Bolo zverejnené vydanie TUF 1.0 (The Update Framework), ktoré poskytuje nástroje na bezpečnú kontrolu a sťahovanie aktualizácií. Hlavným cieľom projektu je chrániť klienta pred typickými útokmi na úložiská a infraštruktúru, vrátane boja proti propagácii fiktívnych aktualizácií útočníkmi vytvorených po získaní prístupu ku kľúčom na generovanie digitálnych podpisov alebo kompromitácii úložiska. Projekt je vyvinutý pod záštitou Linux Foundation a používa sa na zlepšenie bezpečnosti poskytovania aktualizácií v projektoch ako Docker, Fuchsia, Automotive Grade Linux, Bottlerocket a PyPI (zahrnutie overenia sťahovania a metadát do PyPI sa očakáva v blízka budúcnosť). Referenčný implementačný kód TUF je napísaný v jazyku Python a distribuovaný pod licenciou Apache 2.0.
Projekt vyvíja sériu knižníc, súborových formátov a pomôcok, ktoré možno ľahko integrovať do existujúcich systémov aktualizácie aplikácií a poskytujú ochranu v prípade kľúčového kompromisu na strane vývojárov softvéru. Ak chcete použiť TUF, stačí pridať potrebné metadáta do úložiska a integrovať procedúry poskytované v TUF na sťahovanie a overovanie súborov do kódu klienta.
Rámec TUF preberá úlohy kontroly aktualizácie, stiahnutia aktualizácie a overenia jej integrity. Inštalačný systém aktualizácie priamo nezasahuje do dodatočných metadát, ktorých overenie a načítanie vykonáva TUF. Pre integráciu s aplikáciami a systémami inštalácie aktualizácií je ponúkané nízkoúrovňové API pre prístup k metaúdajom a implementácia vysokoúrovňového klientskeho API ngclient, pripraveného na integráciu s aplikáciami.
Medzi útoky, ktorým môže TUF čeliť, patrí nahradenie starých vydaní pod zámienkou aktualizácií, aby sa zablokovala oprava softvérových zraniteľností alebo návrat používateľa k starej zraniteľnej verzii, ako aj propagácia škodlivých aktualizácií správne podpísaných pomocou kompromitovaného kľúč, DoS útoky na klientov, ako napríklad zapĺňanie disku nekonečnými aktualizáciami.
Ochrana pred kompromitáciou infraštruktúry poskytovateľa softvéru je dosiahnutá vedením samostatných, overiteľných záznamov o stave úložiska alebo aplikácie. Metadáta overené TUF zahŕňajú informácie o kľúčoch, ktorým možno dôverovať, kryptografické hash na vyhodnotenie integrity súborov, dodatočné digitálne podpisy na overenie metadát, informácie o číslach verzií a informácie o životnosti záznamov. Kľúče používané na overenie majú obmedzenú životnosť a vyžadujú neustálu aktualizáciu, aby sa zabránilo vytváraniu podpisov starými kľúčmi.
Zníženie rizika ohrozenia celého systému je dosiahnuté využitím modelu zdieľanej dôvery, v ktorom je každá strana obmedzená len na oblasť, za ktorú je priamo zodpovedná. Systém využíva hierarchiu rolí s vlastnými kľúčmi, napríklad rola root podpisuje kľúče pre roly zodpovedné za metadáta v úložisku, dáta o čase generovania aktualizácií a cieľové zostavy, zase rolu zodpovednú za zostavy. role spojené s certifikáciou dodaných súborov.
Na ochranu pred kompromitáciou kľúčov sa používa mechanizmus rýchleho odvolania a výmeny kľúčov. Každý jednotlivý kľúč obsahuje len minimálne potrebné právomoci a autentizačné operácie vyžadujú použitie viacerých kľúčov (únik jediného kľúča neumožňuje okamžitý útok na klienta a pre kompromitáciu celého systému musia byť kľúče všetkých účastníkov zajatý). Klient môže akceptovať iba súbory, ktoré sú novšie ako predtým prijaté súbory, a údaje sa sťahujú iba podľa veľkosti špecifikovanej v certifikovaných metadátach.
Publikované vydanie TUF 1.0.0 ponúka kompletne prepísanú a stabilizovanú referenčnú implementáciu špecifikácie TUF, ktorú môžete použiť ako hotový príklad pri vytváraní vlastných implementácií alebo pri integrácii do vašich projektov. Nová implementácia obsahuje podstatne menej kódu (1400 riadkov namiesto 4700), je jednoduchšia na údržbu a možno ju jednoducho rozšíriť, napríklad ak je potrebné pridať podporu pre špecifické sieťové zásobníky, úložné systémy alebo šifrovacie algoritmy.
Zdroj: opennet.ru