Turvaaudititele spetsialiseerunud ettevõte Kudelski Security avaldas Oramfsi failisüsteemi ORAM (Oblivious Random Access Machine) tehnoloogia juurutusega, mis varjab andmetele juurdepääsu mustrit. Projekt pakub Linuxi jaoks välja FUSE mooduli koos failisüsteemikihi juurutamisega, mis ei võimalda jälgida kirjutamis- ja lugemisoperatsioonide struktuuri. Oramfsi kood on kirjutatud Rust keeles ja on litsentsitud GPLv3 alusel.
ORAM-tehnoloogia hõlmab lisaks krüpteerimisele veel ühe kihi loomist, mis ei võimalda andmetega töötamisel hetketegevuse olemust määrata. Näiteks kui kolmanda osapoole teenuses andmete salvestamisel kasutatakse krüptimist, ei saa selle teenuse omanikud andmeid ise välja selgitada, kuid saavad määrata, millistele plokkidele ligi pääsetakse ja milliseid toiminguid tehakse. ORAM peidab teavet selle kohta, millistele FS-i osadele juurde pääseb ja millist toimingut tehakse (lugemine või kirjutamine).
Oramfs pakub universaalset failisüsteemi kihti, mis võimaldab lihtsustada andmete salvestamise korraldamist mis tahes välisel salvestusruumil. Andmed salvestatakse krüpteeritult koos valikulise autentimisega. Krüptimiseks saab kasutada ChaCha8, AES-CTR ja AES-GCM algoritme. Kirjutamis- ja lugemisjuurdepääsu mustrid on peidetud skeemi Path ORAM abil. Edaspidi on plaanis rakendada ka teisi skeeme, kuid praegusel kujul on arendus alles prototüübi staadiumis, mida tootmissüsteemides kasutada ei soovita.
Oramfsi saab kasutada mis tahes failisüsteemiga ja see ei sõltu sihtotstarbelise välismälu tüübist - faile on võimalik sünkroonida mis tahes teenusega, mida saab ühendada kohaliku kataloogi kujul (SSH, FTP, Google Drive, Amazon S3 , Dropbox, Google Cloud Storage, Mail.ru Cloud , Yandex.Disk ja muud teenused, mida rclone toetab või mille paigaldamiseks on olemas FUSE moodulid). Salvestusmaht ei ole fikseeritud ja kui on vaja lisaruumi, saab ORAM-i suurust dünaamiliselt suurendada.
Oramfsi seadistamine taandub kahe kataloogi – avaliku ja privaatse – määratlemisele, mis toimivad serveri ja kliendina. Avalik kataloog võib olla mis tahes kohaliku failisüsteemi kataloog, mis on ühendatud väliste salvestusseadmetega, ühendades need SSHFS-i, FTPFS-i, Rclone'i ja mis tahes muude FUSE-moodulite kaudu. Privaatkataloogi pakub Oramfsi FUSE moodul ja see on loodud töötama otse ORAM-i salvestatud failidega. ORAM-i pildifail asub avalikus kataloogis. Iga toiming privaatkataloogiga mõjutab selle pildifaili olekut, kuid see fail näeb välisele vaatlejale välja nagu must kast, mille muudatusi ei saa seostada tegevusega privaatkataloogis, sealhulgas sellega, kas kirjutamis- või lugemisoperatsioon on tehtud .
Oramfi saab kasutada piirkondades, kus on nõutav kõrgeim privaatsus ja jõudlus võib ohverdada. Jõudlus väheneb, kuna iga salvestamise toiming, sealhulgas andmete lugemise toimingud, viib failisüsteemi kujutise plokkide uuesti ülesehitamiseni. Näiteks 10 MB faili lugemine võtab aega umbes 1 sekundi ja 25 MB 3 sekundit. 10 MB kirjutamine võtab 15 sekundit ja 25 MB 50 sekundit. Samal ajal on Oramfs lugemisel ligikaudu 9 korda ja kirjutamisel 2 korda kiirem võrreldes UtahFS-failisüsteemiga, mille on välja töötanud Cloudflare ja mis toetab valikuliselt ORAM-režiimi.
Allikas: opennet.ru