Acum câteva zile compania Kudelski Security (specializat în efectuarea auditurilor de securitate) a dezvăluit lansarea sistemului de fișiere Oramfs cu implementarea tehnologiei ORAM (Random Oblivious the Access Machine) șiste sistemul de fișiere virtuale este conceput pentru a fi utilizat cu depozite de date la distanță și nu permite nimănui să urmărească structura scrierilor și, respectiv, a lecturilor din acestea. Combinată cu criptarea, tehnologia oferă cel mai înalt nivel de protecție a confidențialității datelor
Proiectul propune un modul FUSE pentru Linux cu implementarea stratului FS, care nu permite urmărirea structurii operațiilor de citire și scriere, codul Oramfs este scris în Rust și este licențiat sub GPLv3.
Despre Oramfs
Tehnologia ORAM presupune crearea unui alt strat pe lângă criptare, care nu permite determinarea naturii activității curente atunci când se lucrează cu date. De exemplu, în cazul utilizării criptării la stocarea datelor într-un serviciu terț, proprietarii acestui serviciu nu pot găsi singuri datele, dar pot determina ce blocuri sunt accesate și ce operațiuni sunt efectuate. SAURAM ascunde informații despre ce părți ale sistemului de fișiere sunt accesate și ce tip de operație se efectuează (citește sau scrie).
Când se ia în considerare confidențialitatea soluțiilor de stocare, criptarea singură nu este suficientă pentru a preveni scurgerea tiparului de acces. Spre deosebire de soluțiile tradiționale precum LUKS sau Bitlocker, o schemă ORAM împiedică un atacator să știe dacă efectuează operații de citire sau scriere și la ce părți ale sistemului de fișiere sunt accesate. Acest nivel de confidențialitate este atins prin efectuarea de cereri de acces suplimentare decât este necesar, amestecarea blocurilor care alcătuiesc stratul de stocare și scrierea și recriptarea datelor înainte și înapoi de fiecare dată, chiar și atunci când se efectuează doar o operație de citire. Evident, aceasta vine cu o pierdere de performanță, dar oferă o securitate suplimentară în comparație cu alte soluții.
Oramfs oferă un strat de sistem de fișiere universal care simplifică organizarea stocării datelor pe orice stocare externă. Datele sunt stocate criptate cu opțiunea de autentificare opțională. Algoritmii ChaCha8, AES-CTR și AES-GCM pot fi folosiți pentru criptare. Modelele de acces la citire și scriere sunt ascunse de schema de cale ORAM. În viitor, implementarea altor scheme este planificată, dar în forma lor actuală, dezvoltarea este încă în stadiul unui prototip, care nu este recomandat pentru utilizare în sistemele de producție.
Oramfs poate fi utilizat cu orice sistem de fișiere și nu depinde de tipul de stocare extern țintă: Fișierele pot fi sincronizate cu orice serviciu care poate fi montat ca director local (SSH, FTP, Google Drive, Amazon S3, Dropbox, Google Cloud Storage, Mail.ru Cloud, Yandex și alte servicii acceptate de rclone sau pentru care există Module FUSE de montat). Dimensiunea stocării nu este fixă și, dacă este nevoie de mai mult spațiu, dimensiunea ORAM poate crește dinamic.
Configurarea Oramfs se rezumă la definirea a două directoare, publice și private, care acționează ca server și client:
- Directorul public poate fi orice director din sistemul de fișiere local care este conectat la stocările externe prin montarea acestora prin SSHFS, FTPFS, Rclone și orice alt modul FUSE.
- Directorul privat este furnizat de modulul Oramfs FUSE și este proiectat să funcționeze direct cu fișierele stocate în ORAM. Directorul public conține un fișier cu imaginea ORAM.
Orice operație cu un director privat afectează starea acestui fișier imagine, dar acest fișier arată ca o cutie neagră pentru un observator extern, modificările în care nu pot fi asociate cu activitatea din directorul privat, inclusiv operația de scriere sau citire, nu pot fi determinate .
În cele din urmă dacă sunteți interesat să aflați mai multe despre asta sau puteți testa acest sistem de fișiere, puteți verifica detaliile din următorul link.
Fuente: https://research.kudelskisecurity.com/