Product SiteDocumentation Site

6.6. Pemeriksaan Otentikasi Paket

Keamanan merupakan hal yang sangat penting untuk administrator Falcot Corp. Maka, mereka perlu memastikan baha mereka hanya menginstall paket yang dijamin datang dari Debian dengan tanpa pemadatan. Seorang cracker komputer dapat mencoba untuk menambahkan kode jahat pada selain paket sah. Semacam paket, jika terinstall, dapat melakukan apapun yang didesain cracker untuk melakukannya, termasuk misalnya membongkar password atau informasi rahasia. Untuk menghindari resiko ini, Debian menyediakan sebuah bukti-padat segel untuk menjamin - pada saat instalasi - bahwa sebuah paket datang dari maintainer resminya dan belum dimodifikasi oleh pihak ketiga.
Segel bekerja dengan rantai kriptografi hash dan sebuah tanda-tangan dan dijelaskan secara rinci dalam apt-secure(8). Mulai dari Debian 10 Buster berkas yang ditandatangani adalah berkas InRelease, disediakan oleh cermin Debian. Juga ada berkas warisan bernama Release. Keduanya berisi daftar berkas Packages (termasuk bentuk terkompresi mereka, Packages.gz dam Packages.xz, dan versi inkremental), bersama dengan hash SHA256 mereka, yang memastikan bahwa berkas belum dirusak. Berkas Packages ini berisi daftar paket Debian yang tersedia pada cermin, bersama dengan hash mereka, yang memastikan bahwa isi paket itu sendiri juga belum berubah. Perbedaan antara InRelease dan Release adalah bahwa yang pertama ditandatangani secara kriptografis secara in-line, sedangkan yang terakhir memberikan tanda tangan terpisah dalam bentuk berkas Release.gpg.

CATATAN Masa depan dari Release dan Release.gpg

Setelah rilis Debian 10 Buster niatnya telah diumumkan untuk menghapus dukungan bagi berkas lama Release dan Release.gpg di APT, yang digunakan sejak versi 0.6, yang memperkenalkan dukungan untuk otentikasi arsip.
APT membutuhkan satu set kunci publik GnuPG terpercaya untuk memverifikasi tanda tangan dalam berkas InRelease dan Release.gpg yang tersedia di cermin. Itu mendapatkannya dari berkas di /etc/apt/trusted.gpg.d/ dan dari ring kunci /etc/apt/trusted.gpg (dikelola oleh perintah apt-key). Kunci Debian resmi disediakan dan diperbarui oleh paket debian-archive-keyring yang menempatkannya di /etc/apt/trusted.gpg.d/: 
# ls /etc/apt/trusted.gpg.d/
debian-archive-bullseye-automatic.gpg
debian-archive-bullseye-security-automatic.gpg
debian-archive-bullseye-stable.gpg
debian-archive-buster-automatic.gpg
debian-archive-buster-security-automatic.gpg
debian-archive-buster-stable.gpg
debian-archive-stretch-automatic.gpg
debian-archive-stretch-security-automatic.gpg
debian-archive-stretch-stable.gpg

PRAKTEKNYA Menambahkan kunci terpercaya

Ketika sumber paket pihak ketiga ditambahkan ke berkas sources.list, APT perlu diberitahu untuk memercayai kunci otentikasi GPG yang sesuai (sebaliknya dia akan tetap menggerutu bahwa dia tidak dapat memastikan keaslian paket yang datang dari repositori tersebut). Langkah pertama tentu saja untuk mendapatkan kunci publik. Lebih sering, kunci akan disediakan sebagai berkas teks kecil, yang akan kita namai key.asc pada contoh berikut.
Untuk menambahkan kunci ke ring kunci terpercaya APT, administrator dapat sekadar memasukkannya ke dalam berkas *.gpg di /etc/apt/trusted.gpg.d/ (berkas *.asc tidak disarankan dan dapat menyebabkan masalah). Hal ini didukung sejak Debian Stretch. Dengan rilis yang lebih lama, Anda harus menjalankan apt-key add < key.asc, yang dianggap sudah usang.
Meskipun ini adalah perilaku yang sangat umum, itu juga menciptakan masalah yang mungkin terjadi. APT tidak tahu kunci mana yang menjadi milik repositori mana. Jika salah satu kunci dalam ring kunci APT cocok dengan tanda tangan arsip, APT menganggap arsip tersebut diotentikasi. Setelah kunci ditambahkan ke ring kunci terpercaya, penyerang jahat dapat benar-benar memberikan "versi" sendiri dari cermin Debian yang ditandatangani oleh kunci yang sama. Mungkin karenanya sebenarnya lebih baik untuk menempatkan kunci sebagai berkas *.gpg ke dalam /usr/share/keyrings/ dan menggunakan ruas Signed-By di sources.list untuk repositori pihak ketiga seperti yang ditunjukkan pada contoh di bawah ini.
Bayangkan, bahwa Falcot Corp. menjalankan repositori publik mereka sendiri dan Anda ingin menggunakannya. Mereka telah menandatanganinya dan menyediakan (ring)kunci yang tersedia bagi umum juga untuk diunduh. Untuk membatasi kunci ke repositori tersebut, Anda cukup melakukan ini: 
$ sudo wget -O falcot-keyring.gpg -P /usr/share/keyrings https://packages.falcot.com/debian/repository.gpg
deb [ signed-by=/usr/share/keyrings/falcot-keyring.gpg ] https://packages.falcot.com/debian bullseye main
Berhati-hatilah bahwa menambahkan dan menggunakan repositori pihak ketiga selalu menimbulkan risiko keamanan dan stabilitas!
Setelah kunci yang sesuai berada di ring kunci, APT akan memeriksa tanda tangan sebelum operasi berrisiko, sehingga frontend akan menampilkan peringatan jika diminta untuk memasang paket yang keasliannya tidak dapat dipastikan.
Perhatikan, bahwa paket biner biasanya tidak ditandatangani. Integritas paket hanya dapat dikonfirmasi dengan memeriksa hashsum-nya terhadap sumber hashsum tepercaya (dan mungkin ditandatangani).

KASUS SPESIFIK Repositori yang tidak ditandatangani

Meskipun secara umum repositori yang tidak ditandatangani tidak boleh digunakan, beberapa pengguna mungkin masih memerlukannya, misalnya untuk menyediakan beberapa paket yang dibangun secara lokal. APT dapat dipaksa untuk menerima repositori tersebut dengan menyisipkan di depan URL repositori allow-insecure=yes atau trusted=yes. Kami akan menunjukkannya dengan menggunakan contoh dari Bagian 15.3, “Membuat Repositori Paket untuk APT”: 
deb [ trusted=yes ] http://packages.falcot.com/ updates/
deb [ trusted=yes ] http://packages.falcot.com/ internal/