[apt-legacy.git] / doc / ja / apt-secure.ja.8

'\" t
.\"     Title: apt-secure
.\"    Author: Jason Gunthorpe
.\" Generator: DocBook XSL Stylesheets v1.75.2 <http://docbook.sf.net/>
.\"      Date: 28 October 2008
.\"    Manual: APT
.\"    Source: Linux
.\"  Language: English
.\"
.TH "APT\-SECURE" "8" "28 October 2008" "Linux" "APT"
.\" -----------------------------------------------------------------
.\" * Define some portability stuff
.\" -----------------------------------------------------------------
.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.\" http://bugs.debian.org/507673
.\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html
.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.ie \n(.g .ds Aq \(aq
.el       .ds Aq '
.\" -----------------------------------------------------------------
.\" * set default formatting
.\" -----------------------------------------------------------------
.\" disable hyphenation
.nh
.\" disable justification (adjust text to left margin only)
.ad l
.\" -----------------------------------------------------------------
.\" * MAIN CONTENT STARTS HERE *
.\" -----------------------------------------------------------------
.SH "NAME"
apt-secure \- APT アーカイブ認証サポート
.SH "説明"
.PP
バージョン 0\&.6 より、\fBapt\fR
全アーカイブに対する Release ファイルの署名チェックコードが含まれています。Release ファイル署名キーにアクセスできない人が、アーカイブのパッケージの変更が確実にできないようにします。
.PP
パッケージに署名されなかったり、apt が知らないキーで署名されていた場合、アーカイブから来たパッケージは、信頼されていないと見なし、インストールの際に重要な警告が表示されます。
\fBapt\-get\fR
は、現在未署名のパッケージに対して警告するだけですが、将来のリリースでは全ソースに対し、パッケージダウンロード前に強制的に検証される可能性があります。
.PP

\fBapt-get\fR(8),
\fBaptitude\fR(8),
\fBsynaptic\fR(8)
といったパッケージフロントエンドは、この新認証機能をサポートしています。
.SH "信頼済アーカイブ"
.PP
The chain of trust from an apt archive to the end user is made up of different steps\&.
\fBapt\-secure\fR
is the last step in this chain, trusting an archive does not mean that the packages that you trust it do not contain malicious code but means that you trust the archive maintainer\&. It\*(Aqs the archive maintainer responsibility to ensure that the archive integrity is correct\&.
.PP
apt\-secure はパッケージレベルの署名検証は行いません。そのようなツールが必要な場合は、\fBdebsig\-verify\fR
や
\fBdebsign\fR
(debsig\-verify パッケージと devscripts パッケージでそれぞれ提供されています) を確認してください。
.PP
Debian における信頼の輪は、新しいパッケージやパッケージの新しいバージョンを、メンテナが Debian アーカイブにアップロードすることで始まります。これは、Debian メンテナキーリング (debian\-keyring パッケージにあります) にあるメンテナのキーで署名しなければ、アップロードできないということです。メンテナのキーは、キーの所有者のアイデンティティを確保するため、以下のような事前に確立した手段で、他のメンテナに署名されています。
.PP
Once the uploaded package is verified and included in the archive, the maintainer signature is stripped off, an MD5 sum of the package is computed and put in the Packages file\&. The MD5 sum of all of the packages files are then computed and put into the Release file\&. The Release file is then signed by the archive key (which is created once a year) and distributed through the FTP server\&. This key is also on the Debian keyring\&.
