Dokumentasi<Sebelumnya | Konten | Selanjutnya>
8.3.6. Memvalidasi Keaslian Paket
Pembaruan sistem adalah operasi yang sangat sensitif dan Anda benar-benar ingin memastikan bahwa Anda hanya menginstal paket resmi dari repositori Kali. Jika mirror Kali yang Anda gunakan telah disusupi, cracker komputer dapat mencoba menambahkan kode berbahaya ke paket yang sah. Paket seperti itu, jika diinstal, dapat melakukan apa pun yang dirancang oleh cracker untuk dilakukan termasuk mengungkapkan kata sandi atau informasi rahasia. Untuk menghindari risiko ini, Kali menyediakan segel anti-rusak untuk menjamin—pada waktu penginstalan—bahwa sebuah paket benar-benar berasal dari pengelola resminya dan belum dimodifikasi oleh pihak ketiga.
Segel bekerja dengan rantai hash kriptografi dan tanda tangan. File yang ditandatangani adalah Lepaskan file, disediakan oleh cermin Kali. Ini berisi daftar Paket Kami. file (termasuk formulir terkompresi, Package.gz dan Paket.xz, dan versi inkremental), bersama dengan hash MD5, SHA1, dan SHA256, yang memastikan bahwa file tidak dirusak. Ini
File paket berisi daftar paket Debian yang tersedia di mirror bersama dengan hashnya, yang memastikan bahwa isi dari paket itu sendiri juga tidak diubah.
Kunci tepercaya dikelola dengan apt-key perintah ditemukan di tepat kemasan. Program ini memelihara keyring kunci publik GnuPG, yang digunakan untuk memverifikasi tanda tangan di Rilis.gpg file yang tersedia di cermin. Ini dapat digunakan untuk menambahkan kunci baru secara manual (ketika cermin non-resmi diperlukan). Namun umumnya, hanya kunci Kali resmi yang diperlukan. Kunci-kunci ini secara otomatis terus diperbarui oleh kali-arsip-keyring paket (yang menempatkan gantungan kunci yang sesuai di /etc/apt/trusted.gpg.d). Namun, instalasi pertama dari paket khusus ini memerlukan kehati-hatian: bahkan jika paket ditandatangani seperti yang lain, tanda tangan tidak dapat diverifikasi secara eksternal. Oleh karena itu, administrator yang berhati-hati harus memeriksa sidik jari kunci yang diimpor sebelum memercayai mereka untuk menginstal paket baru:
# sidik jari kunci-apt
/etc/apt/trusted.gpg.d/debian-archive-jessie-automatic.gpg
-------------------------------------------------- -------- pub 4096R/2B90D010 2014-11-21 [kedaluwarsa: 2022-11-19]
Sidik jari kunci = 126C 0D24 BD8A 2942 CC7D F8AC 7638 D044 2B90 D010
uid Kunci Penandatanganan Otomatis Arsip Debian (8/jessie)[email dilindungi]>
/etc/apt/trusted.gpg.d/debian-archive-jessie-security-automatic.gpg
-------------------------------------------------- ----------------- pub 4096R/C857C906 2014-11-21 [berakhir: 2022-11-19]
Sidik jari kunci = D211 6914 1CEC D440 F2EB 8DDA 9D6D 8F6B C857 C906
uid Kunci Penandatanganan Otomatis Arsip Keamanan Debian (8/jessie)[email dilindungi]>
/etc/apt/trusted.gpg.d/debian-archive-jessie-stable.gpg
-------------------------------------------------- ----- pub 4096R/518E17E1 2013-08-17 [kedaluwarsa: 2021-08-15]
Sidik jari kunci = 75DD C3C4 A499 F1A1 8CB5 F3C8 CBF8 D6FD 518E 17E1
uid Kunci Rilis Stabil Jessie[email dilindungi]>
