Como Advogados Podem Proteger Material Privilegiado de Clientes no iPhone

TL;DR

O AppVault é um cofre exclusivamente local para iPhone projetado para advogados que armazenam material privilegiado de clientes em dispositivos pessoais. Utiliza criptografia AES-256-GCM com chaves derivadas via PBKDF2-SHA256 com 600.000 iterações e envolvidas pelo Secure Enclave do iPhone. Não há servidores, contas ou telemetria — ou seja, nada existe em uma cadeia de descoberta fora do próprio dispositivo. Um recurso de Cofre Disfarçado oferece um segundo catálogo de cofre matematicamente independente, acessado por um padrão 5×5 separado, relevante em cenários de descriptografia compulsória. O aplicativo traz uma calculadora iOS totalmente funcional como ícone principal, com um atalho de pressão longa para o cofre.

O Problema do Sigilo Dentro do Seu iPhone

O iPhone de um advogado é um passivo. Não porque o dispositivo seja inseguro por padrão, mas porque o rolo da câmera é um arquivo plano, pesquisável e rolável de tudo que o advogado fotografou no exercício da profissão. Um contrato de honorários assinado tirado em um café. Uma foto de um quadro branco de uma reunião com cliente. Uma captura de tela de uma mensagem de texto que contém estratégia do caso. Uma foto de um documento passado sobre a mesa durante a revisão de descoberta.

Nenhum desses arquivos é privilegiado porque está criptografado. Eles são privilegiados por causa do relacionamento e do contexto em que foram criados. Mas o privilégio pode ser renunciado — e uma das formas de renúncia é o armazenamento negligente. Se a parte contrária obtiver acesso a um dispositivo e encontrar confidências de clientes no aplicativo Fotos sem criptografia, o argumento de que o advogado tomou medidas razoáveis para protegê-las torna-se difícil.

O dever pertence ao cliente. A falha pertence ao advogado.

O que a Doutrina do Produto do Trabalho Exige do Seu Dispositivo

A doutrina do produto do trabalho, codificada na Regra Federal de Processo Civil 26(b)(3) e espelhada na maioria das regras estaduais, protege materiais preparados na antecipação de litígios. Assim como o sigilo profissional (attorney-client privilege), não é uma regra de tecnologia — é uma proteção legal que pode ser corroída por manuseio descuidado.

A doutrina interage com dispositivos móveis de uma forma específica. Advogados rotineiramente fotografam documentos, peças e evidências durante depoimentos, visitas a locais e reuniões com clientes. Essas fotografas vão parar no mesmo rolo da câmera que fotos de família e capturas de tela de cardápios de restaurantes. Não há separação. Não há controle de acesso. Qualquer um que segure o telefone e saiba a senha pode ver tudo.

Um aplicativo de cofre introduz separação. Mas nem todos os cofres são iguais do ponto de vista da descoberta.

Por que a Arquitetura Exclusivamente Local Muda o Cálculo da Descoberta

A maioria dos aplicativos “seguros” de cofre de fotos na App Store sincroniza com um backend na nuvem. O usuário paga uma assinatura, os arquivos são enviados e a empresa os armazena — às vezes criptografados, às vezes não, às vezes com chaves que a empresa detém. Do ponto de vista da descoberta, isso cria um novo alvo. Uma intimação servida ao provedor de nuvem pode compelir a produção de metadados de arquivos, logs de acesso e, em alguns casos, os próprios arquivos.

O AppVault não faz nenhuma chamada de rede por padrão. Não há servidor. Não há conta. Não há infraestrutura de terceiros que possa ser intimada, hackeada ou alvo de uma carta de segurança nacional. Os arquivos criptografados existem apenas no dispositivo.

Isso não é uma distinção marginal. É a diferença entre uma cadeia de descoberta que termina no iPhone e uma que se estende ao data center de um provedor de nuvem em outra jurisdição.

Para advogados que atuam sob o GDPR, a distinção é ainda mais concreta. O Artigo 48 do Regulamento proíbe a transferência de dados pessoais para autoridades de países terceiros, exceto em condições específicas. Um cofre que nunca sai do dispositivo nunca dispara a questão da transferência. A página completa de arquitetura zero-knowledge explica o que o design sem servidor do AppVault significa na prática.

Criptografia que Resiste a Escrutínio

O AppVault criptografa cada arquivo com AES-256-GCM (modo Galois/Counter), usando um nonce único de 96 bits por arquivo. AES-256 é especificado na NIST FIPS 197; o modo GCM é definido na NIST SP 800-38D. A chave de criptografia é derivada do padrão 5×5 do usuário através de PBKDF2-SHA256 com 600.000 iterações e um salt de 128 bits por instalação — a recomendação do OWASP 2026 para derivação de chave baseada em senha.

A saída do PBKDF2 é então envolvida por uma chave gerada dentro do Secure Enclave do iPhone. Essa chave nunca sai do chip. Sem o iPhone específico que a criou, o material de chave envolvido é computacionalmente inviável de desembrulhar.

