Oramfs, pilnībā šifrēta virtuālā failu sistēma

Pirms dažām dienām uzņēmums Kudelski drošība (specializējies drošības auditu veikšanā) izlaida Oramfs failu sistēmas laidienu ar ORAM (Random Oblivious the Access Machine) tehnoloģijas ieviešanu unste virtuālā failu sistēma ir paredzēta lietošanai attālos datu krātuvēs un tas nevienam neļauj attiecīgi izsekot uzrakstīto un lasāmo struktūru. Kopā ar šifrēšanu tehnoloģija nodrošina visaugstāko datu privātuma aizsardzību

Projektā tiek piedāvāts FUSE modulis operētājsistēmai Linux ar FS slāņa ieviešanu, kas neļauj izsekot lasīšanas un rakstīšanas operāciju struktūrai, Oramfs kods ir ierakstīts Rust un ir licencēts saskaņā ar GPLv3.

Par Oramfu

ORAM tehnoloģija ietver šifrēšanai papildus cita slāņa izveidošanu, kas neļauj noteikt pašreizējās darbības raksturu, strādājot ar datiem. Piemēram, šifrēšanas izmantošanas gadījumā, uzglabājot datus trešās puses pakalpojumā, šī pakalpojuma īpašnieki paši nevar atrast datus, bet var noteikt, kuriem blokiem piekļūst un kādas darbības veic. VAIRAM slēpj informāciju par to, kurām failu sistēmas daļām tiek piekļūts un kāda veida darbība tiek veikta (lasīt vai rakstīt).

Apsverot uzglabāšanas risinājumu privātumu, ar šifrēšanu vien nepietiek, lai novērstu piekļuves modeļa noplūdi. Atšķirībā no tradicionālajiem risinājumiem, piemēram, LUKS vai Bitlocker, ORAM shēma neļauj uzbrucējam uzzināt, vai veikt lasīšanas vai rakstīšanas darbības un kurām failu sistēmas daļām tiek piekļūts. Šis privātuma līmenis tiek sasniegts, veicot papildu piekļuves pieprasījumus, nekā nepieciešams, sajaucot blokus, kas veido glabāšanas slāni, un katru reizi rakstot un atkārtoti šifrējot datus turp un atpakaļ, pat ja tiek veikta tikai lasīšanas operācija. Acīmredzot tas notiek ar veiktspējas zudumu, taču tas nodrošina papildu drošību salīdzinājumā ar citiem risinājumiem.

Oramfs nodrošina universālu failu sistēmas slāni, kas vienkāršo datu glabāšanas organizēšanu jebkurā ārējā krātuvē. Dati tiek glabāti šifrēti, izmantojot papildu autentifikācijas opciju. Šifrēšanai var izmantot algoritmus ChaCha8, AES-CTR un AES-GCM. Lasīšanas un rakstīšanas piekļuves modeļus paslēpj ORAM ceļa shēma. Nākotnē tiek plānota citu shēmu ieviešana, taču to pašreizējā formā izstrāde joprojām ir prototipa stadijā, kuru nav ieteicams izmantot ražošanas sistēmās.

Oramfs var izmantot ar jebkuru failu sistēmu un nav atkarīgs no mērķa ārējās atmiņas veida: Failus var sinhronizēt ar jebkuru pakalpojumu, kuru var pievienot kā lokālo direktoriju (SSH, FTP, Google disks, Amazon S3, Dropbox, Google Cloud Storage, Mail.ru Cloud, Yandex un citiem pakalpojumiem, kurus atbalsta rclone vai kuriem ir FUSE moduļi montāžai). Krātuves lielums nav noteikts, un, ja ir nepieciešams vairāk vietas, ORAM izmērs var dinamiski pieaugt.

Oramfs konfigurācija nosaka divus publiskos un privātos direktorijus, kas darbojas kā serveris un klients:

  • Publiskais direktorijs var būt jebkurš vietējās failu sistēmas direktorijs, kas ir savienots ar ārējām krātuvēm, tos piestiprinot, izmantojot SSHFS, FTPFS, Rclone un jebkuru citu FUSE moduli.
  • Privāto direktoriju nodrošina Oramfs FUSE modulis, un tas ir paredzēts darbam tieši ar ORAM saglabātajiem failiem. Publiskajā direktorijā ir fails ar ORAM attēlu.

Jebkura darbība ar privātu direktoriju ietekmē šī attēla faila stāvokli, taču šis fails ārējam novērotājam izskatās kā melns lodziņš, un izmaiņas, kuras nevar saistīt ar darbību privātajā direktorijā, ieskaitot rakstīšanas darbību vai lasīšanu, nevar noteikt .

Beidzot ja jūs interesē uzzināt vairāk par to vai arī varat pārbaudīt šo failu sistēmu, varat to pārbaudīt sīkāku informāciju šajā saitē.

Fuente: https://research.kudelskisecurity.com/


Raksta saturs atbilst mūsu principiem redakcijas ētika. Lai ziņotu par kļūdu, noklikšķiniet uz šeit.

Esi pirmais, kas komentārus

Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti ar *

*

*

  1. Atbildīgais par datiem: Migels Ángels Gatóns
  2. Datu mērķis: SPAM kontrole, komentāru pārvaldība.
  3. Legitimācija: jūsu piekrišana
  4. Datu paziņošana: Dati netiks paziņoti trešām personām, izņemot juridiskus pienākumus.
  5. Datu glabāšana: datu bāze, ko mitina Occentus Networks (ES)
  6. Tiesības: jebkurā laikā varat ierobežot, atjaunot un dzēst savu informāciju.