از زمان ادوارد اسنودن مقیاس و دامنه باورنکردنی عملیات جاسوسی آژانس امنیت ملی آمریکا به جهان ، نگرانی عمومی از نظارت گسترده دولت بر اینترنت افزایش یافته است. از آن زمان در بین سرویس های اینترنتی که داده های حساس را کنترل می کنند ، یا برای محافظت از حریم خصوصی کاربران (مانند سرویس VPN) ، صدور قناری های ضمانت رایج شده است. اینها برای اطمینان به مشتریان است که خدمات توسط دولت به خطر نیفتاده است و به یک سفارش gag انجام می شود.


در ایالات متحده ، هر شرکتی را می توانید با یک پرونده احضار مخفی دولت یا نامه امنیت ملی (NSA) صادر كنید. این امر آنها را وادار می کند تا کلیه داده های مربوط به مشتری نامبرده را تحویل دهند ، یا حتی از دستور پتو برای انتقال اطلاعات به کلیه مشتریان پیروی کنند. همچنین ممکن است از این شرکت خواسته شود تا فعالیتهای جدید کاربران را حفظ کند ، حتی اگر در غیر این صورت این کار را انجام نمی داد.

چنین احضاریه ها یا NSL ها معمولاً با دستور gag همراه هستند ، که مانع شرکت (یا هر یک از کارمندان آن) می شود ، با تهدید به عواقب جدی قانونی (مانند زمان زندان) ، از افشای وجود احضار یا NSL برای مشتریان خود خبر می دهد. اکثر کشورها قوانینی مشابه دارند.

شاید بدنام ترین پرونده مربوط به چنین نظم اجباری ، مورد Lavabit باشد. در سال 2013 ، این شركت امن وبمیل ایمن (با دستور gag) موافقت شد كه کلیدهای خصوصی SSL كلی 400000+ مشتری را به NSA تحویل دهد تا جاسوسی از ادوارد اسنودن (كه گمان می رود از این سرویس استفاده كرده است) باشد..

مالک لوی لوینسون تصمیم به رعایت نکرد و بلافاصله برای محافظت از حریم شخصی کاربران خود شرکت خود را تعطیل کرد. وی بعداً به دلیل تحقیر دادگاه محکوم شد.

قناری های گارانتی چیست?

قناری گارانتی جمله ای است که مرتباً توسط یک شرکت به روز می شود که به خطر نیفتد و به سفارش gag عمل می کند. اگر قناری گارانتی در فواصل منظم به روز نشده باشد (معمولاً به یک برنامه زمانی مشخص) ، سپس کاربران باید فرض كنند كه این سرویس به خطر افتاده است.

برای مثال iPredator سازگار با VPN ، "حداقل سه ماهه" قناری را منتشر می کند که بیان می کند,

"IPredator هیچ نامه امنیتی ملی یا دستور دادگاه FISA را دریافت نکرده است ، و یا با ابزار مشابه قانونی (ضد قانونی) و ضد دموکراتیک سکوت کرده است."

این بیانیه با یک کلید PGP امضا شده است که قصد دارد صحت آن را تأیید کند.

گارانتی قناری ها بر این عقیده کار می کنند که یک دولت می تواند یک شخص را به طور قانونی سکوت کند ، اما این نمی تواند آنها را وادار به دروغ گفتن کند (یعنی به روز کردن جعلی قناری ضمانت). در ایالات متحده استدلال می شود كه اصلاحیه اول در برابر گفتار اجباری محافظت می كند. همانطور که بنیاد الکترونیکی مرزی (EFF) متذکر می شود,

"در حالی که دولت ممکن است بتواند سکوت را از طریق دستور gag اجباری کند ، ممکن است نتواند ISP را مجبور به دروغ گفت با دروغ بگوید که وقتی واقعیت داشته است روند قانونی دریافت نکرده است."

ایده گارانتی قناری ها توسط EFF ، که Canary Watch را اداره می کند ، پشتیبانی شده است ، وب سایت اختصاص داده شده برای نظارت بر اینکه آیا شرکت ها اجازه می دهند قناری های ضمانت خود را از دست بدهند..

آیا می توان به یک قناری ضمانت اعتماد کرد?

در صورت آن ، قناری های گارانتی مانند ایده خوبی به نظر می رسند. با این حال ، بسیاری اعتقاد ندارند که قناری های ضمانت کمی بیشتر از تبلیغات پف کرده و سیگار می کشند.

1. اولین اصلاح اصلاحیه برای استفاده از قناری های حكم صرفاً حدس است - هرگز در دادگاه قانونی آزمایش نشده است. بسیار محتمل است كه یك دادگاه آمریكا حكم كند كه عدم به روزرسانی قناری به منزله تحقیر شرط قانونی است كه به شخص تحمیل می شود..

