Qualcuno fornisce un canarino per mandato per utente

7

Una tendenza recente è che le aziende pubblicano dichiarazioni canarie di garanzia sul loro sito web dicendo qualcosa come:

We have not been compelled to disclose our private encryption key to any 3rd party

Questo è un modo intelligente per sconfiggere gli ordini di gag che spesso accompagnano la divulgazione richiesta. Le aziende non possono comunicare attivamente ai propri clienti l'intrusione. Se il messaggio viene rimosso, i clienti in linea di principio dovrebbero sapere che l'azienda è stata compromessa.

Oggi mi sono chiesto: nessuna azienda rilascia una simile dichiarazione per singolo utente? Immagina se tutti i giorni a mezzanotte Gmail o Dropbox o iCloud abbiano inviato una nota nella tua casella di posta in arrivo

Over the last 24hrs, we have not been compelled to reveal the user data for username to any 3rd party

Qualcuno lo fa? Qualsiasi motivo per cui no?

    
posta BeetleJuice 18.02.2017 - 01:44
fonte

1 risposta

1

Non sono un avvocato e questa risposta è la mia opinione

Non sono riuscito a trovare nessuna autorità legale che confermasse o negasse questo, e presumo che tu parli di canarini correlati a NSL (quelli emessi dai tribunali per le feste funzionano diversamente).

Le mie scuse per una lunga risposta, ma sembra necessario spiegare alcuni sfondi per rispondere alla domanda.

Per prima cosa, le lettere di sicurezza nazionale (ricerca di informazioni con ordini di bavaglio) sono autorizzate da 18 US Code § 2709 . La legge consente quanto segue:

(1) Prohibition.

— (A)In general.—

If a certification is issued under subparagraph (B) and notice of the right to judicial review under subsection (d) is provided, no wire or electronic communication service provider that receives a request under subsection (b), or officer, employee, or agent thereof, shall disclose to any person that the Federal Bureau of Investigation has sought or obtained access to information or records under this section

Il divieto qui è molto specifico, ed è molto facile formulare il canarino nel modo in cui non lo rivela.

Tuttavia, la situazione con la chiave privata dell'utente individuale è diversa poiché rientra nel monitoraggio della comunicazione ed è coperta da 18 Codice degli Stati Uniti § 3123 . La sua (d) (2) contiene il seguente divieto:

the person owning or leasing the line or other facility to which the pen register or a trap and trace device is attached or applied, or who is obligated by the order to provide assistance to the applicant, not disclose the existence of the pen register or trap and trace device or the existence of the investigation to the listed subscriber, or to any other person, unless or until otherwise ordered by the court.

Qui il divieto di divulgazione è esplicito e divulgare all'utente l'esistenza di un monitoraggio della propria comunicazione mediante compromissione della propria chiave sarebbe chiaramente contro la legge.

Per favore anche vedi questo articolo se sei interessato all'esatta dettagli legali su come funzionano i canarini.

Aggiornamento: questo articolo conferma il motivo sopra, spiegando:

Such a practice would alert users who become targets of investigations and cause them to withdraw their business from the company, thereby jeopardizing legitimate inquiries into individuals who pose actual threats to national security.

e

Granular canaries have the greatest potential to compromise legitimate national security investigations because they could alert the target of an investigation of the government’s search, prompting that individual to cease use of the targeted service, and to attempt to erase his or her information therefrom. Clearly, the government has a strong interest in preventing this outcome. Thus, courts are less likely to find that these canaries are legal and are more apt to uphold a gag order prohibiting their removal.

    
risposta data 15.11.2017 - 05:36
fonte

Leggi altre domande sui tag