Kudelski Security xavfsizlik audit kompaniyasi Shufflecake deb nomlangan vositani nashr etdi, bu sizga mavjud bo'limlarda mavjud bo'sh joy bo'ylab tarqalgan va tasodifiy qoldiq ma'lumotlardan ajratib bo'lmaydigan yashirin fayl tizimlarini yaratishga imkon beradi. Bo'limlar shunday yaratilganki, kirish kalitini bilmasdan, hatto sud-tibbiyot tahlilini o'tkazishda ham ularning mavjudligini isbotlash qiyin. Utilitlar (shufflecake-userland) va Linux yadro moduli (dm-sflc) kodi C tilida yozilgan va GPLv3 litsenziyasi ostida tarqatiladi, bu esa nashr etilgan yadro modulini asosiy Linux yadrosiga kiritishni imkonsiz qiladi. yadro bilan ta'minlangan GPLv2 litsenziyasi.
Loyiha Truecrypt va Veracrypt-ga qaraganda himoya qilishni talab qiladigan ma'lumotlarni yashirish uchun yanada ilg'or yechim sifatida joylashtirilgan, bu Linux platformasi uchun mahalliy yordamga ega va tahlilni chalkashtirib yuborish uchun qurilmada 15 tagacha yashirin bo'limlarni joylashtirish imkonini beradi. ularning mavjudligi. Agar Shufflecake-dan foydalanishning o'zi sir bo'lmasa, masalan, tizimda tegishli yordamchi dasturlar mavjudligi bilan baholanishi mumkin bo'lsa, yaratilgan yashirin bo'limlarning umumiy sonini aniqlab bo'lmaydi. Yaratilgan yashirin bo'limlar har qanday fayl tizimini, masalan, ext4, xfs yoki btrfsni joylashtirish uchun foydalanuvchining xohishiga ko'ra formatlanishi mumkin. Har bir bo'lim o'zining qulfini ochish kalitiga ega bo'lgan alohida virtual blok qurilmasi sifatida qaraladi.
Izlarni chalkashtirib yuborish uchun "ishonchli inkor etish" xatti-harakatlar modelidan foydalanish taklif etiladi, uning mohiyati shundaki, qimmatli ma'lumotlar shifrlangan bo'limlarda qo'shimcha qatlamlar sifatida kamroq qimmatli ma'lumotlarga ega bo'lib, bo'limlarning yashirin ierarxiyasini tashkil qiladi. Bosim bo'lsa, qurilma egasi shifrlangan bo'limning kalitini ochishi mumkin, ammo bu bo'limda boshqa bo'limlar (15 tagacha o'rnatilgan darajalar) yashiringan bo'lishi mumkin va ularning mavjudligini aniqlash va mavjudligini isbotlash muammoli.
Yashirish har bir bo'limni saqlash qurilmasida tasodifiy joylarda joylashtirilgan shifrlangan bo'laklar to'plami sifatida qurish orqali erishiladi. Har bir bo'lim bo'limda qo'shimcha saqlash joyi kerak bo'lganda dinamik ravishda yaratiladi. Tahlilni qiyinlashtirish uchun turli bo'limlarning bo'laklari almashtiriladi, ya'ni. Shufflecake bo'limlari qo'shni hududlarga bog'lanmagan va barcha bo'limlarning bo'laklari aralashtiriladi. Ishlatilgan va bepul bo'limlar haqidagi ma'lumotlar shifrlangan sarlavha bilan havola qilingan har bir bo'lim bilan bog'langan joylashuv xaritasida saqlanadi. Kartalar va sarlavhalar shifrlangan bo'lib, kirish kalitini bilmasdan, tasodifiy ma'lumotlardan ajratib bo'lmaydi.
Sarlavha uyaga bo'lingan, ularning har biri o'z bo'limini va tegishli bo'limlarini belgilaydi. Sarlavhadagi uyalar yig'ilgan va rekursiv bog'langan - joriy uyada ierarxiyadagi oldingi bo'limning parametrlarini (kamroq yashirin bo'lgan) parolni ochish kaliti mavjud bo'lib, u bilan bog'liq bo'lgan barcha kamroq yashirin bo'limlarning shifrini ochish uchun bitta paroldan foydalanishga imkon beradi. tanlangan bo'lim. Har bir kamroq yashirin bo'lim ichki o'rnatilgan bo'limlarning bo'laklarini bepul deb hisoblaydi.
