Provided by:
apt_0.8.3ubuntu7_i386 
NAME
apt-secure - Compatibilidad con la autenticacion en el archivo para APT
DESCRIPCI'oN
Desde la version 0.6, apt contiene el codigo que realiza la
comprobacion de la firma del fichero <<Release>> para todos los
archivos. Esto asegura que los paquetes del archivo no se han
modificado por alguien sin acceso a la clave con la que se firmo el
fichero <<Release>>.
Si el paquete viene de un archivo sin una firma o con una firma de la
que apt no tiene su clave, el paquete se considerara no fiable y su
instalacion provocara un gran aviso. apt-get actualmente solo avisa de
los archivos sin firmar, las proximas versiones puede que fuercen a
verificar todas las fuentes antes de descargar paquetes desde ellas.
Las interfaces de gestion de paquetes apt-get(8), aptitude(8) y
synaptic(8) pueden usar esta nueva funcionalidad de autenticacion.
ARCHIVOS DE CONFIANZA
La cadena de confianza desde un archivo apt a un usuario final se
realiza en diferentes pasos. apt-secure es el ultimo paso en esta
cadena, confiar en un archivo no significa que los paquetes en los que
se confia no haya codigo malicioso, pero significa que se confia en el
mantenedor del archivo. El mantenedor del archivo es el responsable de
asegurar que la integridad del archivo es correcta.
apt-secure no revisa las firmas a nivel de paquete. Si necesita
herramientas para realizar esto, deberia ver debsig-verify y debsign
(proporcionados en los paquetes debsig-verify y devscripts
respectivamente).
La cadena de confianza de Debian comienza cuando un mantenedor sube un
nuevo paquete o una nueva version de un paquete al archivo de Debian.
Para que la subida sea efectiva, se debe firmar con una clave de un
mantenedor del registro de claves de los mantenedores de Debian
(disponible en el paquete debian-keyring). Las claves del mantenedor se
firman por otros mantenedores siguiendo unos procedimientos
pre-establecidos para asegurar la identidad del propietario de la
clave.
Una vez subido el paquete se comprueba y se incluye en el archivo, se
elimina la firma del mantenedor, se genera un resumen MD5 del paquete y
se coloca en el fichero <<Packages>>. Se genera el resumen MD5 de todos
los ficheros de paquetes y se coloca en el fichero <<Release>>.
Entonces se firma el fichero <<Release>> con la clave del archivo (que
se crea una vez al ano) y se distribuye mediante un servidor FTP. Esta
clave tambien esta en el registro de claves de Debian.
Cualquier usuario final puede comprobar la firma del fichero
<<Release>>, extraer el resumen MD5 de un paquete y compararlo con el
resumen MD5 del paquete que haya descargado. Antes de la version 0.6,
solo se comprobaba el resumen MD5 del paquete de Debian descargado.
Ahora se comprueban el resumen MD5 y la firma del fichero <<Release>>.
Tenga en cuenta que esto es distinto a comprobar las firmas de cada
paquete individualmente. Se diseno para prevenir dos posible ataques:
o Ataques de red <<man in the middle>> (persona entre medias). Sin la
comprobacion de las firmas, una persona malvada puede introducirse
en el proceso de descarga del paquete y proporcionar programas con
contenido malicioso para controlar un elemento de la red
(enrutador, switch, etc) o para redirigir el trafico a un servidor
ficticio (mediante ataques de envenenamiento de arp o de DNS).
o Replica de la red comprometida. Sin la comprobacion de la firma,
una persona malvada puede comprometer una replica y modificar los
ficheros de esta para propagar programas con contenido malicioso a
todos los usuarios que descarguen paquetes de dicha replica.
Sin embargo, esto no protege de un servidor maestro de Debian (que
firma los paquetes) comprometido o contra una clave usada para firmar
los ficheros <<Release>> comprometida. En cualquier caso, este
mecanismo puede complementar una firma por paquete.
CONFIGURACI'oN DE USUARIO
apt-key es el programa que gestiona la lista de claves usadas por apt.
Se puede usar para anadir o eliminar claves, aunque la instalacion de
esta version proporciona automaticamente las claves predeterminadas del
archivo de Debian que se usan en los repositorios de paquetes de
Debian.
Para poder anadir una clave nueva, primero necesita descargarla
(deberia asegurarse de que esta usando un canal de comunicacion seguro
cuando la consiga), anadala con apt-key y ejecute apt-get update para
que apt descargue y compruebe los ficheros Release.gpg de los archivos
que esten configurados.
CONFIGURACI'oN DEL ARCHIVO
Si quiere proporcionar firmas de archivo en un archivo bajo su control
tiene que:
o Crear un fichero <<Release>>, si no existe. Para ello se ejecuta
apt-ftparchive release (proporcionado en apt-utils).
o Firmarlo. Para ello se ejecuta gpg -abs -o Release.gpg Release.
o Publicar la huella digital de la clave, de modo que los usuarios
conozcan que clave necesitan importar para autenticar los ficheros
del archivo.
Cuando los contenidos del archivo cambien (se anadan paquetes nuevos o
se eliminen) el mantenedor del archivo tiene que seguir los dos
primeros pasos explicados anteriormente.
V'eASE TAMBI'eN
apt.conf(5), apt-get(8), sources.list(5), apt-key(8), apt-
ftparchive(1), debsign(1) debsig-verify(1), gpg(1)
Para mas informacion puede que quiera revisar el capitulo de la
Infraestructura de Seguridad de Debian[1] del Manual de Seguridad de
Debian (tambien disponible en el paquete harden-doc) y el COMO
Fortificar una Distribuci'on[2] de V. Alex Brennen.
BUGS
P'agina de errores de APT[3]. Si quiere informar de un error en APT,
consulte /usr/share/doc/debian/bug-reporting.txt o use la orden
reportbug(1).
AUTOR
El equipo APT apt@packages.debian.org escribio apt.
AUTORES DE LA P'aGINA DEL MANUAL
Esta pagina del manual se basa en el trabajo de Javier
Fernandez-Sanguino Pena, Isaac Jones, Colin Walters, Florian Weimer y
Michael Vogt.
TRADUCCI'ON
La traduccion al espanol la realizaron Ismael Fanlo, Carlos Mestre,
Rudy Godoy, Gustavo Saldumbide, Javier Fernandez-Sanguino y Ruben
Porras Campo entre los anos 2003 y 2004. La traduccion fue actualizada
por Francisco Javier Cuadrado y Omar Campagne Polaino entre los anos
2009 y 2010.
Tenga en cuenta que este documento puede contener secciones sin
traducir. Esto es intencionado para evitar perder contenido cuando la
traduccion no esta actualizada con respecto al documento original.
AUTHOR
Jason Gunthorpe
COPYRIGHT
Copyright (C) 1998-2001 Jason Gunthorpe
NOTES
1. Infraestructura de Seguridad de Debian
http://www.debian.org/doc/manuals/securing-debian-howto/ch7.en.html
2. COMO Fortificar una Distribucion
http://www.cryptnet.net/fdp/crypto/strong_distro.html
3. Pagina de errores de APT
http://bugs.debian.org/src:apt