通过架构实现
透明度
我们不仅仅承诺隐私 — 我们在架构层面确保没有什么可以交出。我们的 Warrant Canary 是对透明度的公开承诺,每月更新。
City of Hats Warrant Canary 声明
- City of Hats 未收到任何国家安全信函或 FISA 法院命令。
- City of Hats 未收到任何阻止披露政府数据请求的禁言令。
- City of Hats 未被要求向任何政府机构提供加密密钥、后门或解密能力。
- City of Hats 的服务器、基础设施或用户数据未遭受任何搜查或扣押。
- 没有政府或执法机构访问过我们系统上存储的用户内容、密钥或元数据。
- City of Hats 未应任何第三方要求修改其加密协议或基础设施。
什么是 Warrant Canary?
Warrant canary 是注重隐私的组织使用的透明度机制,用于间接表示它们是否已被政府强制交出用户数据。
工作原理
公司发布声明断言其未收到政府秘密命令。如果声明被删除或停止更新,则表示可能已收到法律命令 — 而不直接违反禁言令。
法律基础
虽然政府可以强制沉默(通过禁言令),但通常不能强迫某人主动撒谎。通过删除真实声明而不是发布虚假声明,组织可以在法律范围内提醒用户。
需要关注的
检查金丝雀是否按时更新。如果声明被删除、更改或严重延迟,请将其视为该组织可能受到约束的信号。
行业标准
Signal、Cloudflare 和 Reddit 等主要隐私平台已发布 warrant canaries。现在它被认为是任何处理敏感通信的服务的基本期望。
为什么我们的金丝雀不同
大多数 warrant canaries 只是承诺。我们的由零知识架构支持,使遵守数据请求在架构上成为不可能。
即使有搜查令,也没有什么可以交出。
我们的零存储架构意味着服务器仅保存加密 blob,没有密钥、没有身份映射、没有明文。这在实践中意味着:
服务器上没有加密密钥
所有密钥生成和存储都在客户端进行。服务器永远不拥有任何用户的解密密钥。
没有身份数据
Hat 身份不与电话号码、电子邮件或任何个人信息关联。没有用户数据库可以查询。
没有消息历史
消息在投递后从服务器删除。Dead Drops 在单次阅读后销毁。不保留任何内容。
没有元数据日志
密封发送者和加密头部意味着服务器不记录谁与谁交谈、何时或多频繁。
没有后门能力
加密协议的设计使得插入后门在架构上不可能,否则会破坏整个系统。
仅客户端审计
哈希链审计日志仅存在于用户设备上。服务器没有审计跟踪、活动日志或使用记录。
隐私原则
这些不是营销宣传 — 它们是嵌入我们架构中的工程约束。
架构隐私
我们不依赖政策。系统的构建使得即使我们也无法访问用户数据。技术执行,而非法律承诺。
数据最小化
我们收集路由加密消息所需的最低限度。无分析、无跟踪、无画像。设计上符合 GDPR、PDPA、HIPAA 和 SOC 2。
极端透明
此金丝雀每月更新。如果您没有按时看到更新,请提问。我们相信沉默是一个信号 — 您也应该如此。
管辖意识
在五眼联盟管辖范围之外运营。我们的零存储架构确保全球范围内符合 GDPR、PDPA、HIPAA 和 SOC 2 — 因为没有什么需要遵守。
无第三方访问
无第三方分析、无 CDN 端数据收集、无广告合作伙伴。您的通信仅接触您的设备和我们的加密中继。
持续验证
客户端哈希链审计日志允许您独立验证您的加密会话未被篡改。
信任架构,而非承诺
City of Hats 的构建使得即使我们也无法损害您的隐私。今天就开始使用安全通道 — 无需个人数据。