Product SiteDocumentation Site

6.6. Verificando Autenticidade do Pacote

Segurança é muito importante para os administradores da Falcot Corp. E desta forma, eles precisam ter certeza que estão instalando pacotes que vem do Debian, sem interceptações no caminho. Um cracker de computador pode tentar adicionar código malicioso num pacote que de outra forma seria legítimo. Tal pacote, se instalado, poderia fazer qualquer coisa que o cracker o tivesse projetado para fazer, incluindo por exemplo revelar senhas e informações confidenciais. Para evitar este risco, o Debian fornece um selo de qualidade a prova de interceptações para garantir - no momento da instalação - que um pacote realmente vem de um mantenedor oficial e não foi modificado por um terceiro.
O selo funciona com uma cadeia de hashes criptográficos e uma assinatura e é explicado em detalhes em apt-secure(8). Começando no Debian 10 Buster, o arquivo assinado é o arquivo InRelease, fornecido pelos espelhos Debian. Existe também um arquivo legado chamado Release. Ambos contém uma lista de arquivos Packages (incluindo suas formas compactadas, Packages.gz e Packages.xz, e as versões incrementais), junto com suas hashes SHA256 que garantem que os arquivos não foram interceptados. Estes arquivos Packages contém uma lista de pacotes Debian disponíveis no espelho, junto com seus hashes, que garantem, por sua vez, que os conteúdos dos próprios pacotes também não foram alterados. A diferença entre o InRelease e o Release é que o primeiro é criptograficamente assinado em linha, enquanto que o último fornece assinatura desanexada na forma do arquivo Release.gpg.

NOTA O futuro do Release e do Release.gpg

Depois do lançamento do Debian 10 Buster foi anunciada a intenção de remover o suporte no APT para os arquivos desatualizados Release e Release.gpg , usados desde a versão 0.6, que introduziram suporte para uma autenticação de arquivamentos.
O APT precisa de um conjunto de chaves públicas GnuPG confiáveis que são usadas para verificar assinaturas no arquivo InRelease e no Release.gpg disponíveis nos espelhos. Ele obtém eles de arquivos no /etc/apt/trusted.gpg.d/ e do chaveiro /etc/apt/trusted.gpg (gerenciado pelo comando apt-key). As chaves oficiais do Debian são fornecidas e mantidas atualizadas pelo pacote debian-archive-keyring que coloca elas em /etc/apt/trusted.gpg.d): 
# ls /etc/apt/trusted.gpg.d/
debian-archive-bullseye-automatic.gpg
debian-archive-bullseye-security-automatic.gpg
debian-archive-bullseye-stable.gpg
debian-archive-buster-automatic.gpg
debian-archive-buster-security-automatic.gpg
debian-archive-buster-stable.gpg
debian-archive-stretch-automatic.gpg
debian-archive-stretch-security-automatic.gpg
debian-archive-stretch-stable.gpg

NA PRÁTICA Adicionando chaves confiáveis

Quando uma origem de pacotes de terceiros é adicionada ao arquivo sources.list, O apt precisa ser instruído a confiar na chave de autenticação GPG correspondente (caso contrário ele vai ficar reclamando que não pode garantir a autenticidade dos pacotes vindo daquele repositório). O primeiro passo, obviamente, é obter a chave pública. Em geral, a chave vai ser fornecida como um pequeno arquivo texto, que vamos chamar de key.asc nos seguintes exemplos.
Para adicionar a chave para o chaveiro confiável do APT, o administrador pode simplesmente colocá-la em um arquivo *.gpg em /etc/apt/trusted.gpg.d/ (arquivos *.asc são desencorajados e podem causar problemas). Isto é suportado desde o Debian Stretch. Com lançamentos anteriores, você tinha que rodar apt-key add < key.asc, que já é considerado obsoleto.
Ainda que isto é um comportamento muito comum, também cria um possível problema. APT não sabe que chave pertence a que repositório. Se uma das chaves de APT coincide com a assinatura de um arquivo, APT considera o arquivo como autenticado. Uma vez que se acrescentou uma chave ao depósito de chaves de confiança, um atacante malicioso poderia realmente proporcionar sua própria "versão" de um espelho Debian assinado pela mesma chave. Poderia ser melhor pôr a chave como arquivo *.gpg em /usr/share/keyrings/ e usar o campo Signed-By em sources.list para repositórios de terceiros como se mostra no exemplo seguinte.
Imagina, que o Falcot Corp. dirige seu próprio repositório público e queres usá-lo. Assinaram-no e proporcionam uma chave(ring) disponível publicamente também para descarregar. Para restringir a chave do repositório, simplesmente podes fazer isto: 
$ sudo wget -O falcot-keyring.gpg -P /usr/share/keyrings https://packages.falcot.com/debian/repository.gpg
deb [ signed-by=/usr/share/keyrings/falcot-keyring.gpg ] https://packages.falcot.com/debian bullseye main
Tenha cuidado que ao acrescentar e utilizar repositórios de terceiros sempre propõe um risco de segurança e estabilidade!
Uma vez que as chaves apropriadas estiverem no chaveiro, o APT vai verificar as assinaturas antes de operações arriscadas, e as interfaces vão exibir um aviso se tiverem que instalar um pacote cuja autenticidade não puder ser verificada.
Recorde que os pacotes binários geralmente não estão assinados. A integridade de um pacote só se pode confirmar comprovando sua soma de verificação contra uma fonte de verificação de confiança (e possivelmente assinada).

CASO ESPECÍFICO Repositórios não assinados

Enquanto em geral não se devem utilizar repositórios não assinados, alguns usuários ainda poderiam os requerer, por exemplo para proporcionar alguns pacotes construídos localmente. Pode-se obrigar a APT a aceitar tal repositório antepondo a URL do repositório usando allow-insecure=yes ou trusted=yes. Demonstrá-lo-emos usando o exemplo de Seção 15.3, “Criando um Repositório de Pacotes para o APT”: 
deb [ trusted=yes ] http://packages.falcot.com/ updates/
deb [ trusted=yes ] http://packages.falcot.com/ internal/