Como posso corrigir "W: <...> O repositório não está assinado suficientemente pela chave <...> (resumo fraco)" no meu repositório privado?

8

Eu mantenho uma série de repositórios particulares. As teclas gpg usadas para assinar o repositório foram feitas com "Key-Type: RSA" e "Key-Length: 4096". A versão do GPG usada para gerar as chaves é 1.4.16 no Ubuntu 14.04. A máquina que reclama tem gpg 1.4.20 (em uma versão beta de 16.04).

Como posso corrigir "W: <...> o repositório está insuficientemente assinado pela chave <...> (resumo fraco)" no meu repositório privado?

Admito que não sei muito sobre criptografia, mas eu pensaria que a chave RSA de 4096 caracteres seria suficiente.

apt encryption repository gnupg Michael Peek
fonte
1
Isso está na função de hash da assinatura, NÃO na chave. Ele está reclamando de um hash de assinatura SHA-1, quando espera SHA-2.
Thomas Ward
1
Você precisa editar sua chave. Esta página explica mais ou menos isso. debian-administration.org/users/dkg/weblog/48 Deixando como um comentário, pois não é um usuário adequado.
Balões #

Respostas:

7

A mensagem de aviso não é sobre o algoritmo de criptografia (as chaves RSA de 4k são consideradas totalmente boas e práticas recomendadas no momento). O algoritmo de resumo é outra coisa: o algoritmo de hash aplicado no corpo da mensagem (no seu caso, os pacotes ou listas de pacotes) que são assinados. O GnuPG possui padrões bastante conservadores para permanecer compatível, mas esses são lentamente superados pelos progressos feitos na análise criptográfica.

Você não precisa criar uma nova chave, mas simplesmente altere as configurações do GnuPG. As propostas do blog do administrador Debian ainda estão boas e ajudam a definir padrões razoáveis ​​que são um pouco cautelosos:

  1. Configure as preferências a serem usadas pelo GnuPG (para assinar mensagens, criptografar para outros, ...):

    cat >>~/.gnupg/gpg.conf <<EOF
personal-digest-preferences SHA256
cert-digest-algo SHA256
default-preference-list SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed
EOF

  2. Definir algoritmos preferenciais em sua chave para serem usados ​​por outras pessoas (ao mesmo tempo, adiciona uma nova autoassinatura com as configurações atualizadas do item 1 acima):

    $ gpg --edit-key $KEYID
Command> setpref SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed
Command> save

No futuro, algoritmos de resumo considerados seguros devem ser escolhidos pelo GnuPG.

Jens Erat
fonte
Estou consumindo um repositório criado por outro e não consigo levá-lo a alterar o hash (eles "não oferecem suporte" à minha versão mais recente do sistema operacional). Existe uma maneira de se preparar para ignorar esse problema?
Guss 27/03
O GnuPG conhece a opção --allow-weak-digest-algos, mas não tenho certeza de como você poderia passar por ela apt. Notifique a outra parte que o MD5 também está quebrado para sistemas operacionais mais antigos e outros.
precisa
Também adicionei a opção de configuração 'digest-algo SHA512', sem ela ainda tenho uma assinatura SHA1. Verificado com gpg --verbose --verify Release.gpg Release, adicionar '--verbose' mostra o tipo de resumo.
Herman van Rink