'\" t
.\" Title: apt-secure
.\" Author: Jason Gunthorpe
.\" Generator: DocBook XSL Stylesheets v1.78.1
.\" Date: 09\ \&Junio\ \&2012
.\" Manual: APT
.\" Source: APT 1.0.9.8.4
.\" Language: Spanish
.\"
.TH "APT\-SECURE" "8" "09\ \&Junio\ \&2012" "APT 1.0.9.8.4" "APT"
.\" -----------------------------------------------------------------
.\" * Define some portability stuff
.\" -----------------------------------------------------------------
.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.\" http://bugs.debian.org/507673
.\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html
.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.ie \n(.g .ds Aq \(aq
.el .ds Aq '
.\" -----------------------------------------------------------------
.\" * set default formatting
.\" -----------------------------------------------------------------
.\" disable hyphenation
.nh
.\" disable justification (adjust text to left margin only)
.ad l
.\" -----------------------------------------------------------------
.\" * MAIN CONTENT STARTS HERE *
.\" -----------------------------------------------------------------
.SH "NOMBRE"
apt-secure \- Compatibilidad con la autenticaci\('on en el archivo para APT
.SH "DESCRIPCI\('ON"
.PP
Desde la versi\('on 0\&.6,
\fBapt\fR
contiene el c\('odigo que realiza la comprobaci\('on de la firma del fichero \(FoRelease\(Fc para todos los archivos\&. Esto asegura que los paquetes del archivo no se han modificado por alguien sin acceso a la clave con la que se firm\('o el fichero \(FoRelease\(Fc\&.
.PP
Si el paquete viene de un archivo sin una firma o con una firma de la que apt no tiene su clave, el paquete se considerar\('a no fiable y su instalaci\('on provocar\('a un aviso importante\&.
\fBapt\-get\fR
actualmente s\('olo avisa de los archivos sin firmar, puede que las pr\('oximas versiones fuercen una comprobaci\('on de todas las fuentes antes de descargar paquetes desde ellas\&.
.PP
Las interfaces de gesti\('on de paquetes
\fBapt-get\fR(8),
\fBaptitude\fR(8)
y
\fBsynaptic\fR(8)
pueden usar esta nueva funcionalidad de autenticaci\('on\&.
.SH "ARCHIVOS DE CONFIANZA"
.PP
La cadena de confianza desde un archivo apt a un usuario final se realiza en diferentes pasos\&.
\fBapt\-secure\fR
es el \('ultimo paso en esta cadena; confiar en un archivo no implica que los paquetes en los que se conf\('ia no contengan c\('odigo malicioso, pero significa que se conf\('ia en el responsable del archivo\&. El responsable del archivo es el responsable de asegurar que la integridad del archivo es correcta\&.
.PP
apt\-secure no revisa las firmas a nivel de paquete\&. Si necesita herramientas para realizar esto, deber\('ia ver
\fBdebsig\-verify\fR
y
\fBdebsign\fR
(proporcionados en los paquetes debsig\-verify y devscripts respectivamente)\&.
.PP
La cadena de confianza de Debian comienza cuando un mantenedor sube un nuevo paquete o una nueva versi\('on de un paquete al archivo de Debian\&. Para que la subida sea efectiva, se debe firmar con una clave de un mantenedor del registro de claves de los mantenedores de Debian (disponible en el paquete debian\-keyring)\&. Las claves de los mantenedores son firmados por otros mantenedores siguiendo unos procedimientos pre\-establecidos para asegurar la identidad del propietario de la clave\&.
.PP
Una vez que el paquete enviado se ha verificado e incluido en el archivo, se elimina la firma del mantenedor, y se realizan las sumas de control del paquete, que se incluyen en el fichero \(FoPackages\(Fc\&. A continuaci\('on, se realiza una suma de control de todos los ficheros \(FoPackage\(Fc, y se incluyen en el fichero \(FoRelease\(Fc\&. Acto seguido, el fichero \(FoRelease\(Fc se firma con la clave del archivo de esta distribuci\('on de Debian, y se distribuye junto con los paquetes y los ficheros \(FoPackages\(Fc de las r\('eplicas de Debian\&. Las claves est\('an disponibles en el registro de claves del archivo Debian en el paquete
debian\-archive\-keyring
package\&.
.PP
El usuario final puede comprobar la firma del fichero \(FoRelease\(Fc, extraer la suma de control de un paquete de \('el y compararlo con la suma de control del paquete descargado manualmente, o depender de la comprobaci\('on autom\('atica de APT\&.
.PP
Tenga en cuenta que esto es distinto a comprobar las firmas de cada paquete individualmente\&. Se dise\(~n\('o para prevenir dos posible ataques:
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Ataques de red \(Foman in the middle\(Fc (persona entre medias)\&. Sin la comprobaci\('on de las firmas, se puede introducir un agente da\(~nino en el proceso de descarga del paquete que ejecute programas con contenido malicioso para controlar un elemento de la red (enrutador, switch, etc) o para redirigir el tr\('afico a un servidor ficticio (mediante ataques de envenenamiento de ARP o de DNS)\&.
