Edward Snowden이 NSA의 감시 활동의 놀라운 규모와 범위를 전 세계에 노출 한 이후 인터넷의 대규모 정부 감시에 대한 대중의 관심이 커졌습니다. 이후 중요한 데이터를 처리하거나 사용자의 개인 정보 (예 : VPN 서비스)를 보호하여 보증 카나리아를 발행하려는 인터넷 서비스에서 인기를 얻었습니다. 이 서비스는 정부에 의해 서비스가 침해되지 않았으며 개그 주문을 받았음을 고객에게 알리기위한 것입니다..

미국에서는 모든 회사에 비밀 정부 소환장 또는 NSA (National Security Letter)를 발급 할 수 있습니다. 이를 통해 지정된 고객과 관련된 모든 데이터를 전달하거나 모든 고객에 대한 정보를 전달하기 위해 총괄 주문을 준수해야합니다. 그렇지 않은 경우에도 회사는 사용자의 새로운 활동에 대한 로그를 유지해야 할 수도 있습니다..

이러한 소환장 또는 NSL에는 일반적으로 개그 명령이 수반되며, 이로 인해 회사 (또는 그 직원)는 심각한 법적 결과 (감옥으로)와 같은 소환장 또는 NSL의 존재를 고객에게 공개하지 못하게됩니다. 대부분의 다른 국가에서도 유사한 법률이 있습니다.

아마도 그러한 개그 순서와 관련하여 가장 악명 높은 경우는 Lavabit의 경우 일 것입니다. 2013 년에이 보안 웹 메일 회사는 소싱 (개그 주문)되어 40 만 명 이상의 모든 고객의 SSL 개인 키를 NSA에 넘겨서 Edward Snowden (서비스를 사용한 것으로 여겨짐)을 감시하기 위해 소환되었습니다..

소유자 Levi Levinson은 준수하지 않기로 결정하고 사용자의 개인 정보를 보호하기 위해 회사를 즉시 폐쇄했습니다. 그는 나중에 법정의 멸시로 유죄 판결을 받았습니다..


보증 카나리아 란 무엇입니까?

영장 카나리아는 회사가 정기적으로 업데이트 한 진술로, 손상되지 않았으며 개그 명령을 내리지 않았습니다. 영장 카나리아가 정기적으로 (일반적으로 일정대로) 업데이트되지 않으면 사용자는 서비스가 손상되었다고 가정해야합니다..

예를 들어, VPN 차림새 iPredator는“적어도 분기마다”영장 카나리아를 게시합니다.,

"IPredator는 국가 안보 서한 또는 FISA 법원 명령을받지 않았거나 유사한 법률 및 반 민주적 법률 도구에 의해 침묵을”습니다."

이 진술서는 진위를 확인하기 위해 PGP 키로 서명됩니다..

영장 카나리아는 정부가 개인을 법적으로 침묵시킬 수는 있지만 거짓말을하도록 강요 할 수는 없습니다 (즉, 영장 카나리아를 잘못 업데이트하는 것). 미국에서는 수정 헌법 제 1 조가 강요된 연설로부터 보호한다고 주장합니다. EFF (Electronic Frontier Foundation)가 지적한대로,

"정부가 개그 명령을 통해 침묵을 강요 할 수는 있지만, ISP가 실제로있을 때 법적 절차를받지 못했다고 거짓으로 말함으로써 ISP가 거짓말을하도록 강요 할 수는 없을 것입니다."

영장 카나리아에 대한 아이디어는 회사가 영장 카나리아의 경과를 허용하는지 모니터링하는 웹 사이트 인 카나리아 워치를 운영하는 EFF에 의해 뒷받침됩니다..

영장 카나리아를 신뢰할 수 있습니까?

그것의 얼굴에, 보증 카나리아는 좋은 생각처럼 들린다. 그러나 많은 사람들은 카나리아가 실제 물질이 거의없는 퍼프 및 연기 광고에 불과하다고 주장하면서 확신하지 않습니다..

