Наш warrant canary.
Заявление, отсутствие которого говорит. Публикуется, когда ничего не произошло, удаляется, когда оператор больше не может это сказать.
Регулярно публикуемое заявление, утверждающее, что издатель не получал никаких тайных юридических требований — gag-orders, National Security Letters, опечатанных ордеров — до этой даты. Когда заявление исчезает или перестаёт обновляться, само его отсутствие является сигналом: принуждение ко лжи в большинстве юрисдикций незаконно, а принуждение к молчанию — нет.
Сигнал, который мы публикуем, пока не сможем.
Privacy-first-хостинг, просящий Вас поверить ему на слово, уже проиграл аргумент. Каждый инфраструктурный оператор сверх определённого масштаба рано или поздно получит какой-то запрос принудительного раскрытия — повестку, preservation order, national-security letter, — и оператор под gag по определению не может Вам сказать. Warrant canary — это обходной путь: мы публикуем позитивное заявление по фиксированному графику, говорящее, что ничего такого не происходило, и продолжаем публиковать, пока в один день не сможем.
Canary NordBastion живёт на /warrant-canary/ и переиздаётся в первый рабочий день каждого месяца, соподписан двумя названными директорами NordBastion OÜ их личными PGP-ключами. Подписанный текст встраивает самый свежий хэш блока Bitcoin, что предотвращает тривиальную атаку с предварительным подписанием: заявление доказуемо не могло быть подписано до того, как этот блок был добыт. Прошлые месяцы хранятся на странице бессрочно; ничто никогда тихо не ротируется.
Если canary не появится в течение семи дней с запланированной даты, или если PGP-подпись перестаёт валидироваться, подходящий ответ зависит от Вашей модели угроз. Мы не будем объяснять отсутствующий canary — в этом весь смысл. Однако мы никогда не опубликуем ложный.
Следуйте за canary по NordBastion.
- · /warrant-canary/ — сам canary, со всеми предыдущими месяцами и PGP-подписями.
- · /transparency/ — скользящий 12-месячный отчёт о прозрачности с агрегированными показателями, которые canary не привёл бы.
- · /doctrine/ — операционные принципы, поставившие canary в график публикации в принципе.
- · /pgp/ — два PGP-отпечатка директоров, используемые для подписи каждого canary, плюс инструкции по локальной проверке.
- · / — главная страница ссылается на последний canary с полосы прозрачности.
Вопросы о canary — с ответами.
Юридически значимо ли отсутствие canary?
В большинстве юрисдикций общего права — да, хотя смысл косвенный. Gag-order может вынудить оператора молчать о конкретном требовании, но обычно не может вынудить его активно лгать, публикуя ложное опровержение. Поэтому оператор, прекращающий публикацию, — или удаляющий ранее опубликованный canary, — не нарушает gag, но аудитория вольна сделать очевидный вывод. У некоторых юрисдикций (особенно у Франции для определённых требований национальной безопасности) есть неоднозначная судебная практика; NordBastion публикует из Эстонии именно во избежание этих серых зон.
Кто подписывает canary?
Два названных директора NordBastion OÜ соподписывают ежемесячный canary своими личными PGP-ключами. Отпечатки закреплены в /pgp/, а подписанное заявление зеркалируется в сторонний Git-репозиторий, так что любой может проверить, что файл не был тихо отредактирован после публикации. Проверка локально — это две команды: gpg --verify и сравнение sha256sum с Git-тегом.
Как часто он обновляется?
Раз в месяц, в первый рабочий день, со ссылкой на хэш предыдущего блока Bitcoin внутри подписанного текста. Включение хэша блока доказывает, что заявление не могло быть подписано заранее: оно должно было быть подписано после того, как этот блок был добыт, так что дата криптографически закреплена. Прошлые canary остаются на /warrant-canary/ бессрочно; ничто никогда тихо не ротируется.
Что молчание означает на практике?
Если ежемесячный canary не появится в течение семи дней с запланированной даты, или если страница удалена, или если PGP-подпись перестаёт валидироваться, расценивайте это как сигнал, что что-то существенное изменилось, — скорее всего, юридическое требование, описание которого директорам запрещено разглашать. Подходящий ответ зависит от Вашей модели угроз: смените хостинг, мигрируйте ключи или просто зафиксируйте дату для публичной записи. NordBastion никогда не объяснит отсутствующий canary, по замыслу.