Riseup moves to encrypted email in response to legal requests.

Feburary 16, 2017

Dopo aver esaurito tutte le possibilità legali, Riseup ha deciso di obbedire a due mandati dell'FBI piuttosto che affrontare il reato di vilipendio alla corte (che sarebbe risultato in carcere per i Riseup bird e/o la terminazione di Riseup). Il primo mandato riguardava l'indirizzo di contatto pubblico per una rete internazionale di estorsione a mezzo DDoS. Il secondo riguardava un account che utilizzava ransomware per estorcere denaro.

L'estersione è chiaramente una violazione dei termini e dello spirito del contratto sociale [1] che abbiamo con i nostri utenti: ti proteggiamo fin tanto che non hai dei propositi di oppressione, misogini, razzisti o bigotti.

C'era un obbligo di silenzio che ci impediva di rivelare l'esistenza di questi mandati fino ad ora. Questo era il motivo per cui noi non potevamo aggiornare il nostro “Canary” [2].

Ci siamo attivati per assicurarci che Riseup non abbia mai più accesso alle email dei suoi utenti in chiaro. A partire da oggi, tutti i nuovi account mail di Riseup saranno cifrati con una chiave personale e accessibili solo da te. Nel futuro prossimo, inizieremo a migrare gli account esistenti a questo nuovo sistema (per dettagli tecnici, vedi [3]).

Per essere del tutto chiari, questo tipo di cifratura non è end-to-end. Con il nuovo sistema di Riseup, ci dai ancora fiducia quando fai login. Per ottenere una cifratura end-to-end devi usare un client che supporta OpenPGP (e non è web).

Stiamo lavorando per mettere in funzione un sistema end-to-end più completo per il prossimo anno, ma finché non è pronto, stiamo lanciando la memorizzazione cifrata con chiave personale.

Solidarietà,
i Riseup Birds

Domande

Q: siete stati compromessi dalla polizia?

A: No. Non abbiamo mai permesso l'installazione di hardware o software su sistemi che controlliamo; la polizia non ha preso i nostri server; non ne ha accesso, e non l'ha mai avuto. Preferiremmo chiudere Riseup che far questo.

Q: il governo non potrebbe obbligarvi a dire questo?

A: Un simile obbligo è raro nel contesto legale statunitense. Succede solo nei casi di protezione del consumatore che il governo è riuscito ad obbligare le aziende a rilasciare dichiarazioni (ad esempio gli avvertimenti obbligatori sulle sigarette). Comunque, no non ci stanno forzando a dire niente.

Q: perché non avete aggiornato il canary?

A: Nell'inverno 2016, la canary non è stata aggiornata in tempo. La canary era così ampia che ogni tentativo di rilasciarne una nuova sarebbe stata una violazione dell'ordine di silenzio collegata ad un indagine per estorsione tramite DDoS e l'operazione di ransomware. Questo non è una buona idea, perché se succede una cosa anche piccola, segnala agli utenti che è successo un fatto grande.

Q: perch la nuova canary non nomina ordini di silenzio, ordini FISA, lettere dalla sicurezza nazionale, eccetera?

A: la nostra strategia iniziale per la canary stava solo danneggiando gli utenti mettendogli paura innecessariamente quando sono successi problemi minori. Una canary deve segnalare informazioni importanti agli utenti, ma c'è il rischio di segnalare la cosa sbagliata agli utenti o portare a paura e confusione senza una buona ragione. La canary attuale è limitata ad eventi significativi che comprometterebbero la sicurezza degli utenti di Riseup.

• [1]: https://riseup.net/tos
• [2]: https://riseup.net/canary
• [3]: https://0xacab.org/riseuplabs/trees