Kudelski Security, ett företag som specialiserat sig på säkerhetsrevisioner, publicerade Oramfs filsystem med implementeringen av ORAM-teknik (Oblivious Random Access Machine), som maskerar dataåtkomstmönstret. Projektet föreslår en FUSE-modul för Linux med implementering av ett filsystemlager som inte tillåter spårning av strukturen för skriv- och läsoperationer. Oramfs-koden är skriven i Rust och är licensierad under GPLv3.
ORAM-teknik innebär skapandet av ytterligare ett lager utöver kryptering, vilket inte tillåter en att bestämma arten av den aktuella aktiviteten när man arbetar med data. Om till exempel kryptering används vid lagring av data i en tredjepartstjänst, kan ägarna av denna tjänst inte själva ta reda på uppgifterna, utan kan avgöra vilka block som nås och vilka operationer som utförs. ORAM döljer information om vilka delar av FS som nås och vilken typ av operation som utförs (läsning eller skrivning).
Oramfs tillhandahåller ett universellt filsystemlager som låter dig förenkla organisationen av datalagring på valfri extern lagring. Data lagras krypterad med valfri autentisering. ChaCha8, AES-CTR och AES-GCM algoritmer kan användas för kryptering. Mönster i skriv- och läsåtkomst är dolda med hjälp av Path ORAM-schemat. I framtiden planeras andra system att implementeras, men i sin nuvarande form är utvecklingen fortfarande på prototypstadiet, vilket inte rekommenderas för användning i produktionssystem.
Oramfs kan användas med alla filsystem och beror inte på typen av extern mållagring - det är möjligt att synkronisera filer till vilken tjänst som helst som kan monteras i form av en lokal katalog (SSH, FTP, Google Drive, Amazon S3 , Dropbox, Google Cloud Storage, Mail.ru Cloud , Yandex.Disk och andra tjänster som stöds i rclone eller för vilka det finns FUSE-moduler för montering). Lagringsstorleken är inte fast och om ytterligare utrymme behövs kan ORAM-storleken ökas dynamiskt.
Att installera Oramfs handlar om att definiera två kataloger - offentliga och privata, som fungerar som server och klient. Den publika katalogen kan vara vilken katalog som helst i det lokala filsystemet som är ansluten till externa lagringar genom att montera dem via SSHFS, FTPFS, Rclone och andra FUSE-moduler. Den privata katalogen tillhandahålls av Oramfs FUSE-modul och är designad för att direkt arbeta med filer lagrade i ORAM. ORAM-bildfilen finns i den offentliga katalogen. Alla åtgärder med en privat katalog påverkar tillståndet för denna bildfil, men den här filen ser för en extern observatör ut som en svart låda, där ändringar inte kan associeras med aktivitet i den privata katalogen, inklusive om en skriv- eller läsoperation har utförts .
Oramfs kan användas i områden där högsta nivå av integritet krävs och prestanda kan offras. Prestandan minskar eftersom varje lagringsoperation, inklusive dataläsningsoperationer, leder till att blocken i filsystembilden återuppbyggs. Att läsa en 10MB-fil tar till exempel cirka 1 sekund och 25MB tar 3 sekunder. Att skriva 10 MB tar 15 sekunder och 25 MB tar 50 sekunder. Samtidigt är Oramfs ungefär 9 gånger snabbare vid läsning och 2 gånger snabbare vid skrivning jämfört med filsystemet UtahFS, utvecklat av Cloudflare och som valfritt stöder ORAM-läge.
Källa: opennet.ru