<div dir="ltr"><div class="gmail_quote">On Thu, Apr 16, 2015 at 2:58 PM Duncan Coutts <<a href="mailto:duncan@well-typed.com" target="_blank">duncan@well-typed.com</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Thu, 2015-04-16 at 11:18 +0000, Michael Snoyman wrote:<br>
> On Thu, Apr 16, 2015 at 1:57 PM Duncan Coutts <<a href="mailto:duncan@well-typed.com" target="_blank">duncan@well-typed.com</a>> wrote:<br>
<br>
> > I was not proposing to change the repository format significantly (and<br>
> > only in a backwards compatible way). The existing format is pretty<br>
> > simple, using standard old well understood formats and protocols with<br>
> > wide tool support.<br>
> ><br>
> > The incremental update is fairly unobtrusive. Passive http servers don't<br>
> > need to know about it, and clients that don't know about it can just<br>
> > download the whole index as they do now.<br>
> ><br>
> > The security extensions for TUF are also compatible with the existing<br>
> > format and clients.<br>
> ><br>
> The theme you seem to be creating here is "compatible with current format."<br>
> You didn't say it directly, but you've strongly implied that, somehow, Git<br>
> isn't compatible with existing tooling. Let me make clear that that is, in<br>
> fact, false[1]:<br>
<br>
Sure, one can use git or rsync or other methods to transfer the set of<br>
files that makes up a repository or repository index. The point is,<br>
existing clients expect both this format and this (http) protocol.<br>
<br>
There's a number of other minor arguments to be made here about what's<br>
simpler and more backwards compatible, but here are two more significant<br>
and positive arguments:<br>
<br>
     1. This incremental update approach works well with the TUF<br>
        security design<br>
     2. This approach to transferring the repository index and files has<br>
        a much lower security attack surface<br>
<br>
For 1, the basic TUF approach is based on a simple http server serving a<br>
set of files. Because we are implementing TUF for Hackage we picked this<br>
update method to go with it. It's really not exotic, the HTTP spec says<br>
about byte range requests: "Range supports efficient recovery from<br>
partially failed transfers, and supports efficient partial retrieval of<br>
large entities." We're doing an efficient partial retrieval of a large<br>
entity.<br>
<br>
For 2, Mathieu elsewhere in this thread pointed to an academic paper<br>
about attacks on package repositories and update systems. A surprising<br>
number of these are attacks on the download mechanism itself, before you<br>
even get to trying to verify individual package signatures. If you read<br>
the TUF papers you see that they also list these attacks and address<br>
them in various ways. One of them is that the download mechanism needs<br>
to know in advance the size (and content hash) of entities it is going<br>
to download. Also, we should strive to minimise the amount of complex<br>
unaudited code that has to run before we get to checking the signature<br>
of the package index (or individual package tarballs). In the TUF<br>
design, the only code that runs before verification is downloading two<br>
files over HTTP (one that's known to be very small, and the other we<br>
already know the length and signed content hash). If we're being<br>
paranoid we shouldn't even run any decompression before signature<br>
verification. With our implementation the C code that runs before<br>
signature verification is either none, or just zlib decompression if we<br>
want to do on-the-fly http transport compression, but that's optional if<br>
we don't want to trust zlib's security record (though it's extremely<br>
widely used). By contrast, if we use rsync or git then there's a massive<br>
amount of unaudited C code that is running with your user credentials<br>
prior to signature verification. In addition it is likely vulnerable to<br>
endless data and slow download attacks (see the papers).<br>
<br><br></blockquote><div><br></div></div></div><p dir="ltr">I never claimed nor intended to imply that range requests are non-standard. In fact, I'm quite familiar with them, given that I implemented that feature of Warp myself! What I *am* claiming as non-standard is using range requests to implement an incremental update protocol of a tar file. Is there any prior art to this working correctly? Do you know that web servers will do what you need and server the byte offsets from the uncompressed tar file instead of the compressed tar.gz? Where are you getting the signatures for, and how does this interact with 00-index.tar.gz files served by non-Hackage systems?<br></p>
<p dir="ltr">On the security front: it seems that we have two options here:<br></p>
<p dir="ltr">1. Use a widely used piece of software (Git), likely already in use by the vast majority of people reading this mailing list, relied on by countless companies and individuals, holding source code for the kernel of likely every mail server between my fingertips and the people reading this email, to distribute incremental updates. And as an aside: that software has built in support for securely signing commits and verifying those signatures.</p>
<p dir="ltr">2. Write brand new code deep inside two Haskell codebases with little scrutiny to implement a download/update protocol that (to my knowledge) has never been tested anywhere else in the world.<br></p>
<p dir="ltr">Have I misrepresented the two options at all?<br></p>
<p dir="ltr">I get that you've been working on this TUF-based system in private for a while, and are probably heavily invested already in the solutions you came up with in private. But I'm finding it very difficult to see the reasoning to reinventing wheels that need to reinventing.</p>
<div dir="ltr"><div class="gmail_quote"><div><br></div><div>MIchael</div></div></div>