Warrant canary - механизм прозрачности хостинг-провайдера

Warrant canary появилась в США как ответ на USA PATRIOT Act 2001 года. Закон позволил властям издавать National Security Letters (NSL) с обязательным gag order - компания не имела права раскрывать факт получения письма. Юристы заметили правовую асимметрию: суд может обязать молчать, но не может обязать лгать.

• Asymmetric legal principle: Если компания регулярно публикует утверждение "мы не получали NSL", и потом прекращает публиковать это утверждение, она не нарушает gag order. Она просто перестаёт делать утверждение, которое стало бы ложью.
• Первые применения: Apple, Reddit, Tumblr публиковали warrant canary в 2014-2016 годах в transparency reports. Reddit удалил канарейку в 2016 году, что было воспринято как сигнал получения NSL.
• Юридический статус: Канарейка не имеет прямой судебной практики ни в США, ни в Европе. Это серая зона. Большинство юристов считают её эффективной до момента, когда суд впервые специально оспорит этот механизм.
• Эффективность за пределами США: В юрисдикциях без обширной практики секретных предписаний (Исландия, Швейцария) канарейка имеет меньшее юридическое значение, но больше символическое - как сигнал ценности прозрачности.
• Критика: Некоторые юристы считают, что канарейка не защищает от современных gag orders, потому что суд может явно запретить прекращение публикации канарейки. Это спорный вопрос.

Не каждая канарейка одинаково информативна. Грамотно составленная канарейка содержит несколько компонентов, которые позволяют клиенту оценить состояние дел.

• Дата: Канарейка должна обновляться регулярно (раз в квартал, раз в месяц). Старая канарейка без обновлений - тревожный сигнал.
• PGP-подпись: Грамотная канарейка подписана PGP-ключом компании. Это исключает подмену через взлом сайта.
• Заявления: Полная канарейка включает несколько утверждений: не получала NSL, не получала FISA-ордеров, не получала gag order, не передавала данные третьим лицам без судебного ордера.
• Указание юрисдикции: Канарейка должна указывать юрисдикции, в которых она действительна. Anubiz Host канарейка действительна для Исландии и Румынии.
• Современная дата в подписи: Подпись должна включать дату публикации, чтобы клиент мог проверить, что подпись свежая. Иногда добавляют криптографически свежее событие - например, хеш недавнего блока Bitcoin.
• Чтение между строк: Если канарейка изменилась (убрали одно из утверждений, изменили формулировку, добавили оговорку), это может быть сигналом. Анализируйте изменения версий.

Anubiz Host публикует warrant canary раз в квартал на главной странице. Содержание канарейки публично доступно и подписано PGP-ключом компании.

• Текущая канарейка: Включает три утверждения: не получали секретных предписаний от властей Исландии, Румынии или третьих стран; не передавали данные клиентов без судебного ордера локальной юрисдикции; не модифицировали инфраструктуру по требованию любого государственного органа без судебного ордера.
• График обновления: Раз в квартал (1 января, 1 апреля, 1 июля, 1 октября). Подпись PGP-ключом Anubiz Host. Свежее криптографическое свидетельство - хеш недавнего блока Bitcoin.
• Юридическая основа: Канарейка действительна для исландской и румынской юрисдикций. В обеих странах нет аналога USA PATRIOT Act с обязательными gag orders по NSL. Это делает канарейку более простой по юридической логике, но менее распространённой исторически.
• Resilience через PGP: Канарейка подписана не только корпоративным ключом, но и личным ключом владельца компании. Это исключает возможность принуждения сотрудников компании к публикации ложной канарейки без участия владельца.
• Что делать при исчезновении канарейки: Если канарейка не обновилась в положенный день и не появилась в течение 7 дней, клиентам рекомендуется рассматривать это как тревожный сигнал. Действия: миграция чувствительных данных, проверка целостности инфраструктуры, обращение к нашей команде для разъяснений.
• Контакт: Вопросы о канарейке - [email protected].