Provided by: apt_1.0.1ubuntu2.24_amd64 bug

NAME
       apt-secure - Archivauthentifizierungsunterstützung für APT


BESCHREIBUNG
       Beginnend mit Version 0.6 enthält apt Code, der die Signatur der Release-Datei für alle Archive prüft.
       Dies stellt sicher, dass Pakete im Archiv nicht von Leuten geändert werden können, die keinen Zugriff auf
       den Signierschlüssel der Release-Datei haben.

       Wenn ein Paket aus einem Archiv ohne Signatur stammt oder einem mit Signatur, für das APT keinen
       Schlüssel hat, wird dieses Paket als nicht vertrauenswürdig angesehen und es zu installieren, führt zu
       einer großen Warnung. apt-get wird aktuell nur bei nicht signierten Archiven warnen, zukünftige Releases
       könnten die Prüfung aller Quellen vor dem Herunterladen von Paketen von dort erzwingen.

       Die Paketoberflächen apt-get(8), aptitude(8) und synaptic(8) unterstützen diese neue
       Authentifizierungsfunktion.


VERTRAUENSWÜRDIGE ARCHIVE
       Eine Kette des Vertrauens von einem APT-Archiv zum Endanwender wird durch verschiedene Schritte erreicht.
       apt-secure ist der letzte Schritt in dieser Kette. Einem Archiv zu vertrauen bedeutet nicht, dass das
       Paket, dem Sie vertrauen, keinen schadhaften Code enthält, aber es bedeutet, dass Sie dem Archivbetreuer
       vertrauen. Der Archivbetreuer ist dafür verantwortlich, dass er die Korrektheit der Integrität des
       Archivs sicherstellt.

       apt-secure überprüft keine Signaturen auf einer Stufe der Pakete. Falls Sie ein Werkzeug benötigen, das
       dies tut, sollten Sie einen Blick auf debsig-verify und debsign werfen (bereitgestellt von den Paketen
       debsig-verify beziehungsweise devscripts).

       Die Kette des Vertrauens in Debian beginnt, wenn eine Betreuer ein neues Paket oder eine neue Version
       eines Pakets in das Debian-Archiv hochlädt. Dieser Upload muss mit einem Schlüssel des Betreuers, der
       sich im Schlüsselbund der Debian-Betreuer befindet (verfügbar im Paket debian-keyring) signiert werden.
       Betreuerschlüssel werden von anderen Betreuern gemäß vorbestimmter Regeln signiert, um die Identität des
       Schlüsselinhabers sicherzustellen.

       Sobald das hochgeladene Paket überprüft und dem Archiv hinzugefügt wurde, wird die Betreuersignatur
       entfernt, Prüfsummen des Pakets werden berechnet und in die Datei Packages abgelegt. Die Prüfsummen aller
       Packages-Dateien werden berechnet und in der Release-Datei abgelegt. Dann wird die Release-Datei durch
       den Archivschlüssel für diese Ubuntu-Veröffentlichung signiert und zusammen mit den Paketen und
       Packages-Dateien auf Ubuntu-Spiegel verteilt. Die Schlüssel sind im Ubuntu-Archivschlüsselbund im Paket
       ubuntu-keyring verfügbar.

       Endanwender können die Signatur der Release-Datei prüfen, die Prüfsumme eines Paketes daraus entpacken
       und mit der Prüfsumme des Pakets vergleichen, das sie manuell heruntergeladen haben – oder sich darauf
       verlassen, dass APT dies automatisch tut.

       Beachten Sie, dass sich dies vom Prüfen gvonn Signaturen auf Paketbasis unterscheidet. Es wurde
       entworfen, um zwei mögliche Angriffe zu verhindern:

       •   »Man-in-the-middle«-Netzwerkangriffe. Ohne Signaturprüfung kann ein schädlicher Mittelsmann sich
           selbst in das Herunterladen von Paketen einbringen und Schadsoftware bereitstellen. Dies kann
           entweder durch Steuerung eines Netzwerkelements (Router, Switch, usw.) oder durch Umleiten des
           Netzverkehrs zu einem bösartigen Server (durch ARP- oder DNS-Manipulationsangriffe) erfolgen.

       •   Spiegelnetzwerk-Gefährdung. Ohne Signaturprüfung kann ein schädlicher Mittelsmann einen Spiegelserver
           kompromittieren und die Dateien darauf verändern, um schädliche Software an alle Benutzer zu
           verbreiten, die Pakete von diesem Rechner herunterladen.

