Proteus: A Practical Framework for Privacy-Preserving Device Logs

O artigo apresenta o Proteus, um framework prático para logs de dispositivos que preserva a privacidade ao utilizar pseudonimização baseada em hash e criptografia com chaves efêmeras rotativas, permitindo análise forense e reconstrução de cronologias sem expor informações pessoalmente identificáveis (PII) em texto simples ou comprometer a fidelidade dos dados.

O essencial

Imagine que o seu celular é como um diário de bordo secreto que registra tudo o que você faz: quem você falou, onde você esteve, quais aplicativos abriu e até mesmo seus dados de saúde.

Hoje em dia, empresas e serviços de segurança precisam ler esse diário para descobrir se houve fraudes, se o sistema foi hackeado ou para investigar crimes digitais. O problema? Para ler o diário, eles precisam que você envie uma cópia dele para a nuvem. Mas, ao fazer isso, você está entregando suas senhas, endereços e nomes em texto puro (como se estivesse gritando o conteúdo do diário em uma praça pública).

As soluções atuais são como tentar esconder o diário depois que ele já foi aberto:

• Riscar as palavras (Redação): Funciona para esconder, mas destrói a história. Se você riscar "Alice" e "Bob", o detetive não sabe que eles se falaram.
• Criptografia total: Esconde tudo, mas ninguém consegue ler nada, nem mesmo o detetive quando precisa investigar.

Os autores deste artigo, Proteus, criaram uma solução inteligente para esse dilema. Vamos explicar como funciona usando uma analogia simples.

A Solução: O "Diário Mágico" do Proteus

O Proteus funciona como um diário de bordo com um sistema de segurança de dois níveis, criado para que você possa enviar o diário para o detetive sem que ele veja seus segredos, mas ainda consiga entender a história.

1. O Primeiro Nível: Os "Códigos de Identidade" (Pseudonimização)

Imagine que, em vez de escrever "Alice" no diário, o sistema substitui o nome por um código único, como #ALICE-789.

• O Truque: Se o mesmo código #ALICE-789 aparecer em três entradas diferentes, o detetive sabe que foi a mesma pessoa. Ele consegue conectar os pontos (quem falou com quem, quando).
• A Segurança: Mas, para qualquer pessoa que não tenha a chave secreta, #ALICE-789 é apenas uma sequência de letras aleatórias. Ninguém consegue descobrir que isso significa "Alice".

2. O Segundo Nível: O "Cofre que Muda de Chave Todo Dia" (Criptografia com Ratchet)

Aqui está a parte genial. Se o detetive (ou um hacker) pegar o diário de hoje e o diário de amanhã, eles poderiam tentar comparar os códigos. Se o código for sempre o mesmo, eles podem deduzir padrões.

O Proteus resolve isso mudando o "envelope" de segurança todos os dias:

• Hoje: O código #ALICE-789 é colocado dentro de um cofre com uma chave chamada "Chave-Dia-1".
• Amanhã: O mesmo código #ALICE-789 é colocado em um cofre com uma chave totalmente nova, "Chave-Dia-2".
• O Efeito: Mesmo que um hacker roube o diário de hoje e o de amanhã, ele não consegue ligar os dois eventos porque os cofres são diferentes. É como se você trocasse a cor do papel e a fechadura do diário a cada 24 horas.

Como o Detetive (Empresa) consegue ler?

Aqui entra o controle de acesso. A empresa não pode simplesmente pegar o diário e ler. Eles precisam pedir permissão.

1. O Pedido: A empresa diz: "Precisamos investigar o que aconteceu entre dia 10 e dia 12".
2. A Chave Limitada: O seu celular envia uma "chave temporária" que só abre os cofres desses dias específicos.
3. A Revelação Parcial: Com essa chave, o detetive consegue transformar #ALICE-789 de volta em "Código de Identidade". Ele vê que a mesma pessoa esteve envolvida em vários eventos.
4. O Segredo Permanente: Mesmo com a chave, o detetive NUNCA descobre que #ALICE-789 é "Alice". Ele só sabe que é a mesma pessoa. O nome real fica guardado no seu celular, protegido por uma chave que a empresa nunca recebe.

