自從愛德華·斯諾登向世界揭露美國國家安全局間諜活動的規模和範圍令人難以置信以來,公眾對政府大規模互聯網監控的擔憂與日俱增。此後,它在處理敏感數據或旨在保護用戶隱私(例如 VPN 服務)的互聯網服務中變得流行,以發布金絲雀權證。這些旨在讓客戶放心,該服務沒有受到政府的損害,並且服務於禁言令。
在美國,任何公司都可以頒發秘密政府傳票或者國家安全信(美國國家安全局)。這迫使他們交出與指定客戶有關的所有數據,甚至遵守交出所有客戶信息的一攬子命令。該公司可能還需要開始保存用戶新活動的日誌,即使它不會這樣做。
此類傳票或 NSL 通常附有禁言令,禁止公司(或其任何員工)在嚴重法律後果(如入獄)的威脅下向其客戶披露傳票或 NSL 的存在。大多數其他國家也有類似的法律。
也許涉及此類禁言令的最臭名昭著的案件是他會洗。 2013 年,這家安全網絡郵件公司被傳票(帶有禁言令)將所有 400,000 多名客戶的 SSL 私鑰移交給 NSA,以監視愛德華·斯諾登(據信他使用了該服務)。
所有者 Levi Levinson 選擇不遵守,並立即關閉了他的公司,以保護用戶的隱私。他後來被定罪的藐視法庭。
什麼是權證金絲雀?
權證金絲雀是公司定期更新的聲明,表明其尚未受到損害並收到禁言令。如果權證金絲雀沒有定期更新(通常按照設定的時間表),那麼用戶應該假設服務已受到損害。
VPN裝備掠奪者, 例如,出版權證金絲雀“至少每季度一次”,其中指出,
”IPredator 尚未收到任何國家安全信函或 FISA 法院命令,或者已被類似的(非法)法律和反民主法律工具壓制。”
這個聲明是使用 PGP 密鑰簽名旨在驗證其真實性。
權證金絲雀的工作理念是,政府可以合法地讓個人保持沉默,但不能強迫他們說謊(即錯誤地更新權證金絲雀)。在美國,有人認為第一修正案防止強迫言論。作為電子前沿基金會 (EFF)筆記,
”雖然政府可能能夠通過禁言令迫使互聯網服務提供商保持沉默,但它可能無法通過謊稱自己尚未接受法律程序(而實際上已經接受過法律程序)來迫使互聯網服務提供商撒謊。”
權證金絲雀的想法得到了 EFF 的支持,該組織運營金絲雀手錶,一個致力於監控公司是否允許其認股權證金絲雀失效的網站。
權證金絲雀可以信任嗎?
從表面上看,權證金絲雀聽起來是個好主意。然而,許多人並不相信,他們認為權證金絲雀只不過是吹噓的廣告,幾乎沒有任何實質內容。
1. 第一修正案對使用權證金絲雀的保護純粹是推測– 它從未在法庭上經過檢驗。這是非常美國法院可能會裁定,未能更新搜查令金絲雀構成藐視對個人的法律要求。
在美國以外的地區更是如此,那裡的人們不享有賦予美國公民的明確憲法權利。澳大利亞是第一個明確禁止使用權證金絲雀的國家,其他國家(例如英國)可能很快就會效仿。
2. 網站很容易被政府接管並提供虛假更新。使用 PGP 密鑰保護權證金絲雀的目的是為了防止這種情況發生,但是 a) 有多少人真正檢查這些 PGP 密鑰? b) 如果公司所有者可能被迫損害他或她的服務,他們也可能被迫(或賄賂)交出他們的 PGP 密鑰。
正如美國公民自由聯盟律師布雷特·馬克斯·考夫曼 (Brett Max Kaufman) 所說英國廣播公司,
”如果政府要求一家公司保留其權證金絲雀(從而向公眾傳達虛假信息),該公司將有權在法庭上對任何言論提出質疑(根據第一修正案……或根據美國自由法案的某些條款)。但如果法院支持政府的請求……至少在一段時間內,公眾不會變得更明智。事實上,從政府的角度來看,這就是整個目標。”
一個足夠快的人可能在被迫交出 PGP 密鑰之前能夠銷毀其 PGP 密鑰的所有副本(這些副本將存儲在各個位置以便可以驗證)。如果公司被迫不斷更新其權證金絲雀,這將使目光敏銳的觀察者註意到丟失的簽名。然而,客戶仍然無法知道鑰匙是否已被激活。不是被摧毀了。
安全網絡存儲公司 SpiderOak 勇敢地嘗試通過其金絲雀權證由公司內 3 位不同的高級人員(他們是想必位於不同的地理位置)。這肯定會使強迫(或賄賂)所有簽名者變得更加困難(或昂貴),但並不能保證情況確實如此並且他們都可以信任。
3. 即使權證金絲雀被“觸發”(即沒有及時更新),這一點也常常被忽視。蘋果就是一個很好的例子,它在 2014 年刪除了其認股權證金絲雀來自其最新的透明度報告。儘管如此,它還是被廣泛爭論刪除可能並不意味著蘋果公司被迫按照政府秘密命令交出數據。這可能是真的,也可能不是真的,但無論如何,這一事件很快就被遺忘了,客戶仍然像往常一樣信任蘋果。
另一個例子是丟失的2015 年 Reddit 上的權證金絲雀透明度報告。儘管最初有一些憂慮在一小部分 Reddit 用戶中,Reddit 論壇上的業務此後也照常進行。
那麼,如果權證金絲雀的消失不會引起恐慌,那它還有什麼意義呢?
結論
認股權證金絲雀是一個有缺陷的想法,它主要充當熱衷於展示其隱私友好憑證的公司的促銷花哨。
事實上,即使金絲雀有保證是觸發後,這通常會被忽略(大概是因為觸發操作對用戶來說不方便)只會進一步削弱我們對這種措施的信心。