Tag: warrant canary

About warrant canary

Subscribe Feeds

Is dat een warrant canary in je jaarverslag of ben je blij de NSA te zien?

Geplaatst op in Ondernemingsvrijheid, Regulering, 28 reacties

warrant-canaryInternetforum Reddit heeft donderdag een stuk tekst verwijderd dat gebruikt werd om aan te geven dat de site nog nooit in het geheim data heeft moeten overhandigen aan de Amerikaanse overheid, bij Nu.nl. De site heeft al jaren deze warrant canary in haar jaarlijks transparantierapport staan om een signaal te kunnen geven als men een National Security Letter of FISA-bevel krijgt, twee controversiële geheime bevelen die zonder gerechtelijke toetsing worden gegeven. Nu.nl zegt dat het dus ‘aannemelijk’ is dat zo’n bevel er is geweest, maar dat gaat me iets te snel.

Een warrant canary is een juridische truc om toch te kunnen laten weten dat je een opvraag- of tapbevel hebt gekregen waar een gag order (zwijglast) bij zit. Het idee is dat je zegt “Het afgelopen jaar kregen wij geen opvraag- of tapbevelen” en dat je die tekst weghaalt zodra je wél zo’n bevel kreeg. Zo zeg je het niet expliciet (wat immers niet mag) maar niemand kan jou bevelen te liegen. Is het idee.

Reddit publiceert een jaarlijkse canary gericht tegen National Security Letters en FISA-bevelen, beide controversiële bevelen omdat er geen voorafgaande gerechtelijke toetsing aan zit én je er altijd je mond over moet houden. Tot enkele jaren terug beweerde Justitie zelfs dat het niet toegestaan was bij de rechter zo’n bevel aan te vechten.

Dit jaar ontbreekt de canary. Het idee is dat daaruit dan volgt dat er een dergelijk bevel is gegeven, immers je mag niet liegen in je jaarverslag. Plus, niemand kan je dwingen iets te zeggen waar je niet achter staat. Aldus de Amerikaanse theorie: compelled speech is iets zeer onwenselijks in het Amerikaanse recht, dus reddit kan niet worden gedwongen die kanarietekst te herhalen als ze dat niet wil.

Ik blijf erbij: dit werkt niet. Ook niet in de VS – in het algemeen is compelled speech inderdaad een probleem, maar hier maak je zélf dat probleem door steeds iets te zeggen waarmee je straks de geest van een zwijglast kunt omzeilen. En als er iets is waar rechters een hekel aan hebben, dan is het wel aan bijdehante figuren die niet gewoon doen wat in de wet staat en daar met een zeer spitsvondig argument grijnzend omheen gaan draaien.

Het zou een zeer gedurfde actie van Reddit zijn om langs deze weg te laten weten dat er een geheim bevel met last is geweest. Maar ik denk dat ze dan écht een serieus probleem hebben bij de rechter. Mijn eerste gedachte naar aanleiding van de CEO’s reactie (“I’ve been advised not to say anything one way or the other.”) was dat hij van zijn eigen jurist had gehoord wat voor risico eraan zit, en toen dacht, ik haal het ding eruit want zulke strafrechtszaken dan wel mijn aandeelhouders voorliegen, daar heb ik geen zin in.

Arnoud

Heeft Truecrypt een anti-NSA warrant canary losgelaten?

Geplaatst op in Security, 44 reacties

truecrypt-duress-canaryEindelijk weten we het: het was de NSA die Truecrypt heeft gesaboteerd. Dat meldt althans Slashdot. Het project kondigde onlangs nogal cryptisch (haha) aan dat de gratis diskencryptiesoftware niet veilig meer zou zijn en of we allemaal op Microsoft Bitlocker over zouden willen stappen. En de tekst “Using TrueCrypt is not secure as it may …” is natuurlijk helemáál een weggever. Maar kan het?

Een warrant canary is een juridische truc waarbij je elke dag een boodschap produceert à la “Vandaag ontvingen wij geen tapbevelen”. De dag dat je wél zo’n bevel krijgt, produceer je die boodschap niet. Daarmee weet de goede verstaander hoe het zit, zonder dat je expliciet hebt gezegd “wij kregen een bevel” – dat laatste is verboden want dergelijke bevelen komen met een “u mag niemand vertellen dat u dit bevel gehad heeft”-gag order. De analogie is met de kanarie in de kolenmijn: als die dood neervalt, dan is er koolmonoxide in de buurt en moet je wegwezen. Daar heb je nog net tijd voor, want een kanarie gaat eerder dood daaraan dan een mens.

Ik blijf erbij dat een warrant canary niet kan, niet in de VS en niet in Europa (bij ons: art. 126bb strafvordering). Als je een bevel krijgt met een verbod om anderen te vertellen dat je het gehad hebt, dan mag je óók niet ophouden met zeggen “Ik heb vandaag géén bevel gehad”. Dat komt immers informatietechnisch op hetzelfde neer. Je moet dan liegen om het bevel op te volgen.

In het Amerikaanse rechtssysteem is iemand dwingen wat te zeggen (compelled speech) juridisch heikeler dan iemand dwingen niets te zeggen (gag order). En daar is dit idee op gebaseerd. Maar ik zie in dit specifieke geval het verschil niet. Als het spreekverbod toegestaan is, dan moet dat ook kunnen worden gehandhaafd tegen iemand die daardoor óphoudt met spreken.

Een dodemansknop zie ik nog wel: maak een script dat als je een week niet inlogt, een vooraf bepaalde tekst plaatst en het project sluit. Dat is dan niet te voorkomen met een gag order, zeker niet als je een week lang koppig om je advocaat blijft vragen en niet vertelt over de dodemansknop. Het lijkt me wel technisch lastig te automatiseren (een kennis instrueren en die het handmatig laten doen is wellicht slimmer) en het is riskant, wat als je een week internetstoring hebt of de server met het script maakt een datumfout en leeft ineens een week in de toekomst.

De verklaring dat de overgebleven developer(s) tegen een burnout aan liepen na tien jaar ondankbaar werk, lijkt me waarschijnlijker. Wat jullie?

Arnoud