| 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166167168169170171172173174175176177178179180181182183184185186187188189190191192193194195196197198199200201202203204205206207208209210211212213214215216217218219220221222223224225226227228229230231232233234235236237238239240241242243244245246247248249250251252253254255256257258259260261262263264265266267268269270271272273274275276277278279280281282283284285286287288289290291292293294295296297298299300301302303304305306307308309310311312313314315316317318319320321322323324325326327328329330331332333334335336337338339340341342343344345346347348349350351352353354355356357358359360361362363364365366367368369370371372373374375 |
- <?xml version="1.0" encoding="utf-8" standalone="no"?>
- <!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.2//EN"
- "http://www.oasis-open.org/docbook/xml/4.2/docbookx.dtd" [
- <!ENTITY % aptent SYSTEM "apt.ent.ja">
- %aptent;
- ]>
- <refentry>
- &apt-docinfo;
-
- <refmeta>
- <refentrytitle>apt-secure</refentrytitle>
- <manvolnum>8</manvolnum>
- </refmeta>
- <!-- NOTE: This manpage has been written based on the
- Securing Debian Manual ("Debian Security
- Infrastructure" chapter) and on documentation
- available at the following sites:
- http://wiki.debian.net/?apt06
- http://www.syntaxpolice.org/apt-secure/
- http://www.enyo.de/fw/software/apt-secure/
- -->
- <!-- TODO: write a more verbose example of how it works with
- a sample similar to
- http://www.debian-administration.org/articles/174
- ?
- -->
-
- <!-- Man page title -->
- <refnamediv>
- <refname>apt-secure</refname>
- <!--
- <refpurpose>Archive authentication support for APT</refpurpose>
- -->
- <refpurpose>APT アーカイブ認証サポート</refpurpose>
- </refnamediv>
- <!--
- <refsect1><title>Description</title>
- -->
- <refsect1><title>説明</title>
- <para>
- <!--
- Starting with version 0.6, <command>apt</command> contains code
- that does signature checking of the Release file for all
- archives. This ensures that packages in the archive can't be
- modified by people who have no access to the Release file signing
- key.
- -->
- バージョン 0.6 より、<command>apt</command> 全アーカイブに対する
- Release ファイルの署名チェックコードが含まれています。
- Release ファイル署名キーにアクセスできない人が、
- アーカイブのパッケージの変更が確実にできないようにします。
- </para>
- <para>
- <!--
- If a package comes from a archive without a signature or with a
- signature that apt does not have a key for that package is
- considered untrusted and installing it will result in a big
- warning. <command>apt-get</command> will currently only warn
- for unsigned archives, future releases might force all sources
- to be verified before downloading packages from them.
- -->
- パッケージに署名されなかったり、apt が知らないキーで署名されていた場合、
- アーカイブから来たパッケージは、信頼されていないと見なし、
- インストールの際に重要な警告が表示されます。
- <command>apt-get</command> は、
- 現在未署名のパッケージに対して警告するだけですが、
- 将来のリリースでは、全ソースに対し、
- パッケージダウンロード前に強制的に検証される可能性があります。
- </para>
- <para>
- <!--
- The package frontends &apt-get;, &aptitude; and &synaptic; support this new
- authentication feature.
- -->
- &apt-get;, &aptitude;, &synaptic; といったパッケージフロントエンドは、
- この新認証機能をサポートしています。
- </para>
- </refsect1>
- <!--
- <refsect1><title>Trusted archives</title>
- -->
- <refsect1><title>信頼済アーカイブ</title>
- <para>
- <!--
- The chain of trust from an apt archive to the end user is made up of
- different steps. <command>apt-secure</command> is the last step in
- this chain, trusting an archive does not mean that the packages
- that you trust it do not contain malicious code but means that you
- trust the archive maintainer. Its the archive maintainer
- responsibility to ensure that the archive integrity is correct.
- -->
- apt アーカイブからエンドユーザまでの信頼の輪は、
- いくつかのステップで構成されています。
- <command>apt-secure</command> は、この輪の最後のステップで、
- アーカイブを信頼することは、
- パッケージに悪意のあるコードが含まれていないと信頼するわけではありませんが、
- アーカイブメンテナを信頼すると言うことです。
- これは、アーカイブの完全性を保証するのは、
- アーカイブメンテナの責任だということです。
- </para>
- <!--
- <para>apt-secure does not review signatures at a
- package level. If you require tools to do this you should look at
- <command>debsig-verify</command> and
- <command>debsign</command> (provided in the debsig-verify and
- devscripts packages respectively).</para>
- -->
- <para>apt-secure はパッケージレベルの署名検証は行いません。
- そのようなツールが必要な場合は、
- <command>debsig-verify</command> や <command>debsign</command>
- (debsig-verify パッケージと devscripts パッケージでそれぞれ提供されています)
- を確認してください。</para>
- <para>
- <!--
- The chain of trust in Debian starts when a maintainer uploads a new
- package or a new version of a package to the Debian archive. This
- upload in order to become effective needs to be signed by a key of
- a maintainer within the Debian maintainer's keyring (available in
- the debian-keyring package). Maintainer's keys are signed by
- other maintainers following pre-established procedures to
- ensure the identity of the key holder.
