Proteus: A Practical Framework for Privacy-Preserving Device Logs

Il paper presenta Proteus, un framework pratico per la registrazione di log su dispositivi che garantisce l'analisi forense preservando la privacy e l'integrità dei dati attraverso pseudonimizzazione crittografica, rotazione temporale delle chiavi e attestazione dell'origine, minimizzando al contempo l'overhead di latenza e dimensione.

L'essenziale

Ecco una spiegazione semplice e creativa del paper "Proteus", pensata per chiunque, anche senza conoscenze tecniche.

🛡️ Proteus: Il "Camaleonte" che protegge i tuoi segreti digitali

Immagina che il tuo smartphone sia come una casa piena di oggetti personali: foto, messaggi, la lista della spesa, il calendario delle visite dal medico. Ogni volta che usi un'app, la casa lascia una "scia" (un registro o log) di ciò che è successo: "Alle 14:00 ho aperto WhatsApp", "Alle 14:05 ho cercato 'pizzaiolo'".

Queste scie sono fondamentali per gli investigatori (per scoprire chi ha rubato i dati) o per le aziende (per capire se un'app sta funzionando bene). Ma c'è un grosso problema: spesso queste scie contengono i tuoi segreti più intimi (il tuo nome, il tuo indirizzo email, la tua posizione). Se qualcuno ruba queste scie, può sapere tutto di te.

Fino ad oggi, le soluzioni erano come due opzioni estreme:

1. Niente protezione: Si mandano le scie con i segreti in chiaro. È come inviare una cartolina postale: chiunque può leggerla.
2. Censura totale: Si cancellano i nomi e i numeri prima di inviare la scia. È come inviare una cartolina dove tutti i nomi sono stati cancellati con un pennarello nero. L'investigatore vede che "qualcuno" ha chiamato, ma non può collegare due chiamate allo stesso giorno o capire chi è l'utente. È inutile per le indagini.

Proteus è la terza via: un sistema intelligente che permette di analizzare le scie senza mai rivelare i segreti, mantenendo però la capacità di collegare i puntini tra loro.

---

🕵️‍♂️ Come funziona? L'analogia del "Codice Segreto a Due Strati"

Proteus funziona come un sistema di sicurezza a due livelli, un po' come un camaleonte che cambia colore ogni giorno.

1. Il primo strato: L'Etichetta Magica (Pseudonimizzazione)

Immagina che ogni volta che scrivi il tuo nome "Mario Rossi" in un registro, invece di scriverlo, lo trasformi magicamente in un codice unico, tipo X7Z-99.

• Il trucco: Se scrivi di nuovo "Mario Rossi" più tardi, il codice sarà sempre X7Z-99.
• Perché è utile? L'investigatore può vedere che X7Z-99 ha fatto due cose diverse (es. "login" e "acquisto") e capire che è la stessa persona che ha fatto entrambe le cose, senza sapere che quella persona è Mario Rossi.
• Il segreto: Solo il tuo telefono conosce la formula magica per trasformare "Mario Rossi" in X7Z-99. Il server che riceve i dati vede solo il codice, non il nome.

2. Il secondo strato: La Cassaforte che cambia chiave ogni giorno (Crittografia a Ratchet)

Qui entra in gioco la parte più geniale. Immagina che il codice X7Z-99 sia scritto su un foglio di carta. Se un ladro ruba il registro di oggi e quello di domani, potrebbe collegare i due fogli e capire che sono dello stesso Mario.
Proteus risolve questo problema con una cassaforte che cambia combinazione ogni 24 ore.

• Ogni giorno, il telefono genera una nuova chiave segreta.
• I codici di oggi sono chiusi nella cassaforte con la chiave di oggi.
• I codici di domani sono chiusi con una chiave diversa.
• Il risultato: Anche se un ladro ruba i registri di 10 giorni diversi, non può collegarli tra loro perché ogni giorno è "sigillato" in modo diverso. Non può vedere che X7Z-99 del lunedì è lo stesso di X7Z-99 del martedì, perché le chiavi sono cambiate.

3. La "Chiave di Emergenza" (Condivisione Controllata)

Cosa succede se c'è un vero crimine e serve un'indagine?
L'investigatore non può semplicemente chiedere tutte le chiavi. Deve chiedere un "permesso a tempo limitato".