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
R\('eplica de la red comprometida\&. Sin la comprobaci\('on de la firma, una persona malvada puede comprometer una r\('eplica y modificar los ficheros de \('esta para propagar programas con contenido malicioso a todos los usuarios que descarguen paquetes de dicha r\('eplica\&.
.RE
.PP
Sin embargo, esto no protege de un servidor maestro de Debian (que firma los paquetes) comprometido o contra una clave usada para firmar los ficheros \(FoRelease\(Fc comprometida\&. En cualquier caso, este mecanismo puede complementar una firma por paquete\&.
.SH "CONFIGURACI\('ON DE USUARIO"
.PP
\fBapt\-key\fR
es el programa que gestiona la lista de claves usadas por apt\&. Se puede usar para a\(~nadir o eliminar claves, aunque la instalaci\('on de esta versi\('on contiene autom\('aticamente las claves predeterminadas del archivo de Debian que se usan en los repositorios de paquetes de Debian\&.
.PP
Para poder a\(~nadir una clave nueva primero necesita descargarla (deber\('ia asegurarse de que est\('a usando un canal de comunicaci\('on seguro cuando la consiga), a\(~n\('adala con
\fBapt\-key\fR
y ejecute
\fBapt\-get update\fR
para que apt descargue y compruebe los ficheros
InRelease
o
Release\&.gpg
de los archivos de paquetes configurados\&.
.SH "CONFIGURACI\('ON DEL ARCHIVO"
.PP
Si quiere proporcionar firmas de archivo en un archivo bajo su control tiene que:
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fICrear un fichero \(FoRelease\(Fc\fR, si no existe\&. Para ello se ejecuta
\fBapt\-ftparchive release\fR
(proporcionado en apt\-utils)\&.
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fIFirme el fichero\fR\&. Para ello, puede ejecutar
\fBgpg \-\-clearsign \-o InRelease Release\fR
y
\fBgpg \-abs \-o Release\&.gpg Release\fR\&.
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fIPublicar la huella digital de la clave\fR, de modo que los usuarios conozcan qu\('e clave necesitan importar para autenticar los ficheros del archivo\&.
.RE
.PP
Cuando los contenidos del archivo cambien (se a\(~nadan paquetes nuevos o se eliminen) el mantenedor del archivo tiene que seguir los dos primeros pasos explicados anteriormente\&.
.SH "V\('EASE TAMBI\('EN"
.PP
\fBapt.conf\fR(5),
\fBapt-get\fR(8),
\fBsources.list\fR(5),
\fBapt-key\fR(8),
\fBapt-ftparchive\fR(1),
\fBdebsign\fR(1),
\fBdebsig-verify\fR(1),
\fBgpg\fR(1)
.PP
Para m\('as informaci\('on puede que quiera revisar el cap\('itulo de la
\m[blue]\fBInfraestructura de Seguridad de Debian\fR\m[]\&\s-2\u[1]\d\s+2
del Manual de Seguridad de Debian (tambi\('en disponible en el paquete harden\-doc) y el
\m[blue]\fBCOMO Fortificar una Distribuci\('on\fR\m[]\&\s-2\u[2]\d\s+2
de V\&. Alex Brennen\&.
.SH "BUGS"
.PP
\m[blue]\fBP\('agina de errores de APT\fR\m[]\&\s-2\u[3]\d\s+2\&. Si quiere informar de un error en APT, consulte
/usr/share/doc/debian/bug\-reporting\&.txt
o use la orden
\fBreportbug\fR(1)\&.
.SH "AUTOR"
.PP
El equipo APT
escribi\('o apt\&.
.SH "AUTORES DE LA P\('AGINA DEL MANUAL"
.PP
Esta p\('agina del manual se basa en el trabajo de Javier Fern\('andez\-Sanguino Pe\(~na, Isaac Jones, Colin Walters, Florian Weimer y Michael Vogt\&.
.SH "TRADUCCI\('ON"
.PP
La traducci\('on al espa\(~nol la realizaron Ismael Fanlo, Carlos Mestre, Rudy Godoy, Gustavo Saldumbide, Javier Fern\('andez\-Sanguino y Rub\('en Porras Campo entre los a\(~nos 2003 y 2004\&. La traducci\('on fue actualizada por Francisco Javier Cuadrado y Omar Campagne Polaino entre los a\(~nos 2009 y 2012 \&.
.PP
Tenga en cuenta que este documento puede contener secciones sin traducir\&. Esto es intencionado para evitar perder contenido cuando la traducci\('on no est\('a actualizada con respecto al documento original\&.
.SH "AUTORES"
.PP
\fBJason Gunthorpe\fR
.RS 4
.RE
.PP
\fBEquipo de APT\fR
.RS 4
.RE
.SH "NOTAS"
.IP " 1." 4
Infraestructura de Seguridad de Debian
.RS 4
\%http://www.debian.org/doc/manuals/securing-debian-howto/ch7
.RE
.IP " 2." 4
COMO Fortificar una Distribuci\('on
.RS 4
\%http://www.cryptnet.net/fdp/crypto/strong_distro.html
.RE
.IP " 3." 4
P\('agina de errores de APT
.RS 4
\%http://bugs.debian.org/src:apt
.RE