什么是金丝雀安全声明?

金丝雀安全声明是一种公开声明,描述了服务提供商未采取的行动;如果服务提供商收到采取该行动的法律命令但禁止披露该声明,则该声明将被删除。

学习目标

阅读本文后,您将能够:

  • 定义“金丝雀安全声明”
  • 描述金丝雀安全声明的主要用途
  • 解释透明度报告的用途

复制文章链接

什么是金丝雀安全声明?

金丝雀安全声明是关于组织未采取某些行动或未收到政府或执法机构的某些信息请求的声明。许多服务使用金丝雀安全声明让用户知道他们的数据有多私密

某些类型的执法和情报请求附带命令,禁止组织披露他们已收到。但是,通过从其网站(或发布的任何地方)中删除相应的金丝雀安全声明,组织可以表明他们已收到此类请求。

为什么叫“金丝雀”?该术语源于常见的“煤矿中的金丝雀”类比,指将金丝雀带入矿井以帮助指示致命气体存在的做法。气体看不见也闻不到,但如果金丝雀死了,矿工们就会知道气体的存在。同样,一些政府要求是“看不见的”——它们不能公开宣布。然而,失踪的金丝雀安全声明表明存在这样的请求,就像金丝雀的死亡表明存在致命气体一样。

金丝雀安全声明的示例

金丝雀安全声明最早的例子之一是 2005 年在美国佛蒙特州的一个图书馆内张贴的一个标志。这个标志简单地写着:“FBI 没有来过这里”;如果该标志被取下,则暗示美国联邦调查局 (FBI) 已经访问了该图书馆内的顾客记录。

下面是一个更复杂的在线服务金丝雀安全声明示例:“我们公司从未在我们网络的任何地方安装任何执法软件或设备。”(有关更多示例,请参阅下面的 Cloudflare 金丝雀安全声明部分。)

什么是透明度报告?

金丝雀安全声明通常出现在透明度报告中。透明度报告是组织定期发布的报告,用于报告执法部门的信息请求。一些透明度报告还描述了由于政府干预而删除或阻止内容的频率。

当金丝雀安全声明从最新版本的透明度报告中消失时,这表明该声明不再适用——换句话说,政府机构已经提出了金丝雀安全声明中描述的请求。

您可以在这里阅读 Cloudflare 透明度报告

什么是政府请求?

政府请求是指任何来自政府机构的信息请求。政府请求包括来自通常调查犯罪的执法机构的请求,以及来自情报机构或其他具有调查权限的政府机构的请求。政府机构通常必须去法院发布要求组织提供信息的命令,这使得组织必须遵守。但他们也可以简单地请求信息。情报机构的请求与金丝雀安全声明的使用尤其相关,因为它们通常不能公开宣布。

什么是国家安全信函?

国家安全信函 (NSL) 是美国情报机构特有的一种情报请求。NSL 接收者必须对他们收到 NSL 的事实保密,以便机构可以在不受干扰和不泄露调查对象的情况下进行调查。联邦机构只能使用 NSL 来请求某些类型的记录——他们不能请求通信内容,例如电子邮件正文或电话交谈。

什么是加密后门程序?

加密通过扰乱信息使其看起来是随机数据的方式来隐藏信息。只有拥有加密密钥的各方才能解密并查看真实信息。

在许多情况下,政府要求技术服务提供商在其加密中引入后门程序。后门程序是一种绕过加密的内置方法,就像给某人一把可以打开建筑物内任何锁的万能钥匙一样。

后门程序使加密更弱,更不安全。出于这个原因,技术提供商可能会包含加密金丝雀安全声明,以表明他们的加密是否已应政府机构的要求被削弱。

Cloudflare 的金丝雀安全声明包括哪些内容?

截至 2020 年 12 月,Cloudflare 发布了以下金丝雀安全声明:

  1. Cloudflare 从未将我们的加密或身份验证密钥或客户的加密或身份验证密钥移交给任何人。
  2. Cloudflare 从未在我们网络上的任何地方安装任何执法软件或设备。
  3. Cloudflare 从未向任何执法组织提供通过我们网络传递的客户内容的提要。
  4. Cloudflare 从未应执法部门或其他第三方要求修改客户内容。
  5. Cloudflare 从未应执法部门或其他第三方要求修改 DNS 响应的预期目的地。
  6. Cloudflare 从未应执法部门或其他第三方要求,削弱、破坏或推翻其任何加密。

请参阅 Cloudflare 透明度报告了解更多信息。