什麼是金絲雀安全聲明?

金絲雀安全聲明是一種公開聲明,描述了服務提供者未採取的行動;如果服務提供者收到採取該行動的法律命令但禁止披露該聲明,則該聲明將被移除。

學習目標

閱讀本文後,您將能夠:

  • 定義「金絲雀安全聲明」
  • 描述金絲雀安全聲明的主要用途
  • 說明透明度報告的用途

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是金絲雀安全聲明?

金絲雀安全聲明 - 藍色背景上的黃色鳥

金絲雀安全聲明用於聲明組織沒有採取某些動作,也沒有收到政府或執法機構的某些資訊要求。許多服務使用金絲雀安全聲明讓使用者知道他們資料的私密性

某些類型的執法和情報要求附有禁止組織披露收到該要求的命令。但是,組織可以透過從其網站(或其他發佈位置)中移除相應的金絲雀安全聲明,來表明他們已收到此類要求。

為什麼用「金絲雀」?該詞彙源於常見的「煤礦中的金絲雀」類比,指將金絲雀帶入礦井以幫助指示致命氣體存在的做法。氣體看不見也聞不到,但如果金絲雀死了,礦工們就會知道氣體的存在。同樣,一些政府要求是「看不見的」——它們不能公開宣布。然而,失踪的金絲雀安全聲明表明存在這樣的要求,就像金絲雀的死亡表明存在致命氣體一樣。

金絲雀安全聲明範例

金絲雀安全聲明最早的範例之一是 2005 年在美國佛蒙特州一家圖書館內張貼的一個標誌。這個標誌簡單地寫著:「FBI 沒有來過這裡」;如果該標誌被取下,則暗示美國聯邦調查局 (FBI) 已經存取了該圖書館內的訪客記錄。

下面是一個更複雜的線上服務金絲雀安全聲明範例:「我們公司從未在我們網路的任何地方安裝任何執法軟體或設備。」(有關更多範例,請參閱下面的 Cloudflare 金絲雀安全聲明部分。)

什麼是透明度報告?

金絲雀安全聲明通常出現在透明度報告中。透明度報告是組織定期發布的報告,用於報告執法部門的資訊要求。一些透明度報告還描述了由於政府干預而移除或封鎖內容的頻率。

當金絲雀安全聲明從最新版本的透明度報告中消失時,這表明該聲明不再適用——換句話說,政府機構已經提出了金絲雀安全聲明中描述的要求。

您可以在此處閱讀 Cloudflare 透明度報告

什麼是政府要求?

政府要求是指任何來自政府機構的資訊要求。政府要求包括來自通常調查犯罪的執法機構的要求,以及來自情報機構或其他具有調查權限的政府機構的要求。政府機構通常必須去法院發布要求組織提供資訊的命令,這使得組織必須遵守。但他們也可以簡單地要求資訊。情報機構的要求與金絲雀安全聲明的使用尤其相關,因為它們通常不能公開宣布。

什麼是國家安全信函?

國家安全信函 (NSL) 是美國情報機構特有的一種情報要求。NSL 接收者必須對他們收到 NSL 的事實保密,以便機構可以在不受干擾和不洩露調查對象的情況下進行調查。聯邦機構只能使用 NSL 來要求某些類型的記錄——他們不能要求通訊內容,例如電子郵件內文或電話交談。

什麼是加密後門程式?

加密透過擾亂資訊以使其看起來是隨機資料的方式來隱藏資訊。只有擁有加密金鑰的各方才能解密並檢視真實資訊。

在許多情況下,政府要求技術服務提供者在其加密中引入後門程式。後門程式是一種繞過加密的內建方法,就像給某人一把可以打開建築物內任何鎖的萬能鑰匙一樣。

後門程式使加密更弱,更不安全。出於這個原因,技術提供者可能會包含加密金絲雀安全聲明,以表明他們的加密是否已應政府機構的要求被削弱。

Cloudflare 有哪些金絲雀安全聲明?

截至 2020 年 12 月,Cloudflare 發布了以下金絲雀安全聲明:

  1. Cloudflare 從未將我們的加密或驗證金鑰或者客戶的加密或驗證金鑰移交給任何人。
  2. Cloudflare 從未在我們網路上的任何地方安裝任何執法軟體或設備。
  3. Cloudflare 從未向任何執法組織提供透過我們網路傳遞的客戶內容的提要。
  4. Cloudflare 從未應執法部門或其他第三方要求修改客戶內容。
  5. Cloudflare 從未應執法部門或其他第三方要求修改 DNS 回應的預期目的地。
  6. Cloudflare 從未應執法部門或其他第三方要求,削弱、破壞或推翻其任何加密。

如需進一步瞭解,請參閱 Cloudflare 透明度報告