'\" t
.\"     Title: apt-secure
.\"    Author: Jason Gunthorpe
.\" Generator: DocBook XSL Stylesheets v1.78.1 <http://docbook.sf.net/>
.\"      Date: 09\ \&Junho\ \&2012
.\"    Manual: APT
.\"    Source: APT 1.0.9.8.4
.\"  Language: Portuguese
.\"
.TH "APT\-SECURE" "8" "09\ \&Junho\ \&2012" "APT 1.0.9.8.4" "APT"
.\" -----------------------------------------------------------------
.\" * Define some portability stuff
.\" -----------------------------------------------------------------
.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.\" http://bugs.debian.org/507673
.\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html
.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.ie \n(.g .ds Aq \(aq
.el       .ds Aq '
.\" -----------------------------------------------------------------
.\" * set default formatting
.\" -----------------------------------------------------------------
.\" disable hyphenation
.nh
.\" disable justification (adjust text to left margin only)
.ad l
.\" -----------------------------------------------------------------
.\" * MAIN CONTENT STARTS HERE *
.\" -----------------------------------------------------------------
.SH "NOME"
apt-secure \- Suporte de autentica\(,c\(~ao de arquivos para o APT
.SH "DESCRI\(,c\(~aO"
.PP
A partir da vers\(~ao 0\&.6, o
\fBapt\fR
cont\('em c\('odigo que faz verifica\(,c\(~ao de assinaturas do ficheiro Release para todos os arquivos\&. Isto assegura que os pacotes no arquivo n\(~ao podem ser modificados por pessoas que n\(~ao t\(^em acesso \(`a chave de assinatura do ficheiro Release\&.
.PP
Se um pacote vem dum arquivo sem assinatura ou com uma assinatura para a qual o apt n\(~ao tem a chave, esse pacote \('e considerado \*(Aqn\(~ao sendo de confian\(,ca\*(Aq e instal\('a\-lo ir\('a resultar num grande aviso\&. Actualmente o
\fBapt\-get\fR
ir\('a avisar apenas de arquivos n\(~ao assinados, lan\(,camentos futuros poder\(~ao vir a for\(,car que todas as fontes sejam verificadas antes de descarregar pacotes delas\&.
.PP
Os frontends de pacotes
\fBapt-get\fR(8),
\fBaptitude\fR(8)
e
\fBsynaptic\fR(8)
suportam esta nova funcionalidade de autentica\(,c\(~ao\&.
.SH "ARQUIVOS DE CONFIAN\(,cA"
.PP
A corrente de confian\(,ca desde um arquivo apt at\('e ao utilizador final \('e feita em diferentes passos\&. O
\fBapt\-secure\fR
\('e o \('ultimo passo nesta corrente, confiar num arquivo n\(~ao quer dizer que os pacotes em que confia n\(~ao possam conter c\('odigo malicioso, mas que dizer que voc\(^e confia no respons\('avel do arquivo\&. \('E da responsabilidade do respons\('avel do arquivo assegurar que a integridade do arquivo est\('a correcta\&.
.PP
O apt\-secure n\(~ao rev\(^e as assinaturas ao n\('ivel do pacote\&. Se voc\(^e necessita de ferramentas que o fa\(,cam deve procurar pelo
\fBdebsig\-verify\fR
e
\fBdebsign\fR
(disponibilizados nos pacotes debsig\-verify e devscripts respectivamente)\&.
.PP
A corrente de confian\(,ca em Debian come\(,ca quando o respons\('avel faz o upload de um novo pacote ou de uma nova vers\(~ao de um pacote para o arquivo Debian\&. De modo a se tornar efectivo, este upload precisa de ser assinado por uma chave de um respons\('avel dentro do chaveiro de respons\('aveis da Debian (dispon\('ivel no pacote debian\-keyring)\&. As chaves dos respons\('aveis s\(~ao assinadas por outros respons\('aveis seguindo procedimentos pr\('e\-estabelecidos para assegurar a identidade do dono da chave\&.
.PP
Assim que o pacote submetido \('e verificado e inclu\('ido no arquivo, a assinatura do respons\('avel \('e despojada, s\(~ao computados sum\('arios de verifica\(,c\(~ao do pacote e colocado no ficheiro Packages\&. Os sum\('arios de verifica\(,c\(~ao de todos os ficheiros Packages s\(~ao ent\(~ao computados e colocados no ficheiro Release\&. O ficheiro Release \('e ent\(~ao assinado pela chave de arquivo para este lan\(,camento de Debian, e distribu\('ido juntamente com os pacotes e os ficheiros Packages em mirrors de Debian\&. As chaves est\(~ao no chaveiro do arquivo Debian no pacote
debian\-archive\-keyring\&.
.PP
Os utilizadores finais podem verificar a assinatura do ficheiro Release, extrair um sumario de verifica\(,c\(~ao de um pacote a partir dele e compar\('a\-lo com o sumario de verifica\(,c\(~ao do pacote que descarregaram manualmente \- ou confiar no APT que faz isto automaticamente\&.
.PP
Note que isto \('e diferente de verificar assinaturas por cada pacote\&. \('E desenhado para prevenir dois ataques poss\('iveis:
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Ataques de rede "man in the middle"\&. Sem verifica\(,c\(~ao de assinatura, um agente malicioso pode introduzir\-se ele pr\('oprio no processo de descarga de pacotes e disponibilizar software malicioso seja ao controlar um elemento de rede (router, switch, etc\&.) ou ao redireccionar tr\('afego para um servidor impostor (atrav\('es de ataques de fraude de ARP ou DNS)\&.
