Det blev annonceret udgivelse af den nye version 1.0 af The Update Framework, bedre kendt som TUF og som er kendetegnet ved at være en ramme, der giver et middel til at tjekke og downloade opdateringer sikkert.
Hovedformålet med projektet er at beskytte klienten mod typiske angreb til depoter og infrastruktur, herunder imødegåelse af fremme af falske opdateringer af angribere, der er oprettet efter at have fået adgang til nøgler til at generere digitale signaturer eller kompromittere depotet.
Om TUF
Projektet udvikler en række biblioteker, filformater og hjælpeprogrammer som nemt kan integreres i eksisterende applikationsopdateringssystemer, hvilket giver beskyttelse i tilfælde af nøglekompromittering fra softwareudviklere. For at bruge TUF er det nok at tilføje de nødvendige metadata til depotet og integrere procedurerne i TUF for at indlæse og verificere filer i klientkoden.
TUF-rammen overtager opgaven med at søge efter en opdatering, downloadeat opdatere og verificere dens integritet. Opdateringsinstallationssystemet krydser ikke direkte med yderligere metadata, som verificeres og uploades af TUF.
Til integration med applikationer og opdateringsinstallationssystemer leveres en lavniveau-API til adgang til metadata og implementering af en klient-API-ngklient på højt niveau, klar til applikationsintegration.
Blandt de angreb, som TUF kan imødegå er versionssubstitution under dække af opdateringer for at blokere rettelser til sårbarheder i softwaren eller vende tilbage til en tidligere sårbar version, samt promovering af ondsindede opdateringer korrekt signeret ved hjælp af en kompromitteret nøgle, der udfører DoS-angreb på klienter, såsom at fylde disken med en endeløs opdatering.
Beskyttelse mod kompromittering af infrastruktur af softwareleverandøren opnås ved at vedligeholde separate verificerbare optegnelser over lagerets eller applikationens tilstand.
masse TUF-verificerede metadata inkluderer nøgleoplysninger der kan stoles på, kryptografiske hashes til at vurdere filens integritet, yderligere digitale signaturer til at verificere metadata, versionsnummeroplysninger og registrere livstidsoplysninger. De nøgler, der bruges til verifikation, har en begrænset levetid og kræver konstant opdatering for at beskytte mod signering med gamle nøgler.
Reduktion af risikoen for at kompromittere hele systemet opnås gennem brugen af en split tillidsmodel, hvor hver part kun er begrænset til det område, den er direkte ansvarlig for.
Systemet bruger et hierarki af roller med deres egne nøgler, f.eks. signerer rodrollen nøglerne for rollerne, der er ansvarlige for metadataene i depotet, data om tidspunktet for dannelsen af opdateringer og målbuilds, igen underskriver den rolle, der er ansvarlig for builds, rollerne forbundet med certificeringen af afleverede filer.
For at beskytte mod nøglekompromis, bruger en mekanisme til hurtig tilbagekaldelse og udskiftning af nøgler. Hver enkelt nøgle koncentrerer kun de minimale nødvendige beføjelser, og notariseringsoperationer kræver brug af flere nøgler (lækage af en enkelt nøgle tillader ikke et øjeblikkeligt angreb på klienten, og for at kompromittere hele systemet, er det nødvendigt at fange nøglerne til alle deltagere).
Klienten kan kun acceptere filer, der er oprettet senere end tidligere modtagne filer, og data downloades kun i henhold til størrelsen angivet i de certificerede metadata.
Den offentliggjorte version af TUF 1.0.0 tilbyder en fuldstændig omskrevet referenceimplementering og stabiliseret version af TUF-specifikationen, som du kan bruge som et "out-of-the-box" eksempel, når du opretter dine egne implementeringer eller integrerer i dine projekter.
Den nye implementering indeholder væsentligt mindre kode (1400 linjer i stedet for 4700), er det nemmere at vedligeholde og kan nemt udvides, for eksempel hvis du skal tilføje understøttelse af specifikke netværksstakke, lagersystemer eller krypteringsalgoritmer.
Projektet er udviklet i regi af Linux Fonden og bruges til at forbedre sikkerheden ved levering af opdateringer i projekter som Docker, Fuchsia, Automotive Grade Linux, Bottlerocket og PyPI (inkludering af downloadverifikation og metadata i PyPI forventes snart).
Endelig, hvis du er interesseret i at kunne vide lidt mere om det, kan du konsultere detaljerne I det følgende link.