Falcot Corp の管理者にとって、セキュリティはとても重要です。つまり管理者は、パッケージが途中で改竄されていないこと、確かに Debian から提供されていることを確認し、確認のとれたパッケージだけをインストールしなければいけません。コンピュータクラッカーは、他の合法的なパッケージに悪意あるコードを追加しようと試みます。そのようなパッケージがインストールされた場合、クラッカーが設計したことは何でも、たとえばパスワードや機密情報の漏洩などでも、実行されます。この危険性を回避するために、Debian は不正加工を防ぐ封印を提供し、インストール時にそのパッケージが、公式メンテナから提供されたものと本当に同じこと、第三者によって変更されていないこと、を保証します。
この封印は一連の暗号学的ハッシュと署名を使って行われます。署名されたファイルは Release
ファイルで、Debian ミラーから提供されます。このファイルには、Packages
ファイル (Packages.gz
、Packages.xz
、そして増分バージョンの圧縮形式など) のリストが改竄されていないことを保証するための MD5、SHA1、SHA256 ハッシュと一緒に含まれています。Packages
ファイルには、ミラーで提供されている Debian パッケージのリストがパッケージの内容が変更されていないことを保証するハッシュと一緒に含まれています。
信頼された鍵は apt パッケージから提供される apt-key
コマンドで管理されます。このプログラムは GnuPG 公開鍵の鍵束を保守し、この鍵束はミラーから提供される Release.gpg
ファイルに含まれる署名を検証するために使われます。新しい鍵を手作業で追加する場合 (非公式ミラーでこれが必要な場合) にも使われます。しかしながら一般的に、公式の Debian 鍵以外は不要です。これらの鍵は debian-archive-keyring パッケージによって自動的に最新の状態に維持されます (対応する鍵束を /etc/apt/trusted.gpg.d
に格納します)。しかしながら、debian-archive-keyring パッケージを初めてインストールする際には用心が必要です。すなわち、たとえ debian-archive-keyring パッケージが他のパッケージと同様に署名されていたとしても、その署名を外部から検証できません。そんなわけで、注意深い管理者なら、新しいパッケージをインストールするために取り込まれた鍵を信用する前にその鍵の指紋を確認するべきです。
# apt-key fingerprint
/etc/apt/trusted.gpg.d/debian-archive-jessie-automatic.gpg
----------------------------------------------------------
pub 4096R/2B90D010 2014-11-21 [満了: 2022-11-19]
指紋 = 126C 0D24 BD8A 2942 CC7D F8AC 7638 D044 2B90 D010
uid Debian Archive Automatic Signing Key (8/jessie) <ftpmaster@debian.org>
/etc/apt/trusted.gpg.d/debian-archive-jessie-security-automatic.gpg
-------------------------------------------------------------------
pub 4096R/C857C906 2014-11-21 [満了: 2022-11-19]
指紋 = D211 6914 1CEC D440 F2EB 8DDA 9D6D 8F6B C857 C906
uid Debian Security Archive Automatic Signing Key (8/jessie) <ftpmaster@debian.org>
/etc/apt/trusted.gpg.d/debian-archive-jessie-stable.gpg
-------------------------------------------------------
pub 4096R/518E17E1 2013-08-17 [満了: 2021-08-15]
指紋 = 75DD C3C4 A499 F1A1 8CB5 F3C8 CBF8 D6FD 518E 17E1
uid Jessie Stable Release Key <debian-release@lists.debian.org>
/etc/apt/trusted.gpg.d/debian-archive-squeeze-automatic.gpg
-----------------------------------------------------------
pub 4096R/473041FA 2010-08-27 [満了: 2018-03-05]
指紋 = 9FED 2BCB DCD2 9CDF 7626 78CB AED4 B06F 4730 41FA
uid Debian Archive Automatic Signing Key (6.0/squeeze) <ftpmaster@debian.org>
/etc/apt/trusted.gpg.d/debian-archive-squeeze-stable.gpg
--------------------------------------------------------
pub 4096R/B98321F9 2010-08-07 [満了: 2017-08-05]
指紋 = 0E4E DE2C 7F3E 1FC0 D033 800E 6448 1591 B983 21F9
uid Squeeze Stable Release Key <debian-release@lists.debian.org>
/etc/apt/trusted.gpg.d/debian-archive-wheezy-automatic.gpg
----------------------------------------------------------
pub 4096R/46925553 2012-04-27 [満了: 2020-04-25]
指紋 = A1BD 8E9D 78F7 FE5C 3E65 D8AF 8B48 AD62 4692 5553
uid Debian Archive Automatic Signing Key (7.0/wheezy) <ftpmaster@debian.org>
/etc/apt/trusted.gpg.d/debian-archive-wheezy-stable.gpg
-------------------------------------------------------
pub 4096R/65FFB764 2012-05-08 [満了: 2019-05-07]
指紋 = ED6D 6527 1AAC F0FF 15D1 2303 6FB2 A1C2 65FF B764
uid Wheezy Stable Release Key <debian-release@lists.debian.org>
適切な鍵を鍵束の中に追加すれば、APT は危険性の高い操作の前に署名を確認します。こうすることで、信頼性が確定できないパッケージをインストールするよう要求された場合に、フロントエンドは警告を表示するようになります。