Warrant canary。
一份其缺席本身说话的声明。无事发生时发布,运营者无法再这样说时就撤下。
一份按固定节奏发布的声明,宣告发布者截至该日期未收到任何秘密法律要求——禁言令、国家安全函、密封令状。当该声明消失或停止更新时,缺席本身就是信号:在大多数司法辖区,被迫说谎是非法的,但被迫沉默并不违法。
我们持续发布的信号——直到我们无法再发布。
一家让你「相信我说的就是」的隐私优先主机,已经输掉了论证。任何超过某种规模的基础设施运营者,迟早都会收到某种强制披露请求——传票、保存令、国家安全函——而被禁言的运营者按定义无法告诉你。令状金丝雀正是绕过的方式:我们按固定节奏发布一份积极的声明,说没有任何此类事情发生,并持续发布它,直到我们无法再发布的那一天。
NordBastion 的金丝雀位于 /warrant-canary/,每月第一个工作日重新签发,由 NordBastion OÜ 的两位具名董事用各自的个人 PGP 密钥共同签署。签名文本嵌入最近的 Bitcoin 区块哈希,从而排除了简单的预签名攻击——该声明可证地不可能在那块区块被挖出之前签署。过去的月份会无限期地保留在该页面上;从不悄悄轮换出任何一份。
如果金丝雀在预定日期七天内未能出现,或 PGP 签名不再通过验证,恰当的回应取决于你的威胁模型。我们不会解释一次金丝雀缺席——这正是全部意义所在。但我们也绝不会发布一份虚假的金丝雀。
在 NordBastion 上追踪金丝雀。
- · /warrant-canary/ — 金丝雀本身,附带所有过往月份和 PGP 签名。
- · /transparency/ — 滚动的 12 个月透明度报告,包含金丝雀不会披露的汇总数字。
- · /doctrine/ — 把金丝雀首先列入发布计划的运营原则。
- · /pgp/ — 用于签署每份金丝雀的两位董事 PGP 指纹,以及本地验证的说明。
- · / — 首页从透明度条上链接到最新的金丝雀。
关于金丝雀的问题,逐一解答。
金丝雀缺席在法律上有意义吗?
在大多数普通法司法辖区,是——尽管这种意义是间接的。一项禁言令可以强制运营者就某项具体要求保持沉默,但通常不能强制他们通过发布虚假的否认进行主动说谎。所以一个停止发布——或撤下此前发布的金丝雀——的运营者并未违反禁言令,而受众可以自行得出显而易见的推论。一些司法辖区(值得一提的是法国对某些国家安全要求)的判例尚显模糊;NordBastion 之所以从爱沙尼亚发布,正是为了避开这些灰色地带。
金丝雀由谁签名?
由 NordBastion OÜ 的两位具名董事用各自的个人 PGP 密钥联合签署每月的金丝雀。指纹固定在 /pgp/,签名声明会被镜像到一个第三方 Git 仓库,因此任何人都能验证该文件在发布后没有被悄悄编辑。在本地验证只需两条命令:gpg --verify,以及把 sha256sum 与 Git tag 比对。
它多久更新一次?
每月一次,在第一个工作日发布,签名文本中包含对前一个 Bitcoin 区块哈希的引用。包含该区块哈希可以证明该声明无法被提前签名——它必须在那块区块被挖出之后才能签署,因此日期在密码学上被锚定。过往金丝雀会无限期地保留在 /warrant-canary/;从不悄悄轮换出任何一份。
实际中沉默意味着什么?
如果每月金丝雀在预定日期七天内未能出现,或者该页面被移除,或者 PGP 签名不再通过验证,请将其视为某些实质性变化的信号——最可能是一项受禁言令约束、董事无法描述的法律要求。合适的回应取决于你的威胁模型:换到一台新主机、迁移密钥,或者只是把日期记入公开记录。NordBastion 按设计永远不会解释一次金丝雀缺席。