'\" t
.\" Title: apt-secure
.\" Author: Jason Gunthorpe
.\" Generator: DocBook XSL Stylesheets v1.78.1
.\" Date: 09\ \&Juni\ \&2012
.\" Manual: APT
.\" Source: APT 1.0.9.8.4
.\" Language: German
.\"
.TH "APT\-SECURE" "8" "09\ \&Juni\ \&2012" "APT 1.0.9.8.4" "APT"
.\" -----------------------------------------------------------------
.\" * Define some portability stuff
.\" -----------------------------------------------------------------
.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.\" http://bugs.debian.org/507673
.\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html
.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.ie \n(.g .ds Aq \(aq
.el .ds Aq '
.\" -----------------------------------------------------------------
.\" * set default formatting
.\" -----------------------------------------------------------------
.\" disable hyphenation
.nh
.\" disable justification (adjust text to left margin only)
.ad l
.\" -----------------------------------------------------------------
.\" * MAIN CONTENT STARTS HERE *
.\" -----------------------------------------------------------------
.SH "NAME"
apt-secure \- Archivauthentifizierungsunterst\(:utzung f\(:ur APT
.SH "BESCHREIBUNG"
.PP
Beginnend mit Version 0\&.6 enth\(:alt
\fBapt\fR
Code, der die Signatur der Release\-Datei f\(:ur alle Archive pr\(:uft\&. Dies stellt sicher, dass Pakete im Archiv nicht von Leuten ge\(:andert werden k\(:onnen, die keinen Zugriff auf den Signierschl\(:ussel der Release\-Datei haben\&.
.PP
Wenn ein Paket aus einem Archiv ohne Signatur stammt oder einem mit Signatur, f\(:ur das APT keinen Schl\(:ussel hat, wird dieses Paket als nicht vertrauensw\(:urdig angesehen und es zu installieren, f\(:uhrt zu einer gro\(ssen Warnung\&.
\fBapt\-get\fR
wird aktuell nur bei nicht signierten Archiven warnen, zuk\(:unftige Releases k\(:onnten die Pr\(:ufung aller Quellen vor dem Herunterladen von Paketen von dort erzwingen\&.
.PP
Die Paketoberfl\(:achen
\fBapt-get\fR(8),
\fBaptitude\fR(8)
und
\fBsynaptic\fR(8)
unterst\(:utzen diese neue Authentifizierungsfunktion\&.
.SH "VERTRAUENSW\(:URDIGE ARCHIVE"
.PP
Eine Kette des Vertrauens von einem APT\-Archiv zum Endanwender wird durch verschiedene Schritte erreicht\&.
\fBapt\-secure\fR
ist der letzte Schritt in dieser Kette\&. Einem Archiv zu vertrauen bedeutet nicht, dass das Paket, dem Sie vertrauen, keinen schadhaften Code enth\(:alt, aber es bedeutet, dass Sie dem Archivbetreuer vertrauen\&. Der Archivbetreuer ist daf\(:ur verantwortlich, dass er die Korrektheit der Integrit\(:at des Archivs sicherstellt\&.
.PP
apt\-secure \(:uberpr\(:uft keine Signaturen auf einer Ebene des Pakets\&. Falls Sie ein Werkzeug ben\(:otigen, das dies tut, sollten Sie einen Blick auf
\fBdebsig\-verify\fR
und
\fBdebsign\fR
werfen (bereitgestellt von den Paketen debsig\-verify beziehungsweise devscripts)\&.
.PP
Die Kette des Vertrauens in Debian beginnt, wenn eine Betreuer ein neues Paket oder eine neue Version eines Pakets in das Debian\-Archiv hochl\(:adt\&. Dieser Upload muss mit einem Schl\(:ussel des Betreuers, der sich im Schl\(:usselbund der Debian\-Betreuer befindet (verf\(:ugbar im Paket debian\-keyring) signiert werden\&. Betreuerschl\(:ussel werden von anderen Betreuern gem\(:a\(ss vorbestimmter Regeln signiert, um die Identit\(:at des Schl\(:usselinhabers sicherzustellen\&.
