Təhlükəsizlik auditi üzrə ixtisaslaşan Kudelski Security şirkəti ORAM (Oblivious Random Access Machine) texnologiyasının tətbiqi ilə Oramfs fayl sistemini nəşr etdi və məlumatlara giriş modelini maskaladı. Layihə yazı və oxu əməliyyatlarının strukturunu izləməyə imkan verməyən FS qatının tətbiqi ilə Linux üçün FUSE modulu təklif etdi. Oramfs kodu Rustda yazılmışdır və GPLv3 lisenziyası altında lisenziyalıdır.
ORAM texnologiyası məlumatlarla işləyərkən cari fəaliyyətin xarakterini müəyyən etməyə imkan verməyən şifrələmədən əlavə başqa bir təbəqənin yaradılmasını nəzərdə tutur. Məsələn, üçüncü tərəf xidmətində məlumatları saxlayarkən şifrələmədən istifadə edilirsə, bu xidmətin sahibləri məlumatın özünü tapa bilmir, lakin hansı bloklara daxil olduğunu və hansı əməliyyatların yerinə yetirildiyini müəyyən edə bilərlər. ORAM, FS-nin hansı hissələrinə daxil olduğu və hansı əməliyyatın həyata keçirildiyi (oxumaq və ya yazmaq) haqqında məlumatları gizlədir.
Oramfs istənilən xarici yaddaşda məlumatların saxlanmasının təşkilini sadələşdirməyə imkan verən universal səviyyəli fayl sistemi təqdim edir. Məlumat isteğe bağlı autentifikasiya ilə şifrələnmiş formada saxlanılır. Şifrələmə üçün ChaCha8, AES-CTR və AES-GCM alqoritmlərindən istifadə edilə bilər. Yazma və oxuma girişindəki nümunələr Path ORAM sxemindən istifadə edərək gizlədilir. Gələcəkdə digər sxemlərin həyata keçirilməsi planlaşdırılır, lakin hazırkı formada inkişaf hələ prototip mərhələsindədir, istehsal sistemlərində istifadəsi tövsiyə edilmir.
Oramfs istənilən fayl sistemi ilə istifadə edilə bilər və hədəf xarici yaddaşın növündən asılı deyil - faylları yerli kataloq (SSH, FTP, Google Drive, Amazon S3) şəklində quraşdırıla bilən istənilən xidmətlə sinxronlaşdırmaq mümkündür. , Dropbox, Google Cloud Storage, Mail.ru Cloud , Yandex.Disk və rclone tərəfindən dəstəklənən və ya quraşdırma üçün FUSE modulları olan digər xidmətlər). Yaddaş ölçüsü sabit deyil və əlavə yer tələb olunarsa, ORAM ölçüsü dinamik olaraq arta bilər.
Oramfs-ın qurulması server və müştəri rolunu oynayan iki qovluğu - ictimai və şəxsi - müəyyən etməyə gəlir. İctimai qovluq yerli fayl sistemində SSHFS, FTPFS, Rclone və hər hansı digər FUSE modulları vasitəsilə xarici yaddaşlara qoşulan istənilən kataloq ola bilər. Şəxsi kataloq Oramfs FUSE modulu tərəfindən təmin edilir və birbaşa ORAM-da saxlanılan fayllarla işləmək üçün nəzərdə tutulub. İctimai kataloqda ORAM şəkil faylı var. Şəxsi qovluqlarla edilən hər hansı əməliyyat bu şəkil faylının vəziyyətinə təsir edir, lakin bu fayl xarici müşahidəçi üçün qara qutu kimi görünür, dəyişikliklər şəxsi kataloqdakı fəaliyyətlə, o cümlədən yazma və ya oxuma əməliyyatının icra edilib-edilməməsi ilə əlaqələndirilə bilməz.
Oramfs ən yüksək səviyyəli məxfiliyin tələb olunduğu və performansın qurban verilə biləcəyi sahələrdə istifadə edilə bilər. Məlumatların oxunması əməliyyatları daxil olmaqla, hər bir saxlama əməliyyatı FS təsvirində blokların yenidən qurulması ilə nəticələndikcə performans aşağı düşür. Məsələn, 10MB faylın oxunması təxminən 1 saniyə, 25MB faylın oxunması isə 3 saniyə çəkir. 10MB yazma 15 saniyə, 25MB yazma 50 saniyə çəkir. Eyni zamanda, Oramfs Cloudflare tərəfindən hazırlanmış və isteğe bağlı olaraq ORAM rejimini dəstəkləyən UtahFS fayl sistemi ilə müqayisədə oxuyarkən təxminən 9 dəfə, yazarkən isə 2 dəfə sürətlidir.
Mənbə: opennet.ru