APT seguro: Secure APT

APT utiliza el sistema de criptografía GPG para validar los paquetes .deb descargados y asegurarse de que no han sido alterados. A esto se le llama Secure APT y funciona de la siguiente manera:

• cuando nos conectamos a un repositorio de paquetes .deb, APT descarga los archivos Packages.gz (que contiene el archivo Packages comprimido), Release y Release.gpg.
• cuando nos descargamos un paquete binario .deb APT comprueba que su md5sum coincide con la que figura en Packages.
• para asegurarse de que el archivo Packages no ha sido alterado, APT comprueba que su md5sum coincide con la que figura en Release.
• para asegurarse de que el archivo Release no ha sido alterado, APT comprueba su firma, el archivo Release.pgp. Para comprobar Release.pgp, APT debe conocer la clave pública del que firma el archivo, es decir, esa clave pública debe estar en el archivo /etc/apt/trusted.gpg. Veremos el contenido de /etc/apt/trusted.gpg con el comando:

  # apt-key list
  /etc/apt/trusted.gpg
  --------------------
  pub 1024D/6070D3A1 2006-11-20 [expires: 2009-07-01]
  uid                Debian Key (4.0/etch) <[email protected]>

  Como vemos, por defecto tenemos una clave pública en el anillo de claves de APT, referencia 6070D3A1 y caducidad 2009-07-01. Es la clave pública del repositorio oficial de Debian que hemos utilizado al instalar nuestra máquina.

• si añadimos otro repositorio a /etc/apt/sources.list (o si la clave del repositorio oficial caduca), tendremos que conseguir su clave pública y añadirla al anillo de claves de APT para que la pueda utilizar para verificar los paquetes. El proceso consta de dos pasos:
  1. conseguir la clave pública GPG del nuevo repositorio. Para ello, tenemos que buscarla en un servidor de claves públicas. Por ejemplo, podemos buscar la clave pública del repositorio de Christian Marillat (debian-multimedia.org) en el servidor de claves de RedIRIS (rediris.es/cert/servicios/keyserver/), donde veremos que su UID es 1F41B907 (este UID también figura en el mensaje de error que nos habrá tirado ATP). Importaremos la clave y la añadiremos al anillo de GPG con el comando:

     # gpg --recv-keys 1F41B907

     Comprobaremos que GPG ha añadido la clave a su anillo con el comando:

     #  gpg --list-keys

  2. añadir la clave pública al anillo de claves de APT. Lo haremos con el comando:

     # gpg -a --export 1F41B907 | apt-key add -

     Comprobamos que APT ha añadido la clave a su anillo:

     # apt-key list
     /etc/apt/trusted.gpg
     --------------------
     pub 1024D/6070D3A1 2006-11-20 [expires: 2009-07-01]
     uid                Debian Key (4.0/etch) <[email protected]>
     pub 1024D/1F41B907 1999-10-03
     uid                Christian Marillat <[email protected]>

     Para terminar haremos un:

     # apt-get update

     Si todo está correcto, APT no se quejará.

• ¿Y qué pasa si no disponemos de la clave pública del repositorio, si ésta ha caducado o si la firma está mal? APT nos advertirá de que la fuente está sin autentificar y nos dará la opción de Abortar o Continuar la instalación, eso sí, sin garantía de su autenticidad.
• ¿No hay alguna GUI para gestionar todo esto? Sí, GAK (GUI APT Key manager, (infodrom.org/projects/gui-apt-key/, paquete gui-apt-key) permite gestionar las clave públicas GPG de los repositorios Debian.