Néhány nappal ezelőtt a társaság Kudelski Biztonság (biztonsági ellenőrzések lebonyolítására szakosodott) bemutatta az Oramfs fájlrendszer kiadását - az ORAM (Random Oblivious the Access Machine) technológia bevezetésével, ésSte a virtuális fájlrendszert távoli adattárolókkal való használatra tervezték és ez nem teszi lehetővé senkinek, hogy nyomon kövesse az írások, illetve az azokból olvasások felépítését. Titkosítással kombinálva a technológia biztosítja a legmagasabb szintű adatvédelmet
A projekt egy FUSE modult javasol a Linux számára az FS réteg megvalósításával, amely nem teszi lehetővé az olvasási és írási műveletek felépítésének nyomon követését, az Oramfs kód Rust-ba van írva, és a GPLv3 licenc alatt van.
Az Oramfs-ról
Az ORAM technológia magában foglalja a titkosítás mellett egy másik réteg létrehozását, amely nem teszi lehetővé az aktuális tevékenység jellegének meghatározását az adatokkal való munka során. Például abban az esetben, ha titkosítást használnak adatok tárolásakor egy külső szolgáltatónál, a szolgáltatás tulajdonosai maguk nem találják meg az adatokat, de meghatározhatják, hogy mely blokkokhoz férnek hozzá és milyen műveleteket hajtanak végre. VAGYA RAM elrejti az információkat arról, hogy a fájlrendszer mely részeihez férnek hozzá, és milyen típusú műveleteket hajtanak végre (olvasni vagy írni).
A tárolási megoldások adatvédelmi szempontjainak figyelembevételével a titkosítás önmagában nem elegendő a hozzáférési minta szivárgásának megakadályozásához. A hagyományos megoldásoktól, például a LUKS-től vagy a Bitlocker-től eltérően az ORAM-séma megakadályozza a támadókat abban, hogy megtudják, olvasási vagy írási műveleteket hajtsanak végre, és hogy a fájlrendszer mely részeihez férnek hozzá. Ezt a szintű adatvédelmet úgy érik el, hogy a szükségesnél több hozzáférési kérelmet nyújtanak be, összekeverik a tárolási réteget alkotó blokkokat, és minden alkalommal oda-vissza írnak és újra titkosítják az adatokat, még akkor is, ha csak olvasási műveletet hajtanak végre. Nyilvánvalóan ez teljesítményvesztéssel jár, de további biztonságot nyújt a többi megoldáshoz képest.
Az Oramfs egy univerzális fájlrendszeri réteget biztosít, amely leegyszerűsíti az adattárolás megszervezését bármely külső tárolón. Az adatokat az opcionális hitelesítési opcióval titkosítva tároljuk. A ChaCha8, AES-CTR és AES-GCM algoritmusok használhatók a titkosításhoz. Az olvasási és írási hozzáférési mintákat az ORAM elérési séma rejti el. A jövőben más tervek megvalósítását tervezik, de a jelenlegi formájában a fejlesztés még mindig egy prototípus szakaszában van, amelyet nem ajánlott a termelési rendszerekben használni.
Oramfs bármely fájlrendszerrel használható, és nem függ a megcélzott külső tárhely típusától: A fájlok szinkronizálhatók bármely olyan szolgáltatással, amely helyi könyvtárként csatolható (SSH, FTP, Google Drive, Amazon S3, Dropbox, Google Cloud Storage, Mail.ru Cloud, Yandex és más szolgáltatások, amelyeket az rclone támogat, vagy amelyekre vannak FUSE modulok felszereléséhez). A tároló mérete nincs rögzítve, és ha több helyre van szükség, az ORAM mérete dinamikusan növekedhet.
Az Oramfs konfigurációja két nyilvános és privát könyvtár meghatározását jelenti, amelyek szerverként és kliensként működnek:
- A nyilvános könyvtár lehet bármelyik könyvtár a helyi fájlrendszeren, amely külső tárolókhoz kapcsolódik SSHFS-en, FTPFS-en, Rclone-on és bármely más FUSE-modulon keresztüli csatolással.
- A privát könyvtárat az Oramfs FUSE modul biztosítja, és közvetlenül az ORAM-ban tárolt fájlokkal működik. A nyilvános könyvtár egy fájlt tartalmaz az ORAM képpel.
A privát könyvtárral végzett bármilyen művelet befolyásolja ennek a képfájlnak az állapotát, de ez a fájl egy fekete megfigyelőnek tűnik egy külső megfigyelő számára, amely változásokat nem lehet társítani a privát könyvtárban végzett tevékenységekkel, beleértve az írási műveletet vagy az olvasást sem .
Végül ha érdekel, hogy többet tudjon meg róla vagy tesztelni tudja ezt a fájlrendszert, ellenőrizheti a részleteket a következő linken.
forrás: https://research.kudelskisecurity.com/