Provided by: apt_0.8.16~exp5ubuntu13_i386 bug

NAME

       apt-secure - Suporte de autenticacao de arquivos para o APT

DESCRI,c~aO

       A partir da versao 0.6, o apt contem codigo que faz verificacao de
       assinaturas do ficheiro Release para todos os arquivos. Isto assegura
       que os pacotes no arquivo nao podem ser modificados por pessoas que nao
       tem acesso a chave de assinatura do ficheiro Release.

       Se um pacote vem dum arquivo sem assinatura ou com uma assinatura para
       a qual o apt nao tem a chave, esse pacote e considerado 'nao sendo de
       confianca' e instala-lo ira resultar num grande aviso. Actualmente o
       apt-get ira avisar apenas de arquivos nao assinados, lancamentos
       futuros poderao vir a forcar que todas as fontes sejam verificadas
       antes de descarregar pacotes delas.

       Os frontends de pacotes apt-get(8), aptitude(8) e synaptic(8) suportam
       esta nova funcionalidade de autenticacao.

ARQUIVOS DE CONFIAN,cA

       A corrente de confianca desde um arquivo apt ate ao utilizador final e
       feita em diferentes passos. O apt-secure e o ultimo passo nesta
       corrente, confiar num arquivo nao quer dizer que os pacotes em que
       confia nao possam conter codigo malicioso, mas que dizer que voce
       confia no responsavel do arquivo. E da responsabilidade do responsavel
       do arquivo assegurar que a integridade do arquivo esta correcta.

       O apt-secure nao reve as assinaturas ao nivel do pacote. Se voce
       necessita de ferramentas que o facam deve procurar pelo debsig-verify e
       debsign (disponibilizados nos pacotes debsig-verify e devscripts
       respectivamente).

       A corrente de confianca em Debian comeca quando o responsavel faz o
       upload de um novo pacote ou de uma nova versao de um pacote para o
       arquivo Debian. De modo a se tornar efectivo, este upload precisa de
       ser assinado por uma chave de um responsavel dentro do chaveiro de
       responsaveis da Debian (disponivel no pacote debian-keyring). As chaves
       dos responsaveis sao assinadas por outros responsaveis seguindo
       procedimentos pre-estabelecidos para assegurar a identidade do dono da
       chave.

       Apos o upload, o pacote e verificado e incluido no arquivo, a
       assinatura do responsavel e despojada, e computado um sumario MD5 do
       pacote e colocado no ficheiro Packages. Os sumarios MD5 de todos os
       ficheiros pacotes sao entao computados e colocados no ficheiro Release.
       O ficheiro Release e entao assinado pela chave de arquivo (a qual e
       criada uma vez por ano) e distribuido atraves do servidor FTP. Esta
       chave esta tambem no chaveiro Debian.

       Qualquer utilizador final pode verificar a assinatura do ficheiro
       Release, extrair o sumario MD5 de um pacote a partir dele, e compara-lo
       com o sumario MD5 do pacote que descarregou. Antes da versao 0.6 apenas
       o sumario MD5 do pacote Debian descarregado era verificado. Agora sao
       verificados ambos: o sumario MD5 e a assinatura do ficheiro Release.

       Note que isto e diferente de verificar assinaturas por cada pacote. E
       desenhado para prevenir dois ataques possiveis:

       o   Ataques de rede "man in the middle". Sem verificacao de assinatura,
           um agente malicioso pode introduzir-se ele proprio no processo de
           descarga de pacotes e disponibilizar software malicioso seja ao
           controlar um elemento de rede (router, switch, etc.) ou ao
           redireccionar trafego para um servidor impostor (atraves de ataques
           de fraude de arp ou DNS).

       o   Mirror network compromise. Sem verificacao de assinatura, um agente
           malicioso pode comprometer uma maquina mirror e modificar os
           ficheiros dele para propagar software malicioso a todos os
           utilizadores que descarregam pacotes a partir dessa maquina.

       No entanto, isto nao defende contra um compromisso do proprio servidor
       mestre da Debian (o qual assina os pacotes) ou contra um compromisso da
       chave usada para assinar os ficheiros Release. Em qualquer caso, este
       mecanismo pode complementar uma assinatura por-pacote.

CONFIGURA,c~aO DO UTILIZADOR

       apt-key e o programa que gere a lista de chaves usada pelo apt. Pode
       ser usado para adicionar ou remover chaves apesar de uma instalacao
       deste lancamento ir automaticamente disponibilizar as chaves de
       assinaturas predefinidas de arquivo Debian usadas nos repositorios de
       pacotes Debian.

       In order to add a new key you need to first download it (you should
       make sure you are using a trusted communication channel when retrieving
       it), add it with apt-key and then run apt-get update so that apt can
       download and verify the InRelease or Release.gpg files from the
       archives you have configured.

CONFIGURA,c~aO DE ARQUIVOS

       Se voce deseja fornecer assinaturas de arquivo a um arquivo sob sua
       manutencao, voce tem que:

       o   Criar um ficheiro Release de n'ivel de topo, se este ja nao existir.
           Voce pode fazer isto ao correr apt-ftparchive release
           (disponibilizado no apt-utils).

       o   Sign it. You can do this by running gpg --clearsign -o InRelease
           Release and gpg -abs -o Release.gpg Release.

       o   Publicar a impress~ao digital da chave, deste modo os seus
           utilizadores irao saber que chave precisam de importar de modo a
           autenticar os ficheiros no arquivo.

       Sempre que o conteudo do arquivo mude (sao adicionados novos pacotes ou
       removidos), o responsavel do arquivo tem que seguir os primeiros dois
       passos previamente delineados.

VEJA TAMB'eM

       apt.conf(5), apt-get(8), sources.list(5), apt-key(8), apt-
       ftparchive(1), debsign(1) debsig-verify(1), gpg(1)

       Para mais informacao de fundo voce deve querer reler a Infraestrutura
       de Seguran,ca da Debian[1] no capitulo do Manual Debian de Seguranca
       (disponivel tambem no pacote harden-doc) e o Strong Distribution
       HOWTO[2] de V. Alex Brennen.

BUGS

       p'agina de bugs do APT[3]. Se deseja reportar um bug no APT, por favor
       veja /usr/share/doc/debian/bug-reporting.txt ou o comando reportbug(1).

AUTOR

       APT foi escrito pela equipa do APT apt@packages.debian.org.

AUTORES DO MANUAL

       Este manual e baseado no trabalho de Javier Fernandez-Sanguino Pena,
       Isaac Jones, Colin Walters, Florian Weimer e Michael Vogt.

TRADU,C~AO

       A traducao Portuguesa foi feita por Americo Monteiro
       a_monteiro@netcabo.pt em 2009, 2010. A traducao foi revista pela equipa
       de traducoes portuguesas da Debian traduz@debianpt.org.

       Note que este documento traduzido pode conter partes nao traduzidas.
       Isto e feito propositadamente, para evitar perdas de conteudo quando a
       traducao esta atrasada relativamente ao conteudo original.

AUTHOR

       Jason Gunthorpe

COPYRIGHT

       Copyright (C) 1998-2001 Jason Gunthorpe

NOTES

        1. Infraestrutura de Seguranca da Debian
           http://www.debian.org/doc/manuals/securing-debian-howto/ch7.en.html

        2. Strong Distribution HOWTO
           http://www.cryptnet.net/fdp/crypto/strong_distro.html

        3. pagina de bugs do APT
           http://bugs.debian.org/src:apt