документація<Попередній | зміст | Наступна>
8.3.6. Перевірка автентичності пакета
Оновлення системи є дуже чутливими операціями, і ви дійсно хочете переконатися, що ви встановлюєте лише офіційні пакунки зі сховищ Kali. Якщо дзеркало Kali, яке ви використовуєте, було зламано, комп’ютерний зломщик може спробувати додати шкідливий код до законного пакету. Такий пакет, якщо він встановлений, міг робити все, для чого розробив його зломщик, включаючи розкриття паролів або конфіденційної інформації. Щоб обійти цей ризик, Kali забезпечує захист від несанкціонованого доступу, щоб гарантувати — під час встановлення — що пакет дійсно надходить від його офіційного супроводжувача і не був змінений третьою стороною.
Печатка працює з ланцюжком криптографічних хешів і підписом. Підписаний файл – це Відпустіть файл, наданий дзеркалами Kali. Він містить перелік Пакети файли (включаючи їх стислі форми, packages.gz та Packages.xz, а також інкрементні версії), а також їх хеші MD5, SHA1 та SHA256, що гарантує, що файли не були підроблені. Ці
Файли пакетів містять список пакетів Debian, доступних на дзеркалі, разом з їх хешами, що, у свою чергу, гарантує, що вміст самих пакунків також не був змінений.
Довірені ключі керуються за допомогою apt-ключ команду, знайдену в схильний пакет. Ця програма підтримує набір ключів відкритих ключів GnuPG, які використовуються для перевірки підписів у файлі Release.gpg файли, доступні на дзеркалах. Його можна використовувати для додавання нових ключів вручну (коли потрібні неофіційні дзеркала). Однак, як правило, потрібні лише офіційні ключі Kali. Ці ключі автоматично оновлюються kali-архів-брелок пакет (який вміщує відповідні брелоки /etc/apt/trusted.gpg.d). Однак перша інсталяція цього конкретного пакета вимагає обережності: навіть якщо пакет підписаний, як і будь-який інший, підпис не може бути перевірений ззовні. Тому обережні адміністратори повинні перевірити відбитки пальців імпортованих ключів, перш ніж довіряти їм інсталювати нові пакети:
# відбиток пальця ключа apt
/etc/apt/trusted.gpg.d/debian-archive-jessie-automatic.gpg
-------------------------------------------------- -------- паб 4096R/2B90D010 2014-11-21 [термін дії закінчується: 2022-11-19]
Відбиток ключа = 126C 0D24 BD8A 2942 CC7D F8AC 7638 D044 2B90 D010
uid Ключ автоматичного підпису архіву Debian (8/jessie)[захищено електронною поштою]>
/etc/apt/trusted.gpg.d/debian-archive-jessie-security-automatic.gpg
-------------------------------------------------- ----------------- pub 4096R/C857C906 2014-11-21 [термін дії закінчується: 2022-11-19]
Відбиток ключа = D211 6914 1CEC D440 F2EB 8DDA 9D6D 8F6B C857 C906
uid Ключ автоматичного підпису архіву безпеки Debian (8/jessie)[захищено електронною поштою]>
/etc/apt/trusted.gpg.d/debian-archive-jessie-stable.gpg
-------------------------------------------------- ----- pub 4096R/518E17E1 2013-08-17 [термін дії закінчується: 2021-08-15]
Відбиток ключа = 75DD C3C4 A499 F1A1 8CB5 F3C8 CBF8 D6FD 518E 17E1
uid Jessie Stable Release Key[захищено електронною поштою]>
/etc/apt/trusted.gpg.d/debian-archive-squeeze-automatic.gpg
-------------------------------------------------- --------- pub 4096R/473041FA 2010-08-27 [термін дії закінчується: 2018-03-05]
Відбиток ключа = 9FED 2BCB DCD2 9CDF 7626 78CB AED4 B06F 4730 41FA
uid Ключ автоматичного підпису архіву Debian (6.0/стискання)[захищено електронною поштою]>
/etc/apt/trusted.gpg.d/debian-archive-squeeze-stable.gpg
-------------------------------------------------- ------ pub 4096R/B98321F9 2010-08-07 [термін дії закінчується: 2017-08-05]
Відбиток ключа = 0E4E DE2C 7F3E 1FC0 D033 800E 6448 1591 B983 21F9
uid Squeeze Stable Release Key[захищено електронною поштою]>
/etc/apt/trusted.gpg.d/debian-archive-wheezy-automatic.gpg
-------------------------------------------------- -------- паб 4096R/46925553 2012-04-27 [термін дії закінчується: 2020-04-25]
Відбиток ключа = A1BD 8E9D 78F7 FE5C 3E65 D8AF 8B48 AD62 4692 5553
uid Ключ автоматичного підпису архіву Debian (7.0/wheezy)[захищено електронною поштою]>
/etc/apt/trusted.gpg.d/debian-archive-wheezy-stable.gpg
-------------------------------------------------- ----- паб 4096R/65FFB764 2012-05-08 [термін дії закінчується: 2019-05-07]
Відбиток ключа = ED6D 6527 1AAC F0FF 15D1 2303 6FB2 A1C2 65FF B764
uid Ключ стабільного випуску Wheezy[захищено електронною поштою]>
/etc/apt/trusted.gpg.d/kali-archive-keyring.gpg
-----------------------------------------------
pub 4096R/7D8D0BF6 2012-03-05 [expires: 2018-02-02]
Відбиток ключа = 44C6 513A 8E4F B3D3 0875 F758 ED44 4FF0 7D8D 0BF6
uid Репозиторій Kali Linux[захищено електронною поштою]> sub 4096R/FC0D0DCB 2012-03-05 [закінчується: 2018-02-02]
/etc/apt/trusted.gpg.d/kali-archive-keyring.gpg
-----------------------------------------------
pub 4096R/7D8D0BF6 2012-03-05 [expires: 2018-02-02]
Відбиток ключа = 44C6 513A 8E4F B3D3 0875 F758 ED44 4FF0 7D8D 0BF6
uid Репозиторій Kali Linux[захищено електронною поштою]> sub 4096R/FC0D0DCB 2012-03-05 [закінчується: 2018-02-02]
Коли стороннє джерело пакета додається до sources.list файлу, APT потрібно вказати довіряти відповідному ключу автентифікації GPG (інакше він продовжуватиме скаржитися на те, що не може забезпечити автентичність пакетів, що надходять із цього репозиторію). Першим кроком, звичайно, є отримання відкритого ключа. Найчастіше ключ надається у вигляді невеликого текстового файлу, який ми назвемо key.asc у наступних прикладах.
Щоб додати ключ до надійного зв’язку ключів, адміністратор може запустити apt-key add < key.asc. Іншим способом є використання синаптичні графічний інтерфейс: його вкладка Аутентифікація в Налаштування
→ Сховища меню надає можливість імпортувати ключ із key.asc файлу.
Для людей, які віддають перевагу спеціальний додаток і більше інформації про надійні ключі, його можна використовувати gui-apt-ключ (в однойменному пакеті), невеликий графічний інтерфейс користувача, який керує надійним брелоком.
Після того, як відповідні ключі будуть в брелоку, APT перевірить підписи перед будь-якою ризикованою операцією, так що інтерфейсні програми відображатимуть попередження, якщо попросять встановити пакунок, автентичність якого неможливо встановити.