Provided by: apt_1.0.1ubuntu2.24_amd64 bug

NOMBRE
       apt-secure - Compatibilidad con la autenticación en el archivo para APT


DESCRIPCIÓN
       Desde la versión 0.6, apt contiene el código que realiza la comprobación de la firma del fichero
       «Release» para todos los archivos. Esto asegura que los paquetes del archivo no se han modificado por
       alguien sin acceso a la clave con la que se firmó el fichero «Release».

       Si el paquete viene de un archivo sin una firma o con una firma de la que apt no tiene su clave, el
       paquete se considerará no fiable y su instalación provocará un aviso importante.  apt-get actualmente
       sólo avisa de los archivos sin firmar, puede que las próximas versiones fuercen una comprobación de todas
       las fuentes antes de descargar paquetes desde ellas.

       Las interfaces de gestión de paquetes apt-get(8), aptitude(8) y synaptic(8) pueden usar esta nueva
       funcionalidad de autenticación.


ARCHIVOS DE CONFIANZA
       La cadena de confianza desde un archivo apt a un usuario final se realiza en diferentes pasos.
       apt-secure es el último paso en esta cadena; confiar en un archivo no implica que los paquetes en los que
       se confía no contengan código malicioso, pero significa que se confía en el responsable del archivo. El
       responsable del archivo es el responsable de asegurar que la integridad del archivo es correcta.

       apt-secure no revisa las firmas a nivel de paquete. Si necesita herramientas para realizar esto, debería
       ver debsig-verify y debsign (proporcionados en los paquetes debsig-verify y devscripts respectivamente).

       La cadena de confianza de Debian comienza cuando un mantenedor sube un nuevo paquete o una nueva versión
       de un paquete al archivo de Debian. Para que la subida sea efectiva, se debe firmar con una clave de un
       mantenedor del registro de claves de los mantenedores de Debian (disponible en el paquete
       debian-keyring). Las claves de los mantenedores son firmados por otros mantenedores siguiendo unos
       procedimientos pre-establecidos para asegurar la identidad del propietario de la clave.

       Una vez que el paquete enviado se ha verificado e incluido en el archivo, se elimina la firma del
       mantenedor, y se realizan las sumas de control del paquete, que se incluyen en el fichero «Packages». A
       continuación, se realiza una suma de control de todos los ficheros «Package», y se incluyen en el fichero
       «Release». Acto seguido, el fichero «Release» se firma con la clave del archivo de esta distribución de
       Ubuntu, y se distribuye junto con los paquetes y los ficheros «Packages» de las réplicas de Ubuntu. Las
       claves están disponibles en el registro de claves del archivo Ubuntu en el paquete ubuntu-keyring
       package.

       El usuario final puede comprobar la firma del fichero «Release», extraer la suma de control de un paquete
       de él y compararlo con la suma de control del paquete descargado manualmente, o depender de la
       comprobación automática de APT.

       Tenga en cuenta que esto es distinto a comprobar las firmas de cada paquete individualmente. Se diseñó
       para prevenir dos posible ataques:

       •   Ataques de red «man in the middle» (persona entre medias). Sin la comprobación de las firmas, se
           puede introducir un agente dañino en el proceso de descarga del paquete que ejecute programas con
           contenido malicioso para controlar un elemento de la red (enrutador, switch, etc) o para redirigir el
           tráfico a un servidor ficticio (mediante ataques de envenenamiento de ARP o de DNS).

       •   Réplica de la red comprometida. Sin la comprobación de la firma, una persona malvada puede
           comprometer una réplica y modificar los ficheros de ésta para propagar programas con contenido
           malicioso a todos los usuarios que descarguen paquetes de dicha réplica.

       Sin embargo, esto no protege de un servidor maestro de Debian (que firma los paquetes) comprometido o
       contra una clave usada para firmar los ficheros «Release» comprometida. En cualquier caso, este mecanismo
       puede complementar una firma por paquete.


CONFIGURACIÓN DE USUARIO
       apt-key es el programa que gestiona la lista de claves usadas por apt. Se puede usar para añadir o
       eliminar claves, aunque la instalación de esta versión contiene automáticamente las claves
       predeterminadas del archivo de Debian que se usan en los repositorios de paquetes de Debian.

       Para poder añadir una clave nueva primero necesita descargarla (debería asegurarse de que está usando un
       canal de comunicación seguro cuando la consiga), añádala con apt-key y ejecute apt-get update para que
       apt descargue y compruebe los ficheros InRelease o Release.gpg de los archivos de paquetes configurados.


CONFIGURACIÓN DEL ARCHIVO
       Si quiere proporcionar firmas de archivo en un archivo bajo su control tiene que:

       •   Crear un fichero «Release», si no existe. Para ello se ejecuta apt-ftparchive release (proporcionado
           en apt-utils).

       •   Firme el fichero. Para ello, puede ejecutar gpg --clearsign -o InRelease Release y gpg -abs -o
           Release.gpg Release.

       •   Publicar la huella digital de la clave, de modo que los usuarios conozcan qué clave necesitan
           importar para autenticar los ficheros del archivo.

       Cuando los contenidos del archivo cambien (se añadan paquetes nuevos o se eliminen) el mantenedor del
       archivo tiene que seguir los dos primeros pasos explicados anteriormente.


VÉASE TAMBIÉN
       apt.conf(5), apt-get(8), sources.list(5), apt-key(8), apt-ftparchive(1), debsign(1)debsig-verify(1),
       gpg(1)

       Para más información puede que quiera revisar el capítulo de la Infraestructura de Seguridad de Debian[1]
       del Manual de Seguridad de Debian (también disponible en el paquete harden-doc) y el COMO Fortificar una
       Distribución[2] de V. Alex Brennen.


BUGS
       Página de errores de APT[3]. Si quiere informar de un error en APT, consulte
       /usr/share/doc/debian/bug-reporting.txt o use la orden reportbug(1).


AUTOR
       El equipo APT <apt@packages.debian.org> escribió apt.


AUTORES DE LA PÁGINA DEL MANUAL
       Esta página del manual se basa en el trabajo de Javier Fernández-Sanguino Peña, Isaac Jones, Colin
       Walters, Florian Weimer y Michael Vogt.


TRADUCCIÓN
       La traducción al español la realizaron Ismael Fanlo, Carlos Mestre, Rudy Godoy, Gustavo Saldumbide,
       Javier Fernández-Sanguino y Rubén Porras Campo entre los años 2003 y 2004. La traducción fue actualizada
       por Francisco Javier Cuadrado y Omar Campagne Polaino entre los años 2009 y 2012 .

       Tenga en cuenta que este documento puede contener secciones sin traducir. Esto es intencionado para
       evitar perder contenido cuando la traducción no está actualizada con respecto al documento original.


AUTORES
       Jason Gunthorpe

       Equipo de APT


NOTAS
        1. Infraestructura de Seguridad de Debian
           http://www.debian.org/doc/manuals/securing-debian-howto/ch7

        2. COMO Fortificar una Distribución
           http://www.cryptnet.net/fdp/crypto/strong_distro.html

        3. Página de errores de APT
           http://bugs.debian.org/src:apt