.PP
エンドユーザは誰でも、Release ファイルの署名をチェックし、パッケージの MD5 sum を抽出して、ダウンロードしたパッケージの MD5 sum と比較できます。バージョン 0\&.6 以前では、ダウンロードした Debian パッケージの MD5 sum しか、チェックしていませんでした。現在では、MD5 sum と Release ファイルの署名の両方でチェックします。
.PP
以上は、パッケージごとの署名チェックとは違うことに注意してください。以下のように考えられる 2 種類の攻撃を防ぐよう設計されています。
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
ネットワーク中間者攻撃
署名をチェックしないと、悪意あるエージェントがパッケージダウンロードプロセスに割り込んだり、ネットワーク構成要素 (ルータ、スイッチなど) の制御や、悪漢サーバへのネットワークトラフィックのリダイレクトなど (arp スプーフィング攻撃や DNS スプーフィング攻撃) で、悪意あるソフトウェアを掴まされたりします。
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
ミラーネットワーク感染。署名をチェックしないと、悪意あるエージェントがミラーホストに感染し、このホストからダウンロードしたユーザすべてに、悪意あるソフトウェアが伝播するようにファイルを変更できます。
.RE
.PP
しかしこれは、(パッケージに署名する) Debian マスターサーバ自体の侵害や、Release ファイルに署名するのに使用したキーの漏洩を防げません。いずれにせよ、この機構はパッケージごとの署名を補完することができます。
.SH "ユーザの設定"
.PP

\fBapt\-key\fR
は、apt が使用するキーリストを管理するプログラムです。このリリースのインストールでは、Debian パッケージリポジトリで使用する、キーで署名するデフォルトの Debian アーカイブを提供しますが、\fBapt\-key\fR
でキーの追加・削除が行えます。
.PP
新しいキーを追加するためには、まずキーをダウンロードする必要があります。(取得する際には、信頼できる通信チャネルを使用するよう、特に留意してください) 取得したキーを、\fBapt\-key\fR
で追加し、\fBapt\-get update\fR
を実行してください。以上により、apt は指定したアーカイブから、Release\&.gpg
ファイルをダウンロード・検証できるようになります。
.SH "アーカイブの設定"
.PP
あなたがメンテナンスしているアーカイブで、アーカイブ署名を提供したい場合、以下のようにしてください。
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fICreate a toplevel Release file\fR, if it does not exist already\&. You can do this by running
\fBapt\-ftparchive release\fR
(provided in apt\-utils)\&.
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fISign it\fR\&. You can do this by running
\fBgpg \-abs \-o Release\&.gpg Release\fR\&.
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fIPublish the key fingerprint\fR, that way your users will know what key they need to import in order to authenticate the files in the archive\&.
.RE
.PP
アーカイブの内容に変化がある場合 (新しいパッケージの追加や削除)、アーカイブメンテナは前述の最初の 1, 2 ステップに従わなければなりません。
.SH "関連項目"
.PP

\fBapt.conf\fR(5),
\fBapt-get\fR(8),
\fBsources.list\fR(5),
\fBapt-key\fR(8),
\fBapt-ftparchive\fR(1),
\fBdebsign\fR(1)
\fBdebsig-verify\fR(1),
\fBgpg\fR(1)
.PP
詳細な背景情報を検証するのなら、Securing Debian Manual (harden\-doc パッケージにも収録) の
\m[blue]\fBDebian Security Infrastructure\fR\m[]\&\s-2\u[1]\d\s+2
章や、V\&. Alex Brennen による
\m[blue]\fBStrong Distribution HOWTO\fR\m[]\&\s-2\u[2]\d\s+2
をご覧ください。
.SH "バグ"
.PP
\m[blue]\fBAPT バグページ\fR\m[]\&\s-2\u[3]\d\s+2
をご覧ください。 APT のバグを報告する場合は、
/usr/share/doc/debian/bug\-reporting\&.txt
や
\fBreportbug\fR(1)
コマンドをご覧ください。
.SH "著者"
.PP
APT は APT team
apt@packages\&.debian\&.org
によって書かれました。
.SH "マニュアルページ作者"
.PP
このマニュアルページは Javier Fernández\-Sanguino Peña, Isaac Jones, Colin Walters, Florian Weimer, Michael Vogt の作業を元にしています。
.SH "訳者"
.PP
倉澤 望
nabetaro@debian\&.or\&.jp
(2003\-2006,2009), Debian JP Documentation ML
debian\-doc@debian\&.or\&.jp
.PP
Note that this translated document may contain untranslated parts\&. This is done on purpose, to avoid losing content when the translation is lagging behind the original content\&.