Por que isso é importante?

• Privacidade Real: Seus dados sensíveis (nomes, e-mails, localização) nunca saem do seu celular em texto claro.
• Investigação Possível: Os detetives ainda conseguem reconstruir a linha do tempo de um crime ou fraude, ligando eventos que envolvem a mesma pessoa, sem saber quem ela é.
• Segurança contra Hackers: Se um hacker roubar o diário de ontem e o de hoje, ele não consegue conectar os pontos porque as "fechaduras" mudaram.
• Leve e Rápido: Os testes mostraram que esse sistema é tão rápido que você nem percebe que está rodando no seu celular (leva menos de 1 milissegundo por mensagem).

Resumo em uma frase

O Proteus é como um tradutor que transforma seus segredos em códigos misteriosos e muda a língua desses códigos todos os dias, permitindo que investigadores vejam a "história" do que aconteceu sem nunca precisar ler o seu "nome" ou "endereço" real.

Resumo técnico

Aqui está um resumo técnico detalhado do artigo "Proteus: A Practical Framework for Privacy-Preserving Device Logs", apresentado em português:

1. O Problema

O aumento da coleta de logs de dispositivos móveis (em cenários BYOD, IoT e dispositivos de consumo) para fins de forense, monitoramento corporativo e detecção de fraudes criou um dilema de privacidade crítico.

• Vazamento de PII: Os logs contêm frequentemente Informações Pessoalmente Identificáveis (PII) sensíveis (localização, contatos, identificadores de saúde). Quando exportados para análise de terceiros, esses dados são expostos em texto claro.
• Falhas das Abordagens Atuais:
  • Redação Posterior (Post-hoc): Remove PII após a coleta, mas expõe os dados brutos durante a transmissão e armazenamento, além de destruir a utilidade forense (impossibilita correlação entre eventos).
  • Rastreamento de Taint (Client-side): Tem alto custo de desempenho e baixa cobertura em binários proprietários.
  • Privacidade Diferencial: Sacrifica a fidelidade dos eventos individuais, tornando-a inútil para investigações forenses que exigem reconstrução de linha do tempo precisa.
  • Criptografia Simples: Se a chave for comprometida, todos os dados são expostos; não protege contra adversários que capturam múltiplas "fotos" (snapshots) dos logs ao longo do tempo.

O desafio é criar um sistema que proteja a PII no momento da geração (in-situ), mantendo a capacidade de correlacionar eventos para forense e resistindo a adversários que observam o dispositivo ao longo do tempo.

2. Metodologia: O Framework Proteus

O Proteus é um framework de registro que opera como uma extensão transparente do logcat do Android. Sua arquitetura baseia-se na premissa de que a análise forense requer correlação (saber que dois eventos pertencem ao mesmo usuário), mas não a divulgação do valor real da PII.

O sistema utiliza um protocolo criptográfico de duas camadas:

A. Camada 1: Pseudonimização com Chave (Keyed-Hash Pseudonymization)

• No momento da emissão do log, campos sensíveis (PII) são processados usando uma função HMAC com uma chave secreta (K_hash) que nunca sai do dispositivo.
• Isso gera um "token" estável. Se o mesmo e-mail aparecer em logs diferentes, o token será idêntico, permitindo a correlação e reconstrução de linhas do tempo, mas sem revelar o e-mail original.

