoajasi verkkosivustolta tai läpinäkyvyyssivulta lausunto, jossa vahvistetaan, ettei salaisia määräyksiä ole vastaanotettu. Palveluntarjoajat kuten Mullvad ja muut ylläpitävät aktiivisesti näitä ilmoituksia osana no-logs-yksityisyyssitoumuksiaan.

Warrant Canary

Warrant Canary: Mitä se on ja miksi yksityisyyttään varjelevien VPN-käyttäjien tulisi välittää siitä

Mitä se on

Warrant canary on ovela, epäsuora viestintäväline, jota yritykset — mukaan lukien monet VPN-palveluntarjoajat — käyttävät kertoakseen käyttäjilleen, ovatko he saaneet salaisia viranomaismääräyksiä, kuten National Security Lettereitä (NSL) tai vaitiolomääräyksellä varustettuja tuomioistuinmääräyksiä. Koska nämä oikeudelliset välineet kieltävät usein yritystä paljastamasta niiden olemassaoloa suoraan, warrant canary toimii käänteisesti: palveluntarjoaja julkaisee säännöllisen lausunnon, jossa todetaan, että he eivät ole vastaanottaneet tällaista määräystä. Jos lausunto katoaa tai sen päivittäminen lakkaa, käyttäjät ymmärtävät, että jotain on muuttunut.

Termi juontaa juurensa vanhasta kaivostyöntekijöiden käytännöstä pitää kanarialintua kaivoksessa. Lintu menehtyi myrkyllisiin kaasuihin ennen ihmisiä, toimien näin varhaisvaroitusjärjestelmänä. Digitaalisessa maailmassa warrant canary palvelee samaa tarkoitusta — sen puuttuminen on varoitusmerkki.

Miten se toimii

Warrant canary -lausunnot esiintyvät tyypillisesti VPN-palveluntarjoajan verkkosivustolla, läpinäkyvyysraportissa tai erillisellä oikeudellisella tietosuojasivulla. Tyypillinen canary-lausunto saattaa kuulua suunnilleen seuraavasti:

"[Päivämäärään] mennessä emme ole koskaan vastaanottaneet National Security Letteriä, FISA-tuomioistuimen määräystä tai mitään luokiteltua pyyntöä miltään viranomaiselta."

Tätä lausuntoa päivitetään yleensä säännöllisesti — kuukausittain, neljännesvuosittain tai vuosittain — ja se on joskus kryptografisesti allekirjoitettu sen aitouden todistamiseksi ja väärentämisen estämiseksi.

Heti kun palveluntarjoaja vastaanottaa salaisen viranomaismääräyksen, heitä velvoitetaan laillisesti noudattamaan sitä sekä siihen liittyvää vaitiolomääräystä, joka kieltää asian paljastamisen. Sen sijaan että rikkoisi lakia suoraan, palveluntarjoaja yksinkertaisesti lopettaa canary-lausunnon päivittämisen tai poistaa sen. Laillisesti he eivät ole kertoneet kenellekään mitään. Käytännössä asiaan perehtyneet käyttäjät tietävät täsmälleen, mitä hiljaisuus tarkoittaa.

Jotkut palveluntarjoajat menevät pidemmälle julkaisemalla allekirjoitettuja canary-lausuntoja aikaleimoineen ja viittauksineen viimeaikaisiin julkisiin tapahtumiin (kuten uutisotsikoihin), mikä vaikeuttaa viranomaisten mahdollisuuksia vaatia taaksepäin päivättyä tai vilpillistä lausuntoa.

Miksi sillä on merkitystä VPN-käyttäjille

VPN-käyttäjät valitsevat palveluntarjoajan nimenomaan siksi, että he haluavat suojata verkkotoimintansa valvonnalta — olipa kyse heidän internet-palveluntarjoajastaan, mainostajista tai viranomaisista. Ongelmana on, että jopa laillinen lokeja tallentamaton VPN voidaan teoriassa velvoittaa viranomaisten toimesta aloittamaan tietojen kirjaaminen tai luovuttamaan olemassa olevat tiedot ilman, että siitä voidaan kertoa kenellekään.

Warrant canary ei estä tätä tapahtumasta, mutta se antaa sinulle mahdollisuuden tietää, milloin niin tapahtuu. Jos olet tilannut VPN-palvelun, joka ylläpitää aktiivisesti warrant canary -lausuntoa, ja se yhtäkkiä katoaa, se on merkki harkita uudelleen luottamustasi kyseiseen palveluntarjoajaan ja mahdollisesti vaihtaa palvelua.

Tämä on erityisen tärkeää seuraaville:

Toimittajille ja aktivisteille, jotka toimivat arkaluonteisissa ympäristöissä ja luottavat VPN:ään lähteiden suojaamisessa.
Käyttäjille maissa, joissa harjoitetaan aggressiivista valvontaa, jotka tarvitsevat varmuuden siitä, että heidän palveluntarjoajaansa ei ole vaarannettu.
Yksityisyyden puolestapuhujille, jotka haluavat enemmän kuin markkinointilupauksen — he haluavat todennettavan mekanismin.

Käytännön esimerkkejä

Useat tunnetut VPN-palveluntarjoajat ovat sisällyttäneet warrant canary -lausunnot läpinäkyvyysraportteihinsa. Joissain merkittävissä tapauksissa laajemmalla teknologia-alalla canary-lausunnot ovat kadonneet viranomaiskontaktin jälkeen, mikä — vaikka sitä ei ole koskaan virallisesti vahvistettu — antoi käyttäjille ja tietoturvatutkijoille tärkeän ennakkovaroituksen.

Reddit poisti kuuluisasti warrant canary -lausuntonsa vuoden 2015 läpinäkyvyysraportistaan, mikä herätti merkittävää julkista keskustelua. Vaikka Reddit ei koskaan vahvistanut syytä, viesti oli selvä niille, jotka seurasivat tilannetta tarkasti.

Huomionarvoisia rajoituksia

Warrant canary -lausunnot eivät ole vedenpitäviä. Viranomaiset voisivat teoriassa pakottaa palveluntarjoajan ylläpitämään väärää canary-lausuntoa. Niiden oikeudellinen täytäntöönpanokelpoisuus — ja se, suojaako ensimmäinen lisäys puheen poistamista — on edelleen kiistanalainen asia Yhdysvaltain tuomioistuimissa. Ne toimivat parhaiten yhtenä kerroksena laajemmassa tietosuojastrategiassa, eivät itsenäisenä takuuna.

Arvioi VPN-palveluntarjoajasi warrant canary -lausuntoa aina yhdessä heidän lokeja tallentamattoman politiikkansa, lainkäyttöalueensa ja riippumattoman auditointihistoriansa kanssa saadaksesi kattavimman kokonaiskuvan.

Warrant CanaryKeskitaso