APT-SECURE(8) APT APT-SECURE(8) NAME apt-secure - Archivauthentifizierungsunterstutzung fur APT BESCHREIBUNG Beginnend mit Version 0.6 enthalt APT Code, der die Signatur der Release-Datei fur alle Depots pruft. Dies stellt sicher, dass Daten wie Pakete im Archiv nicht von Leuten geandert werden konnen, die keinen Zugriff auf den Signierschlussel der Release-Datei haben. Beginnend mit Version 1.1 erfordert APT von Depots aktuelle Authentifizierungsinformationen fur den ungestorten Gebrauch des Depots bereitzustellen. Seit Version 1.5 mussen Informationen, die in der Release-Datei uber das Depot enthalten sind, bestatigt werden, bevor APT mit den Aktualisierungen aus diesem Depot fortfahrt. Hinweis: Alle APT-basierten Paketverwaltungsoberflachen wie apt-get(8), aptitude(8) und synaptic(8) unterstutzen diese Authentifizierungsfunktionalitat, daher verwendet diese Handbuchseite der Einfachheit halber exemplarisch fur alle APT. NICHT SIGNIERTE DEPOTS Falls ein Archiv eine nicht signierte oder uberhaupt keine Release-Datei hat, werden alle aktuellen APT-Versionen das Herunterladen von Daten von dort standardmassig in update-Aktionen verweigern. Sogar wenn Oberflachen wie apt-get(8) zum Herunterladen gezwungen werden, wird eine explizite Bestatigung benotigt, falls eine Installationsanfrage ein Paket aus einem derartigen nicht authentifizierten Archiv enthalt. Sie konnen erzwingen, dass alle APT-Clients nur Warnungen ausgeben, indem Sie die Konfigurationsoption Acquire::AllowInsecureRepositories auf true setzen. Uber die sources.list(5)-Option allow-insecure=yes kann auch erlaubt werden, dass individuelle Depots unsicher sind. Beachten Sie, dass von unsicheren Depots eindringlich abgeraten wird und alle Optionen, die APT zwingen, sie weiterhin zu unterstutzen, irgendwann entfernt werden. Benutzern steht auch die Option Trusted zur Verfugung, um sogar Warnungen auszuschalten, seien Sie sich aber sicher, dass Sie die in sources.list(5) erklarten Konsequenzen verstanden haben. Ein Depot, das vorher authentifiziert war, diesen Status jedoch bei einer update-Aktion verlieren wurde, gibt auf allen APT-Clients, ungeachtet der Option, die die Verwendung unsicherer Depots erlaubt oder verbietet, einen Fehler aus. Der Fehler kann durch zusatzliches Setzen von Acquire::AllowDowngradeToInsecureRepositories auf true oder fur individuelle Depots mit der sources.list(5)-Option allow-downgrade-to-insecure=yes ubergangen werden. SIGNIERTE DEPOTS Eine Kette des Vertrauens von einem APT-Archiv zum Endanwender wird durch verschiedene Schritte erreicht. apt-secure ist der letzte Schritt in dieser Kette. Einem Archiv zu vertrauen bedeutet nicht, dass Sie vertrauen, dass das Paket keinen schadhaften Code enthalt, aber es bedeutet, dass Sie dem Archivbetreuer vertrauen. Der Archivbetreuer ist dafur verantwortlich, dass er die Korrektheit der Integritat des Archivs aufrechterhalt. apt-secure uberpruft keine Signaturen auf einer Stufe der Pakete. Falls Sie ein Werkzeug benotigen, das dies tut, sollten Sie einen Blick auf debsig-verify und debsign werfen (bereitgestellt von den Paketen debsig-verify beziehungsweise devscripts). Die Kette des Vertrauens in Debian beginnt (z.B.), wenn ein Betreuer ein neues Paket oder eine neue Version eines Pakets in das Debian-Archiv hochladt. Damit es in Kraft tritt muss dieses Hochladen mit einem Schlussel signiert werden, der sich in einem der Schlusselbunde