BitVPS

Warrant kanaryası nedir, ve neden önemlidir?

Bir warrant kanaryası, bir hizmet sağlayıcısının belirli türde yasal süreçler almadığını belirten, düzenli olarak yayımlanan, PGP imzalı bir beyandır — en yaygın olarak bir Ulusal Güvenlik Mektubu, bir sustur emri veya toplu gözetim talebi. Kanarya, durana kadar devam eder. Bir sonraki planlı kanaryanın yokluğu, bir şeyin değiştiğinin sinyalidir. Bu sayfa mekanizmayı açıklar, PGP doğrulamasını adım adım anlatır ve 2026'da bunu sürdüren sağlayıcıları listeler.

Güncellendi · Yazar: BitVPS Mühendislik

Mekanizma

Bir warrant kanaryası nasıl çalışır — yasal mantık

Warrant kanaryası, zorla konuşturma doktrinindeki belirli bir asimetriye dayanır. Birçok gözetim yasası — Amerika Birleşik Devletleri'nde 18 USC §2709 (Ulusal Güvenlik Mektubu yetkisi); Birleşik Krallık 2016 Soruşturma Yetkileri Yasası'ndaki benzer hükümler (§133 ifşa yasağı); diğer 14-Eyes yargı bölgelerindeki eşdeğerleri — bir emrin muhatabının bu emir hakkında konuşmasını engelleyen ifşa yasağı maddeleri içerir. Bu maddeler sessizliği zorunlu kılar. Çoğu yargı bölgesinde bu maddeler, muhatabı aktif olarak yanlış bir olumlu beyanda bulunmaya zorlamaz.

Kanaryanın istismar ettiği şey işte bu ayrımdır. Bir sağlayıcı, sabit bir ritimde — haftalık, aylık, üç aylık — "[tarih] itibarıyla bir NSL almadık" beyanını yayımlar. Beyan doğru kaldığı sürece yayın devam eder. Sağlayıcı bir emir alırsa, bunu doğrudan söyleyemez (sustur emri). Ama olumlu beyanı yayımlamayı bırakabilir. Bir sonraki planlı kanarya ya hiç görünmez ya ilgili madde kaldırılmış olarak görünür ya da farklı bir ifadeyle görünür. O yokluk — o değişiklik — sustur emrinin bastıramayacağı bir bilgidir.

/canary/ adresinde yayımlanan BitVPS kanaryası bu kalıbı izler. Her Pazartesi, bir önceki Pazar sona eren haftayı kapsayan bir beyanı yeniden imzalarız. İmzalı beyan şunları sıralar: alınan NSL'ler (hedef: sıfır), alınan sustur emirleri (hedef: sıfır), alınan toplu saklama emirleri (hedef: sıfır), yargı bölgesi başına emir sayıları (Saint Kitts ve Nevis, İzlanda, Hollanda, Romanya, İsviçre), alınan ve işleme alınan DMCA bildirimleri ile alınan ve işleme alınan kötüye kullanım şikâyetleri. Altı sayıdan beşinin normal bir haftada sıfır olması beklenir; kötüye kullanım ve DMCA sayıları tasarım gereği sıfırdan farklıdır (kötüye kullanım şikâyetleri alırız ve kaç tane aldığımızı yayımlarız).

Ritim önemlidir. Yılda bir yayımlanan bir kanarya, haftada bir yayımlanandan daha az sinyal taşır — baskı ile müşterinin fark etmesi arasındaki gecikme, tazelik penceresidir. Haftalık kanaryalar bu pencereyi yedi güne indirir; günlük kanaryalar (ölçekte anahtar yönetimi gerektirdiğinden nadirdir) bunu yirmi dört saate indirir. Üç aylık kanaryalar, bir sağlayıcının dışarıdan herhangi bir gözlemci fark etmeden önce ele geçirilebileceği üç aylık bir pencere bırakır.

