ilan edildi Güncelleme Çerçevesi'nin yeni 1.0 sürümünün yayınlanması, daha çok TUF olarak bilinir ve güncellemeleri güvenli bir şekilde kontrol etmek ve indirmek için bir araç sağlayan bir çerçeve olarak karakterize edilir.
Projenin temel amacı, istemciyi tipik saldırılardan korumaktır. Dijital imzalar oluşturmak veya depoyu tehlikeye atmak için anahtarlara erişim kazandıktan sonra oluşturulan saldırganlar tarafından oluşturulan sahte güncellemelerin tanıtımına karşı koymak da dahil olmak üzere depolara ve altyapıya.
TUF Hakkında
proje bir dizi kitaplık, dosya formatı ve yardımcı program geliştirir mevcut uygulama güncelleme sistemlerine kolayca entegre edilebilen, yazılım geliştiriciler tarafından önemli bir güvenlik ihlali durumunda koruma sağlayan. TUF'u kullanmak için, gerekli meta verileri depoya eklemek ve istemci kodundaki dosyaları yüklemek ve doğrulamak için TUF'ta sağlanan prosedürleri entegre etmek yeterlidir.
TUF çerçevesi güncellemeyi kontrol etme, indirme görevini üstlenir.güncellemek için ve bütünlüğünü doğrulayın. Güncelleme yükleme sistemi, TUF tarafından doğrulanan ve yüklenen ek meta verilerle doğrudan kesişmez.
Uygulamalar ve güncelleme kurulum sistemleri ile entegrasyon için, meta verilere erişmek için düşük seviyeli bir API ve uygulama entegrasyonuna hazır yüksek seviyeli bir istemci API ngclient uygulaması sağlanır.
TUF'un karşı koyabileceği saldırılar arasında bunlar sürüm değiştirme yazılımdaki güvenlik açıklarına yönelik düzeltmeleri engellemek veya kullanıcıyı savunmasız bir önceki sürüme döndürmek için güncellemeler kisvesi altında ve ayrıca kötü amaçlı güncellemelerin tanıtımı güvenliği ihlal edilmiş bir anahtar kullanarak doğru bir şekilde imzalanmış, diski sonsuz bir güncelleme ile doldurmak gibi istemcilere DoS saldırıları gerçekleştirmiştir.
Altyapı ihlaline karşı koruma yazılım satıcısının durumu, veri havuzu veya uygulamanın durumuna ilişkin ayrı doğrulanabilir kayıtlar tutularak elde edilir.
Jardines de Viveros TUF tarafından doğrulanmış meta veriler, önemli bilgileri içerir güvenilir olabilir, dosya bütünlüğünü değerlendirmek için kriptografik karmalar, meta verileri doğrulamak için ek dijital imzalar, sürüm numarası bilgileri ve yaşam süresi bilgilerini kaydeder. Doğrulama için kullanılan anahtarların sınırlı bir ömrü vardır ve eski anahtarlarla imzalanmaya karşı koruma sağlamak için sürekli güncellenmesi gerekir.
Tüm sistemden ödün verme riskinin azaltılması, her bir tarafın yalnızca doğrudan sorumlu olduğu alanla sınırlı olduğu bölünmüş bir güven modelinin kullanılmasıyla sağlanır.
Sistem, kendi anahtarlarıyla bir roller hiyerarşisi kullanır, örneğin, kök rol, depodaki meta verilerden sorumlu rollerin anahtarlarını, güncellemelerin oluşum zamanı ve hedef derlemelerle ilgili verileri imzalar, sırayla, derlemelerden sorumlu rol, sertifikalandırma ile ilgili rolleri imzalar. teslim edilen dosyalar
Anahtar tehlikeye karşı korumak için, hızlı anahtar iptali ve değişimi için bir mekanizma kullanır. Her bir anahtar yalnızca gerekli minimum yetkileri toplar ve noter tasdik işlemleri birkaç anahtarın kullanılmasını gerektirir (tek bir anahtarın sızması, istemciye anında bir saldırıya izin vermez ve tüm sistemi tehlikeye atmak için, anahtarların ele geçirilmesi gerekir. Tüm Katılımcılar).
İstemci yalnızca önceden alınan dosyalardan sonra oluşturulan dosyaları kabul edebilir ve veriler yalnızca onaylı meta verilerde belirtilen boyuta göre indirilir.
yayınlanan versiyonu TUF 1.0.0 tamamen yeniden yazılmış bir referans uygulaması sunar ve kendi uygulamalarınızı oluştururken veya projelerinize entegre ederken kullanıma hazır bir örnek olarak kullanabileceğiniz TUF spesifikasyonunun stabilize edilmiş versiyonu.
Yeni uygulama önemli ölçüde daha az kod içeriyor (1400 yerine 4700 satır), bakımı daha kolaydır ve örneğin belirli ağ yığınları, depolama sistemleri veya şifreleme algoritmaları için destek eklemeniz gerekirse, kolayca genişletilebilir.
Proje, Linux Vakfı'nın himayesinde geliştirildi ve Docker, Fuchsia, Automotive Grade Linux, Bottlerocket ve PyPI gibi projelerde güncelleme teslimatının güvenliğini artırmak için kullanılır (PyPI'de indirme doğrulamasının ve meta verilerin eklenmesi bekleniyor).
Son olarak, bu konuda biraz daha fazla bilgi sahibi olmak ilginizi çekiyorsa, ayrıntılara bakabilirsiniz. Aşağıdaki bağlantıda.