Oramfs, potpuno šifrirani virtualni sustav datoteka

Prije nekoliko dana tvrtka Kudelski Sigurnost (specijalizirano za provođenje sigurnosnih revizija) je predstavio izdanje datotečnog sustava Oramfs s primjenom tehnologije ORAM (Random Oblivable the Access Machine), iiz poda virtualni datotečni sustav dizajniran je za uporabu s udaljenim skladištima podataka i ne dopušta nikome da prati strukturu, odnosno zapisuje i čita iz njih. U kombinaciji s šifriranjem, tehnologija pruža najvišu razinu zaštite privatnosti podataka

Projekt predlaže FUSE modul za Linux s implementacijom FS sloja, koji ne dopušta praćenje strukture operacija čitanja i pisanja, Oramfs kôd napisan je u Rustu i licenciran je pod GPLv3.

O Oramfsu

ORAM tehnologija uključuje stvaranje još jednog sloja uz šifriranje, koji ne omogućuje određivanje prirode trenutne aktivnosti pri radu s podacima. Primjerice, u slučaju korištenja šifriranja prilikom spremanja podataka u uslugu treće strane, vlasnici ove usluge ne mogu sami pronaći podatke, ali mogu odrediti kojim se blokovima pristupa i koje se radnje izvršavaju. ILIRAM skriva informacije o tome kojim se dijelovima datotečnog sustava pristupa i koja se vrsta radnje izvodi (čitati ili pisati).

Kad se razmatra privatnost rješenja za pohranu, samo šifriranje nije dovoljno da spriječi curenje uzorka pristupa. Za razliku od tradicionalnih rješenja poput LUKS ili Bitlocker, ORAM shema sprječava napadača da zna treba li izvršiti operacije čitanja ili pisanja i kojim dijelovima datotečnog sustava pristupa. Ova se razina privatnosti postiže postavljanjem dodatnih zahtjeva za pristup potrebnim, miješanjem blokova koji čine sloj za pohranu i pisanjem i ponovnim šifriranjem podataka naprijed-nazad, čak i kada se izvodi samo operacija čitanja. Očito ovo dolazi s gubitkom performansi, ali pruža dodatnu sigurnost u usporedbi s drugim rješenjima.

Oramfs pruža univerzalni sloj datotečnog sustava koji pojednostavljuje organizaciju pohrane podataka na bilo kojoj vanjskoj pohrani. Podaci se pohranjuju šifrirano s opcijom provjere autentičnosti. Za šifriranje se mogu koristiti algoritmi ChaCha8, AES-CTR i AES-GCM. Obrasci pristupa za čitanje i pisanje skriveni su shemom puta ORAM. U budućnosti se planira provedba ostalih shema, ali u njihovom sadašnjem obliku razvoj je još uvijek u fazi prototipa, koji se ne preporučuje za uporabu u proizvodnim sustavima.

Oramfs može se koristiti s bilo kojim datotečnim sustavom i ne ovisi o ciljanoj vanjskoj vrsti pohrane: Datoteke se mogu sinkronizirati s bilo kojom uslugom koja se može montirati kao lokalni direktorij (SSH, FTP, Google pogon, Amazon S3, Dropbox, Google Cloud Storage, Mail.ru Cloud, Yandex i druge usluge podržane od rclone ili za koje postoje FUSE moduli za montiranje). Veličina pohrane nije fiksna, a ako je potrebno više prostora, veličina ORAM-a može dinamički rasti.

Konfiguracija Oramfsa svodi se na definiranje dva direktorija, javnog i privatnog, koji djeluju kao poslužitelj i klijent:

  • Javni direktorij može biti bilo koji direktorij u lokalnom datotečnom sustavu koji je povezan s vanjskim skladištima tako što ih montira putem SSHFS, FTPFS, Rclone i bilo kojeg drugog modula FUSE.
  • Privatni direktorij pruža Oramfs FUSE modul i dizajniran je za izravan rad s datotekama pohranjenim u ORAM-u. Javni direktorij sadrži datoteku sa slikom ORAM.

Bilo koja operacija s privatnim direktorijom utječe na stanje ove slikovne datoteke, ali ova datoteka vanjskom promatraču izgleda kao crni okvir, čije promjene se ne mogu povezati s aktivnostima u privatnom direktoriju, uključujući operaciju pisanja ili čitanja, ne mogu se utvrditi .

Konačno ako vas zanima više o tome ili možete testirati ovaj datotečni sustav, možete provjeriti pojedinosti na sljedećem linku.

izvor: https://research.kudelskisecurity.com/


Budite prvi koji će komentirati

Ostavite svoj komentar

Vaša email adresa neće biti objavljen. Obavezna polja su označena s *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obvezi.
  5. Pohrana podataka: Baza podataka koju hostira Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.