1. 영장 카나리아 사용에 대한 첫 번째 수정 보호는 순전히 추측입니다 – 법정에서 테스트 된 적이 없습니다. 미국 법원은 영장 카나리아를 업데이트하지 않으면 개인에 대한 법적 요구 사항을 경시한다고 판결 할 수 있습니다..

사람들이 미국 시민들에게 부여 된 명백한 헌법상의 권리를 즐기지 않는 미국 이외의 지역에서는 더욱 그렇습니다. 호주는 영장 카나리아 사용을 명시 적으로 금지 한 첫 번째 국가이며 다른 국가 (예 : 영국)도 곧 따라갈 것입니다.

2. 정부가 웹 사이트를 쉽게 탈취 할 수 있으며 잘못된 업데이트가 제공됩니다.. PGP 키를 사용하여 영장 카나리아를 확보하는 것은이를 방지하기위한 것이지만 a) 실제로 몇 명의 사람들이 이러한 PGP 키를 확인합니까? b) 회사 소유자가 자신의 서비스를 타협하도록 강요받을 수있는 경우에는 강요 될 수도 있습니다 PGP 키를 넘겨주는 (또는 뇌물).

American Civil Liberties Union의 변호사 Brett Max Kaufman이 BBC에 말한 것처럼,

“정부가 영장 카나리아를 떠나도록 요청하고 (따라서 대중에게 잘못된 것을 전달할 경우), 회사는 모든 수정에 도전 할 권리가 있습니다 (첫 번째 수정안 또는 미국 자유의 특정 조항에 따라) 법). 그러나 법원이 정부의 요청을지지했다면 ... 적어도 한동안 대중은 현명한 사람이 될 수 없습니다. 실제로, 그것은 정부의 관점에서 전체 목표가 될 것입니다."

충분히 빠른 개인은 자신의 PGP 키 사본을 모두 파기 할 수 있습니다 (PGP 키는 다양한 장소에 저장되어 검증 될 수 있음). 이것은 회사가 영장 카나리아를 계속 업데이트해야하는 경우 독수리 눈 관찰자가 누락 된 서명을 알 수있게합니다. 그러나 고객이 키가 파괴되지 않았는지 여부를 알 수있는 방법은 아직 없습니다.

안전한 웹 스토리지 회사 인 SpiderOak은 회사 내에서 3 개의 다른 상위 순위 개인 (아마도 다른 지리적 위치에 있음)이 카나리아에 디지털 서명을하여이 문제를 해결하기 위해 용감한 시도를합니다. 이것은 확실히 모든 서명자에게 강요 (또는 뇌물)를 어렵게 (또는 비싸게) 만들지 만, 이것이 사실이며 모든 사람이 신뢰할 수 있다고 보장하는 주철을 제공하지 않습니다..

3. 영장 카나리아가 "트리거"된 경우에도 (즉, 적시에 업데이트되지 않음) 종종 무시됩니다. 2014 년 애플은 최신 투명성 보고서에서 영장 카나리아를 제거했습니다. 그럼에도 불구하고 애플이 철거 된 것은 비밀 정부 명령에 따라 데이터를 양도해야한다는 의미는 아니라고 주장했다. 이것은 사실 일 수도 있고 아닐 수도 있지만, 어떤 경우이든 사건은 빨리 잊혀지고 고객은 평소와 같이 Apple을 신뢰했습니다..

또 다른 예는 Reddit의 2015 년 투명성 보고서에서 누락 된 영장 카나리아입니다. Redditors의 작은 하위 섹션에 대한 초기 우려에도 불구하고 Reddit 포럼의 비즈니스는 평소와 같이 계속되었습니다..

그러므로 영장 카나리아가 없어지면 경보가 발생하지 않는 경우는 무엇입니까?!?

결론

영장 카나리아는 회사가 개인 정보 보호 친화적 인 자격 증명을 표시하려는 열광적 인 플러 프 역할을하는 결함이있는 아이디어입니다..

보증 카나리아가 트리거 될 때에도, 이는 일반적으로 무시됩니다 (아마도 트리거에 대한 작업이 사용자에게 불편하기 때문에)는 그러한 측정에서 우리가 가질 수있는 신뢰가 거의 없음을 더욱 훼손하는 역할 만합니다..

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me