.SH "AUTHOR"
.PP
\fBJason Gunthorpe\fR
.RS 4
.RE
.SH "COPYRIGHT"
.br
Copyright \(co 1998-2001 Jason Gunthorpe
.br
.SH "NOTES"
.IP " 1." 4
Debian Security Infrastructure
.RS 4
\%http://www.debian.org/doc/manuals/securing-debian-howto/ch7.en.html
.RE
.IP " 2." 4
Strong Distribution HOWTO
.RS 4
\%http://www.cryptnet.net/fdp/crypto/strong_distro.html
.RE
.IP " 3." 4
APT バグページ
.RS 4
\%http://bugs.debian.org/src:apt
.RE
Commit	Line	Data
0e5943eb	1	'\" t
00ec24d0	2	.\" Title: apt-secure
da6ee469	3	.\" Author: Jason Gunthorpe
0e5943eb JF	4	.\" Generator: DocBook XSL Stylesheets v1.75.2 <http://docbook.sf.net/>
	5	.\" Date: 28 October 2008
	6	.\" Manual: APT
da6ee469	7	.\" Source: Linux
0e5943eb	8	.\" Language: English
da6ee469	9	.\"
0e5943eb JF	10	.TH "APT\-SECURE" "8" "28 October 2008" "Linux" "APT"
	11	.\" -----------------------------------------------------------------
	12	.\" * Define some portability stuff
	13	.\" -----------------------------------------------------------------
	14	.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
	15	.\" http://bugs.debian.org/507673
	16	.\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html
	17	.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
	18	.ie \n(.g .ds Aq \(aq
	19	.el .ds Aq '
	20	.\" -----------------------------------------------------------------
	21	.\" * set default formatting
	22	.\" -----------------------------------------------------------------
da6ee469 JF	23	.\" disable hyphenation
	24	.nh
	25	.\" disable justification (adjust text to left margin only)
	26	.ad l
0e5943eb JF	27	.\" -----------------------------------------------------------------
	28	.\" * MAIN CONTENT STARTS HERE *
	29	.\" -----------------------------------------------------------------
da6ee469	30	.SH "NAME"
0e5943eb JF	31	apt-secure \- APT アーカイブ認証サポート
0e5943eb JF	32	.SH "説明"
da6ee469	33	.PP
0e5943eb JF	34	バージョン 0\&.6 より、\fBapt\fR
0e5943eb JF	35	全アーカイブに対する Release ファイルの署名チェックコードが含まれています。Release ファイル署名キーにアクセスできない人が、アーカイブのパッケージの変更が確実にできないようにします。
da6ee469	36	.PP
0e5943eb	37	パッケージに署名されなかったり、apt が知らないキーで署名されていた場合、アーカイブから来たパッケージは、信頼されていないと見なし、インストールの際に重要な警告が表示されます。
da6ee469	38	\fBapt\-get\fR
0e5943eb	39	は、現在未署名のパッケージに対して警告するだけですが、将来のリリースでは全ソースに対し、パッケージダウンロード前に強制的に検証される可能性があります。
da6ee469 JF	40	.PP
da6ee469 JF	41
00ec24d0	42	\fBapt-get\fR(8),
da6ee469 JF	43	\fBaptitude\fR(8),
da6ee469 JF	44	\fBsynaptic\fR(8)
0e5943eb JF	45	といったパッケージフロントエンドは、この新認証機能をサポートしています。
0e5943eb JF	46	.SH "信頼済アーカイブ"
da6ee469	47	.PP
0e5943eb	48	The chain of trust from an apt archive to the end user is made up of different steps\&.
da6ee469	49	\fBapt\-secure\fR
0e5943eb	50	is the last step in this chain, trusting an archive does not mean that the packages that you trust it do not contain malicious code but means that you trust the archive maintainer\&. It\*(Aqs the archive maintainer responsibility to ensure that the archive integrity is correct\&.
da6ee469	51	.PP
0e5943eb JF	52	apt\-secure はパッケージレベルの署名検証は行いません。そのようなツールが必要な場合は、\fBdebsig\-verify\fR
0e5943eb JF	53	や
da6ee469	54	\fBdebsign\fR
0e5943eb	55	(debsig\-verify パッケージと devscripts パッケージでそれぞれ提供されています) を確認してください。
da6ee469	56	.PP
0e5943eb	57	Debian における信頼の輪は、新しいパッケージやパッケージの新しいバージョンを、メンテナが Debian アーカイブにアップロードすることで始まります。これは、Debian メンテナキーリング (debian\-keyring パッケージにあります) にあるメンテナのキーで署名しなければ、アップロードできないということです。メンテナのキーは、キーの所有者のアイデンティティを確保するため、以下のような事前に確立した手段で、他のメンテナに署名されています。
da6ee469	58	.PP
0e5943eb	59	Once the uploaded package is verified and included in the archive, the maintainer signature is stripped off, an MD5 sum of the package is computed and put in the Packages file\&. The MD5 sum of all of the packages files are then computed and put into the Release file\&. The Release file is then signed by the archive key (which is created once a year) and distributed through the FTP server\&. This key is also on the Debian keyring\&.
