Product SiteDocumentation Site

6.5. パッケージ信頼性の確認

Falcot Corp の管理者にとって、セキュリティはとても重要です。つまり管理者は、パッケージが途中で改竄されていないこと、確かに Debian から提供されていることを確認し、確認のとれたパッケージだけをインストールしなければいけません。コンピュータクラッカーは、他の合法的なパッケージに悪意あるコードを追加しようと試みます。そのようなパッケージがインストールされた場合、クラッカーが設計したことは何でも、たとえばパスワードや機密情報の漏洩などでも、実行されます。この危険性を回避するために、Debian は不正改竄を防ぐ封印を提供し、インストール時にそのパッケージが公式メンテナから提供されたものと本当に同じこと、第三者によって変更されていないことを保証しています。
この封印は一連の暗号学的ハッシュと署名を使って行われます。署名されたファイルは Release ファイルで、Debian アーカイブミラーから提供されます。Release ファイルには、Packages ファイル (Packages.gzPackages.xz、そして増分バージョンの圧縮形式など) のリストおよびそれが改竄されていないことを保証するための MD5、SHA1、SHA256 ハッシュが含まれています。Packages ファイルには、ミラーで提供されている Debian パッケージのリストおよびパッケージの内容が変更されていないことを保証するハッシュが含まれています。
信頼された鍵は apt パッケージから提供される apt-key コマンドで管理されます。apt-key は GnuPG 公開鍵の鍵束をメンテナンスし、この鍵束はミラーから提供される Release.gpg ファイルに含まれる署名を検証するために使われます。新しい鍵を手作業で追加する場合にも使われます (非公式ミラーを使うためにはこの作業が必要です)。しかしながら一般的に、公式の Debian 鍵以外は不要です。これらの鍵は debian-archive-keyring パッケージによって自動的に最新の状態に維持されます (対応する鍵束を /etc/apt/trusted.gpg.d に格納します)。しかしながら、debian-archive-keyring パッケージを初めてインストールする際には用心が必要です。すなわち、たとえ debian-archive-keyring パッケージが他のパッケージと同様に署名されていたとしても、その署名を外部から検証できません。そんなわけで、注意深い管理者なら新しいパッケージをインストールするために取り込まれた鍵を信用する前にその鍵の指紋を確認するべきです。
# apt-key fingerprint
/etc/apt/trusted.gpg.d/debian-archive-jessie-automatic.gpg
----------------------------------------------------------
pub   4096R/2B90D010 2014-11-21 [満了: 2022-11-19]
                 指紋 = 126C 0D24 BD8A 2942 CC7D  F8AC 7638 D044 2B90 D010
uid                  Debian Archive Automatic Signing Key (8/jessie) <ftpmaster@debian.org>

/etc/apt/trusted.gpg.d/debian-archive-jessie-security-automatic.gpg
-------------------------------------------------------------------
pub   4096R/C857C906 2014-11-21 [満了: 2022-11-19]
                 指紋 = D211 6914 1CEC D440 F2EB  8DDA 9D6D 8F6B C857 C906
uid                  Debian Security Archive Automatic Signing Key (8/jessie) <ftpmaster@debian.org>

/etc/apt/trusted.gpg.d/debian-archive-jessie-stable.gpg
-------------------------------------------------------
pub   4096R/518E17E1 2013-08-17 [満了: 2021-08-15]
                 指紋 = 75DD C3C4 A499 F1A1 8CB5  F3C8 CBF8 D6FD 518E 17E1
uid                  Jessie Stable Release Key <debian-release@lists.debian.org>

/etc/apt/trusted.gpg.d/debian-archive-squeeze-automatic.gpg
-----------------------------------------------------------
pub   4096R/473041FA 2010-08-27 [満了: 2018-03-05]
                 指紋 = 9FED 2BCB DCD2 9CDF 7626  78CB AED4 B06F 4730 41FA
uid                  Debian Archive Automatic Signing Key (6.0/squeeze) <ftpmaster@debian.org>

/etc/apt/trusted.gpg.d/debian-archive-squeeze-stable.gpg
--------------------------------------------------------
pub   4096R/B98321F9 2010-08-07 [満了: 2017-08-05]
                 指紋 = 0E4E DE2C 7F3E 1FC0 D033  800E 6448 1591 B983 21F9
uid                  Squeeze Stable Release Key <debian-release@lists.debian.org>

/etc/apt/trusted.gpg.d/debian-archive-wheezy-automatic.gpg
----------------------------------------------------------
pub   4096R/46925553 2012-04-27 [満了: 2020-04-25]
                 指紋 = A1BD 8E9D 78F7 FE5C 3E65  D8AF 8B48 AD62 4692 5553
uid                  Debian Archive Automatic Signing Key (7.0/wheezy) <ftpmaster@debian.org>

/etc/apt/trusted.gpg.d/debian-archive-wheezy-stable.gpg
-------------------------------------------------------
pub   4096R/65FFB764 2012-05-08 [満了: 2019-05-07]
                 指紋 = ED6D 6527 1AAC F0FF 15D1  2303 6FB2 A1C2 65FF B764
uid                  Wheezy Stable Release Key <debian-release@lists.debian.org>
適切な鍵を鍵束の中に追加すれば、APT は危険性の高い操作の前に署名を確認します。こうすることで、信頼性が確定できないパッケージをインストールするよう要求された場合に、フロントエンドは警告を表示するようになります。