der Debian-Betreuer befindet (verfugbar im Paket >>debian-keyring<<). Betreuerschlussel werden von anderen Betreuern gemass vorbestimmter Regeln signiert, um die Identitat des Schlusselinhabers sicherzustellen. Ahnliche Ablaufe existieren in allen Debian-basierten Distributionen. Sobald das hochgeladene Paket uberpruft und dem Archiv hinzugefugt wurde, wird die Betreuersignatur entfernt, Prufsummen des Pakets werden berechnet und in die Datei Packages abgelegt. Die Prufsummen aller Packages-Dateien werden berechnet und in der Release-Datei abgelegt. Dann wird die Release-Datei durch den Archivschlussel fur diese Debian-Veroffentlichung signiert und zusammen mit den Paketen und Packages-Dateien auf Debian-Spiegel verteilt. Die Schlussel sind im Debian-Archivschlusselbund im Paket debian-archive-keyring verfugbar. Endanwender konnen die Signatur der Release-Datei prufen, die Prufsumme eines Paketes daraus entpacken und mit der Prufsumme des Pakets vergleichen, das sie manuell heruntergeladen haben - oder sich darauf verlassen, dass APT dies automatisch tut. Beachten Sie, dass sich dies vom Prufen gvonn Signaturen auf Paketbasis unterscheidet. Es wurde entworfen, um zwei mogliche Angriffe zu verhindern: o >>Man-in-the-middle<<-Netzwerkangriffe. Ohne Signaturprufung kann ein schadlicher Mittelsmann sich selbst in das Herunterladen von Paketen einbringen und Schadsoftware bereitstellen. Dies kann entweder durch Steuerung eines Netzwerkelements (Router, Switch, usw.) oder durch Umleiten des Netzverkehrs zu einem bosartigen Server (durch ARP- oder DNS-Manipulationsangriffe) erfolgen. o Spiegelnetzwerk-Gefahrdung. Ohne Signaturprufung kann ein schadlicher Mittelsmann einen Spiegelserver kompromittieren und die Dateien darauf verandern, um schadliche Software an alle Benutzer zu verbreiten, die Pakete von diesem Rechner herunterladen. Es schutzt jedoch nicht gegen eine Kompromittierung des Hauptservers selbst (der die Pakete signiert) oder gegen eine Kompromittierung des Schlussels, der zum Signieren der Release-Dateien benutzt wird. In jedem Fall kann dieser Mechanismus eine paketbasierte Signatur erganzen. INFORMATIONSANDERUNGEN Eine Release-Datei enthalt neben der Prufsumme fur die Dateien in dem Depot auch allgemeine Informationen uber das Depot wie die Herkunft, den Codenamen oder die Versionsnummer der Veroffentlichung. Diese Informationen werden an verschiedenen Stellen angezeigt, daher sollte ein Depot-Besitzer immer die Richtigkeit sicherstellen konnen. Desweiteren kann weitere Benutzerkonfiguration wie apt_preferences(5) kann von diesen Informationen abhangen und sie benutzen. Seit Version 1.5 muss der Benutzer daher Anderungen explizit bestatigen, um erkennen zu lassen, dass er ausreichend darauf vorbereitet ist, z.B. auf das neue Major Release der Distribution, das im Depot ausgeliefert wird (z.B. durch den Codenamen angegeben). BENUTZERKONFIGURATION apt-key ist das Programm, das die Liste der von APT verwendeten Schlussel verwaltet, aufgrund derer es Depots vertraut. Es kann benutzt werden, um Schlussel hinzuzufugen oder zu entfernen, sowie um vertrauenswurdige Schlussel aufzulisten. Welche(r) Schlussel welches Archiv signieren kann/konnen, kann per Signed-By in sources.list(5) eingeschrankt werden. Beachten Sie, dass eine Standardinstallation bereits alle Schlussel zum sicheren Beschaffen von Paketen aus den Standarddepots enthalt, daher ist das Frickeln