Oramfs, um sistema de arquivos virtual totalmente criptografado

Alguns dias atrás a empresa Kudelski Security (especializado na realização de auditorias de segurança) revelou o lançamento do sistema de arquivos Oramfs com a implementação da tecnologia ORAM (Random Oblivious the Access Machine), este sistema de arquivo virtual é projetado para uso com armazenamentos de dados remotos e não permite que ninguém rastreie a estrutura das gravações e leituras deles, respectivamente. Combinada com criptografia, a tecnologia oferece o mais alto nível de proteção de privacidade de dados

O projeto propõe um módulo FUSE para Linux com a implementação da camada FS, que não permite rastrear a estrutura das operações de leitura e escrita, o código Oramfs é escrito em Rust e está licenciado sob GPLv3.

Sobre a Oramfs

A tecnologia ORAM envolve a criação de outra camada além da criptografia, o que não permite determinar a natureza da atividade atual ao trabalhar com dados. Por exemplo, no caso de usar criptografia ao armazenar dados em um serviço de terceiros, os proprietários desse serviço não podem encontrar os dados por si próprios, mas podem determinar quais blocos são acessados ​​e quais operações são realizadas. OURAM esconde informações sobre quais partes do sistema de arquivos estão sendo acessadas e que tipo de operação está sendo realizada (ler ou escrever).

Ao considerar a privacidade das soluções de armazenamento, a criptografia por si só não é suficiente para evitar o vazamento de padrões de acesso. Ao contrário das soluções tradicionais como LUKS ou Bitlocker, um esquema ORAM evita que um invasor saiba se deve realizar operações de leitura ou gravação e a quais partes do sistema de arquivos estão sendo acessadas. Esse nível de privacidade é obtido fazendo solicitações de acesso adicionais do que o necessário, misturando os blocos que constituem a camada de armazenamento e gravando e criptografando novamente os dados de um lado para outro a cada vez, mesmo quando apenas uma operação de leitura é executada. Obviamente, isso vem com uma perda de desempenho, mas fornece segurança adicional em comparação com outras soluções.

O Oramfs fornece uma camada universal de sistema de arquivos que simplifica a organização do armazenamento de dados em qualquer armazenamento externo. Os dados são armazenados criptografados com a opção de autenticação opcional. Os algoritmos ChaCha8, AES-CTR e AES-GCM podem ser usados ​​para criptografia. Os padrões de acesso de leitura e gravação são ocultados pelo esquema de caminho ORAM. No futuro, está prevista a implementação de outros esquemas, mas na sua forma atual, o desenvolvimento ainda está em fase de protótipo, o que não é recomendado para uso em sistemas de produção.

Oramfs pode ser usado com qualquer sistema de arquivos e não depende do tipo de armazenamento externo de destino: Os arquivos podem ser sincronizados com qualquer serviço que possa ser montado como um diretório local (SSH, FTP, Google Drive, Amazon S3, Dropbox, Google Cloud Storage, Mail.ru Cloud, Yandex e outros serviços suportados por rclone ou para os quais haja Módulos FUSE para montar). O tamanho do armazenamento não é fixo e, se mais espaço for necessário, o tamanho do ORAM pode crescer dinamicamente.

A configuração do Oramfs resume-se a definir dois diretórios, público e privado, que atuam como servidor e cliente:

  • O diretório público pode ser qualquer diretório no sistema de arquivos local conectado a armazenamentos externos, montando-os via SSHFS, FTPFS, Rclone e qualquer outro módulo FUSE.
  • O diretório privado é fornecido pelo módulo Oramfs FUSE e é projetado para trabalhar diretamente com arquivos armazenados no ORAM. O diretório público contém um arquivo com a imagem ORAM.

Qualquer operação com um diretório privado afeta o estado deste arquivo de imagem, mas este arquivo parece uma caixa preta para um observador externo, as alterações nas quais não podem ser associadas à atividade no diretório privado, incluindo a operação de gravação ou leitura, não podem ser determinadas .

Finalmente se você estiver interessado em saber mais sobre isso ou ser capaz de testar este sistema de arquivos, você pode verificar os detalhes no link a seguir.

fonte: https://research.kudelskisecurity.com/


O conteúdo do artigo segue nossos princípios de Ética editorial. Para relatar um erro, clique Clique aqui.

Seja o primeiro a comentar

Deixe um comentário

Seu endereço de email não será publicado.

*

*

  1. Responsável pelos dados: Miguel Ángel Gatón
  2. Finalidade dos dados: Controle de SPAM, gerenciamento de comentários.
  3. Legitimação: Seu consentimento
  4. Comunicação de dados: Os dados não serão comunicados a terceiros, exceto por obrigação legal.
  5. Armazenamento de dados: banco de dados hospedado pela Occentus Networks (UE)
  6. Direitos: A qualquer momento você pode limitar, recuperar e excluir suas informações.

bool (verdadeiro)