این حتی در خارج از ایالات متحده صادق است ، جایی که مردم از حقوق صریح قانون اساسی به شهروندان آمریکایی برخوردار نیستند. استرالیا اولین کشوری است که صریحاً از استفاده از قناری های حکم قانونی ممنوع است و سایر کشورها (از جمله انگلستان) به زودی دنبال می شوند.

2. یک وب سایت توسط یک دولت به راحتی قابل دستیابی است و به روزرسانی های دروغین داده می شود. ایمن سازی یک قناری با ضمانت کلید PGP برای محافظت در برابر این مورد در نظر گرفته شده است ، اما الف) چند نفر در واقع این کلیدهای PGP را بررسی می کنند؟ ، و ب) اگر صاحب شرکت بتواند مجبور به سازش خدمات خود شود ، می تواند مجبور شود (یا رشوه داده شده است) تا کلیدهای PGP خود را تحویل دهید.

همانطور که برت مکس کافمن ، وکیل اتحادیه آزادی های مدنی آمریکا ، به بی بی سی گفت,

"اگر دولت از شرکتی خواسته بود قناری خود را رها کند (و بنابراین چیزی نادرست را به عموم مردم ابلاغ کند) ، این شرکت حق دارد هر شکافی (طبق اصلاح اول) ... یا تحت مقررات خاصی از آزادی ایالات متحده آمریکا را به چالش بکشد. عمل) در دادگاه. اما اگر دادگاه درخواست دولت را تأیید کرد ... عموم مردم حداقل برای مدتی خردمندتر نخواهند بود. در واقع ، این می تواند تمام اهداف از دیدگاه دولت باشد."

فردی که به اندازه کافی سریع بود ممکن است بتواند تمام نسخه های PGP خود را (که در مکان های مختلفی ذخیره می شود تا تأیید شود) از بین ببرد قبل از اینکه مجبور شود آن را تحویل دهد. این امر به یک ناظر چشم عقاب این امکان را می دهد که اگر شرکت مجبور به به روزرسانی ضمانت نامه خود باشد ، امضای ناپدید شده را متوجه شود. با این وجود هنوز هیچ راهی برای مشتریان وجود ندارد که بدانند آیا یک کلید نابود نشده است یا خیر.

شركت امن نگهداري وب SpiderOak با داشتن قناري كوچك خود به صورت ديجيتالي امضا شده توسط 3 شخص برتر مرتفع در داخل شركت (كه احتمالاً در نقاط مختلف جغرافيايي قرار دارند) تلاش شجاعانه براي رفع اين مشكل دارد. این امر مطمئناً اجبار (یا رشوه دادن) به همه امضاها را دشوار (یا گران) می کند ، اما هیچ تضمینی از چدن نمی دهد که این مورد است و به همه آنها اعتماد می شود..

3. حتی وقتی قناری ها "شروع شده" باشند (یعنی به موقع بروزرسانی نشوند) ، این اغلب نادیده گرفته می شود. مثال خوب اپل است که در سال 2014 قناری گارانتی خود را از آخرین گزارش شفافیت خود حذف کرد. با وجود این ، به طور گسترده ای ادعا می شد كه حذف احتمالاً به این معنا نیست كه اپل به دنبال دستورات مخفی دولت مجبور به تحویل داده ها شده است. ممکن است این واقعیت داشته باشد یا نباشد ، اما به هر صورت ، این حادثه به سرعت فراموش شد و مشتریان طبق معمول اعتماد خود را به اپل انجام دادند.

نمونه دیگر ، گناه گارانتی موجود در گزارش شفافیت Reddit 2015 است. با وجود برخی نگرانی های اولیه در مورد بخش کوچکی از Redditor ، تجارت در انجمن های Reddit نیز از همان زمان به طور معمول ادامه داشته است.

بنابراین ، اگر ناپدید شدن آن هیچ زنگ خطر را برای شما پیدا نکند ، چه نکته ای برای داشتن قناری ضمانت وجود دارد!?

نتیجه

قناری های گارانتی یک ایده ناقص است که عمدتا به عنوان شل و ول تبلیغاتی برای شرکت هایی که مایل به نمایش اعتبارنامه دوستانه برای حفظ حریم خصوصی هستند ، عمل می کند..

این واقعیت که حتی وقتی قناری ها شروع می شوند ، این امر به طور روتین نادیده گرفته می شود (احتمالاً به دلیل این که اقدام به ماشه برای کاربران ناخوشایند است) فقط در خدمت تضعیف بیشتر اعتماد به نفس کمی در چنین اندازه گیری است..

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me