Product SiteDocumentation Site

6.6. Pemeriksaan Otentikasi Paket

Keamanan merupakan hal yang sangat penting untuk administrator Falcot Corp. Maka, mereka perlu memastikan baha mereka hanya menginstall paket yang dijamin datang dari Debian dengan tanpa pemadatan. Seorang cracker komputer dapat mencoba untuk menambahkan kode jahat pada selain paket sah. Semacam paket, jika terinstall, dapat melakukan apapun yang didesain cracker untuk melakukannya, termasuk misalnya membongkar password atau informasi rahasia. Untuk menghindari resiko ini, Debian menyediakan sebuah bukti-padat segel untuk menjamin - pada saat instalasi - bahwa sebuah paket datang dari maintainer resminya dan belum dimodifikasi oleh pihak ketiga.
Segel bekerja dengan rantai kriptografi hash dan sebuah tanda-tangan dan dijelaskan secara rinci dalam apt-secure(8). Mulai dari Debian 10 Buster berkas yang ditandatangani adalah berkas InRelease, disediakan oleh mirror Debian. Juga ada berkas warisan bernama Release. Keduanya berisi daftar berkas Packages (termasuk bentuk terkompresi mereka, Packages.gz dam Packages.xz, dan versi yang meningkat), bersama dengan hash SHA256 mereka, yang memastikan bahwa berkas belum dirusak. Berkas Packages ini berisi daftar paket Debian yang tersedia pada mirror, bersama dengan hash mereka, yang memastikan bahwa isi paket itu sendiri juga belum berubah. Perbedaan antara InRelease dan Release adalah bahwa yang pertama ditandatangani secara kriptografis secara in-line, sedangkan yang terakhir memberikan tanda tangan terpisah dalam bentuk berkas Release.gpg.
APT memerlukan sekumpulan kunci publik GnuPG tepercaya untuk memverifikasi tanda tangan di berkas InRelease dan Release.gpg yang tersedia di mirror. Itu mendapatkannya dari berkas di /etc/apt/trusted.gpg.d/ dan dari ring kunci /etc/apt/trusted.gpg (dikelola oleh apt-key). Kunci resmi Debian disediakan dan selalu diperbarui oleh paket debian-archive-keyring yang menempatkannya di /etc/apt/trusted.gpg.d/. Namun, perhatikan bahwa penginstalan pertama paket khusus ini memerlukan kehati-hatian: meskipun paket tersebut ditandatangani seperti yang lain, tanda tangan tidak dapat diverifikasi secara eksternal. Oleh karena itu, administrator yang berhati-hati harus memeriksa sidik jari dari kunci yang diimpor sebelum mempercayai mereka untuk menginstal paket baru:
# apt-key fingerprint
/etc/apt/trusted.gpg.d/debian-archive-buster-automatic.gpg
----------------------------------------------------------
pub   rsa4096 2019-04-14 [SC] [expires: 2027-04-12]
      80D1 5823 B7FD 1561 F9F7  BCDD DC30 D7C2 3CBB ABEE
uid           [ unknown] Debian Archive Automatic Signing Key (10/buster) <ftpmaster@debian.org>
sub   rsa4096 2019-04-14 [S] [expires: 2027-04-12]

/etc/apt/trusted.gpg.d/debian-archive-buster-security-automatic.gpg
-------------------------------------------------------------------
pub   rsa4096 2019-04-14 [SC] [expires: 2027-04-12]
      5E61 B217 265D A980 7A23  C5FF 4DFA B270 CAA9 6DFA
uid           [ unknown] Debian Security Archive Automatic Signing Key (10/buster) <ftpmaster@debian.org>
sub   rsa4096 2019-04-14 [S] [expires: 2027-04-12]

/etc/apt/trusted.gpg.d/debian-archive-buster-stable.gpg
-------------------------------------------------------
pub   rsa4096 2019-02-05 [SC] [expires: 2027-02-03]
      6D33 866E DD8F FA41 C014  3AED DCC9 EFBF 77E1 1517
uid           [ unknown] Debian Stable Release Key (10/buster) <debian-release@lists.debian.org>

/etc/apt/trusted.gpg.d/debian-archive-jessie-automatic.gpg
----------------------------------------------------------
pub   rsa4096 2014-11-21 [SC] [expires: 2022-11-19]
      126C 0D24 BD8A 2942 CC7D  F8AC 7638 D044 2B90 D010
uid           [ unknown] Debian Archive Automatic Signing Key (8/jessie) <ftpmaster@debian.org>

/etc/apt/trusted.gpg.d/debian-archive-jessie-security-automatic.gpg
-------------------------------------------------------------------
pub   rsa4096 2014-11-21 [SC] [expires: 2022-11-19]
      D211 6914 1CEC D440 F2EB  8DDA 9D6D 8F6B C857 C906
uid           [ unknown] Debian Security Archive Automatic Signing Key (8/jessie) <ftpmaster@debian.org>

/etc/apt/trusted.gpg.d/debian-archive-jessie-stable.gpg
-------------------------------------------------------
pub   rsa4096 2013-08-17 [SC] [expires: 2021-08-15]
      75DD C3C4 A499 F1A1 8CB5  F3C8 CBF8 D6FD 518E 17E1
uid           [ unknown] Jessie Stable Release Key <debian-release@lists.debian.org>

/etc/apt/trusted.gpg.d/debian-archive-stretch-automatic.gpg
-----------------------------------------------------------
pub   rsa4096 2017-05-22 [SC] [expires: 2025-05-20]
      E1CF 20DD FFE4 B89E 8026  58F1 E0B1 1894 F66A EC98
uid           [ unknown] Debian Archive Automatic Signing Key (9/stretch) <ftpmaster@debian.org>
sub   rsa4096 2017-05-22 [S] [expires: 2025-05-20]

/etc/apt/trusted.gpg.d/debian-archive-stretch-security-automatic.gpg
--------------------------------------------------------------------
pub   rsa4096 2017-05-22 [SC] [expires: 2025-05-20]
      6ED6 F5CB 5FA6 FB2F 460A  E88E EDA0 D238 8AE2 2BA9
uid           [ unknown] Debian Security Archive Automatic Signing Key (9/stretch) <ftpmaster@debian.org>
sub   rsa4096 2017-05-22 [S] [expires: 2025-05-20]

/etc/apt/trusted.gpg.d/debian-archive-stretch-stable.gpg
--------------------------------------------------------
pub   rsa4096 2017-05-20 [SC] [expires: 2025-05-18]
      067E 3C45 6BAE 240A CEE8  8F6F EF0F 382A 1A7B 6500
uid           [ unknown] Debian Stable Release Key (9/stretch) <debian-release@lists.debian.org>

Sekali kunci yang sesuai ada di keyring, APT akan memeriksa tanda-tangan sebelum ada beberapa operasi beresiko, jadi front-end akan menampilkan sebuah peringatan jika diminta untuk menginstall sebuah paket yang otentitasnya tidak dapat ditetapkan.