Pochi giorni fa l'azienda Kudelski Security (specializzato nella conduzione di audit di sicurezza) svelato il rilascio del filesystem Oramfs con l'implementazione della tecnologia ORAM (Random Oblivious the Access Machine), e° il file system virtuale è progettato per l'uso con archivi di dati remoti e non consente a nessuno di tracciare la struttura delle scritture e delle letture da esse, rispettivamente. Combinata con la crittografia, la tecnologia offre il più alto livello di protezione della privacy dei dati
Il progetto propone un modulo FUSE per Linux con l'implementazione del layer FS, che non permette di tracciare la struttura delle operazioni di lettura e scrittura, il codice Oramfs è scritto in Rust ed è licenziato sotto GPLv3.
Informazioni su Oramfs
La tecnologia ORAM prevede la creazione di un altro livello oltre alla crittografia, che non consente di determinare la natura dell'attività corrente quando si lavora con i dati. Ad esempio, nel caso di utilizzo della crittografia durante l'archiviazione dei dati in un servizio di terze parti, i proprietari di questo servizio non possono trovare i dati stessi, ma possono determinare a quali blocchi si accede e quali operazioni vengono eseguite. OLa RAM nasconde le informazioni su quali parti del file system si sta accedendo e quale tipo di operazione viene eseguita (leggere o scrivere).
Quando si considera la privacy delle soluzioni di archiviazione, la crittografia da sola non è sufficiente per prevenire la perdita dei modelli di accesso. A differenza delle soluzioni tradizionali come LUKS o Bitlocker, uno schema ORAM impedisce a un utente malintenzionato di sapere se eseguire operazioni di lettura o scrittura e a quali parti del file system si accede. Questo livello di privacy si ottiene effettuando richieste di accesso aggiuntive rispetto a quelle necessarie, mescolando i blocchi che compongono il livello di archiviazione e scrivendo e ricodificando i dati ogni volta, anche quando viene eseguita solo un'operazione di lettura. Ovviamente questo comporta una perdita di prestazioni, ma fornisce una sicurezza aggiuntiva rispetto ad altre soluzioni.
Oramfs fornisce un livello di file system universale che semplifica l'organizzazione dell'archiviazione dei dati su qualsiasi archiviazione esterna. I dati vengono archiviati crittografati con l'opzione di autenticazione opzionale. Gli algoritmi ChaCha8, AES-CTR e AES-GCM possono essere utilizzati per la crittografia. I modelli di accesso in lettura e scrittura sono nascosti dallo schema del percorso ORAM. In futuro è prevista l'implementazione di altri schemi, ma nella loro forma attuale lo sviluppo è ancora nella fase di un prototipo, che non è raccomandato per l'uso nei sistemi di produzione.
Oramfs può essere utilizzato con qualsiasi file system e non dipende dal tipo di archiviazione esterna di destinazione: I file possono essere sincronizzati con qualsiasi servizio che può essere montato come directory locale (SSH, FTP, Google Drive, Amazon S3, Dropbox, Google Cloud Storage, Mail.ru Cloud, Yandex e altri servizi supportati da rclone o per i quali esistono moduli FUSE da montare). La dimensione dell'archiviazione non è fissa e, se è necessario più spazio, la dimensione dell'ORAM può aumentare in modo dinamico.
La configurazione di Oramfs si riduce alla definizione di due directory, pubblica e privata, che fungono da server e client:
- La directory pubblica può essere qualsiasi directory sul file system locale che è collegata a memorie esterne montandole tramite SSHFS, FTPFS, Rclone e qualsiasi altro modulo FUSE.
- La directory privata è fornita dal modulo FUSE di Oramfs ed è progettata per funzionare direttamente con i file archiviati in ORAM. La directory pubblica contiene un file con l'immagine ORAM.
Qualsiasi operazione con una directory privata influisce sullo stato di questo file immagine, ma questo file appare come una scatola nera a un osservatore esterno, le cui modifiche non possono essere associate all'attività nella directory privata, inclusa l'operazione di scrittura o lettura, non possono essere determinate .
Infine se sei interessato a saperne di più o essere in grado di testare questo filesystem, puoi controllare i dettagli nel seguente link.
fonte: https://research.kudelskisecurity.com/