Kudelski Security, sebuah perusahaan yang berspesialisasi dalam audit keamanan, menerbitkan sistem file Oramfs dengan penerapan teknologi ORAM (Oblivious Random Access Machine), yang menutupi pola akses data. Proyek ini mengusulkan modul FUSE untuk Linux dengan implementasi lapisan sistem file yang tidak memungkinkan pelacakan struktur operasi tulis dan baca. Kode Oramfs ditulis dalam Rust dan dilisensikan di bawah GPLv3.
Teknologi ORAM melibatkan pembuatan lapisan lain selain enkripsi, yang tidak memungkinkan seseorang untuk menentukan sifat aktivitas saat ini saat bekerja dengan data. Misalnya, jika enkripsi digunakan saat menyimpan data di layanan pihak ketiga, pemilik layanan ini tidak dapat mengetahui data itu sendiri, tetapi dapat menentukan blok mana yang diakses dan operasi apa yang dilakukan. ORAM menyembunyikan informasi tentang bagian mana dari FS yang sedang diakses dan jenis operasi apa yang sedang dilakukan (membaca atau menulis).
Oramfs menyediakan lapisan sistem file universal yang memungkinkan Anda menyederhanakan pengaturan penyimpanan data pada penyimpanan eksternal apa pun. Data disimpan terenkripsi dengan otentikasi opsional. Algoritma ChaCha8, AES-CTR dan AES-GCM dapat digunakan untuk enkripsi. Pola akses tulis dan baca disembunyikan menggunakan skema Path ORAM. Kedepannya rencananya akan diterapkan skema lain, namun dalam bentuknya saat ini pengembangannya masih dalam tahap prototype sehingga tidak direkomendasikan untuk digunakan pada sistem produksi.
Oramfs dapat digunakan dengan sistem file apa pun dan tidak bergantung pada jenis penyimpanan eksternal target - dimungkinkan untuk menyinkronkan file ke layanan apa pun yang dapat dipasang dalam bentuk direktori lokal (SSH, FTP, Google Drive, Amazon S3 , Dropbox, Google Cloud Storage, Mail.ru Cloud, Yandex.Disk, dan layanan lain yang didukung di rclone atau yang memiliki modul FUSE untuk pemasangan). Ukuran penyimpanan tidak tetap dan jika diperlukan ruang tambahan, ukuran ORAM dapat ditingkatkan secara dinamis.
Menyiapkan Oramfs berarti mendefinisikan dua direktori - publik dan pribadi, yang bertindak sebagai server dan klien. Direktori publik dapat berupa direktori apa pun di sistem file lokal yang terhubung ke penyimpanan eksternal dengan memasangnya melalui SSHFS, FTPFS, Rclone, dan modul FUSE lainnya. Direktori pribadi disediakan oleh modul Oramfs FUSE dan dirancang untuk bekerja langsung dengan file yang disimpan di ORAM. File gambar ORAM terletak di direktori publik. Operasi apa pun dengan direktori pribadi memengaruhi status file gambar ini, tetapi bagi pengamat eksternal, file ini terlihat seperti kotak hitam, perubahannya tidak dapat dikaitkan dengan aktivitas di direktori pribadi, termasuk apakah operasi tulis atau baca telah dilakukan. .
Oramf dapat digunakan di area yang memerlukan tingkat privasi tertinggi dan kinerja dapat dikorbankan. Performa menurun karena setiap operasi penyimpanan, termasuk operasi pembacaan data, menyebabkan pembangunan kembali blok pada citra sistem file. Misalnya, membaca file berukuran 10MB membutuhkan waktu sekitar 1 detik, dan 25MB membutuhkan waktu 3 detik. Menulis 10MB membutuhkan waktu 15 detik, dan 25MB membutuhkan waktu 50 detik. Pada saat yang sama, Oramfs sekitar 9 kali lebih cepat saat membaca dan 2 kali lebih cepat saat menulis dibandingkan dengan sistem file UtahFS, yang dikembangkan oleh Cloudflare dan secara opsional mendukung mode ORAM.
Sumber: opennet.ru