며칠 전 회사는 Kudelski 보안 (보안 감사 수행 전문) Oramfs 파일 시스템의 출시를 공개했습니다. ORAM (Random Oblivious the Access Machine) 기술 구현아닌지 가상 파일 시스템은 원격 데이터 저장소와 함께 사용하도록 설계되었습니다. 그리고 누구도 쓰기와 읽기의 구조를 추적 할 수 없습니다. 암호화와 결합 된이 기술은 최고 수준의 데이터 개인 정보 보호를 제공합니다.
이 프로젝트는 읽기 및 쓰기 작업의 구조를 추적 할 수없는 FS 계층을 구현 한 Linux 용 FUSE 모듈을 제안합니다. Oramfs 코드는 Rust로 작성되었으며 GPLv3에 따라 라이센스가 부여되었습니다.
Oramfs 정보
ORAM 기술은 데이터 작업시 현재 활동의 특성을 결정할 수없는 암호화 외에 다른 계층을 생성하는 것을 포함합니다. 예를 들어 타사 서비스에 데이터를 저장할 때 암호화를 사용하는 경우이 서비스의 소유자는 데이터를 직접 찾을 수 없지만 액세스되는 블록과 수행되는 작업을 결정할 수 있습니다. 또는RAM은 파일 시스템의 어느 부분이 액세스되고 있으며 어떤 유형의 작업이 수행되고 있는지에 대한 정보를 숨 깁니다. (읽기 또는 쓰기).
스토리지 솔루션의 프라이버시를 살펴볼 때 암호화만으로는 액세스 패턴 유출을 방지 할 수 없습니다. LUKS 또는 Bitlocker와 같은 기존 솔루션과 달리 ORAM 체계는 공격자가 읽기 또는 쓰기 작업을 수행할지 여부와 파일 시스템의 어느 부분에 액세스하고 있는지 알 수 없도록합니다. 이 수준의 개인 정보 보호 수준은 필요 이상으로 추가 액세스 요청을 만들고, 저장 계층을 구성하는 블록을 혼합하고, 읽기 작업 만 수행되는 경우에도 매번 데이터를 쓰고 다시 암호화함으로써 달성됩니다. 분명히 이것은 성능 저하를 동반하지만 다른 솔루션에 비해 추가 보안을 제공합니다.
Oramfs는 모든 외부 저장소에서 데이터 저장소 구성을 단순화하는 범용 파일 시스템 계층을 제공합니다. 데이터는 선택적 인증 옵션으로 암호화되어 저장됩니다. ChaCha8, AES-CTR 및 AES-GCM 알고리즘을 암호화에 사용할 수 있습니다. 읽기 및 쓰기 액세스 패턴은 ORAM 경로 체계에 의해 숨겨집니다. 앞으로 다른 계획의 구현이 계획되어 있지만 현재의 형태로 개발은 아직 프로토 타입 단계에 있으며 프로덕션 시스템에서는 사용하지 않는 것이 좋습니다.
오람프 모든 파일 시스템과 함께 사용할 수 있으며 대상 외부 스토리지 유형에 의존하지 않습니다. 파일은 로컬 디렉터리로 마운트 할 수있는 모든 서비스 (SSH, FTP, Google Drive, Amazon S3, Dropbox, Google Cloud Storage, Mail.ru Cloud, Yandex 및 rclone에서 지원하는 기타 서비스)와 동기화 할 수 있습니다. 장착 할 퓨즈 모듈). 스토리지 크기는 고정되어 있지 않으며 더 많은 공간이 필요한 경우 ORAM 크기가 동적으로 증가 할 수 있습니다.
Oramfs 구성은 서버 및 클라이언트 역할을하는 두 개의 디렉토리 (공용 및 개인용)를 정의하는 것으로 요약됩니다.
- 공용 디렉토리는 SSHFS, FTPFS, Rclone 및 기타 FUSE 모듈을 통해 마운트하여 외부 저장소에 연결된 로컬 파일 시스템의 모든 디렉토리가 될 수 있습니다.
- 개인 디렉토리는 Oramfs FUSE 모듈에서 제공하며 ORAM에 저장된 파일과 직접 작동하도록 설계되었습니다. 공용 디렉토리에는 ORAM 이미지가있는 파일이 있습니다.
개인 디렉터리를 사용하는 모든 작업은이 이미지 파일의 상태에 영향을 주지만이 파일은 외부 관찰자에게 블랙 박스처럼 보이며 쓰기 작업 또는 읽기를 포함하여 개인 디렉터리의 활동과 관련 될 수없는 변경 사항을 확인할 수 없습니다. .
최종적으로 그것에 대해 더 많이 알고 싶다면 또는이 파일 시스템을 테스트 할 수 있습니다. 다음 링크의 세부 사항.
출처 : https://research.kudelskisecurity.com/