Bolo oznámené vydanie novej verzie 1.0 The Update Framework, známejšie ako TUF a ktorý sa vyznačuje tým, že ide o rámec, ktorý poskytuje prostriedky na bezpečnú kontrolu a sťahovanie aktualizácií.
Hlavným cieľom projektu je chrániť klienta pred typickými útokmi na úložiská a infraštruktúru, vrátane boja proti propagácii falošných aktualizácií útočníkmi vytvorených po získaní prístupu ku kľúčom na generovanie digitálnych podpisov alebo kompromitáciu úložiska.
O TUF
Projekt vyvíja množstvo knižníc, formátov súborov a pomôcok ktoré možno ľahko integrovať do existujúcich systémov aktualizácie aplikácií, čím poskytuje ochranu v prípade kľúčového kompromisu zo strany vývojárov softvéru. Ak chcete použiť TUF, stačí pridať potrebné metadáta do úložiska a integrovať postupy poskytované v TUF na načítanie a overenie súborov v kóde klienta.
Rámec TUF preberá úlohu kontroly aktualizácií a sťahovaniaaktualizovať a overiť jeho integritu. Inštalačný systém aktualizácie sa priamo neprelína s ďalšími metadátami, ktoré overuje a nahráva TUF.
Na integráciu s aplikáciami a inštalačnými systémami aktualizácií je k dispozícii nízkoúrovňové API na prístup k metaúdajom a implementácia vysokoúrovňového klienta API ngclient, pripraveného na integráciu aplikácií.
Medzi útokmi, ktorým môže TUF čeliť sú náhrada verzie pod rúškom aktualizácií na blokovanie opráv zraniteľných miest v softvéri alebo návrat používateľa k predchádzajúcej zraniteľnej verzii, ako aj propagácia škodlivých aktualizácií správne podpísané pomocou kompromitovaného kľúča, vykonávanie DoS útokov na klientov, ako je napríklad zaplnenie disku nekonečnou aktualizáciou.
Ochrana proti narušeniu infraštruktúry dodávateľa softvéru sa dosahuje udržiavaním samostatných overiteľných záznamov o stave úložiska alebo aplikácie.
undefined Metadáta overené TUF obsahujú kľúčové informácie ktorým možno dôverovať, kryptografické hash na posúdenie integrity súboru, dodatočné digitálne podpisy na overenie metadát, informácie o čísle verzie a informácie o životnosti záznamu. Kľúče používané na overenie majú obmedzenú životnosť a vyžadujú neustálu aktualizáciu na ochranu pred podpisom pomocou starých kľúčov.
Zníženie rizika ohrozenia celého systému sa dosahuje použitím modelu rozdeleného trustu, v ktorom je každá strana obmedzená len na oblasť, za ktorú je priamo zodpovedná.
Systém využíva hierarchiu rolí s vlastnými kľúčmi, Rola root napríklad podpisuje kľúče pre roly zodpovedné za metadáta v úložisku, údaje o čase vytvorenia aktualizácií a cieľové zostavy, rola zodpovedná za zostavy zase podpisuje roly spojené s certifikáciou doručené súbory.
Na ochranu pred kľúčovým kompromisom používa mechanizmus rýchleho odvolania a výmeny kľúča. Každý jednotlivý kľúč sústreďuje len minimálne potrebné právomoci a notárske operácie vyžadujú použitie viacerých kľúčov (únik jedného kľúča neumožňuje okamžitý útok na klienta a pre kompromitáciu celého systému je potrebné zachytiť kľúče všetci účastníci).
Klient môže akceptovať iba súbory vytvorené neskôr ako predtým prijaté súbory a údaje sa sťahujú iba podľa veľkosti uvedenej v certifikovaných metaúdajoch.
Zverejnená verzia TUF 1.0.0 ponúka úplne prepísanú referenčnú implementáciu a stabilizovaná verzia špecifikácie TUF, ktorú môžete použiť ako hotový príklad pri vytváraní vlastných implementácií alebo integrácii do vašich projektov.
Nová implementácia obsahuje podstatne menej kódu (1400 riadkov namiesto 4700), je jednoduchšia na údržbu a možno ju jednoducho rozšíriť, napríklad ak potrebujete pridať podporu pre špecifické sieťové zásobníky, úložné systémy alebo šifrovacie algoritmy.
Projekt je vyvinutý pod záštitou Linux Foundation a používa sa na zlepšenie bezpečnosti poskytovania aktualizácií v projektoch ako Docker, Fuchsia, Automotive Grade Linux, Bottlerocket a PyPI (čoskoro sa očakáva zahrnutie overovania sťahovania a metadát do PyPI).
Nakoniec, ak máte záujem dozvedieť sa o ňom trochu viac, môžete si prekonzultovať podrobnosti Na nasledujúcom odkaze.