Il warrant canary.
Una dichiarazione la cui assenza parla. Pubblicata quando non è accaduto nulla, rimossa quando l'operatore non può più dirlo.
Una dichiarazione pubblicata regolarmente che afferma che il pubblicatore non ha ricevuto richieste legali segrete — gag order, National Security Letter, mandati sigillati — fino a quella data. Quando la dichiarazione scompare o smette di essere aggiornata, la sua assenza è essa stessa il segnale: la menzogna imposta è illegale nella maggior parte delle giurisdizioni, ma il silenzio imposto no.
Il segnale che pubblichiamo finché non possiamo più.
Un host privacy-first che le chiede di fidarsi della sua parola ha già perso l'argomento. Ogni operatore di infrastruttura sopra una certa scala riceverà, prima o poi, qualche forma di richiesta di disclosure imposta — una citazione, un ordine di conservazione, una national-security letter — e l'operatore sotto gag è, per definizione, incapace di dirglielo. Il warrant canary è la soluzione: pubblichiamo una dichiarazione positiva su una pianificazione fissa che dice che nulla del genere è accaduto, e continuiamo a pubblicarla fino al giorno in cui non possiamo più.
Il canary di NordBastion vive su /warrant-canary/ ed è riemesso il primo giorno lavorativo di ogni mese, co-firmato da due direttori nominati di NordBastion OÜ con le loro chiavi PGP personali. Il testo firmato incorpora l'hash del blocco Bitcoin più recente, che preclude il banale attacco di pre-firma — la dichiarazione provabilmente non può essere stata firmata prima che quel blocco fosse minato. I mesi passati sono tenuti sulla pagina a tempo indeterminato; nulla viene mai ruotato silenziosamente.
Se il canary non appare entro sette giorni dalla data prevista, o se la firma PGP smette di validare, la risposta appropriata dipende dal suo threat model. Non spiegheremo un canary mancante — quello è l'intero punto. Non pubblicheremo, comunque, mai uno falso.
Segua il canary attraverso NordBastion.
- · /warrant-canary/ — il canary stesso, con tutti i mesi precedenti e le firme PGP.
- · /transparency/ — report di trasparenza scorrevole di 12 mesi con i conteggi aggregati che il canary non darebbe.
- · /doctrine/ — i principi operativi che hanno messo il canary nella pianificazione di pubblicazione in primo luogo.
- · /pgp/ — le due fingerprint PGP dei direttori usate per firmare ciascun canary, più le istruzioni per verificare localmente.
- · / — la homepage collega all'ultimo canary dalla striscia di trasparenza.
Domande sul canary, risposte.
Un canary mancante è giuridicamente significativo?
Nella maggior parte delle giurisdizioni di common-law, sì — anche se il significato è indiretto. Un gag order può obbligare un operatore a restare in silenzio su una richiesta specifica, ma generalmente non può obbligarlo a mentire attivamente pubblicando un falso diniego. Quindi un operatore che smette di pubblicare — o rimuove il canary precedentemente pubblicato — non sta violando il gag, ma il pubblico è libero di trarre l'inferenza ovvia. Alcune giurisdizioni (notevolmente la Francia per certe richieste di sicurezza nazionale) hanno una giurisprudenza ambigua; NordBastion pubblica dall'Estonia precisamente per evitare quelle zone grigie.
Chi firma il canary?
Due direttori nominati di NordBastion OÜ co-firmano il canary mensile con le loro chiavi PGP personali. Le fingerprint sono fissate in /pgp/ e la dichiarazione firmata è mirrorata su un repository Git di terze parti così chiunque possa verificare che il file non sia stato modificato silenziosamente dopo la pubblicazione. Verificarla localmente sono due comandi: `gpg --verify` e un confronto sha256sum contro il tag Git.
Con quale frequenza viene aggiornato?
Una volta al mese, il primo giorno lavorativo, con un riferimento all'hash del blocco Bitcoin precedente dentro il testo firmato. L'inclusione dell'hash del blocco dimostra che la dichiarazione non può essere stata pre-firmata in anticipo — deve essere stata firmata dopo che quel blocco è stato minato, così la data è crittograficamente ancorata. I canary passati restano su /warrant-canary/ a tempo indeterminato; nulla viene mai ruotato silenziosamente.
Cosa significa il silenzio nella pratica?
Se il canary mensile non appare entro sette giorni dalla data prevista, o se la pagina viene rimossa, o se la firma PGP smette di validare, lo tratti come un segnale che qualcosa di sostanziale è cambiato — molto probabilmente una richiesta legale che i direttori sono obbligati a tacere. La risposta appropriata dipende dal suo threat model: ruoti verso un nuovo host, migri le chiavi o semplicemente prenda nota della data per il record pubblico. NordBastion non spiegherà mai un canary mancante, per design.