da6ee469	60	.PP
0e5943eb	61	エンドユーザは誰でも、Release ファイルの署名をチェックし、パッケージの MD5 sum を抽出して、ダウンロードしたパッケージの MD5 sum と比較できます。バージョン 0\&.6 以前では、ダウンロードした Debian パッケージの MD5 sum しか、チェックしていませんでした。現在では、MD5 sum と Release ファイルの署名の両方でチェックします。
da6ee469	62	.PP
0e5943eb	63	以上は、パッケージごとの署名チェックとは違うことに注意してください。以下のように考えられる 2 種類の攻撃を防ぐよう設計されています。
00ec24d0 JF	64	.sp
00ec24d0 JF	65	.RS 4
0e5943eb JF	66	.ie n \{\
	67	\h'-04'\(bu\h'+03'\c
	68	.\}
	69	.el \{\
	70	.sp -1
	71	.IP \(bu 2.3
	72	.\}
	73	ネットワーク中間者攻撃
	74	署名をチェックしないと、悪意あるエージェントがパッケージダウンロードプロセスに割り込んだり、ネットワーク構成要素 (ルータ、スイッチなど) の制御や、悪漢サーバへのネットワークトラフィックのリダイレクトなど (arp スプーフィング攻撃や DNS スプーフィング攻撃) で、悪意あるソフトウェアを掴まされたりします。
00ec24d0 JF	75	.RE
	76	.sp
	77	.RS 4
0e5943eb JF	78	.ie n \{\
	79	\h'-04'\(bu\h'+03'\c
	80	.\}
	81	.el \{\
	82	.sp -1
	83	.IP \(bu 2.3
	84	.\}
	85	ミラーネットワーク感染。署名をチェックしないと、悪意あるエージェントがミラーホストに感染し、このホストからダウンロードしたユーザすべてに、悪意あるソフトウェアが伝播するようにファイルを変更できます。
00ec24d0	86	.RE
da6ee469	87	.PP
0e5943eb JF	88	しかしこれは、(パッケージに署名する) Debian マスターサーバ自体の侵害や、Release ファイルに署名するのに使用したキーの漏洩を防げません。いずれにせよ、この機構はパッケージごとの署名を補完することができます。
0e5943eb JF	89	.SH "ユーザの設定"
da6ee469 JF	90	.PP
da6ee469 JF	91
da6ee469	92	\fBapt\-key\fR
0e5943eb JF	93	は、apt が使用するキーリストを管理するプログラムです。このリリースのインストールでは、Debian パッケージリポジトリで使用する、キーで署名するデフォルトの Debian アーカイブを提供しますが、\fBapt\-key\fR
0e5943eb JF	94	でキーの追加・削除が行えます。
da6ee469	95	.PP
0e5943eb JF	96	新しいキーを追加するためには、まずキーをダウンロードする必要があります。(取得する際には、信頼できる通信チャネルを使用するよう、特に留意してください) 取得したキーを、\fBapt\-key\fR
	97	で追加し、\fBapt\-get update\fR
	98	を実行してください。以上により、apt は指定したアーカイブから、Release\&.gpg
	99	ファイルをダウンロード・検証できるようになります。
	100	.SH "アーカイブの設定"
da6ee469	101	.PP
0e5943eb	102	あなたがメンテナンスしているアーカイブで、アーカイブ署名を提供したい場合、以下のようにしてください。
00ec24d0 JF	103	.sp
00ec24d0 JF	104	.RS 4
0e5943eb JF	105	.ie n \{\
	106	\h'-04'\(bu\h'+03'\c
	107	.\}
	108	.el \{\
	109	.sp -1
	110	.IP \(bu 2.3
	111	.\}
	112	\fICreate a toplevel Release file\fR, if it does not exist already\&. You can do this by running
da6ee469	113	\fBapt\-ftparchive release\fR
0e5943eb	114	(provided in apt\-utils)\&.
00ec24d0 JF	115	.RE
	116	.sp
	117	.RS 4
0e5943eb JF	118	.ie n \{\
	119	\h'-04'\(bu\h'+03'\c
	120	.\}
	121	.el \{\
	122	.sp -1
	123	.IP \(bu 2.3
	124	.\}
	125	\fISign it\fR\&. You can do this by running
	126	\fBgpg \-abs \-o Release\&.gpg Release\fR\&.
