Beberapa hari yang lalu perusahaan Keamanan Kudelski (khusus dalam melakukan audit keamanan) meluncurkan rilis sistem file Oramfs dengan penerapan teknologi ORAM (Random Oblivious the Access Machine), danste sistem file virtual dirancang untuk digunakan dengan penyimpanan data jarak jauh dan itu tidak mengizinkan siapa pun untuk melacak struktur penulisan dan pembacaan dari mereka, masing-masing. Dikombinasikan dengan enkripsi, teknologi ini memberikan perlindungan privasi data tingkat tertinggi
Proyek ini mengusulkan modul FUSE untuk Linux dengan implementasi lapisan FS, yang tidak memungkinkan untuk melacak struktur operasi baca dan tulis, kode Oramfs ditulis dalam Rust dan dilisensikan di bawah GPLv3.
Tentang Oramfs
Teknologi ORAM melibatkan pembuatan lapisan lain selain enkripsi, yang tidak memungkinkan untuk menentukan sifat aktivitas saat ini saat bekerja dengan data. Misalnya, dalam kasus penggunaan enkripsi saat menyimpan data di layanan pihak ketiga, pemilik layanan ini tidak dapat menemukan data itu sendiri, tetapi dapat menentukan blok mana yang diakses dan operasi apa yang dilakukan. ATAURAM menyembunyikan informasi tentang bagian mana dari sistem file yang sedang diakses dan jenis operasi apa yang sedang dilakukan (membaca atau menulis).
Saat mempertimbangkan privasi solusi penyimpanan, enkripsi saja tidak cukup untuk mencegah kebocoran pola akses. Tidak seperti solusi tradisional seperti LUKS atau Bitlocker, skema ORAM mencegah penyerang mengetahui apakah akan melakukan operasi baca atau tulis dan ke bagian mana dari sistem file yang sedang diakses. Tingkat privasi ini dicapai dengan membuat permintaan akses tambahan dari yang diperlukan, mencampur blok yang membentuk lapisan penyimpanan, dan menulis dan mengenkripsi ulang data bolak-balik setiap kali, bahkan ketika hanya operasi baca yang dilakukan. Jelas ini datang dengan hilangnya kinerja, tetapi memberikan keamanan tambahan dibandingkan dengan solusi lain.
Oramfs menyediakan lapisan sistem file universal yang menyederhanakan organisasi penyimpanan data pada penyimpanan eksternal apa pun. Data disimpan dienkripsi dengan opsi otentikasi opsional. Algoritma ChaCha8, AES-CTR, dan AES-GCM dapat digunakan untuk enkripsi. Pola akses baca dan tulis disembunyikan oleh skema jalur ORAM. Di masa depan, implementasi skema lain direncanakan, tetapi dalam bentuknya saat ini, pengembangan masih dalam tahap prototipe, yang tidak direkomendasikan untuk digunakan dalam sistem produksi.
oramfs dapat digunakan dengan sistem file apa pun dan tidak bergantung pada jenis penyimpanan eksternal yang ditargetkan: file dapat disinkronkan ke layanan apa pun yang dapat dipasang sebagai direktori lokal (SSH, FTP, Google Drive, Amazon S3, Dropbox, Google Cloud Storage, Mail.ru Cloud, Yandex, dan layanan lain yang didukung oleh rclone atau yang ada modul FUSE untuk dipasang). Ukuran penyimpanan tidak tetap, dan jika lebih banyak ruang diperlukan, ukuran ORAM dapat tumbuh secara dinamis.
Konfigurasi Oramfs bermuara pada mendefinisikan dua direktori, publik dan pribadi, yang bertindak sebagai server dan klien:
- Direktori publik dapat berupa direktori pada sistem file lokal yang terhubung ke penyimpanan eksternal dengan memasangnya melalui SSHFS, FTPFS, Rclone, dan modul FUSE lainnya.
- Direktori pribadi disediakan oleh modul FUSE Oramfs dan dirancang untuk bekerja secara langsung dengan file yang disimpan di ORAM. Direktori publik berisi file dengan gambar ORAM.
Operasi apa pun dengan direktori pribadi memengaruhi status file gambar ini, tetapi file ini terlihat seperti kotak hitam bagi pengamat eksternal, perubahan yang tidak dapat dikaitkan dengan aktivitas di direktori pribadi, termasuk operasi tulis atau pembacaan, tidak dapat ditentukan .
Akhirnya jika Anda tertarik untuk mengetahui lebih banyak tentang itu atau dapat menguji sistem file ini, Anda dapat memeriksa detailnya di tautan berikut.
sumber: https://research.kudelskisecurity.com/