Куделски Секјурити, компанија специјализирана за безбедносни ревизии, го објави датотечниот систем Орамфс со имплементација на технологијата ORAM (Обливична машина за случаен пристап), која ја маскира шемата за пристап до податоци. Проектот предлага FUSE модул за Linux со имплементација на слој на датотечен систем кој не дозволува следење на структурата на операциите за пишување и читање. Кодот на Oramfs е напишан во Rust и е лиценциран според GPLv3.
Технологијата ORAM вклучува создавање на уште еден слој покрај шифрирањето, што не дозволува да се одреди природата на тековната активност при работа со податоци. На пример, ако се користи шифрирање при складирање на податоци во услуга од трета страна, сопствениците на оваа услуга не можат да ги дознаат самите податоци, но можат да одредат до кои блокови се пристапува и кои операции се извршуваат. ORAM крие информации за тоа до кои делови од FS се пристапува и каква операција се изведува (читање или пишување).
Oramfs обезбедува универзален слој на датотечен систем кој ви овозможува да ја поедноставите организацијата на складирање податоци на кое било надворешно складирање. Податоците се чуваат шифрирани со изборна автентикација. За шифрирање може да се користат алгоритмите ChaCha8, AES-CTR и AES-GCM. Моделите во пристапот за пишување и читање се скриени со помош на шемата Path ORAM. Во иднина се планира имплементација на други шеми, но во сегашната форма, развојот се уште е во фаза на прототип, што не се препорачува за употреба во производствени системи.
Oramfs може да се користи со кој било датотечен систем и не зависи од типот на целното надворешно складирање - можно е да се синхронизираат датотеките со која било услуга што може да се монтира во форма на локален директориум (SSH, FTP, Google Drive, Amazon S3 , Dropbox, Google Cloud Storage, Mail.ru Cloud , Yandex.Disk и други услуги поддржани во rclone или за кои има FUSE модули за монтирање). Големината на складирањето не е фиксна и доколку е потребен дополнителен простор, големината на ORAM може динамички да се зголеми.
Поставувањето на Oramfs се сведува на дефинирање на два директориуми - јавни и приватни, кои делуваат како сервер и клиент. Јавниот директориум може да биде кој било директориум во локалниот датотечен систем кој е поврзан со надворешни складишта со нивно монтирање преку SSHFS, FTPFS, Rclone и сите други FUSE модули. Приватниот директориум е обезбеден од модулот Oramfs FUSE и е дизајниран директно да работи со датотеки складирани во ORAM. Датотеката со слика ORAM се наоѓа во јавниот директориум. Секоја операција со приватен директориум влијае на состојбата на оваа датотека со слика, но оваа датотека изгледа на надворешен набљудувач како црна кутија, промените во кои не може да се поврзат со активноста во приватниот директориум, вклучително и дали е извршена операција за пишување или читање .
Oramfs може да се користи во области каде што е потребно највисоко ниво на приватност и може да се жртвуваат перформансите. Перформансите се намалуваат бидејќи секоја операција за складирање, вклучително и операциите за читање податоци, доведува до обнова на блокови во сликата на датотечниот систем. На пример, читањето на датотека од 10 MB трае околу 1 секунда, а 25 MB трае 3 секунди. Пишувањето од 10 MB трае 15 секунди, а за 25 MB потребни се 50 секунди. Во исто време, Oramfs е приближно 9 пати побрз при читање и 2 пати побрз кога пишува во споредба со датотечен систем UtahFS, развиен од Cloudflare и опционално поддржува ORAM режим.
Извор: opennet.ru