PGP doğrulaması

PGP imzalı bir kanaryayı doğrulamak — dört adım

Kriptografik olarak imzalanmamış bir kanarya tiyatrodur. Doğrulama dört adım ve yaklaşık doksan saniye sürer. Aşağıdaki örnek BitVPS kanaryasını kullanır; aynı prosedür, PGP imzalı bir kanarya yayımlayan herhangi bir sağlayıcı için işe yarar.

Adım 1 — Ortak anahtarı sağlayıcıdan alın. BitVPS ortak PGP anahtarını şu adreste yayımlar: /pgp/. Anahtar parmak izi, web sitesinin birden fazla sayfasında (hakkında, kanarya, pgp, alt bilgi) belgelenir; böylece tek sayfalık bir kurcalama girişimi tespit edilebilir. Güvenmeden önce parmak izini birden fazla kaynakla çapraz kontrol edin — archive.org anlık görüntüleri, Wayback Machine, üçüncü taraf PGP anahtar sunucuları.

curl -O https://bitvps.io/pgp/bitvps-pubkey.asc
gpg --show-keys bitvps-pubkey.asc

Adım 2 — Anahtarı içe aktarın. Yerel GnuPG anahtarlığınıza içe aktarın. Anahtar yerel deponuzda kalır — yükleme gerekmez, üçüncü taraf güveni gerekmez.

gpg --import bitvps-pubkey.asc

Adım 3 — İmzalı kanarya metnini indirin. /canary/ adresindeki kanarya işlenmiş HTML'dir, ancak temel imzalı dosya, açık imzalı bir .asc olarak da mevcuttur — kanarya sayfasının altında ya da doğrudan depolama yolu üzerinden görünür. Bu örneğin amaçları doğrultusunda, çalışma dizininize canary.asc olarak kaydedin.

curl -O https://bitvps.io/canary/latest.asc

Adım 4 — İmzayı doğrulayın. gpg --verify komutunu .asc dosyasına karşı çalıştırın. Bir "Good signature" satırı iki şeyi onaylar: kanarya, içe aktarılan anahtarın sahibi tarafından imzalandı VE kanarya metni imzalandığından beri değiştirilmedi. Başarısız bir doğrulama, dosyanın değiştirildiği, imzanın geçersiz olduğu veya anahtarın eşleşmediği anlamına gelir — kanaryayı güvenilmez sayın ve daha fazla araştırın.

gpg --verify canary.asc

# expected:
# gpg: Good signature from "BitVPS Ltd. <>"
# gpg: Primary key fingerprint: 4DCF 5D6D 10AF F2AA 47E2  070E A62A EDAF 647E E3E6

GnuPG'yi daha önce hiç kullanmadıysanız, önce kurun: Debian ailesi Linux'ta `apt install gnupg2`, macOS'ta `brew install gnupg` ya da Windows'ta GPG4Win'i indirin. Doğrulama adımının kendisi her platformda aynıdır.

Etkin kanaryalar

Bir warrant kanaryası sürdüren sunucular ve kuruluşlar

Kısa, doğrulanabilir liste. Bağlam için tarihsel örnekleri (Apple 2013–2014, Reddit 2014–2016) dahil ettik — bir kanaryanın değişimi nasıl sinyalediğine dair vaka çalışmaları olarak yararlıdırlar. Burada listelenmemiş kamuya açık bir kanarya sürdürüyorsanız, /panel/?section=support üzerinden bize ekleme gönderin.

Sağlayıcı / proje Ritim İlk yayımlama Durum Notlar
rsync.net Quarterly, PGP-signed 2014 Maintained One of the earliest commercial canaries. Includes Bitcoin block-hash as a freshness anchor.
BitVPS Weekly, PGP-signed (every Monday) 2024 Maintained Per-jurisdiction order counts (KN, IS, NL, RO, CH) plus DMCA, abuse, NSL and gag-order statements.
Bahnhof (transparency report) Annual transparency report (not a canary in the strict sense) 2014 Active transparency reporting Swedish ISP. Publishes detailed transparency stats; the canary-style attestations are scattered through the integrity page rather than a single signed document.
The Tor Project Annual 2014 Maintained Re-affirmed annually. One of the longest-running organisational canaries.
Apple (historical) Removed in 2014 — historical example, not current 2013 Removed (2014) — historical Apple's November 2013 transparency report contained the canonical "Apple has never received an order under Section 215" canary statement. The line was conspicuously absent from the September 2014 report. Apple has not commented publicly on the change.
Reddit (historical) Removed in 2016 — historical example, not current 2014 Removed (2016) — historical Reddit's 2014 transparency report carried a National Security Letter canary. The 2015 report removed the language. The administrator who maintained the canary commented publicly that he could not say more.