/etc/apt/trusted.gpg.d/debian-archive-squeeze-automatic.gpg
-------------------------------------------------- --------- pub 4096R/473041FA 2010-08-27 [berakhir: 2018-03-05]
Sidik jari kunci = 9FED 2BCB DCD2 9CDF 7626 78CB AED4 B06F 4730 41FA
uid Kunci Penandatanganan Otomatis Arsip Debian (6.0/squeeze)[email dilindungi]>
/etc/apt/trusted.gpg.d/debian-archive-squeeze-stable.gpg
-------------------------------------------------- ------ pub 4096R/B98321F9 2010-08-07 [berakhir: 2017-08-05]
Sidik jari kunci = 0E4E DE2C 7F3E 1FC0 D033 800E 6448 1591 B983 21F9
uid Tekan Kunci Pelepasan Stabil[email dilindungi]>
/etc/apt/trusted.gpg.d/debian-archive-wheezy-automatic.gpg
-------------------------------------------------- -------- pub 4096R/46925553 2012-04-27 [berakhir: 2020-04-25]
Sidik jari kunci = A1BD 8E9D 78F7 FE5C 3E65 D8AF 8B48 AD62 4692 5553
uid Kunci Penandatanganan Otomatis Arsip Debian (7.0/wheezy)[email dilindungi]>
/etc/apt/trusted.gpg.d/debian-archive-wheezy-stable.gpg
-------------------------------------------------- ----- pub 4096R/65FFB764 2012-05-08 [kedaluwarsa: 2019-05-07]
Sidik jari kunci = ED6D 6527 1AAC F0FF 15D1 2303 6FB2 A1C2 65FF B764
uid Kunci Rilis Stabil Wheezy[email dilindungi]>
/etc/apt/trusted.gpg.d/kali-archive-keyring.gpg
-----------------------------------------------
pub 4096R/7D8D0BF6 2012-03-05 [expires: 2018-02-02]
Sidik jari kunci = 44C6 513A 8E4F B3D3 0875 F758 ED44 4FF0 7D8D 0BF6
uid Repositori Kali Linux[email dilindungi]> sub 4096R/FC0D0DCB 2012-03-05 [berakhir: 2018-02-02]
/etc/apt/trusted.gpg.d/kali-archive-keyring.gpg
-----------------------------------------------
pub 4096R/7D8D0BF6 2012-03-05 [expires: 2018-02-02]
Sidik jari kunci = 44C6 513A 8E4F B3D3 0875 F758 ED44 4FF0 7D8D 0BF6
uid Repositori Kali Linux[email dilindungi]> sub 4096R/FC0D0DCB 2012-03-05 [berakhir: 2018-02-02]
Ketika sumber paket pihak ketiga ditambahkan ke sources.list file, APT perlu diberitahu untuk mempercayai kunci otentikasi GPG yang sesuai (jika tidak, ia akan terus mengeluh bahwa itu tidak dapat memastikan keaslian paket yang berasal dari repositori itu). Langkah pertama tentu saja untuk mendapatkan kunci publik. Lebih sering daripada tidak, kuncinya akan diberikan sebagai file teks kecil, yang akan kita sebut kunci.asc dalam contoh berikut.
Untuk menambahkan kunci ke keyring tepercaya, administrator dapat menjalankan apt-key tambahkan < key.asc. Cara lain adalah dengan menggunakan synaptic antarmuka grafis: tab Otentikasinya di Settings
→ Repositori menu menyediakan kemampuan untuk mengimpor kunci dari kunci.asc file.
Untuk orang yang lebih menyukai aplikasi khusus dan detail lebih lanjut tentang kunci tepercaya, dimungkinkan untuk menggunakan gui-apt-key (dalam paket dengan nama yang sama), antarmuka pengguna grafis kecil yang mengelola keyring tepercaya.
Setelah kunci yang sesuai berada di keyring, APT akan memeriksa tanda tangan sebelum operasi berisiko, sehingga front-end akan menampilkan peringatan jika diminta untuk menginstal paket yang keasliannya tidak dapat dipastikan.