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Mirror network compromise\&. Sem verifica\(,c\(~ao de assinatura, um agente malicioso pode comprometer uma m\('aquina mirror e modificar os ficheiros dele para propagar software malicioso a todos os utilizadores que descarregam pacotes a partir dessa m\('aquina\&.
.RE
.PP
No entanto, isto n\(~ao defende contra um compromisso do pr\('oprio servidor mestre da Debian (o qual assina os pacotes) ou contra um compromisso da chave usada para assinar os ficheiros Release\&. Em qualquer caso, este mecanismo pode complementar uma assinatura por\-pacote\&.
.SH "CONFIGURA\(,c\(~aO DO UTILIZADOR"
.PP
\fBapt\-key\fR
\('e o programa que gere a lista de chaves usada pelo apt\&. Pode ser usado para adicionar ou remover chaves apesar de uma instala\(,c\(~ao deste lan\(,camento ir automaticamente disponibilizar as chaves de assinaturas predefinidas de arquivo Debian usadas nos reposit\('orios de pacotes Debian\&.
.PP
De modo a adicionar uma chave nova voc\(^e precisa primeiro de descarreg\('a\-la (voc\(^e deve certificar\-se que est\('a a usar um canal de comunica\(,c\(~ao de confian\(,ca quando a obt\('em), adicion\('a\-la com
\fBapt\-key\fR
e depois correr
\fBapt\-get update\fR
para que o apt possa descarregar e verificar os ficheiros
InRelease
ou
Release\&.gpg
dos arquivos que voc\(^e configurou\&.
.SH "CONFIGURA\(,c\(~aO DE ARQUIVOS"
.PP
Se voc\(^e deseja fornecer assinaturas de arquivo a um arquivo sob sua manuten\(,c\(~ao, voc\(^e tem que:
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fICriar um ficheiro Release de n\('ivel de topo\fR, se este j\('a n\(~ao existir\&. Voc\(^e pode fazer isto ao correr
\fBapt\-ftparchive release\fR
(disponibilizado no apt\-utils)\&.
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fIAssin\('a\-lo\fR\&. Voc\(^e pode fazer isso ao correr
\fBgpg \-\-clearsign \-o InRelease Release\fR
e
\fBgpg \-abs \-o Release\&.gpg Release\fR\&.
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fIPublicar a impress\(~ao digital da chave\fR, deste modo os seus utilizadores ir\(~ao saber que chave precisam de importar de modo a autenticar os ficheiros no arquivo\&.
.RE
.PP
Sempre que o conte\('udo do arquivo mude (s\(~ao adicionados novos pacotes ou removidos), o respons\('avel do arquivo tem que seguir os primeiros dois passos previamente delineados\&.
.SH "VEJA TAMB\('eM"
.PP
\fBapt.conf\fR(5),
\fBapt-get\fR(8),
\fBsources.list\fR(5),
\fBapt-key\fR(8),
\fBapt-ftparchive\fR(1),
\fBdebsign\fR(1),
\fBdebsig-verify\fR(1),
\fBgpg\fR(1)
.PP
Para mais informa\(,c\(~ao de fundo voc\(^e deve querer reler a
\m[blue]\fBInfraestrutura de Seguran\(,ca da Debian\fR\m[]\&\s-2\u[1]\d\s+2
no cap\('itulo do Manual Debian de Seguran\(,ca (dispon\('ivel tamb\('em no pacote harden\-doc) e o
\m[blue]\fBStrong Distribution HOWTO\fR\m[]\&\s-2\u[2]\d\s+2
de V\&. Alex Brennen\&.
.SH "BUGS"
.PP
\m[blue]\fBp\('agina de bugs do APT\fR\m[]\&\s-2\u[3]\d\s+2\&. Se deseja reportar um bug no APT, por favor veja
/usr/share/doc/debian/bug\-reporting\&.txt
ou o comando
\fBreportbug\fR(1)\&.
.SH "AUTOR"
.PP
APT foi escrito pela equipa do APT
<apt@packages\&.debian\&.org>\&.
.SH "AUTORES DO MANUAL"
.PP
Este manual \('e baseado no trabalho de Javier Fern\('andez\-Sanguino Pe\(~na, Isaac Jones, Colin Walters, Florian Weimer e Michael Vogt\&.
.SH "TRADU\(,C\(^AO"
.PP
A tradu\(,c\(~ao Portuguesa foi feita por Am\('erico Monteiro
<a_monteiro@netcabo\&.pt>
de 2009 a 2012\&. A tradu\(,c\(~ao foi revista pela equipa de tradu\(,c\(~oes portuguesas da Debian
<traduz@debianpt\&.org>\&.
.PP
Note que este documento traduzido pode conter partes n\(~ao traduzidas\&. Isto \('e feito propositadamente, para evitar perdas de conte\('udo quando a tradu\(,c\(~ao est\('a atrasada relativamente ao conte\('udo original\&.
.SH "AUTORES"
.PP
\fBJason Gunthorpe\fR
.RS 4
.RE
.PP
\fBEquipa do APT\fR
.RS 4
.RE
.SH "NOTAS"
.IP " 1." 4
Infraestrutura de Seguran\(,ca da Debian
.RS 4
\%http://www.debian.org/doc/manuals/securing-debian-howto/ch7
.RE
.IP " 2." 4
Strong Distribution HOWTO
.RS 4
\%http://www.cryptnet.net/fdp/crypto/strong_distro.html
.RE
.IP " 3." 4
p\('agina de bugs do APT
.RS 4
\%http://bugs.debian.org/src:apt
.RE