Product SiteDocumentation Site

6.6. Comprovació de l'autenticitat d'un paquet

La seguretat és molt important per als administradors de Falcot Corp. Per tant, han d'assegurar-se que només instal·len paquets que estiguin garantits que provenen de Debian sense cap mena de manipulació pel camí. Un «cracker» d'ordinadors podria intentar afegir codi maliciós a un paquet d'altra banda legítim. Aquest paquet, si s'instal·la, podria fer qualsevol cosa per a la qual el «cracker» l'hagi dissenyat, incloent, per exemple, la revelació de contrasenyes o d'informació confidencial. Per evitar aquest risc, Debian proporciona un segell a prova de manipulació per garantir — en el moment d'instal·lació — que un paquet prové del seu mantenidor oficial i no ha estat modificat per un tercer.
El segell funciona amb una cadena de resums («hashes») criptogràfics i una signatura, i s'explica en detall a apt-secure(8). A partir de Debian 10 Buster, el fitxer signat és InRelase, proporcionat pels miralls de Debian. També hi ha un fitxer antic anomenat Release. Tots dos contenen una llista dels fitxers Packages (incloent-hi les seves formes comprimides, Packages.gz i Packages.xz, i les versions incrementals), juntament amb els corresponents resums («hashes») SHA256, que asseguren que els fitxers no han estat manipulats. Aquests fitxers Packages contenen una llista dels paquets Debian disponibles al mirall, juntament amb els seus “hashes”, que garanteixen al seu torn que el contingut dels mateixos paquets no ha estat alterat. La diferència entre InRelease i Release és que el primer està signat criptogràficament en línia, mentre que el segon proporciona una signatura separada en la forma del fitxer Release.gpg.

NOTA El futur de Release i Release.gpg

Després del llançament de Debian 10 Buster es va anunciar la intenció d'eliminar el suport pels antics fitxers Release i Release.gpg, usats des d'APT 0.6, queintroduïa el suport per a l'autenticació d'un arxiu.
APT necessita un conjunt de claus públiques de GnuPG de confiança per verificar signatures als fitxers InRelease i Release.gpg disponibles als miralls. Els obté dels fitxers de /etc/apt/trusted.gpg.d i de l'anell de claus /etc/apt/trusted.gpg (gestionat per l'ordre apt-key). Les claus oficials de Debian són proporcionades i mantingudes al dia pel paquet de debian-archive-keyring que les posa a /etc/apt/trusted.gpg.d/: 
# ls /etc/apt/trusted.gpg.d/
debian-archive-bullseye-automatic.gpg
debian-archive-bullseye-security-automatic.gpg
debian-archive-bullseye-stable.gpg
debian-archive-buster-automatic.gpg
debian-archive-buster-security-automatic.gpg
debian-archive-buster-stable.gpg
debian-archive-stretch-automatic.gpg
debian-archive-stretch-security-automatic.gpg
debian-archive-stretch-stable.gpg

A LA PRÀCTICA Afegir claus de confiança

Quan s'afegeix una font de paquets de tercers al fitxer sources.list, s'ha de dir a APT que confiï en la clau d'autenticació GPG corresponent (en cas contrari, continuarà queixant-se que no pot assegurar l'autenticitat dels paquets procedents d'aquest repositori). El primer pas és, per descomptat, aconseguir la clau pública. Sovint, la clau es proporcionarà com un petit fitxer de text, que anomenarem clau.asc en els següents exemples.
Per afegir la clau a l'anell de claus de confiança d'APT, l'administrador pot posar-la en un fitxer *.gpg a /etc/apt/trusted.gpg.d/ (es desaconsellen els fitxers *.asc i poden causar problemes). Això és compatible des de Debian Stretch. Amb versions més antigues, s'havia d'executar apt-key add < key.asc, que ja és considerat obsolet.
Tot i que és un comportament molt comú, també crea un possible problema. APT no sap quina clau pertany a quin repositori. Si una de les claus de l'anell de claus d'APT coincideix amb la signatura d'un arxiu, APT considera l'arxiu com a autenticat. Una vegada que s'ha afegit una clau a l'anell de claus de confiança, un atacant maliciós podria proporcionar la seva pròpia "versió" d'un mirall Debian signat per la mateixa clau. Així, podria ser millor posar la clau en un fitxer *.gpg a /usr/share/keyrings/ i utilitzar el camp Signed-By a sources.list per a repositoris de tercers com es mostra a l'exemple següent.
Imagineu que el Falcot Corp. té el seu propi repositori públic i el voleu utilitzar. L'han signat i proporcionen una clau(anell) públicament també per descarregar. Per a restringir la clau al repositori, simplement cal que feu: 
$ sudo wget -O falcot-keyring.gpg -P /usr/share/keyrings https://packages.falcot.com/debian/repository.gpg
deb [ signed-by=/usr/share/keyrings/falcot-keyring.gpg ] https://packages.falcot.com/debian bullseye main
Aneu amb compte que afegir i utilitzar dipòsits de tercers sempre suposa un risc de seguretat i estabilitat!
Un cop les claus apropiades estan a l'anell de claus, APT comprovarà les signatures abans de qualsevol operació arriscada, de manera que els «frontends» mostraran un avís si se'ls demana que instal·lin un paquet l'autenticitat del qual no es pot determinar.
Tingueu en compte que els paquets binaris normalment no estan signats. La integritat d'un paquet només es pot confirmar comprovant les seves sumes de verificació contra una font de sumes de verificació de confiança (i possiblement signada).

CAS ESPECÍFIC Repositoris sense signar

Encara que en general no s'han d'utilitzar dipòsits sense signar, alguns usuaris encara poden requerir-los, per exemple per proporcionar alguns paquets construïts localment. APT pot ser forçat a acceptar aquest repositori prefixant l'URL del repositori amb allow-insecure=yes o trusted=yes. Ho demostrarem utilitzant l'exemple de Secció 15.3, «Creació d'un repositori de paquets per a APT»: 
deb [ trusted=yes ] http://packages.falcot.com/ updates/
deb [ trusted=yes ] http://packages.falcot.com/ internal/