Beberapa hari yang lalu syarikat itu Keselamatan Kudelski (khusus dalam menjalankan audit keselamatan) melancarkan pelancaran sistem fail Oramfs dengan pelaksanaan teknologi ORAM (Random Oblivious the Access Machine), danSTE sistem fail maya direka untuk digunakan dengan kedai data jauh dan tidak membenarkan sesiapa sahaja untuk mengesan struktur tulisan dan pembacaan dari mereka, masing-masing. Dikombinasikan dengan enkripsi, teknologi ini memberikan tahap perlindungan privasi data tertinggi
Projek ini mencadangkan modul FUSE untuk Linux dengan pelaksanaan lapisan FS, yang tidak memungkinkan untuk mengesan struktur operasi baca dan tulis, kod Oramfs ditulis dalam Rust dan dilesenkan di bawah GPLv3.
Mengenai Oramfs
Teknologi ORAM melibatkan penciptaan lapisan lain selain enkripsi, yang tidak memungkinkan untuk menentukan sifat aktiviti semasa ketika bekerja dengan data. Sebagai contoh, dalam hal menggunakan enkripsi ketika menyimpan data dalam perkhidmatan pihak ketiga, pemilik perkhidmatan ini tidak dapat menemukan data itu sendiri, tetapi dapat menentukan blok mana yang diakses dan operasi apa yang dilakukan. ATAURAM menyembunyikan maklumat mengenai bahagian sistem fail yang sedang diakses dan jenis operasi apa yang sedang dilakukan (baca atau tulis).
Apabila mempertimbangkan privasi penyelesaian penyimpanan, penyulitan sahaja tidak mencukupi untuk mengelakkan kebocoran corak akses. Tidak seperti penyelesaian tradisional seperti LUKS atau Bitlocker, skema ORAM menghalang penyerang untuk mengetahui sama ada melakukan operasi membaca atau menulis dan bahagian mana dari sistem fail yang diakses. Tahap privasi ini dicapai dengan membuat permintaan akses tambahan daripada yang diperlukan, mencampurkan blok yang membentuk lapisan penyimpanan, dan menulis dan menyulitkan kembali data berulang-ulang setiap kali, walaupun hanya operasi baca yang dilakukan. Jelas ini datang dengan penurunan prestasi, tetapi memberikan keselamatan tambahan berbanding dengan penyelesaian lain.
Oramfs menyediakan lapisan sistem fail universal yang mempermudah organisasi penyimpanan data di mana-mana storan luaran. Data disimpan dienkripsi dengan pilihan pengesahan pilihan. Algoritma ChaCha8, AES-CTR, dan AES-GCM dapat digunakan untuk enkripsi. Corak akses baca dan tulis disembunyikan oleh skema laluan ORAM. Di masa depan, pelaksanaan skema lain dirancang, tetapi dalam bentuknya sekarang, pengembangan masih dalam tahap prototaip, yang tidak disarankan untuk digunakan dalam sistem produksi.
Oramfs boleh digunakan dengan sistem fail apa pun dan tidak bergantung pada jenis storan luaran sasaran: Fail boleh diselaraskan dengan perkhidmatan apa pun yang dapat dipasang sebagai direktori tempatan (SSH, FTP, Google Drive, Amazon S3, Dropbox, Google Cloud Storage, Mail.ru Cloud, Yandex dan perkhidmatan lain yang disokong oleh rclone atau yang ada Modul FUSE untuk dipasang). Ukuran penyimpanan tidak tetap, dan jika lebih banyak ruang diperlukan, ukuran ORAM dapat tumbuh secara dinamis.
Konfigurasi Oramfs mendefinisikan dua direktori, awam dan swasta, yang bertindak sebagai pelayan dan pelanggan:
- Direktori awam boleh menjadi direktori apa pun pada sistem fail tempatan yang disambungkan ke penyimpanan luaran dengan memasangnya melalui SSHFS, FTPFS, Rclone, dan modul FUSE lain.
- Direktori peribadi disediakan oleh modul Oramfs FUSE dan direka untuk berfungsi secara langsung dengan fail yang disimpan di ORAM. Direktori awam mengandungi fail dengan gambar ORAM.
Sebarang operasi dengan direktori peribadi mempengaruhi keadaan fail gambar ini, tetapi fail ini kelihatan seperti kotak hitam kepada pemerhati luaran, perubahan yang tidak dapat dikaitkan dengan aktiviti di direktori pribadi, termasuk operasi menulis atau membaca, tidak dapat ditentukan .
Akhirnya sekiranya anda berminat untuk mengetahui lebih lanjut mengenainya atau dapat menguji sistem fail ini, anda boleh menyemak perinciannya di pautan berikut.
Fuente: https://research.kudelskisecurity.com/