Isso importa para os advogados porque a criptografia não é uma alegação de marketing — é uma pilha específica e auditável com citações de fontes primárias. Se um tribunal perguntar quais medidas foram tomadas para proteger confidências de clientes, “usamos um aplicativo com criptografia militar” não é uma resposta. “Usamos AES-256-GCM com PBKDF2 com 600.000 iterações e envolvimento de chave do Secure Enclave, e aqui estão as especificações do NIST” é uma resposta.

Captura Segura Durante a Recepção de Clientes

A recepção de clientes é um dos momentos de maior risco para exposição do sigilo. Um novo cliente entrega documentos. O advogado os fotografa. As fotos ficam no rolo da câmera até o advogado se lembrar de movê-las — o que geralmente significa que ficam no rolo da câmera indefinidamente.

O fluxo de captura do AppVault é projetado para esse momento. Um advogado pode fotografar um contrato assinado, um documento de identificação ou uma peça de evidência e movê-lo diretamente para o cofre na mesma sessão. O arquivo é criptografado em repouso com AES-256-GCM antes que o aplicativo retorne à tela inicial. O rolo da câmera nunca contém o original não criptografado.

Para paralegais e assistentes jurídicos que fazem a recepção na recepção, o sistema Pattern Lock significa que o cofre é acessível com um gesto rápido de grade 5×5 — mais rápido que digitar uma senha, e sem a senha ficar visível para alguém próximo.

O Problema do iPad Compartilhado no Escritório

Pequenos escritórios e profissionais autônomos frequentemente compartilham iPads entre a equipe. Uma recepcionista usa o mesmo dispositivo que um paralegal. Um sócio entrega o iPad a um cliente para assinar um documento. O aplicativo Fotos nesse dispositivo compartilhado pode conter fotos de recepção, contratos assinados e capturas de tela relacionadas a casos de vários processos.

Sem um cofre, o controle de acesso nesse iPad é binário: ou alguém sabe a senha do dispositivo e pode ver tudo, ou não sabe. Não há meio-termo. Um aplicativo de cofre com um padrão separado cria uma segunda camada. A senha do iPad compartilhado leva o usuário à tela inicial. O padrão do cofre leva o usuário ao material privilegiado. Diferentes membros da equipe podem ter diferentes acessos ao cofre sem compartilhar uma única senha.

Isso não é um problema teórico. Ordens de advogados emitiram opiniões éticas sobre o dever de proteger confidências de clientes em dispositivos compartilhados. O dever não muda porque o escritório é pequeno.

Cofre Disfarçado e Descriptografia Compulsória

A questão da descriptografia compulsória é uma das áreas mais instáveis da jurisprudência da Quinta Emenda. Tribunais em diferentes circuitos chegaram a conclusões diferentes sobre se um suspeito pode ser forçado a fornecer uma senha ou desbloqueio biométrico. O Terceiro Circuito em In re Grand Jury Subpoena Duces Tecum (2012) decidiu que compelir uma senha violava a Quinta Emenda quando o governo não conseguia descrever com particularidade razoável o que esperava encontrar. O Primeiro Circuito em United States v. Gavegnano (2016) chegou à conclusão oposta.

O Cofre Disfarçado do AppVault foi construído para essa incerteza. Um segundo padrão 5×5 abre um catálogo de cofre completamente separado — matematicamente independente do cofre principal, sem material de chave compartilhado, sem metadados vinculados e sem maneira de provar que um segundo cofre existe. O cofre disfarçado não é uma pasta oculta. É um catálogo criptografado separado que parece, do exterior, ser o único cofre no dispositivo.

Esse recurso é relevante em vários cenários além da defesa criminal. Inspeções alfandegárias e de fronteira, onde oficiais podem pedir para navegar no dispositivo. Apreensão do dispositivo durante descoberta civil. Situações em que um advogado viaja para uma jurisdição com exigências agressivas de descriptografia. O cofre disfarçado não resolve a questão legal — nenhum aplicativo pode — mas muda o cenário factual de uma forma que dá opções ao advogado.

Contra o que o AppVault Não Defende

Honestidade sobre limites é um princípio de design, não uma omissão. O AppVault não protege contra:

• Um advogado que escreve o padrão em um post-it colado no iPhone. O cofre é tão forte quanto a segurança operacional ao seu redor.
• Desbloqueio biométrico compelido em uma jurisdição que o permite. Se um tribunal ordenar que um advogado coloque um dedo no sensor Touch ID, o cofre abre. O Cofre Disfarçado mitiga isso apenas se o advogado tiver um padrão disfarçado configurado.
• Extração física por uma ferramenta forense com uma exploração conhecida. Se o próprio iPhone for vulnerável a uma exploração de bootrom (como checkm8 em chips A5–A11), os dados criptografados do cofre podem ser extraídos e atacados offline. A criptografia do AppVault torna os ataques offline computacionalmente caros, mas não os impossíveis contra um adversário com recursos suficientes.
• Os próprios hábitos de backup do advogado. Se o advogado fizer backup do iPhone em um backup do iTunes não criptografado em um laptop, o blob criptografado do cofre estará nesse backup — mas todo o resto também. O iCloud Backup opcional do AppVault usa uma chave de backup separada por dispositivo para que a Apple receba apenas texto cifrado, mas essa proteção não se estende a backups locais não criptografados.

