Product SiteDocumentation Site

6.5. Pemeriksaan Otentikasi Paket

Keamanan merupakan hal yang sangat penting untuk administrator Falcot Corp. Maka, mereka perlu memastikan baha mereka hanya menginstall paket yang dijamin datang dari Debian dengan tanpa pemadatan. Seorang cracker komputer dapat mencoba untuk menambahkan kode jahat pada selain paket sah. Semacam paket, jika terinstall, dapat melakukan apapun yang didesain cracker untuk melakukannya, termasuk misalnya membongkar password atau informasi rahasia. Untuk menghindari resiko ini, Debian menyediakan sebuah bukti-padat segel untuk menjamin - pada saat instalasi - bahwa sebuah paket datang dari maintainer resminya dan belum dimodifikasi oleh pihak ketiga.
The seal works with a chain of cryptographical hashes and a signature. The signed file is the Release file, provided by the Debian mirrors. It contains a list of the Packages files (including their compressed forms, Packages.gz and Packages.xz, and the incremental versions), along with their MD5, SHA1 and SHA256 hashes, which ensures that the files haven't been tampered with. These Packages files contain a list of the Debian packages available on the mirror, along with their hashes, which ensures in turn that the contents of the packages themselves haven't been altered either.
Kunci terpercaya dikelola dengan perintah apt-key yang ditemukan dalam paket apt. Program ini memelihata sebuah keyring kunci publik GnuPG, yang digunakan untuk memverifikasi tanda-tangan dalam berkas Release.gpg tersedia di mirror. Dapat pula digunakan untuk menambahkan kunci baru secara otomatis (ketika mirror tak resmi diperlukan). Akan tetapi umumnya, hanya kunci resmi Debian yang diperlukan. Kunci ini secara otomatis dijaga ke-up-to-date-annya oleh paket debian-archive-keyring (yang menaruh keyring yang sesuai di /etc/apt/trusted.gpg.d). Akan tetapi, instalasi pertama pada paket tertentu ini memerlukan perhatian: bahkan jika paket ditandatangani seperti lainnya, tanda tangan tidak dapat terverifikasi secara eksternal. Karena itu administrator yang berhati-hati harus memeriksa sidik jari kunci yang diimpor sebelum memercayainya untuk menginstall paket baru:
# apt-key fingerprint
/etc/apt/trusted.gpg.d/debian-archive-jessie-automatic.gpg
----------------------------------------------------------
pub   4096R/2B90D010 2014-11-21 [expires: 2022-11-19]
      Key fingerprint = 126C 0D24 BD8A 2942 CC7D  F8AC 7638 D044 2B90 D010
uid                  Debian Archive Automatic Signing Key (8/jessie) <ftpmaster@debian.org>

/etc/apt/trusted.gpg.d/debian-archive-jessie-security-automatic.gpg
-------------------------------------------------------------------
pub   4096R/C857C906 2014-11-21 [expires: 2022-11-19]
      Key fingerprint = D211 6914 1CEC D440 F2EB  8DDA 9D6D 8F6B C857 C906
uid                  Debian Security Archive Automatic Signing Key (8/jessie) <ftpmaster@debian.org>

/etc/apt/trusted.gpg.d/debian-archive-jessie-stable.gpg
-------------------------------------------------------
pub   4096R/518E17E1 2013-08-17 [expires: 2021-08-15]
      Key fingerprint = 75DD C3C4 A499 F1A1 8CB5  F3C8 CBF8 D6FD 518E 17E1
uid                  Jessie Stable Release Key <debian-release@lists.debian.org>

/etc/apt/trusted.gpg.d/debian-archive-squeeze-automatic.gpg
-----------------------------------------------------------
pub   4096R/473041FA 2010-08-27 [expires: 2018-03-05]
      Key fingerprint = 9FED 2BCB DCD2 9CDF 7626  78CB AED4 B06F 4730 41FA
uid                  Debian Archive Automatic Signing Key (6.0/squeeze) <ftpmaster@debian.org>

/etc/apt/trusted.gpg.d/debian-archive-squeeze-stable.gpg
--------------------------------------------------------
pub   4096R/B98321F9 2010-08-07 [expires: 2017-08-05]
      Key fingerprint = 0E4E DE2C 7F3E 1FC0 D033  800E 6448 1591 B983 21F9
uid                  Squeeze Stable Release Key <debian-release@lists.debian.org>

/etc/apt/trusted.gpg.d/debian-archive-wheezy-automatic.gpg
----------------------------------------------------------
pub   4096R/46925553 2012-04-27 [expires: 2020-04-25]
      Key fingerprint = A1BD 8E9D 78F7 FE5C 3E65  D8AF 8B48 AD62 4692 5553
uid                  Debian Archive Automatic Signing Key (7.0/wheezy) <ftpmaster@debian.org>

/etc/apt/trusted.gpg.d/debian-archive-wheezy-stable.gpg
-------------------------------------------------------
pub   4096R/65FFB764 2012-05-08 [expires: 2019-05-07]
      Key fingerprint = ED6D 6527 1AAC F0FF 15D1  2303 6FB2 A1C2 65FF B764
uid                  Wheezy Stable Release Key <debian-release@lists.debian.org>
Sekali kunci yang sesuai ada di keyring, APT akan memeriksa tanda-tangan sebelum ada beberapa operasi beresiko, jadi front-end akan menampilkan sebuah peringatan jika diminta untuk menginstall sebuah paket yang otentitasnya tidak dapat ditetapkan.