El warrant canary.
Una declaración cuya ausencia habla por sí sola. Se publica cuando no ha ocurrido nada, se retira cuando el operador ya no puede afirmarlo.
Una declaración publicada periódicamente que afirma que el editor no ha recibido ninguna demanda legal secreta — órdenes de silencio, Cartas de Seguridad Nacional, mandatos judiciales sellados — hasta esa fecha. Cuando la declaración desaparece o deja de actualizarse, su ausencia es en sí misma la señal: mentir bajo coacción es ilegal en la mayoría de las jurisdicciones, pero el silencio forzado no lo es.
La señal que publicamos hasta que no podamos.
Un proveedor centrado en la privacidad que te pide que confíes en su palabra ya ha perdido el argumento. Todo operador de infraestructura por encima de cierta escala recibirá, tarde o temprano, algún tipo de solicitud de divulgación forzada — una citación, una orden de conservación, una carta de seguridad nacional —, y el operador bajo orden de silencio es, por definición, incapaz de informarte. El canario de garantías es la solución: publicamos una declaración positiva con una periodicidad fija afirmando que no ha ocurrido nada de ese tipo, y seguimos publicándola hasta el día en que no podamos.
El canario de NordBastion está en /warrant-canary/ y se reemite el primer día hábil de cada mes, cofirmado por dos directores nominados de NordBastion OÜ con sus claves PGP personales. El texto firmado incluye el hash del bloque de Bitcoin más reciente, lo que descarta el trivial ataque de prefirma: la declaración demostrativamente no podía haberse firmado antes de que ese bloque fuera minado. Los meses anteriores se mantienen en la página indefinidamente; nada se elimina silenciosamente.
Si el canario no aparece en los siete días siguientes a su fecha prevista, o si la firma PGP deja de validarse, la respuesta adecuada depende de tu modelo de amenaza. No explicaremos la ausencia de un canario: ese es precisamente el objetivo. Lo que nunca haremos es publicar uno falso.
Sigue el canario en NordBastion.
- · /warrant-canary/ — el propio canary, con todos los meses anteriores y las firmas PGP.
- · /transparency/ — informe de transparencia rotativo de 12 meses con los recuentos agregados que el canary no incluiría.
- · /doctrine/ — los principios operativos que pusieron el canary en el calendario de publicación en primer lugar.
- · /pgp/ — las dos huellas PGP de los directores utilizadas para firmar cada canary, más instrucciones para verificar localmente.
- · / — la página de inicio enlaza al canary más reciente desde la franja de transparencia.
Preguntas sobre el canario, respondidas.
¿Tiene significado jurídico la ausencia de un canario?
En la mayoría de las jurisdicciones de derecho consuetudinario, sí, aunque el significado es indirecto. Una orden de silencio puede obligar a un operador a no hablar sobre una solicitud concreta, pero en general no puede obligarle a mentir activamente publicando una negación falsa. Por tanto, un operador que deja de publicar —o retira el canario publicado anteriormente— no incumple la orden, pero el público puede extraer la inferencia evidente. Algunas jurisdicciones (notablemente France en ciertas solicitudes de seguridad nacional) tienen jurisprudencia ambigua; NordBastion publica desde Estonia precisamente para evitar esas zonas grises.
¿Quién firma el canary?
Dos directores nombrados de NordBastion OÜ co-firman el canary mensual con sus claves PGP personales. Las huellas dactilares están fijadas en /pgp/, y la declaración firmada se replica en un repositorio Git de terceros para que cualquiera pueda verificar que el archivo no fue editado silenciosamente tras su publicación. Verificarlo localmente son dos comandos: gpg --verify y una comparación sha256sum contra la etiqueta Git.
¿Con qué frecuencia se actualiza?
Una vez al mes, el primer día hábil, con una referencia al hash del bloque anterior de Bitcoin dentro del texto firmado. La inclusión del hash del bloque prueba que la declaración no pudo haberse prefirmado de antemano: tuvo que firmarse después de que ese bloque fuera minado, por lo que la fecha está anclada criptográficamente. Los canarios anteriores permanecen en /warrant-canary/ indefinidamente; nada se elimina silenciosamente.
¿Qué significa el silencio en la práctica?
Si el canario mensual no aparece en los siete días siguientes a su fecha prevista, si la página es eliminada o si la firma PGP deja de validarse, trátalo como una señal de que algo relevante ha cambiado: probablemente una exigencia legal que los directores tienen prohibido mencionar. La respuesta adecuada depende de tu modelo de amenaza: rota a un nuevo proveedor, migra las claves o simplemente anota la fecha para el registro público. NordBastion nunca explicará la ausencia de un canario, por diseño.