pacman (Español)/Package signing (Español)

From ArchWiki

Esta traducción de Pacman/Package signing fue revisada el 2018-11-18. Si existen cambios puede actualizarla o avisar al equipo de traducción.

pacman se sirve de claves GnuPG siguiendo el modelo de la red de confianza para comprobar la autenticidad de los paquetes. Actualmente hay cinco claves maestras que se encuentran aquí. Se usan por lo menos tres de esas Claves Maestras para firmar los paquetes de los desarrolladores oficiales y las subclaves de los usuarios de confianza o TUs —del inglés: trusted user— con las que estos firman sus paquetes. El usuario también posee una clave PGP exclusiva que se genera cuando se configura pacman-key. La clave del usuario queda enlazada por tanto a las cinco Claves Maestras.

Ejemplos de redes de confianza:

  • paquetes personalizados: el usuario elabora el paquete y lo firma con su clave personal.
  • paquetes no oficiales: paquetes creados y firmados por desarrolladores. El usuario usa su clave personal para firmar las de cada uno de esos desarrolladores.
  • paquetes oficiales: paquetes creados y firmados por desarrolladores. Las claves de esos desarrolladores se firmaron previamente usando las claves maestras de Arch Linux. El usuario usa su clave para firmar las claves maestras y, por tanto, tiene plena confianza en los desarrolladores.
Nota: El protocolo HKP utiliza el puerto 11371/tcp para establecer la conexión. Este puerto es necesario para obtener las claves firmadas de los servidores mediante pacman-key.

Configuración

Configurar pacman

La opción SigLevel en /etc/pacman.conf será la que determine el nivel de confianza a la hora de instalar un paquete. Para una explicación más detallada de SigLevel, consulte el manual de pacman.conf y los comentarios del mismo. La comprobación del firmado de claves se puede establecer de forma global o por repositorio. En caso de configurar SigLevel globalmente en la sección [options] para exigir que todos los paquetes estén firmados, los paquetes que el usuario compile también tendrán que estar firmados usando makepkg.

Nota: Aunque todos los paquetes oficiales están firmados; a fecha de junio de 2012, la firma de la bases de datos de paquetes está todavía en proceso. Si se especifica Required entonces también hay que poner DatabaseOptional.

Se puede usar una configuración predeterminada para instalar únicamente paquetes firmados por claves de confianza:

/etc/pacman.conf
SigLevel = Required DatabaseOptional

Esto se debe a que TrustedOnly es un parámetro pacman predeterminado en su compilación. Así que lo anterior conduce al mismo resultado que el ajuste global de:

SigLevel = Required DatabaseOptional TrustedOnly

Lo anterior también se puede lograr en un nivel más abajo del repositorio en la configuración del archivo, por ejemplo:

[core]
SigLevel = PackageRequired
Include = /etc/pacman.d/mirrorlist

agrega explícitamente la comprobación de firmas para los paquetes en cuestión del repositorio, pero no requiere que la base de datos esté firmada. Optional aquí desactivaría un Required global para este repositorio.

Advertencia: La opción TrustAll de SigLevel solamente existe para fines de depuración de código y hace que sea muy fácil confiar en claves que no se han verificado. Hay que usar TrustedOnly solo para los repositorios oficiales.

Inicializar el depósito de claves

Para configurar el depósito de claves de pacman hay que ejecutar:

# pacman-key --init

Arch Linux necesita entropía para arrancar el archivo de claves de pacman. Mover el ratón, presionar teclas aleatoriamente o ejecutar algún tipo de tarea que haga funcionar a una unidad. He aquí algunos ejemplos de esto último: ls -R /, find / -name foo o dd if=/dev/sda8 of=/dev/tty7. Si el sistema no tiene suficiente entropía, este paso puede durar horas. Generando entropía de forma activa se puede completar este proceso mucho más rápidamente.

La aleatoriedad que se crea se usa para configurar un archivo de claves (/etc/pacman.d/gnupg) y la firma de la clave GPG del sistema.

