Das wurde bekannt gegeben Veröffentlichung der neuen Version 1.0 von The Update Framework, besser bekannt als TUF und das sich dadurch auszeichnet, dass es sich um ein Framework handelt, mit dem Updates sicher überprüft und heruntergeladen werden können.
Das Hauptziel des Projekts ist es, den Client vor typischen Angriffen zu schützen auf Repositorys und Infrastruktur, einschließlich der Bekämpfung der Förderung gefälschter Updates durch Angreifer, die erstellt werden, nachdem sie sich Zugang zu Schlüsseln verschafft haben, um digitale Signaturen zu generieren oder das Repository zu kompromittieren.
Über TUF
Das Projekt entwickelt eine Reihe von Bibliotheken, Dateiformaten und Dienstprogrammen die einfach in bestehende Anwendungsaktualisierungssysteme integriert werden können und Schutz im Falle einer Schlüsselkompromittierung durch Softwareentwickler bieten. Um TUF zu verwenden, reicht es aus, die erforderlichen Metadaten zum Repository hinzuzufügen und die in TUF bereitgestellten Verfahren zum Laden und Verifizieren von Dateien in den Client-Code zu integrieren.
Das TUF-Framework übernimmt die Suche nach einem Update, das Herunterladen deraktualisieren und seine Integrität überprüfen. Das Update-Installationssystem überschneidet sich nicht direkt mit zusätzlichen Metadaten, die von TUF verifiziert und hochgeladen werden.
Für die Integration mit Anwendungen und Aktualisierungsinstallationssystemen werden eine Low-Level-API für den Zugriff auf Metadaten und die Implementierung einer High-Level-Client-API ngclient bereitgestellt, die für die Anwendungsintegration bereit ist.
Unter den Angriffen, die TUF abwehren kann sind die Versionsersetzung unter dem Deckmantel von Updates, um die Behebung von Schwachstellen in der Software zu blockieren oder den Benutzer auf eine frühere anfällige Version zurückzusetzen, sowie die Förderung bösartiger Updates mit einem kompromittierten Schlüssel korrekt signiert, DoS-Angriffe auf Clients durchführen, z. B. die Festplatte mit einem Endlos-Update füllen.
Schutz vor Beeinträchtigung der Infrastruktur des Softwareanbieters wird erreicht, indem separate überprüfbare Aufzeichnungen über den Zustand des Repositorys oder der Anwendung geführt werden.
Die TUF-verifizierte Metadaten enthalten Schlüsselinformationen denen vertraut werden kann, kryptografische Hashes zur Bewertung der Dateiintegrität, zusätzliche digitale Signaturen zur Überprüfung von Metadaten, Informationen zur Versionsnummer und zur Aufzeichnung von Lebensdauerinformationen. Die zur Verifizierung verwendeten Schlüssel haben eine begrenzte Lebensdauer und müssen ständig aktualisiert werden, um vor dem Signieren mit alten Schlüsseln zu schützen.
Die Reduzierung des Risikos einer Kompromittierung des gesamten Systems wird durch die Verwendung eines Split-Trust-Modells erreicht, bei dem jede Partei nur auf den Bereich beschränkt ist, für den sie direkt verantwortlich ist.
Das System verwendet eine Hierarchie von Rollen mit eigenen Schlüsseln, Beispielsweise signiert die Root-Rolle die Schlüssel für die Rollen, die für die Metadaten im Repository verantwortlich sind, Daten über den Zeitpunkt der Bildung von Updates und Ziel-Builds, die Rolle, die für die Builds verantwortlich ist, signiert wiederum die Rollen, die mit der Zertifizierung verbunden sind gelieferte Dateien.
Zum Schutz vor Schlüsselkompromittierung verwendet einen Mechanismus zum schnellen Widerrufen und Ersetzen von Schlüsseln. Jeder einzelne Schlüssel konzentriert nur die minimal erforderlichen Befugnisse, und Beglaubigungsvorgänge erfordern die Verwendung mehrerer Schlüssel (das Lecken eines einzelnen Schlüssels erlaubt keinen sofortigen Angriff auf den Client, und um das gesamte System zu kompromittieren, ist es notwendig, die Schlüssel zu erfassen von alle Teilnehmer).
Der Client kann nur Dateien akzeptieren, die später als zuvor empfangene Dateien erstellt wurden, und Daten werden nur gemäß der in den zertifizierten Metadaten angegebenen Größe heruntergeladen.
Die veröffentlichte Version von TUF 1.0.0 bietet eine komplett neu geschriebene Referenzimplementierung und stabilisierte Version der TUF-Spezifikation, die Sie als sofort einsatzbereites Beispiel verwenden können, wenn Sie Ihre eigenen Implementierungen erstellen oder in Ihre Projekte integrieren.
Die neue Implementierung enthält deutlich weniger Code (1400 Zeilen statt 4700) ist es einfacher zu warten und kann problemlos erweitert werden, wenn Sie beispielsweise Unterstützung für bestimmte Netzwerkstacks, Speichersysteme oder Verschlüsselungsalgorithmen hinzufügen müssen.
Das Projekt wird unter der Schirmherrschaft der Linux Foundation entwickelt und wird verwendet, um die Sicherheit der Updatebereitstellung in Projekten wie Docker, Fuchsia, Automotive Grade Linux, Bottlerocket und PyPI zu verbessern (die Aufnahme von Download-Verifizierung und Metadaten in PyPI wird in Kürze erwartet).
Wenn Sie daran interessiert sind, etwas mehr darüber zu erfahren, können Sie schließlich die Details einsehen im folgenden Link.