Bu listeyi bilinçli olarak kısa tutuyoruz. Uzun, iddialı bir liste sinyali sulandırır — bir kanaryanın değeri, doğrulanabilir olmasıdır ve ölçekte doğrulama pahalıdır. Listeyi değiştirdiğimizde güncelleriz; bu sayfadaki dateModified alanı, en son doğrulama geçişini yansıtır.

Dürüstlük bölümü

Eksik bir kanarya gerçekte ne anlama gelir?

Dürüst yanıt: pazarlama metninin ima ettiğinden daha azını. Son on yılda kaçırılan bir kanaryanın baskın nedeni, bir Ulusal Güvenlik Mektubu'nun alınması değildi — idari bir gözden kaçırmaydı. Sorumlu mühendis tatildeydi, cron işi bir kimlik bilgisi rotasyonuna denk geldi, kanarya alt alanının DNS'i süresi doldu, şirket unuttu. Tek bir kaçırılan yenileme, en iyi ihtimalle zayıf bir sinyaldir.

Zayıf sinyali güçlü sinyale dönüştüren şey teyittir. Şunlara bakın:

  • Planlı yenilemesini kaçıran bir kanaryanın ve sonradan belirgin biçimde değiştirilmiş bir ifadeyle ortaya çıkması (madde kaldırılmış, yargı bölgesi sayısı değişmiş, kapsam daraltılmış).
  • Sağlayıcıyı ilgilendiren yasal bir meselenin kamuya açık şekilde haber yapılmasıyla çakışan bir kanarya başarısızlığı.
  • Kanarya kesintisine eşlik eden bir PGP anahtarı değişikliği — özellikle yeni anahtar, orijinal anahtarın sahip olduğu çok kaynaklı parmak izi çapraz kontrolü olmadan yayımlandıysa.
  • Kurumsal sessizlik — kesintiyi açıklayan kamuya açık bir beyan yok, sosyal medyada bir kabul yok, doğrudan müşteri sorgularına bir yanıt yok.
  • Kanarya URL'sinin kendisinin aniden erişilemez hale gelmesi, özellikle archive.org'daki önbelleğe alınmış sürümleri de kaldırıldıysa.

Apple'ın 2014'teki kanarya kaldırması kanonik vaka çalışmasıdır. Eylül 2013 şeffaflık raporu "Apple, ABD Vatanseverlik Yasası'nın 215. Bölümü kapsamında hiçbir zaman bir emir almadı" satırını içeriyordu. Eylül 2014 şeffaflık raporu içermedi. Apple, değişikliği açıklayan kamuya açık bir beyan yayımlamadı. Gizlilik araştırmacıları (o sırada ACLU'da olan Christopher Soghoian; The Intercept'te Glenn Greenwald) yokluğu günler içinde işaret etti. Sinyal ilk başta zayıftı — bir editoryal değişiklik olabilirdi — ama yokluk sonraki raporlarda da sürdü ve Apple'ın baş hukuk müşaviri, doğrudan sorulduğunda kanarya beyanını sonradan yeniden teyit etmedi. İki yıl sonra gizlilik-araştırması topluluğundaki ortak yorum, Apple'ın bir 215. Bölüm emri aldığı yönündeydi. Apple bunu hiçbir zaman doğrulamadı da yalanlamadı da.

Kaçırılan bir kanaryanın doğru yorumu "daha fazla araştır"dır, "sağlayıcıya tebligat yapıldı" değil. Kanaryalar, aldatma yokluğunda kanıttır; aldatma varlığında ispat değil.

