diff options
Diffstat (limited to 'doc/ja/apt-secure.ja.8.xml')
| -rw-r--r-- | doc/ja/apt-secure.ja.8.xml | 374 |
1 files changed, 374 insertions, 0 deletions
diff --git a/doc/ja/apt-secure.ja.8.xml b/doc/ja/apt-secure.ja.8.xml new file mode 100644 index 000000000..33a829076 --- /dev/null +++ b/doc/ja/apt-secure.ja.8.xml @@ -0,0 +1,374 @@ +<?xml version="1.0" encoding="utf-8" standalone="no"?> +<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.2//EN" + "http://www.oasis-open.org/docbook/xml/4.2/docbookx.dtd" [ + +<!ENTITY % aptent SYSTEM "apt.ent.ja"> +%aptent; + +]> + +<refentry> + &apt-docinfo; + + <refmeta> + <refentrytitle>apt-secure</refentrytitle> + <manvolnum>8</manvolnum> + </refmeta> + +<!-- NOTE: This manpage has been written based on the + Securing Debian Manual ("Debian Security + Infrastructure" chapter) and on documentation + available at the following sites: + http://wiki.debian.net/?apt06 + http://www.syntaxpolice.org/apt-secure/ + http://www.enyo.de/fw/software/apt-secure/ +--> +<!-- TODO: write a more verbose example of how it works with + a sample similar to + http://www.debian-administration.org/articles/174 + ? +--> + + + <!-- Man page title --> + <refnamediv> + <refname>apt-secure</refname> +<!-- + <refpurpose>Archive authentication support for APT</refpurpose> +--> + <refpurpose>APT アーカイブ認証サポート</refpurpose> + </refnamediv> + +<!-- + <refsect1><title>Description</title> +--> + <refsect1><title>説明</title> + <para> +<!-- + Starting with version 0.6, <command>apt</command> contains code + that does signature checking of the Release file for all + archives. This ensures that packages in the archive can't be + modified by people who have no access to the Release file signing + key. +--> + バージョン 0.6 より、<command>apt</command> 全アーカイブに対する + Release ファイルの署名チェックコードが含まれています。 + Release ファイル署名キーにアクセスできない人が、 + アーカイブのパッケージの変更が確実にできないようにします。 + </para> + + <para> +<!-- + If a package comes from a archive without a signature or with a + signature that apt does not have a key for that package is + considered untrusted and installing it will result in a big + warning. <command>apt-get</command> will currently only warn + for unsigned archives, future releases might force all sources + to be verified before downloading packages from them. +--> + パッケージに署名されなかったり、apt が知らないキーで署名されていた場合、 + アーカイブから来たパッケージは、信頼されていないと見なし、 + インストールの際に重要な警告が表示されます。 + <command>apt-get</command> は、 + 現在未署名のパッケージに対して警告するだけですが、 + 将来のリリースでは、全ソースに対し、 + パッケージダウンロード前に強制的に検証される可能性があります。 + </para> + + <para> +<!-- + The package frontends &apt-get;, &aptitude; and &synaptic; support this new + authentication feature. +--> + &apt-get;, &aptitude;, &synaptic; といったパッケージフロントエンドは、 + この新認証機能をサポートしています。 + </para> +</refsect1> + +<!-- + <refsect1><title>Trusted archives</title> +--> + <refsect1><title>信頼済アーカイブ</title> + + <para> +<!-- + The chain of trust from an apt archive to the end user is made up of + different steps. <command>apt-secure</command> is the last step in + this chain, trusting an archive does not mean that the packages + that you trust it do not contain malicious code but means that you + trust the archive maintainer. Its the archive maintainer + responsibility to ensure that the archive integrity is correct. +--> + apt アーカイブからエンドユーザまでの信頼の輪は、 + いくつかのステップでo区政されています。 + <command>apt-secure</command> は、この輪の最後のステップで、 + アーカイブを信頼することは、 + パッケージに悪意のあるコードが含まれていないと信頼するわけではありませんが、 + アーカイブメンテナを信頼すると言うことです。 + これは、アーカイブの完全性を保証するのは、 + アーカイブメンテナの責任だということです。 + </para> + +<!-- + <para>apt-secure does not review signatures at a + package level. If you require tools to do this you should look at + <command>debsig-verify</command> and + <command>debsign</command> (provided in the debsig-verify and + devscripts packages respectively).</para> +--> + <para>apt-secure はパッケージレベルの署名検証は行いません。 + そのようなツールが必要な場合は、 + <command>debsig-verify</command> や <command>debsign</command> + (debsig-verify パッケージと devscripts パッケージでそれぞれ提供されています) + を確認してください。</para> + + <para> +<!