O warrant canary.
Uma declaração cuja ausência fala. Publicada quando nada aconteceu, removida quando o operador não pode mais dizê-lo.
Uma declaração publicada regularmente afirmando que o publicador não recebeu nenhuma demanda legal secreta — ordens de mordaça, National Security Letters, mandados selados — até aquela data. Quando a declaração desaparece ou para de ser atualizada, a ausência é em si o sinal: mentir compelido é ilegal na maioria das jurisdições, mas silêncio compelido não.
O sinal que publicamos até não podermos mais.
Uma host privacy-first que te pede para acreditar na sua palavra já perdeu o argumento. Todo operador de infraestrutura acima de uma certa escala vai, mais cedo ou mais tarde, receber alguma forma de pedido de divulgação compelida — uma intimação, uma ordem de preservação, uma national security letter — e o operador sob mordaça é, por definição, incapaz de te dizer. O warrant canary é o workaround: publicamos uma declaração positiva em cronograma fixo dizendo que nada disso aconteceu, e seguimos publicando até o dia em que não podemos mais.
O canary da NordBastion vive em /warrant-canary/ e é reemitido no primeiro dia útil de cada mês, co-assinado por dois diretores nomeados da NordBastion OÜ com suas chaves PGP pessoais. O texto assinado embute o hash do bloco Bitcoin mais recente, o que fecha o ataque trivial de pré-assinatura — a declaração comprovadamente não pôde ser assinada antes daquele bloco ser minerado. Meses passados são mantidos na página indefinidamente; nada é jamais rotacionado silenciosamente.
Se o canary falhar em aparecer em até sete dias da data agendada, ou se a assinatura PGP parar de validar, a resposta apropriada depende do seu modelo de ameaça. Não vamos explicar um canary ausente — esse é o ponto inteiro. Nunca vamos, contudo, publicar um falso.
Acompanhe o canary pela NordBastion.
- · /warrant-canary/ — o próprio canary, com todos os meses anteriores e assinaturas PGP.
- · /transparency/ — relatório de transparência contínuo de 12 meses com os agregados que o canary não dá.
- · /doctrine/ — os princípios operativos que colocaram o canary no cronograma de publicação em primeiro lugar.
- · /pgp/ — os dois fingerprints PGP de diretores usados para assinar cada canary, mais instruções para verificar localmente.
- · / — a página inicial linka para o canary mais recente a partir da faixa de transparência.
Perguntas sobre o canary, respondidas.
Um canary ausente é juridicamente significativo?
Na maioria das jurisdições de common-law, sim — embora o significado seja indireto. Uma ordem de mordaça pode compelir um operador a permanecer em silêncio sobre uma demanda específica, mas geralmente não pode compeli-lo a ativamente mentir publicando uma negação falsa. Então um operador que para de publicar — ou remove o canary publicado anteriormente — não está violando a mordaça, mas a audiência é livre para tirar a inferência óbvia. Algumas jurisdições (notavelmente a França para certas demandas de segurança nacional) têm jurisprudência ambígua; a NordBastion publica da Estônia precisamente para evitar essas zonas cinzentas.
Quem assina o canary?
Dois diretores nomeados da NordBastion OÜ co-assinam o canary mensal com suas chaves PGP pessoais. Os fingerprints estão pinned em /pgp/, e a declaração assinada é espelhada para um repositório Git de terceiros para que qualquer um possa verificar que o arquivo não foi editado silenciosamente após a publicação. Verificá-lo localmente são dois comandos: gpg --verify e um sha256sum comparado contra a tag do Git.
Com que frequência é atualizado?
Uma vez por mês, no primeiro dia útil, com uma referência ao hash do bloco Bitcoin anterior dentro do texto assinado. A inclusão do hash do bloco prova que a declaração não pode ter sido pré-assinada com antecedência — deve ter sido assinada após aquele bloco ter sido minerado, então a data está ancorada criptograficamente. Canaries passados permanecem em /warrant-canary/ indefinidamente; nada é jamais rotacionado silenciosamente.
O que o silêncio significa na prática?
Se o canary mensal falhar em aparecer em até sete dias da data agendada, ou se a página for removida, ou se a assinatura PGP parar de validar, trate como sinal de que algo material mudou — muito provavelmente uma demanda legal que os diretores estão amordaçados de descrever. A resposta apropriada depende do seu modelo de ameaça: rotacionar para uma nova host, migrar chaves, ou simplesmente anotar a data para o registro público. A NordBastion nunca explicará um canary ausente, por design.