Proteus: A Practical Framework for Privacy-Preserving Device Logs

Die Arbeit stellt Proteus vor, ein praktisches Framework für die privatsphärewahrende Protokollierung von Geräten, das durch eine zweischichtige Architektur aus pseudonymisierten Feldern und zeitlich rotierender Verschlüsselung forensische Analysen ohne Offenlegung von personenbezogenen Daten und unter Beibehaltung hoher Datenintegrität ermöglicht.

Das Wesentliche

Stell dir vor, dein Smartphone ist wie ein Tagebuch, das automatisch mitgeschrieben wird, während du es benutzt. Es notiert alles: wann du dich eingeloggt hast, welche Orte du besucht hast, welche Apps du benutzt hast. Für Sicherheitsfirmen oder Unternehmen ist dieses Tagebuch extrem wertvoll, um Betrug aufzudecken oder zu verstehen, wie Hackerangriffe funktionieren.

Das Problem ist: In diesem Tagebuch stehen auch hochsensible Geheimnisse – deine E-Mail-Adresse, deine genaue GPS-Position, deine Handynummer. Wenn dieses Tagebuch an eine Firma geschickt wird, um es zu analysieren, landen diese Geheimnisse oft unverschlüsselt auf fremden Servern. Das ist, als würdest du dein Tagebuch offen auf den Tisch legen, damit jemand es liest, und dabei hoffen, dass niemand deine privaten Gedanken liest.

Bisherige Lösungen waren wie ein Bleistift, mit dem man Dinge nachträglich wegrubbeln kann. Entweder wurde zu viel weggemacht (und man konnte den Fall nicht mehr lösen), oder die Geheimnisse wurden erst auf dem Weg zum Server entfernt, was riskant ist.

Hier kommt Proteus ins Spiel. Proteus ist wie ein magischer, unsichtbarer Übersetzer, der direkt in deinem Handy arbeitet, bevor das Tagebuch überhaupt verlassen wird.

Wie funktioniert Proteus? (Die Analogie)

Stell dir vor, du schreibst einen Eintrag in dein Tagebuch:

"Ich habe mich um 14:00 Uhr mit alice@beispiel.de am Ort X eingeloggt."

Ein normales System würde diesen Satz genau so an die Firma senden. Proteus macht etwas anderes in zwei Schritten:

Schritt 1: Der unsichtbare Stempel (Pseudonymisierung)
Proteus nimmt den Namen "alice@beispiel.de" und verwandelt ihn in einen einzigartigen, aber unleserlichen Code (wie einen Fingerabdruck).

• Statt "alice@beispiel.de" steht jetzt: FINGERABDRUCK_12345.
• Wichtig: Die Firma sieht immer noch, dass es derselbe Fingerabdruck ist. Wenn du dich später wieder einloggst, steht wieder FINGERABDRUCK_12345. So können die Sicherheitsleute sehen: "Aha, derselbe Nutzer hat sich zweimal eingeloggt", ohne zu wissen, wer der Nutzer ist.
• Der echte Name "alice@beispiel.de" existiert in diesem Moment nirgendwo mehr außer in deinem Handy.

Schritt 2: Der tägliche Safe (Verschlüsselung)
Jetzt kommt der zweite Trick. Selbst wenn jemand diesen Fingerabdruck FINGERABDRUCK_12345 sieht, ist er noch nicht sicher. Denn wenn ein Hacker das Tagebuch von heute und von morgen stiehlt, könnte er sehen: "Oh, heute und morgen tauchte immer derselbe Fingerabdruck auf – das ist also dieselbe Person!"

Proteus verhindert das, indem es den Fingerabdruck jeden Tag in einen neuen, verschlossenen Safe packt.

• Heute wird der Code mit einem Schlüssel für Montag verschlüsselt.
• Morgen wird er mit einem Schlüssel für Dienstag verschlüsselt.
• Diese Schlüssel werden jeden Tag automatisch neu generiert und der alte Schlüssel vernichtet.

Das Ergebnis:
Ein Hacker, der das Tagebuch von heute und morgen stiehlt, sieht nur zwei völlig verschiedene, unleserliche Kryptowörter. Er kann sie nicht miteinander verbinden. Er weiß nicht, dass sie zur selben Person gehören.

Wann darf die Firma den Code lesen?

Die Sicherheitsfirma braucht die Daten nur, wenn wirklich etwas Schlimmes passiert ist (z. B. ein Betrugsfall). Dann passiert Folgendes:

1. Der kontrollierte Schlüssel: Du (oder dein Gerät) gibst der Firma einen zeitlich begrenzten Schlüssel für einen bestimmten Zeitraum (z. B. "nur für den 12. und 13. März").
2. Die Entschlüsselung: Die Firma kann nun die Sätze von diesen Tagen öffnen. Sie sieht wieder FINGERABDRUCK_12345.
3. Das große Geheimnis bleibt: Aber! Die Firma sieht niemals den echten Namen "alice@beispiel.de". Sie sieht nur den Fingerabdruck. Sie können also die Geschichte rekonstruieren ("Dieser Nutzer hat hier und dort gehandelt"), aber sie können den Namen des Nutzers nicht erraten.