-- + The chain of trust in Debian starts when a maintainer uploads a new + package or a new version of a package to the Debian archive. This + upload in order to become effective needs to be signed by a key of + a maintainer within the Debian maintainer's keyring (available in + the debian-keyring package). Maintainer's keys are signed by + other maintainers following pre-established procedures to + ensure the identity of the key holder. +--> + Debian における信頼の輪は、 + 新しいパッケージやパッケージの新しいバージョンを、 + メンテナが Debian アーカイブにアップロードすることで始まります。 + これは、Debian メンテナキーリング (debian-keyring パッケージにあります) + にあるメンテナのキーで署名しなければ、アップロードできないということです。 + メンテナのキーは、キーの所有者のアイデンティティを確保するため、 + 以下のような事前に確立した手段で、他のメンテナに署名されています。 + </para> + + <para> +<!-- + Once the uploaded package is verified and included in the archive, + the maintainer signature is stripped off, an MD5 sum of the package + is computed and put in the Packages file. The MD5 sum of all of the + packages files are then computed and put into the Release file. The + Release file is then signed by the archive key (which is created + once a year and distributed through the FTP server. This key is + also on the Debian keyring. +--> + アップロードされたパッケージごとに、検証してアーカイブに格納します。 + パッケージは、メンテナの署名をはがされ、 MD5 sum を計算されて、 + Packages ファイルに格納されます。 + その後、全パッケージファイルの MD5 sum を計算してから、 + Release ファイルに置きます。 + Release ファイルは、アーカイブキーで署名されます。 + アーカイブキーは年ごとに作成され、FTP サーバで配布されます。 + このキーも Debian キーリングに含まれます。 + </para> + + <para> +<!-- + Any end user can check the signature of the Release file, extract the MD5 + sum of a package from it and compare it with the MD5 sum of the + package he downloaded. Prior to version 0.6 only the MD5 sum of the + downloaded Debian package was checked. Now both the MD5 sum and the + signature of the Release file are checked. +--> + エンドユーザは誰でも、Release ファイルの署名をチェックし、 + パッケージの MD5 sum を抽出して、ダウンロードしたパッケージの MD5 sum + と比較できます。 + バージョン 0.6 以前では、ダウンロードした Debian パッケージの MD5 sum しか、 + チェックしていませんでした。 + 現在では、MD5 sum と Release ファイルの署名の両方でチェックします。 + </para> + +<!-- + <para>Notice that this is distinct from checking signatures on a + per package basis. It is designed to prevent two possible attacks: +--> + <para>以上は、パッケージごとの署名チェックとは違うことに注意してください。 + 以下の用に考えられる 2 種類の攻撃を防ぐよう設計されています。 + </para> + + <itemizedlist> +<!-- + <listitem><para><literal>Network "man in the middle" + attacks</literal>. Without signature checking, a malicious + agent can introduce himself in the package download process and + provide malicious software either by controlling a network + element (router, switch, etc.) or by redirecting traffic to a + rogue server (through arp or DNS spoofing + attacks).</para></listitem> +--> + <listitem><para><literal>ネットワーク中間者攻撃</literal> + 署名をチェックしないと、 + 悪意あるエージェントがパッケージダウンロードプロセスに割り込んだり、 + ネットワーク構成要素 (ルータ、スイッチなど) の制御や、 + 悪漢サーバへのネットワークトラフィックのリダイレクトなど + (arp 経由や DNS スプーフィング攻撃) で、 + 悪意あるソフトウェアを掴まされたりします。</para></listitem> + +<!-- + <listitem><para><literal>Mirror network compromise</literal>. + Without signature checking, a malicious agent can compromise a + mirror host and modify the files in it to propagate malicious + software to all users downloading packages from that + host.</para></listitem> +--> + <listitem><para><literal>ミラーネットワーク感染</literal>. + 署名をチェックしないと、悪意あるエージェントがミラーホストに感染し、 + このホストからダウンロードしたユーザすべてに、 + 悪意あるソフトウェアが伝播するようにファイルを変更できます。</para></listitem> + </itemizedlist> + +<!-- + <para>However, it does not defend against a compromise of the + Debian master server itself (which signs the packages) or against a + compromise of the key used to sign the Release files. In any case, + this mechanism can complement a per-package signature.</para> +--> + <para>しかしこれは、 + (パッケージに署名する) Debian マスターサーバ自体の感染や、 + Release ファイルに署名するのに使用したキーの感染を防げません。 + いずれにせよ、この機構はパッケージごとの署名を補完することができます。</para> +</refsect1> + +<!-- + <refsect1><title>User configuration</title> +--> + <refsect1><title>ユーザの設定</title> + <para> +<!-- + <command>apt-key</command> is the program that manages the list + of keys used by apt. It can be used to add or remove keys although + an installation of this release will automatically provide the + default Debian archive signing keys used in the Debian package + repositories. +--> + <command>apt-key</command> は、 + apt が使用するキーリストを管理するプログラムです。 + このリリースのインストールでは、Debian パッケージリポジトリで使用する、 + キーで署名する デフォルトの Debian アーカイブを提供しますが、 + <command>apt-key</command> でキーの追加・削除が行えます。 + </para> + <para> +<!-- + In order to add a new key you need to first download it + (you should make sure you are using a trusted communication channel + when retrieving it), add it with <command>apt-key</command> and + then run <command>apt-get update</command> so that apt can download + and verify the <filename>Release.gpg</filename> files from the archives you + have configured. +--> + 新しいキーを追加するためには、まずキーをダウンロードする必要があります。 + (取得する際には、信頼できる通信チャネルを使用するよう、特に留意してください) + 取得したキーを、<command>apt-key</command> で追加し、 + <command>apt-get update</command> を実行してください。 + 以上により、apt は指定したアーカイブから、<filename>Release.gpg</filename> + ファイルをダウンロード・検証できるようになります。 + </para> +</refsect1> + +<!-- +<refsect1><title>Archive configuration</title> +--> +<refsect1><title>アーカイブの設定</title> + <para> +<!-- + If you want to provide archive signatures in an archive under your + maintenance you have to: +--> + あなたがメンテナンスしているアーカイブで、アーカイブ署名を提供したい場合、 + 以下のようにしてください。 + </para> + + <itemizedlist> +<!-- + <listitem><para><literal>Create a toplevel Release + file</literal>. if it does not exist already. You can do this + by running <command>apt-ftparchive release</command> + (provided inftp apt-utils).</para></listitem> +--> + <listitem><para><literal>上位 Release ファイルの作成</literal> + 既にこれが存在しているのでなければ、 + <command>apt-ftparchive release</command> (apt-utils で提供) + を実行して作成してください。</para></listitem> + +<!-- + <listitem><para><literal>Sign it</literal>. You can do this by running + <command>gpg -abs -o Release.gpg Release</command>.</para></listitem> +--> + <listitem><para><literal>署名</literal> + <command>gpg -abs -o Release.gpg Release</command> を実行して、 + 署名してください。</para></listitem> + +<!-- + <listitem><para><literal>Publish the key fingerprint</literal>, + that way your users will know what key they need to import in + order to authenticate the files in the + archive.</para></listitem> +--> + <listitem><para><literal>キーの指紋を配布</literal> + これにより、アーカイブ内のファイル認証に、 + どのキーをインポートする必要があるかを、 + ユーザに知らせることになります。</para></listitem> + + </itemizedlist> + +<!-- + <para>Whenever the contents of the archive changes (new packages + are added or removed) the archive maintainer has to follow the + first two steps previously outlined.</para> +--> + <para>アーカイブの内容に変化がある場合 (新しいパッケージの追加や削除)、 + アーカイブメンテナは前述の最初の 1, 2 ステップに従わなければなりません。</para> + +</refsect1> + +<!-- +<refsect1><title>See Also</title> +--> +<refsect1><title>関連項目</title> +<para> +&apt-conf;, &apt-get;, &sources-list;, &apt-key;, &apt-archive;, +&debsign; &debsig-verify;, &gpg; +</para> + +<!-- +<para>For more backgound information you might want to review the +<ulink +url="http://www.debian.org/doc/manuals/securing-debian-howto/ch7.en.html">Debian +Security Infrastructure</ulink> chapter of the Securing Debian Manual +(available also in the harden-doc package) and the +<ulink url="http://www.cryptnet.net/fdp/crypto/strong_distro.html" +>Strong Distribution HOWTO</ulink> by V. Alex Brennen. </para> +--> +<para>詳細な背景情報を検証するのなら、 +the Securing Debian Manual (harden-doc パッケージにもあります) の +<ulink +url="http://www.debian.org/doc/manuals/securing-debian-howto/ch7.en.html">Debian +Security Infrastructure</ulink> 章と、 +V. Alex Brennen による +<ulink url="http://www.cryptnet.net/fdp/crypto/strong_distro.html" +>Strong Distribution HOWTO</ulink> をご覧ください。</para> + +</refsect1> + + &manbugs; + &manauthor; + +<!-- +<refsect1><title>Manpage Authors</title> +--> +<refsect1><title>マニュアルページ筆者</title> + +<!-- +<para>This man-page is based on the work of Javier Fernández-Sanguino +Peña, Isaac Jones, Colin Walters, Florian Weimer and Michael Vogt. +--> +<para>このマニュアルページは Javier Fernández-Sanguino +Peña, Isaac Jones, Colin Walters, Florian Weimer, Michael Vogt +の作業を元にしています。 +</para> + +</refsect1> + + &translator; + +</refentry> + |