宣布了 發布更新框架的新版本 1.0, 更好地稱為 TUF,其特點是作為一個框架,提供了一種安全檢查和下載更新的方法。
該項目的主要目標是保護客戶端免受典型攻擊 到存儲庫和基礎設施,包括打擊攻擊者在獲得密鑰以生成數字簽名或破壞存儲庫後創建的虛假更新的推廣。
關於 TUF
該項目 開發了許多庫、文件格式和實用程序 可以很容易地集成到現有的應用程序更新系統中,在軟件開發人員洩露密鑰的情況下提供保護。 要使用 TUF,只需將必要的元數據添加到存儲庫並將 TUF 中提供的用於上傳和驗證文件的過程嵌入到客戶端代碼中。
TUF 框架 接管檢查更新的任務,下載更新 並驗證其完整性。 更新安裝系統不直接與附加元數據相交,由TUF驗證並上傳。
為了與應用程序集成和更新安裝系統,提供了用於訪問元數據的低級 API 和高級客戶端 API ngclient 的實現,可用於應用程序集成。
在 TUF 可以應對的攻擊中 是 版本替換 以更新為幌子阻止對軟件漏洞的修復或將用戶恢復到以前的易受攻擊的版本,以及 推廣惡意更新 使用洩露的密鑰正確簽名,對客戶端執行 DoS 攻擊,例如用無休止的更新填充磁盤。
防止基礎設施受損 軟件供應商通過維護存儲庫或應用程序狀態的單獨可驗證記錄來實現。
很多 TUF 驗證的元數據包括關鍵信息 可以信任的、用於評估文件完整性的加密哈希、用於驗證元數據的附加數字簽名、版本號信息和記錄生命週期信息。 用於驗證的密鑰具有有限的生命週期,需要不斷更新以防止使用舊密鑰進行簽名。
通過使用拆分信任模型來降低破壞整個系統的風險,在該模型中,每一方都僅限於其直接負責的區域。
系統使用具有自己鍵的角色層次結構, 例如,根角色簽署了負責存儲庫中元數據的角色的密鑰,有關更新和目標構建時間的數據,反過來,負責構建的角色簽署與認證相關聯的角色交付的文件。
為了防止密鑰洩露, 使用快速密鑰撤銷和替換機制. 每個單獨的密鑰只集中最小必要的權力,並且公證操作需要使用多個密鑰(單個密鑰的洩漏不允許立即對客戶端進行攻擊,並且要破壞整個系統,有必要捕獲密鑰所有參與者)。
客戶端只能接受晚於先前接收的文件創建的文件,並且僅根據認證元數據中指定的大小下載數據。
發布的版本 TUF 1.0.0 提供了一個完全重寫的參考實現 TUF 規範的穩定版本,您可以在創建自己的實現或集成到項目中時將其用作開箱即用的示例。
新的實施 包含明顯更少的代碼 (1400 行而不是 4700 行),它更易於維護並且可以輕鬆擴展,例如,如果您需要添加對特定網絡堆棧、存儲系統或加密算法的支持。
該項目是在 Linux 基金會的讚助下開發的 用於提高 Docker、Fuchsia、Automotive Grade Linux、Bottlerocket 和 PyPI 等項目中更新交付的安全性(預計很快會在 PyPI 中包含下載驗證和元數據)。
最後,如果你有興趣可以多了解一點,可以查閱詳情 在下面的鏈接中。