'\" t
.\" Title: apt-secure
.\" Author: Jason Gunthorpe
.\" Generator: DocBook XSL Stylesheets v1.78.1
.\" Date: 09\ \&giugno\ \&2012
.\" Manual: APT
.\" Source: APT 1.0.9.8.4
.\" Language: Italian
.\"
.TH "APT\-SECURE" "8" "09\ \&giugno\ \&2012" "APT 1.0.9.8.4" "APT"
.\" -----------------------------------------------------------------
.\" * Define some portability stuff
.\" -----------------------------------------------------------------
.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.\" http://bugs.debian.org/507673
.\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html
.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.ie \n(.g .ds Aq \(aq
.el .ds Aq '
.\" -----------------------------------------------------------------
.\" * set default formatting
.\" -----------------------------------------------------------------
.\" disable hyphenation
.nh
.\" disable justification (adjust text to left margin only)
.ad l
.\" -----------------------------------------------------------------
.\" * MAIN CONTENT STARTS HERE *
.\" -----------------------------------------------------------------
.SH "NOME"
apt-secure \- supporto per l\*(Aqautenticazione degli archivi per APT
.SH "DESCRIZIONE"
.PP
A partire dalla versione 0\&.6,
\fBapt\fR
contiene del codice che controlla le firme dei file Release per tutti gli archivi\&. Ci\(`o assicura che i pacchetti in quegli archivi non possano essere modificati da persone che non hanno accesso alla chiave di firma dei file Release\&.
.PP
Se un pacchetto proviene da un archivio senza una firma, o con una firma per la quale apt non ha una chiave, tale pacchetto viene considerato non fidato e quando lo si installa si ottiene un importante avvertimento\&.
\fBapt\-get\fR
attualmente avverte solamente in caso di archivi non firmati; le versioni future potrebbero forzare la verifica di tutte le fonti prima di scaricare pacchetti da esse\&.
.PP
I frontend per i pacchetti
\fBapt-get\fR(8),
\fBaptitude\fR(8)
e
\fBsynaptic\fR(8)
supportano questa nuova funzionalit\(`a di autenticazione\&.
.SH "ARCHIVI FIDATI"
.PP
La catena di fiducia da un archivio apt all\*(Aqutente finale \(`e composta di vari passaggi intermedi\&.
\fBapt\-secure\fR
\(`e l\*(Aqultimo della catena; il fatto che si abbia fiducia in un archivio non significa che si abbia fiducia che i suoi pacchetti non contengano codice malevolo, ma significa che si ha fiducia nel manutentore dell\*(Aqarchivio\&. \(`E responsabilit\(`a del manutentore dell\*(Aqarchivio assicurare che sia preservata l\*(Aqintegrit\(`a dell\*(Aqarchivio\&.
.PP
apt\-secure non controlla le firme a livello di pacchetto\&. Se si desiderano strumenti per farlo, si possono guardare
\fBdebsig\-verify\fR
e
\fBdebsign\fR
(forniti rispettivamente nei pacchetti debsig\-verify e devscripts)\&.
.PP
La catena di fiducia in Debian ha inizio quando un manutentore carica un nuovo pacchetto o una nuova versione di un pacchetto nell\*(Aqarchivio Debian\&. Per poter diventare effettivo, questo caricamento deve essere firmato con una chiave contenuta nel portachiavi dei manutentori Debian (disponibile nel pacchetto debian\-keyring)\&. Le chiavi dei manutentori sono firmate da altri manutentori seguendo delle procedure prestabilite, per assicurare l\*(Aqidentit\(`a del proprietario della chiave\&.
.PP
Una volta che il pacchetto caricato \(`e verificato e incluso nell\*(Aqarchivio, la firma del manutentore viene rimossa e i codici di controllo del pacchetto vengono calcolati e messi nel file Packages\&. Vengono quindi calcolati i codici di controllo di tutti i file Packages e vengono messi nel file Release\&. Il file Release viene poi firmato con la chiave dell\*(Aqarchivio per questo rilascio di Debian e viene distribuito insieme ai pacchetti e ai file Packages nei mirror Debian\&. Le chiavi sono nel portachiavi degli archivi Debian, disponibile nel pacchetto
debian\-archive\-keyring\&.
.PP
Gli utenti finali possono controllare la firma del file Release, estrarre da esso il codice di controllo di un pacchetto e confrontarlo con il codice di controllo del pacchetto che hanno scaricato a mano, oppure possono affidarsi ad APT che lo fa automaticamente\&.
.PP
Notare che questo \(`e diverso dal controllare le firme per ciascun pacchetto\&. \(`E progettato per prevenire due possibili attacchi:
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Attacchi di rete \(Foman in the middle\(Fc\&. Senza il controllo delle firme, soggetti malevoli possono introdursi nel processo di scaricamento dei pacchetti e fornire software pericoloso controllando un elemento di rete (router, switch, ecc\&.) oppure ridirigendo il traffico ad un server cattivo (attraverso attacchi di falsificazione di DNS e ARP)\&.
