TUF 1.0 (The Update Framework) کا اجراء شائع ہو چکا ہے، جو اپ ڈیٹس کو محفوظ طریقے سے چیک کرنے اور ڈاؤن لوڈ کرنے کے لیے ٹولز فراہم کرتا ہے۔ پروجیکٹ کا بنیادی مقصد کلائنٹ کو ریپوزٹریز اور انفراسٹرکچر پر عام حملوں سے بچانا ہے، بشمول ڈیجیٹل دستخط پیدا کرنے یا ریپوزٹری سے سمجھوتہ کرنے کے لیے کلیدوں تک رسائی حاصل کرنے کے بعد تخلیق کردہ فرضی اپ ڈیٹس کے حملہ آوروں کے ذریعے پروموشن کا مقابلہ کرنا۔ یہ پروجیکٹ لینکس فاؤنڈیشن کی سرپرستی میں تیار کیا گیا ہے اور اس کا استعمال ڈوکر، فوشیا، آٹوموٹیو گریڈ لینکس، بوٹلروکٹ اور پی پی آئی جیسے پروجیکٹس میں اپ ڈیٹ کی فراہمی کی سیکیورٹی کو بہتر بنانے کے لیے کیا جاتا ہے (پی پی آئی میں ڈاؤن لوڈ کی تصدیق اور میٹا ڈیٹا کی شمولیت متوقع ہے۔ مستقبل قریب). TUF حوالہ نفاذ کوڈ Python میں لکھا گیا ہے اور Apache 2.0 لائسنس کے تحت تقسیم کیا گیا ہے۔
یہ پروجیکٹ لائبریریوں، فائل فارمیٹس اور یوٹیلیٹیز کا ایک سلسلہ تیار کر رہا ہے جو کہ موجودہ ایپلیکیشن اپڈیٹ سسٹمز میں آسانی سے ضم کیا جا سکتا ہے، جو سافٹ ویئر ڈویلپرز کی جانب سے اہم سمجھوتہ کی صورت میں تحفظ فراہم کرتا ہے۔ TUF استعمال کرنے کے لیے، ذخیرہ میں ضروری میٹا ڈیٹا شامل کرنا، اور کلائنٹ کوڈ میں فائلوں کو ڈاؤن لوڈ اور تصدیق کرنے کے لیے TUF میں فراہم کردہ طریقہ کار کو ضم کرنا کافی ہے۔
TUF فریم ورک اپ ڈیٹ کی جانچ پڑتال، اپ ڈیٹ کو ڈاؤن لوڈ کرنے، اور اس کی سالمیت کی تصدیق کے کاموں کو انجام دیتا ہے۔ اپ ڈیٹ انسٹالیشن سسٹم اضافی میٹا ڈیٹا میں براہ راست مداخلت نہیں کرتا، جس کی تصدیق اور لوڈنگ TUF کے ذریعے کی جاتی ہے۔ ایپلی کیشنز کے ساتھ انضمام اور انسٹالیشن سسٹم کو اپ ڈیٹ کرنے کے لیے، میٹا ڈیٹا تک رسائی کے لیے ایک نچلی سطح کا API اور ایپلی کیشنز کے ساتھ انضمام کے لیے تیار ایک اعلیٰ سطح کے کلائنٹ API ngclient کا نفاذ پیش کیا جاتا ہے۔
TUF جن حملوں کا مقابلہ کر سکتا ہے ان میں سافٹ ویئر کی کمزوریوں کی اصلاح کو روکنے کے لیے اپ ڈیٹس کی آڑ میں پرانی ریلیز کا متبادل بنانا یا صارف کے پرانے کمزور ورژن میں رول بیک کرنا، نیز سمجھوتہ شدہ کا استعمال کرتے ہوئے درست طریقے سے دستخط کیے گئے نقصان دہ اپ ڈیٹس کو فروغ دینا۔ کلید، ڈی او ایس کلائنٹس پر حملہ کرتا ہے، جیسے لامتناہی اپ ڈیٹس کے ساتھ ڈسک کو بھرنا۔
