Файловая система с технологией ORAM
Международная компания по кибербезопасности Kudelski Security выпустила исходный код файловой системы Oramfs, в которой реализована технология ORAM (Oblivious Random Access Machine). Это своего рода дополнительный уровень защиты поверх любой Unix-совместимой файловой системы, который позволяет вам обеспечить более высокий уровень безопасности. конфиденциальность при работе с данными по сравнению с обыденностью шифрование.
Oramfs позволяет создавать хранилища данных, где от посторонних глаз скрыт не только контент, но и характер доступа к нему. Например, если разместить Oramfs в публичном облаке, компания, владеющая сервисом, не сможет определить, к каким файлам в разное время обращается пользователь, и даже отличить операции чтения и записи друг от друга. Сокрытие этой информации, по мнению разработчиков проекта, способствует повышению уровня безопасности пользовательских данных.
Oramfs написан на Rust, что, как отмечают разработчики, положительно сказывается на производительности программы и позволяет избежать ошибок, связанных с управлением памятью. Источник Oramfs размещается на компьютерных проектах Github под бесплатной лицензией. GPLv3 и доступен бесплатно для всех.
Разработчики подготовили модуль FUSE для Linux, реализующий функциональность Oramfs. На соответствующей странице Github указано, что продукт еще не готов к использованию в «боевых» условиях. Создатели настоятельно рекомендуют сделать резервную копию ваших данных перед началом работы с Oramfs.
Как это работает
По словам разработчиков, Oramfs можно использовать совместно со всеми поддерживаемыми файловыми системами в современных системах. Unix-подобный системы. По умолчанию используется ext4, базовая файловая система для большинства современных дистрибутивов.
Oramfs можно развернуть на основе сервисов, предоставляющих репозитории, которые можно смонтировать как локальный каталог. Такую возможность предлагают, например, практически все популярные крупные облачные компании. поставщики.
Oramfs, согласно проектной документации, поддерживает криптографические алгоритмы ChaCha8, AES-CTR, AES-GCM.
Схема сокрытия модели по умолчанию — это Path ORAM, чрезвычайно простой алгоритм, подходящий для работы в условиях сильно ограниченного размера хранилища. Path ORAM был разработан в начале 2012 года международной командой ученых из ведущих университетов мира.
В процессе настройки Oramfs на локальной машине пользователя работает линукс создаются две директории: приватная (private) и публичная (public). Аудитория будет использоваться в качестве точки подключения удаленный хранилище, в нем будут находиться файлы защищенного образа Oramfs, каждый из которых является отдельным блоком файловой системы.
Через приватный каталог, после ввода заранее определенной парольной фразы, будет осуществляться все взаимодействие пользователя с данными в этом каталоге. хранилище, который предоставляется через соответствующий модуль FUSE. Модуль автоматически собирает разрозненные блоки из публичного каталога в единое виртуальное петлевое устройство, с которым работает пользователь.
Всякий раз, когда вы получаете доступ к данным через частный каталог, файлы изображений Oramfs преобразуются, и содержащиеся в них блоки информации, скорее всего, перепутываются. Затем зашифрованные файлы изображений загружаются в удаленное хранилище через общий каталог.
Таким образом, сокрытие шаблонов чтения/записи данных на удаленном хранилище от его владельцев/администраторов или предполагаемых злоумышленники. Инструмент Oramfs может понравиться, например, пользователям, которые не полностью доверяют общедоступным облачно поставщиков, но по тем или иным причинам обязаны пользоваться их услугами.
Жертвовать скоростью ради безопасности
Учитывая, что любой доступ к данным в защищенном хранилище Oramfs приводит к ряду операций чтения/записи, выполняемых Oramfs «под капотом», пользователю придется терпеть крайне низкую производительность хранилища.
Так, по данным, опубликованным на Страницы на гитхабе проект, чтение файла размером 10 МБ с помощью Oramfs занимает около секунды, 25 МБ — около трех секунд. Скорость записи еще ниже: 15 секунд для файла размером 10 МБ и 50 секунд для файла размером 25 МБ.
Однако, если опираться на результаты бенчмарка, предоставленного разработчиками Oramfs, их детище все же значительно превосходит производительность, демонстрируемую UtahFS с поддержкой ORAM компании. Облачно– девять и два раза в операциях чтения и записи соответственно.
Разработчики также обращают внимание потенциальных пользователей на то, что использование Oramfs может негативно сказаться на сроке службы. твердое состояние (SSD). Причина тому — все та же чрезмерная активность диска в фоновом режиме при каждом обращении к удаленному хранилищу.