mit apt-key nur notig, wenn Drittanbieterdepots hinzugefugt werden. Um einen neuen Schlussel hinzuzufugen, mussen Sie ihn zuerst herunterladen (Sie sollten sicherstellen, dass Sie einen vertrauenswurdigen Kommunikationskanal benutzen, wenn Sie ihn herunterladen), ihn mit apt-key hinzufugen und dann apt-get update ausfuhren, so dass APT die Dateien InRelease oder Release.gpg der von Ihnen konfigurierten Archive herunterladen und prufen kann. DEPOTKONFIGURATION Wenn Sie Archivsignaturen in einem von Ihnen betreuten Archiv zur Verfugung stellen mochten, mussen Sie: o Eine Release-Datei der obersten Stufe erzeugen, wenn sie nicht bereits existiert. Sie konnen dies erledigen, indem Sie apt-ftparchive release (aus apt-utils) ausfuhren. o Sie signieren. Sie konnen dies tun, indem Sie gpg --clearsign -o InRelease Release und gpg -abs -o Release.gpg Release ausfuhren. o Den Schlusselfingerabdruck veroffentlichen, damit Ihre Benutzer wissen, welchen Schlussel sie importieren mussen, um die Dateien im Archiv zu authentifizieren. Am besten liefern Sie Ihren Schlussel in einem eigenen Paket aus, wie dies Debian mit debian-archive-keyring macht, um spater automatisch Aktualisierungen und Schlusselwechsel durchfuhren zu konnen. o Anweisungen geben, wie Ihr Archiv und Ihr Schlussel hinzugefugt werden konnen. Falls Ihre Benutzer Ihren Schlussel nicht auf sichere Weise beschaffen konnen, ist die oben beschriebene Kette des Vertrauens unterbrochen. Wie Sie Benutzern helfen konnen, Ihren Schlussel hinzuzufugen, hangt von Ihrem Archiv und Ihrer Zielgruppe ab und reicht von der Bereitstellung des Schlusselrings als Teil eines anderen Archivs, das bei Ihren Benutzern bereits konfiguriert ist (wie den Standarddepots ihrer Distribution), bis hin zum Nutzen des Vertrauensnetzes. Immer wenn sich die Inhalte des Archivs andern (neue Pakete hinzugefugt oder entfernt werden), muss der Archivbetreuer den zwei ersten der oben skizzierten Schritten folgen. SIEHE AUCH apt.conf(5), apt-get(8), sources.list(5), apt-key(8), apt- ftparchive(1), debsign(1), debsig-verify(1), gpg(1) Um weitere Hintergrundinformationen zu erhalten, konnen Sie das Kapitel Die Infrastruktur fur Sicherheit in Debian[1] des Handbuchs >>Anleitung zum Absichern von Debian<< (auch im Paket harden-doc verfugbar) und das Strong Distribution HOWTO[2] von V. Alex Brennen lesen. FEHLER APT-Fehlerseite[3]. Wenn Sie einen Fehler in APT berichten mochten, lesen Sie bitte /usr/share/doc/debian/bug-reporting.txt oder den reportbug(1)-Befehl. Verfassen Sie Fehlerberichte bitte auf Englisch. AUTOR APT wurde vom APT-Team geschrieben . AUTOREN DER HANDBUCHSEITE Diese Handbuchseite basiert auf der Arbeit von Javier Fernandez-Sanguino Pena, Isaac Jones, Colin Walters, Florian Weimer und Michael Vogt. UBERSETZUNG Die deutsche Ubersetzung wurde 2009 von Chris Leick in Zusammenarbeit mit dem deutschen l10n-Team von Debian angefertigt. Beachten Sie, dass diese Ubersetzung Teile enthalten kann, die nicht ubersetzt wurden. Dies ist so, damit kein Inhalt verloren geht, wenn die Ubersetzung hinter dem Originalinhalt hinterherhangt. AUTOREN Jason Gunthorpe APT-Team FUssNOTEN 1. Die Infrastruktur fur Sicherheit in Debian https://www.debian.org/doc/manuals/securing-debian-howto/ch7 2. Strong Distribution HOWTO http://www.cryptnet.net/fdp/crypto/strong_distro.html 3. APT-Fehlerseite https://bugs.debian.org/src:apt APT 2.9.5 06 August 2016 APT-SECURE(8)