.PP
Sobald das hochgeladene Paket \(:uberpr\(:uft und dem Archiv hinzugef\(:ugt wurde, wird die Betreuersignatur entfernt, Pr\(:ufsummen des Pakets werden berechnet und in die Datei Packages abgelegt\&. Die Pr\(:ufsummen aller Paketdateien werden berechnet und in der Release\-Datei abgelegt\&. Dann wird die Release\-Datei durch den Archivschl\(:ussel f\(:ur diese Debian\-Ver\(:offentlichung signiert und zusammen mit den Paketen und Packages\-Dateien auf Debian\-Spiegel verteilt\&. Die Schl\(:ussel sind im Debian\-Archivschl\(:usselbund im Paket
debian\-archive\-keyring
verf\(:ugbar\&.
.PP
Endanwender k\(:onnen die Signatur der Release\-Datei pr\(:ufen, die Pr\(:ufsumme eines Paketes daraus entpacken und mit der Pr\(:ufsumme des Pakets vergleichen, das sie manuell heruntergeladen haben \(en oder sich darauf verlassen, dass APT dies automatisch tut\&.
.PP
Beachten Sie, dass dies verschieden von gepr\(:uften Signaturen auf Paketbasis ist\&. Es wurde entworfen, um zwei m\(:ogliche Angriffe zu verhindern:
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Network "man in the middle" attacks\&. Ohne Signaturpr\(:ufung kann ein sch\(:adlicher Mittelsmann sich selbst in das Herunterladen von Paketen einbringen und Schadsoftware bereitstellen\&. Dies kann entweder durch Kontrolle eines Netzwerkelements (Router, Switch, etc\&.) oder durch Umleiten des Netzverkehrs zu einem b\(:osartigen Server (durch ARP\- oder DNS\-Manipulationsangriffe) erfolgen\&.
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Mirror network compromise\&. Ohne Signaturpr\(:ufung kann ein sch\(:adlicher Mittelsmann einen Spiegelserver kompromittieren und die Dateien darauf ver\(:andern, um sch\(:adliche Software an alle Anwender zu verbreiten, die Pakete von diesem Rechner herunterladen\&.
.RE
.PP
Es sch\(:utzt jedoch nicht gegen eine Kompromittierung des Haupt\-Debian\-Servers selbst (der die Pakete signiert) oder gegen eine Kompromittierung des Schl\(:ussels, der zum Signieren der Release\-Dateien benutzt wird\&. In jedem Fall kann dieser Mechanismus eine Signatur pro Paket erg\(:anzen\&.
.SH "BENUTZERKONFIGURATION"
.PP
\fBapt\-key\fR
ist das Programm, das die Liste der von APT verwendeten Schl\(:ussel verwaltet\&. Es kann benutzt werden, um Schl\(:ussel hinzuzuf\(:ugen oder zu entfernen, obwohl eine Installation dieses Releases automatisch die Standard\-Debian\-Archivsignierschl\(:ussel bereitstellt, die in den Debian\-Paketdepots benutzt werden\&.
.PP
Um einen neuen Schl\(:ussel hinzuzuf\(:ugen, m\(:ussen Sie ihn zuerst herunterladen (Sie sollten sicherstellen, dass Sie einen vertrauensw\(:urdigen Kommunikationskanal benutzen, wenn Sie ihn herunterladen), ihn mit
\fBapt\-key\fR
hinzuf\(:ugen und dann
\fBapt\-get update\fR
ausf\(:uhren, so dass APT die Dateien
InRelease
oder
Release\&.gpg
der von Ihnen konfigurierten Archive herunterladen und pr\(:ufen kann\&.