Nota: Si necesita ejecutar pacman-key --init en un equipo que no genere mucha entropía (por ejemplo, un servidor sin encabezado), la generación de claves puede llevar mucho tiempo. Para generar una pseudo-entropía, instale haveged o rng-tools en el equipo de destino e inicie el servicio correspondiente antes de ejecutar pacman-key --init.

Gestionar el depósito de claves

Verificar las claves maestras

Para empezar a configurar las claves hay que ejecutar:

# pacman-key --populate archlinux

No hay que tener prisa a la hora de verificar las claves de firmas maestras cuando el sistema pregunte por ellas puesto que son las que se van a usar para firmar y, por ende, validar las claves de todos los demás paquetes.

Las llaves PGP son demasiado extensas (2048 bits o más) para que las personas trabajen con ellas. Es por esto que normalmente se reducen a un código hash para crear una huella de 40 dígitos hexadecimales que puede usarse para comparar manualmente que dos claves son exactamente iguales. Los últimos 8 dígitos son el «nombre» de la clave y se les conoce como el ID breve de la clave (key ID —short—) (los últimos dieciséis dígitos de la huella digital supondría la «ID larga de la clave»).

Añadir las claves de los desarrolladores

Las claves oficiales de los desarrolladores y las de los TUs se firman con las claves maestras por lo que no es necesario que el usuario las firme por si mismo haciendo uso de la herramienta pacman-key. Cuando pacman se encuentra con una clave que no reconoce, pedirá descargarla del keyserver establecido en /etc/pacman.d/gnupg/gpg.conf (o usando la opción --keyserver en la consola). En la Wikipedia se puede encontrar una lista de servidores de claves.

Una vez que se ha descargado una clave de un desarrollador no es necesario descargarla de nuevo. Además, se puede usar para verificar otros paquetes que ese desarrollador haya firmado.

Nota: El paquete archlinux-keyring, que figura entre las dependencias de pacman, contiene las claves actualizadas. En cualquier caso, es posible actualizarlas ejecutando pacman-key --refresh-keys (como root). Al ejecutar pacman-key con la opción --refresh-keys, se buscará la clave local en el servidor de claves remoto y aparecerá un mensaje alertando de que no ha sido posible encontrar dicha clave. Esto es normal y no es algo por lo que haya que preocuparse.

Añadir claves no oficiales

Este método se puede utilizar, por ejemplo, para agregar su propia clave al depósito de claves de pacman, o para activar los unofficial user repositories firmados.

Primero, obtenga el ID de la clave (keyid) de su propiedad. Luego agréguelo al depósito de claves usando uno de los dos métodos siguientes:

  1. Si la clave se encuentra en un servidor de claves, impórtela con:
    # pacman-key --recv-keys keyid
  2. De lo contrario, será facilitado un enlace a un archivo de claves, descárguelo y ejecute:
    # pacman-key --add /path/to/downloaded/keyfile

Se recomienda verificar la huella digital, como con cualquier clave maestra o cualquier otra clave que vaya a firmar:

$ pacman-key --finger keyid

Por último, debe firmar localmente la clave importada:

# pacman-key --lsign-key keyid

Ahora otórguele el nivel de confianza a esta clave para firmar paquetes.

Depurar errores con gpg

Con el propósito de depurar errores, puede acceder al depósito de claves de pacman directamente con gpg, por ejemplo:

# gpg --homedir /etc/pacman.d/gnupg --list-keys

Solución de problemas

Advertencia: pacman-key depende de system time. Si la hora del sistema no es la correcta, aparecerá lo siguiente:
error: PackageName: signature from "User <email@archlinux.org>" is invalid
error: failed to commit transaction (invalid or corrupted package (PGP signature))
Errors occured, no packages were upgraded.

No se pueden importar las claves

Existen varias causas posibles de este problema:

  • Un paquete archlinux-keyring desactualizado.
  • Fecha incorrecta.
  • Su ISP bloqueó el puerto utilizado para importar claves PGP.
  • La memoria caché de pacman contiene copia de paquetes sin firmar de intentos anteriores.
  • dirmngr no está configurado correctamente

Es posible que se quede bloqueado debido a que el paquete archlinux-keyring no se haya actualizado al realizar una actualización del sistema. Pruebe actualizar el sistema de nuevo para ver si así se arregla. Si el problema persiste, asegúrese de que existe el siguiente archivo /root/.gnupg/dirmngr_ldapservers.conf y que puede ejecutar con éxito # dirmngr. Cree un archivo vacío si no tiene éxito y ejecute #dirmngr nuevamente.