Warum ist das so genial?

• Kein "Nachträgliches Rubbeln": Die Geheimnisse verlassen dein Handy gar nicht erst im Klartext. Sie sind von Anfang an geschützt.
• Sicher vor "Spätschichten": Selbst wenn ein Hacker das Tagebuch von heute, morgen und übermorgen stiehlt, kann er keine Verbindungen herstellen, weil die Schlüssel jeden Tag wechseln.
• Schnell und leicht: Das System läuft so schnell, dass du es gar nicht merkst. Es kostet nur winzige Mengen an Speicherplatz und Zeit (weniger als ein Tausendstel Sekunde pro Eintrag).

Zusammenfassung

Proteus ist wie ein Sicherheitsassistent, der dein Tagebuch liest, die sensiblen Namen durch unsichtbare Codes ersetzt, diese Codes jeden Tag in einen neuen Safe sperrt und nur dann den Schlüssel für einen bestimmten Zeitraum herausgibt, wenn ein echter Notfall vorliegt.

So können Unternehmen ihre Sicherheit prüfen und Betrug aufdecken, ohne dass deine Privatsphäre geopfert wird. Es ist der perfekte Kompromiss zwischen Sicherheit für alle und Privatsphäre für dich.

Technische Zusammenfassung

Hier ist eine detaillierte technische Zusammenfassung des Papers „Proteus: A Practical Framework for Privacy-Preserving Device Logs" auf Deutsch:

1. Problemstellung

Device-Logs sind unverzichtbar für forensische Untersuchungen, Unternehmensüberwachung und Betrugserkennung. Mit dem Wandel hin zu „Bring-Your-Own-Device" (BYOD) und der Sammlung von Daten von persönlichen Endgeräten (Smartphones, IoT, Wearables) entsteht jedoch ein fundamentales Dilemma:

• Datenschutz vs. Nutzbarkeit: Um Sicherheitsvorfälle aufzuklären, müssen Logs granulare Details enthalten. Diese enthalten jedoch oft personenbezogene Daten (PII), die bei der Exportierung an Dritte (z. B. Cloud-Analyse-Server) preisgegeben werden.
• Versagen bestehender Ansätze:
  • Nachträgliche Redaktion (Post-hoc Redaction): Entfernt PII erst nach der Erfassung, was die Integrität der Daten während der Übertragung und Speicherung gefährdet und die forensische Nutzbarkeit (Verknüpfung von Ereignissen) zerstört.
  • Differential Privacy: Opfert die Genauigkeit einzelner Ereignisse, was für forensische Analysen inakzeptabel ist.
  • Verschlüsselte Audit-Logs: Erfordern oft eine vollständige Entschlüsselung zur Analyse oder bieten keine Schutzmechanismen gegen Korrelation über mehrere Zeitpunkte hinweg.
• Bedrohungsmodell: Angreifer können entweder mehrere Log-Snapshots über die Zeit auf dem Gerät erfassen (Multi-Snapshot-Beobachter) oder als „honest-but-curious" Server große Mengen an exportierten Logs analysieren, um Identitäten zu verknüpfen.

2. Methodik: Das Proteus-Framework

Proteus ist das erste Framework, das In-Situ-Schutz (Schutz am Entstehungsort) bietet, ohne die forensische Nutzbarkeit zu beeinträchtigen. Der Kernansatz basiert auf der Erkenntnis, dass forensische Analysen Korrelation (Verknüpfung verwandter Ereignisse) benötigen, aber nicht die Offenlegung der eigentlichen PII-Werte.

Proteus implementiert ein zweischichtiges Verschlüsselungsschema:

A. Zweischichtiger Schutzmechanismus

1. Pseudonymisierung (Layer 1):
   • PII-Felder werden beim Erstellen des Logs durch einen gekeyten Hash (HMAC) ersetzt.
   • Dies erzeugt stabile Tokens, die es ermöglichen, Ereignisse desselben Nutzers oder derselben Entität über die Zeit zu verknüpfen, ohne den Klartext preiszugeben.
   • Der Hash-Schlüssel ($K_{hash}$) verbleibt ausschließlich auf dem Gerät und wird niemals geteilt.
2. Verschlüsselung mit rotierenden Schlüsseln (Layer 2):
   • Die pseudonymisierten Tokens werden mit täglichen, flüchtigen Schlüsseln verschlüsselt.
   • Diese Schlüssel werden aus einer hierarchischen Ratchet-Struktur abgeleitet, die auf einem hardware-verankerten Root-Key (basierend auf DICE - Device Integrity and Cryptographic Evidence) aufbaut.
   • Dies verhindert, dass Angreifer, die mehrere Snapshots über die Zeit sammeln, die Tokens korrelieren können, da sich der Verschlüsselungsschlüssel täglich ändert.