Sınırlar

Bir sinyal olarak kanaryaların sınırlamaları

Bir kanaryayı sağlayıcı bütünlüğünün kriptografik kanıtı olarak değerlendirmeden önce tartmanız gereken üç dürüst sınır.

1. Yasal teori boşluğa bağımlıdır. Kanarya, sustur emirlerinin olumlu yalan yerine sessizliği zorunlu kıldığı bir doktrini istismar eder. Bu doktrin, her yargı bölgesindeki her gözetim yasası için kesin olarak test edilmemiştir. Stanford Law Review ve diğer hukuk akademisyenleri her iki tarafı da savundu. Kararlı bir savcı, "almadık" beyanının sürekli olumlu yayımının zorlanmasının kendisinin bir ifşa yasağı yükümlülüğünün parçası olduğunu ve yayımı durdurmanın sustur emrinin ihlali olduğunu makul biçimde öne sürebilir. Yasal teori yayımlanmış ABD içtihadında şimdiye dek geçerliliğini korudu, ancak kesin bir çözüme kadar dava edilmedi. Diğer yargı bölgeleri daha da az test edilmiştir.

2. İmzasız kanaryalar işe yaramaz. Doğrulanabilir bir PGP anahtarıyla imzalanmamış — ya da parmak izi birden fazla bağımsız kaynakla çapraz kontrol edilemeyen bir anahtar kullanan — bir kanarya tiyatrodur. Sağlayıcının web sitesini kontrol eden bir saldırgan, sahte bir "her şey yolunda" kanaryası yerleştirebilir ve bu değişikliği tespit etmenin hiçbir yolu yoktur. Kanaryayı taşıyıcı kılan şey PGP imzasıdır. İmzasız metin, ne yazarsa yazsın bir kanarya değildir. Güvenmeden önce doğrulayın.

3. Süresi dolmuş kanaryalar belirsizdir. Bir kanarya yenilenmeyi bıraktığında, yorum başka neler olduğuna bağlıdır. Süresi dolmuş bir kanarya artı kurumsal sessizlik artı bir anahtar değişikliği güçlü sinyaldir. Tek başına süresi dolmuş bir kanarya zayıftır — mühendisin tatilde olduğu anlamına gelebilir. Hiç başlamamış bir kanarya ise hiçbir sinyal değildir. Belirsizliği giderme yükü müşteriye düşer; sağlayıcı yalnızca dürüstçe yayımlayabileceğini dürüstçe yayımlayabilir.

Kanaryaları bir güvenlik garantisi olarak değil, birkaç kültürel-bütünlük sinyalinden biri olarak değerlendirin. Bir kanarya size, bir sağlayıcının baskıyı, çelişki sinyalini önceden yayımlamak için mühendislik çabası harcayacak kadar gerçek bir risk olarak gördüğünü söyler. Bu anlamlıdır. Kriptografik kanıtla aynı şey değildir.

