Warrant Canary.
Eine Erklärung, deren Abwesenheit spricht. Veröffentlicht, wenn nichts passiert ist, entfernt, wenn der Betreiber das nicht mehr sagen kann.
Eine regelmäßig veröffentlichte Erklärung, dass der Herausgeber bis zu diesem Datum keine geheimen rechtlichen Forderungen — Schweigeanordnungen, National Security Letters, versiegelte Anordnungen — erhalten hat. Wenn die Erklärung verschwindet oder nicht mehr aktualisiert wird, ist ihre Abwesenheit selbst das Signal: erzwungenes Lügen ist in den meisten Gerichtsbarkeiten illegal, erzwungenes Schweigen jedoch nicht.
Das Signal, das wir veröffentlichen, bis wir es nicht mehr können.
Ein datenschutzorientierter Hoster, der Sie um Vertrauen in sein Wort bittet, hat das Argument bereits verloren. Jeder Infrastruktur-Betreiber über einer bestimmten Größe wird früher oder später irgendeine Form von erzwungener Offenlegungsaufforderung erhalten — eine gerichtliche Anordnung, eine Aufbewahrungsanordnung, einen National Security Letter — und der unter Schweigeauflage stehende Betreiber ist per Definition nicht in der Lage, es Ihnen zu sagen. Der Warrant Canary ist die Umgehung: Wir veröffentlichen eine positive Erklärung in einem festen Zeitplan, die sagt, dass nichts dergleichen passiert ist, und wir veröffentlichen sie weiter, bis zu dem Tag, an dem wir es nicht mehr können.
NordBastions Canary lebt unter /warrant-canary/ und wird am ersten Geschäftstag jedes Monats neu ausgestellt, co-signiert von zwei benannten Direktoren der NordBastion OÜ mit ihren persönlichen PGP-Keys. Der signierte Text bettet den jüngsten Bitcoin-Block-Hash ein, was den trivialen Vorab-Signier-Angriff ausschließt — die Erklärung kann beweisbar nicht vor dem Mining dieses Blocks signiert worden sein. Vergangene Monate werden unbefristet auf der Seite gehalten; nichts wird jemals stillschweigend ausgetauscht.
Wenn der Canary innerhalb von sieben Tagen nach seinem geplanten Datum nicht erscheint oder die PGP-Signatur aufhört zu validieren, hängt die angemessene Reaktion von Ihrem Bedrohungsmodell ab. Wir werden einen fehlenden Canary nicht erklären — das ist der ganze Sinn. Wir werden aber niemals einen falschen veröffentlichen.
Folgen Sie dem Canary über NordBastion.
- · /warrant-canary/ — der Canary selbst, mit allen vorherigen Monaten und PGP-Signaturen.
- · /transparency/ — rollierender 12-Monats-Transparenzbericht mit den Aggregatzahlen, die der Canary nicht enthält.
- · /doctrine/ — die Betriebsprinzipien, die den Canary überhaupt erst auf den Veröffentlichungs-Zeitplan setzten.
- · /pgp/ — die zwei Direktoren-PGP-Fingerprints, die jeden Canary signieren, plus Anweisungen zur lokalen Verifizierung.
- · / — die Homepage verlinkt aus dem Transparenz-Strip auf den jüngsten Canary.
Fragen zum Canary, beantwortet.
Ist ein fehlender Canary rechtlich bedeutsam?
In den meisten Common-Law-Gerichtsbarkeiten, ja — wenn auch die Bedeutung indirekt ist. Eine Schweigeanordnung kann einen Betreiber zwingen, über eine spezifische Forderung zu schweigen, aber sie kann ihn im Allgemeinen nicht zwingen, aktiv zu lügen, indem er eine falsche Verneinung veröffentlicht. Ein Betreiber, der aufhört zu veröffentlichen — oder den zuvor veröffentlichten Canary entfernt — verletzt also die Schweigepflicht nicht, aber das Publikum darf die offensichtliche Schlussfolgerung ziehen. Einige Gerichtsbarkeiten (insbesondere Frankreich für bestimmte nationale Sicherheitsforderungen) haben mehrdeutige Rechtsprechung; NordBastion veröffentlicht aus Estland gerade, um diese Grauzonen zu vermeiden.
Wer signiert den Canary?
Zwei benannte Direktoren der NordBastion OÜ co-signieren den monatlichen Canary mit ihren persönlichen PGP-Keys. Die Fingerprints sind in /pgp/ verankert, und die signierte Erklärung wird in ein Drittanbieter-Git-Repository gespiegelt, sodass jeder verifizieren kann, dass die Datei nicht stillschweigend nach der Veröffentlichung bearbeitet wurde. Lokal zu verifizieren sind zwei Befehle: gpg --verify und ein sha256sum-Vergleich gegen das Git-Tag.
Wie oft wird er aktualisiert?
Einmal im Monat, am ersten Geschäftstag, mit einer Referenz zum vorherigen Bitcoin-Block-Hash innerhalb des signierten Textes. Die Einbindung des Block-Hashes beweist, dass die Erklärung nicht im Voraus vorsigniert werden konnte — sie muss nach dem Mining dieses Blocks signiert worden sein, sodass das Datum kryptografisch verankert ist. Vergangene Canaries bleiben unbefristet auf /warrant-canary/; nichts wird jemals stillschweigend ausgetauscht.
Was bedeutet Schweigen in der Praxis?
Wenn der monatliche Canary innerhalb von sieben Tagen nach seinem geplanten Datum nicht erscheint oder die Seite entfernt wird oder die PGP-Signatur aufhört zu validieren, behandeln Sie das als Signal, dass sich etwas Materielles geändert hat — wahrscheinlich eine rechtliche Forderung, über die zu sprechen den Direktoren untersagt ist. Die angemessene Reaktion hängt von Ihrem Bedrohungsmodell ab: Wechseln Sie zu einem neuen Hoster, migrieren Sie Keys oder notieren Sie einfach das Datum für die öffentliche Aufzeichnung. NordBastion wird einen fehlenden Canary nie erklären, per Design.