Provided by: apt_1.0.1ubuntu2.24_amd64 bug

NOMBRE
       apt-secure - Compatibilidad con la autenticación en el archivo para APT


DESCRIPCIÓN
       Desde la versión 0.6, apt contiene el código que realiza la comprobación de la firma del
       fichero «Release» para todos los archivos. Esto asegura que los paquetes del archivo no se
       han modificado por alguien sin acceso a la clave con la que se firmó el fichero «Release».

       Si el paquete viene de un archivo sin una firma o con una firma de la que apt no tiene su
       clave, el paquete se considerará no fiable y su instalación provocará un aviso importante.
       apt-get actualmente sólo avisa de los archivos sin firmar, puede que las próximas
       versiones fuercen una comprobación de todas las fuentes antes de descargar paquetes desde
       ellas.

       Las interfaces de gestión de paquetes apt-get(8), aptitude(8) y synaptic(8) pueden usar
       esta nueva funcionalidad de autenticación.


ARCHIVOS DE CONFIANZA
       La cadena de confianza desde un archivo apt a un usuario final se realiza en diferentes
       pasos.  apt-secure es el último paso en esta cadena; confiar en un archivo no implica que
       los paquetes en los que se confía no contengan código malicioso, pero significa que se
       confía en el responsable del archivo. El responsable del archivo es el responsable de
       asegurar que la integridad del archivo es correcta.

       apt-secure no revisa las firmas a nivel de paquete. Si necesita herramientas para realizar
       esto, debería ver debsig-verify y debsign (proporcionados en los paquetes debsig-verify y
       devscripts respectivamente).

       La cadena de confianza de Debian comienza cuando un mantenedor sube un nuevo paquete o una
       nueva versión de un paquete al archivo de Debian. Para que la subida sea efectiva, se debe
       firmar con una clave de un mantenedor del registro de claves de los mantenedores de Debian
       (disponible en el paquete debian-keyring). Las claves de los mantenedores son firmados por
       otros mantenedores siguiendo unos procedimientos pre-establecidos para asegurar la
       identidad del propietario de la clave.

       Una vez que el paquete enviado se ha verificado e incluido en el archivo, se elimina la
       firma del mantenedor, y se realizan las sumas de control del paquete, que se incluyen en
       el fichero «Packages». A continuación, se realiza una suma de control de todos los
       ficheros «Package», y se incluyen en el fichero «Release». Acto seguido, el fichero
       «Release» se firma con la clave del archivo de esta distribución de Ubuntu, y se
       distribuye junto con los paquetes y los ficheros «Packages» de las réplicas de Ubuntu. Las
       claves están disponibles en el registro de claves del archivo Ubuntu en el paquete
       ubuntu-keyring package.

       El usuario final puede comprobar la firma del fichero «Release», extraer la suma de
       control de un paquete de él y compararlo con la suma de control del paquete descargado
       manualmente, o depender de la comprobación automática de APT.

       Tenga en cuenta que esto es distinto a comprobar las firmas de cada paquete
       individualmente. Se diseñó para prevenir dos posible ataques:

       •   Ataques de red «man in the middle» (persona entre medias). Sin la comprobación de las
           firmas, se puede introducir un agente dañino en el proceso de descarga del paquete que
           ejecute programas con contenido malicioso para controlar un elemento de la red
           (enrutador, switch, etc) o para redirigir el tráfico a un servidor ficticio (mediante
           ataques de envenenamiento de ARP o de DNS).

       •   Réplica de la red comprometida. Sin la comprobación de la firma, una persona malvada
           puede comprometer una réplica y modificar los ficheros de ésta para propagar programas
           con contenido malicioso a todos los usuarios que descarguen paquetes de dicha réplica.

       Sin embargo, esto no protege de un servidor maestro de Debian (que firma los paquetes)
       comprometido o contra una clave usada para firmar los ficheros «Release» comprometida. En
       cualquier caso, este mecanismo puede complementar una firma por paquete.


CONFIGURACIÓN DE USUARIO
       apt-key es el programa que gestiona la lista de claves usadas por apt. Se puede usar para
       añadir o eliminar claves, aunque la instalación de esta versión contiene automáticamente
       las claves predeterminadas del archivo de Debian que se usan en los repositorios de
       paquetes de Debian.

       Para poder añadir una clave nueva primero necesita descargarla (debería asegurarse de que
       está usando un canal de comunicación seguro cuando la consiga), añádala con apt-key y
       ejecute apt-get update para que apt descargue y compruebe los ficheros InRelease o
       Release.gpg de los archivos de paquetes configurados.


CONFIGURACIÓN DEL ARCHIVO
       Si quiere proporcionar firmas de archivo en un archivo bajo su control tiene que:

       •   Crear un fichero «Release», si no existe. Para ello se ejecuta apt-ftparchive release
           (proporcionado en apt-utils).

       •   Firme el fichero. Para ello, puede ejecutar gpg --clearsign -o InRelease Release y gpg
           -abs -o Release.gpg Release.

       •   Publicar la huella digital de la clave, de modo que los usuarios conozcan qué clave
           necesitan importar para autenticar los ficheros del archivo.

       Cuando los contenidos del archivo cambien (se añadan paquetes nuevos o se eliminen) el
       mantenedor del archivo tiene que seguir los dos primeros pasos explicados anteriormente.


VÉASE TAMBIÉN
       apt.conf(5), apt-get(8), sources.list(5), apt-key(8), apt-ftparchive(1), debsign(1)debsig-
       verify(1), gpg(1)

       Para más información puede que quiera revisar el capítulo de la Infraestructura de
       Seguridad de Debian[1] del Manual de Seguridad de Debian (también disponible en el paquete
       harden-doc) y el COMO Fortificar una Distribución[2] de V. Alex Brennen.


BUGS
       Página de errores de APT[3]. Si quiere informar de un error en APT, consulte
       /usr/share/doc/debian/bug-reporting.txt o use la orden reportbug(1).


AUTOR
       El equipo APT <apt@packages.debian.org> escribió apt.


AUTORES DE LA PÁGINA DEL MANUAL
       Esta página del manual se basa en el trabajo de Javier Fernández-Sanguino Peña, Isaac
       Jones, Colin Walters, Florian Weimer y Michael Vogt.


TRADUCCIÓN
       La traducción al español la realizaron Ismael Fanlo, Carlos Mestre, Rudy Godoy, Gustavo
       Saldumbide, Javier Fernández-Sanguino y Rubén Porras Campo entre los años 2003 y 2004. La
       traducción fue actualizada por Francisco Javier Cuadrado y Omar Campagne Polaino entre los
       años 2009 y 2012 .

       Tenga en cuenta que este documento puede contener secciones sin traducir. Esto es
       intencionado para evitar perder contenido cuando la traducción no está actualizada con
       respecto al documento original.


AUTORES
       Jason Gunthorpe

       Equipo de APT


NOTAS
        1. Infraestructura de Seguridad de Debian
           http://www.debian.org/doc/manuals/securing-debian-howto/ch7

        2. COMO Fortificar una Distribución
           http://www.cryptnet.net/fdp/crypto/strong_distro.html

        3. Página de errores de APT
           http://bugs.debian.org/src:apt