سافٹ ویئر فراہم کنندہ کے بنیادی ڈھانچے سے سمجھوتہ کے خلاف تحفظ ذخیرہ یا درخواست کی حالت کے الگ، قابل تصدیق ریکارڈ کو برقرار رکھنے سے حاصل کیا جاتا ہے۔ TUF کے ذریعے تصدیق شدہ میٹا ڈیٹا میں ان کلیدوں کے بارے میں معلومات شامل ہیں جن پر بھروسہ کیا جا سکتا ہے، فائلوں کی سالمیت کا اندازہ کرنے کے لیے کرپٹوگرافک ہیشز، میٹا ڈیٹا کی تصدیق کے لیے اضافی ڈیجیٹل دستخط، ورژن نمبرز کے بارے میں معلومات، اور ریکارڈ کی زندگی بھر کی معلومات شامل ہیں۔ تصدیق کے لیے استعمال کی جانے والی کلیدوں کی زندگی محدود ہوتی ہے اور پرانی کلیدوں کے ذریعے دستخط کی تشکیل سے بچانے کے لیے انہیں مسلسل اپ ڈیٹ کرنے کی ضرورت ہوتی ہے۔
پورے نظام کے سمجھوتہ کے خطرے کو کم کرنا مشترکہ اعتماد کے ماڈل کے استعمال سے حاصل کیا جاتا ہے، جس میں ہر فریق صرف اس علاقے تک محدود ہے جس کے لیے وہ براہ راست ذمہ دار ہے۔ نظام ان کی اپنی کلیدوں کے ساتھ کرداروں کے درجہ بندی کا استعمال کرتا ہے، مثال کے طور پر، ریپوزٹری میں میٹا ڈیٹا کے لیے ذمہ دار کرداروں کے لیے روٹ رول سائن کیز، اپ ڈیٹس اور ٹارگٹ اسمبلیوں کی تخلیق کے وقت کا ڈیٹا، اس کے نتیجے میں، اسمبلیوں کے نشانات کے لیے ذمہ دار کردار ڈیلیور شدہ فائلوں کے سرٹیفیکیشن سے وابستہ کردار۔
کلیدی سمجھوتہ سے بچانے کے لیے، فوری منسوخی اور چابیاں تبدیل کرنے کا طریقہ کار استعمال کیا جاتا ہے۔ ہر انفرادی کلید میں صرف کم از کم ضروری اختیارات ہوتے ہیں، اور توثیق کے عمل میں کئی کلیدوں کے استعمال کی ضرورت ہوتی ہے (ایک کلید کا لیک ہونا کلائنٹ پر فوری حملے کی اجازت نہیں دیتا، اور پورے نظام سے سمجھوتہ کرنے کے لیے، تمام شرکاء کی چابیاں ہونی چاہئیں۔ پکڑ لیا)۔ کلائنٹ صرف ان فائلوں کو قبول کرسکتا ہے جو پہلے موصول ہونے والی فائلوں سے زیادہ حالیہ ہیں، اور ڈیٹا کو صرف تصدیق شدہ میٹا ڈیٹا میں بیان کردہ سائز کے مطابق ڈاؤن لوڈ کیا جاتا ہے۔
TUF 1.0.0 کی شائع شدہ ریلیز TUF تفصیلات کے مکمل طور پر دوبارہ تحریری اور مستحکم حوالہ کے نفاذ کی پیش کش کرتی ہے جسے آپ اپنے عمل درآمد کرتے وقت یا اپنے پروجیکٹس میں انضمام کے لیے ایک ریڈی میڈ مثال کے طور پر استعمال کر سکتے ہیں۔ نیا نفاذ نمایاں طور پر کم کوڈ پر مشتمل ہے (1400 کی بجائے 4700 لائنیں)، برقرار رکھنا آسان ہے اور آسانی سے بڑھایا جا سکتا ہے، مثال کے طور پر، اگر مخصوص نیٹ ورک اسٹیک، اسٹوریج سسٹم یا انکرپشن الگورتھم کے لیے سپورٹ شامل کرنا ضروری ہو۔
ماخذ: opennet.ru