金絲雀安全聲明是一種公開聲明,描述了服務提供者未採取的行動;如果服務提供者收到採取該行動的法律命令但禁止披露該聲明,則該聲明將被移除。
閱讀本文後,您將能夠:
複製文章連結
金絲雀安全聲明用於聲明組織沒有採取某些動作,也沒有收到政府或執法機構的某些資訊要求。許多服務使用金絲雀安全聲明讓使用者知道他們資料的私密性。
某些類型的執法和情報要求附有禁止組織披露收到該要求的命令。但是,組織可以透過從其網站(或其他發佈位置)中移除相應的金絲雀安全聲明,來表明他們已收到此類要求。
為什麼用「金絲雀」?該詞彙源於常見的「煤礦中的金絲雀」類比,指將金絲雀帶入礦井以幫助指示致命氣體存在的做法。氣體看不見也聞不到,但如果金絲雀死了,礦工們就會知道氣體的存在。同樣,一些政府要求是「看不見的」——它們不能公開宣布。然而,失踪的金絲雀安全聲明表明存在這樣的要求,就像金絲雀的死亡表明存在致命氣體一樣。
金絲雀安全聲明最早的範例之一是 2005 年在美國佛蒙特州一家圖書館內張貼的一個標誌。這個標誌簡單地寫著:「FBI 沒有來過這裡」;如果該標誌被取下,則暗示美國聯邦調查局 (FBI) 已經存取了該圖書館內的訪客記錄。
下面是一個更複雜的線上服務金絲雀安全聲明範例:「我們公司從未在我們網路的任何地方安裝任何執法軟體或設備。」(有關更多範例,請參閱下面的 Cloudflare 金絲雀安全聲明部分。)
金絲雀安全聲明通常出現在透明度報告中。透明度報告是組織定期發布的報告,用於報告執法部門的資訊要求。一些透明度報告還描述了由於政府干預而移除或封鎖內容的頻率。
當金絲雀安全聲明從最新版本的透明度報告中消失時,這表明該聲明不再適用——換句話說,政府機構已經提出了金絲雀安全聲明中描述的要求。
您可以在此處閱讀 Cloudflare 透明度報告。
政府要求是指任何來自政府機構的資訊要求。政府要求包括來自通常調查犯罪的執法機構的要求,以及來自情報機構或其他具有調查權限的政府機構的要求。政府機構通常必須去法院發布要求組織提供資訊的命令,這使得組織必須遵守。但他們也可以簡單地要求資訊。情報機構的要求與金絲雀安全聲明的使用尤其相關,因為它們通常不能公開宣布。
國家安全信函 (NSL) 是美國情報機構特有的一種情報要求。NSL 接收者必須對他們收到 NSL 的事實保密,以便機構可以在不受干擾和不洩露調查對象的情況下進行調查。聯邦機構只能使用 NSL 來要求某些類型的記錄——他們不能要求通訊內容,例如電子郵件內文或電話交談。
加密透過擾亂資訊以使其看起來是隨機資料的方式來隱藏資訊。只有擁有加密金鑰的各方才能解密並檢視真實資訊。
在許多情況下,政府要求技術服務提供者在其加密中引入後門程式。後門程式是一種繞過加密的內建方法,就像給某人一把可以打開建築物內任何鎖的萬能鑰匙一樣。
後門程式使加密更弱,更不安全。出於這個原因,技術提供者可能會包含加密金絲雀安全聲明,以表明他們的加密是否已應政府機構的要求被削弱。
截至 2020 年 12 月,Cloudflare 發布了以下金絲雀安全聲明:
如需進一步瞭解,請參閱 Cloudflare 透明度報告。