Odatiy bo'lib, barcha Shufflecake bo'limlari yuqori darajadagi bo'lim bilan bir xil ko'rinadigan o'lchamga ega. Misol uchun, agar 1 Gb hajmli qurilmada uchta bo'lim mavjud bo'lsa, ularning har biri tizimga 1 Gb bo'lim sifatida ko'rinadi va mavjud bo'lgan jami disk maydoni barcha bo'limlar orasida taqsimlanadi - agar saqlangan ma'lumotlarning umumiy hajmi XNUMX Gb dan oshsa. qurilmaning haqiqiy hajmi, u I/U xatosi tashlanadi boshlanadi.
Ochiq bo'lmagan ichki bo'limlar bo'sh joyni ajratishda ishtirok etmaydi, ya'ni. yuqori darajadagi bo'limni to'ldirishga urinish ma'lumotlarning ichki o'rnatilgan bo'limlarda parchalanishiga olib keladi, lekin xato boshlanishidan oldin bo'limga joylashtirilishi mumkin bo'lgan ma'lumotlar hajmini tahlil qilish orqali ularning mavjudligini aniqlashga imkon bermaydi (bu Yuqori qismlar diqqatni chalg'itish uchun o'zgarmas ma'lumotlarni o'z ichiga oladi va hech qachon alohida ishlatilmaydi va muntazam ish har doim eng so'nggi joylashtirilgan bo'lim bilan amalga oshiriladi, sxemaning o'zi mavjudligi sirini saqlash muhimroq ekanligini anglatadi. ma'lumotni yo'qotishdan ko'ra).
Aslida, har doim 15 Shufflecake bo'limi yaratiladi - foydalanuvchi paroli ishlatilgan bo'limlarga biriktirilgan va foydalanilmagan bo'limlar tasodifiy yaratilgan parol bilan ta'minlangan (aslida qancha bo'lim ishlatilganligini tushunish mumkin emas). Shufflecake bo'limlari ishga tushirilganda, ularni joylashtirish uchun ajratilgan disk, bo'lim yoki virtual blok qurilma tasodifiy ma'lumotlar bilan to'ldiriladi, bu umumiy fonda Shufflecake metama'lumotlarini va ma'lumotlarini aniqlashni imkonsiz qiladi.
Shufflecake ilovasi ancha yuqori unumdorlikka ega, ammo qo'shimcha xarajatlar mavjudligi sababli LUKS quyi tizimiga asoslangan diskni shifrlash bilan solishtirganda o'tkazish qobiliyati taxminan ikki baravar sekinroq. Shufflecake-dan foydalanish, shuningdek, xizmat ma'lumotlarini saqlash uchun operativ xotira va disk maydoni uchun qo'shimcha xarajatlarga olib keladi. Xotira iste'moli har bir qism uchun 60 MB, disk maydoni esa umumiy hajmning 1% ni tashkil qiladi. Taqqoslash uchun, WORAM texnikasi, maqsadiga o'xshash, foydalanish mumkin bo'lgan disk maydonining 5% yo'qotilishi bilan 200 dan 75 martagacha sekinlashishiga olib keladi.
Asboblar to'plami va yadro moduli faqat Debian va Ubuntu-da 5.13 va 5.15 yadrolari bilan sinovdan o'tkazildi (Ubuntu 22.04 da qo'llab-quvvatlanadi). Ta'kidlanishicha, loyiha hali ham muhim ma'lumotlarni saqlash uchun ishlatilmasligi kerak bo'lgan ishlaydigan prototip sifatida ko'rib chiqilishi kerak. Kelajakda biz ishlash, ishonchlilik va xavfsizlik uchun qo'shimcha optimallashtirishlarni amalga oshirishni, shuningdek, Shufflecake bo'limlaridan yuklash imkoniyatini taqdim qilishni rejalashtirmoqdamiz.
Manba: opennet.ru