O que é warrant canary

Um warrant canary é uma declaração publicada, atualizada num cronograma regular, afirmando que o operador não recebeu mandado ou intimação de segurança nacional que vem com ordem de mordaça. O canary está "vivo" enquanto continua aparecendo no cronograma. Se para de aparecer, ou sua linguagem muda de jeito específico, usuários devem inferir que um processo legal com mordaça chegou, mesmo que o operador não possa divulgar diretamente.

O mecanismo se baseia numa assimetria legal. Nos Estados Unidos, uma National Security Letter (NSL) sob 18 U.S.C. § 2709 e uma ordem FISA Seção 215 podem obrigar um provedor a entregar registros e proibir divulgação. Tribunais decidiram que a mordaça proíbe divulgação ativa. O argumento por trás de um warrant canary é que a Primeira Emenda protege o direito de NÃO falar: o operador não é obrigado a continuar afirmando "nenhum mandado recebido", então silêncio é ausência de fala, não fala proibida.

Por que isso é uma área cinzenta

Tribunais americanos não testaram diretamente se deixar de publicar um warrant canary viola uma ordem de mordaça. O argumento não foi rejeitado, mas também não foi confirmado. Várias considerações enfraquecem a proteção na prática:

• Um tribunal poderia ler remoção do canary como o equivalente funcional de divulgação, particularmente se a finalidade do canary era especificamente sinalizar um mandado.
• Doutrina de fala compelida é mais fraca pra entidades comerciais que pra indivíduos.
• O mandado em si pode incluir linguagem explícita exigindo que o destinatário continue negócio rotineiro, que um tribunal poderia ler como cobrindo o canary.
• Outras jurisdições (Reino Unido, Austrália, França) têm provisões anti-tipping-off explícitas que criminalizam a inferência, removendo qualquer proteção estilo Primeira Emenda.

O valor defensivo de um canary é portanto real mas limitado. Não sinaliza nada se o operador simplesmente esquece de publicar, mente sobre o canary estar morto ou opera de jurisdição onde a inferência em si é ilegal.

Quem usou

• Reddit publicou um relatório de transparência incluindo um warrant canary de 2014 a 2016. O relatório de 2015 omitiu a linguagem relevante, levando usuários a concluir que uma NSL chegou.
• Apple incluiu linguagem de canary em relatórios iniciais de transparência do iOS; foi removida em 2014.
• Cloudflare publica relatório trimestral de transparência com declarações explícitas de canary desde 2014.
• Reddit, Tumblr e Twitter todos omitiram ou modificaram linguagem de canary em vários momentos sem confirmar a causa.
• O projeto canarywatch.org da EFF rastreou canaries publicamente entre 2014 e 2016 antes de aposentar o índice.

Provedores VPN e pequenas empresas de hosting são os publicadores mais ativos hoje, em parte porque seu modelo de ameaça centra em intimações e em parte porque sua base de usuários lê a divulgação.

Como é um canary útil

Um canary que sinaliza confiavelmente tem três propriedades.

1. Prova criptográfica da data. A declaração do canary é assinada com a chave PGP do operador e timestampada contra fonte externa que o operador não controla (hash de bloco Bitcoin, capa do New York Times, valor mais recente do NIST randomness beacon). Isso previne backdating.
2. Cadência regular de publicação. Mensal ou trimestral é comum. A cadência tem que ser consistente o suficiente pra que uma lacuna inesperada seja significativa, mas frouxa o suficiente pra absorver atrasos rotineiros.
3. Linguagem específica sobre o que está sendo atestado. Um canary útil nomeia as categorias: NSLs, ordens FISA, ordens judiciais secretas, ordens de mordaça. Um canary que vagamente diz "sem interferência governamental" é fraco demais pra ser útil.

O Fexyn mantém um warrant canary em /warrant-canary sob jurisdição de Wyoming, EUA. O canary é um sinal entre vários que contribuem pra avaliar um provedor VPN; complementa mas não substitui uma política no-logs, uma auditoria independente e a escolha de jurisdição operacional.