Kudelski Security، یک شرکت متخصص در ممیزی های امنیتی، سیستم فایل Oramfs را با پیاده سازی فناوری ORAM (ماشین دسترسی تصادفی فراموش نشدنی) منتشر کرد که الگوی دسترسی به داده ها را پنهان می کند. این پروژه یک ماژول FUSE را برای لینوکس با پیاده سازی یک لایه سیستم فایل پیشنهاد می کند که اجازه ردیابی ساختار عملیات نوشتن و خواندن را نمی دهد. کد Oramfs به زبان Rust نوشته شده است و تحت مجوز GPLv3 است.
فناوری ORAM علاوه بر رمزگذاری شامل ایجاد لایه دیگری نیز می شود که به فرد اجازه نمی دهد ماهیت فعالیت فعلی را هنگام کار با داده ها تعیین کند. به عنوان مثال، اگر هنگام ذخیره داده ها در یک سرویس شخص ثالث از رمزگذاری استفاده شود، صاحبان این سرویس نمی توانند خود داده ها را دریابند، اما می توانند تعیین کنند که به کدام بلوک ها دسترسی پیدا کرده و چه عملیاتی انجام می شود. ORAM اطلاعات مربوط به بخش هایی از FS را که در حال دسترسی به آن هستند و نوع عملیاتی که در حال انجام است (خواندن یا نوشتن) پنهان می کند.
Oramfs یک لایه سیستم فایل جهانی را ارائه می دهد که به شما امکان می دهد سازماندهی ذخیره سازی داده ها را در هر حافظه خارجی ساده کنید. داده ها به صورت رمزگذاری شده با احراز هویت اختیاری ذخیره می شوند. برای رمزگذاری می توان از الگوریتم های ChaCha8، AES-CTR و AES-GCM استفاده کرد. الگوها در دسترسی نوشتن و خواندن با استفاده از طرح Path ORAM پنهان می شوند. در آینده، طرح های دیگری نیز برای پیاده سازی برنامه ریزی شده است، اما در شکل فعلی، توسعه هنوز در مرحله نمونه اولیه است که برای استفاده در سیستم های تولید توصیه نمی شود.
Oramfs را می توان با هر سیستم فایلی استفاده کرد و به نوع حافظه خارجی هدف بستگی ندارد - امکان همگام سازی فایل ها با هر سرویسی که می تواند در قالب یک فهرست محلی (SSH، FTP، Google Drive، Amazon S3) نصب شود، وجود دارد. ، Dropbox ، Google Cloud Storage ، Mail.ru Cloud ، Yandex.Disk و سایر سرویس هایی که در rclone پشتیبانی می شوند یا ماژول های FUSE برای نصب آنها وجود دارد). اندازه ذخیره سازی ثابت نیست و در صورت نیاز به فضای اضافی، اندازه ORAM را می توان به صورت پویا افزایش داد.
راه اندازی Oramfs به تعریف دو دایرکتوری خلاصه می شود - عمومی و خصوصی که به عنوان سرور و مشتری عمل می کنند. دایرکتوری عمومی می تواند هر دایرکتوری در سیستم فایل محلی باشد که با نصب آن ها از طریق SSHFS، FTPFS، Rclone و سایر ماژول های FUSE به حافظه های خارجی متصل است. دایرکتوری خصوصی توسط ماژول Oramfs FUSE ارائه می شود و برای کار مستقیم با فایل های ذخیره شده در ORAM طراحی شده است. فایل تصویری ORAM در فهرست عمومی قرار دارد. هر عملیاتی با دایرکتوری خصوصی بر وضعیت این فایل تصویری تأثیر میگذارد، اما این فایل به نظر یک ناظر خارجی مانند یک جعبه سیاه است، تغییراتی که در آن نمیتواند با فعالیت در فهرست خصوصی مرتبط باشد، از جمله اینکه آیا عملیات نوشتن یا خواندن انجام شده است. .
Oramfs را می توان در مناطقی استفاده کرد که بالاترین سطح حریم خصوصی مورد نیاز است و عملکرد را می توان قربانی کرد. عملکرد کاهش می یابد زیرا هر عملیات ذخیره سازی، از جمله عملیات خواندن داده ها، منجر به بازسازی بلوک ها در تصویر سیستم فایل می شود. برای مثال خواندن یک فایل 10 مگابایتی حدود 1 ثانیه و 25 مگابایت 3 ثانیه طول می کشد. نوشتن 10 مگابایت 15 ثانیه و 25 مگابایت 50 ثانیه طول می کشد. در عین حال، Oramfs در مقایسه با سیستم فایل UtahFS که توسط Cloudflare توسعه یافته و به صورت اختیاری از حالت ORAM پشتیبانی میکند، در هنگام خواندن تقریباً 9 برابر سریعتر و هنگام نوشتن 2 برابر سریعتر است.
منبع: opennet.ru