完全に暗号化された仮想ファイルシステムであるOramfs

数日前、会社 Kudelskiセキュリティ (セキュリティ監査の実施を専門としています) Oramfsファイルシステムのリリースを発表 ORAM(Random Oblivious the Access Machine)テクノロジーの実装により、STE 仮想ファイルシステムは、リモートデータストアで使用するように設計されています また、書き込みと読み取りの構造をそれぞれ追跡することはできません。 暗号化と組み合わせることで、このテクノロジーは最高レベルのデータプライバシー保護を提供します

このプロジェクトでは、FSレイヤーを実装したLinux用のFUSEモジュールを提案しています。これにより、読み取りおよび書き込み操作の構造をトレースできなくなります。OramfsコードはRustで記述され、GPLv3でライセンスされています。

Oramfsについて

ORAMテクノロジーには、暗号化に加えて別のレイヤーの作成が含まれます。これにより、データを操作するときに現在のアクティビティの性質を判別できなくなります。 たとえば、サードパーティのサービスにデータを保存するときに暗号化を使用する場合、このサービスの所有者はデータ自体を見つけることはできませんが、アクセスされるブロックと実行される操作を判別できます。 またはRAMは、ファイルシステムのどの部分がアクセスされ、どのタイプの操作が実行されているかに関する情報を非表示にします。 (読み取りまたは書き込み)。

ストレージソリューションのプライバシーを見ると、暗号化だけではアクセスパターンの漏洩を防ぐのに十分ではありません。 LUKSやBitlockerなどの従来のソリューションとは異なり、ORAMスキームは、攻撃者が読み取り操作と書き込み操作のどちらを実行するか、およびファイルシステムのどの部分にアクセスしているかを知ることを防ぎます。 このレベルのプライバシーは、必要以上に追加のアクセス要求を行い、ストレージレイヤーを構成するブロックを混合し、読み取り操作のみが実行されている場合でも、毎回データの書き込みと再暗号化を行うことで実現されます。 明らかに、これにはパフォーマンスの低下が伴いますが、他のソリューションと比較して追加のセキュリティが提供されます。

Oramfsは、外部ストレージ上のデータストレージの編成を簡素化するユニバーサルファイルシステムレイヤーを提供します。 データは、オプションの認証オプションで暗号化されて保存されます。 ChaCha8、AES-CTR、およびAES-GCMアルゴリズムを暗号化に使用できます。 読み取りおよび書き込みアクセスパターンは、ORAMパススキームによって隠されています。 将来的には他のスキームの実装も計画されていますが、現在の形ではまだプロトタイプの段階にあり、本番システムでの使用は推奨されていません。

オラムフ 任意のファイルシステムで使用でき、ターゲットの外部ストレージタイプに依存しません。 ファイルは、ローカルディレクトリとしてマウントできる任意のサービス(SSH、FTP、Googleドライブ、Amazon S3、Dropbox、Google Cloud Storage、Mail.ru Cloud、Yandex、およびrcloneでサポートされているその他のサービス)と同期できます。マウントするFUSEモジュール)。 ストレージサイズは固定されておらず、より多くのスペースが必要な場合、ORAMサイズは動的に大きくなる可能性があります。

Oramfs構成は、サーバーとクライアントとして機能するパブリックとプライベートのXNUMXつのディレクトリを定義することに要約されます。

  • パブリックディレクトリは、SSHFS、FTPFS、Rclone、およびその他のFUSEモジュールを介して外部ストレージにマウントすることにより、外部ストレージに接続されているローカルファイルシステム上の任意のディレクトリにすることができます。
  • プライベートディレクトリはOramfsFUSEモジュールによって提供され、ORAMに保存されているファイルを直接操作するように設計されています。 パブリックディレクトリには、ORAMイメージを含むファイルが含まれています。

プライベートディレクトリを使用した操作は、このイメージファイルの状態に影響しますが、このファイルは外部のオブザーバーにはブラックボックスのように見え、書き込み操作や読み取りなど、プライベートディレクトリのアクティビティに関連付けることができない変更を特定できません。 。

最後に あなたがそれについてもっと知りたいのなら または、このファイルシステムをテストできる場合は、次のことを確認できます 詳細は次のリンクにあります。

出典 https://research.kudelskisecurity.com/


コメントを最初に

コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:MiguelÁngelGatón
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。