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Compromissione della rete dei mirror\&. Senza il controllo delle firme, soggetti malevoli possono compromettere un host mirror e modificare i file su di esso per propagare il software pericoloso a tutti gli utenti che scaricano i pacchetti da quell\*(Aqhost\&.
.RE
.PP
Tuttavia non difende dalle compromissioni del server principale Debian stesso (che firma i pacchetti) o dalla compromissione della chiave usata per firmare i file Release\&. In ogni caso, questo meccanismo pu\(`o complementare le firme a livello di singolo pacchetto\&.
.SH "CONFIGURAZIONE UTENTE"
.PP
\fBapt\-key\fR
\(`e il programma che gestisce l\*(Aqelenco delle chiavi usate da apt\&. Pu\(`o essere usato per aggiungere o rimuovere chiavi, anche se un\*(Aqinstallazione di questo rilascio contiene automaticamente le chiavi predefinite per la firma degli archivi Debian usate nei repository dei pacchetti Debian\&.
.PP
Per aggiungere una nuova chiave, \(`e necessario prima scaricarla (ci si dovrebbe assicurare di usare un canale di comunicazione fidato quando la si recupera), aggiungerla con
\fBapt\-key\fR
e poi eseguire
\fBapt\-get update\fR, in modo che apt possa scaricare e verificare i file
InRelease
o
Release\&.gpg
dagli archivi che sono configurati\&.
.SH "CONFIGURAZIONE DELL'ARCHIVIO"
.PP
Se si desiderano fornire firme per un archivio di cui si \(`e il manutentore, si deve:
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fICreare un file Release di livello pi\(`u alto\fR, se non esiste gi\(`a\&. Lo si pu\(`o fare eseguendo
\fBapt\-ftparchive release\fR
(fornito in apt\-utils)\&.
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fIFirmarlo\fR\&. Lo si pu\(`o fare eseguendo
\fBgpg \-\-clearsign \-o InRelease Release\fR
e
\fBgpg \-abs \-o Release\&.gpg Release\fR\&.
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fIPubblicare l\*(Aqimpronta digitale della chiave\fR, in questo modo gli utenti sapranno quale chiave devono importare per poter autenticare i file nell\*(Aqarchivio\&.
.RE
.PP
Ogni volta che i contenuti dell\*(Aqarchivio cambiano (sono aggiunti o rimossi nuovi pacchetti), il manutentore dell\*(Aqarchivio deve compiere nuovamente i primi due passi descritti sopra\&.
.SH "VEDERE ANCHE"
.PP
\fBapt.conf\fR(5),
\fBapt-get\fR(8),
\fBsources.list\fR(5),
\fBapt-key\fR(8),
\fBapt-ftparchive\fR(1),
\fBdebsign\fR(1),
\fBdebsig-verify\fR(1),
\fBgpg\fR(1)
.PP
Per maggiori informazioni sui concetti alla base di questo sistema, si pu\(`o leggere il capitolo
\m[blue]\fBDebian Security Infrastructure\fR\m[]\&\s-2\u[1]\d\s+2
del manuale Securing Debian (disponibile anche nel pacchetto harden\-doc) e il
\m[blue]\fBStrong Distribution HOWTO\fR\m[]\&\s-2\u[2]\d\s+2
di V\&. Alex Brennen\&.
.SH "BUG"
.PP
\m[blue]\fBPagina dei bug di APT\fR\m[]\&\s-2\u[3]\d\s+2\&. Se si desidera segnalare un bug in APT, vedere
/usr/share/doc/debian/bug\-reporting\&.txt
o il comando
\fBreportbug\fR(1)\&.
.SH "AUTORE"
.PP
APT \(`e stato scritto dal Team APT
\&.
.SH "AUTORI DELLA PAGINA DI MANUALE"
.PP
Questa pagina di manuale \(`e basata sul lavoro di Javier Fern\('andez\-Sanguino Pe\(~na, Isaac Jones, Colin Walters, Florian Weimer e Michael Vogt\&.
.SH "TRADUZIONE"
.PP
Traduzione in italiano a cura del Team italiano di localizzazione di Debian
\&. In particolare hanno contribuito Eugenia Franzoni (2000), Hugh Hartmann (2000\-2012), Gabriele Stilli (2012), Beatrice Torracca (2012)\&.
.PP
Notare che questa versione tradotta del documento pu\(`o contenere parti non tradotte\&. Ci\(`o \(`e voluto, per evitare di perdere contenuti quando la traduzione non \(`e aggiornata rispetto all\*(Aqoriginale\&.
.SH "AUTORI"
.PP
\fBJason Gunthorpe\fR
.RS 4
.RE
.PP
\fBTeam APT\fR
.RS 4
.RE
.SH "NOTE"
.IP " 1." 4
Debian Security Infrastructure
.RS 4
\%http://www.debian.org/doc/manuals/securing-debian-howto/ch7
.RE
.IP " 2." 4
Strong Distribution HOWTO
.RS 4
\%http://www.cryptnet.net/fdp/crypto/strong_distro.html
.RE
.IP " 3." 4
Pagina dei bug di APT
.RS 4
\%http://bugs.debian.org/src:apt
.RE