¿Qué es un canario de garantía?

84

Al navegar por el sitio web de VeraCrypt, encontré su canario de garantía . Intenté entender qué es y cuál era su propósito al leer el artículo de Wikipedia correspondiente. Para ser honesto, lo encuentro bastante confuso.

¿Alguien puede explicar qué es un canario de garantías de una manera un poco menos complicada que la de Wikipedia?

    
pregunta trejder 15.05.2017 - 21:03
fuente

3 respuestas

115

Los gobiernos pueden emitir citaciones gubernamentales secretas a los proveedores de comunicaciones que los obligan a revelar datos privados sobre sus usuarios o insertar puertas traseras en sus productos. Además, los gobiernos pueden imponer sanciones penales a una organización que decida revelar públicamente si se emitió una citación.

Algunas organizaciones tecnológicas intentan evitar esto mediante la emisión periódica de "nunca nos han emitido tales citaciones del gobierno" al firmar sus mensajes con su clave privada. Este mensaje se llama canario de orden, con una analogía con un canario en una mina de carbón. (Si la mina comienza a llenarse con gases venenosos, el pequeño canario sentirá sus efectos ante los humanos y sirve como una advertencia para que todos salgan de la mina de carbón). Si el gobierno les emite una citación, prometen que dejarán de emitir el mensaje firmado criptográficamente que dice "nunca se nos ha emitido ninguna citación secreta del gobierno". Si bien la ley permite que el gobierno los penalice por divulgar información sobre una citación secreta, (actualmente) no existe ninguna ley que les obligue a continuar emitiendo dichos canarios.

Por supuesto, es factible que un tribunal del gobierno obligue en secreto a una organización a entregar sus claves privadas que fueron utilizadas para firmar su canario, o les exija que sigan publicando sus canarios o sufran graves consecuencias; Si esto sucede en la práctica no se conoce públicamente. También es posible que las personas que emiten la orden canaria no sean personas dignas de confianza y que continúen emitiéndolas voluntariamente, incluso mientras cumplen con las citaciones del gobierno.

Para obtener más información, consulte estos enlaces de los comentarios:

respondido por el dr jimbob 15.05.2017 - 21:26
fuente
14

Básicamente, es una forma de sortear una restricción para divulgar una orden de arresto.

  1. Los warrants autorizan la incautación de artículos, incluidos los datos. Muchos usuarios desean saber si sus datos han sido incautados
  2. Los canarios en garantía tienen fechas en ellos
  3. Puede ser contra la ley revelar que uno ha recibido una citación o orden secreta (gracias a cat por la corrección) a un tercero (como un usuario)
  4. Recibir una orden no obliga a nadie a publicar una orden canaria
  5. Si uno recibe una orden judicial, uno no publica una orden canaria. Si no se publica, los usuarios / espectadores saben que se ha emitido una orden en el último mes

Por ejemplo, VeraCrypt se ocupa del cifrado de datos. Es posible que se emita una orden judicial u otra orden judicial para intentar forzar a VeraCrypt a que ayude a descifrar algo que su software codificó. Esta es una forma de alertar a los usuarios sobre este hecho, sin caer en las órdenes de mordaza, etc.

    
respondido por el sharur 15.05.2017 - 21:25
fuente
6

En los Estados Unidos, muchas formas de cooperación y compulsión del gobierno son públicas. Algunos pueden ser secretos, o secretos por un período de tiempo. La idea general es que son públicos. Una compañía o persona puede desear mantener dicha asistencia al gobierno en secreto o confidencial, pero a menudo no existe un requisito del gobierno para hacerlo. Sin embargo, en los últimos años, eso ha ido cambiando a una filosofía predeterminada de "hacer que todo sea secreto" y el mayor uso de las Cartas de Seguridad Nacional.

Warrants canaries están dirigidos a National Security Letters (NSLs), que históricamente, por lo poco que sabemos sobre ellas, también vienen con una orden de mordaza permanente (también conocida como secreto forzado para siempre). Debido a que las NSL se emiten bajo " Seguridad Nacional " umbrella y aparato ( enlace ), el gobierno dice que están fuera del alcance normal y del estado de derecho, y como tal, no puede hablar de ello o se lanzará a Gitmo y tirarán la llave. Quizá no literalmente, pero amenazan con hacer todo tipo de cosas horribles e impedir que incluso la entidad receptora de una NSL busque un abogado, lo que muchos consideran un abuso de poder y debido proceso.

El canario de garantías es un intento de ser una solución para las empresas, que ahora tienen toda nuestra información privada (voluntaria o involuntariamente) para que sus usuarios sepan si han sido violados por el gobierno mediante el uso de la fuerza o la coacción. Esto se suma a las estadísticas y los informes de incumplimiento que las empresas divulgan regularmente a sus usuarios. La teoría es que puedes ser obligado a guardar silencio, pero no puedes ser obligado a decir algo, o algo en particular. Por lo tanto, la orden canaria morirá cuando la empresa se quede en silencio.

Un canario particular es válido solo por un período de tiempo determinado, y luego debe reemplazarse, actualizarse o actualizarse. Si se desactiva o desaparece, es de suponer que se emitió una NSL a la compañía, y esa compañía se vio obligada a entregar datos de uno o más de sus usuarios.

Fuente: leyendo las noticias sobre estas cosas.

    
respondido por el YetAnotherRandomUser 16.05.2017 - 13:59
fuente

Lea otras preguntas en las etiquetas