- -->
- Debian における信頼の輪は、
- 新しいパッケージやパッケージの新しいバージョンを、
- メンテナが Debian アーカイブにアップロードすることで始まります。
- これは、Debian メンテナキーリング (debian-keyring パッケージにあります)
- にあるメンテナのキーで署名しなければ、アップロードできないということです。
- メンテナのキーは、キーの所有者のアイデンティティを確保するため、
- 以下のような事前に確立した手段で、他のメンテナに署名されています。
- </para>
- <para>
- <!--
- Once the uploaded package is verified and included in the archive,
- the maintainer signature is stripped off, an MD5 sum of the package
- is computed and put in the Packages file. The MD5 sum of all of the
- packages files are then computed and put into the Release file. The
- Release file is then signed by the archive key (which is created
- once a year and distributed through the FTP server. This key is
- also on the Debian keyring.
- -->
- アップロードされたパッケージごとに、検証してアーカイブに格納します。
- パッケージは、メンテナの署名をはがされ、 MD5 sum を計算されて、
- Packages ファイルに格納されます。
- その後、全パッケージファイルの MD5 sum を計算してから、
- Release ファイルに置きます。
- Release ファイルは、アーカイブキーで署名されます。
- アーカイブキーは年ごとに作成され、FTP サーバで配布されます。
- このキーも Debian キーリングに含まれます。
- </para>
- <para>
- <!--
- Any end user can check the signature of the Release file, extract the MD5
- sum of a package from it and compare it with the MD5 sum of the
- package he downloaded. Prior to version 0.6 only the MD5 sum of the
- downloaded Debian package was checked. Now both the MD5 sum and the
- signature of the Release file are checked.
- -->
- エンドユーザは誰でも、Release ファイルの署名をチェックし、
- パッケージの MD5 sum を抽出して、ダウンロードしたパッケージの MD5 sum
- と比較できます。
- バージョン 0.6 以前では、ダウンロードした Debian パッケージの MD5 sum しか、
- チェックしていませんでした。
- 現在では、MD5 sum と Release ファイルの署名の両方でチェックします。
- </para>
- <!--
- <para>Notice that this is distinct from checking signatures on a
- per package basis. It is designed to prevent two possible attacks:
- -->
- <para>以上は、パッケージごとの署名チェックとは違うことに注意してください。
- 以下のように考えられる 2 種類の攻撃を防ぐよう設計されています。
- </para>
- <itemizedlist>
- <!--
- <listitem><para><literal>Network "man in the middle"
- attacks</literal>. Without signature checking, a malicious
- agent can introduce himself in the package download process and
- provide malicious software either by controlling a network
- element (router, switch, etc.) or by redirecting traffic to a
- rogue server (through arp or DNS spoofing
- attacks).</para></listitem>
- -->
- <listitem><para><literal>ネットワーク中間者攻撃</literal>
- 署名をチェックしないと、
- 悪意あるエージェントがパッケージダウンロードプロセスに割り込んだり、
- ネットワーク構成要素 (ルータ、スイッチなど) の制御や、
- 悪漢サーバへのネットワークトラフィックのリダイレクトなど
- (arp 経由や DNS スプーフィング攻撃) で、
- 悪意あるソフトウェアを掴まされたりします。</para></listitem>
-
- <!--
- <listitem><para><literal>Mirror network compromise</literal>.
- Without signature checking, a malicious agent can compromise a
- mirror host and modify the files in it to propagate malicious
- software to all users downloading packages from that
- host.</para></listitem>
- -->
- <listitem><para><literal>ミラーネットワーク感染</literal>.
- 署名をチェックしないと、悪意あるエージェントがミラーホストに感染し、
- このホストからダウンロードしたユーザすべてに、
- 悪意あるソフトウェアが伝播するようにファイルを変更できます。</para></listitem>
- </itemizedlist>
- <!--
- <para>However, it does not defend against a compromise of the
- Debian master server itself (which signs the packages) or against a
- compromise of the key used to sign the Release files. In any case,
- this mechanism can complement a per-package signature.</para>
- -->
- <para>しかしこれは、
- (パッケージに署名する) Debian マスターサーバ自体の感染や、
- Release ファイルに署名するのに使用したキーの感染を防げません。
- いずれにせよ、この機構はパッケージごとの署名を補完することができます。</para>
- </refsect1>
- <!--
- <refsect1><title>User configuration</title>
- -->
- <refsect1><title>ユーザの設定</title>
- <para>
- <!--
- <command>apt-key</command> is the program that manages the list
- of keys used by apt. It can be used to add or remove keys although
- an installation of this release will automatically provide the
- default Debian archive signing keys used in the Debian package
- repositories.