SSS

Warrant kanaryası — sık sorulan sorular

Warrant canary nedir?
A warrant canary is a regularly-published statement that a service provider has not yet received certain types of legal process — most commonly a National Security Letter, a gag order, or a bulk surveillance demand. The canary is published in the affirmative ("we have not received…") on a fixed cadence (weekly, monthly, quarterly). The legal logic is asymmetric: a gag order can compel silence about a received order, but most jurisdictions cannot compel a person to make an affirmative false statement. So the warrant canary continues until it stops — and the absence of the next scheduled canary is the signal that something has changed.
How does a warrant canary actually work in law?
The mechanism depends on a specific gap in compelled-speech doctrine. Many surveillance statutes — 18 USC §2709 for US National Security Letters, similar provisions in other 14-Eyes jurisdictions — include non-disclosure clauses preventing the recipient from talking about the order. Those clauses compel silence. They do not, in most cases, compel the recipient to actively lie. So if a provider has been publishing "we have not received an NSL" weekly for two years, and one week the statement does not appear (or its language changes), that absence is itself information that the gag-order regime cannot suppress. The legal theory has not been definitively tested in court for every statute in every jurisdiction — see "Limitations" below for the honest caveats.
Is a warrant canary legally binding?
Not in the contractual sense. A canary is a unilateral, public attestation by the provider, not a covenant with any specific customer. What makes it useful is that (a) it is signed with the provider's PGP key, so anyone can verify it came from the same key that signed every prior canary; (b) it is timestamped, so the absence of a renewal is detectable; and (c) the provider's reputation and their threat model are aligned around its continued publication. A canary is more like a firmware-version attestation than a contract — useful evidence in the absence of a deception, useless once you suspect a deception.
How do I verify a PGP-signed warrant canary?
Four steps. (1) Download the provider's public PGP key from their website (BitVPS publishes ours at /pgp/ — verify the fingerprint matches the one published on the warrant-canary page itself). (2) Import the key with `gpg --import bitvps-pubkey.asc`. (3) Download the signed canary text. (4) Run `gpg --verify canary.asc` to check the signature. Successful verification proves: the canary was signed by the holder of the published key, AND the canary text has not been modified since signing. If verification fails, treat the canary as untrusted. Cross-check the fingerprint against multiple sources (the provider's site, archive.org snapshots, third-party PGP keyservers) to defend against a key-substitution attack.
What does it mean when a canary "dies"?
Canary death — the absence of an expected scheduled renewal — is most often administrative oversight, not the receipt of an NSL. Real-world history: most canary-renewal failures in the last decade have been because the engineer responsible was on vacation, the cron job hit a credential-rotation, or the company forgot. The signal is genuinely ambiguous. If a canary fails to renew, the right interpretation is "investigate further" rather than "the provider has been served". Cross-reference: ask other customers, check archive.org, look for community discussion on the relevant subreddits or hacker forums. A single missed canary is weak signal; a missed canary plus organisational silence plus a key change plus removal of the canary URL is strong signal.
Why don't bigger providers publish canaries?
Several reasons, none of them flattering. First, large publicly-traded providers face shareholder-litigation risk if a canary is interpreted as material non-public information — much easier to publish nothing than to publish a statement that might trigger a 10-Q disclosure debate. Second, the legal theory underlying canaries is unsettled: a provider's general counsel can plausibly argue that publishing one creates litigation exposure. Third, large providers receive enough surveillance demands that publishing a "we have not received" canary would be perjury immediately — at scale, the canary is incompatible with the operating reality. Smaller privacy-focused providers can credibly publish canaries because they receive few or no qualifying orders; very large providers cannot.
Are canaries useful, or are they security theatre?
Honest answer: they are useful as one signal among several, not as a security guarantee. A canary tells you that a provider thinks adversarial coercion is a real enough risk to invest engineering effort in pre-publishing the contradiction signal. That is meaningful cultural information about who you are dealing with. The canary itself is not cryptographic proof of non-coercion — it is cultural proof of coercion-aware operations. Combine canary publication with other signals (jurisdiction, ownership transparency, transparency reports, abuse-handling track record, PGP key continuity) for a meaningful overall picture. A canary alone is not enough; a canary plus everything else above is meaningful.
Where can I find a list of providers with active canaries?
The canonical reference is the Canary Watch project (originally maintained by EFF, now defunct as a centralised list since 2016) and the Wikipedia "Warrant canary" article, which maintains a partial list. We list the providers we know maintain active canaries in the table on this page — we have deliberately kept it short and verifiable rather than long and aspirational. The list shifts: Apple removed theirs in 2014, Reddit in 2016, Tumblr at various points. We update this page when we change the list. If you maintain a public canary and are not on this page, send us the URL through /panel/?section=support and we will verify and add you.
Kaynaklar

Dayandığımız kaynaklar

Canlı kanaryayı görün — haftalık doğrulanır.

BitVPS, kanaryayı her Pazartesi yeniden imzalar. Güncel beyan, önceki her haftanın arşivi ve doğrulama için PGP anahtarı, hepsi /canary/ üzerindedir.