B. Kontrollierter Austausch (Controlled Sharing)

• Für forensische Analysen kann ein Client einem Server zeitlich begrenzten Zugriff gewähren.
• Der Client exportiert den Zustand des Ratchets für einen spezifischen Zeitraum.
• Der Server kann daraus die täglichen Entschlüsselungsschlüssel ableiten, um die Tokens zu entschlüsseln.
• Wichtig: Der Server erhält niemals den Hash-Schlüssel ($K_{hash}$). Er kann also sehen, dass zwei Logs denselben pseudonymisierten Token enthalten (Verknüpfung), aber nicht, welcher echte Benutzer dahintersteckt.
• Nach der Freigabe wird der Root-Key rotiert, um Forward Secrecy (Schutz zukünftiger Logs) und Post-Compromise Security (Schutz nach einer Kompromittierung) zu gewährleisten.

C. Integrität und Attestierung

• Logs werden kryptografisch an den attestierten Zustand des Geräts gebunden (via DICE), um Manipulationen und Injection-Angriffe zu verhindern.

3. Hauptbeiträge

1. Erstes In-Situ-Framework: Proteus schützt sensible Daten direkt am Punkt der Generierung auf mobilen Endgeräten, sodass PII niemals als Klartext das Gerät verlässt.
2. Formales Bedrohungsmodell: Definition eines neuen Modells für mobile Forensik, das Multi-Snapshot-Angreifer und neugierige Cloud-Server berücksichtigt.
3. Praktische Implementierung: Entwicklung einer Android-Bibliothek, die transparent in logcat integriert ist und auf drei verschiedenen Hardware-Generationen (2017–2022) getestet wurde.
4. Beweisbare Sicherheitsgarantien: Theoretischer Nachweis, dass die hierarchische Ratchet-Struktur Sicherheits Eigenschaften bietet, die denen von Signal's Double Ratchet (Vertraulichkeit und Forward Secrecy) ähneln.

4. Ergebnisse und Evaluation

Die Evaluation umfasste sowohl ein End-to-End-Prototyp (Python) als auch eine Android-Bibliothek auf echten Geräten.

• Performance (Latenz):
  • Median-Latenz pro Nachricht: 0,2 ms.
  • Dies ist für Produktionsumgebungen akzeptabel und beeinträchtigt die Reaktionsfähigkeit von Anwendungen nicht signifikant.
• Speicheroptimierung:
  • Gesamter Speicher-Overhead: 2,41 % (bezogen auf das LogHub-Dataset mit 30,3 Millionen Einträgen).
  • Interessanterweise reduziert Proteus die Größe bei langen PII-Typen (z. B. URLs mit Query-Parametern), da diese durch feste Token-Größen ersetzt werden.
• Skalierbarkeit:
  • Das System bewältigt hohe Nachrichtenraten. Der Engpass liegt primär in der PII-Erkennung (Regex-Muster) und nicht in den kryptografischen Operationen.
• Sicherheit:
  • Die Analyse bestätigt, dass PII auch gegenüber einem „honest-but-curious" Server geschützt bleibt, solange dieser keinen Zugriff auf den Hash-Schlüssel hat.
  • Forward Secrecy wird durch die tägliche Schlüsselrotation gewährleistet.

5. Bedeutung und Fazit

Proteus löst das langjährige Dilemma zwischen Datenschutz und forensischer Nutzbarkeit auf mobilen Endgeräten. Es ermöglicht Sicherheitsanalysten, Angriffspfade zu rekonstruieren und Zeitlinien zu erstellen, ohne dass die Privatsphäre der Nutzer durch die Offenlegung von PII verletzt wird.

• Paradigmenwechsel: Statt PII nachträglich zu entfernen oder die Daten unscharf zu machen, ermöglicht Proteus eine kontrollierte Verknüpfung von Datenpunkten.
• Produktionsreife: Die geringen Latenzen und der minimale Speicherbedarf machen den Einsatz in realen, großflächigen BYOD- und IoT-Umgebungen praktikabel.
• Zukunftssicherheit: Durch die Integration von Hardware-Attestierung (DICE) und modernen Kryptographie-Prinzipien (Ratcheting) bietet das Framework einen robusten Schutz gegen zukünftige Bedrohungen, einschließlich der Kompromittierung von Servern oder Geräten.

Zusammenfassend stellt Proteus einen wesentlichen Schritt hin zu einer vertrauenswürdigen, datenschutzkonformen Sicherheitsüberwachung in einer Welt vor, in der persönliche Geräte integraler Bestandteil der Unternehmenssicherheit sind.