- -->
- <command>apt-key</command> は、
- apt が使用するキーリストを管理するプログラムです。
- このリリースのインストールでは、Debian パッケージリポジトリで使用する、
- キーで署名するデフォルトの Debian アーカイブを提供しますが、
- <command>apt-key</command> でキーの追加・削除が行えます。
- </para>
- <para>
- <!--
- In order to add a new key you need to first download it
- (you should make sure you are using a trusted communication channel
- when retrieving it), add it with <command>apt-key</command> and
- then run <command>apt-get update</command> so that apt can download
- and verify the <filename>Release.gpg</filename> files from the archives you
- have configured.
- -->
- 新しいキーを追加するためには、まずキーをダウンロードする必要があります。
- (取得する際には、信頼できる通信チャネルを使用するよう、特に留意してください)
- 取得したキーを、<command>apt-key</command> で追加し、
- <command>apt-get update</command> を実行してください。
- 以上により、apt は指定したアーカイブから、<filename>Release.gpg</filename>
- ファイルをダウンロード・検証できるようになります。
- </para>
- </refsect1>
- <!--
- <refsect1><title>Archive configuration</title>
- -->
- <refsect1><title>アーカイブの設定</title>
- <para>
- <!--
- If you want to provide archive signatures in an archive under your
- maintenance you have to:
- -->
- あなたがメンテナンスしているアーカイブで、アーカイブ署名を提供したい場合、
- 以下のようにしてください。
- </para>
- <itemizedlist>
- <!--
- <listitem><para><literal>Create a toplevel Release
- file</literal>. if it does not exist already. You can do this
- by running <command>apt-ftparchive release</command>
- (provided in package apt-utils).</para></listitem>
- -->
- <listitem><para><literal>上位 Release ファイルの作成</literal>
- 既にこれが存在しているのでなければ、
- <command>apt-ftparchive release</command> (apt-utils で提供)
- を実行して作成してください。</para></listitem>
-
- <!--
- <listitem><para><literal>Sign it</literal>. You can do this by running
- <command>gpg -abs -o Release.gpg Release</command>.</para></listitem>
- -->
- <listitem><para><literal>署名</literal>
- <command>gpg -abs -o Release.gpg Release</command> を実行して、
- 署名してください。</para></listitem>
- <!--
- <listitem><para><literal>Publish the key fingerprint</literal>,
- that way your users will know what key they need to import in
- order to authenticate the files in the
- archive.</para></listitem>
- -->
- <listitem><para><literal>キーの指紋を配布</literal>
- これにより、アーカイブ内のファイル認証に、
- どのキーをインポートする必要があるかを、
- ユーザに知らせることになります。</para></listitem>
- </itemizedlist>
- <!--
- <para>Whenever the contents of the archive changes (new packages
- are added or removed) the archive maintainer has to follow the
- first two steps previously outlined.</para>
- -->
- <para>アーカイブの内容に変化がある場合 (新しいパッケージの追加や削除)、
- アーカイブメンテナは前述の最初の 1, 2 ステップに従わなければなりません。</para>
- </refsect1>
- <!--
- <refsect1><title>See Also</title>
- -->
- <refsect1><title>関連項目</title>
- <para>
- &apt-conf;, &apt-get;, &sources-list;, &apt-key;, &apt-archive;,
- &debsign; &debsig-verify;, &gpg;
- </para>
- <!--
- <para>For more backgound information you might want to review the
- <ulink
- url="http://www.debian.org/doc/manuals/securing-debian-howto/ch7.en.html">Debian
- Security Infrastructure</ulink> chapter of the Securing Debian Manual
- (available also in the harden-doc package) and the
- <ulink url="http://www.cryptnet.net/fdp/crypto/strong_distro.html"
- >Strong Distribution HOWTO</ulink> by V. Alex Brennen. </para>
- -->
- <para>詳細な背景情報を検証するのなら、
- the Securing Debian Manual (harden-doc パッケージにもあります) の
- <ulink
- url="http://www.debian.org/doc/manuals/securing-debian-howto/ch7.en.html">Debian
- Security Infrastructure</ulink> 章と、
- V. Alex Brennen による
- <ulink url="http://www.cryptnet.net/fdp/crypto/strong_distro.html"
- >Strong Distribution HOWTO</ulink> をご覧ください。</para>
- </refsect1>
- &manbugs;
- &manauthor;
- <!--
- <refsect1><title>Manpage Authors</title>
- -->
- <refsect1><title>マニュアルページ筆者</title>
- <!--
- <para>This man-page is based on the work of Javier Fernández-Sanguino
- Peña, Isaac Jones, Colin Walters, Florian Weimer and Michael Vogt.
- -->
- <para>このマニュアルページは Javier Fernández-Sanguino
- Peña, Isaac Jones, Colin Walters, Florian Weimer, Michael Vogt
- の作業を元にしています。
- </para>
- </refsect1>
-
- &translator;
- </refentry>
|