Kudelski Security, một công ty chuyên kiểm tra bảo mật, đã xuất bản hệ thống tệp Oramfs với việc triển khai công nghệ ORAM (Oblivious Random Access Machine), giúp che giấu kiểu truy cập dữ liệu. Dự án đề xuất mô-đun FUSE cho Linux với việc triển khai lớp hệ thống tệp không cho phép theo dõi cấu trúc của các hoạt động ghi và đọc. Mã Oramfs được viết bằng Rust và được cấp phép theo GPLv3.
Công nghệ ORAM liên quan đến việc tạo ra một lớp khác ngoài mã hóa, lớp này không cho phép xác định bản chất của hoạt động hiện tại khi làm việc với dữ liệu. Ví dụ: nếu mã hóa được sử dụng khi lưu trữ dữ liệu trong dịch vụ của bên thứ ba, chủ sở hữu dịch vụ này không thể tự tìm ra dữ liệu nhưng có thể xác định khối nào được truy cập và hoạt động nào được thực hiện. ORAM ẩn thông tin về phần nào của FS đang được truy cập và loại hoạt động nào đang được thực hiện (đọc hoặc ghi).
Oramfs cung cấp một lớp hệ thống tệp phổ quát cho phép bạn đơn giản hóa việc tổ chức lưu trữ dữ liệu trên bất kỳ bộ nhớ ngoài nào. Dữ liệu được lưu trữ được mã hóa với xác thực tùy chọn. Thuật toán ChaCha8, AES-CTR và AES-GCM có thể được sử dụng để mã hóa. Các mẫu trong quyền truy cập ghi và đọc được ẩn bằng lược đồ Path ORAM. Trong tương lai, các kế hoạch khác dự kiến sẽ được thực hiện, nhưng ở dạng hiện tại, quá trình phát triển vẫn đang ở giai đoạn nguyên mẫu, không được khuyến khích sử dụng trong các hệ thống sản xuất.
Oramfs có thể được sử dụng với bất kỳ hệ thống tệp nào và không phụ thuộc vào loại bộ nhớ ngoài mục tiêu - có thể đồng bộ hóa tệp với bất kỳ dịch vụ nào có thể được gắn dưới dạng thư mục cục bộ (SSH, FTP, Google Drive, Amazon S3 , Dropbox, Google Cloud Storage, Mail.ru Cloud , Yandex.Disk và các dịch vụ khác được hỗ trợ trong rclone hoặc có mô-đun FUSE để gắn). Kích thước lưu trữ không cố định và nếu cần thêm dung lượng, kích thước ORAM có thể được tăng lên một cách linh hoạt.
Việc thiết lập Oramfs bao gồm việc xác định hai thư mục - công khai và riêng tư, hoạt động như máy chủ và máy khách. Thư mục chung có thể là bất kỳ thư mục nào trong hệ thống tệp cục bộ được kết nối với bộ lưu trữ bên ngoài bằng cách gắn chúng qua SSHFS, FTPFS, Rclone và bất kỳ mô-đun FUSE nào khác. Thư mục riêng được cung cấp bởi mô-đun Oramfs FUSE và được thiết kế để hoạt động trực tiếp với các tệp được lưu trữ trong ORAM. Tệp hình ảnh ORAM nằm trong thư mục chung. Bất kỳ thao tác nào với thư mục riêng đều ảnh hưởng đến trạng thái của tệp hình ảnh này, nhưng tệp này trông giống như một người quan sát bên ngoài như một hộp đen, những thay đổi trong đó không thể liên kết với hoạt động trong thư mục riêng, bao gồm cả việc thao tác ghi hoặc đọc đã được thực hiện hay chưa .
Oramfs có thể được sử dụng ở những khu vực yêu cầu mức độ riêng tư cao nhất và có thể phải hy sinh hiệu suất. Hiệu suất giảm vì mọi thao tác lưu trữ, bao gồm cả thao tác đọc dữ liệu, đều dẫn đến việc xây dựng lại các khối trong hình ảnh hệ thống tệp. Ví dụ: đọc tệp 10 MB mất khoảng 1 giây và 25 MB mất 3 giây. Viết 10 MB mất 15 giây và 25 MB mất 50 giây. Đồng thời, Oramfs nhanh hơn khoảng 9 lần khi đọc và nhanh hơn 2 lần khi ghi so với hệ thống tệp UtahFS do Cloudflare phát triển và tùy chọn hỗ trợ chế độ ORAM.
Nguồn: opennet.ru