6.5. Pakket Authenticiteit Controleren
Beveiliging is heel belangrijk voor de beheerders van Falcot Corp. Overeenkomstig moeten ze er zeker van zijn dat ze enkel pakketten installeren die gegarandeerd van Debian komen zonder dat er onderweg mee geknoeid is. Een computer kraker zou kunnen proberen om kwaadaardige code toe te voegen aan een anderzijds legitiem pakket. Zo'n pakket, indien geïnstalleerd, kan alles doen waar de kraker het voor ontworpen heeft, inclusief bijvoorbeeld het openbaar maken van wachtwoorden of vertrouwelijke informatie. Om dit risico tegen te gaan, biedt Debian een manipuleer-veilig zegel om te garanderen — tijdens de installatie — dat een pakket echt van de officiële onderhouder komt en niet is aangepast door derden.
Het zegel werkt met een ketting van cryptografische hashen en een handtekening. Het gesigneerde bestand is het Release
bestand, aangeboden door de Debian spiegels. Het bevat een lijst van de Pakketten
bestanden (inclusief de compressie methode, Packages.gz
en Packages.xz
, en de incrementele versies), naast hun MD5, SHA1 en SHA256 hashen, welke verzekeren dat er niet met de bestanden geknoeid is. Deze Pakketten
bestanden bevatten een lijst van de beschikbare Debian pakketten op de spiegel, samen met hun hashen, welke op hun beurt verzekeren dat de pakketten zelf ook niet aangepast zijn.
De vertrouwde sleutels worden beheerd met het apt-key
commando, gevonden in het apt pakket. Dit programma onderhoudt de sleutelhanger van publieke GnuPG sleutels, welke gebruikt worden om de handtekeningen in de Release.gpg
bestanden beschikbaar op de spiegels te verifiëren. Het kan gebruikt worden om manueel nieuwe sleutels toe te voegen (wanneer niet-officiële spiegels nodig zijn). Hoewel in het algemeen enkel de officiële Debian sleutels nodig zijn. Deze sleutels worden automatisch recent gehouden door het debian-archive-keyring pakket (welke de corresponderende sleutels in /etc/apt/trusted.gpg.d/
plaatst). Hoewel de eerste installatie van het pakket vraagt voorzichtigheid: zelfs als het pakket getekend is zoals ieder ander, de handtekening kan niet extern geverifieerd worden. Voorzichtige administrators zouden daarom de vingerafdrukken van geïmporteerde sleutels moeten controleren voordat ze deze vertrouwen om nieuwe pakketten te installeren:
# apt-key fingerprint
/etc/apt/trusted.gpg.d/debian-archive-jessie-automatic.gpg
----------------------------------------------------------
pub 4096R/2B90D010 2014-11-21 [expires: 2022-11-19]
Key fingerprint = 126C 0D24 BD8A 2942 CC7D F8AC 7638 D044 2B90 D010
uid Debian Archive Automatic Signing Key (8/jessie) <ftpmaster@debian.org>
/etc/apt/trusted.gpg.d/debian-archive-jessie-security-automatic.gpg
-------------------------------------------------------------------
pub 4096R/C857C906 2014-11-21 [expires: 2022-11-19]
Key fingerprint = D211 6914 1CEC D440 F2EB 8DDA 9D6D 8F6B C857 C906
uid Debian Security Archive Automatic Signing Key (8/jessie) <ftpmaster@debian.org>
/etc/apt/trusted.gpg.d/debian-archive-jessie-stable.gpg
-------------------------------------------------------
pub 4096R/518E17E1 2013-08-17 [expires: 2021-08-15]
Key fingerprint = 75DD C3C4 A499 F1A1 8CB5 F3C8 CBF8 D6FD 518E 17E1
uid Jessie Stable Release Key <debian-release@lists.debian.org>
/etc/apt/trusted.gpg.d/debian-archive-squeeze-automatic.gpg
-----------------------------------------------------------
pub 4096R/473041FA 2010-08-27 [expires: 2018-03-05]
Key fingerprint = 9FED 2BCB DCD2 9CDF 7626 78CB AED4 B06F 4730 41FA
uid Debian Archive Automatic Signing Key (6.0/squeeze) <ftpmaster@debian.org>
/etc/apt/trusted.gpg.d/debian-archive-squeeze-stable.gpg
--------------------------------------------------------
pub 4096R/B98321F9 2010-08-07 [expires: 2017-08-05]
Key fingerprint = 0E4E DE2C 7F3E 1FC0 D033 800E 6448 1591 B983 21F9
uid Squeeze Stable Release Key <debian-release@lists.debian.org>
/etc/apt/trusted.gpg.d/debian-archive-wheezy-automatic.gpg
----------------------------------------------------------
pub 4096R/46925553 2012-04-27 [expires: 2020-04-25]
Key fingerprint = A1BD 8E9D 78F7 FE5C 3E65 D8AF 8B48 AD62 4692 5553
uid Debian Archive Automatic Signing Key (7.0/wheezy) <ftpmaster@debian.org>
/etc/apt/trusted.gpg.d/debian-archive-wheezy-stable.gpg
-------------------------------------------------------
pub 4096R/65FFB764 2012-05-08 [expires: 2019-05-07]
Key fingerprint = ED6D 6527 1AAC F0FF 15D1 2303 6FB2 A1C2 65FF B764
uid Wheezy Stable Release Key <debian-release@lists.debian.org>
Eenmaal de toepasselijke sleutels aan de sleutelhanger zitten, zal APT de handtekeningen controleren voor iedere riskante operatie, zodat de font-ends een waarschuwing zullen weergeven wanneer ze gevraagd worden om een pakket te installeren waarvan de authenticiteit niet gecontroleerd kan worden.