Kudelski Security, kompanija specijalizovana za sigurnosne revizije, objavila je sistem datoteka Oramfs sa implementacijom ORAM (Oblivious Random Access Machine) tehnologije, koja maskira obrazac pristupa podacima. Projekat predlaže FUSE modul za Linux sa implementacijom sloja sistema datoteka koji ne dozvoljava praćenje strukture operacija pisanja i čitanja. Oramfs kod je napisan u Rustu i licenciran je pod GPLv3.
ORAM tehnologija uključuje stvaranje još jednog sloja pored enkripcije, što ne dozvoljava da se odredi priroda trenutne aktivnosti pri radu sa podacima. Na primjer, ako se kod pohranjivanja podataka u servis treće strane koristi šifriranje, vlasnici ove usluge ne mogu sami saznati podatke, ali mogu odrediti kojim blokovima se pristupa i koje operacije se izvode. ORAM sakriva informacije o tome kojim dijelovima FS-a se pristupa i koja vrsta operacije se izvodi (čitanje ili pisanje).
Oramfs pruža univerzalni sloj sistema datoteka koji vam omogućava da pojednostavite organizaciju skladištenja podataka na bilo kojoj eksternoj memoriji. Podaci se pohranjuju šifrirani s opcionom autentifikacijom. ChaCha8, AES-CTR i AES-GCM algoritmi se mogu koristiti za šifriranje. Obrasci u pristupu za pisanje i čitanje su skriveni pomoću Path ORAM šeme. U budućnosti se planira implementacija drugih shema, ali u sadašnjem obliku razvoj je još u fazi prototipa, što se ne preporučuje za upotrebu u proizvodnim sistemima.
Oramfs se može koristiti sa bilo kojim sistemom datoteka i ne zavisi od tipa ciljne eksterne memorije – moguće je sinhronizovati fajlove na bilo koji servis koji se može montirati u obliku lokalnog direktorijuma (SSH, FTP, Google Drive, Amazon S3 , Dropbox, Google Cloud Storage, Mail.ru Cloud, Yandex.Disk i druge usluge koje podržava rclone ili za koje postoje FUSE moduli za montažu). Veličina memorije nije fiksna i ako je potreban dodatni prostor, veličina ORAM-a može se dinamički povećati.
Postavljanje Oramfsa svodi se na definiranje dva direktorija - javnog i privatnog, koji djeluju kao server i klijent. Javni direktorij može biti bilo koji direktorij u lokalnom datotečnom sistemu koji je povezan na eksterne memorije tako što ih montira preko SSHFS, FTPFS, Rclone i bilo kojeg drugog FUSE modula. Privatni direktorij obezbjeđuje Oramfs FUSE modul i dizajniran je za direktan rad s datotekama pohranjenim u ORAM-u. ORAM datoteka slike nalazi se u javnom direktoriju. Svaka operacija sa privatnim direktorijumom utječe na stanje ove slikovne datoteke, ali ova datoteka vanjskom promatraču izgleda kao crna kutija, čije promjene ne mogu biti povezane s aktivnostima u privatnom direktoriju, uključujući i to da li je izvršena operacija pisanja ili čitanja .
Oramfs se može koristiti u područjima gdje je potreban najviši nivo privatnosti i gdje se performanse mogu žrtvovati. Performanse se smanjuju jer svaka operacija skladištenja, uključujući operacije čitanja podataka, dovodi do ponovne izgradnje blokova u slici sistema datoteka. Na primjer, čitanje datoteke od 10 MB traje oko 1 sekundu, a 25 MB traje 3 sekunde. Za pisanje od 10 MB potrebno je 15 sekundi, a za 25 MB potrebno je 50 sekundi. Istovremeno, Oramfs je otprilike 9 puta brži pri čitanju i 2 puta brži pri pisanju u poređenju sa UtahFS sistemom datoteka, koji je razvio Cloudflare i opciono podržava ORAM mod.
izvor: opennet.ru