Қауіпсіздік аудитіне маманданған Kudelski Security компаниясы деректерге қол жеткізу үлгісін бүркемелейтін ORAM (Oblivious Random Access Machine) технологиясын енгізу арқылы Oramfs файлдық жүйесін жариялады. Жоба жазу және оқу операцияларының құрылымын қадағалауға мүмкіндік бермейтін файлдық жүйе қабатын іске асырумен Linux үшін FUSE модулін ұсынады. Oramfs коды Rust тілінде жазылған және GPLv3 бойынша лицензияланған.
ORAM технологиясы деректермен жұмыс істеу кезінде ағымдағы әрекеттің сипатын анықтауға мүмкіндік бермейтін шифрлаудан басқа басқа деңгейді құруды қамтиды. Мысалы, үшінші тарап қызметінде деректерді сақтау кезінде шифрлау пайдаланылса, бұл қызметтің иелері деректердің өзін біле алмайды, бірақ қандай блоктарға қол жеткізілетінін және қандай операциялар орындалатынын анықтай алады. ORAM ТЖ-ның қай бөліктеріне қол жеткізілетіні және қандай операция орындалатыны (оқу немесе жазу) туралы ақпаратты жасырады.
Oramfs кез келген сыртқы жадта деректерді сақтауды ұйымдастыруды жеңілдетуге мүмкіндік беретін әмбебап файлдық жүйе деңгейін қамтамасыз етеді. Деректер қосымша аутентификациямен шифрланған түрде сақталады. Шифрлау үшін ChaCha8, AES-CTR және AES-GCM алгоритмдерін пайдалануға болады. Жазу және оқу рұқсатындағы үлгілер Path ORAM схемасы арқылы жасырылады. Болашақта басқа схемаларды енгізу жоспарлануда, бірақ оның қазіргі түрінде әзірлеу әлі де прототиптік сатыда, оны өндірістік жүйелерде пайдалану ұсынылмайды.
Oramfs кез келген файлдық жүйемен пайдаланылуы мүмкін және мақсатты сыртқы жад түріне байланысты емес - файлдарды жергілікті каталог (SSH, FTP, Google Drive, Amazon S3) түрінде орнатуға болатын кез келген қызметке синхрондауға болады. , Dropbox, Google Cloud Storage, Mail.ru Cloud , Yandex.Disk және rclone-да қолдау көрсетілетін басқа қызметтер немесе монтаждау үшін FUSE модульдері бар). Сақтау өлшемі бекітілмеген және қосымша орын қажет болса, ORAM өлшемін динамикалық түрде арттыруға болады.
Oramfs орнату сервер мен клиент ретінде әрекет ететін екі каталогты - жалпы және жеке каталогты анықтауға байланысты. Жалпы каталог SSHFS, FTPFS, Rclone және кез келген басқа FUSE модульдері арқылы сыртқы жадтарға қосылу арқылы қосылған жергілікті файлдық жүйедегі кез келген каталог болуы мүмкін. Жеке каталог Oramfs FUSE модулімен қамтамасыз етілген және ORAM ішінде сақталған файлдармен тікелей жұмыс істеуге арналған. ORAM кескін файлы жалпы каталогта орналасқан. Жеке каталогы бар кез келген операция осы кескін файлының күйіне әсер етеді, бірақ бұл файл сыртқы бақылаушыға қара жәшік сияқты көрінеді, оның өзгерістері жеке каталогтағы әрекетпен, соның ішінде жазу немесе оқу әрекетінің орындалған-орындалмағанымен байланыстыру мүмкін емес. .
Oramfs құпиялылықтың ең жоғары деңгейі талап етілетін және өнімділік құрбан болуы мүмкін аймақтарда қолданылуы мүмкін. Өнімділік төмендейді, себебі әрбір сақтау әрекеті, соның ішінде деректерді оқу әрекеттері файлдық жүйе кескініндегі блоктарды қайта құруға әкеледі. Мысалы, 10 МБ файлды оқу шамамен 1 секундты алады, ал 25 МБ 3 секундты алады. 10 МБ жазу 15 секунд, ал 25 МБ жазу 50 секундты алады. Сонымен қатар, Oramfs Cloudflare әзірлеген және қосымша ORAM режимін қолдайтын UtahFS файлдық жүйесімен салыстырғанда оқу кезінде шамамен 9 есе және жазу кезінде 2 есе жылдамырақ.
Ақпарат көзі: opennet.ru