Güvenlik denetimlerinde uzmanlaşmış bir şirket olan Kudelski Security, veri erişim modelini maskeleyen ORAM (Oblicious Random Access Machine) teknolojisinin uygulanmasıyla Oramfs dosya sistemini yayınladı. Proje, Linux için yazma ve okuma işlemlerinin yapısının izlenmesine izin vermeyen bir dosya sistemi katmanının uygulanmasına sahip bir FUSE modülü önermektedir. Oramfs kodu Rust'ta yazılmıştır ve GPLv3 kapsamında lisanslanmıştır.
ORAM teknolojisi, şifrelemeye ek olarak, verilerle çalışırken mevcut aktivitenin niteliğinin belirlenmesine izin vermeyen başka bir katmanın oluşturulmasını içerir. Örneğin, üçüncü taraf bir hizmette veri depolanırken şifreleme kullanılıyorsa, bu hizmetin sahipleri veriyi kendisi bulamaz ancak hangi bloklara erişildiğini ve hangi işlemlerin gerçekleştirildiğini belirleyebilir. ORAM, FS'nin hangi bölümlerine erişildiği ve ne tür bir işlemin gerçekleştirildiği (okuma veya yazma) hakkındaki bilgileri gizler.
Oramfs, herhangi bir harici depolama birimindeki veri depolama organizasyonunu basitleştirmenize olanak tanıyan evrensel bir dosya sistemi katmanı sağlar. Veriler isteğe bağlı kimlik doğrulamayla şifrelenmiş olarak saklanır. Şifreleme için ChaCha8, AES-CTR ve AES-GCM algoritmaları kullanılabilir. Yazma ve okuma erişimindeki modeller, Yol ORAM şeması kullanılarak gizlenir. Gelecekte başka planların da uygulanması planlanıyor, ancak mevcut haliyle geliştirme hala prototip aşamasında olup, üretim sistemlerinde kullanılması tavsiye edilmemektedir.
Oramfs herhangi bir dosya sistemiyle kullanılabilir ve hedef harici depolamanın türüne bağlı değildir; dosyaları yerel bir dizin (SSH, FTP, Google Drive, Amazon S3) biçiminde monte edilebilecek herhangi bir hizmetle senkronize etmek mümkündür. , Dropbox, Google Cloud Storage, Mail.ru Cloud , Yandex.Disk ve rclone'da desteklenen veya montaj için FUSE modüllerinin bulunduğu diğer hizmetler). Depolama boyutu sabit değildir ve ek alana ihtiyaç duyulursa ORAM boyutu dinamik olarak artırılabilir.
Oramfs kurulumu, public ve private olmak üzere iki dizin tanımlamaya dayanır ve bunlar şu şekilde işlev görür: sunucu ve istemci. Genel dizin, SSHFS, FTPFS, Rclone veya diğer herhangi bir FUSE modülü aracılığıyla harici depolamaya bağlanan yerel dosya sistemindeki herhangi bir dizin olabilir. Özel dizin, Oramfs FUSE modülü tarafından sağlanır ve ORAM'da depolanan dosyalara doğrudan erişim için tasarlanmıştır. Genel dizin, ORAM görüntüsünü içeren bir dosya içerir. Özel dizinle yapılan herhangi bir işlem, bu görüntü dosyasının durumunu etkiler, ancak dışarıdan bir gözlemci için bu dosya kara kutu gibi görünür; üzerinde yapılan değişiklikler, okuma veya yazma işleminin gerçekleşip gerçekleşmediğini belirlemek de dahil olmak üzere, özel dizindeki etkinlikle ilişkilendirilemez.
Oramf'lar en üst düzeyde gizliliğin gerekli olduğu ve performanstan ödün verilebilecek alanlarda kullanılabilir. Veri okuma işlemleri de dahil olmak üzere her depolama işlemi, dosya sistemi görüntüsündeki blokların yeniden oluşturulmasına yol açtığı için performans düşer. Örneğin 10 MB'lık bir dosyayı okumak yaklaşık 1 saniye, 25 MB'lık bir dosyayı okumak ise 3 saniye sürer. 10MB yazmak 15 saniye, 25MB yazmak ise 50 saniye sürer. Aynı zamanda Oramfs, Cloudflare tarafından geliştirilen ve isteğe bağlı olarak ORAM modunu destekleyen UtahFS dosya sistemine kıyasla okumada yaklaşık 9 kat, yazmada ise 2 kat daha hızlıdır.
Kaynak: opennet.ru