       Es schützt jedoch nicht gegen eine Kompromittierung des Haupt-Debian-Servers selbst (der die Pakete
       signiert) oder gegen eine Kompromittierung des Schlüssels, der zum Signieren der Release-Dateien benutzt
       wird. In jedem Fall kann dieser Mechanismus eine Signatur pro Paket ergänzen.


BENUTZERKONFIGURATION
       apt-key ist das Programm, das die Liste der von APT verwendeten Schlüssel verwaltet. Es kann benutzt
       werden, um Schlüssel hinzuzufügen oder zu entfernen, obwohl eine Installation dieses Releases automatisch
       die Standard-Debian-Archivsignierschlüssel bereitstellt, die in den Debian-Paketdepots benutzt werden.

       Um einen neuen Schlüssel hinzuzufügen, müssen Sie ihn zuerst herunterladen (Sie sollten sicherstellen,
       dass Sie einen vertrauenswürdigen Kommunikationskanal benutzen, wenn Sie ihn herunterladen), ihn mit
       apt-key hinzufügen und dann apt-get update ausführen, so dass APT die Dateien InRelease oder Release.gpg
       der von Ihnen konfigurierten Archive herunterladen und prüfen kann.


ARCHIVKONFIGURATION
       Wenn Sie Archivsignaturen in einem von Ihnen betreuten Archiv zur Verfügung stellen möchten, müssen Sie:

       •   Eine Release-Datei der obersten Stufe erzeugen, wenn sie nicht bereits existiert. Sie können dies
           erledigen, indem Sie apt-ftparchive release (aus apt-utils) ausführen.

       •   Sie signieren. Sie können dies tun, indem Sie gpg --clearsign -o InRelease Release und gpg -abs -o
           Release.gpg Release ausführen.

       •   Veröffentlichen Sie den Schlüsselfingerabdruck, damit Ihre Anwender wissen, welchen Schlüssel sie
           importieren müssen, um die Dateien im Archiv zu authentifizieren.

       Immer wenn sich die Inhalte des Archivs ändern (neue Pakete hinzugefügt oder entfernt werden), muss der
       Archivbetreuer den zwei ersten der oben skizzierten Schritten folgen.


SIEHE AUCH
       apt.conf(5), apt-get(8), sources.list(5), apt-key(8), apt-ftparchive(1), debsign(1)debsig-verify(1),
       gpg(1)

       Um weitere Hintergrundinformationen zu erhalten, können Sie die Die Infrastruktur für Sicherheit in
       Debian[1]-Kapitel des Handbuchs »Anleitung zum Absichern von Debian« (auch verfügbar im Paket harden-doc)
       und dem Strong Distribution HOWTO[2] von V. Alex Brennen lesen.


FEHLER
       APT-Fehlerseite[3]. Wenn Sie einen Fehler in APT berichten möchten, lesen Sie bitte
       /usr/share/doc/debian/bug-reporting.txt oder den reportbug(1)-Befehl. Verfassen Sie Fehlerberichte bitte
       auf Englisch.


AUTOR
       APT wurde vom APT-Team geschrieben <apt@packages.debian.org>.


AUTOREN DER HANDBUCHSEITE
       Diese Handbuchseite basiert auf der Arbeit von Javier Fernández-Sanguino Peña, Isaac Jones, Colin
       Walters, Florian Weimer und Michael Vogt.


ÜBERSETZUNG
       Die deutsche Übersetzung wurde 2009 von Chris Leick <c.leick@vollbio.de> in Zusammenarbeit mit dem
       deutschen l10n-Team von Debian <debian-l10n-german@lists.debian.org> angefertigt.

       Beachten Sie, dass diese Übersetzung Teile enthalten kann, die nicht übersetzt wurden. Dies ist so, damit
       kein Inhalt verloren geht, wenn die Übersetzung hinter dem Originalinhalt hinterherhängt.


AUTOREN
       Jason Gunthorpe

       APT-Team


FUßNOTEN
        1. Die Infrastruktur für Sicherheit in Debian
           http://www.debian.org/doc/manuals/securing-debian-howto/ch7.de.html

        2. Strong Distribution HOWTO
           http://www.cryptnet.net/fdp/crypto/strong_distro.html

        3. APT-Fehlerseite
           http://bugs.debian.org/src:apt

APT 1.0.1ubuntu2.24                               09 Juni 2012                                     APT-SECURE(8)