B. Camada 2: Criptografia com Ratchet Temporal (Time-Rotating Encryption)

• Os tokens pseudonimizados são então criptografados usando chaves diárias derivadas de um ratchet hierárquico.
• Raiz de Confiança (DICE): O sistema utiliza o Device-Integrity-Chain-Element (DICE) do hardware para derivar uma chave raiz (R0). Isso vincula os logs ao estado de integridade do dispositivo (proveniência).
• Ratchet Diário: Uma chave de cadeia (ck) é atualizada diariamente. A chave de mensagem diária (K_t) é derivada dessa cadeia.
• Segurança Forward Secrecy: Uma vez que a chave do dia é usada, ela é descartada. Se um adversário comprometer o estado atual do dispositivo, não consegue derivar as chaves dos dias anteriores (protegendo logs passados).

C. Protocolo de Compartilhamento Controlado

Para análise forense, o servidor não recebe as chaves de criptografia diretamente. O cliente exporta um "grant" (permissão) contendo o estado do ratchet para um intervalo de tempo específico.

• O servidor usa esse estado para derivar as chaves diárias apenas para aquele intervalo.
• O servidor nunca recebe a chave K_hash. Portanto, mesmo ao descriptografar, ele vê apenas os tokens pseudonimizados, não a PII original.
• Após o compartilhamento, o cliente rotaciona a chave raiz (R0), garantindo segurança pós-comprometimento (o servidor não pode descriptografar logs futuros).

3. Principais Contribuições

1. Primeiro Framework de Proteção In-Situ para Logs Móveis: Protege dados sensíveis no ponto de emissão, impedindo que a PII em texto claro deixe o dispositivo, mantendo a utilidade forense total.
2. Modelo de Ameaça Formalizado: Define um modelo de ameaça específico para endpoints móveis, considerando observadores com múltiplos snapshots e servidores "honestos mas curiosos".
3. Implementação Prática e Avaliação: Implementação como biblioteca Android e protótipo end-to-end, avaliada em três gerações de hardware (2017-2022) e no conjunto de dados LogHub (30,3 milhões de entradas).
4. Garantias de Segurança Prováveis: Prova teórica de que a construção de ratchet hierárquico do Proteus oferece garantias de confidencialidade e sigilo futuro (forward secrecy) análogas ao protocolo Double Ratchet do Signal.

4. Resultados e Desempenho

A avaliação demonstrou que o Proteus é viável para implantação em produção com sobrecarga mínima:

• Latência: Latência mediana de 0,2 ms por mensagem no dispositivo.
• Sobrecarga de Armazenamento: Aumento médio de apenas 2,41% no tamanho dos logs.
  • Curiosamente, para PII longa (como URLs com parâmetros), o Proteus reduz o tamanho, pois substitui strings longas por tokens de tamanho fixo.
• Escalabilidade: O sistema processou 30,3 milhões de entradas de log com eficiência. O gargalo de processamento é a detecção de PII (regex), não a criptografia.
• Compatibilidade: Funciona em dispositivos com hardware antigo (Pixel 2, Tab S6) e moderno (Pixel 6a), assumindo a disponibilidade de APIs DICE no nível do SO.

5. Significado e Impacto

O Proteus resolve o conflito fundamental entre a necessidade de observabilidade de segurança e o direito à privacidade do usuário em dispositivos pessoais.

• Mudança de Paradigma: Move a proteção de dados de um modelo reativo (redação posterior) para um modelo proativo (proteção na geração).
• Viabilidade Forense: Permite que empresas e investigadores reconstruam ataques e fraudes correlacionando eventos sem violar regulamentações como GDPR ou CCPA, pois a identidade real do usuário nunca é exposta ao servidor de análise.
• Segurança Robusta: Oferece proteção contra ataques de correlação temporal (multi-snapshot) e garante que, mesmo se o dispositivo for comprometido, os logs passados permaneçam seguros e os futuros sejam protegidos após a rotação de chaves.

Em resumo, o Proteus demonstra que é possível ter logs forenses ricos e detalhados em dispositivos móveis sem sacrificar a privacidade do usuário, utilizando criptografia moderna e hardware de confiança.