• Tu (o il tuo telefono) dai all'investigatore la chiave per aprire solo la cassaforte di un giorno specifico (es. "Apri solo il registro del 15 ottobre").
• L'investigatore apre quel giorno, vede i codici X7Z-99, e può ricostruire la cronologia di quel giorno.
• Ma attenzione: Appena ha finito, il telefono cambia di nuovo la chiave principale. L'investigatore non può più aprire i registri di domani o di ieri. È come se avessi dato a un detective la chiave di una sola stanza di un hotel, e appena lui è uscito, hai cambiato la serratura di tutto l'hotel.

---

🚀 Perché è così importante?

1. Privacy senza perdere utilità: A differenza dei sistemi vecchi che cancellavano tutto (rendendo le indagini impossibili), Proteus permette di vedere i collegamenti (chi ha fatto cosa e quando) senza sapere chi è la persona.
2. Protezione contro i ladri pazienti: Anche se un hacker ruba il telefono oggi e lo guarda per un anno, non può collegare i dati di oggi con quelli di domani grazie alle chiavi che cambiano ogni giorno.
3. Leggero e veloce: Il sistema è stato testato su telefoni vecchi e nuovi. Aggiunge solo un ritardo di 0,2 millisecondi per ogni messaggio (è come il tempo che impiega un'ape a battere le ali). È così veloce che non noterai alcuna differenza nell'uso del telefono.

In sintesi

Proteus è come un diario segreto che si scrive da solo.

• Se lo leggi tu, vedi tutto.
• Se lo leggi tu dopo un anno, ricordi tutto.
• Se lo ruba un ladro, vede solo fogli con scritte incomprensibili e chiavi che cambiano ogni giorno.
• Se un detective ha un mandato, può leggere solo il foglio di un giorno specifico, ma non può sapere chi ha scritto il diario, né può leggere i fogli degli altri giorni.

È la soluzione perfetta per bilanciare la necessità di sicurezza (sapere cosa succede) con il diritto alla privacy (non sapere chi lo fa).

Sommario tecnico

Ecco un riassunto tecnico dettagliato del paper "Proteus: A Practical Framework for Privacy-Preserving Device Logs" in lingua italiana.

1. Il Problema: Il Dilemma della Privacy nei Log di Dispositivi Mobili

La raccolta di log dai dispositivi è fondamentale per indagini forensi, monitoraggio aziendale e rilevamento delle frodi. Tuttavia, l'estensione di queste pratiche ai dispositivi personali (smartphone, IoT, BYOD) crea un grave conflitto tra osservabilità e privacy.

• Rischio PII: I log generati su dispositivi personali contengono inevitabilmente Informazioni Personalmente Identificabili (PII) sensibili (es. email, posizione GPS, ID dispositivo, dati sanitari).
• Limiti delle Soluzioni Esistenti:
  • Redazione post-hoc: Rimuove i dati sensibili dopo la raccolta, ma espone i dati in chiaro durante il trasferimento e l'archiviazione, violando il principio del "minimo privilegio".
  • Taint tracking lato client: Introduce un elevato overhead e ha lacune nella copertura, rendendolo difficile da adottare in produzione.
  • Differential Privacy: Sacrifica la fedeltà degli eventi singoli, rendendo impossibile la ricostruzione delle timeline forensi.
  • Crittografia standard: Spesso richiede la decrittazione completa per l'analisi, esponendo la PII.

Il problema centrale è come permettere l'analisi forense (che richiede la correlazione di eventi) senza mai esporre la PII in chiaro, nemmeno a server "onesti ma curiosi" o ad avversari che catturano snapshot multipli dei log nel tempo.

2. Metodologia: Il Framework Proteus

Proteus è il primo framework di logging che applica la protezione della privacy in-situ (al momento della generazione del log) senza compromettere l'utilità forense. La sua architettura si basa su un'insight fondamentale: l'analisi forense richiede correlazione (capire se due eventi appartengono allo stesso utente), non la recupero del valore PII originale.

Proteus implementa uno schema a due livelli crittografico:

A. Architettura Crittografica

1. Pseudonimizzazione (Livello 1):
   • Al momento dell'emissione del log, i campi PII rilevati vengono trasformati in token stabili tramite un hash con chiave (HMAC) utilizzando una chiave K_hash derivata da un identificatore hardware radice (CDI - Device-Unique Secret).
   • Questo permette di collegare eventi relativi allo stesso utente (es. stesso indirizzo email) senza rivelare l'indirizzo stesso.
2. Cifratura con Rotazione Temporale (Livello 2):
   • I token pseudonimizzati vengono cifrati utilizzando chiavi di cifratura che ruotano quotidianamente.
   • Le chiavi sono derivate da un ratchet gerarchico (simile al "Double Ratchet" di Signal) ancorato all'hardware tramite DICE (Device Integrity and Cryptographic Evidence).
   • Questo impedisce la correlazione tra diversi snapshot di log presi in giorni diversi da un avversario, garantendo la segretezza in avanti (forward secrecy).

