Η Kudelski Security, μια εταιρεία που ειδικεύεται στους ελέγχους ασφαλείας, δημοσίευσε το σύστημα αρχείων Oramfs με την εφαρμογή της τεχνολογίας ORAM (Oblivious Random Access Machine), η οποία καλύπτει το μοτίβο πρόσβασης δεδομένων. Το έργο προτείνει μια ενότητα FUSE για Linux με την υλοποίηση ενός επιπέδου συστήματος αρχείων που δεν επιτρέπει την παρακολούθηση της δομής των λειτουργιών εγγραφής και ανάγνωσης. Ο κώδικας Oramfs είναι γραμμένος σε Rust και έχει άδεια χρήσης σύμφωνα με το GPLv3.
Η τεχνολογία ORAM περιλαμβάνει τη δημιουργία ενός άλλου επιπέδου εκτός από την κρυπτογράφηση, το οποίο δεν επιτρέπει σε κάποιον να προσδιορίσει τη φύση της τρέχουσας δραστηριότητας όταν εργάζεται με δεδομένα. Για παράδειγμα, εάν χρησιμοποιείται κρυπτογράφηση κατά την αποθήκευση δεδομένων σε υπηρεσία τρίτου μέρους, οι κάτοχοι αυτής της υπηρεσίας δεν μπορούν να βρουν τα ίδια τα δεδομένα, αλλά μπορούν να προσδιορίσουν σε ποια μπλοκ γίνεται πρόσβαση και ποιες λειτουργίες εκτελούνται. Το ORAM αποκρύπτει πληροφορίες σχετικά με τα μέρη του FS στα οποία γίνεται πρόσβαση και τι είδους λειτουργία εκτελείται (ανάγνωση ή εγγραφή).
Το Oramfs παρέχει ένα καθολικό επίπεδο συστήματος αρχείων που σας επιτρέπει να απλοποιήσετε την οργάνωση της αποθήκευσης δεδομένων σε οποιοδήποτε εξωτερικό χώρο αποθήκευσης. Τα δεδομένα αποθηκεύονται κρυπτογραφημένα με προαιρετικό έλεγχο ταυτότητας. Οι αλγόριθμοι ChaCha8, AES-CTR και AES-GCM μπορούν να χρησιμοποιηθούν για κρυπτογράφηση. Τα μοτίβα στην πρόσβαση εγγραφής και ανάγνωσης κρύβονται χρησιμοποιώντας το σχήμα Path ORAM. Στο μέλλον, σχεδιάζεται να εφαρμοστούν και άλλα σχέδια, αλλά στην τρέχουσα μορφή της, η ανάπτυξη βρίσκεται ακόμη στο στάδιο του πρωτοτύπου, το οποίο δεν συνιστάται για χρήση σε συστήματα παραγωγής.
Το Oramfs μπορεί να χρησιμοποιηθεί με οποιοδήποτε σύστημα αρχείων και δεν εξαρτάται από τον τύπο εξωτερικής αποθήκευσης στόχου - είναι δυνατός ο συγχρονισμός αρχείων σε οποιαδήποτε υπηρεσία που μπορεί να προσαρτηθεί με τη μορφή τοπικού καταλόγου (SSH, FTP, Google Drive, Amazon S3 , Dropbox, Google Cloud Storage, Mail.ru Cloud , Yandex.Disk και άλλες υπηρεσίες που υποστηρίζονται στο rclone ή για τις οποίες υπάρχουν μονάδες FUSE για τοποθέτηση). Το μέγεθος αποθήκευσης δεν είναι σταθερό και εάν απαιτείται επιπλέον χώρος, το μέγεθος ORAM μπορεί να αυξηθεί δυναμικά.
Η ρύθμιση του Oramfs καταλήγει στον καθορισμό δύο καταλόγων - δημόσιου και ιδιωτικού, που λειτουργούν ως διακομιστής και πελάτης. Ο δημόσιος κατάλογος μπορεί να είναι οποιοσδήποτε κατάλογος στο τοπικό σύστημα αρχείων που είναι συνδεδεμένος με εξωτερικούς αποθηκευτικούς χώρους προσαρτώντας τους μέσω SSHFS, FTPFS, Rclone και οποιωνδήποτε άλλων μονάδων FUSE. Ο ιδιωτικός κατάλογος παρέχεται από τη μονάδα Oramfs FUSE και έχει σχεδιαστεί για να λειτουργεί απευθείας με αρχεία που είναι αποθηκευμένα στο ORAM. Το αρχείο εικόνας ORAM βρίσκεται στον δημόσιο κατάλογο. Οποιαδήποτε λειτουργία με ιδιωτικό κατάλογο επηρεάζει την κατάσταση αυτού του αρχείου εικόνας, αλλά αυτό το αρχείο μοιάζει σε έναν εξωτερικό παρατηρητή σαν ένα μαύρο κουτί, οι αλλαγές στο οποίο δεν μπορούν να συσχετιστούν με δραστηριότητα στον ιδιωτικό κατάλογο, συμπεριλαμβανομένου του εάν έχει εκτελεστεί λειτουργία εγγραφής ή ανάγνωσης .
Το Oramfs μπορεί να χρησιμοποιηθεί σε περιοχές όπου απαιτείται το υψηλότερο επίπεδο απορρήτου και η απόδοση μπορεί να θυσιαστεί. Η απόδοση μειώνεται επειδή κάθε λειτουργία αποθήκευσης, συμπεριλαμβανομένων των λειτουργιών ανάγνωσης δεδομένων, οδηγεί στην αναδόμηση μπλοκ στην εικόνα του συστήματος αρχείων. Για παράδειγμα, η ανάγνωση ενός αρχείου 10 MB διαρκεί περίπου 1 δευτερόλεπτο και τα 25 MB χρειάζονται 3 δευτερόλεπτα. Η εγγραφή 10 MB διαρκεί 15 δευτερόλεπτα και τα 25 MB χρειάζονται 50 δευτερόλεπτα. Ταυτόχρονα, το Oramfs είναι περίπου 9 φορές πιο γρήγορο κατά την ανάγνωση και 2 φορές πιο γρήγορο κατά τη γραφή σε σύγκριση με το σύστημα αρχείων UtahFS, που αναπτύχθηκε από τη Cloudflare και υποστηρίζει προαιρετικά τη λειτουργία ORAM.
Πηγή: opennet.ru