Provided by: apt_0.8.16~exp12ubuntu10_amd64 bug

NAME

       apt-secure - Suporte de autenticação de arquivos para o APT

DESCRIçãO

       A partir da versão 0.6, o apt contém código que faz verificação de assinaturas do ficheiro
       Release para todos os arquivos. Isto assegura que os pacotes no arquivo não podem ser
       modificados por pessoas que não têm acesso à chave de assinatura do ficheiro Release.

       Se um pacote vem dum arquivo sem assinatura ou com uma assinatura para a qual o apt não
       tem a chave, esse pacote é considerado 'não sendo de confiança' e instalá-lo irá resultar
       num grande aviso. Actualmente o apt-get irá avisar apenas de arquivos não assinados,
       lançamentos futuros poderão vir a forçar que todas as fontes sejam verificadas antes de
       descarregar pacotes delas.

       Os frontends de pacotes apt-get(8), aptitude(8) e synaptic(8) suportam esta nova
       funcionalidade de autenticação.

ARQUIVOS DE CONFIANçA

       A corrente de confiança desde um arquivo apt até ao utilizador final é feita em diferentes
       passos. O apt-secure é o último passo nesta corrente, confiar num arquivo não quer dizer
       que os pacotes em que confia não possam conter código malicioso, mas que dizer que você
       confia no responsável do arquivo. É da responsabilidade do responsável do arquivo
       assegurar que a integridade do arquivo está correcta.

       O apt-secure não revê as assinaturas ao nível do pacote. Se você necessita de ferramentas
       que o façam deve procurar pelo debsig-verify e debsign (disponibilizados nos pacotes
       debsig-verify e devscripts respectivamente).

       A corrente de confiança em Debian começa quando o responsável faz o upload de um novo
       pacote ou de uma nova versão de um pacote para o arquivo Debian. De modo a se tornar
       efectivo, este upload precisa de ser assinado por uma chave de um responsável dentro do
       chaveiro de responsáveis da Debian (disponível no pacote debian-keyring). As chaves dos
       responsáveis são assinadas por outros responsáveis seguindo procedimentos
       pré-estabelecidos para assegurar a identidade do dono da chave.

       Após o upload, o pacote é verificado e incluído no arquivo, a assinatura do responsável é
       despojada, é computado um sumário MD5 do pacote e colocado no ficheiro Packages. Os
       sumários MD5 de todos os ficheiros pacotes são então computados e colocados no ficheiro
       Release. O ficheiro Release é então assinado pela chave de arquivo (a qual é criada uma
       vez por ano) e distribuído através do servidor FTP. Esta chave está também no chaveiro
       Debian.

       Qualquer utilizador final pode verificar a assinatura do ficheiro Release, extrair o
       sumário MD5 de um pacote a partir dele, e compará-lo com o sumário MD5 do pacote que
       descarregou. Antes da versão 0.6 apenas o sumário MD5 do pacote Debian descarregado era
       verificado. Agora são verificados ambos: o sumário MD5 e a assinatura do ficheiro Release.

       Note que isto é diferente de verificar assinaturas por cada pacote. É desenhado para
       prevenir dois ataques possíveis:

       ·   Ataques de rede "man in the middle". Sem verificação de assinatura, um agente
           malicioso pode introduzir-se ele próprio no processo de descarga de pacotes e
           disponibilizar software malicioso seja ao controlar um elemento de rede (router,
           switch, etc.) ou ao redireccionar tráfego para um servidor impostor (através de
           ataques de fraude de arp ou DNS).

       ·   Mirror network compromise. Sem verificação de assinatura, um agente malicioso pode
           comprometer uma máquina mirror e modificar os ficheiros dele para propagar software
           malicioso a todos os utilizadores que descarregam pacotes a partir dessa máquina.

       No entanto, isto não defende contra um compromisso do próprio servidor mestre da Debian (o
       qual assina os pacotes) ou contra um compromisso da chave usada para assinar os ficheiros
       Release. Em qualquer caso, este mecanismo pode complementar uma assinatura por-pacote.

CONFIGURAçãO DO UTILIZADOR

       apt-key é o programa que gere a lista de chaves usada pelo apt. Pode ser usado para
       adicionar ou remover chaves apesar de uma instalação deste lançamento ir automaticamente
       disponibilizar as chaves de assinaturas predefinidas de arquivo Debian usadas nos
       repositórios de pacotes Debian.

       In order to add a new key you need to first download it (you should make sure you are
       using a trusted communication channel when retrieving it), add it with apt-key and then
       run apt-get update so that apt can download and verify the InRelease or Release.gpg files
       from the archives you have configured.

CONFIGURAçãO DE ARQUIVOS

       Se você deseja fornecer assinaturas de arquivo a um arquivo sob sua manutenção, você tem
       que:

       ·   Criar um ficheiro Release de nível de topo, se este já não existir. Você pode fazer
           isto ao correr apt-ftparchive release (disponibilizado no apt-utils).

       ·   Sign it. You can do this by running gpg --clearsign -o InRelease Release and gpg -abs
           -o Release.gpg Release.

       ·   Publicar a impressão digital da chave, deste modo os seus utilizadores irão saber que
           chave precisam de importar de modo a autenticar os ficheiros no arquivo.

       Sempre que o conteúdo do arquivo mude (são adicionados novos pacotes ou removidos), o
       responsável do arquivo tem que seguir os primeiros dois passos previamente delineados.

VEJA TAMBéM

       apt.conf(5), apt-get(8), sources.list(5), apt-key(8), apt-ftparchive(1), debsign(1)
       debsig-verify(1), gpg(1)

       Para mais informação de fundo você deve querer reler a Infraestrutura de Segurança da
       Debian[1] no capítulo do Manual Debian de Segurança (disponível também no pacote
       harden-doc) e o Strong Distribution HOWTO[2] de V. Alex Brennen.

BUGS

       página de bugs do APT[3]. Se deseja reportar um bug no APT, por favor veja
       /usr/share/doc/debian/bug-reporting.txt ou o comando reportbug(1).

AUTOR

       APT foi escrito pela equipa do APT <apt@packages.debian.org>.

AUTORES DO MANUAL

       Este manual é baseado no trabalho de Javier Fernández-Sanguino Peña, Isaac Jones, Colin
       Walters, Florian Weimer e Michael Vogt.

TRADUÇÃO

       A tradução Portuguesa foi feita por Américo Monteiro <a_monteiro@netcabo.pt> em 2009,
       2010. A tradução foi revista pela equipa de traduções portuguesas da Debian
       <traduz@debianpt.org>.

       Note que este documento traduzido pode conter partes não traduzidas. Isto é feito
       propositadamente, para evitar perdas de conteúdo quando a tradução está atrasada
       relativamente ao conteúdo original.

AUTHOR

       Jason Gunthorpe

COPYRIGHT

       Copyright © 1998-2001 Jason Gunthorpe

NOTES

        1. Infraestrutura de Segurança da Debian
           http://www.debian.org/doc/manuals/securing-debian-howto/ch7.en.html

        2. Strong Distribution HOWTO
           http://www.cryptnet.net/fdp/crypto/strong_distro.html

        3. página de bugs do APT
           http://bugs.debian.org/src:apt