Si esto tampoco funciona y la fecha del equipo es correcta, podría intentar cambiar al servidor de claves MIT, que proporciona un puerto alternativo. Para hacer esto, edite /etc/pacman.d/gnupg/gpg.conf y cambie la línea keyserver a:

keyserver hkp://pgp.mit.edu:11371

Si ni siquiera el puerto 80 funciona (por ejemplo, cuando la empresa utiliza algún tipo de proxy «transparente» solo para http, en lugar de enrutamiento), lo siguiente podría funcionar:

keyserver hkps://hkps.pool.sks-keyservers.net:443

Si tiene IPv6 desactivada, gpg fallará cuando encuentre alguna dirección IPv6. En este caso, intente con un servidor de claves solo para IPv4, como:

keyserver hkp://ipv4.pool.sks-keyservers.net:11371

Si olvida ejecutar pacman-key --populate archlinux, es posible que obtenga algunos errores al importar las claves.

Si nada de lo anterior ayuda, la memoria caché de pacman, ubicada en /var/cache/pacman/pkg/ puede contener paquetes sin firmar de intentos anteriores. Intente limpiar la memoria caché manualmente o ejecute:

# pacman -Sc

que elimina todos los paquetes de la caché que no se han instalado.

Desactivar la comprobación de las firmas

Advertencia: Utilice esta opción con precaución. Desactivar las firmas de los paquetes hará que pacman instale automáticamente paquetes de fuentes no confiables.

Si no se está interesado en el firmado de paquetes, se puede desactivar la comprobación de las claves PGP por completo. Edite el fichero /etc/pacman.conf y descomente la siguiente lína en [options]:

SigLevel = Never

Hay que descomentar las opciones específicas de SigLevel de cada repositorio también ya que ignoran la configuración global. Esto hará que no haya comprobación alguna de firmas de claves; así es como se procedía habitualmente antes de la llegada de pacman 4. No es necesario configurar el archivo de claves con pacman-key si se decide optar por esta opción. Esta opción se puede modificar más adelante sin problema alguno si se decide activar la verificación de paquetes.

Restablecer todas las claves

Para eliminar o restablecer todas las claves instaladas en el sistema, elimine el directorio /etc/pacman.d/gnupg como root y vuelva a ejecutar pacman-key --init. Una vez hecho esto, se pueden añadir las claves que se consideren necesarias.

Eliminar paquetes inservibles

Si hay paquetes que siguen dando error y se está seguro de haber configurado correctamente pacman-key, entonces hay que probar a eliminarlos como por ejemplo con rm /var/cache/pacman/pkg/badpackage* para que se vuelvan a descargar.

Probablemente esta sea la solución al problema del mensaje que aparece al intentar actualizar (error: linux: signature from "Some Person <Some.Person@example.com>" is invalid, o parecido). Esto no tiene por qué significar que se esté siendo víctima de un ataque MITM, ni mucho menos; indica tan sólo que el archivo descargargado está corrupto.

La firma es de confianza desconocida

A veces, al ejecutar pacman -Syu puede encontrar este error:

error: package-name: signature from "packager" is unknown trust

Esto ocurre porque la clave de packager utilizada en el paquete package-name no está presente y/o no es de confianza en la base de datos gpg local de pacman-key. Al parecer pacman no siempre puede verificar si la clave fue recibida y marcada como confiable antes de continuar. Mitigue esto firmando manualmente la clave no confiable localmente o restableciendo todas las claves.

Actualizar claves a través de proxy

Para usar un proxy al actualizar las claves, la opción honor-http-proxy debe configurarse tanto en /etc/gnupg/dirmngr.conf como en /etc/pacman.d/gnupg/dirmngr.conf. Vea GnuPG#Use a keyserver para más información.

Nota: Si se usa pacman-key sin la opción honor-http-proxy y falla, un reinicio puede resolver el problema.

Véase también