00ec24d0 JF	127	.RE
	128	.sp
	129	.RS 4
0e5943eb JF	130	.ie n \{\
	131	\h'-04'\(bu\h'+03'\c
	132	.\}
	133	.el \{\
	134	.sp -1
	135	.IP \(bu 2.3
	136	.\}
	137	\fIPublish the key fingerprint\fR, that way your users will know what key they need to import in order to authenticate the files in the archive\&.
00ec24d0	138	.RE
da6ee469	139	.PP
0e5943eb JF	140	アーカイブの内容に変化がある場合 (新しいパッケージの追加や削除)、アーカイブメンテナは前述の最初の 1, 2 ステップに従わなければなりません。
0e5943eb JF	141	.SH "関連項目"
da6ee469 JF	142	.PP
	143
	144	\fBapt.conf\fR(5),
00ec24d0	145	\fBapt-get\fR(8),
da6ee469	146	\fBsources.list\fR(5),
00ec24d0 JF	147	\fBapt-key\fR(8),
00ec24d0 JF	148	\fBapt-ftparchive\fR(1),
da6ee469	149	\fBdebsign\fR(1)
00ec24d0	150	\fBdebsig-verify\fR(1),
da6ee469 JF	151	\fBgpg\fR(1)
da6ee469 JF	152	.PP
0e5943eb JF	153	詳細な背景情報を検証するのなら、Securing Debian Manual (harden\-doc パッケージにも収録) の
	154	\m[blue]\fBDebian Security Infrastructure\fR\m[]\&\s-2\u[1]\d\s+2
	155	章や、V\&. Alex Brennen による
	156	\m[blue]\fBStrong Distribution HOWTO\fR\m[]\&\s-2\u[2]\d\s+2
	157	をご覧ください。
	158	.SH "バグ"
	159	.PP
	160	\m[blue]\fBAPT バグページ\fR\m[]\&\s-2\u[3]\d\s+2
	161	をご覧ください。 APT のバグを報告する場合は、
	162	/usr/share/doc/debian/bug\-reporting\&.txt
	163	や
da6ee469	164	\fBreportbug\fR(1)
0e5943eb JF	165	コマンドをご覧ください。
0e5943eb JF	166	.SH "著者"
da6ee469	167	.PP
0e5943eb JF	168	APT は APT team
	169	apt@packages\&.debian\&.org
	170	によって書かれました。
	171	.SH "マニュアルページ作者"
da6ee469	172	.PP
0e5943eb JF	173	このマニュアルページは Javier Fernández\-Sanguino Peña, Isaac Jones, Colin Walters, Florian Weimer, Michael Vogt の作業を元にしています。
0e5943eb JF	174	.SH "訳者"
da6ee469	175	.PP
0e5943eb JF	176	倉澤望
	177	nabetaro@debian\&.or\&.jp
	178	(2003\-2006,2009), Debian JP Documentation ML
	179	debian\-doc@debian\&.or\&.jp
	180	.PP
	181	Note that this translated document may contain untranslated parts\&. This is done on purpose, to avoid losing content when the translation is lagging behind the original content\&.
da6ee469 JF	182	.SH "AUTHOR"
	183	.PP
	184	\fBJason Gunthorpe\fR
0e5943eb JF	185	.RS 4
0e5943eb JF	186	.RE
da6ee469	187	.SH "COPYRIGHT"
0e5943eb	188	.br
00ec24d0	189	Copyright \(co 1998-2001 Jason Gunthorpe
da6ee469	190	.br
00ec24d0 JF	191	.SH "NOTES"
	192	.IP " 1." 4
	193	Debian Security Infrastructure
	194	.RS 4
	195	\%http://www.debian.org/doc/manuals/securing-debian-howto/ch7.en.html
	196	.RE
	197	.IP " 2." 4
	198	Strong Distribution HOWTO
	199	.RS 4
da6ee469	200	\%http://www.cryptnet.net/fdp/crypto/strong_distro.html
00ec24d0 JF	201	.RE
00ec24d0 JF	202	.IP " 3." 4
0e5943eb	203	APT バグページ
00ec24d0	204	.RS 4
da6ee469	205	\%http://bugs.debian.org/src:apt
00ec24d0	206	.RE