Nó đã được công bố phát hành phiên bản 1.0 mới của Khung Cập nhật, hay còn được gọi là TUF và được đặc trưng bởi là một khuôn khổ cung cấp phương tiện để kiểm tra và tải xuống các bản cập nhật một cách an toàn.
Mục tiêu chính của dự án là bảo vệ máy khách khỏi các cuộc tấn công điển hình tới các kho lưu trữ và cơ sở hạ tầng, bao gồm cả việc chống lại việc quảng bá các bản cập nhật giả mạo do những kẻ tấn công tạo ra sau khi giành được quyền truy cập vào các khóa để tạo chữ ký số hoặc xâm phạm hệ thống lưu trữ.
Về TUF
Dự án phát triển một số thư viện, định dạng tệp và tiện ích có thể dễ dàng tích hợp vào các hệ thống cập nhật ứng dụng hiện có, cung cấp khả năng bảo vệ trong trường hợp bị các nhà phát triển phần mềm xâm phạm chính. Để sử dụng TUF, chỉ cần thêm siêu dữ liệu cần thiết vào kho lưu trữ và nhúng các thủ tục được cung cấp trong TUF để tải lên và xác minh tệp vào mã máy khách.
Khung TUF đảm nhận nhiệm vụ kiểm tra bản cập nhật, tải xuốngcập nhật và xác minh tính toàn vẹn của nó. Hệ thống cài đặt bản cập nhật không giao nhau trực tiếp với siêu dữ liệu bổ sung, được xác minh và tải lên bởi TUF.
Để tích hợp với các ứng dụng và cập nhật hệ thống cài đặt, một API cấp thấp để truy cập siêu dữ liệu và triển khai ngclient API ứng dụng khách cấp cao, sẵn sàng cho việc tích hợp ứng dụng, được cung cấp.
Trong số các cuộc tấn công mà TUF có thể chống lại là thay thế phiên bản dưới chiêu bài cập nhật để chặn các bản sửa lỗi cho các lỗ hổng trong phần mềm hoặc hoàn nguyên người dùng về phiên bản dễ bị tấn công trước đó, cũng như quảng cáo các bản cập nhật độc hại được ký chính xác bằng cách sử dụng khóa bị xâm phạm, thực hiện các cuộc tấn công DoS vào máy khách, chẳng hạn như lấp đầy đĩa bằng bản cập nhật vô tận.
Bảo vệ chống lại sự xâm phạm cơ sở hạ tầng của nhà cung cấp phần mềm đạt được bằng cách duy trì các bản ghi có thể xác minh riêng biệt về trạng thái của kho lưu trữ hoặc ứng dụng.
Các Siêu dữ liệu được TUF xác minh bao gồm thông tin chính có thể tin cậy được, hàm băm mật mã để đánh giá tính toàn vẹn của tệp, chữ ký số bổ sung để xác minh siêu dữ liệu, thông tin số phiên bản và ghi lại thông tin lâu dài. Các khóa được sử dụng để xác minh có thời hạn sử dụng hạn chế và yêu cầu cập nhật liên tục để bảo vệ khỏi việc ký bằng các khóa cũ.
Giảm rủi ro làm ảnh hưởng đến toàn bộ hệ thống đạt được thông qua việc sử dụng mô hình ủy thác phân tách, trong đó mỗi bên chỉ bị giới hạn trong phạm vi mà mình chịu trách nhiệm trực tiếp.
Hệ thống sử dụng một hệ thống phân cấp vai trò với các khóa riêng của chúng, ví dụ: vai trò gốc ký các khóa cho các vai trò chịu trách nhiệm về siêu dữ liệu trong kho lưu trữ, dữ liệu về thời gian hình thành các bản cập nhật và bản dựng đích, đến lượt nó, vai trò chịu trách nhiệm cho bản dựng ký hiệu các vai trò liên quan đến chứng nhận của các tệp đã giao.
Để bảo vệ khỏi sự xâm phạm chính, sử dụng một cơ chế để thu hồi và thay thế khóa nhanh chóng. Mỗi khóa riêng lẻ chỉ tập trung các quyền hạn cần thiết tối thiểu và các hoạt động công chứng yêu cầu sử dụng một số khóa (rò rỉ một khóa đơn không cho phép tấn công ngay lập tức vào máy khách và để xâm phạm toàn bộ hệ thống, cần phải nắm bắt các khóa của tất cả những người tham gia).
Máy khách chỉ có thể chấp nhận các tệp được tạo muộn hơn các tệp đã nhận trước đó và dữ liệu chỉ được tải xuống theo kích thước được chỉ định trong siêu dữ liệu được chứng nhận.
Phiên bản đã xuất bản của TUF 1.0.0 cung cấp triển khai tài liệu tham khảo được viết lại hoàn toàn và phiên bản ổn định của thông số kỹ thuật TUF mà bạn có thể sử dụng làm ví dụ bên ngoài khi tạo các triển khai của riêng bạn hoặc tích hợp vào các dự án của bạn.
Việc triển khai mới chứa ít mã hơn đáng kể (1400 dòng thay vì 4700), nó dễ bảo trì hơn và có thể dễ dàng mở rộng, ví dụ: nếu bạn cần thêm hỗ trợ cho các ngăn xếp mạng, hệ thống lưu trữ hoặc thuật toán mã hóa cụ thể.
Dự án được phát triển dưới sự bảo trợ của Linux Foundation và được sử dụng để cải thiện tính bảo mật của việc phân phối bản cập nhật trong các dự án như Docker, Fuchsia, Automotive Grade Linux, Bottlerocket và PyPI (dự kiến sẽ sớm bao gồm xác minh tải xuống và siêu dữ liệu trong PyPI).
Cuối cùng, nếu bạn quan tâm có thể biết thêm một chút về nó, bạn có thể tham khảo chi tiết Trong liên kết sau đây.