Documentazione<Precedenti | Contenuti | Succ.>
8.3.6. Convalida dell'autenticità del pacchetto
Gli aggiornamenti di sistema sono operazioni molto delicate e vuoi davvero assicurarti di installare solo pacchetti ufficiali dai repository Kali. Se il mirror Kali che stai utilizzando è stato compromesso, un cracker di computer potrebbe tentare di aggiungere codice dannoso a un pacchetto altrimenti legittimo. Un pacchetto del genere, se installato, potrebbe fare qualsiasi cosa il cracker lo abbia progettato, inclusa la divulgazione di password o informazioni riservate. Per aggirare questo rischio, Kali fornisce un sigillo a prova di manomissione per garantire, al momento dell'installazione, che un pacchetto provenga realmente dal suo manutentore ufficiale e non sia stato modificato da terzi.
Il sigillo funziona con una catena di hash crittografici e una firma. Il file firmato è il Rilasciare file, fornito dai mirror di Kali. Contiene un elenco dei Pack file (compresi i loro moduli compressi, Pacchetti.gz ed Pacchetti.xze le versioni incrementali), insieme ai relativi hash MD5, SHA1 e SHA256, che garantiscono che i file non siano stati manomessi. Queste
I file dei pacchetti contengono un elenco dei pacchetti Debian disponibili sul mirror insieme ai loro hash, il che garantisce a sua volta che anche il contenuto dei pacchetti stessi non sia stato alterato.
Le chiavi fidate sono gestite con il chiave-apt comando trovato in adatto pacchetto. Questo programma mantiene un portachiavi di chiavi pubbliche GnuPG, che vengono utilizzate per verificare le firme nel Rilascia.gpg file disponibili sui mirror. Può essere usato per aggiungere nuove chiavi manualmente (quando sono necessari mirror non ufficiali). In genere, tuttavia, sono necessarie solo le chiavi Kali ufficiali. Queste chiavi vengono aggiornate automaticamente dal kali-archivio-portachiavi pacchetto (che mette i corrispondenti portachiavi in /etc/apt/trusted.gpg.d). Tuttavia, la prima installazione di questo particolare pacchetto richiede cautela: anche se il pacchetto è firmato come un altro, la firma non può essere verificata esternamente. Gli amministratori cauti dovrebbero quindi controllare le impronte digitali delle chiavi importate prima di fidarsi di loro per installare nuovi pacchetti:
# impronta digitale apt-key
/etc/apt/trusted.gpg.d/debian-archive-jessie-automatic.gpg
--------------------------------------------------- -------- pub 4096R/2B90D010 2014-11-21 [scadenza: 2022-11-19]
Impronta chiave = 126C 0D24 BD8A 2942 CC7D F8AC 7638 D044 2B90 D010
uid Chiave di firma automatica dell'archivio Debian (8/jessie)[email protected]>
/etc/apt/trusted.gpg.d/debian-archive-jessie-security-automatic.gpg
--------------------------------------------------- ----------------- pub 4096R/C857C906 2014-11-21 [scadenza: 2022-11-19]
Impronta chiave = D211 6914 1CEC D440 F2EB 8DDA 9D6D 8F6B C857 C906
uid Chiave di firma automatica dell'archivio di sicurezza Debian (8/jessie)[email protected]>
/etc/apt/trusted.gpg.d/archivio-debian-jessie-stable.gpg
--------------------------------------------------- ----- pub 4096R/518E17E1 2013-08-17 [scadenza: 2021-08-15]
Impronta chiave = 75DD C3C4 A499 F1A1 8CB5 F3C8 CBF8 D6FD 518E 17E1
uid Chiave di rilascio Jessie Stable[email protected]>
/etc/apt/trusted.gpg.d/debian-archive-squeeze-automatic.gpg
--------------------------------------------------- --------- pub 4096R/473041FA 2010-08-27 [scadenza: 2018-03-05]
Impronta chiave = 9FED 2BCB DCD2 9CDF 7626 78CB AED4 B06F 4730 41FA
uid Chiave di firma automatica dell'archivio Debian (6.0/squeeze)[email protected]>
/etc/apt/trusted.gpg.d/debian-archive-squeeze-stable.gpg
--------------------------------------------------- ------ pub 4096R/B98321F9 2010-08-07 [scadenza: 2017-08-05]
Impronta chiave = 0E4E DE2C 7F3E 1FC0 D033 800E 6448 1591 B983 21F9
uid Premere il tasto di rilascio stabile[email protected]>
/etc/apt/trusted.gpg.d/debian-archive-wheezy-automatic.gpg
--------------------------------------------------- -------- pub 4096R/46925553 2012-04-27 [scadenza: 2020-04-25]
Impronta chiave = A1BD 8E9D 78F7 FE5C 3E65 D8AF 8B48 AD62 4692 5553
uid Chiave di firma automatica dell'archivio Debian (7.0/wheezy)[email protected]>
/etc/apt/trusted.gpg.d/archivio-debian-wheezy-stable.gpg
--------------------------------------------------- ----- pub 4096R/65FFB764 2012-05-08 [scadenza: 2019-05-07]
Impronta chiave = ED6D 6527 1AAC F0FF 15D1 2303 6FB2 A1C2 65FF B764
uid Chiave di rilascio Wheezy Stable[email protected]>
/etc/apt/trusted.gpg.d/kali-archive-keyring.gpg
-----------------------------------------------
pub 4096R/7D8D0BF6 2012-03-05 [expires: 2018-02-02]
Impronta chiave = 44C6 513A 8E4F B3D3 0875 F758 ED44 4FF0 7D8D 0BF6
repository uid Kali Linux[email protected]> sub 4096R/FC0D0DCB 2012-03-05 [scadenza: 2018-02-02]
/etc/apt/trusted.gpg.d/kali-archive-keyring.gpg
-----------------------------------------------
pub 4096R/7D8D0BF6 2012-03-05 [expires: 2018-02-02]
Impronta chiave = 44C6 513A 8E4F B3D3 0875 F758 ED44 4FF0 7D8D 0BF6
repository uid Kali Linux[email protected]> sub 4096R/FC0D0DCB 2012-03-05 [scadenza: 2018-02-02]
Quando un'origine del pacchetto di terze parti viene aggiunta a fonti.lista file, è necessario dire ad APT di fidarsi della chiave di autenticazione GPG corrispondente (altrimenti continuerà a lamentarsi che non può garantire l'autenticità dei pacchetti provenienti da quel repository). Il primo passo è ovviamente quello di ottenere la chiave pubblica. Il più delle volte, la chiave verrà fornita come un piccolo file di testo, che chiameremo chiave.asc nei seguenti esempi.
Per aggiungere la chiave al portachiavi attendibile, l'amministratore può eseguire apt-key add < key.asc. Un altro modo è usare il sinaptica interfaccia grafica: la sua scheda Autenticazione nel Impostazioni profilo
→ repository offre la possibilità di importare una chiave dal chiave.asc file.
Per le persone che preferiscono un'applicazione dedicata e maggiori dettagli sulle chiavi fidate, è possibile utilizzare gui-apt-key (nel pacchetto con lo stesso nome), una piccola interfaccia utente grafica che gestisce il fidato portachiavi.
Una volta che le chiavi appropriate sono nel portachiavi, APT controllerà le firme prima di qualsiasi operazione rischiosa, in modo che i front-end visualizzino un avviso se viene chiesto di installare un pacchetto la cui autenticità non può essere accertata.