.SH "ARCHIVKONFIGURATION"
.PP
Wenn Sie Archivsignaturen in einem von Ihnen betreuten Archiv zur Verf\(:ugung stellen m\(:ochten, m\(:ussen Sie:
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fIerzeugt einer Release\-Datei der obersten Stufe\fR, wenn sie nicht bereits existiert\&. Sie k\(:onnen dies erledigen, indem Sie
\fBapt\-ftparchive release\fR
(aus apt\-utils) ausf\(:uhren\&.
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fISignieren Sie es\fR\&. Sie k\(:onnen dies tun, indem Sie
\fBgpg \-\-clearsign \-o InRelease Release\fR
und
\fBgpg \-abs \-o Release\&.gpg Release\fR
ausf\(:uhren\&.
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fIVer\(:offentlichen Sie den Schl\(:usselfingerabdruck\fR, damit Ihre Anwender wissen, welchen Schl\(:ussel sie importieren m\(:ussen, um die Dateien im Archiv zu authentifizieren\&.
.RE
.PP
Immer wenn sich die Inhalte des Archivs \(:andern (neue Pakete hinzugef\(:ugt oder entfernt werden), muss der Archivbetreuer den beiden zuerst skizzierten Schritten folgen\&.
.SH "SIEHE AUCH"
.PP
\fBapt.conf\fR(5),
\fBapt-get\fR(8),
\fBsources.list\fR(5),
\fBapt-key\fR(8),
\fBapt-ftparchive\fR(1),
\fBdebsign\fR(1),
\fBdebsig-verify\fR(1),
\fBgpg\fR(1)
.PP
Um weitere Hintergrundinformationen zu erhalten, k\(:onnen Sie die
\m[blue]\fBDie Infrastruktur f\(:ur Sicherheit in Debian\fR\m[]\&\s-2\u[1]\d\s+2\-Kapitel des Handbuchs \(FcAnleitung zum Absichern von Debian\(Fo (auch verf\(:ugbar im Paket harden\-doc) und dem
\m[blue]\fBStrong Distribution HOWTO\fR\m[]\&\s-2\u[2]\d\s+2
von V\&. Alex Brennen lesen\&.
.SH "FEHLER"
.PP
\m[blue]\fBAPT\-Fehlerseite\fR\m[]\&\s-2\u[3]\d\s+2\&. Wenn Sie einen Fehler in APT berichten m\(:ochten, lesen Sie bitte
/usr/share/doc/debian/bug\-reporting\&.txt
oder den
\fBreportbug\fR(1)\-Befehl\&. Verfassen Sie Fehlerberichte bitte auf Englisch\&.
.SH "AUTOR"
.PP
APT wurde vom APT\-Team geschrieben
\&.
.SH "AUTOREN DER HANDBUCHSEITE"
.PP
Diese Handbuchseite basiert auf der Arbeit von Javier Fern\('andez\-Sanguino Pe\(~na, Isaac Jones, Colin Walters, Florian Weimer und Michael Vogt\&.
.SH "\(:UBERSETZUNG"
.PP
Die deutsche \(:Ubersetzung wurde 2009 von Chris Leick
in Zusammenarbeit mit dem deutschen l10n\-Team von Debian
angefertigt\&.
.PP
Beachten Sie, dass diese \(:Ubersetzung Teile enthalten kann, die nicht \(:ubersetzt wurden\&. Dies ist so, damit kein Inhalt verloren geht, wenn die \(:Ubersetzung hinter dem Originalinhalt hinterherh\(:angt\&.
.SH "AUTOREN"
.PP
\fBJason Gunthorpe\fR
.RS 4
.RE
.PP
\fBAPT\-Team\fR
.RS 4
.RE
.SH "FU\(ssNOTEN"
.IP " 1." 4
Die Infrastruktur f\(:ur Sicherheit in Debian
.RS 4
\%http://www.debian.org/doc/manuals/securing-debian-howto/ch7.de.html
.RE
.IP " 2." 4
Strong Distribution HOWTO
.RS 4
\%http://www.cryptnet.net/fdp/crypto/strong_distro.html
.RE
.IP " 3." 4
APT-Fehlerseite
.RS 4
\%http://bugs.debian.org/src:apt
.RE