web-dev-qa-db-ja.com

誰かがユーザーごとの令状カナリアを提供しますか

最近の傾向として、企業がWebサイトでカナリアの令状を公開し、次のようなことを述べています。

私たちは私たちのプライベート暗号化キーを第三者に開示せざるを得ませんでした

これは、必要な開示を伴うことが多いギャグ命令を無効にするための賢明な方法です。企業は侵入について顧客に積極的に伝えることはできません。メッセージが削除された場合、顧客は原則として会社が侵害されたことを知るでしょう。

今日疑問に思ったのは、このような声明をユーザーごとに発行する企業はありますか?毎日真夜中に、Gmail、Dropbox、iCloudが受信トレイに次のようなメモを送信したと想像してください

過去24時間にわたって、usernameのユーザーデータを第三者に開示せざるを得ませんでした。

誰かこれをしますか?理由がないのですか?

5
BeetleJuice

私は弁護士ではありません。この回答は私の意見です

私はこれを確認または否定する法的機関を見つけることができませんでした。NSL関連のカナリアについて話していると思います(裁判所によって当事者に発行されたカナリアとは動作が異なります)。

長い回答をお詫び申し上げますが、質問に回答するには、背景を説明する必要があります。

まず、国家安全保障文書(ギャグ命令で情報を求める)は 18 U.S. Code§2709 によって承認されます。法律では次のことが許可されています。

(1)禁止。

—(A)一般的に。—

サブパラグラフ(B)に基づいて証明書が発行され、サブセクション(d)に基づく司法審査の権利の通知が提供される場合、サブセクション(b)に基づく要求を受け取る有線または電子通信サービスプロバイダー、または役員、従業員、代理人開示すべての人に連邦捜査局がこのセクションの情報または記録へのアクセスを求めた、または入手したこと

ここでの禁止事項は非常に具体的であり、これを開示しない方法でカナリアを作成するのは非常に簡単です。

ただし、個々のユーザーの秘密鍵の状況は、通信監視に該当するため異なり、 18 U.S. Code§312 でカバーされます。 (d)(2)には、次の禁止事項が含まれています。

ペンレジスターまたはトラップアンドトレースデバイスが接続または適用されている回線またはその他の施設を所有またはリースしている人、または申請者に支援を提供するための命令によって義務付けられている人存在を開示しないペンで登録またはトラップして追跡するデバイス、またはリストされている加入者への調査の存在、または裁判所から別段の指示がない限り、他の人物。

ここで、開示の禁止は明示的であり、ユーザーの鍵の侵害による通信の監視の存在をユーザーに開示することは明らかに法律に違反します。

また、カナリアがどのように機能するかについての正確な法的詳細に興味がある場合は、 この記事を参照 も参照してください。

更新: この記事 は上記の理由を確認し、説明します:

このような慣行は、調査の対象となるユーザーに警告し、会社から事業を撤回させることにより、国家安全保障に実際の脅威をもたらす個人への正当な問い合わせを危険にさらすことになります。

そして

粒状のカナリアは、政府の捜査の調査のターゲットに警告し、その個人に標的のサービスの使用を中止し、そこから自分の情報を消去しようとする可能性があるため、合法的な国家安全保障調査を危うくする可能性が最も高いです。明らかに、政府はこの結果を防ぐことに強い関心を持っています。したがって、裁判所は、これらのカナリアが合法であると判断する可能性が低く、それらのカナリアの除去を禁止するギャグ命令を支持する傾向があります。

2
George Y.