B. Protocollo di Condivisione Controllata

Per le indagini forensi, è necessario decifrare i log in un intervallo di tempo specifico:

• Il client esporta uno stato del ratchet (una chiave intermedia) che permette al server di derivare le chiavi di decrittazione solo per un intervallo temporale limitato (es. da una data di inizio fino al giorno corrente).
• Il server non riceve mai la chiave K_hash (necessaria per invertire l'HMAC). Quindi, anche decifrando, il server ottiene solo il token pseudonimizzato, non la PII originale.
• Dopo la condivisione, il client ruota la chiave radice (R0) per garantire la sicurezza post-compromissione, impedendo al server di decifrare i log futuri.

C. Attestazione

L'intero processo è ancorato all'attestazione DICE, che lega criptograficamente i log allo stato verificato del dispositivo, prevenendo manomissioni e iniezioni di log falsi.

3. Contributi Chiave

1. Primo Framework In-Situ per Mobile: Proteus protegge i dati sensibili direttamente sul dispositivo al momento della generazione, impedendo che la PII in chiaro lasci mai il dispositivo.
2. Modello di Minaccia Formalizzato: Definisce un modello di minaccia specifico per i dispositivi mobili che include osservatori multi-snapshot (che catturano log nel tempo) e server onesti ma curiosi.
3. Implementazione Pratica: Sviluppo di una libreria Android che estende logcat in modo trasparente, funzionante su tre generazioni di hardware diverse.
4. Garanzie di Sicurezza Dimostrabili: Analisi teorica che dimostra come la struttura a ratchet gerarchico di Proteus offra proprietà di sicurezza analoghe al Double Ratchet di Signal, garantendo confidenzialità, segretezza in avanti e recupero post-compromissione.

4. Risultati Sperimentali

Gli autori hanno valutato Proteus su tre dispositivi Android (dal 2017 al 2022) e su un dataset di 30,3 milioni di voci di log (LogHub).

• Overhead di Archiviazione: L'aggiunta di protezione crittografica e tokenizzazione ha aumentato la dimensione totale dei log solo del 2,41%. Interessante notare che per PII lunghe (come URL con parametri), Proteus riduce le dimensioni grazie alla cifratura in token a dimensione fissa.
• Latenza: La latenza mediana per messaggio è di 0,2 ms. Questo è considerato trascurabile per le applicazioni di logging in produzione.
• Scalabilità: Il framework gestisce carichi di lavoro realistici senza bloccare le applicazioni. L'analisi dei colli di bottiglia ha mostrato che il tempo di elaborazione è dominato dalla rilevazione PII (regex) e dalla formattazione, non dalle operazioni crittografiche.
• Efficienza: L'implementazione è stata testata sia come prototipo end-to-end che come libreria Android, confermando la fattibilità per il deployment di produzione.

5. Significato e Impatto

Proteus risolve il compromesso storico tra sicurezza e privacy nei log mobili.

• Per le Aziende: Permette di monitorare dispositivi BYOD e IoT per scopi di sicurezza e frodi senza violare le normative sulla privacy (GDPR, CCPA) o esporre dati sensibili degli utenti.
• Per la Forensics Digitale: Mantiene la capacità di ricostruire timeline e correlare eventi, essenziale per le indagini, ma in modo che i dati sensibili rimangano nascosti anche agli investigatori, a meno che non sia necessaria una decrittazione controllata e limitata nel tempo.
• Innovazione Tecnica: Dimostra che è possibile implementare schemi crittografici complessi (ratcheting, attestazione hardware) su dispositivi mobili consumer con un overhead minimo, spostando il paradigma dalla "redazione post-evento" alla "protezione alla fonte".

In sintesi, Proteus rappresenta un passo fondamentale verso un ecosistema di telemetria sicuro, dove la privacy dell'utente non è un ostacolo all'analisi di sicurezza, ma una caratteristica intrinseca del sistema di logging.