A página completa do modelo de ameaça detalha contra o que o AppVault defende e contra o que não defende.

Como o AppVault Difere de Cofres com Sincronização na Nuvem

A maioria dos aplicativos de cofre de fotos mais instalados na categoria são produtos cloud-first: dados ou metadados de arquivos ficam nos servidores do fornecedor, o registro de conta é obrigatório, e alguns incluem SDKs de análise que transmitem dados de uso para fora do dispositivo. Do ponto de vista do sigilo e da descoberta, cada um desses sistemas de fornecedor é um ponto separado de processo legal. As páginas dedicadas AppVault vs Keepsafe e AppVault vs Vaultaire detalham as diferenças arquitetônicas específicas para cada concorrente nomeado.

A arquitetura do AppVault é o oposto. Sem conta. Sem servidores. Sem SDKs. Sem chamadas de rede. Os arquivos criptografados existem no iPhone e em nenhum outro lugar, a menos que o usuário os exporte explicitamente.

Para advogados avaliando aplicativos de cofre, a pergunta não é “qual aplicativo tem a melhor interface”. A pergunta é: se este fornecedor receber uma intimação amanhã, o que ele tem para produzir? Com o AppVault, a resposta é nada — porque não há infraestrutura de fornecedor retendo dados de clientes.

As páginas AppVault vs Keepsafe e AppVault vs Vaultaire detalham as diferenças arquitetônicas.

Lançador de Calculadora: Discrição Prática

O AppVault traz uma calculadora iOS totalmente funcional como ícone principal. A calculadora funciona — realiza operações aritméticas, lida com ordem de operações e se comporta exatamente como o aplicativo Calculadora nativo do iOS. Uma pressão longa na tecla de igual abre o cofre criptografado.

Isso não é um disfarce. É um ícone alternativo totalmente funcional que satisfaz a diretriz 4.3 da Apple. A calculadora não finge ser algo que não é. É uma calculadora que também fornece acesso a um cofre através de um gesto deliberado.

Para os advogados, o valor prático é a discrição em situações de baixo risco. Um telefone emprestado. Uma tela compartilhada durante uma reunião. Um dispositivo entregue a alguém para uma foto em grupo. O ícone da calculadora não anuncia que um cofre existe. A página do Lançador de Calculadora cobre a implementação.

Configuração e Recuperação

O AppVault gera uma frase de recuperação escrita opcional durante a configuração inicial. Este é o único mecanismo de recuperação. Não há redefinição de senha. Não há canal de suporte que possa desbloquear o cofre. Se o padrão for esquecido e a frase de recuperação for perdida, o cofre permanece selado permanentemente.

Isso é um recurso para advogados, não uma limitação. Um cofre que pode ser redefinido pelo fornecedor é um cofre que pode ser redefinido por uma ordem judicial dirigida ao fornecedor. Um cofre sem mecanismo de recuperação fora do controle do usuário é um cofre que mantém seu conteúdo selado independentemente do que aconteça com a empresa.

A recomendação é direta: anote a frase de recuperação, armazene-a em um local físico separado (um cofre, uma gaveta trancada, o sistema de gerenciamento de documentos do escritório) e trate-a com o mesmo cuidado que qualquer outro material privilegiado.

A Conclusão para Profissionais do Direito

O sigilo profissional (attorney-client privilege) não é um problema de tecnologia, mas a tecnologia pode dificultar sua proteção. Um rolo da câmera plano, sem controle de acesso, sem criptografia e sem separação entre arquivos pessoais e profissionais é uma renúncia prestes a acontecer.

O AppVault não resolve o problema do sigilo. Apenas o julgamento jurídico, a prática ética e a segurança operacional razoável resolvem o problema do sigilo. O que o AppVault faz é remover o modo de falha mais comum: material privilegiado não criptografado em um dispositivo que qualquer pessoa com a senha pode navegar.

Criptografia AES-256-GCM. PBKDF2 com 600.000 iterações. Envolvimento de chave do Secure Enclave. Sem servidores. Sem contas. Sem telemetria. Um Cofre Disfarçado para cenários de apreensão. Um Lançador de Calculadora para discrição. Um Pattern Lock que leva dois segundos para abrir e que ninguém próximo pode observar.

Os arquivos ficam no iPhone. As chaves ficam no iPhone. Nada mais existe.